9 システム構成属性の管理

この章では、Oracle Internet Directory LDAPサーバーを制御する構成属性について説明し、それらの属性をOracle Enterprise Manager Fusion Middleware Control、WebLogic Scripting Tool (wlst)、LDAPツールおよびOracle Directory Services Manager (ODSM)を使用して管理する方法について説明します。

Oracle Internet Directoryレプリケーション・サーバーを制御する属性の詳細は、「レプリケーション構成属性の管理」を参照してください。

この章の内容は次のとおりです。

• システム構成属性の管理

• Fusion Middleware Controlを使用したシステム構成属性の管理

• WLSTを使用したシステム構成属性の管理

• LDAPツールを使用したシステム構成属性の管理

• ODSMデータ・ブラウザを使用したシステム構成属性の管理

関連項目:

アプリケーションおよびシステム構成属性。

9.1 システム構成属性の管理

様々なシステム構成属性の管理について理解します。

この項では、次の項目について説明します。

• 構成属性について

• 操作属性について

• インスタンス固有の構成エントリの属性

• DSA構成エントリの属性

• DSEの属性

9.1.1 構成属性について

大部分のOracle Internet Directory構成情報は、ディレクトリ自体に格納されます。情報は、特定の構成エントリの属性として格納されます。システム構成属性を設定するには、スーパーユーザー権限を持っている必要があります。

一部の構成属性は、Oracle Internet Directoryサーバーの個々のインスタンスに固有の属性です。インスタンス固有の属性は、Oracle Internet Directoryインスタンス・エントリの特定のサブエントリである、インスタンス固有の構成エントリにあります。図8-1に、DIT内のこれらのエントリの場所を示します。

一部の構成属性は、同じデータベースに接続される、WebLogicサーバー・ドメイン内のすべてのOracle Internet Directoryサーバー・インスタンスによって共有されます。共有属性はDSA構成エントリにあります。レプリケーション固有の属性は、レプリカ・サブエントリ、レプリケーション構成エントリおよびレプリケーション承諾エントリにあります。

一部の属性はDSEルートにあります。これらの属性のほとんどは構成できません。

「Oracle Internet Directoryコンポーネントのプロセス制御の理解」を参照してください

ノート:

Oracle Internet Directory構成属性(インスタンス固有属性または共有属性のいずれか)は、レプリケートされません。たとえば、OrclComputedAttributeからの計算属性定義は、DSA構成エントリに格納されます。レプリケートはされません。デプロイメントで構成属性のレプリケートが必要な場合、手動でレプリケートする必要があります。

すべての構成属性はコマンド行から管理できます。また、構成属性の多くは、Oracle Enterprise Manager Fusion Middleware ControlまたはOracle Directory Services Managerに特定のタスク指向の管理インタフェースを持っています。Oracle Directory Services Managerのデータ・ブラウザ機能を使用してエントリを直接管理することもできます。

関連項目:

• Fusion Middleware Controlを使用したシステム構成属性の管理

• LDAPツールを使用したシステム構成属性の管理

• ODSMデータ・ブラウザを使用したシステム構成属性の管理

9.1.2 操作属性について

構成属性を操作属性と混同しないようにしてください。操作属性はディレクトリ・サーバーにとって特別な意味があり、サーバー自体で処理を行ったり、サーバーで管理されている(クライアントから明示的に提供されることのない)その他のデータを保持するために必要な情報を格納する場合に使用されます。これらはサーバーによって管理される属性であり、エントリについてサーバーが管理する情報を反映したり、サーバー操作に影響を与えます。

操作属性は、検索リクエストで名前を指定するか、または+オプションを使用して具体的にリクエストしないかぎり、検索操作によって返されることはありません。詳細は、「ldapsearchを使用した操作属性のリスト」を参照してください。

操作属性の例として、「ユーザー・エントリの操作属性」で説明されているように、エントリのタイムスタンプ、パスワード・ポリシーの適用に必要な状態の値などがあります。操作属性を変更することはできません。

11gリリース1 (11.1.1.9.0)以降では、Oracle Internet Directoryサーバーによって、numsubordinate操作属性が返されます。これは、特定のベース識別名の子エントリの数を指定します。

ノート:

デフォルトでは、numsubordinate操作属性は、検索リクエストに+オプションを指定したときに返されません。cn=dsaconfig,cn=configsets,cn=oracle internet directoryエントリで、orcldseecompatibleフラグを明示的に1に設定する必要があります。

9.1.3 インスタンス固有の構成エントリの属性

インストール時、Oracle Identity Managementインストーラにより、最初のOracle Internet Directoryインスタンスに対してインスタンス固有の構成エントリが作成されます。

cn=configset0の下にある読取り専用エントリからデフォルト値がコピーされます。(インストール時に、SSLポートと非SSLに対して異なる値を指定できます。)

インスタンス固有の構成エントリの識別名の形式は次のとおりです。

cn=componentname,cn=osdldapd,cn=subconfigsubentry

たとえば、サーバー・インスタンスのコンポーネント名がoid1の場合、インスタンス固有の構成エントリのDITは次のようになります。

cn=oid1,cn=osdldapd,cn=subconfigsubentry

表9-1に、インスタンス固有の構成エントリの属性を示します。更新メカニズムの列には、次の略称が含まれています。

• EM - Oracle Enterprise Manager Fusion Middleware Control。「Fusion Middleware Controlを使用したシステム構成属性の管理」を参照してください。

