| Oracle® Fusion Middleware Oracle Unified Directory管理者ガイド 11g リリース2 (11.1.2) B72794-04 |
|
 前 |
 次 |
サーバー構成にアクセスする最も簡単な方法は、dsconfigコマンドを使用する方法です。また、特定の構成については、Oracle Directory Services Managerを使用する場合もあります。
この章では、次のトピックを取り扱います:
dsconfigを使用したサーバー構成の管理この項は、デプロイされたOracle Unified Directoryインスタンスの構成と管理を行う必要がある管理者またはユーザーを対象としています。ここでは、dsconfigコマンド行ユーティリティの概要と、このコマンド・ユーティリティを使用したサーバー構成方法について説明します。
dsconfigコマンドを使用して、Oracle Unified Directoryのディレクトリ・サーバーとプロキシ・サーバーの両方を構成できます。ディレクトリ・サーバーまたはプロキシ・インスタンス用にサポートされているサブコマンドのリスト、およびこのコマンド固有の情報については、付録A「dsconfig」を参照してください。
dsconfigを使用して、プロキシ固有の多くのコンポーネントを構成できます。この項には次のトピックが含まれます:
dsconfigコマンドの概要dsconfigコマンドは、サーバー構成にアクセスするための簡単なメカニズムを提供します。dsconfigは、コンポーネント・セットとして構成を提供します。各コンポーネントが、1つ以上のサブコマンドにより管理できます。
dsconfigは対話型として使用することもできます。対話型モードでは、dsconfigは、ウィザードのようにサーバー構成を進めます。詳細は、第17.1.2項「対話モードでのdsconfigの使用」を参照してください。
dsconfigは、実行中のサーバー・インスタンスを構成する場合のみ有効です。オフライン構成はdsconfigではサポートされていません。
他の管理コマンドと同じように、dsconfigは、管理コネクタを使用してサーバーにアクセスします。詳細は、第17.3項「サーバーへの管理トラフィックの管理」を参照してください。この項で紹介する例はすべて、管理コネクタがデフォルト・ポート(4444)をリスニングし、コマンドは、ローカル・ホスト上で実行中のサーバーにアクセスすることを前提としています。そうでない場合は、--portオプションと--hostnameオプションを指定する必要があります。
この項には次のトピックが含まれます:
dsconfigおよび証明書のチェックdsconfigは、証明書認証を行う保護された接続で、サーバーにアクセスします。dsconfigを対話型モードで実行する場合、証明書の信頼方法について尋ねるメッセージが表示されます。
dsconfigを非対話型モード(つまり-nオプション付き)で実行する場合、トラスト・ストア・パラメータの指定は、コマンドをローカルで実行しているか、リモートで実行しているかによって異なります。
dsconfigをローカルで実行。(コマンドは、ユーザーが管理しているサーバー上で起動。)トラスト・ストア・パラメータを指定しない場合、サーバーは、デフォルトでローカル・インスタンスのトラスト・ストアを使用します。明示的に指定しないかぎり、ローカル・インスタンス・トラストはINSTANCE_DIR/OUD/config/admin-truststoreです。
dsconfigをリモートで実行。(コマンドは、ユーザーが管理していないサーバー上で起動。)トラスト・ストア・パラメータまたは-X (--trustAll)オプションを指定する必要があります。トラスト・ストア・パラメータを指定する最も簡単な方法は、対話型モードで1回コマンドを実行し、サーバーによって提示される証明書をトラスト・ストアに保存することです。
$ dsconfig
>>>> >>>> Specify Oracle Unified Directory LDAP connection parameters
Directory server hostname or IP address [host1.example.com]:
Directory server administration port number [4444]:
Administrator user bind DN [cn=Directory Manager]:
Password for user 'cn=Directory Manager':
How do you want to trust the server certificate?
1) Automatically trust
2) Use a truststore
3) Manually validate
Enter choice [3]: 3
Administrator user bind DN [cn=Directory Manager]:
Password for user 'cn=Directory Manager':
Server Certificate:
User DN : CN=host1.example.com, O=Administration Connector Self-Signed Certificate
Validity : From 'Wed Apr 29 11:13:21 MEST 2009'
To 'Fri Apr 29 11:13:21 MEST 2011'
Issuer : CN=host1.example.com, O=Administration Connector Self-Signed Certificate
Do you trust this server certificate?
1) No
2) Yes, for this session only
3) Yes, also add it to a truststore
4) View certificate details
Enter choice [2]: 3
Truststore path: /local/instances/certificates/jctruststore
Password for keystore '/local/instances/certificates/jctruststore':
...
トラスト・ストアに証明書を保存しておけば、非対話型モードでそのトラスト・ストア・パラメータを指定できるようになります。
$ dsconfig -h localhost -p 4444 list-connection-handlers -n \ --trustStorePath /local/instances/certificates/jctruststore \ --trustStorePasswordFile /local/instances/certificates/jctruststore.pin -j pwd-file Connection Handler : Type : enabled : listen-port : use-ssl -------------------------:------:---------:-------------:-------- JMX Connection Handler : jmx : false : 1689 : false LDAP Connection Handler : ldap : true : 1389 : false LDAPS Connection Handler : ldap : false : 636 : true LDIF Connection Handler : ldif : false : -
dsconfigサブコマンドdsconfigは、様々な構成要素を直感的に管理できるサブコマンド・リストを提供します。
これらのサブコマンドを使用して、様々なコンポーネントを追加、削除、リストアップ、表示および変更することができます:
| サブコマンド | 機能 |
|---|---|
|
|
新規のコンポーネントを作成する |
|
|
既存のコンポーネントを削除する |
|
|
コンポーネントのプロパティを表示する |
|
|
既存の定義済コンポーネントをリストする |
|
|
コンポーネントのプロパティを変更する |
たとえば、次の5つのサブコマンドが接続ハンドラの管理に使用されます:
| サブコマンド | 機能 |
|---|---|
|
|
接続ハンドラを作成する |
|
|
接続ハンドラを削除する |
|
|
接続ハンドラのプロパティを表示する |
|
|
既存の定義済接続ハンドラをリストする |
|
|
接続ハンドラのプロパティを変更する |
すべてのタイプのコンポーネントを作成したり削除できるわけではありません。たとえば、ディレクトリ・サーバーのグローバル構成は1つのみです。このため、グローバル構成は、次の2つのサブコマンドでのみ管理されます:
| サブコマンド | 機能 |
|---|---|
|
|
グローバル構成プロパティを表示する |
|
|
グローバル構成プロパティを変更する |
すべてのコンポーネントの構成可能プロパティは、問合せして変更し、これによりコンポーネントの動作を変えることができます。たとえば、LDAP接続には、IPリスナー・アドレス、ポートおよびSSL構成を決定するプロパティがあります。
dsconfigの拡張プロパティ多くのコンポーネント・プロパティが、拡張プロパティと見なされます。拡張プロパティは、デフォルトでは表示されませんが、通常適用されるデフォルト値を持っています。拡張プロパティの値を変更する場合は、サブコマンドの前に--advancedを付けます。例:
$ dsconfig --advanced get-extension-prop
dsconfigの使用すべての構成パラメータと-n (--no-prompt)オプションを指定した場合を除き、dsconfigは対話モードで実行します。対話型モードは、ウィザードのようにサーバー構成を進めます。対話型モードは、dsconfigの使用し始めに適しています。
dsconfigを対話型モードで実行する際、対応するコマンド(すべての設定内容を含む)を表示またはファイルに書き込むように指定できます。次の例は、--displayCommandオプションを使用して、トラスト・マネージャ構成時に、対応する非対話型コマンドを表示する方法を示しています。対応するコマンドは、そのコマンドがディレクトリ・サーバーによって適用および検証されたときに表示されます。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file --displayCommand ... The TrustStore Manager Provider was modified successfully The equivalent non-interactive command-line is: dsconfig --hostname "localhost" --port "4444" --bindDN "cn=directory manager" --bindPasswordFile pwd-file --trustAll set-trust-manager-provider-prop --provider-name "PKCS12" --set "enabled:true"
対応するコマンドをファイルにコピーするには、次の例に示すように、--commandFilePathオプションを使用します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file --commandFilePath /tmp/filename
dsconfigのヘルプdsconfigコマンドには、--helpオプションを使用してアクセスできる拡張オンラインヘルプがあります。この項ではその概要を示します。内容は次のとおりです:
次のコマンドを使用して、dsconfigのグローバル使用方法を表示できます:
$ dsconfig --help
グローバル使用情報には、使用可能なサブコマンドのリストは含まれていません。サブコマンドのリストを取得するには、--help-xxxオプションを使用します。xxxは、表示されるサブコマンドのグループを示します。
|
注意:
|
たとえば、分散に関連するすべてのサブコマンドを確認するには、次のコマンドを使用します:
$ dsconfig --help-distribution
必要なサブコマンドがわかっているときに、そのサブコマンドに関する詳細なヘルプ情報を参照するには、次のようにサブコマンドの--helpオプションを使用します:
$ dsconfig create-monitor-provider --help
dsconfigコマンドには、すべてのコンポーネントとそのプロパティについてのドキュメントが組み込まれています。このドキュメントには、list-propertiesサブコマンドでアクセスできます。たとえば、次のコマンドを使用して、ワーク・キューに関連付けられているプロパティのサマリーを表示できます:
$ dsconfig list-properties -c work-queue
-cオプションが指定されていなければ、全コンポーネントのプロパティのサマリーが表示されます。
サマリー表には、各プロパティの簡単な使用情報のみが表示されます。より詳細な情報を表示するには、list-propertiesサブコマンドの冗長モードを使用します:
$ dsconfig list-properties -c work-queue --property num-worker-threads -v
--propertyオプションを指定しない場合、すべてのワーク・キュー・プロパティの冗長ヘルプが提供されます。
dsconfigを使用したサーバー・インスタンスの構成dsconfigコマンドは、サーバー構成にアクセスするための推奨ユーティリティです。ldap*ユーティリティを使用したLDAP経由で直接構成にアクセスする方法はお薦めできません。この項では、サーバー・コンポーネントにアクセスするためのユーティリティの操作について説明します。内容は次のとおりです:
各コンポーネントには、そのコンポーネントのget-xxx-propサブコマンドを使用して表示できる1つ以上のプロパティがあります。各コンポーネントは、サーバー構成内の単一のLDAPエントリに関連付けられ、各プロパティは単一のLDAP属性に関連付けられています。
デフォルトのLDAP接続ハンドラのプロパティを表示するには、次のコマンドを実行します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ get-connection-handler-prop --handler-name "LDAP Connection Handler" Property : Value(s) ------------------------:------------------------------------------------------- allow-ldap-v2 : true allow-start-tls : false allowed-client : - denied-client : - enabled : true keep-stats : true key-manager-provider : - listen-address : 0.0.0.0 listen-port : 1389 ssl-cert-nickname : server-cert ssl-cipher-suite : - ssl-client-auth-policy : optional ssl-protocol : - trust-manager-provider : - use-ssl : false
dsconfigコマンドは、カスタマイズされていないプロパティのデフォルト値または動作を表示します。
コンポーネントのlist-xxxsサブコマンドを使用して、そのコンポーネントのインスタンス・リストとそのサマリーを表示できます。これは、同じコンポーネントに複数のインスタンスがある場合に特に便利です。
たとえば、構成済の接続ハンドラを一覧表示するには、次のコマンドを実行します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ list-connection-handlers
インストールに応じて、出力は次のものに類似したものになります。
Connection Handler : Type : enabled : listen-port : use-ssl-------------------------:------:---------:-------------:--------JMX Connection Handler : jmx : false : 1689 : falseLDAP Connection Handler : ldap : true : 1389 : falseLDAPS Connection Handler : ldap : false : 636 : trueLDIF Connection Handler : ldif : false : - : -SNMP Connection Handler : snmp : false : 161 : -
コンポーネントの新しいインスタンスは、コンポーネントのcreate-xxxサブコマンドを使用して作成できます。複数のサブタイプを持つコンポーネントもあります。たとえば、接続ハンドラには、LDAP、LDIF、JMXおよびSNMPの4つのタイプがあります。これらすべてが同じサブコマンドを使用して作成されるので、作成する必要があるコンポーネントのタイプを指定する必要があります。サブコマンドの-tまたは--typeを使用して指定します。
新しいコンポーネントを作成する際には、そのコンポーネントの必須プロパティを指定する必要があります。必須プロパティは、作成するコンポーネントのタイプによって異なります。たとえば、LDAP接続ハンドラとJMX接続ハンドラとでは必須プロパティが異なる可能性があります。必須プロパティが未定義のままの場合、dsconfigは、対話型モードに入り、未定義プロパティの入力が求められます。-n (非対話型)オプションを含めている場合、dsconfigは、コンポーネントの作成に失敗し、定義の必要があるプロパティを示すエラー・メッセージが表示されます。
接続ハンドラ・コンポーネントのヘルプにアクセスすることにより、作成できる接続ハンドラのタイプを表示します。
$ dsconfig create-connection-handler --help
Usage: dsconfig create-connection-handler {options}
Creates Connection Handlers
Global Options:
See "dsconfig --help"
SubCommand Options:
--handler-name {NAME}
The name of the new Connection Handler
--set {PROP:VALUE}
Assigns a value to a property where PROP is the name of the property and
VAL is the single value to be assigned. Specify the same property multiple
times in order to assign more than one value to it
-t, --type {TYPE}
The type of Connection Handler which should be created. The value for TYPE
can be one of: custom | jmx | ldap | ldif | snmp
必須のenabledプロパティとlisten-portプロパティに値を指定する必要がある新しいLDAP接続ハンドラを作成します。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ create-connection-handler -t ldap --handler-name "My LDAP Connection Handler"
