16 Directory Proxy Serverのインスタンス

この章では、Directory Proxy Serverのインスタンスの管理方法について説明します。この章の内容は次のとおりです。

• Directory Proxy Serverインスタンスの操作

• Directory Proxy Serverインスタンスの構成

• Directory Proxy Serverインスタンスのバックアップおよびリストア

16.1 Directory Proxy Serverインスタンスの操作

Directory Proxy Serverのインスタンスを作成すると、インスタンスで必要なファイルおよびディレクトリが指定したパスに作成されます。

この手順では、dpadmコマンドを使用して、ローカル・ホスト上にサーバー・インスタンスを作成します。さらに、dpconfコマンドを使用して、インスタンスを構成します。

root以外のユーザーでもサーバー・インスタンスを作成できます。

Directory Proxy Serverインスタンスは、データ・ビューを介して、データソースへディレクトリ・クライアント・アプリケーション・リクエストをプロキシするように構成する必要があります。インスタンスを起動または停止するときは、ディレクトリ・クライアント・アプリケーション・リクエストをプロキシするサーバー・プロセスを起動または停止します。

dpadmコマンドにより、ローカル・ホスト上のDirectory Proxy Serverインスタンスとそのインスタンスに属するファイルを管理できます。このコマンドではネットワーク上のサーバーを管理できません。ローカル・ホストでの直接管理のみとなります。dpadmコマンドには、主要な各管理タスク用のサブコマンドがあります。詳細は、dpadmについての説明を参照してください。

dpconfコマンドはLDAPクライアントです。このコマンドでは、実行中のDirectory Proxy Serverインスタンスのほぼすべてのサーバー設定を、コマンドラインから構成できます。サーバーは、ローカル・ホストに配置するか、またはネットワーク全体でアクセス可能な別のホストに配置するかを設定できます。dpconfコマンドには、主要な各構成タスク用のサブコマンドがあります。詳細は、dpconfについての説明を参照してください。

16.1.1 Directory Proxy Serverインスタンスを作成するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

DSCCを使用して新しいサーバー・インスタンスを作成する場合は、既存のサーバーからサーバー設定の一部またはすべてをコピーするよう選択できます。

注意: Directory Proxy Serverを初めて起動する際に、Directory Proxy Serverは、使用中のJVMから情報を取得します。この情報をDirectory Proxy Serverが取得した後で、JVMの新しいバージョンにアップグレードできますが、JVMの古いバージョンには戻せません。

1. Directory Proxy Serverのインスタンスを作成します。

   $ dpadm create -p port instance-path
   

   たとえば、ディレクトリ/local/dpsに新しいインスタンスを作成するには、次のコマンドを使用します。

   $ dpadm create -p 2389 /local/dps
   

   インスタンスの他のパラメータを指定するには、dpadmのマニュアル・ページを参照してください。

2. パスワードを入力します(必要な場合)。

3. インスタンスのステータスを確認して、インスタンスが作成されたことを確認します。

   $ dpadm info instance-path
   

4. 次のいずれかの方法で、DSCCにサーバー・インスタンスを登録します。

   1. DSCCにログインし、「プロキシサーバー」タブの既存のサーバーの登録アクションを使用します。

      アプリケーション・サーバー構成によって、http://hostname:8080/dscc7またはhttps://hostname:8181/dscc7を使用して、DSCCにアクセスします。

   2. コマンドdsccreg add-serverを使用します。

      $ dsccreg add-server -h hostname --description "My Proxy" /local/dps
      Enter DSCC administrator's password:
      /local/dps is an instance of DPS
      Enter password of "cn=Proxy Manager" for /local/dps:
      Connecting to /local/dps
      Enabling DSCC access to /local/dps
      Registering /local/dps in DSCC on hostname.
      