• WLST–WebLogic Scripting tool。「WLSTを使用したシステム構成属性の管理」を参照してください。

• LDAP - LDAPコマンド行ツール(ldapmodifyやldapaddなど)。「LDAPツールを使用したシステム構成属性の管理」を参照してください。

表9-1 インスタンス固有の構成エントリの属性

属性	説明	更新メカニズム	デフォルト	使用可能な値
orclserverprocs	サーバー・プロセスの数 変更した後、サーバーを再起動します。 「Oracle Internet Directoryコンポーネントのプロセス制御の理解」を参照してください。	EM、LDAP、WLST	1	1024までの整数。
orclreqattrcase	ldapsearchリクエストで指定された必須属性名の大/小文字を保持します。 「Oracle Internet Directoryのスタート・ガイド」を参照してください。	EM、LDAP	0	0: 属性の大/小文字は保持されません 1: 属性の大/小文字を保持します
orclhostname	ホスト名またはIPアドレス。 「Oracle Internet DirectoryでのIPアドレス管理」を参照してください。 「Oracle Internet Directoryインスタンスの管理」を参照してください	LDAP	インストール時に設定	ホストまたはIPアドレス
orclnonsslport	非SSLポート 「サーバー・プロパティの構成」を参照してください。ポート番号を変更した場合は、サーバーを再起動してください。「Oracle Internet Directoryインスタンスの管理」を参照してください。	EM、LDAP、WLST	3060	ポート番号
orclsslport	SSLポート 「サーバー・プロパティの構成」を参照してください。ポート番号を変更した場合は、サーバーを再起動してください。「Oracle Internet Directoryインスタンスの管理」を参照してください。	EM、LDAP、WLST	3131	ポート番号
orcltraceconndn	orclDebugFlagがゼロ(0)以外の値に設定されている場合に、指定された接続DNによって実行される操作のメッセージをOracle Internet Directoryサーバーに記録させる接続の識別名(DN)。	EM、LDAP、WLST	なし	1つ以上の接続DNを指定できる複数値属性。
orcltraceconnip	orclDebugFlagがゼロ(0)以外の値に設定されている場合に、指定された接続IPアドレスによって実行される操作のメッセージをOracle Internet Directoryサーバーに記録させる接続IPアドレス。	EM、LDAP、WLST	なし	1つ以上の接続IPアドレスを指定できる複数値属性。
orcltxntimelimit	1つのトランザクションで許容される最大時間(秒)。『Oracle Identity Managementアプリケーション開発者ガイド』のLDAPトランザクションの使用に関する項、および「サーバー・プロパティの構成」を参照してください。	EM、LDAP、WLST	0	正の整数(秒)
orcltxnmaxoperations	1つのトランザクションで許容される操作の最大数。『Oracle Identity Managementアプリケーション開発者ガイド』のLDAPトランザクションの使用に関する項、および「サーバー・プロパティの構成」を参照してください。	EM、LDAP、WLST	0	正の整数
orclservermode	サーバー・モード 「バルク操作の実行」を参照してください。	EM、LDAP、WLST	rw	R: 読取り専用 rw: 読取り/書込み rm: 読取り/更新
orclaudcustevents	監査されるイベント名とカテゴリ名のカンマ区切りのリスト。カスタム・イベントは、orclAudFilterPresetがCustomの場合のみ適用できます。「監査の管理」を参照してください。	EM、LDAP、WLST	指定なし	例: Authentication.SUCCESSESONLY, Authorization(Permission -eq 'CSFPermission')
orclaudfilterpreset	10g (10.1.4.0.1)以前のリリースで使用されていた監査レベルを置き換えます。「監査の管理」を参照してください。	EM、LDAP、WLST	なし	None、Low、Medium、AllおよびCustom。
orclaudsplusers	orclAudFilterPresetがNoneの場合でも、監査が常に有効化されるユーザーのカンマで区切られたリスト。「監査の管理」を参照してください。	EM、LDAP、WLST	指定なし	有効なユーザー。次に例を示します。 cn=orcladmin
orclcachenotifyip	キャッシュされたデータが変更されたときに、クラスタ環境でOracle Internet Directoryサーバーが相互に通信できるように、IPアドレスにポート番号を関連付けます。	LDAP	なし	ポート番号およびIPアドレス 「クラスタ内通知用のIPアドレスの構成」を参照してください。
orcldebugflag	デバッグ・フラグ 「ロギングの管理」を参照してください。	EM、LDAP、WLST	0	0 ~ 117440511 表24-3を参照してください。
orcldebugforceflush	強制フラッシュ・デバッグ・メッセージ 「ロギングの管理」を参照してください。	LDAP	0	0: 無効 1: 有効
orcldebugop	デバッグ操作の有効化 「ロギングの管理」を参照してください。	EM、LDAP、WLST	511	表24-4を参照してください。
orclmaxlogfiles	ローテーション状態を保つログ・ファイルの最大数 「ロギングの管理」を参照してください。	EM、LDAP、WLST	100	整数
orclmaxlogfilesize	最大ログ・ファイル・サイズ(MB) 「ロギングの管理」を参照してください。	EM、LDAP、WLST	1 MB	サイズ(MB)
orcleventlevel	統計収集のイベント・レベル 「Oracle Internet Directoryのモニタリング」を参照してください。	EM、LDAP、WLST	0	表25-5を参照してください。
orcloptracklevel	セキュリティ・イベント追跡レベル 「Oracle Internet Directoryのモニタリング」を参照してください。	EM、LDAP、WLST	0	表25-3
orclstatsflag	OID統計データをオンまたはオフにするフラグ 「Oracle Internet Directoryのモニタリング」を参照してください。	EM、LDAP、WLST	1	0: 無効 1: 有効
orclstatslevel	ユーザー統計収集の有効化 「Oracle Internet Directoryのモニタリング」を参照してください。	EM、LDAP、WLST	0	0: 無効 1: 有効
orclstatsperiodicity	統計をデータベースにフラッシュする頻度 「Oracle Internet Directoryのモニタリング」を参照してください。	EM、LDAP、WLST	30	60
orclsslauthentication	SSL認証 変更した後、サーバーを再起動します。 「Secure Sockets Layer (SSL)の構成」を参照してください。	EM、LDAP、WLST	1	1: SSL認証なし 32: 一方向認証 64: 双方向認証
orclsslciphersuite	SSL暗号スイート 変更した後、サーバーを再起動します。 「Secure Sockets Layer (SSL)の構成」を参照してください。	EM、LDAP、WLST	指定なし	表28-1(左側の列)を参照してください。