次のようなエラー・メッセージが表示されます。
The LDAP Connection Handler could not be created because the following mandatory properties were not defined: Property Syntax ---------------------------------- enabled false | true listen-port 1 <= INTEGER <= 65535
コンポーネントのプロパティは、そのコンポーネントのset-xxx-propサブコマンドを使用して変更できます。複数のプロパティは、--setオプションを複数回使用することにより、同時に変更できます。次の例では、set-connection-handler-propサブコマンドを使用して、接続ハンドラのプロパティを変更しています。
|
注意: 多くのコンポーネントには、そのコンポーネントの実装として使用されるJavaクラスの名前を指定するJavaクラス・プロパティがあります。このプロパティは変更しないでください。変更した場合、サーバーの操作が正しく実行されなくなる可能性があります。これらのプロパティは拡張プロパティとして扱われ、 |
たとえば、LDAPv2接続を受け入れるようにLDAP接続ハンドラを構成する場合は、次のコマンドを実行します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ set-connection-handler-prop --handler-name="LDAP Connection Handler" \ --set allow-ldap-v2:true
1つのdsconfigコマンドで--addオプションを複数回使用することにより、プロパティに対して複数の値を設定できます。
この例では、allowed-clientプロパティに対して複数の値を設定します。
LDAP接続ハンドラで接続を特定のクライアントに制限するには、次のコマンドを実行します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -n \ set-connection-handler-prop --handler-name "LDAP Connection Handler" \ --add allowed-client:myhost --add allowed-client:myhost.example \ --add allowed-client:myhost.example.com
コンポーネントの既存インスタンスは、dsconfig delete-xxxサブコマンドを使用して削除できます。
次の例では、前の例で作成したLDAP接続ハンドラを削除します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ delete-connection-handler --handler-name "My LDAP Connection Handler"
dsconfigを使用するにはdsconfigコマンドの-Fオプションまたは--batchFilePathオプションを使用して、1つのファイルにまとめることにより1回のコマンドで完了できる複数の操作を指定できます。この機能は、複数のdsconfigコマンドが必要な場合に、パフォーマンスを大幅に向上させることができます。
dsconfigをバッチ・モードで使用するには、次の手順に従います:
新しい接尾辞が格納される新しいバックエンドを作成するための必要なコマンドが含まれるスクリプトを作成します。
たとえば、次のファイル(new-backend.txt)には3つのタスクがアーカイブされています:
db-local-backendワークフロー要素を作成する
uniquemember属性に対して索引入力制限を追加する(たとえばプロパティの設定方法。ただし、これは必須ではありません)
新しい接尾辞のワークフローを作成する
デフォルトのネットワーク・グループに新しい接尾辞を登録する
create-workflow-element --element-name myBackend --type db-local-backend \ --set enabled:true --set base-dn:cn=myexample,cn=com set-local-db-index-prop --element-name myBackend --index-name uniqueMember \ --set index-entry-limit:5000 create-workflow --workflow-name myWorkflow --set base-dn:cn=myexample,cn=com \ --set enabled:true --set workflow-element:myBackend set-network-group-prop --group-name network-group --add workflow:myWorkflow
このファイルをパラメータとしてdsconfigコマンドを実行します。
$ dsconfig -h localhost -p 4444 -D cn="directory manager" -j pwd-file \ -F new-backend.txt -X -n
dsconfigを使用した接続ハンドラの構成接続ハンドラは、接続の許可、リクエストの読取りおよび応答の送信を含む、クライアント・アプリケーションとのすべてのやり取りを処理します。
セキュアな接続の構成については、第23.5項「LDAPおよびJMX用のSSLおよびStartTLSの構成」を参照してください。
この項では、dsconfigコマンドを使用した接続ハンドラの構成方法について説明します。この項の内容は次のとおりです:
これらの項では、部分的な構成例のみを紹介しています。全構成プロパティの詳細を表示するには、次のコマンドを使用してください:
$ dsconfig list-properties -c connection-handler
Oracle Unified Directoryは、次のタイプの接続ハンドラをサポートします:
LDAP接続ハンドラ。この接続ハンドラは、LDAPを使用するクライアントとのやり取りに使用されます。LDAPv3は完全サポート、LDAPv2は部分的にサポートされます。
LDAPS接続ハンドラ。この接続ハンドラは、SSL経由でLDAPを使用するクライアントとのやり取りに使用されます。
LDIF接続ハンドラ。この接続ハンドラは、内部操作によりサーバー内の変更を処理するために使用されます。
JMX接続ハンドラ。この接続ハンドラは、Java Management Extensions (JMX)フレームワークとRemote Method Invocation (RMI)プロトコルを使用するクライアントとのやり取りを許可します。
SNMP。この接続ハンドラは、SNMPリクエストを処理して、MIB 2605により示される監視情報を取得するために使用されます。サポートされているSNMPプロトコルは、SNMP V1、V2cおよびV3です。
構成済接続ハンドラのすべてを、その基本プロパティとともに表示するには、dsconfig list-connection-handlersコマンドを使用します。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ list-connection-handlers
Connection Handler : Type : enabled : listen-port : use-ssl -------------------------:------:---------:-------------:-------- JMX Connection Handler : jmx : false : 1689 : falseLDAP Connection Handler : ldap : true : 1389 : falseLDAPS Connection Handler : ldap : false : 636 : trueLDIF Connection Handler : ldif : false : - : -SNMP Connection Handler : snmp : false : 161 : -
次のコマンドにより、LDAP接続ハンドラのプロパティが表示されます:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ get-connection-handler-prop --handler-name "LDAP Connection Handler"
次のように出力されます。出力内容は、構成によって異なります。
Property : Value(s) -----------------------:------------ allow-ldap-v2 : true allow-start-tls : false allowed-client : - denied-client : - enabled : true keep-stats : true key-manager-provider : - listen-address : 0.0.0.0 listen-port : 1389 ssl-cert-nickname : server-cert ssl-cipher-suite : - ssl-client-auth-policy : optional ssl-protocol : - trust-manager-provider : - use-ssl : false
LDAP経由でディレクトリ・サーバーにアクセスできる、またはアクセスできないクライアントのリストを指定できます。LDAP接続ハンドラのallowed-clientプロパティまたはdenied-clientプロパティを設定します。これらのプロパティの値は、サブネットワーク・マスク付きIPアドレスまたはサブネットです。
デフォルトでは、これらのプロパティは設定されないので、すべてのクライアントがアクセスを許可されます。これらのプロパティの変更は、即時有効になりますが、すでに構築されている接続への干渉は発生しません。
この例では、サブネット・マスク255.255.255.10のクライアントにのみアクセスが許可されます。
dsconfigコマンドを次のように実行します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ set-connection-handler-prop --handler-name "LDAP Connection Handler" \ --set allowed-client:255.255.255.10
LDIF接続ハンドラはデフォルトで無効になっています。この接続ハンドラを使用して、内部操作によりサーバー内の変更を処理できます。処理する変更はLDIFファイルから読み取られます。
次のコマンドにより、LDIF接続ハンドラのデフォルト・プロパティが表示されます:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -n \ get-connection-handler-prop --handler-name "LDIF Connection Handler"
インストールに応じて、出力は次のものに類似したものになります。
Property : Value(s) ---------------:------------------------- allowed-client : - denied-client : - enabled : false ldif-directory : config/auto-process-ldif poll-interval : 5 s
ldif-directoryプロパティは、LDIFファイルのディレクトリを指定します。接続ハンドラは、poll-intervalプロパティで指定されている間隔で、このディレクトリにファイルがあるかどうかを確認します。それから、接続ハンドラは内部操作としてこれらのファイルに含まれる変更を処理し、結果を出力ファイルに書き込みます。このとき、処理結果を示すコメントも書き込まれます。
この例では、LDIF接続ハンドラからJMXアラート・ハンドラを有効にする方法を示します。
JMXアラート・ハンドラのステータスを確認します(デフォルトでは無効です)。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ get-alert-handler-prop --handler-name "JMX Alert Handler"
インストールに応じて、出力は次のものに類似したものになります。
Property : Value(s) --------------------:--------- disabled-alert-type : - enabled : false enabled-alert-type : -
デフォルトのLDIFディレクトリに、JMXアラート・ハンドラを有効にするLDIFファイルを作成します。
$ cd ../config/ $ mkdir auto-process-ldif $ cd auto-process-ldif/ $ cat > disable-jmx.ldif << EOM > dn: cn=JMX Alert Handler,cn=Alert Handlers,cn=config > changetype: modify > replace: ds-cfg-enabled > ds-cfg-enabled: true > EOM $
poll-intervalの間隔後に、JMXアラート・ハンドラのステータスを再度確認します。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ get-alert-handler-prop --handler-name "JMX Alert Handler" Property : Value(s) --------------------:--------- disabled-alert-type : - enabled : true enabled-alert-type : -
次のコマンドにより、JMX接続ハンドラのデフォルト・プロパティが表示されます:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ get-connection-handler-prop --handler-name "JMX Connection Handler"
インストールに応じて、出力は次のものに類似したものになります。
Property : Value(s) ---------------------:------------ allowed-client : - denied-client : - enabled : false key-manager-provider : - listen-port : 1689 ssl-cert-nickname : server-cert use-ssl : false
この例では、JMX接続をリスニングするサーバーのポートを1789に変更します。
dsconfigコマンドを次のように使用します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -n \ set-connection-handler-prop \ --handler-name "JMX Connection Handler" --set listen-port:1789
dsconfigを使用したネットワーク・グループの構成ネットワーク・グループは、Oracle Unified Directoryに対する全クライアント・リクエストの単一のエントリ・ポイントです。ネットワーク・グループは、クライアントとのすべてのやり取りを処理し、これをディスパッチし、リクエスト処理をワークフローに委任します。クライアント接続は、一番優先度が高く、すべての条件を満たしているネットワーク・グループに関連付けられます。インストール時、優先度1のデフォルト・ネットワーク・グループが作成されます。リクエスト・フィルタリング・ポリシーまたはリソース制限を設定するには、ネットワーク・グループのサービス品質ポリシーを作成する必要があります。
各ネットワーク・グループは、1つ以上のワークフローに関連付けられます。ワークフローは、ネーミング・コンテキスト(または接尾辞)へのアクセスを提供します。ワークフローをネットワーク・グループに関連付けることにより、ネットワーク・グループに対して、使用可能なネーミング・コンテキストが示されます。通常、ワークフローが作成されている状態で、ネットワーク・グループを作成します。ワークフローの詳細は、第17.1.7項「dsconfigを使用したワークフローの構成」を参照してください。
この項では、dsconfigコマンドを使用したネットワーク・グループの構成方法について説明します。この項の内容は次のとおりです:
次の手順内のコマンドではすべて、ホスト名(-h)、管理ポート(-p)、バインドDN (-D)およびバインド・パスワード・ファイル(-j)を指定します。各例では、すべての証明書を信頼するために-Xオプションが使用されます。
多くのネットワーク・グループを作成できます。クライアント・リクエストは、条件を満たす一番高い優先度のネットワーク・グループによって処理されます。したがって、ネットワーク・グループを作成する際には、作成予定のすべてのネットワーク・グループと、各優先度を考慮する必要があります。優先度は0以上で、0が最も高い優先度になります。
同じ優先度の2つのネットワーク・グループを作成できます。ただし、2つ以上のネットワーク・グループが同じ優先度で、クライアント・リクエストと一致する場合、リクエストを処理するネットワーク・グループは、クライアント・リクエストと一致する他のネットワーク・グループ間においてランダムになります。したがって、各ネットワーク・グループに異なる優先度を指定する必要があります。
新しいネットワーク・グループのデフォルト・プロパティは次のとおりです。
Property Value(s)
----------------------------------------------------------------------
allowed-auth-method All authorization methods are allowed.
allowed-bind-dn All bind DNs are allowed.
allowed-bind-id All bind IDs are allowed.
allowed-client All clients with addresses that do not match
an address on the deny list are allowed. If
there is no deny list, then all clients are
allowed.
allowed-protocol All supported protocols are allowed.
certificate-mapper The global certificate mapper will be used.
denied-client If an allow list is specified, then only
clients with addresses on the allow list are
allowed. Otherwise, all clients are allowed.
enabled true
generic-identity-mapper The global generic identity mapper will be
used.
gssapi-identity-mapper The global GSSAPI identity mapper will be
used.