      このコマンドの詳細は、dsccregを参照してください。

16.1.2 Directory Proxy Serverインスタンスのステータスを検索するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

Directory Proxy Serverのインスタンスのステータスを検索します。

$ dpadm info instance-path

16.1.3 Directory Proxy Serverを起動および停止するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

Directory Proxy Serverを起動または停止するには、次のいずれかを行います。

• Directory Proxy Serverを起動するには、次を入力します。

  $ dpadm start instance-path
  

  たとえば、/local/dpsでインスタンスを起動するには、次のコマンドを使用します。

  $ dpadm start /local/dps
  

• Directory Proxy Serverを停止するには、次を入力します。

  $ dpadm stop instance-path
  

  次に例を示します。

  $ dpadm stop /local/dps
  

16.1.4 Directory Proxy Serverにおける静止モードの使用方法

Directory Proxy Serverの停止またはDirectory Proxy Serverのメンテナンス操作の開始前に、静止モードを有効化することによって、有効なサーバー接続を中断するリスクを減らすことができます。静止モードが有効化されていると、クライアントの新規接続のリクエストは、Directory Proxy Serverによって即座に拒否されます。クライアントが接続を終了すると、Directory Proxy Serverは、開いている接続が存在しない管理状態に徐々に移行します。開かれている接続がなくなると、メンテナンス・タスクの開始、Directory Proxy Serverの停止や再起動を安全に行うことができます。

静止モード中にも、管理者のリクエストの受入れは続行されます。これによって管理者は、引き続き構成を変更できたり、必要に応じて通常の操作を再開できます。

静止モードを有効化するには

$ dpconf enable-quiesce-mode

静止モードを無効化するには

$ dpconf disable-quiesce-mode

16.1.5 すべての実行中のインスタンスをリストするには

次のコマンドを使用して、ホストで実行中のインスタンスをリストします。

dpadm list-running-instances [--all]

--allオプションによって、すべてのインストール・パスの実行中のインスタンスがリストされます。

16.1.6 実行中のインスタンスを停止するには

次のコマンドを使用して、ホストで実行中のインスタンスを停止します。

dpadm stop-running-instances [-i] [--force]

詳細は、dpadmに関する説明を参照してください。

16.1.7 Directory Proxy Serverインスタンスを再起動する必要があるかどうかを表示するには

構成の変更を有効にするには、サーバーの再起動が必要となる場合があります。次の手順を使用して、構成変更後にDirectory Proxy Serverインスタンスを再起動する必要があるかどうかをチェックします。

サーバーを再起動する必要があるかどうかを確認します。

$ dpconf get-server-prop -h host -p port is-restart-required

• コマンドがtrueを返す場合、Directory Proxy Serverインスタンスを再起動する必要があります。

• コマンドがfalseを返す場合、Directory Proxy Serverインスタンスを再起動する必要はありません。

16.1.8 Directory Proxy Serverを再起動するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

Directory Proxy Serverを再起動します。

$ dpadm restart instance-path

たとえば、/local/dpsでインスタンスを再起動するには、次のコマンドを使用します。

$ dpadm restart /local/dps

16.1.9 Directory Proxy Serverインスタンスを削除するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

1. Directory Proxy Serverインスタンスを停止します。

   $ dpadm stop instance-path
   

   ユーザーがインスタンスを停止しない場合は、削除コマンドにより自動的に停止します。ただし、サービス管理ソリューションでインスタンスを有効にしている場合、手動で停止する必要があります。

2. 以前からDSCCを使用してサーバーを管理していた場合は、コマンドラインを使用してサーバーの登録を解除します。

   $ dsccreg remove-server /local/dps
   Enter DSCC administrator's password:
   /local/dps is an instance of DPS
   Enter password of "cn=Proxy Manager" for /local/dps:
   Unregistering /local/dps from DSCC on localhost.
   Connecting to /local/dps
   Disabling DSCC access to /local/dps
   

   詳細は、dsccregのマニュアル・ページを参照してください。

3. 以前にサービス管理ソリューションでサーバー・インスタンスを有効にした場合は、サービスとしてのサーバーの管理を無効にします。

   オペレーティング・システム	コマンド
   Solaris 10	dpadm disable-service --type SMF instance-path
   Solaris 9	dpadm autostart --off instance-path
   Windows	dpadm disable-service --type WIN_SERVICE instance-path

   
   

4. インスタンスを削除します。

   $ dpadm delete instance-path
   

16.2 Directory Proxy Serverインスタンスの構成

この項では、Directory Proxy Serverインスタンスの構成方法について説明します。この項の手順では、dpadmおよびdpconfコマンドを使用します。これらのコマンドの詳細は、dpadmおよびdpconfのマニュアル・ページを参照してください。