orclsslenable	SSL有効化 変更した後、サーバーを再起動します。WLSTまたはEMを使用してサーバーを構成する場合、orclsslenableを1または2に設定します。 「Secure Sockets Layer (SSL)の構成」を参照してください。	EM、LDAP、WLST	2	0: 非SSLのみ 1: SSLのみ 2: 非SSLおよびSSLモード
orclsslinteropmode	SSL相互運用性モード 変更した後、サーバーを再起動します。 「Secure Sockets Layer (SSL)の構成」を参照してください。	LDAP	0	0: 無効 1: 有効
orclsslversion	SSLバージョン 変更した後、サーバーを再起動します。 「Secure Sockets Layer (SSL)の構成」を参照してください。	EM、LDAP、WLST	3	3
orclsslwalleturl	SSLウォレットURL 変更した後、サーバーを再起動します。 「Secure Sockets Layer (SSL)の構成」を参照してください。	EM、LDAP、WLST	ファイル	SSLウォレット・ファイルの場所。
orclanonymousbindsflag	匿名ユーザーによるバインドを許可 「認証の管理」を参照してください。	EM、LDAP、WLST	2	表34-5を参照してください。
orclsaslauthenticationmode	SASL認証 モードを変更した後、サーバーを再起動します。 「認証の管理」を参照してください。	EM、LDAP、WLST	1	auth、auth-int、auth-conf。3つとも、あるいは3つのサブセットをカンマ区切りの文字列で指定します。
orclsaslcipherchoice	SASL暗号選択 変更した後、サーバーを再起動します。 「認証の管理」を参照してください。	EM、LDAP、WLST	Rc4-56、rc4-40、rc4、des、3des	Rc4-56、des、3des、rc4、rc4-40の任意の組合せ
orclsaslmechanism	SASLメカニズム 変更した後、サーバーを再起動します。 「認証の管理」を参照してください。	EM、LDAP、WLST	DIGEST-MD5、EXTERNAL	DIGEST-MD5、EXTERNAL
orclmaskrealm	DITマスキング 「DITマスキングの管理」を参照してください。	LDAP	値なし	DITサブツリーのリスト
orclmaskfilter	DITマスキング 「DITマスキングの管理」を参照してください。	LDAP	値なし	LDAP属性フィルタ。
orclmaskattribute	DITマスキング 「DITマスキングの管理」を参照してください。	LDAP	値なし	属性のリスト(先頭に!が付く可能性あり)。
orcldispthreads	1サーバー・プロセス当たりのディスパッチャ・スレッドの最大数 『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。 変更した後、サーバーを再起動します。	EM、LDAP、WLST	1	整数(最大16)
orclldapconntimeout	LDAP接続タイムアウト(分単位) 『パフォーマンスのチューニング』のLDAPサーバー属性に関する項を参照してください。	EM、LDAP、WLST	0	整数 ノート: 統計追跡用に構成されているユーザーはこの設定に従ってタイムアウトしません。
orclmaxcc	DB接続の最大数 『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。 変更した後、サーバーを再起動します。	EM、LDAP、WLST	2	128までの整数
orclmaxconnincache	キャッシュされたユーザー・グループ接続の最大数 『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。	EM、LDAP、WLST	100000	整数
orclmaxldapconns	1サーバー・プロセス当たりの同時接続の最大数 『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。	EM、LDAP、WLST	1024	Int(プロセス当たりの最大システムの最大ファイル記述子)
orclmaxserverresptime	サーバー・プロセスがディスパッチャ・プロセスに応答する最大時間(秒) 『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。	EM、LDAP、WLST	0秒	秒数 0: ディスパッチャはサーバーのハングを検出しません。
orclnwrwtimeout	LDAPクライアントによる読取り/書込み操作への応答に対するOIDサーバーの最大待機時間(秒)。 『パフォーマンスのチューニング』の書込み操作のタイムアウトに関する項を参照してください。	EM、LDAP、WLST	30秒	整数
orcloptrackmaxtotalsize	セキュリティ・イベント追跡で各タイプの操作に使用できるRAMの最大バイト数。 『パフォーマンスのチューニング』のセキュリティ・イベント・トラッキングのチューニングに関する項を参照してください。	LDAP	100000000バイト	使用可能なRAM(バイト)
orcloptracknumelemcontainers サブタイプ: 1stlevel	操作を行っているユーザーに関する情報を格納するインメモリー・キャッシュ・コンテナの数。 『パフォーマンスのチューニング』のセキュリティ・イベント・トラッキングのチューニングに関する項を参照してください。	LDAP	256	整数
orcloptracknumelemcontainers サブタイプ: 2ndlevel	詳細比較操作統計がプログラムされている場合に、パスワードを比較および追跡する対象のユーザーに関する情報を格納するインメモリー・キャッシュ・コンテナの数。 『パフォーマンスのチューニング』のセキュリティ・イベント・トラッキングのチューニングに関する項を参照してください。	LDAP	256	整数
orclpluginworkers	1サーバー・プロセス当たりのプラグイン・ワーカー・スレッドの最大数 変更した後、サーバーを再起動します。 『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。	EM、LDAP、WLST	2	整数(最大64)
orclsizelimit	ldapsearchの結果で返すことができるエントリの最大数 『パフォーマンスのチューニング』の検索によって返されるエントリ数に関する項を参照してください。	LDAP	10000	整数
orcltimelimit	特定のldapsearch操作でサーバーが使用できる最大時間	EM、LDAP、WLST	3600	整数(秒)
orclsdumpflag	スタック・ダンプを生成します。 「Oracle Internet Directoryに関するトラブルシューティング」を参照してください。	LDAP	0	0: スタック・トレース・ファイルを生成します。 1: スタック・トレース・ファイルは生成しませんが、コア・ファイルは生成します。
orclskipspecialinfilter	Oracle Internet Directoryで検索操作中にフィルタ値に指定された特殊文字の処理をスキップするかどうかを評価します。	LDAP	0	0: フィルタ値に指定された特殊文字を処理します。 1: フィルタ値に指定された特殊文字を処理しません。
orclcryptoversion	使用するSSL/TLSバージョンを指定できます。	LDAP	24	0: サポートされているすべてのプロトコル 2: SSL v3.0の場合 4: TLS 1.0の場合 8: TLS 1.1の場合 16: TLS 1.2の場合 24: TLS 1.1またはTLS 1.2の場合 ノート: 属性の性質は、加算方式です。つまり、対応する値を指定して複数のプロトコルを追加できます。詳細は、「サポートされているプロトコルのバージョン」を参照してください。