is-security-mandatory false
priority 1
workflow userroot0
ネットワーク・グループを作成するには、次のようにdsconfig create-network-groupコマンドを使用します:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \ create-network-group --group-name network-group1 --set enabled:true\ --set workflow:workflow1 --set priority:1
ネットワーク・グループを作成した後、ネットワーク・グループにネットワーク・グループのサービス品質ポリシーを関連付けることができます。サービス品質ポリシーの作成については、第17.1.6.3項「ネットワーク・グループのサービス品質ポリシーの作成」を参照してください。
ネットワーク・グループのプロパティは、トラフィックをフィルタリングし、リクエストの転送方法を示します。
dsconfig set-network-group-propコマンドを使用して、ネットワーク・グループのプロパティを変更できます。たとえば、ネットワーク・グループのpriorityを変更するには、次のように指定します:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \
set-network-group-prop --group-name network-group1 --set priority:3
次の条件を設定するように、ネットワーク・グループのプロパティを構成できます:
クライアントとネットワーク・グループ間で許可される認証方法(allowed-auth-method)。
ネットワーク・グループへの接続が許可されるバインドDN (allowed-bind-dn)。
Oracle Unified Directoryへのアクセスが承認されるクライアントのリスト(allowed-client)。リストは、クライアントのIPアドレスまたは名前で示されます。許可クライアント・リストが設定されていない場合、拒否クライアント・リストに含まれていなければ、すべてのクライアントが許可されます。
Oracle Unified Directoryへの接続に使用できるプロトコル(allowed-protocol)。指定がなければ、すべてのプロトコルが許可されます。
クライアント証明書をユーザー・エントリと照合させるために使用する証明書マッパーの名前(certificate-mapper)。指定がなければ、グローバル証明書マッパーが使用されます。
Oracle Unified Directoryへのアクセスが承認されないクライアントのリスト(denied-client)。拒否クライアント・リストが設定されていない場合、許可クライアント・リストによる制限がなければ、すべてのクライアントが承認されます。
簡易非GSSAPI SASLバインド・リクエストとプロキシ認可制御の実行中にアイデンティティをマップするためにネットワーク・グループが使用するアイデンティティ・マッパーのセット(generic-identity-mapper)。
GSSAPI/SASLバインド・リクエストの実行中にアイデンティティをマップするためにネットワーク・グループが使用するアイデンティティ・マッパーのセット(gssapi-identity-mapper)。
クライアントとOracle Unified Directory間のセキュリティを常に必要とするかどうか(is-security-mandatory)。
ネットワーク・グループの優先度(priority)。クライアント接続は、まず、一番優先度が高いネットワーク・グループと比較されます。クライアント接続が、その接続条件と一致しない場合、比較するネットワーク・グループの優先度を1つずつ下げていきます。ネットワーク・グループが選択されない場合、クライアント接続は拒否されます。
たとえば、次のように指定すると、IPアドレス208.77.188.166からの接続は、network-group1により拒否されます:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \ set-network-group-prop --group-name network-group1 \ --set denied-client:208.77.188.166
allowed-clientリストとdenied-clientリストに対しては、サーバーの名前サービス構成を知っている必要があります。たとえば、名前サービスがホストをmyclienthost.example.comとして認識する場合、値は、myclienthostではなく、myclienthost.example.comと指定する必要があります。同様に、名前サービスがホストをmyclienthostと認識する場合は、値はmyclienthostと指定する必要があります。名前サービスがどのように構成されているか知らない場合は、マシンの完全修飾ドメイン名(たとえばmyclienthost.sun.com)と短縮名(myclienthost)の両方を指定する必要があります。複数の値を指定することにより、名前が確実に正しく解決されます。例:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \
set-network-group-prop \
--group-name network-group1 \
--add denied-client:myhost \
--add denied-client:myhost.example \
--add denied-client:myhost.example.com
これらの問題を回避するには、ホスト名より明確なIPアドレスを使用してください。
Oracle Unified Directoryに接続する際、localhostまたはローカル・マシンの名前を使用すると、クライアントのIPアドレスが変わってしまいます。localhostからの接続を拒否するには、拒否クライアント・リストにlocalhostとローカル・マシンの名前の両方を指定します。
オプションで、ネットワーク・グループとサービス品質(QoS)ポリシーを関連付けることができます。QoSポリシーは、ネットワーク・グループによるリクエストの処理方法を決定する追加フィルタリング条件をクライアント接続に適用します。
Oracle Unified Directoryは、次の4つのタイプのQoSポリシーをサポートします:
リクエスト・フィルタリング・ポリシー
リソース制限
アフィニティ
リフェラル
|
注意: ODSMは、管理コネクタ経由でOracle Unified Directoryインスタンスにアクセスします。管理コネクタは、ネットワーク・グループに対して定義されているQoSポリシーの影響は受けません。したがって、ODSMは、ネットワーク・グループに対して定義されているQoSポリシーをバイパスします。詳細は、第17.3項「サーバーへの管理トラフィックの管理」を参照してください。 |
ネットワーク・グループのサービス品質ポリシーを作成するには、dsconfig create-network-group-qos-policyコマンドを使用します。サービス品質ポリシーが適用されるネットワーク・グループの名前と、サービス品質ポリシーのタイプを指定する必要があります。
リクエスト・フィルタリング・ポリシーは、着信クライアント・リクエストに次の条件を適用します:
allowed-attributes: 検索リクエストのフィルタに指定できる属性のリスト。
allowed-operations: ネットワーク・グループによって許可される操作のタイプ。たとえば、ネットワーク・グループが読取りリクエストのみを許可するように指定できます。
allowed-search-scopes: 許可される検索範囲。たとえば、1レベルのみ。
allowed-subtrees: 検索リクエストにベースDNとして指定できる特定のサブツリーのリスト。
prohibited-attributes: 検索リクエストのフィルタに指定すると拒否される属性のリスト。
prohibited-subtrees: 検索リクエストでベースDNとして指定されていても、指定不可となるサブツリーのリスト。
次の例では、ユーザー操作として検索のみが許可され、データ変更は許可されないリクエスト・フィルタリング・ポリシーを定義します:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \
create-network-group-qos-policy --group-name network-group1 \
--type request-filtering --set allowed-operations:search
リソース制限ポリシーは、そのネットワーク・グループ経由でサーバーにアクセスできるクライアント接続に対して特定の制限を設定します。次の制限を定義できます:
max-concurrent-ops-per-connection: 構築済接続に対して同時に実行できる操作の最大数。サーバーを同期モードで実行する場合には、この最大値は1に設定します。
max-ops-per-connection: 接続単位での最大操作数。
max-connections: サーバーに対する同時クライアント接続最大数。接続の最大数を設定しない場合、サーバー側の制限が適用されます。
max-connections-from-same-ip: 同じIPアドレスからの最大接続数。サービス拒否攻撃を防ぎたい場合、このパラメータを使用します。ほとんどのリクエストが同じクライアントから送信されることが多いとわかっている場合には、このパラメータは設定しないでください。
max-ops-per-interval: 指定間隔単位での最大操作数。たとえば、1,000と設定すると、max-ops-intervalによる間隔の間に実行できる操作は最大1,000に制限されます。
max-ops-interval: max-ops-per-intervalパラメータで操作数をカウントする間隔。たとえば、この間隔を1秒と設定すると、秒単位で操作数がカウントされます。各間隔で制限(max-ops-per-interval)がチェックされ、適用されます。
min-substring-length: 最小検索文字列長。検索文字列が短いほど、検出対象となり表示される結果が多くなります。したがって、この機能は、部分文字列検索フィルタで最小検索文字列長を設定して、使用されるリソースを制限するのに便利です。
size-limit: 1回の検索でクライアントに返すことのできる最大エントリ数。このプロパティは、デフォルト設定にしておくことをお薦めします。
time-limit: 検索処理にかけることのできる最大時間。このプロパティは、デフォルト設定にしておくことをお薦めします。
次の例では、戻り値数を制限するためにユーザーに5文字以上の検索文字列を入力させるリソース制限ポリシーを定義します:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \
create-network-group-qos-policy --group-name network-group1 \
--type resource-limits --set min-substring-length:5
ロード・バランシング・デプロイメントでは、アフィニティを使用して、通常のルーティング・プロセスをオーバーライドできます。アフィニティ・ポリシーのプロパティは、ルーティング・プロセスを決定します。
次のプロパティを構成できます:
affinity-policy: 使用する必要があるルーティング・ポリシーを指定します。
アフィニティ・ポリシーは次のいずれかの値を使用できます:
all-requests-after-first-request
all-requests-after-first-write-request
all-write-requests-after-first-write-request
first-read-request-after-write-request
アフィニティ・ポリシーに従って、特定の操作がアフィニティを設定します。前述のリストの最初のポリシー(all-requests-after-first-request)では、すべての操作がアフィニティを設定します。残りのポリシー(all-requests-after-first-write-request、all-write-requests-after-first-write-requestおよびfirst-read-request-after-write-request)では、ADD、DELETE、MODまたはMODDNの操作がアフィニティを設定します。
affinity-timeoutは、アフィニティが適用される期間を定義します。
前の操作でアフィニティがすでに設定されている場合でも、アフィニティ・ポリシーと現在の操作タイプに応じて、ロード・バランシング・アルゴリズムは特定の状況でのみバイパスされます。アフィニティ・ポリシーがall-requests-after-first-requestまたはall-requests-after-first-write-requestである場合、アフィニティ・タイムアウトが切れるまで、すべての操作タイプに対してそのアフィニティ・ルートが使用されます。アフィニティ・ポリシーがall-write-requests-after-first-writeである場合、アフィニティ・タイムアウトが切れるまで、ADD、DELETE、MODまたはMODDNの操作に対してそのアフィニティ・ルートが使用されます。他の操作に対してはアフィニティ・ルートは使用されません。アフィニティ・ポリシーがfirst-read-request-after-write-requestである場合、アフィニティ・タイムアウトが切れるまで、ADD、DELETE、MODまたはMODDNの操作以外のすべての操作に対してそのアフィニティ・ルートが使用されます。
次の例では、任意の操作に対して設定できるアフィニティ・ポリシーを設定し、最大60秒間、すべての操作に対して使用するよう定義します。
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \
create-network-group-qos-policy --group-name network-group1 \
--type affinity --set affinity-timeout:60s \
--set affinity-policy:all-requests-after-first-request
|
注意: アフィニティ機能は、フェイルオーバー・アルゴリズム以外のすべてのロード・バランシング・アルゴリズムで使用できます。フェイルオーバー・アルゴリズムでは、一度に1つのルートのみが有効になります。有効なルートは、リモート・サーバーに障害が発生したところで(リモート・サーバーへのすべての接続が切断されるため)、変更されます。したがって、アフィニティは、フェイルオーバー・シナリオには適用できません。 |
参照サービス品質ポリシーを定義することによって、リモートLDAPサーバーから参照を受信したときのプロキシ・サーバーの動作を構成できます。参照そのものは、リモートLDAPサーバーで定義する必要があります。
ネットワーク・グループのサービス品質を作成する際、次の参照プロパティを設定できます:
参照ポリシーをfollowに設定した場合にサポートされるホップ最大数(referral-hop-limit)。デフォルトは5です。
discard、forward、followなど参照ポリシーのタイプを定義します(referral-policy)。これは、ネットワーク・グループによって参照が処理される方法を定義します。
たとえば、参照ポリシーはデフォルトでforwardに設定されます。これを次のようにdiscardまたはfollowに変更できます:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \
create-network-group-qos-policy --group-name network-group1 \
--type referral --set referral-policy:follow
QoSポリシーを変更するには、dsconfig set-network-group-qos-policy-propコマンドを使用して、ネットワーク・グループとポリシー・タイプを指定します。
次の例では、リソース制限サービス品質ポリシーの最小検索文字列制限を設定します。
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \
set-network-group-qos-policy-prop --group-name network-group1 \
--policy-type resource-limits --set min-substring-length:5
ルートDSEは、サーバーの名前、ネーミング・コンテキスト、およびサポートされている機能に関する情報を提供する特別なエントリです。ネットワーク・グループのルートDSEエントリは、ローカル・サーバー内でもリモート・サーバー内でも設定できます。
ルートDSEを再配置するには、次の例に示すように、dsconfig set-network-group-propコマンドを使用します:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \ set-network-group-prop --group-name network-group1 \ --set relocated-rootdse-workflow-element:<new rootDSE workflow element> \
relocated-rootdse-workflow-elementプロパティの値は、ルートDSEを検出できるワークフロー要素です(これは、null DNで検索して返されるエントリです)。
dsconfigを使用したワークフローの構成ワークフローは、ネットワーク・グループとネーミング・コンテキスト(接尾辞)間のリンクです。ワークフローは、ロード・バランシングまたは分散構成へのリクエストを処理する際に、特定のネットワーク・グループに対してアクセス可能なネーミング・コンテキストを定義します。ワークフローを作成する際には、ロード・バランシングまたは分散ワークフロー要素がすでに作成されている必要があります。ワークフロー要素の詳細は、第17.1.8項「dsconfigを使用したワークフロー要素の構成」を参照してください。
プロキシは、多くのプライベート・ワークフローを自動的に作成します。これらのワークフローは、変更または削除してはいけません。ワークフローの構成時には、リモートLDAPサーバーのプライバシ設定を考慮する必要があります。プライバシ設定は次のとおりです:
プロパティds-cfg-is-private-backendで定義されているプライバシ。このフラグは、デフォルトでプライベートに設定されていますが、変更できます。
常にパブリックです。ユーザー・データを含みます。
常にプライベートです。
常にプライベートです。
常にプライベートです。
常にプライベートです。
常にプライベートです。
常にプライベートです。
この項では、dsconfigコマンドを使用したワークフローの構成例について説明します。内容は次のとおりです:
次の各プロシージャで使用するすべてのコマンドで、プロキシ・ホスト名(-h)、プロキシ管理ポート(-p)、バインドDN(-D)およびバインド・パスワード・ファイル(-j)が指定されます。各例では、すべての証明書を信頼するために-Xオプションが使用されます。
サーバー・インスタンス上で構成されているすべてのワークフローを表示するには、dsconfig list-workflowsコマンドを使用します。次の例は、プロキシ・サーバー・インスタンス上で構成されているデフォルト・ワークフローを示しています:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \ list-workflows Workflow : Type : enabled ---------------:---------:-------- workflow1 : generic : true
特定のワークフローのプロパティを表示するには、dsconfig get-workflow-propコマンドを使用します。例:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \
get-workflow-prop --workflow-name workflow1
Property : Value(s)
---------------------:-------------------
base-dn : "ou=people,o=test"
enabled : true
workflow-element : load-bal-we1
access-control-group : Local Backends
virtual-aci-mode : false
base-dnは、ワークフローに対して使用されるベースDNを示します。このベースDNは、そのワークフローを使用したデプロイメント用です。workflow-elementプロパティは、リクエストを処理するワークフロー要素を示します。
|
注意:
|
各ワークフローは、ワークフロー要素に関連付けられます。ワークフローを作成する際、関連付けるワークフロー要素名(--set workflow-element)を指定する必要があります。つまり、ワークフロー要素をワークフローに関連付ける前に、ワークフロー要素を作成する必要があります。第17.1.8項「dsconfigを使用したワークフロー要素の構成」を参照してください。