16.2.1 Directory Proxy Serverインスタンスの構成を表示するには

dpconf infoを入力します。

$ dpconf info -p port
Instance Path           :  instance path
Host Name               :  host
Secure listen address   :  IP address
Port                    :  port
Secure port             :  secure port
SSL server certificate  :  defaultServerCert

Directory Proxy Server needs to be restarted.

dpconf infoでは、Secure listen addressとNon-secure listen addressは、これらのプロパティがデフォルト以外の値に設定されている場合のみ、表示されます。この出力では、Non-secure listen addressは、プロパティがデフォルト値に設定されているので表示されません。

また、必要な場合、dpconf infoはインスタンスを再起動するようユーザーに促します。

dpadm info INSTANCE_PATHを使用しても、Directory Proxy Serverインスタンスの構成情報を表示できます。

16.2.2 Directory Proxy Serverの構成を変更するには

この項では、Directory Proxy Serverの構成の変更方法について説明します。

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

1. Directory Proxy Serverの現在の構成を調べます。

   $ dpconf get-server-prop -h host -p port
   
   
   
   allow-cert-based-auth                      : allow
   allow-ldapv2-clients                       : true
   allow-persistent-searches                  : false
   allow-sasl-external-authentication         : true
   allow-unauthenticated-operations           : true
   allow-unauthenticated-operations-mode      : anonymous-and-dn-identified
   allowed-ldap-controls                      : -
   cert-data-view-routing-custom-list         : none
   cert-data-view-routing-policy              : all-routable
   cert-search-attr-mappings                  : none
   cert-search-base-dn                        : none
   cert-search-bind-dn                        : none
   cert-search-bind-pwd                       : none
   cert-search-user-attr                      : userCertificate
   compat-flag                                : none
   configuration-manager-bind-dn              : cn=proxy manager
   configuration-manager-bind-pwd             : {AES128}5JaqMN538KNtyACpy90i+g==
   connection-pool-wait-timeout               : 3s
   data-source-read-timeout                   : 20s
   data-view-automatic-routing-mode           : automatic
   email-alerts-enabled                       : false
   email-alerts-message-from-address          : local
   email-alerts-message-subject               : Proxy Server Administrative Alert
   email-alerts-message-subject-includes
     -alert-code                              : true
   email-alerts-message-to-address            : root@localhost
   email-alerts-smtp-host                     : localhost
   email-alerts-smtp-port                     : smtp
   enable-remote-user-mapping                 : false
   enable-user-mapping                        : false
   enabled-admin-alerts                       : all
   enabled-ssl-cipher-suites                  : JRE
   enabled-ssl-protocols                      : SSLv3
   enabled-ssl-protocols                      : TLSv1
   encrypt-configuration                      : true
   extension-jar-file-url                     : none
   is-restart-required                        : false
   number-of-psearch-threads                  : 5
   number-of-search-threads                   : 20
   number-of-worker-threads                   : 100
   proxied-auth-check-timeout                 : 30m
   remote-user-mapping-bind-dn-attr           : none
   revert-add-on-failure                      : true
   scriptable-alerts-command                  : echo
   scriptable-alerts-enabled                  : false
   search-mode                                : sequential
   search-wait-timeout                        : 10s
   ssl-client-cert-alias                      : none
   ssl-server-cert-alias                      : defaultServerCert
   supported-ssl-cipher-suites                : SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DHE_DSS_WITH_DES_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DHE_RSA_WITH_DES_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
   supported-ssl-cipher-suites                : SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DH_anon_WITH_DES_CBC_SHA
   supported-ssl-cipher-suites                : SSL_DH_anon_WITH_RC4_128_MD5
   supported-ssl-cipher-suites                : SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
   supported-ssl-cipher-suites                : SSL_RSA_EXPORT_WITH_RC4_40_MD5
   supported-ssl-cipher-suites                : SSL_RSA_WITH_3DES_EDE_CBC_SHA
   supported-ssl-cipher-suites                : SSL_RSA_WITH_DES_CBC_SHA
   supported-ssl-cipher-suites                : SSL_RSA_WITH_NULL_MD5
   supported-ssl-cipher-suites                : SSL_RSA_WITH_NULL_SHA
   supported-ssl-cipher-suites                : SSL_RSA_WITH_RC4_128_MD5
   supported-ssl-cipher-suites                : SSL_RSA_WITH_RC4_128_SHA
   supported-ssl-cipher-suites                : TLS_DHE_DSS_WITH_AES_128_CBC_SHA
   supported-ssl-cipher-suites                : TLS_DHE_RSA_WITH_AES_128_CBC_SHA
   supported-ssl-cipher-suites                : TLS_DH_anon_WITH_AES_128_CBC_SHA
   supported-ssl-cipher-suites                : TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5
   supported-ssl-cipher-suites                : TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA
   supported-ssl-cipher-suites                : TLS_KRB5_EXPORT_WITH_RC4_40_MD5
   supported-ssl-cipher-suites                : TLS_KRB5_EXPORT_WITH_RC4_40_SHA
   supported-ssl-cipher-suites                : TLS_KRB5_WITH_3DES_EDE_CBC_MD5
   supported-ssl-cipher-suites                : TLS_KRB5_WITH_3DES_EDE_CBC_SHA
   supported-ssl-cipher-suites                : TLS_KRB5_WITH_DES_CBC_MD5
   supported-ssl-cipher-suites                : TLS_KRB5_WITH_DES_CBC_SHA
   supported-ssl-cipher-suites                : TLS_KRB5_WITH_RC4_128_MD5
   supported-ssl-cipher-suites                : TLS_KRB5_WITH_RC4_128_SHA
   supported-ssl-cipher-suites                : TLS_RSA_WITH_AES_128_CBC_SHA
   supported-ssl-protocols                    : SSLv2Hello
   supported-ssl-protocols                    : SSLv3
   supported-ssl-protocols                    : TLSv1
   syslog-alerts-enabled                      : false
   syslog-alerts-facility                     : USER
   syslog-alerts-host                         : localhost
   time-resolution                            : 250ms
   time-resolution-mode                       : custome-resolution
   use-cert-subject-as-bind-dn                : true
   use-external-schema                        : false
   user-mapping-anonymous-bind-dn             : none
   user-mapping-anonymous-bind-pwd            : none
   user-mapping-default-bind-dn               : none
   user-mapping-default-bind-pwd              : none
   verify-certs                               : false
   