9.1.4 DSA構成エントリの属性

DSA構成エントリの属性について理解します。

DSA構成エントリには、次のような識別名があります。

cn=dsaconfig,cn=configsets,cn=oracle internet directory

表9-2に、DSA構成エントリの共有属性を示します。更新メカニズムの列には、次の略称が含まれています。

• EM - Oracle Enterprise Manager Fusion Middleware Control。「Fusion Middleware Controlを使用したシステム構成属性の管理」を参照してください。

• LDAP - LDAPコマンド行ツール(ldapmodifyやldapaddなど)。「LDAPツールを使用したシステム構成属性の管理」を参照してください。

ノート:

DSAは、ディレクトリ・サーバーを意味するX.500用語です。

表9-2 DSA構成エントリの属性

属性	説明	更新メカニズム	デフォルト	使用可能な値
orclmaxpsearchconns	LDAP永続検索操作に許可される最大接続数。 「永続LDAP検索操作」を参照してください。	EM、LDAP、WLST	0	1024までの整数。
orclblockdnip	新しい接続を拒否してそのIPアドレスからの既存の接続をOracle Internet DirectoryサーバーにクローズさせるIPアドレス。	EM、LDAP	なし	IPアドレス
orclcomputedattribute	特定のルールに基づいて構成可能な属性およびその値を動的に計算するメカニズム。 「計算属性の管理」を参照してください。	LDAP	なし	複数値属性
orclmaxlatencylog	その時間を超えるとOracle Internet Directoryサーバーの操作がアラート・ログに記録される時間(マイクロ秒)。	EM、LDAP	10000000マイクロ秒。 最小は10マイクロ秒です。	マイクロ秒
orclmaxtcpidleconntime	Oracle Internet Directoryサーバーが対応するOracle Databaseにキープ・アライブ・メッセージを送信するためにOCIPing()をコールする頻度(分)。この属性に、Oracle Internet DirectoryサーバーとOracle Database間のファイアウォールのタイムアウト値(通常は30分)よりも小さい値を設定することによって、データベース接続の切断が避けられます。	LDAP	20分	整数 0: OCIPing()なし
	ダウンタイムなしのパッチ適用を実現するには、orclmaxtcpidleconntime; ttlを5に設定し、データベースがオフになるまで数サイクル待機します。数サイクルが完了すると、データベースは初期設定値が0になってオフになります。 この属性の値は分単位です。	LDAP	0	整数 0: 無効
orclmaxfiltsize	最大フィルタ・サイズ 「共有プロパティの構成」を参照してください。	EM、LDAP	24576	整数
orclrefreshdgrmems	動的グループ・メンバーシップのリフレッシュ。「Oracle Internet Directory動的グループと静的グループの管理」を参照してください。	LDAP	0	1: リフレッシュを実行します。サーバーによって0にリセットされます。
orclautocatalog	最初の検索で属性を索引付けします。「属性を検索するためのOracle Internet Directoryでの索引オプション」を参照してください。	EM、LDAP	1	0: 無効 1: 有効
orclrienabled	参照整合性。「参照整合性の構成」を参照してください。	EM、LDAP	0	0: 無効 1: 有効
orclstatsdn	統計収集用ユーザー識別名。「Oracle Internet Directoryのモニタリング」を参照してください。	EM、LDAP	指定なし	エントリの識別名
orcldataprivacymode	返す際に機密の属性を暗号化 「データ・プライバシの構成」を参照してください。	LDAP	0	0: 無効 1: 有効
orclencryptedattributes	機密の属性を暗号化形式で格納 「データ・プライバシの構成」を参照してください。	LDAP	表29-1を参照してください。	属性
orclhashedattributes	属性をハッシュされた形式で格納。 「データ・プライバシの構成」を参照してください。	EM、LDAP	指定なし	属性
orclpkimatchingrule	ユーザーのPKI証明書の識別名をそのユーザーのエントリ識別名にマッピングするためのPKI一致ルール。「認証の管理」を参照してください。	EM、LDAP	2	0: 完全一致。 1: 証明書検索。 2: 0と1の組合せ。 3: マッピング・ルールのみ。 4: 3、2の順に試行
orclgeneratechangelog	ユーザー操作の変更ログを生成するかどうか。 『パフォーマンスのチューニング』のレプリケーションの管理と監視およびOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。	LDAP	1	1: 有効 0: 無効
orcljvmoptions	サーバー・プラグインが起動されたときに、JVMに渡されるオプション。「Oracle Internet Directoryサーバー・プラグインの開発」を参照してください。	EM、LDAP	-Xmx64M	有効なJVMオプション
orclinmemfiltprocess	メモリーで処理される検索フィルタの詳細は、『パフォーマンスのチューニング』の複雑な検索フィルタのパフォーマンス最適化に関する項を参照してください。	EM、LDAP	『パフォーマンスのチューニング』でリストを参照してください	有効な検索フィルタ
orclmatchdnenabled	検索のベース識別名が存在しないときに、詳細な一致DN情報を提供するかどうか。 『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。	EM、LDAP	1	0: 一致なしですが、データベースにベース識別名が存在するかどうかを検証します。 1: 一致 2: ベース識別名が存在するかどうかについてDBを確認しません。
orclskewedattribute	スキュー属性。 変更後サーバーを再起動することをお薦めします。 『パフォーマンスのチューニング』のスキュー属性の検索の最適化に関する項を参照してください。	EM、LDAP	objectclass	属性のリスト
orclskiprefinsql	検索の参照をスキップします。 変更後サーバーを再起動することをお薦めします。『パフォーマンスのチューニング』のLDAPサーバー属性に関する項を参照してください。	EM、LDAP	0	0: 無効 1: 有効
orcltlimitmode	正確な時間か、おおよその時間のいずれかの最大検索時間モードを指定。 『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。	LDAP	0	0: 正確な時間 1: おおよその時間
orclcachemaxsize	サブタイプ(rsまたはmd)で指定される結果セット・キャッシュまたはメタデータ・キャッシュのサイズ(バイト)。 有効にするにはサーバーの再起動が必要です。	LDAP	結果セット・キャッシュ: 64MB (64MBは最小キャッシュ・サイズです) メタデータ・キャッシュ: 128MB (128MBは最小キャッシュ・サイズです)。	サブタイプ: rs (結果セット・キャッシュ)またはmd (メタデータ・キャッシュ) サイズ: M (MB)またはG (GB)。
orclecacheenabled	エントリ・キャッシュまたは結果セット・キャッシュを有効または無効にします。 『パフォーマンスのチューニング』のサーバー・エントリ・キャッシュに関する項を参照してください。	EM、LDAP、WLST	2	0: 両方のキャッシュを無効にします 1: エントリ・キャッシュのみを有効にします 2: 両方のキャッシュを有効にします 4: サーバーの起動時またはキャッシュの破棄時にキャッシュ・データを事前ロードします。Oracle Internet Directoryサーバーは、orclecacheenabledが4に設定されている場合、キャッシュを再構築します。 ノート: エントリ・キャッシュの事前ロードは、orclrscacheattr設定に基づきます。
orclecachemaxentries	エントリ・キャッシュ内の最大エントリ。 『パフォーマンスのチューニング』のサーバー・エントリ・キャッシュに関する項を参照してください。	EM、LDAP、WLST	100000	整数
orclecachemaxsize	エントリ・キャッシュ・サイズ(バイト)。 『パフォーマンスのチューニング』のサーバー・エントリ・キャッシュに関する項を参照してください。	EM、LDAP、WLST	1024MBまたは1GB	サイズ: M (MB)またはG (GB)。 例: 1024M
orclrscacheattr	結果セット・キャッシュ属性 『パフォーマンスのチューニング』の結果セット・キャッシュに関する項を参照してください。	EM、LDAP、WLST	cn uid mail orclguid	結果セット・キャッシュの属性を指定する複数値属性。 通常、これらの属性はエントリの存続期間中変更できません。参照整合性を有効にした属性は、使用すべきではありません。
orclenablegroupcache	グループ・キャッシュの有効化/無効化 『パフォーマンスのチューニング』のグループ・キャッシュの有効化に関する項を参照してください。	LDAP	1	1: 有効 0: 無効
orcldseecompatible	orcldseecompatibleが1に設定されている場合、検索リクエストに+必須属性が含まれると、属性numsubordinatesが返されます。		なし
orclqosconfig	スロットル・ポリシーを動的に制御するメカニズム。 「サービス構成の質の管理」を参照してください。	LDAP	なし	複数値属性