各ワークフローは、アクセス制御グループに関連付けられます。ワークフローを作成する際、関連付けるアクセス制御グループ名(--set access-control-group)を指定できます。デフォルトでは、ローカル・バックエンド・アクセス制御グループが使用されます。特定のアクセス制御グループを指定する場合は、アクセス制御グループをすでに作成している必要があります。アクセス制御グループの構成の詳細は、第17.1.11項「dsconfigによるアクセス制御グループの構成」を参照してください。
仮想ACIはワークフローごとに有効化できます。仮想ACI機能を有効にするには、--set virtual-aci-mode:trueコマンドを使用して、virtual-aci-modeパラメータをtrueに設定します。
ワークフローを作成するには、dsconfig create-workflowコマンドを使用します。例:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \ create-workflow \ --workflow-name workflow1 \ --set base-dn:ou=people,o=test \ --set enabled:true \ --set workflow-element:load-bal-we1
dsconfigを使用したワークフロー要素の構成ワークフロー要素は、ルーティング構造の一部で、ワークフローにリンクされます。ディレクトリ・サーバー・インスタンスの場合、DBローカル・ワークフロー要素は物理データベースに関連付けられます。
構成可能なワークフロー要素のすべてのタイプおよびその用途については、第5.1.3項「ワークフロー要素」を参照してください。
プロキシ・デプロイメントには、LDAPプロキシ・ワークフロー要素およびロード・バランシング・ワークフロー要素または分散ワークフロー要素が含まれている必要があります。
この項では、dsconfigコマンドを使用したワークフロー要素の構成方法について説明します。内容は次のとおりです:
次の手順内のコマンドではすべて、ホスト名(-h)、管理ポート(-p)、バインドDN (-D)およびバインド・パスワード・ファイル(-j)が指定されます。各例では、すべての証明書を信頼するために-Xオプションが使用されます。
構成されているすべてのワークフロー要素を表示するには、dsconfig list-workflow-elementsコマンドを使用します。
次の例は、ディレクトリ・サーバー・インスタンスに対するデフォルト・ワークフロー要素を示しています。
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \ list-workflow-elements Workflow Element : Type : enabled -----------------:--------------------:-------- adminRoot : ldif-local-backend : true userRoot : db-local-backend : true virtualAcis : db-local-backend : true
次の例では、ロード・バランシング用にデプロイされるプロキシ・サーバー・インスタンスのデフォルト・ワークフロー要素を示します:
$ dsconfig -h localhost -p 4444 -D "cn=Directory Manager" -j pwd-file -X -n \ list-workflow-elements Workflow Element : Type : enabled -----------------:--------------------:-------- adminRoot : ldif-local-backend : true load-bal-we1 : load-balancing : true proxy-we1 : proxy-ldap : true proxy-we2 : proxy-ldap : true
対話型モードでワークフロー要素を作成するには、dsconfig create-workflow-elementコマンドを使用します。セットアップ時にプロキシ・インスタンスを構成している場合には、必要なワークフロー要素はすでに作成されています。
次のタイプのワークフロー要素を作成できます:
DBローカル・バックエンド。詳細は、第17.1.8.2.1項「DBローカル・バックエンド・ワークフロー要素の作成」を参照してください。
プロキシLDAP。詳細は、第18.1.1.3.3項「プロキシLDAPワークフロー要素を作成するには」を参照してください。
ロード・バランシング。詳細は、第18.1.3.2項「ロード・バランシング・ワークフロー要素の作成」を参照してください。
分散。詳細は、第18.1.4.2項「分散ワークフロー要素の作成」を参照してください。
DNリネーム。詳細は、第18.1.5項「dsconfigを使用したDNリネームの構成」を参照してください。
Kerberos認証。詳細は、第23.8.4項「dsconfigを使用したKerberosワークフロー要素の作成」を参照してください。
ローカル・バックエンド・ワークフロー要素は、ディレクトリ・サーバー・インスタンス内のバックエンドへのアクセスを提供します。新しいローカル・バックエンド・ワークフロー要素を作成するには、dsconfig create-workflow-elementコマンドを使用して、ワークフロー要素を介してアクセスする1つ以上のベースDNを指定します。
単一のバックエンドは、1つ以上のベースDNを処理できます。複数のバックエンドが同じベースDNを持つことはできませんが、1つのバックエンドが別のバックエンドによって提供されるベースDN以下のベースDNを持つことは可能です。ベースDNが別のバックエンドのベースDNに従属する場合、そのバックエンドのすべてのベースDNがその同じDNに従属する必要があります。
次の例では、ou=admins,dc=example,dc=comのベースDNにアクセスするローカル・バックエンド・ワークフロー要素を作成および有効化しています。
$ dsconfig create-workflow-element -h localhost -p 4444 -D "cn=directory manager"\ -j pwd-file -X -n --element-name admins --type db-local-backend \ --set base-dn:ou=admins,dc=example,dc=com --set enabled:true
ワークフロー要素を作成した後、dsconfig set-workflow-element-propコマンドを使用してそのプロパティを変更できます。
dsconfigを使用したプラグインの構成プラグインは、操作の実行中、またはディレクトリ・サーバー内部のその他の定義済ポイントに、カスタム・ロジックを提供します。dsconfigコマンドは、ディレクトリ・サーバー構成の管理に使用します。dsconfigの使用法の詳細は、第17.1項「dsconfigを使用したサーバー構成の管理」を参照してください。この項の内容は次のとおりです:
dsconfig plugin-typeプロパティを使用して、サーバーによってサポートされる数多くのプラグイン・タイプを1つ以上使用するようにプラグインを構成できます。既存のプラグインの構成に新しいデフォルト・プラグイン・タイプを追加することはできません。プラグインの構成から1つ以上のデフォルト・プラグイン・タイプを削除することはできますが、その場合には注意が必要です。通常、プラグインは、なんらかの理由があってデフォルト・プラグイン・タイプをサポートするように設計されています。1つ以上のプラグイン・タイプの削除により、ディレクトリ・サーバーの操作が不安定になる可能性があります。
大部分のプラグインが複数のタイプをサポートし、複数のプラグインが同じプラグイン・タイプで定義されることもあります。処理中におけるこれらのプラグインの起動順序は未定義です。特定の順序で起動する必要がある場合(たとえば、別のプラグインの結果に依存するプラグインがある場合)、プラグインが起動する順序を指定できます。詳細は、第17.1.9.2.5項「プラグインの起動順序を構成するには」を参照してください。
次の項では、dsconfigを使用したプラグイン構成の管理例を紹介します。dsconfigは、管理コネクタを使用して、サーバーにアクセスします。この項の例ではすべて、管理コネクタはデフォルト・ポート(4444)をリスニングし、ローカル・ホストを実行するサーバーにアクセスすることが前提になっています。そうでない場合は、--portオプションと--hostnameオプションを指定する必要があります。
dsconfigコマンドは、常に、証明書認証を行う保護された接続で、サーバーにアクセスします。dsconfigを対話型モードで実行する場合、証明書の信頼方法について尋ねるメッセージが表示されます。dsconfigを非対話型モード(-nオプション)で実行する場合、-Xオプションまたは--trustAllオプションを指定する必要があります。そうでない場合、コマンドは失敗します。
この項では、プラグイン構成の管理例を紹介します。内容は次のとおりです:
この例では、現在サポートされているプラグインで構成されたディレクトリ・サーバーを示しています。これらのプラグインおよびその目的については、Oracle Unified Directory構成リファレンスのプラグイン構成に関する項を参照してください。
dsconfigを使用して、現在構成されているプラグインのリストを表示できます。
$ dsconfig -h localhost -p 4444 -D cn="Directory Manager" -j pwd-file -X -n \ list-plugins
インストールに応じて、出力は次のものに類似したものになります。
Plugin : Type : enabled --------------------------------:---------------------------------:-------- 7-Bit Clean : seven-bit-clean : false Change Number Control : change-number-control : true Entry UUID : entry-uuid : true LastMod : last-mod : true LDAP Attribute Description List : ldap-attribute-description-list : true Password Policy Import : password-policy-import : true Profiler : profiler : true Referential Integrity : referential-integrity : false Replication LDIF Import : replication-ldif-import : true UID Unique Attribute : unique-attribute : false
コマンドの出力により次の情報が示されます(左から右へ):
プラグイン。プラグインの名前。通常、プラグインの実行内容がわかる名前になっています。
タイプ: プラグインのタイプ。同じタイプのプラグインが複数ある場合もあります。
有効。プラグインは有効/無効を設定できます。サーバー構成で無効になっているプラグインは、何も行いません。
プラグインを構成する最も簡単な方法は、対話型モードでdsconfigを使用する方法です。対話型モードでは、順を追ってプラグインを構成できるので、ここでの説明は省きます。
この例では、非対話型モードでdsconfigを使用して新しいパスワード・ポリシー・インポート・プラグインを作成し、有効にする方法を示します。
次のように、dsconfigコマンドを実行して、新しいパスワード・ポリシー・インポート・プラグインを作成して有効にします:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ create-plugin --type password-policy-import \ --plugin-name "My Password Policy Import Plugin" --set enabled:true
enabledプロパティをtrueまたはfalseに設定することにより、プラグインを有効または無効にできます。この例では、前の例で作成したパスワード・ポリシー・インポート・プラグインを無効にします。
次のように、dsconfigコマンドを実行して、新しいパスワード・ポリシー・インポート・プラグインを無効にします。
$ dsconfig -h localhost -p 4444 -D cn="Directory Manager" -j pwd-file -X -n \ set-plugin-prop --plugin-name "My Password Policy Import Plugin" \ --set enabled:false
プラグインのプロパティを表示するには、get-plugin-propサブコマンドを使用します。プラグインのプロパティを変更するには、set-plugin-propサブコマンドを使用します。この例では、前の例で作成したプラグインのプロパティを表示し、プラグインを有効にして、デフォルトの認証パスワード格納スキームをSalted SHA-512に設定します。
プラグイン・プロパティを表示します。
$ dsconfig -h localhost -p 4444 -D cn="Directory Manager" -j pwd-file -X -n \ get-plugin-prop --plugin-name "My Password Policy Import Plugin"
インストールに応じて、出力は次のものに類似したものになります。
Property : Value(s) -------------------------------------:--------- default-auth-password-storage-scheme : - default-user-password-storage-scheme : - enabled : false
プラグインを有効にして、デフォルトの認証パスワード格納スキームをSalted SHA-512に設定します。
$ dsconfig -h localhost -p 4444 -D cn="Directory Manager" -j pwd-file -X -n \ set-plugin-prop --plugin-name "My Password Policy Import Plugin" \ --set enabled:true\ --set default-auth-password-storage-scheme:"Salted SHA-512"
プラグイン・プロパティをもう一度表示して、変更を確認します。
$ dsconfig -h localhost -p 4444 -D cn="Directory Manager" -j pwd-file -X -n \ get-plugin-prop --plugin-name "My Password Policy Import Plugin" Property : Value(s) -------------------------------------:--------------- default-auth-password-storage-scheme : Salted SHA-512 default-user-password-storage-scheme : - enabled : true
デフォルトでは、プラグインの起動順序は未定義です。set-plugin-root-prop --set plugin-type:valueサブコマンドを使用して、プラグインが特定の順序で起動するように指定できます。ここでのvalueは、コンマで区切ったプラグイン名のリストで表されたプラグインの順序になります。プラグイン順序文字列には、単一のアスタリスク要素を含めることができます。これは、明示的に名前が付けられていないプラグインを示すワイルドカードになります。
この例では、事前操作追加プラグインの前にEntry UUIDプラグインを起動することを指定しています。
現在のプラグイン起動順序を表示します。
$ dsconfig -h localhost -p 4444 -D cn="Directory Manager" -j pwd-file -X -n \ get-plugin-root-prop Property : Value(s) --------------------------------------------:--------- plugin-order-intermediate-response : - plugin-order-ldif-export : - plugin-order-ldif-import : - plugin-order-post-connect : - ...
プラグインの順序を設定します。
$ dsconfig -h localhost -p 4444 -D cn="Directory Manager" -j pwd-file -X -n \ set-plugin-root-prop --set plugin-order-pre-operation-add:"Entry UUID,*"
|
注意: プラグイン順序値は検証されません。定義済プラグインと一致しない値は無視されます。 |
dsconfigを使用した接尾辞の構成Oracle Unified Directoryでは、セットアップ時またはその後に、複数の接尾辞を構成できます。
この項には次のトピックが含まれます:
dsconfigの非対話型モードで、次の項で説明する構成を行うこともできます。
dsconfigを使用した接尾辞の構成ベース・エントリを作成することにより、セットアップ時にdsconfigコマンドを使用して接尾辞を構成できます。
次のいずれかの手順でベース・エントリdc=example,dc=com;dc=other,dc=com;dc=test,dc=comを作成します。
次のコマンドを使用してベース・エントリを作成します:
oud-setup --cli --baseDN dc=example,dc=com --baseDN dc=test,dc=com --baseDN \ dc=other,dc=com --addBaseEntry --ldapPort 2389 --adminConnectorPort 24444 \ --rootUserDN cn=Directory Manager --rootUserPassword password --no-prompt \ --noPropertiesFile
次のコマンドを使用してサンプル・データでベース・エントリを作成します:
oud-setup --cli --baseDN dc=example,dc=com --baseDN dc=test,dc=com --baseDN \ dc=other,dc=com --sampleData 15 --ldapPort 2389 --adminConnectorPort 24444 \ --rootUserDN cn=Directory Manager --rootUserPassword password --no-prompt \ --noPropertiesFile
追加構成なしで、すべての接尾辞の下にあるデータにアクセスできるようになりました。
dsconfigを使用した接尾辞の構成dsconfigコマンドまたはODSMのいずれかを使用して、実行中のサーバー・インスタンス上で接尾辞を構成できます。ODSMを使用した接尾辞の構成の詳細は、第17.2.3.1項「接尾辞の作成」を参照してください。
次の手順でdsconfigコマンドを使用して接尾辞を構成します:
ローカル・バックエンド・ワークフロー要素にベースDNを追加します。
dsconfig set-workflow-element-prop \ --element-name userRoot \ --add base-dn:dc=example2,dc=com \ --hostname localhost \ --port 24444 \ --trustAll \ --bindDN cn=directory manager \ --bindPassword ****** \ --no-prompt
新しいベースDNのワークフローを作成します。
dsconfig create-workflow \ --set base-dn:dc=example2,dc=com \ --set enabled:true \ --set workflow-element:userRoot \ --type generic \ --workflow-name dc=example2,dc=com \ --hostname localhost \ --port 24444 \ --trustAll \ --bindDN cn=directory manager \ --bindPassword ****** \ --no-prompt
新しいワークフローをネットワーク・グループに追加します。
dsconfig set-network-group-prop \ --group-name network-group \ --add workflow:dc=example2,dc=com \ --hostname localhost \ --port 24444 \ --trustAll \ --bindDN cn=directory manager \ --bindPassword ****** \ --no-prompt
ベース・エントリdc=example2,dc=comを作成します。
必要なエントリで新しい接尾辞を移入します。
