N2L サービスは、Oracle Directory Server Enterprise Edition に対応しています。その他のサードパーティー製 LDAP サーバーも N2L サービスで動作する可能性がありますが、Oracle ではサポートしていません。Oracle Directory Server Enterprise Edition サーバーまたは互換 Oracle サーバー以外の LDAP サーバーを使用している場合は、RFC 2307、RFC 2307bis、および RFC 4876、またはそれ以降の標準をサポートするようにサーバーを手動で構成する必要があります。
Oracle Directory Server Enterprise Edition を使用すれば、ディレクトリサーバーを強化してパフォーマンスを改善できます。これらの強化を行うには、Oracle Directory Server Enterprise Edition サーバー上に LDAP の管理者権限が必要です。さらに、ディレクトリサーバーをリブートする必要がある場合は、LDAP クライアントと連携する必要があります。Oracle Directory Server Enterprise Edition のドキュメントは、Oracle Directory Server Enterprise Edition のドキュメントで入手できます。
大きなマップでは、LDAP 仮想リスト表示 (VLV) インデックスを使用して、LDAP 検索から完全な結果が確実に返されるようにする必要があります。Oracle Directory Server Enterprise Edition での VLV インデックスの設定については、Oracle Directory Server Enterprise Edition のドキュメントを参照してください。
VLV の検索結果では、固定ページサイズ 50000 を使用します。Oracle Directory Server Enterprise Edition で VLV を使用する場合は、LDAP サーバーと N2L サーバーの両方が、このサイズの転送を処理できることを確認してください。すべてのマップがこの制限より小規模であることが明らかな場合は、VLV インデックスを使用する必要はありません。ただし、マップがこのサイズ制限より大きい場合、またはすべてのマップのサイズが明確な場合以外には、VLV インデックスを使用して、結果が不完全となることを防止しなければなりません。
VLV インデックスを使用している場合は、次のように適切なサイズ制限を設定します。
Oracle Directory Server Enterprise Edition サーバーで、確実に nsslapd-sizelimit 属性を 50000 以上、または –1 に設定してください。詳細は、idsconfig(1M) のマニュアルページを参照してください。
N2L サーバーで、確実に nisLDAPsearchSizelimit 属性を 50000 以上、または 0 に設定してください。詳細は、NISLDAPmapping(4) のマニュアルページを参照してください。
VLV インデックスが作成されたら、Oracle Directory Server Enterprise Edition サーバーで vlvindex オプションを付けてdsadm を実行して、VLV インデックスをアクティブにします。詳細は、 dsadm (1M) のマニュアルページを参照してください。
次の状況に適合する場合、Oracle Directory Server Enterprise Edition の idsconfig コマンドを使用して、VLV を設定してください。
Oracle Directory Server Enterprise Edition を使用している。
標準マップを RFC 2307bis LDAP エントリにマップしている。
VLV はドメイン固有です。よって、idsconfig を実行するたびに、1 つの NIS ドメインに VLV が作成されます。そのため、NIS から LDAP への移行中、NISLDAPmapping ファイルに含まれている各 nisLDAPdomainContext 属性に対して 1 回 idsconfig を実行する必要があります。
次の状況に適合する場合、マップ用の新しい Oracle Directory Server Enterprise Edition VLV を手動で作成するか、既存の VLV インデックスをコピーして変更する必要があります。
Oracle Directory Server Enterprise Edition を使用している。
大規模なカスタムマップがあるか、非標準の DIT 位置にマップされる標準のマップがある場合
既存の VLV インデックスを表示するには、次のコマンドを入力します。
% ldapsearch -h hostname -s sub -b "cn=ldbm database,cn=plugins,cn=config" "objectclass=vlvSearch"
N2L サーバーがマップをリフレッシュすると、その結果、LDAP ディレクトリへの長いアクセスが必要になることがあります。Oracle Directory Server Enterprise Edition が正しく構成されていない場合、リフレッシュ動作は完了前にタイムアウトになることがあります。ディレクトリサーバーのタイムアウトを回避するには、Oracle Directory Server Enterprise Edition 属性を手動で、または idsconfig コマンドを実行することで変更します。
たとえば、次の属性を修正して、サーバーでの検索リクエストの実行にかかる最小時間を秒単位で増やすことができます。
dn: cn=config nsslapd-timelimit: -1
テストのためには、属性値として –1 を使用できます。この値は、制限がないことを示しています。最適な制限値が決まったら、属性値を変更します。稼働サーバーに、–1 の属性値が設定されていてはなりません。制限がないと、サーバーがサービス妨害攻撃に無防備になる場合があります。
LDAP での Oracle Directory Server Enterprise Edition の構成の詳細は、LDAP クライアントでの Oracle Directory Server Enterprise Edition のセットアップを参照してください。
バッファーオーバーランを回避するには、Oracle Directory Server Enterprise Edition 属性を手動で、または idsconfig コマンドを実行することで変更する必要があります。例:
次の属性を修正して、クライアント検索照会に返されるエントリの最大数を増やします。
dn: cn=config nsslapd-sizelimit: -1
次の属性を修正して、クライアント検索照会で確認されるエントリの最大数を増やします。
dn: cn=config, cn=ldbm database, cn=plugins, cn=config nsslapd-lookthroughlimit: -1
テストのためには、属性値として –1 を使用できます。この値は、制限がないことを示しています。最適な制限値が決まったら、属性値を変更します。稼働サーバーに、–1 の属性値が設定されていてはなりません。制限がないと、サーバーがサービス妨害攻撃に無防備になる場合があります。
VLV が使用されている場合は、sizelimit 属性値を Oracle Directory Server Enterprise Edition での仮想リスト表示 (VLV) インデックスの作成で定義されているように設定してください。VLV を使用していない場合、もっとも大きなコンテナを格納できるようにサイズ制限を設定する必要があります。
LDAP での Oracle Directory Server Enterprise Edition の構成の詳細は、LDAP クライアントでの Oracle Directory Server Enterprise Edition のセットアップを参照してください。