9.1.5 DSEの属性

DSA固有のエントリ(DSE)はDITのルートです。Oracle Internet Directoryは、ネーミング・コンテキスト、サポートされている制御、一致規則などの自身の情報をここに公開します。大部分のDSEの属性は直接変更できません。

ノート:

Oracle Internet Directory 11g リリース1(11.1.1.6.0)以降では、orclcompatibleversion DSE属性にはOracle Internet Directoryのバージョンが含まれます。この属性は、複数値です。値は次のとおりです。

• orclcompatibleversion: 11.1.1.6.0

• orclcompatibleversion: 11.1.1.7.0

• orclcompatibleversion: 11.1.1.9.0

• orclcompatibleversion: 12.2.1.3.0

orclcompatibleversionは変更しないでください。対応するスキーマで動作するにはOracle Internet Directoryに存在する必要があります。

表9-3に、変更の必要の可能性があるDSE属性をリストします。

表9-3 DSEの属性

属性	説明	更新メカニズム	デフォルト	使用可能な値
namingcontexts	ネーミング・コンテキスト。「Oracle Internet Directoryでのネーミング・コンテキストの管理」を参照してください。	LDAP	c=us dc=com	有効なネーミング・コンテキスト。
ref	参照の指定。「ナレッジ参照と参照の管理」を参照してください。	LDAP
orclaci	ルートDSEレベルでのアクセス制御。「ディレクトリ・アクセス制御の管理」を参照してください。	LDAP
orclcryptoscheme	パスワードを保護するハッシング・アルゴリズム。「パスワード・ベリファイアの管理」を参照してください。	LDAP	SSHA	MD4、MD5、SHA、SSHA、SHA256、SHA384、SHA512、SSHA256、SSHA384、SSHA512、SMD5、UNIX Crypt
subentry	DSEルートを規定するパスワード・ポリシーの識別名を指定。「パスワード・ポリシーの管理」を参照してください。	LDAP	cn=default,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext
orclsimplemodchglogattributes	変更ログにすべての値のリストではなく変更のみを含む複数値属性のリスト。「ディレクトリ・レプリケーションの変更ログ」を参照してください。	LDAP	member、uniqueMember	複数値属性

9.2 Fusion Middleware Controlを使用したシステム構成属性の管理

Oracleディレクトリ・サーバーのほとんどの構成属性は、Oracle Enterprise Manager Fusion Middleware Controlを使用して表示および設定できます。