dsconfigによるアクセス制御グループの構成アクセス制御グループは特定の操作に適用されるACIを決定します。各ワークフローは、アクセス制御グループによって関連付けられます。アクセス制御グループは、そのワークフローが処理する操作に適用するACIのリストを定義します。
デフォルトでは、ローカル・バックエンドと呼ばれるアクセス制御グループが存在します。このアクセス制御グループには、ユーザー・データから取得されたすべてのACIが含まれています。「名前」属性は削除できません。
この項では、dsconfigコマンドによってアクセス制御グループを構成する方法について説明します。この項の内容は次のとおりです:
アクセス制御グループを作成するには次のコマンドを実行します:
dsconfig create-access-control-group --group-name group1
アクセス制御グループを削除するには次のコマンドを実行します:
dsconfig delete-access-control-group-prop --group-name group1
|
注意:
|
ODSM上の各サーバー・インスタンスの「構成」タブから、サーバー構成要素を変更できます。プロキシ・サーバー・インスタンス固有の構成管理の詳細は、第18.2項「ODSMを使用したプロキシ構成の管理」を参照してください。
この項では、ODSMの「構成」タブで実行できるタスクの概要について説明します。内容は次のとおりです:
「構成」タブにサーバー構成に関する2つの別個のビューが表示されます:
ネーミング・コンテキスト。これはデフォルトのビューです。そのサーバー・インスタンスに構成された命名コンテキストまたは接尾辞に関するサーバー構成が表示されます。
コア構成。このビューには、そのサーバー・インスタンスに構成されたワークフロー、ワークフロー要素およびサーバー拡張に関するサーバー構成が表示されます。
選択する構成ビューにより、「作成」メニューで使用可能な項目が決まります。
ODSMを使用してサーバー・コンポーネントを作成する際、「類似作成」
を使用して既存のコンポーネントを複製できます。「構成」タブでコンポーネントを選択して、「類似作成」をクリックすると、同じ構成の新しいコンポーネントが作成されます。その後、必要に応じて、新しいコンポーネントのプロパティを編集できます。
「作成」
を使用して、選択したコンポーネントと同じタイプのコンポーネントを作成することもできます。たとえば、左側のメニューからLDAP接続ハンドラを選択し、「作成」をクリックすると、新しい未構成のLDAP接続ハンドラが作成されます。
左側のメニュー内のコンポーネントを右クリックすると、そのコンポーネントに関連するアクション・リストが表示されます。たとえば、LDAP接続ハンドラを右クリックして表示されるドロップダウン・メニューから、新しいLDAP接続ハンドラを作成したり、そのLDAP接続ハンドラを複製したり、接続ハンドラを削除することができます。
次の項では、ODSMを使用した接尾辞またはネーミング・コンテキストの構成方法について説明します。dsconfigを使用した接尾辞の構成については、第17.1.10項「dsconfigを使用した接尾辞の構成」を参照してください。
Oracle Unified Directoryでは、次のようにODSMインタフェースを使用して1つ以上の接尾辞を構成できます:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「ネーミング・コンテキスト」ビューを選択します。
「作成」メニューから「ローカル・ネーミング・コンテキスト」を選択します。
「ネーミング・コンテキスト」領域で、次の手順に従います:
「ベースDN」フィールドに、作成する接尾辞の名前を入力します。
「ディレクトリ・データ・オプション」グループから、接尾辞へのデータの移入オプションとして次のいずれかを選択します:
「ベース・エントリの作成のみ」では、接尾辞のベース・エントリとともにデータベースが作成されます。その他のエントリは、接尾辞の作成後に追加する必要があります。
「データベースを空のままにする」では、空のデータベースが作成されます。ベース・エントリおよびその他のエントリは、接尾辞の作成後に追加する必要があります。
「生成されたサンプル・データのインポート」を選択すると、接尾辞にサンプル・エントリが移入されます。
「ユーザー・エントリ数」フィールドに、生成するエントリ数を指定します。ODSMを使用してインポートできるサンプル・エントリ数は、最大30,000です。30,000を超える数のエントリを追加する場合は、import-ldifコマンドを使用する必要があります。
「Oracleコンポーネント統合」領域で、次のいずれかのオプションを選択して、新しい接尾辞を有効にします:
特定の統合なし: ネーミング・コンテキストとOracleコンポーネントを統合する必要がない場合に、このオプションを選択します。
エンタープライズ・ユーザー・セキュリティ(EUS)に使用可能:
EUSに対して接尾辞を有効にするには、管理リスナーに加えて、少なくとも1つのLDAPリスナーがSSL対応になっている必要があります。接尾辞として、少なくとも1つのエントリが含まれている必要があります(つまり、前の手順で「データベースを空のままにする」を選択することはできません)。
EUSを選択すると、この接尾辞が作成されるほかに、2つの接尾辞"cn=oracleschemaversion"と"cn=oraclecontext"が自動的に作成されます。また、EUSワークフロー要素がローカルのバックエンド・ワークフロー要素の前に追加されます。さらに、"cn=schema"のDNリネーム・ワークフロー要素が追加され、"cn=subschemasubentry" DNを使用してこの要素にアクセスできるようになります。
Oracle Database Net Servicesに使用可能: ネーミング・コンテキストにデータベース接続識別子を格納する場合、このオプションを選択します。
「ネットワーク・グループ」リージョンで、次の手順に従って1つ以上のネットワーク・グループに接尾辞をアタッチします:
接尾辞を既存のネットワーク・グループにアタッチする場合は、「既存のものを使用」を選択し、必要なネットワーク・グループをリストから選択します。
新しいネットワーク・グループに接尾辞をアタッチするには、「新規作成」を選択して、「名前」フィールドに、作成するネットワーク・グループの名前を入力します。
同じ接尾辞を複数のネットワーク・グループにアタッチできます。
「ワークフロー要素」リージョンで、次のいずれかの手順に従ってワークフロー要素に接尾辞をアタッチします:
接尾辞を既存のワークフロー要素にアタッチする場合は、「既存のものを使用」を選択し、必要なワークフロー要素をリストから選択します。
接尾辞を新しいワークフロー要素にアタッチする場合は、「新規作成」を選択し、作成するワークフロー要素名を「名前」フィールドに入力します。ローカルDBワークフロー要素またはローカルLDIFワークフロー要素を作成できます。
「作成」をクリックします。
次の確認メッセージが表示されます:
構成が正常に作成されました。
ローカル・バックエンド・ワークフロー要素構成で、接尾辞を作成した後、ツームストン・エントリのパージ間隔とツームストン・エントリ期間を構成できます。
「構成」タブの「ネーミング・コンテキスト」ビューには、サーバー上に構成されているすべての接尾辞が表示されます。
構成済接尾辞のプロパティを表示するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「ネーミング・コンテキスト」ビューを選択します。
「ネーミング・コンテキスト」要素を開きます。
表示するプロパティの接尾辞をクリックします。
接尾辞プロパティが右側のペインに表示されます。
必要に応じて、接尾辞構成に変更を加えます。
この接尾辞をアタッチするネットワーク・グループを変更したり、エンタープライズ・ユーザー・セキュリティ(EUS)またはOracle Database Net Servicesに対して接尾辞を有効にできます。
|
注意: 「エンタープライズ・ユーザー・セキュリティ(EUS)に使用可能」オプションまたは「Oracle Database Net Servicesに使用可能」オプションに対して「Oracleコンポーネント統合」オプションを構成し、「Oracleコンポーネント統合」領域で変更を行っている場合、「構成必須」ダイアログ・ボックスが表示されます。選択するオプションに応じて、次のいずれかを選択します:
|
「適用」をクリックして、変更を保存します。
「構成」タブの「ネーミング・コンテキスト」ビューには、サーバー上に構成されているすべての接尾辞が表示されます。
接尾辞を削除するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「ネーミング・コンテキスト」ビューを選択します。
「ネーミング・コンテキスト」要素を開きます。
削除する必要がある接尾辞を選択します。
「構成の削除」
をクリックします。
ワークフロー要素は、ワークフロー・プロセスの重要なビルディング・ブロックです。ワークフロー要素は、サーバーに送信されるクライアント・リクエストの処理方法を定義します。プロキシ・サーバーを含むデプロイメントでは、ワークフロー要素はロード・バランシングまたは分散用として構成されます。プロキシ・サーバーが含まれないデプロイメントでは、ワークフロー要素は各バックエンドに対して直接構成されます。
次の項では、ODSMを使用してワークフロー要素を構成する方法について説明します。dsconfigを使用したワークフロー要素の構成については、第17.1.8項「dsconfigを使用したワークフロー要素の構成」を参照してください。
ODSMを使用してワークフロー要素を作成するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「コア構成」ビューを選択します。
詳細は、第17.2.1項「構成ビューの選択」を参照してください。
「作成」メニューで「ワークフロー要素」を選択し、作成するワークフロー要素のタイプを選択します。
様々なワークフロー要素タイプの詳細は、第5.1.3項「ワークフロー要素」を参照してください。
構成する必要があるワークフロー要素のプロパティは、作成するワークフロー要素のタイプによって異なります。
すべてのワークフロー要素で、次の基本プロパティを構成する必要があります:
名前: ワークフロー要素の名前を入力します。
有効。ワークフロー要素を作成すると、デフォルトではそのワークフロー要素は有効になります。ワークフロー要素を無効にするには、この項目をクリアします。
加えて、対応する各ワークフロー要素タイプに対して次のプロパティを構成する必要があります:
DNリネーム・ワークフロー要素
クライアント・ベースDN: クライアント・アプリケーションによって使用されるベースDNを指定します。
ソース・ベースDN: LDAPサーバーに格納されるベースDNを指定します。
次のワークフロー要素: ワークフロー内で次に位置するワークフロー要素を選択します。
属性ホワイト・リスト: 「追加」をクリックして、DNが含まれている、リネーム操作によって転送する必要がある属性リストを選択します。
属性ブラック・リスト: 「追加」をクリックして、DNが含まれているが、リネーム操作によって転送しない属性リストを選択します。
EUSワークフロー要素
EUSレルム: EUSワークフロー要素が適用されるDITの部分を入力します。
次のワークフロー要素: ワークフロー内で次に位置するワークフロー要素を選択します。
サーバー・タイプ: EUSユーザー・エントリを格納するサーバーを選択します。
パスワード属性: EUSユーザー・パスワードを格納する属性タイプを入力します。
EUSコンテキスト・ワークフロー要素
EUSコンテキスト: Oracleコンテキストを含むDNを入力します。Oracleコンテキストは、最上位ディレクトリ・エントリで、ディレクトリを使用するインストール済のOracle製品によって使用されるデータが含まれます。
EUS管理者: 管理ユーザーのDNを入力します。このユーザーは、Oracleコンテキストで作成されたグループのuniquememberになります。
次のワークフロー要素: ワークフロー内で次に位置するワークフロー要素を選択します。
Kerberos認証プロバイダ・ワークフロー要素
レルム: Kerberos認証で使用するレルムを指定します。レルムを指定しない場合、サーバーが基のシステム構成からレルムを決定しようとします。
プリンシパル名属性: 「選択」をクリックして、プリンシパル名属性を指定します。
KDCアドレス: キー配布センター(KDC)サーバー・アドレスを指定します。
ローカルDBワークフロー要素
書込み可能性モード: このワークフロー要素に関連付けられているバックエンドが書込み操作を処理するかどうかを指定します。
ベースDN: バックエンドによって処理されるデータに対して1つ以上のベースDNを指定します。
データベース・プロパティ: データベースのプロパティを指定します。これらのプロパティのリストと、その値の詳細は、Oracle Unified Directory構成リファレンスのDBローカル・バックエンド・ワークフロー要素に関する項を参照してください。
ツームストン構成: データベースに対してツームストン・エントリを処理する方法を指定します。これらのプロパティのリストと、その値の詳細は、Oracle Unified Directory構成リファレンスのDBローカル・バックエンド・ワークフロー要素に関する項を参照してください。
索引プロパティ: 次のパラメータを指定します:
サブツリーの索引付け: このチェック・ボックスを選択または選択解除して、各親エントリの直接または間接子エントリについての情報を含むサブツリー固有データを保持するように、バックエンドがサブツリーの索引付けを行うかどうかを指定します。
ローカル・データベース索引: データベースに対してローカル・データベース索引構成を指定します。これらのプロパティのリストと、その値の詳細は、Oracle Unified Directory構成リファレンスのDBローカル・バックエンド・ワークフロー要素に関する項を参照してください。
ローカル・データベースVLV索引: データベースに対してローカル・データベースVLV索引構成を指定します。これらのプロパティのリストと、その値の詳細は、Oracle Unified Directory構成リファレンスのDBローカル・バックエンド・ワークフロー要素に関する項を参照してください。
ローカルLDIFワークフロー要素
書込み可能性モード: このワークフロー要素に関連付けられているバックエンドが書込み操作を処理するかどうかを指定します。
ベースDN: バックエンドによって処理されるデータに対して1つ以上のベースDNを指定します。
プライベート・バックエンド: バックエンドをプライベート・バックエンドと見なすかどうかを指定します。これにより、ユーザー定義情報ではなく操作データの格納に使用するかどうかが示されます。
LDIFファイル: このバックエンドのデータを含むLDIFファイルのパスを入力します。
パス・スルー認証ワークフロー要素
基本プロパティ
ユーザー・プロバイダ・ワークフロー要素: リクエストされたユーザー・エントリを提供するワークフロー要素を選択します。
認証プロバイダ・ワークフロー要素: ユーザー・エントリの認証サービスを提供するワークフロー要素を選択します。たとえば、Kerberos認証プロバイダ・ワークフロー要素またはローカル・データベース・ワークフロー要素を認証プロバイダとして使用できます。
拡張プロパティ
パスワード属性: 「選択」をクリックし、パスワード属性を指定します。
認証プロバイダ・ワークフロー要素によってユーザー・プロバイダ・ワークフロー要素のパスワードのコピーをトリガーする場合は、「バインド成功時にパスワードを保存」チェック・ボックスを選択します。
パススルー認証サフィックス: PTAワークフロー要素によって公開される仮想接尾辞を指定します。
ユーザー・サフィックス: ユーザー・プロバイダ・ワークフロー要素のユーザー・エントリを含む接尾辞を指定します。
認証サフィックス: 認証プロバイダ・ワークフロー要素の認証エントリを含む接尾辞を指定します。
パススルー認証結合ルール
認証エントリのプロパティ: ユーザー・エントリに関連付けられた認証エントリ・プロパティを指定します。
ユーザー・エントリのプロパティ: 認証エントリに関連付けられたユーザー・エントリ・プロパティを指定します。
詳細は、第12.7項「パススルー認証の理解」を参照してください。
ローカル・メモリー・ワークフロー要素
ベースDN: バックエンドによって処理されるデータに対して1つ以上のベースDNを指定します。
RDN変更ワークフロー要素
次のワークフロー要素: ワークフロー内で次に位置するワークフロー要素を選択します。
オブジェクト・クラス: RDN変更操作のオブジェクト・クラス・タイプを選択します。
ソースRDN属性: Oracle Unified Directoryで置換またはリネームを行うソース・ディレクトリの元のRDN属性名を選択します。
クライアントRDN属性: Oracle Unified Directoryで使用する新しいRDN属性名を選択します。
RDN値の置換: 元のRDN値を新しいRDN値で置換するかどうかを指定します。これはデフォルトで有効になっています。
DN属性: 「追加」をクリックして、RDNリネームを実行するDNの属性リストを選択します。
変換ワークフロー要素
次のワークフロー要素: ワークフロー内で次に位置するワークフロー要素を選択します。
エントリ一致フィルタ: これはLDAPフィルタです。このオプションを選択すると、エントリはこのLDAPフィルタと一致する場合のみ変換されるようになります。
エントリ親接尾辞: これは省略可能です。接尾辞のリストを指定することにより、変換の適用を特定のサブツリー下のエントリに制限できます。このオプション指定すると、エントリは、これらの接尾辞のルートであるサブツリー内にある場合のみ指定されます。
除外操作: このオプションを指定すると、指定操作中にはエントリの変換が行われません。
変換: 変換ワークフロー要素が処理する変換のリスト。この変換リストの順序は、実行時リクエスト処理中に変換が実際に適用される順番を保証するものではありません。
「作成」をクリックします。
次の確認メッセージが表示されます:
Workflow Element created successfully.
既存のワークフロー要素のプロパティを表示または変更するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「コア構成」ビューを選択します。
詳細は、第17.2.1項「構成ビューの選択」を参照してください。
「コア構成」要素を開きます。
「ワークフロー要素」要素を開きます。
表示または変更する必要のあるワークフロー要素をクリックします。
ワークフロー要素のプロパティが右側のペインに表示されます。
編集できるプロパティは、構成されているワークフロー要素のタイプによって異なります。
「適用」をクリックして、変更を保存します。
既存のワークフロー要素を削除するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「コア構成」ビューを選択します。
詳細は、第17.2.1項「構成ビューの選択」を参照してください。
「コア構成」要素を開きます。
「ワークフロー要素」要素を開きます。
削除する必要のあるワークフロー要素をクリックし、「構成の削除」をクリックします。
「OK」をクリックして、削除を確定します。
ワークフローは、ネーミング・コンテキストまたは接尾辞、およびOracle Unified Directoryが着信リクエストを処理する方法を定義するワークフロー要素によって定義されます。ワークフローは、少なくとも1つのネットワーク・グループに登録される必要がありますが、複数のネットワーク・グループにアタッチできます。
ワークフロー、ワークフロー要素およびOracle Unified Directoryのその他のコンポーネントの詳細は、第5.1項「Oracle Unified Directoryのコンポーネント」を参照してください。
次の項では、ODSMを使用してワークフローを構成する方法について説明します。dsconfigを使用したワークフローの構成については、第17.1.7項「dsconfigを使用したワークフローの構成」を参照してください。
ODSMを使用してワークフローを作成するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「コア構成」ビューを選択します。
詳細は、第17.2.1項「構成ビューの選択」を参照してください。
「作成」メニューから「ワークフロー」を選択します。
「ワークフロー・プロパティ」領域で、次の手順に従います:
「名前」フィールドに、作成するワークフローの名前を入力します。
このワークフローを有効にする場合は、「有効」チェック・ボックスを選択します。
この段階でワークフローを有効にしない場合は、このチェック・ボックスを選択解除します。
「ベースDN」フィールドに、このワークフローからアクセスできるネーミング・コンテキストを入力します。
このワークフローに関連付けるワークフロー要素を選択します。
ワークフロー要素は、ワークフローを作成する前にすでに存在している必要があります。
このワークフローが、複数のワークフローを含む検索操作の失敗の原因となるクリティカルなワークフローであるのかどうか、およびこのワークフロー上で操作を失敗させるかどうかに応じて、「True」、「False」または「部分的」を選択します。
ワークフローが管理する全エントリに関連付けられたACIデータに、別の記憶域リポジトリを定義する場合は、「仮想ACIの使用」チェック・ボックスを選択します。
「仮想ACIの使用」チェック・ボックスを選択した場合、このワークフローのACIデータを保持する仮想ACIストレージで使用されるストライプの名前を指定します。
「作成」をクリックします。
次の確認メッセージが表示されます:
Workflow created successfully.