   または、1つ以上の構成プロパティの現在の設定を確認します。

   $ dpconf get-server-prop -h host -p port property-name ...
   

   たとえば、未認証の操作が許可されているかどうかを調べるには、次のコマンドを実行します。

   $ dpconf get-server-prop -h host -p port allow-unauthenticated-operations
   allow-unauthenticated-operations  :  true
   

2. 1つ以上の構成パラメータを変更します。

   $ dpconf set-server-prop -h host -p port property:value ...
   

   たとえば、未認証の操作を許可しないようにするには、次のコマンドを実行します。

   $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false
   

   不正な変更を試みても、その変更は行われません。たとえば、allow-unauthenticated-operationsパラメータをfalseではなくfに設定した場合、次のエラーが生成されます。

   $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f
   The value "f" is not a valid value for the property "allow-unauthenticated-operations".
   Allowed property values: BOOLEAN
   The "set-server-prop" operation failed.
   

3. 必要な場合は、Directory Proxy Serverのインスタンスを再起動して、変更を有効にします。

   Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。

16.2.3 プロキシ・マネージャの構成

プロキシ・マネージャとは、権限を持つ管理者のことであり、UNIXシステムでのrootユーザーに相当します。プロキシ・マネージャのエントリは、Directory Proxy Serverのインスタンスの作成時に定義されます。プロキシ・マネージャのデフォルトのDNはcn=Proxy Managerです。

プロキシ・マネージャのDNおよびパスワードは、次の手順に示すように表示および変更できます。

16.2.3.1 プロキシ・マネージャを構成するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

1. プロキシ・マネージャの構成を検索するには:

   $ dpconf get-server-prop -h host -p port configuration-manager-bind-dn\
    configuration-manager-bind-pwd
   
   
   configuration-manager-bind-dn   :  cn=proxy manager
   configuration-manager-bind-pwd  :  {AES128}5JaqMN538KNtyACpy90i+g==
   