この項では、次の項目について説明します。

• サーバー・プロパティの構成

• 共有プロパティの構成

• SSLおよび監査パラメータの構成

9.2.1 サーバー・プロパティの構成

Fusion Middleware ControlのOracle Internet Directoryの「サーバー・プロパティ」ページを使用して属性を構成できます。次の各項では、「サーバー・プロパティ」ページの様々なオプション(「一般」や「パフォーマンス」など)をリストしています。

この項には次のトピックが含まれます:

• サーバー・プロパティの構成

• サーバー・プロパティを構成する場合の一般的なオプション

• サーバー・プロパティを構成する場合のパフォーマンス・オプション

• サーバー・プロパティの「SASL」タブ

• サーバー・プロパティの「統計」タブ

• サーバー・プロパティの「ロギング」タブ

9.2.1.1 サーバー・プロパティの構成

インスタンス固有の構成エントリのほとんどの属性は、次のように、Fusion Middleware ControlのOracle Internet Directoryの「サーバー・プロパティ」ページを使用して構成できます。

1. 「Oracle Internet Directory」メニューから「管理」を選択し、「サーバー・プロパティ」を選択します。
2. 構成するパラメータに応じて、「一般」、「パフォーマンス」、「SASL」、「統計」、「ロギング」のいずれかを選択します。
3. 構成を変更した後、「適用」を選択します。

9.2.1.2 サーバー・プロパティを構成する場合の一般的なオプション

表9-4に、「サーバー・プロパティ」ページの「一般」タブでのサーバー・プロパティと構成属性の対応関係を示します。

表9-4 「サーバー・プロパティ」ページ、「一般」タブの構成属性

フィールドまたはヘッダー	構成属性
サーバー・モード	orclservermode
検索で返される最大エントリ数	orclsizelimit
検索の完了までに許可された最大時間(秒)	orcltimelimit
検索リクエストで指定した必須属性名の大/小文字区別を保持	orclreqattrcase
匿名バインド	orclanonymousbindsflag
1つのトランザクションで許容される最大時間(秒)。	orcltxntimelimit
1つのトランザクションで許容される操作の最大数。	orcltxnmaxoperations
非SSLポート	orclnonsslport
SSLポート	orclsslport

9.2.1.3 サーバー・プロパティを構成する場合のパフォーマンス・オプション

表9-5に、「サーバー・プロパティ」ページの「パフォーマンス」タブでのサーバー・プロパティと構成属性の対応関係を示します

表9-5 「サーバー・プロパティ」ページ、「パフォーマンス」タブの構成属性

フィールドまたはヘッダー	構成属性
OID LDAPサーバー・プロセス数	orclserverprocs
1サーバー・プロセス当たりのDB接続の数	orclmaxcc
権限グループのメンバーシップ・キャッシュ内のユーザー数	orclmaxconnincache
LDAPアイドル接続タイムアウト	orclldapconntimeout
OIDサーバー・ネットワーク読込み/書込み再試行タイムアウト	orclnwrwtimeout
1サーバー・プロセス当たりのLDAP接続の最大数	orclmaxldapconns
サーバー・プロセスがディスパッチャ・プロセスに応答する最大時間(秒)	orclMaxServerRespTime
1サーバー・プロセス当たりのディスパッチャ・スレッドの数	orcldispthreads
1サーバー・プロセス当たりのプラグイン・スレッドの数	orclpluginworkers
変更ログの生成の有効化	orclgeneratechangelog

orclserverprocs、orclmaxcc、orcldispthreadsまたはorclpluginworkersを変更した後、サーバーを再起動します。

9.2.1.4 サーバー・プロパティの「SASL」タブ

表34-2に、「サーバー・プロパティ」ページの「SASL」タブでのサーバー・プロパティと構成属性の対応関係を示します。

9.2.1.5 サーバー・プロパティの「統計」タブ

表25-2に、「サーバー・プロパティ」ページの「統計」タブでのサーバー・プロパティと構成属性の対応関係を示します。

9.2.1.6 サーバー・プロパティの「ロギング」タブ

表24-2に、「サーバー・プロパティ」ページの「ロギング」タブでのサーバー・プロパティと構成属性の対応関係を示します。

9.2.2 共有プロパティの構成

DSA構成エントリの一部の共有システム構成属性は、Fusion Middleware ControlのOracle Internet Directoryの「共有プロパティ」ページを使用して構成できます。

この項では、次の項目について説明します。

• 共有プロパティの構成

• 一般プロパティの構成属性

• スーパーユーザー・パスワードの変更

• レプリケーション

9.2.2.1 共有プロパティの構成

DSA構成エントリの共有システム構成属性のいくつかを構成するには、「管理」、「共有プロパティ」を選択し、次に「一般」、「スーパーユーザー・パスワードの変更」を選択するか、または「Oracle Internet Directory」メニューから「レプリケーション」を選択します。構成を変更した後、「適用」を選択します。

9.2.2.2 一般プロパティの構成属性

表9-6に、「共有プロパティ」タブの「一般」タブで使用可能な構成属性を示します。

表9-6 「共有プロパティ」、「一般」タブの構成属性

フィールドまたはヘッダー	構成属性
ユーザーDN	orclstatsdn
検索の参照のスキップ	orclskiprefinsql
スキュー属性	orclskewedattribute
メモリーで処理される検索フィルタ	orclinmemfiltprocess
ハッシュ属性	orclhashedattributes
一致DN	orclMatchDnEnabled
PKI一致ルール	orclPKIMatchingRule
参照整合性	orclrienabled
最大フィルタ・サイズ	orclmaxfiltsize
エントリ・キャッシュの有効化	orclecacheenabled
エントリ・キャッシュ内の最大エントリ	orclecachemaxentries
最大エントリ・キャッシュ・サイズ(MB)	orclecachemaxsize
EMページ上にない権限グループのメンバーシップ・キャッシュ内のユーザー数	orclmaxconnincache
結果セット・キャッシュ属性	orclrscacheattr
JavaプラグインVMオプション	orcljvmoptions

orclskiprefinsqlまたはorclskewedattributeの変更後は、サーバーを再起動することをお薦めします。

9.2.2.3 スーパーユーザー・パスワードの変更

「Fusion Middleware Controlを使用したスーパーユーザー・パスワードの変更」を参照してください。

9.2.2.4 レプリケーション

レプリケーションに関する属性の詳細は、「レプリケーション構成属性の管理」を参照してください。

9.2.3 SSLおよび監査パラメータの構成

Oracle Internet Directoryの「SSL構成」ページを使用して、SSLパラメータを構成できます。

「Fusion Middleware Controlを使用したSSLの構成の概要」を参照してください。SSL構成の変更を有効にするには、サーバーを再起動する必要があります。