「構成」タブの「コア構成」ビューに、サーバー上に構成されているすべてのワークフローとワークフロー要素が表示されます。
構成済ワークフローのプロパティを表示するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「コア構成」ビューを選択します。
詳細は、第17.2.1項「構成ビューの選択」を参照してください。
「ワークフロー」要素を開きます。
プロパティを表示するワークフローをクリックします。
ワークフロー・プロパティが右側のペインに表示されます。
必要に応じて、接尾辞構成に変更を加えます。
ワークフローを無効にしたり、このワークフローに関連付けられているワークフロー要素を変更したりできます。
「適用」をクリックして、変更を保存します。
ワークフローは、どのネットワーク・グループからも参照を受けていない場合のみ、ODSMを使用して削除できます。
ワークフローを削除するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
ネットワーク・グループから参照されているワークフローの場合、ネットワーク・グループのプロパティを変更して、そのワークフローを削除します。
詳細は、第17.2.7.2項「ネットワーク・グループの変更」を参照してください。
「構成」タブを選択します。
「コア構成」ビューを選択します。
詳細は、第17.2.1項「構成ビューの選択」を参照してください。
「ワークフロー」要素を開きます。
削除する必要のあるワークフローを選択し、「構成の削除」をクリックします。
「OK」をクリックして、削除を確定します。
接続ハンドラは、リクエストがサーバーにより確実に処理され、対応する応答がクライアントに適切に送信されるように、クライアントからの接続の許可、クライアントからのリクエストの読取りと解析を行います。接続ハンドラは、クライアントとのすべての通信を管理するため、関連付けられているプロトコルのサポートを実装する必要があります。
次の項では、ODSMを使用して接続ハンドラを構成する方法について説明します。dsconfigを使用した接続ハンドラの構成については、第17.1.5項「dsconfigを使用した接続ハンドラの構成」を参照してください。
ODSMを使用して接続ハンドラを作成するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「作成」メニューから「接続ハンドラ」を選択します。
作成する接続ハンドラのタイプを選択します:
LDAP。この接続ハンドラは、LDAPを使用するクライアントとのやり取りに使用されます。LDAPv3は完全サポート、LDAPv2は部分的にサポートされます。
LDAPS。この接続ハンドラは、SSL経由でLDAPを使用するクライアントとのやり取りに使用されます。
LDIF。この接続ハンドラは、内部操作によりサーバー内の変更を処理するために使用されます。
JMX。この接続ハンドラは、Java Management Extensions (JMX)フレームワークとRemote Method Invocation (RMI)プロトコルを使用するクライアントとのやり取りを許可します。
SNMP。この接続ハンドラは、SNMPリクエストを処理して、MIB 2605により示される監視情報を取得するために使用されます。サポートされているSNMPプロトコルは、SNMP V1、V2cおよびV3です。
右側のペインにプロパティを入力して接続ハンドラを構成します。
構成可能なプロパティは、選択した接続ハンドラのタイプによって異なります。すべての構成可能なプロパティの包括的なリストと使用可能な値については、Oracle Unified Directory構成リファレンスの接続ハンドラの構成に関する項を参照してください。
特定の接続ハンドラ・タイプの必須プロパティを構成している場合は、「作成」をクリックします。
次の確認メッセージが表示されます:
Connection Handler created successfully.
ODSMを使用して接続ハンドラのプロパティを表示または変更するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「一般構成」要素を展開します。
「接続ハンドラ」要素を開きます。
プロパティを変更する接続ハンドラをクリックします。
プロパティが右側のペインに表示されます。
すべての構成可能なプロパティの包括的なリストと使用可能な値については、Oracle Unified Directory構成リファレンスの接続ハンドラの構成に関する項を参照してください。
必須プロパティを変更して、「適用」をクリックします。
ODSMを使用して既存の接続ハンドラを削除するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「一般構成」要素を展開します。
「接続ハンドラ」要素を開きます。
削除する必要のある接続ハンドラをクリックし、「構成の削除」をクリックします。
削除の確認を求められます。「OK」をクリックします。
ネットワーク・グループは、Oracle Unified Directoryサーバーにより処理される全クライアント・リクエストのエントリ・ポイントです。ネットワーク・グループのプロパティは、クライアント・リクエストの転送方法を示します。
次の項では、ODSMを使用してネットワーク・グループを構成する方法について説明します。dsconfigを使用したネットワーク・グループの構成については、第17.1.6項「dsconfigを使用したネットワーク・グループの構成」を参照してください。
ODSMを使用してネットワーク・グループを作成するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「作成」メニューから「ネットワーク・グループ」を選択します。
右側のペインでネットワーク・グループを構成するプロパティを入力します。
名前: ネットワーク・グループの名前を入力します。
有効。このチェック・ボックスを選択するか、選択解除して、ネットワーク・グループを有効または無効にします。ネットワーク・グループを無効にすると、そのネットワーク・グループによって処理できるクライアント・リクエストはなくなります。構成済ネットワーク・グループのみ無効にすると、クライアント・アプリケーションがバックエンドにアクセスするのを効果的に停止できます。
優先度。複数のネットワーク・グループがある場合、このネットワーク・グループの優先度を設定します。クライアント・リクエストは、一番優先度が高く、条件を満たしているネットワーク・グループにより処理されます。ネットワーク・グループの一番高い優先度は0です。
ワークフロー。「追加」(
)をクリックし、このネットワーク・グループを介してアクセスできる1つ以上のワークフローを追加します。
公開するルートDSE。このネットワーク・グループを公開するルートDSEを選択します。ローカル・サーバーのルートDSE、リモート・サーバーに格納されているルートDSEまたはローカル・ファイルに定義されているルートDSEを公開できます。
「その他」をクリックして、次のいずれかのオプションを選択します:
LDIFファイルで定義されているルートDSE: ルートDSEを含むLDIFファイルのパスを入力します。サーバーはこのファイルにアクセスできる必要があります。
リモート・サーバーのルートDSE: 次のパラメータを入力します:
ホスト名: リモート・サーバーのホスト名を入力します。
使用可能なポート: リモート・サーバーのLDAPポート、LDAPSポートまたはLDAPポートとLDAPSポートを入力します。
すべて信頼: リモート・サーバーが提示するすべての証明書を信頼する場合は、このチェック・ボックスを選択します。
信頼マネージャ: サーバーがリクエストを転送するためにリモート・サーバーのLDAPSポートに接続するときに使用する信頼マネージャを選択します。
セキュリティ必須。クライアントが、このネットワーク・グループにアクセスするためにセキュアな接続を使用することを必要とする場合、このオプションを選択します。デフォルトでは、セキュアな接続は必要とされません。
許可された認証方法。クライアントとネットワーク・グループ間で許可される認証方法を指定します。
許可されたプロトコル。クライアント接続に対して許可されるプロトコルを指定します。プロトコルを指定しない場合、すべてのプロトコルが許可されます。
許可されたバインドDN。「追加」をクリックし、このネットワーク・グループに接続するために許可される1つ以上のバインドDNを追加します。このネットワーク・グループで許可されるバインドDNを削除するには、「削除」(
)をクリックします。
許可されたクライアント。「追加」をクリックし、このネットワーク・グループにアクセスするために許可される1つ以上のクライアントを追加します。クライアントは、IPアドレス、名前またはサブネット・マスクにより表すことができます。許可クライアント・リストが設定されていない場合、拒否クライアント・リストに含まれていなければ、すべてのクライアントが許可されます。
拒否されたクライアント。「追加」をクリックし、このネットワーク・グループへのアクセスを禁止する1つ以上のクライアントを追加します。クライアントは、IPアドレス、名前またはサブネット・マスクにより表すことができます。拒否クライアント・リストが設定されていない場合、許可クライアント・リストによる制限がなければ、すべてのクライアントが許可されます。
QOSポリシー。このネットワーク・グループのサービス品質ポリシーを選択します。詳細は、第17.1.6.3項「ネットワーク・グループのサービス品質ポリシーの作成」を参照してください。
ネットワーク・グループの必須プロパティを構成している場合は、「作成」をクリックします。
次の確認メッセージが表示されます:
Network Group created successfully.
ネットワーク・グループのプロパティは次のように無効にしたり変更したりできます:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「一般構成」要素を展開します。
「ネットワーク・グループ」要素を開きます。
変更するプロパティのネットワーク・グループをクリックします。
ネットワーク・グループのプロパティが右側のペインに表示されます。
必須プロパティを変更して、「適用」をクリックします。
構成済の各プロパティの説明は、第17.2.7.1項「ネットワーク・グループの作成」を参照してください。
ODSMを使用してネットワーク・グループを削除するには、次の手順に従います:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「一般構成」要素を展開します。
「ネットワーク・グループ」要素を開きます。
削除する必要のあるネットワーク・グループをクリックし、「構成の削除」をクリックします。
削除の確認を求められます。「OK」をクリックします。
一般的なサーバー構成の特定の要素については、ODSMを使用して次のように変更できます:
第21.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「構成」タブを選択します。
「コア構成」要素を選択します。
プロパティが右側のペインに表示されます。
次のプロパティを変更できます:
ルートDSEプロパティ
ワーク・キュー・プロパティ
アクセス制御グループの削除
データの暗号化
ワーカー・スレッド数
サーバーの一般プロパティ
デフォルト・パスワード・ポリシー: エントリに代替のパスワード・ポリシーがない場合に、パスワード・ポリシーの名前を指定します。
Etime解決: 操作の経過した処理時間の最小単位を選択します。デフォルト値はミリ秒です。
アイドル時間制限: クライアント接続の確立を維持できる、最後に完了した操作からの最大期間を指定します。値に0秒を指定した場合は、アイドル時間制限は強制されません。
クライアント最大接続数: 同時に確立するクライアント接続の最大数を指定します。0の値は無制限のクライアント接続を許可することを示します。
認証されたユーザーを保持: サーバーで認証されたユーザーを保持する場合には、このチェック・ボックスを選択します。
未認証リクエストの却下: ディレクトリ・サーバーで、認証されていないクライアント(前回の認証の試行に失敗したか、前回の認証の試行が匿名認証だったため)から受信したリクエスト(バインドおよびStartTLSリクエストを除く)を拒否する場合は、このチェック・ボックスを選択します。
サイズ制限: 1回の検索でクライアントに返すことのできる最大エントリ数。0の値はサイズ制限が強制されないこと示します。デフォルトのサーバー全体に関わる設定ですが、ds-rlim-size-limit操作属性を使用して、ユーザーごとにオーバーライドできます。
書込み可能性モード: ディレクトリ・サーバーで処理できる、書込み操作のタイプを指定します。
ルートDSEプロパティ
操作属性の表示: ディレクトリ・サーバーのスキーマ構成に関係なく、ルートDSEのすべての属性を(操作できない)ユーザー属性(さらに、このためにデフォルトでクライアントに返される)のように処理する場合は、このチェック・ボックスを選択します。
下位ベースDN: ルートDSEをベースとしたsingleLevel、wholeSubtreeおよびsubordinateSubtree検索に使用されるベースDNのセットを指定します。
ワーク・キュー・プロパティ
ワーカー・スレッド数: キューに配置された操作を処理するために使用するワーカー・スレッドの数を指定します。値が増加している場合は、即座に追加のワーカー・スレッドが作成されます。値が現象している場合は、操作が処理を完了するとともに、適切な数のスレッドが破棄されます。
サーバーで実行時にワーカー・スレッド数を決定する場合には、「サーバーによる動的処理」チェック・ボックスをクリックします。
ワーク・キューの最大容量: 同時にワーク・キューに入れることができる操作の最大数を指定します。ワーク・キューがすでに一杯で、追加のリクエストをサーバーで受信する場合に、ワーク・キューが使用可能な処理能力になるまで、フロント・エンドのサーバーと場合によってはクライアントがブロックされます。
データの暗号化
「有効」チェック・ボックスを選択して、暗号化を有効にします。
暗号化アルゴリズム: 暗号化のアルゴリズムの値を選択します。デフォルト値はAES_128です。
暗号化された属性: 暗号化の属性を定義します。データ暗号化を有効にする場合は、属性名を追加する必要があります。
暗号化を適用するサフィックス: 暗号化の接尾辞を定義します。接尾辞を定義しない場合、暗号化がすべての適用可能な接尾辞に対して実行されます。接尾辞を定義した場合、暗号化は定義した接尾辞に対して実行されます。
「適用」をクリックして、変更を保存します。
|
注意: データ暗号化の構成を変更すると、索引が無効になる場合があります。選択した属性に索引を付ける場合、それらの属性の索引を付録A「rebuild-index」の説明に従って再構築する必要があります。 |
構成可能なプロパティの包括的なリストと使用可能な値については、Oracle Unified Directory構成リファレンスのグローバル構成に関する項を参照してください。
接続ハンドラは、接続の許可、リクエストの読取りおよび応答の送信を含む、クライアント・アプリケーションとのすべてのやり取りを処理します。Oracle Unified Directoryには、サーバーへの管理トラフィックを管理する特別な接続ハンドラである管理コネクタが含まれています。管理コネクタは、監視を簡素化し、ユーザー・データを操作するコマンドより管理コマンドを優先するように、ユーザー・トラフィックと管理トラフィックを分離します。
この項では、管理トラフィックがどのように処理されるかについて説明します。内容は次のとおりです:
管理コネクタは、デフォルトでLDAPプロトコルに基づき、SSL経由でLDAPを使用します。管理接尾辞にアクセスするすべてのコマンド行ユーティリティは管理コネクタを使用します。次のコマンドが含まれています:
backup
dsconfig
dsreplication
export-ldif
import-ldif
manage-account
manage-tasks
restore
status
stop-ds
uninstall
管理コネクタは常駐し、常に有効になっています。管理コネクタは無効にしたり、削除できませんが、dsconfigを使用して、次のプロパティを操作できます:
listen-address。サーバーが管理トラフィックをリスニングするアドレス。
listen-port。管理コネクタのデフォルト・ポートは4444です。このポートは、必要に応じて、セットアップ時に変更できます。デフォルト・ポートを使用する場合、管理コマンドの実行時にポートを指定する必要はありません(デフォルト・ポートが前提になります)。ポートを変更する場合には、管理コマンドの実行時、新しいポートを指定する必要があります。
同じホストで複数のディレクトリ・サーバー・インスタンスが実行している場合、セットアップ時、複数の管理リスニング・ポートが指定されます。この場合、管理コネクタがデフォルト・リスニング・ポート(4444)を使用しないサーバー・インスタンスでは、管理コマンドの実行時にポートを指定する必要があります。
セキュリティ関連のプロパティ。管理コネクタを使用するトラフィックは常にセキュリティ保護されます。LDAPS接続ハンドラと同じように、管理コネクタは、セットアップ時、自己署名済の証明書(admin-cert)で構成されます。この自己署名済証明書は、サーバーが最初に起動されるときに生成されます。keytoolなどの外部ツールを使用して、管理コネクタ証明書を管理できます。
管理のセキュリティ関連プロパティには次のようなプロパティがあります:
ssl-cert-nickname
ssl-cipher-suite
key-manager-provider
trust-manager-provider
管理コマンドの実行時、証明書を信頼する方法が尋ねられます。管理コマンドを非対話型モードで実行する場合、-Xオプションまたは--trustAllオプションを指定して証明書を信頼する必要があります。そうでない場合、コマンドは失敗します。
管理接尾辞は次のとおりです:
cn=config
cn=monitor
cn=tasks
cn=backups
cn=ads-truststore
cn=schema
cn=admin data
一般的には、管理接尾辞に直接LDAPアクセスする(ldap*ユーティリティを使用する)ことはお薦めしません。ただし、cn=monitor接尾辞は例外になります。通常、これらの接尾辞には専用管理コマンド行ユーティリティを使用してアクセスすることをお薦めします。
ldap*コマンドを使用して、管理接尾辞にアクセスする場合、管理コネクタ・ポートを使用する必要があります(--useSSLオプションまたは-Zオプションを使用)。管理コネクタを使用すると、データの監視が損なわれず、ユーザー・トラフィックよりもサーバー管理が優先されるようになります。LDAPブラウザを使用して管理接尾辞にアクセスする場合も同様の制限が適用されます。
この例では、管理コネクタのデフォルト・プロパティを表示し、コネクタのリスニング・ポートを5555に変更します。
dsconfigコマンドを使用して、管理コネクタのデフォルト・プロパティを表示します。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ get-administration-connector-prop
出力は次のようになります。
Property : Value(s) -----------------------:--------------- key-manager-provider : Administration listen-address : 0.0.0.0 listen-port : 4444 ssl-cert-nickname : admin-cert ssl-cipher-suite : - trust-manager-provider : Administration
dsconfigコマンドを使用して、リスニング・ポートを変更します。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ set-administration-connector-prop --set listen-port:5555