   プロキシ・マネージャのデフォルト値はcn=proxy managerです。構成マネージャのパスワードに対するハッシュ値が返されます。

2. プロキシ・マネージャのDNを変更します。

   $ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN
   

3. プロキシ・マネージャに対するパスワードを含むファイルを作成して、このファイルを指すプロパティを設定します。

   $ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename
   

16.2.4 サーバーの再起動を必要とする構成変更

Directory Proxy Serverとそのエンティティに対する構成変更のほとんどをオンラインで行うことができます。一部の変更は、変更を有効にするためにサーバーを再起動する必要があります。次のリストのいずれかのプロパティに対して構成を変更する場合は、サーバーの再起動が必要になります。

custom-distribution-algorithm
distribution-algorithm
db-name
db-url
db-user
custom-distribution-algorithm
distribution-algorithm
custom-distribution-algorithm
distribution-algorithm
bind-dn
client-cred-mode
ldap-address
ldap-port
ldaps-port
num-bind-init
num-read-init
num-write-init
ssl-policy
load-balancing-algorithm
custom-distribution-algorithm
distribution-algorithm
listen-address
listen-port
number-of-threads
listen-address
listen-port
number-of-threads
custom-distribution-algorithm
distribution-algorithm
compat-flag
number-of-search-threads
number-of-worker-threads
syslog-alerts-enabled
syslog-alerts-host
time-resolution
use-external-schema
aci-data-view

プロパティのrwsおよびrwdキーワードは、プロパティを変更した場合にサーバーを再起動する必要があるかどうかを示します。

• プロパティにrws(読取り、書込み、静的)キーワードが含まれている場合は、プロパティを変更したときにサーバーを再起動する必要があります。

• プロパティにrwd(読取り、書込み、動的)キーワードが含まれている場合、プロパティに対する変更は、サーバーを再起動しなくても、動的に実装されます。

プロパティに対する変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。

$ dpconf help-properties | grep property-name

たとえば、LDAPデータソースのバインドDNの変更にサーバーの再起動が必要となるかを判断するには、次のコマンドを実行します。

$ dpconf help-properties | grep bind-dn
connection-handler       bind-dn-filters        rwd  STRING | any
This property specifies a set of regular expressions. The bind DN 
of a client must match at least one regular expression in order for 
the connection to be accepted by the connection handler. (Default: any)
ldap-data-source      bind-dn               rws  DN | ""
This property specifies the DN to use when binding to the LDAP data 
source. (Default: undefined)

構成変更の後でサーバーを再起動する必要があるかどうかを判断するには、次のコマンドを実行します。

$ dpconf get-server-prop -h host -p port is-restart-required

16.3 Directory Proxy Serverインスタンスのバックアップおよびリストア

dpadmを使用してDirectory Proxy Serverをバックアップすると、構成ファイルおよびサーバー証明書がバックアップされます。Directory Proxy Serverの仮想ACIを実装している場合は、そのACIもバックアップされます。

サーバーが正常に起動すると、Directory Proxy Serverでは常にconf.ldifファイルが自動的にバックアップされます。

16.3.1 Directory Proxy Serverインスタンスをバックアップするには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

1. Directory Proxy Serverのインスタンスを停止します。

   $ dpadm stop instance-path
   

2. Directory Proxy Serverのインスタンスをバックアップします。

   $ dpadm backup instance-path archive-dir
   

   archive-dirディレクトリはbackupコマンドにより作成されるものであり、このコマンドの実行以前には存在しません。このディレクトリには、構成ファイルおよび証明書のそれぞれのバックアップが含まれます。

16.3.2 Directory Proxy Serverインスタンスをリストアするには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

リストア操作を開始する前に、Directory Proxy Serverのインスタンスを作成する必要があります。

1. Directory Proxy Serverのインスタンスを停止します。

   $ dpadm stop instance-path
   

2. Directory Proxy Serverのインスタンスをリストアします。

   $ dpadm restore instance-path archive-dir
   

   • インスタンス・パスが存在する場合は、リストア操作は暗黙的に実行されます。instance-pathディレクトリ内の設定ファイルと証明書は、archive-dirディレクトリ内のもので置き換えられます。

   • インスタンス・パスが存在しない場合は、リストア操作は失敗します。