Oracle Internet Directoryの「監査ポリシー設定」ページを使用して、監査属性を構成できます。「Fusion Middleware Controlを使用した監査の管理」を参照してください。

9.3 WLSTを使用したシステム構成属性の管理

WLSTを使用してシステム構成属性を管理できます。

表9-7に、関連するMBeanを示します。

この項には次のトピックが含まれます:

• WLSTを使用したシステム構成属性の管理

• Oracle Internet Directoryの関連するMBean

9.3.1 WLSTを使用したシステム構成属性の管理

Oracle共通ホームのWebLogic Scripting Tool (wlst)を使用して、Oracle Enterprise Manager Fusion Middleware Controlインタフェースを備えたOracle Internet Directoryインスタンス固有の構成エントリの属性を管理できます。

マネージドBean(MBean)は、分散環境でのアプリケーション、サービス、コンポーネント、デバイスなどのJMX管理可能なリソースを表すJavaオブジェクトです。WebLogicサーバーでは、Oracle Internet Directoryなどのシステム・コンポーネントのインタフェースとしてカスタムMBeanを使用します。

ノート:

WLSTは、そのSSLポートを介してOracle Internet Directoryを管理します。Oracle Internet DirectoryのSSLポートは、認証なしまたはサーバー認証用に構成されている必要があります。Oracle Internet Directory SSLポートが相互認証用に構成されている場合、WLSTを使用してOracle Internet Directory属性を変更することはできません。「SSL認証モードについて」を参照してください。

関連項目:

• 『Oracle Fusion Middlewareの管理』のOracle Fusion Middlewareコンポーネントに関する項

• 『WebLogic Scripting Toolの理解』のWebLogic Scripting Toolの使用方法に関する項

• WLSTを使用した監査の管理

WLSTを使用するには、次のステップに従います。

1. WLSTを起動します

   $ORACLE_HOME/oracle_common/common/bin/wlst.sh
   

2. WebLogicサーバーに接続します

   connect('username', 'password', 't3://localhost:7001')
   

3. カスタムMBeanツリーにナビゲートするには、次のように入力します。

   custom()
   

   これをwlstプロンプトで入力します。

4. カスタムMBeanツリーでMBeanの1レベル・リストを取得するには、次のように入力します。

   ls()
   

   ls()出力では、Oracle Internet Directory構成に関連するMBeanを含む2つのドメインが表示されます。ドメインは、oracle.as.management.mbeans.registerとoracle.as.oidです。

5. ドメインに移動するには、cd()コマンドを使用します。次に例を示します。

   cd('oracle.as.management.mbeans.register')
   

   または

   cd('oracle.as.oid')
   

   ls()と入力すると、そのドメインのMBeanのリストが表示されます。Oracle Internet Directory構成に関連するMBeanは、oracle.as.management.mbeans.registerに3つ、oracle.as.oidに2つあります。表9-7にこれを示します。

   INSTANCEとCOMPONENT_NAMEはそれぞれ、Oracle Internet Directoryコンポーネントを含むOracleインスタンスとコンポーネントの名前を表します。

   ノート:

   監査MBeanは、完全を期すためにここに示されていますが、wlstを使用した監査の管理には別のコマンドを使用します。「WLSTを使用した監査の管理」を参照してください。

6. 特定のMBeanに移動するには、次のように入力します。

   cd('MBEAN_NAME') 
   

   たとえば、ドメインoracle.as.management.mbeans.registerにいて、Oracleインスタンスinstance1のOracle Internet Directoryコンポーネントoid1のルート・プロキシMBeanを管理する場合、次のように入力します。

   cd('oracle.as.management.mbeans.register:type=OID,name=oid1,instance=instance1')
   

7. 目的のMBeanにナビゲートした後、次のように入力して属性の現在値を取得できます。

   get('ATTRIBUTE_NAME') 
   

   たとえば、orclserverprocsの値を取得するには、次のように入力します。

   get('orclserverprocs') 
   

8. 属性を変更する前に、MBeanに現在のサーバー構成が設定されていることを確認する必要があります。これを行うには、Oracle Internet Directoryサーバーから構成をMBeanにロードします。次のように入力します。

   invoke('load',jarray.array([],java.lang.Object),jarray.array([],java.lang.String)) 
   

9. これで、setコマンドを使用して特定の属性を設定できます。次のように入力します。

   set('ATTRIBUTE_NAME', ATTRIBUTE_VALUE)
   

   たとえば、orclserverprocs = 12を設定するには、次のように入力します。

   set('orclserverprocs', 12) 

10. 変更後は、Oracle Internet DirectoryサーバーにMBean構成を保存する必要があります。次のように入力します。

    invoke('save',jarray.array([],java.lang.Object),jarray.array([],java.lang.String))

9.3.2 Oracle Internet Directoryの関連するMBean

Oracle Internet Directory構成に関連するMBeanは、oracle.as.management.mbeans.registerに3つ、oracle.as.oidに2つあります。