|
注意: このプロパティの変更を有効にするには、サーバーを再起動する必要があります。 |
管理コネクタはLDAPSコネクタです。すべてのSSLベース・コネクタと同様、管理コネクタにはキー・マネージャと信頼マネージャが必要です。
Oracle Unified Directoryには、デフォルトで有効になる管理コネクタ専用のキー・マネージャと信頼マネージャが用意されています。デフォルトの管理キー・マネージャと信頼マネージャのプロパティは変更できます。詳細は、第23.2項「キー・マネージャ・プロバイダの構成」および第23.3項「信頼マネージャ・プロバイダの構成」を参照してください。
特定のコマンド行ユーティリティを使用して、ディレクトリ・サーバー上で実行するタスク、およびローカルで実行するタスクをスケジュールできます。スケジュールできるタスクは、タスク・バックエンドと対話するディレクトリ・サーバーへの接続に使用されるオプションをサポートします。
この項には次のトピックが含まれます:
次のユーティリティがタスクをスケジュールできます:
import-ldif
export-ldif
backup
restore
stop-ds
stop-ds --restart
rebuild-index
dsreplication purge-historical
プロキシ・サーバーに対しては、stop-dsコマンドのみタスクとして実行するようにスケジュールできます。
allowed-tasks拡張グローバル構成プロパティを設定することにより、実行できるタスクを制御できます。デフォルトでは、タスク・バックエンドによりサポートされるタスクはすべて許可されます。タスクの実行を禁止するには、この値をallowed-tasksプロパティから削除します。たとえば、サーバーがタスクの使用を停止しないようにするには、次のコマンドを実行します:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ set-global-configuration-prop --remove \ allowed-task:org.opends.server.tasks.ShutdownTask
この項では、タスクのスケジュール方法、タスク通知の構成方法およびタスク依存性の構成方法について説明します。この項のすべての例では、コマンドは、デフォルト管理ポート(4444)とローカル証明書構成を使用してローカル・ホスト上で実行されることが前提になっています。コマンドをリモート実行する場合、証明書パラメータを指定することが必要になることがあります。詳細は、第17.3項「サーバーへの管理トラフィックの管理」を参照してください。
この項では、タスクのスケジュールと構成の手順について説明します。内容は次のとおりです:
タスクをスケジュールするには、ディレクトリ・サーバーに接続するためのオプション、オプションの開始時刻、およびタスク実行の引数として使用される任意のオプションで必要なユーティリティを起動します。
-tオプションまたは--startオプションが提供されると、タスクのスケジュール直後、ユーティリティは終了します。ただちに実行するようにタスクをスケジュールし、タスクのスケジュール後ただちにユーティリティを終了するには、開始時間の値として0を指定します。
-tまたは--startオプションを省略すると、ユーティリティは、タスクをただちに実行するようにスケジュールし、タスクの進行状況を追跡し、ログ・メッセージを使用できるように出力し、タスクが完了したときに終了します。
export-ldifタスクを、2009年9月24日の12:15に開始するようにスケジュールします。
$ export-ldif -D "cn=directory manager" -j pwd-file \ -l /ldif-files/example.ldif --start 20090924121500 -n userRoot
再帰タスクをスケジュールするには、ディレクトリ・サーバーに接続するためのオプションで、必要なユーティリティを起動します。再帰タスク・スケジュール、およびタスク実行の引数として使用される任意のオプションを指定します。再帰タスクとして次のコマンドをスケジュールできます:
import-ldif
export-ldif
backup
restore
rebuild-index
dsreplication purge-historical
--recurringTaskオプションは、タスク・スケジューラにより使用される再帰タスク・スケジュールを指定して、再帰タスクの実行タイミングと実行頻度を決定します。スケジュールの指定に使用されるパターンはUNIX crontab(5)スケジューリング・パターンとルールに基づき、空白スペースで区切られる次の5つの整数パターン・フィールドを含みます:
分 [0,59]
時 [0,23]
該当月の日 [1,31]
該当年の月 [1,12]
曜日 [0,6] (0=日曜日)
これらの各パターンは、アスタリスク(全有効値)、要素、またはコンマ区切り要素リストのいずれかになります。要素は、ダッシュで区切る1つまたは2つの数値になります(指定値も含まれます)。
タスク・スケジューラは、指定のスケジュールに従って正規タスク反復を生成します。
--recurringTaskオプションを使用してタスクをスケジュールします。
次のコマンドは、バックアップ・タスクを毎時開始時に実行するようにスケジュールします。
$ backup -D "cn=directory manager" -j pwd-file --recurringTask \ "00 * * * *" --backupDirectory /example/backup --backUpAll --backupID "Hourly Backup"
次の例では、毎週日曜日15分ごとに実行するようにエクスポート・タスクをスケジュールしています。
$ export-ldif -D "cn=directory manager" -j pwd-file --recurringTask \ "0,15,30,45 * * * 0" -l PATH/export-recurring.ldif -n userRoot Recurring Export task ExportTask-a614e45d-6ba5-4c29-a8e1-d518c20e46ab scheduled successfully
ユーティリティのタスク・スケジューリング・オプションにより、タスクが完了したとき、またはタスク実行時にエラーが発生したとき、管理者に通知が送信されます。通知機能を使用するには、ディレクトリ・サーバーに対してSMTPサーバーを構成する必要があります。
smtp-serverグローバル構成プロパティを設定することにより、SMTPサーバーを指定します。
次のコマンドでは、mailserver.example.comという名前のSMTPサーバーが構成されます:
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -X -n \ set-global-configuration-prop --set smtp-server:mailserver.example.com
completionNotifyオプションとerrorNotifyオプションを使用して、タスク通知を送信する電子メール・アドレスを指定します。
次のコマンドでは、backupタスクをスケジュールし、タスク完了時、またはエラー発生時にadmin@example.comに通知を行うように指定しています:
$ backup -D "cn=directory manager" -j pwd-file -a -d /tmp/backups \ --start 20080924121500 --completionNotify admin@example.com \ --errorNotify admin@example.com Backup task 20080924121500 scheduled to start Sep 24, 2008 12:15:00 PM SAST
タスクを開始する前に別のタスクの完了が必要となる場合があります。ユーティリティのタスク依存性オプションは、タスクが別のタスクに依存すること、および他のタスクが失敗した場合にどうするかを指定します。
タスクをスケジュールして、dependencyとfailedDependencyActionを指定します。
次の例では、別のタスクに依存するバックアップ・タスクをスケジュールし、他のタスクが失敗した場合はバックアップをキャンセルすることを指定します:
$ backup -D "cn=directory manager" -j pwd-file -a -d /tmp/backups \ --start 2008102914530410 --dependency 20080924121500 \ --failedDependencyAction cancel Backup task 2008102914530410 scheduled to start Oct 29, 2008 14:53:04 PM SAST
manage-tasksユーティリティは、スケジュール済タスクのリストを取得したり、タスク・ステータスを表示したり、スケジュール済タスクをキャンセルするのに使用できます。次の手順では、スケジュール済タスクの管理例を紹介します:
全スケジュール済タスクのサマリーを表示します。
$ manage-tasks -D "cn=directory manager" -j pwd-file -n -s ID Type Status ------------------------------------------------ 2008100912550010 Backup Completed successfully 2008100912554710 Backup Completed successfully 2008100912560510 Backup Waiting on start time 2008100912561410 Backup Waiting on start time
タスクIDで指定される特定タスクの追加情報を表示します。
$ manage-tasks -D "cn=directory manager" -j pwd-file -n -i 2008100912550010 Task Details ------------------------------------------------------ ID 2008100912550010 Type Backup Status Completed successfully Scheduled Start Time Immediate execution Actual Start Time Oct 9, 2008 12:55:00 PM SAST Completion Time Oct 9, 2008 12:55:01 PM SAST Dependencies None Failed Dependency Action None Email Upon Completion None Specified Email Upon Error None Specified Backup Options ---------------------------- Backup All true Backup Directory ../backups Last Log Message ------------------------------------------------------------------------------ [09/Oct/2008:12:55:01 +0200] severity="NOTICE" msgCount=4 msgID=10944795 message="The backup process completed successfully"
manage-tasksユーティリティを-cオプションまたは--cancelオプション付きで実行します。
次のコマンドは、タスクIDで指定される特定タスクをキャンセルします:
$ manage-tasks -D "cn=directory manager" -j pwd-file -n -c 2008100912561410
再帰タスク全体をキャンセルできます。この場合、再帰タスクと次のスケジュール済反復の両方がキャンセルされます。また、次のスケジュール済タスクのみキャンセルすることもできます。この場合、将来の再帰タスクはタスク・スケジューラによって生成されます。
manage-tasksコマンドを使用して、スケジュール済タスクのサマリーを表示します。
$ manage-tasks -D "cn=directory manager" -j pwd-file -n -s ID Type Status ---------------------------------------------------------------------------- Hourly Backup Backup Recurring Hourly Backup - Wed Jan 14 13:00:00 SAST 2009 Backup Waiting on start time
manage-tasksユーティリティを-cオプションまたは--cancelオプション付きで実行します。
タスクIDで指定して、再帰タスク全体をキャンセルします。
$ manage-tasks -D "cn=directory manager" -j pwd-file -n -c "Hourly Backup" Task Hourly Backup canceled
タスクIDで指定して、次のスケジュール済タスクをキャンセルします。
$ manage-tasks -D "cn=directory manager" -j pwd-file -n \ -c "Hourly Backup - Wed Jan 14 13:00:00 SAST 2009 " Task Hourly Backup - Wed Jan 14 13:00:00 SAST 2009 canceled
Directory Services Markup Language (DSML)は、LDAPプロトコルのかわりにXMLベースの表現を使用してディレクトリ・サーバーと通信できるSOAPベースのメカニズムです。Oracle Unified Directory 11gリリース2 PS1 (11.1.2.1.0)は、DSMLとLDAP間のゲートウェイとして動作するWebアプリケーション経由でのDSMLの使用をサポートします。クライアントはDSMLを使用してゲートウェイと通信し、ゲートウェイはLDAP経由でディレクトリ・サーバーと通信します。
この項では、DSMLゲートウェイの構成とデプロイの方法について説明します。内容は次のとおりです:
DSMLゲートウェイは、他のWebアプリケーションと同じように一般的なアプリケーション・コンテナにデプロイできます。次の項では、Oracle WebLogic ServerまたはIBM WebSphereにDSMLゲートウェイをデプロイする方法について説明します。
『Oracle Fusion Middleware Oracle Unified Directoryインストレーション・ガイド』のOracle WebLogic Serverのインストールに関する項の説明に従って、Oracle WebLogic Serverをインストールしていることを確認します。
DSMLゲートウェイ用のWebLogic Serverの構成
次の場所から構成ウィザードを実行します:
OUD_BASE_LOCATION_HOME/wlserver_10.3/common/bin/config.sh
「ようこそ」画面で「新しいWebLogicドメインの作成」を選択し、「次へ」をクリックします。
「ドメイン・ソースの選択」画面で、デフォルトの選択内容(Basic WebLogic Server Domain)を使用して、「次へ」をクリックします。
「ドメイン名と場所の指定」画面で、ドメイン名を入力し、場所を指定します。
この場所に新しいWebLogicドメインが作成されます。DSMLゲートウェイはこのドメインにデプロイされます。
「管理者ユーザー名およびパスワードの構成」画面で、このドメインの管理者になるユーザーの名前とパスワードを入力します。
パスワードは8文字以上の長さで、数字または特殊文字を1つ以上含む必要があります。パスワードを確認して、「次へ」をクリックします。
これらの情報はWebLogicドメインの起動または再起動時に必要になるので、控えておいてください。
サーバー起動モードの構成画面で、「本番モード」を選択します。
有効なJDK (Java 1.6以上)を選択し、「次へ」をクリックします。
「オプションの構成」画面で「次へ」をクリックします。
「構成のサマリー」画面で、ドメイン詳細を確認して「作成」をクリックします。
「ドメインの作成中」画面で、「完了」をクリックします。
WebLogic Serverに対してJavaオプションを設定します。
$ export JAVA_OPTIONS=-Djavax.xml.soap.MessageFactory=weblogic.xml.saaj.MessageFactoryImpl
Javaオプションを設定しない場合、エラーが返されます。
WebLogicドメイン(DOMAIN_HOME/config/config.xml。DOMAIN_HOMEは手順4で作成したドメイン)の構成ファイル内のenforce-valid-basic-auth-credentialsフラグを設定します。
たとえば、次の行をsecurity-configuration要素に追加することにより、ファイルOUD_BASE_LOCATION_HOME/user_projects/domains/base_domain/config/config.xmlを編集します:
<enforce-valid-basic-auth-credentials>false</enforce-valid-basic-auth-credentials>
詳細は、http://download.oracle.com/docs/cd/E12840_01/wls/docs103/security/thin_client.html#understanding_basic_atnを参照してください。
DOMAIN_HOME/bin/startWebLogic.sh (DOMAIN_HOMEは手順4で作成したドメイン)を実行することによって、WebLogic Serverを開始します。
例:
OUD_BASE_LOCATION_HOME/user_projects/domains/base_domain/bin/startWebLogic.sh
次の項で説明するようにDSMLゲートウェイWARファイルをデプロイします。
DSMLゲートウェイWARファイルのデプロイ
アドオン・ディレクトリにDSMLディレクトリを作成し、そのディレクトリに移動します。
$ cd OUD_BASE_LOCATION_HOME/ORACLE_HOME/addons
$ mkdir DSML
$ cd DSML
DSMLゲートウェイWARファイルを展開します。
$ jar xvf ../OUD-DSML.zip
必要に応じて、DSML構成を編集します。
WEB-INF/web.xmlファイルには、DSMLリクエストの転送先となるディレクトリ・サーバーのアドレス(ldap.hostパラメータ)とポート番号(ldap.portパラメータ)を指定するために使用できる初期化パラメータが含まれています。
デフォルトでは、DSMLゲートウェイは、同じシステム(localhost)上のディレクトリ・サーバーとポート389で通信するように構成されています。ホスト・アドレスとポート番号を変更する必要がある場合は、web.xmlファイルを編集して、Webコンテナを再起動します。
ブラウザ・ウィンドウで、WebLogic管理コンソール(たとえばhttp://hostname:7001/console)に接続します。hostnameは、WebLogic Serverが実行しているホストです。
前述の手順5で設定した管理者のユーザー名とパスワードを使用します。
Webアプリケーションのインストールについては、WebLogic Serverドキュメント(http://download.oracle.com/docs/cd/E12840_01/wls/docs103/ConsoleHelp/taskhelp/web_applications/InstallWebApplications.html)に従ってください。