表9-7に、すべてのMBeanを示します。

表9-7 Oracle Internet Directoryに関連するMBean

MBean名	MBeanドメイン	ls()出力のMBean書式
ルート・プロキシMBean	oracle.as.management.mbeans.register	oracle.as.management.mbeans.register:type=component,name=COMPONENT_NAME,instance=INSTANCE
非SSLポートMBean	oracle.as.management.mbeans.register	oracle.as.management.mbeans.register:type=component.nonsslport,name=nonsslport1,instance=INSTANCE,component=COMPONENT_NAME
監査MBean	oracle.as.management.mbeans.register	oracle.as.management.mbeans.register:type=component.auditconfig,name=auditconfig1,instance=INSTANCE,component=COMPONENT_NAME
SSLポートMBean	oracle.as.oid	oracle.as.oid:type=component.sslconfig,name=sslport1,instance=INSTANCE,component=COMPONENT_NAME
キーストアMBean	oracle.as.oid	oracle.as.oid:type=component.keystore,name=keystore,instance=INSTANCE,component=COMPONENT_NAME

9.4 LDAPツールを使用したシステム構成属性の管理

ほとんどのシステム構成属性は、コマンド行からldapmodifyを使用して変更できます。ほとんどのシステム構成はldapsearchを使用してリストできます。

この項では、次の項目について説明します。

• ldapmodifyを使用したシステム構成属性の設定

• ldapsearchによる構成属性のリスト

9.4.1 ldapmodifyを使用したシステム構成属性の設定

ldapmodifyを使用して、システム構成属性を変更できます。

表9-1、表9-2および表9-3の属性のほとんどはコマンド行を使用して変更できます。

ldapmodify -D cn=orcladmin -q -p portNum -h hostname -f ldifFile 

LDIFファイルの内容は、識別名および実行されている操作によって異なります。

インスタンス固有のエントリ内のorclgeneratechangelog属性の値を1に変更するLDIFファイルは、次のようになります。

dn: cn=componentname,cn=osdldapd,cn=subconfigsubentry
changetype: modify
replace: orclgeneratechangelog
orclgeneratechangelog: 1

DSA構成エントリにorclinmemfiltprocess属性を追加する場合、LDIFファイルは次のようになります。

dn: cn=dsaconfig, cn=configsets, cn=oracle internet directory
changetype: modify
add: orclinmemfiltprocess
orclinmemfiltprocess: (objectclass=inetorgperson)(orclisenabled=TRUE)

ノート:

• 11gリリース1 (11.1.1.0.0)以降では、orcldebugflagとorcloptracklevelの連続設定は加算方式です。

• orclskiprefinsql、orclskewedattribute、orclserverprocs、orcldispthreads、orclmaxcc、orclpluginworkersまたは"orclssl"や"orclsasl"で始まる名前の属性の変更後、サーバーを再起動します。

• orclnonsslportまたはorclsslportを変更した後、サーバーを再起動します。

関連項目:

• LDIFファイルのその他の例は、『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。

• ldapmodifyの詳細とそのオプションのリストは、『Oracle Identity Managementリファレンス』のldapmodifyコマンド行ツールのリファレンスを参照してください

  。

• 変更可能なシステム構成属性の詳細は、『Oracle Identity Managementリファレンス』のOracle Identity ManagementのLDAP属性リファレンスに関する項を参照してください。

9.4.2 ldapsearchによる構成属性のリスト

ldapsearchを使用してほとんどの属性をリストできます。

次に例を示します。

• インスタンス固有の構成エントリ

  サーバー・インスタンスのコンポーネント名がoid1の場合、コマンド行で次のように指定してインスタンス固有の構成エントリ属性をリストできます。

  ldapsearch -p 3060 -h myhost.example.com -D cn=orcladmin -q \
     -b "cn=oid1,cn=osdldapd,cn=subconfigsubentry" -s base "objectclass=*"
  

• DSA構成エントリ

  コマンド行で次のように指定して属性をリストできます。

  ldapsearch -p 3060 -h myhost.example.com -D cn=orcladmin -q \
     -b "cn=dsaconfig,cn=configsets,cn=oracle internet directory" \
     -s base "objectclass=*"
  

• DSE

  コマンド行で次のように指定して属性をリストできます。

  ldapsearch -p 3060 -h myhost.example.com  -D cn=orcladmin -q \
      -b "" -s base "objectclass=*" 

9.5 ODSMデータ・ブラウザを使用したシステム構成属性の管理

Oracle Enterprise Manager Fusion Middleware Controlは、システム構成属性を管理するために推奨されるグラフィカル・ユーザー・インタフェースです。また、ODSMを使用してシステム構成属性を管理することもでき、これは、Fusion Middleware Controlを利用できない場合やFusion Middleware Controlインタフェースがない属性を変更する必要がある場合に便利です。

ディレクトリ・エントリ属性の変更方法の詳細は、「Oracle Directory Services Managerを使用したエントリの管理」を参照してください。以降の項では、システム構成属性を含むエントリへODSMで移動する方法を説明します。

この項には次のトピックが含まれます:

• インスタンス固有の構成エントリへの移動

• DSA構成エントリへの移動

• DSEルートへの移動

9.5.1 インスタンス固有の構成エントリへの移動

ODSMデータ・ブラウザのタブからインスタンス固有の構成エントリに移動できます。

「データ・ブラウザ」タブのナビゲーション・ツリーで、subconfigsubentry、osdldapdの順に展開します。次に、管理するOracle Internet Directoryコンポーネントの名前を選択します。

9.5.2 DSA構成エントリへの移動

ODSMデータ・ブラウザのタブからDSA構成エントリに移動できます。

「データ・ブラウザ」タブのナビゲーション・ツリーで、oracle internet directoryを展開してからconfigsetsを展開し、次に、エントリdsaconfigを選択します。

9.5.3 DSEルートへの移動

ODSMデータ・ブラウザのタブからDSEルートに移動できます。

「データ・ブラウザ」タブのナビゲーション・ツリーで「ルート」をクリックし、DSEを選択します。