手順4で、展開したアプリケーションのパス(OUD_BASE_LOCATION_HOME/ORACLE_HOME/addons/DSML)を指定します。
手順6で、「このデプロイメントをアプリケーションとしてインストールする」を選択します。
他の手順ではデフォルト値を使用します。
管理コンソールの左パネルで、「デプロイメント」をクリックします。
DSMLアプリケーションの隣のチェック・ボックスを選択し、「開始」、「すべてのリクエストを処理」の順にクリックします。
「デプロイメントの起動」パネルで、「はい」をクリックします。
DSMLアプリケーションがデプロイされ、使用できる状態になります。
DSMLゲートウェイWARファイルをIBM Websphereにデプロイするには、次の操作を完了します:
|
注意: Oracle Fusion Middleware Oracle Unified Directoryインストレーション・ガイドのOracle Directory Services Manager用のIBM WebSphereの構成に関する項の手順に従って、IBM WebSphereをインストールおよび構成していることを確認します。 |
アドオン・ディレクトリにDSMLディレクトリを作成し、そのディレクトリに移動します。
$ cd OUD_BASE_LOCATION_HOME/ORACLE_HOME/addons
$ mkdir DSML
$ cd DSML
DSMLゲートウェイWARファイルを展開します。
$ jar xvf ../OUD-DSML.war
必要に応じて、DSML構成を編集します。
WEB-INF/web.xmlファイルには、DSMLリクエストの転送先となるディレクトリ・サーバーのアドレス(ldap.hostパラメータ)とポート番号(ldap.portパラメータ)を指定するために使用できる初期化パラメータが含まれています。
デフォルトでは、DSMLゲートウェイは、同じシステム(localhost)上のディレクトリ・サーバーとポート389で通信するように構成されています。ホスト・アドレスとポート番号を変更する必要がある場合は、web.xmlファイルを編集して、Webコンテナを再起動します。
ブラウザで、IBM WebSphere管理コンソールにログインします。
http://Hostname:Port-Number/ibm/console/
左のパネルで、「アプリケーション」、「新規アプリケーション」の順に選択します。
新規エンタープライズ・アプリケーションをクリックします。
アプリケーション・インストールの準備ページが表示されます。
OUD-DSML.warファイルのパスを指定して、「次へ」をクリックします。
OUD-DSML.warファイルがローカル・システム上にある場合、ローカル・ファイル・システムの完全パスを入力します。
ファイルがリモートIBM WebSphereマシンに存在する場合は、リモート・ファイル・ロケーションのパスを指定します。
詳細 - すべてのインストール・オプションとパラメータを表示するを選択します。
デフォルトのバインディングとマッピングを生成するページで、デフォルト構成のまま「次へ」をクリックします。
「アプリケーション・セキュリティ警告」ページで「続行」をクリックします。
インストール・オプションの選択ページが表示されます。
次の詳細を入力します:
デフォルト以外の場所にアプリケーションをインストールするには、「アプリケーションをインストールするディレクトリ」フィールドに、パスを入力します。たとえば、UNIXシステムの場合は次のスクリプトを使用します:
/opt/IBM/Websphere/AppServer/installed Apps/Hostname
次のオプションが選択されていることを確認します:
JavaServer Pagesファイルのプリコンパイル
分散アプリケーション
ユーザー・バイナリ構成
「アプリケーション名」フィールドにアプリケーション名を入力し、「次へ」をクリックします。デフォルト・アプリケーション名はOUD-DSML.warです。
「モジュールをサーバーにマップ」ページで、Oracle Unified Directoryアプリケーション・マッピングが適切なクラスタ/サーバーに設定されていることを確認し、「次へ」をクリックします。
JSPのコンパイル・オプションの指定ページが表示されます。
次の変更を行い、「次へ」をクリックします:
WebモジュールOracle Unified Directoryを選択します。
JDKソース・レベルを15に変更します。
Webモジュールに対するJSPリロード・オプションの指定ページで、デフォルト構成を使用します。
「共有ライブラリのマップ」ページで、設定を確認し、「次へ」をクリックします。
「共有ライブラリ関係のマップ」ページで、設定を確認し、「次へ」をクリックします。
「Webモジュールの仮想ホストのマップ」ページで、Oracle Unified Directoryアプリケーション・マッピングが適切なホストに設定されていることを確認し、「次へ」をクリックします。
「Webモジュールのコンテキスト・ルートのマッピング」ページで、コンテキスト・ルート/DSMLを指定し、「次へ」をクリックします。
「アプリケーション」、「アプリケーション・タイプ」、WebSphere Enterprise Applications、OUD-DSML_war、「モジュールの管理」の順に選択して、次の操作を行います:
クラスタ/サーバーのマッピングが正しいことを確認します。
「OUD-DSML.war」>「クラス・ローダーの順序」の順に選択します。
「クラス・ローダーの順序」でローカル・クラス・ローダーで最初にクラスをロード(親が最後)を選択し、変更を保存します。
|
注意: 同じセルで複数のアプリケーションを実行している場合、アプリケーション・クラス・ローダーが親をオーバーライドし、クラスの独自のバージョンを提供できるように、アプリケーション・サーバーを構成することが重要です。WebSphereに対して、前述に説明しているように、ローカル・クラス・ローダーで最初にクラスをロード(親が最後)を選択します。 |
IBM WebSphereを再起動します。
DSMLゲートウェイをデプロイして構成した後、DSMLv2クライアントを使用してDSMLゲートウェイに通信できます。次の項では、このことを行うための2つの方法について説明します:
JXplorerツールは、Oracle Unified Directoryインスタンスのコンテンツの参照、検索および編集に使用できるJavaベースのLDAPブラウザです。このツールはLDAPとDSMLの両方を使用して通信できます。JXplorerのDSMLサポートには認証は含まれませんが(したがって、匿名ユーザーに許可される操作セットにのみ制限されます)、DSMLゲートウェイが期待どおり機能しているかどうか確認することはできます。
JXplorerと付属ドキュメントはjxplorer.orgからダウンロードできます。
JXplorerを使用してDSMLゲートウェイを確認するには、次の手順に従います:
JXplorerを開始し、「ファイル」メニューから「接続」オプションを選択します。
「LDAP/DSML接続を開く」ウィンドウが開き、各フィールドに接続情報が表示されます。次の図に、エントリ例を示します。
DSMLゲートウェイが実行されるWebアプリケーションのアドレスとポート番号を入力します。
プロトコル・リストからDSMLv2を選択します。
DSMLサービス・フィールドにDSMLサーブレットのパスを指定します。
ディレクトリの適切なベースDN値を指定します。
「OK」をクリックして、ディレクトリ・サーバーに接続し、ツリーを検索および参照できるJXplorerウィンドウ(匿名ユーザー用制限付き)が表示されます。
Directory Server Resource Kit (DSRK)は、ディレクトリ・サーバーとともに使用できるユーティリティのコレクションです。DSRKは、もともとはOracle Directory Server Enterprise Edition対応でしたが、ほとんどの場合において、Oracle Unified Directoryで使用されています。DSRKの最新バージョンは、Oracle Directory Server Enterprise Edition 11gリリース1 PS1 (11.1.1.7.0)に含まれており、LDAPではなくDSMLを使用してディレクトリ・サーバーとやり取りできるdsmlsearchツールとdsmlmodifyツールが含まれています。
これらDSMLツールの旧バージョンがDirectory Server Resource Kitの以前のバージョンから提供されていますが、Oracle Directory Server Enterprise Edition 11gリリース1 PS1 (11.1.1.7.0)から提供されているバージョンの方が操作性に優れているので、こちらの使用を強くお薦めします。Oracle Directory Server Enterprise Edition 11gリリース1 PS1 (11.1.1.7.0)は次のOracle Technology Network (OTN)からダウンロードできます:
http://www.oracle.com/technetwork/middleware/downloads/oid-11g-161194.html
dsmlsearchコマンドの使用dsmlsearchコマンドは、ldapsearchコマンドのDSMLベース・バージョンです。dsmlsearchはldapsearchと似ていますが、重要な違いがいくつかあります。使用方法を確認するには、次の例のように、引数なしでコマンドを実行します:
$ ./dsmlsearch
usage: dsmlsearch -h http://host:port -b basedn [options] filter [attributes...]
where:
-h hostURL URL of the directory server
-b basedn base dn for search
-D binddn bind dn
-w passwd bind password (for simple HTTP authentication)
use "-w - " to prompt for a password
-j pwfile file where password is stored
-s scope specify the scope of the search
baseObject - For searching only the base entry
singleLevel - For searching only the children
wholeSubtree - For searching the base entry and all childrens
-a deref specify how aliases are deferenced
neverDerefAliases - Aliases are never dereferenced
derefFindingBaseObj - Dereferenced when finding the base DN
derefAlways - Dereferenced when finding below the base DN
-l seconds specify the maximum number of seconds to wait for the search
-z number specify the maximum number of entries to return for the search
-f file specify the name of the file containing the search filter
dsmlsearchコマンドはldapsearchと使用方法が異なります:
-h引数が、サーバーへのアクセスに使用するURLを指定します。ホスト番号とポート番号、およびゲートウェイ・サーブレットのURIが含まれている必要があります(たとえばhttp://127.0.0.1:8080/dsml/DSMLServlet)。
-b引数は、検索範囲を指定します。ただし、指定値が異なります(baseではなくbaseObject、oneではなくsingleLevel、subではなくwholeSubtree)。
結果はDSML形式で出力されます。これは、ldapsearchで提供されるLDIF形式のようなわかりやすい読取り可能な形式ではありません。
このツールの使用例を次に示します。DSML出力には改行はありませんが、ここでは読みやすさのために改行を入れています。
$ ./dsmlsearch -h http://127.0.0.1:8080/dsml/DSMLServlet \-b "dc=example,dc=com" -s baseObject \"(objectClass=*)"
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
<SOAP-ENV:Body><dsml:batchResponse xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core">
<dsml:searchResponse><dsml:searchResultEntry dn="dc=example,dc=com"><dsml:attr
name="objectClass"><dsml:value>domain</dsml:value><dsml:value>top</dsml:value>
</dsml:attr><dsml:attr name="dc"><dsml:value>example</dsml:value></dsml:attr>
</dsml:searchResultEntry><dsml:searchResultDone><dsml:resultCode code="0"/>
</dsml:searchResultDone></dsml:searchResponse></dsml:batchResponse>
</SOAP-ENV:Body></SOAP-ENV:Envelope>
dsmlmodifyユーティリティの使用dsmlmodifyユーティリティは、ldapmodifyコマンドのDSMLベース・バージョンで、DSML経由でDNの追加、削除および変更を実行できます。使用方法を確認するには、次の例のように、引数なしでツールを実行します:
$ ./dsmlmodify
usage: dsmlmodify -h http://host:port [options] -f file
where:
-h hostURL URL of the directory server
-D binddn bind dn
-w passwd bind password (for simple HTTP authentication)
use "-w - " to prompt for a password
-j pwfile file where password is stored
-f file specify the name of the file containing
the modifications
dsmlsearchユーティリティと同様、-h引数はURLを指定し、出力はDSML形式で返されます。ldapmodifyとは異なり、dsmlmodifyツールは、標準入力からの変更を許可しません。変更はファイルで指定する必要があり、ファイルはLDIFではなくDSML形式である必要があります。また、変更に外部batchRequestラッパーを含めることはできません。次の例に、標準的な入力ファイルを示します。
<addRequest dn="uid=test.user,dc=example,dc=com"> <attr name="objectClass"> <value>top</value> <value>person</value> <value>organizationalPerson</value> <value>inetOrgPerson</value> </attr> <attr name="uid"> <value>test.user</value> </attr> <attr name="givenName"> <value>Test</value> </attr> <attr name="sn"> <value>User</value> </attr> <attr name="cn"> <value>Test User</value> </attr> <attr name="userPassword"> <value>password</value> </attr> </addRequest> <modifyRequest dn="uid=test.user,dc=example,dc=com"> <modification name="description" operation="replace"> <value>This is the new description</value> </modification> </modifyRequest> <modDNRequest dn="uid=test.user,dc=example,dc=com" newrdn="cn=Test User" deleteoldrdn="false" newSuperior="ou=People,dc=example,dc=com" /> <delRequest dn="cn=Test User,ou=People,dc=example,dc=com" />
次の例は、これらの変更を適用した後の出力を示しています。読みやすさのために出力に改行を追加しています:
$dsmlmodify -h http://127.0.0.1:8080/dsml/DSMLServlet \ -D "cn=Directory Manager" -j pwd-file -f /tmp/test.dsml<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"> <SOAP-ENV:Body><dsml:batchResponse xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"> <dsml:addResponse><dsml:resultCode code="0"/></dsml:addResponse> <dsml:modifyResponse><dsml:resultCode code="0"/></dsml:modifyResponse> <dsml:modDNResponse><dsml:resultCode code="0"/></dsml:modDNResponse> <dsml:delResponse><dsml:resultCode code="0"/><dsml:errorMessage>The number of entries deleted was 1</dsml:errorMessage></dsml:delResponse></dsml:batchResponse> </SOAP-ENV:Body></SOAP-ENV:Envelope> $dsmlmodify -h http://localhost:8080/dsml/DSMLServlet \ -D "cn=directory manager" -j pwd-file -f /tmp/dsml.ldif<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"> <SOAP-ENV:Body><batchResponse xmlns="urn:oasis:names:tc:DSML:2:0:core"> <addResponse><resultCode code="0"/></addResponse> <modifyResponse><resultCode code="0"/></modifyResponse> <modDNResponse><resultCode code="0"/></modDNResponse> <delResponse><resultCode code="0"/></delResponse></batchResponse> </SOAP-ENV:Body></SOAP-ENV:Envelope>
