この章では、Oracle Internet Directoryに格納されたエントリおよびデータの管理に使用できる次のコマンドライン・ツールについて説明します。
bulkdelete(バルク削除ツール)
bulkload(バルク・ロード・ツール)
bulkmodify(バルク変更ツール)
catalog(カタログ管理ツール)
ldapadd(LDAPデータ追加ツール)
ldapaddmt(マルチスレッドLDAPデータ追加ツール)
ldapbind(認証検査ツール)
ldapcompare(属性比較ツール)
ldapdelete(LDAPデータ削除ツール)
ldapmoddn(LDAP DN/RDN変更ツール)
ldapmodify(LDAPデータ変更ツール)
ldapmodifymt(マルチスレッドLDAPデータ変更ツール)
ldapsearch(LDAP検索ツール)
ldifmigrator(データ移行ツール)
ldifwrite(データ・エクスポート・ツール)
upgradecert.pl(証明書アップグレード・ツール)
bulkdelete
コマンドライン・ツールを使用すると、1つ以上のサブツリーを効率的に削除できます。このツールは、Oracle Internet DirectoryサーバーとOracleディレクトリ・レプリケーション・サーバーが両方とも稼働している場合に使用できます。このツールでは、SQLインタフェースの使用によりパフォーマンスが向上しています。今回のリリースのbulkdelete
ツールは、一度に1つのノードでのみ動作します。
このツールでは、フィルタ・ベースの削除がサポートされません。つまり、サブツリーのルートより下にあるサブツリーが、すべて削除されます。ベースDNが、ディレクトリ・インストールの一部として作成されたDNではなく、ユーザーが追加したDNである場合、そのDNは削除対象に含まれます。削除中は、サブツリーに対するLDAPアクティビティを制限する必要があります。
bulkdelete connect=connect_string {[basedn=Base_DN]|[file=file_name]} [cleandb="TRUE"|"FALSE"] [size=transaction_size] [encode=character_set] [debug="TRUE"|"FALSE"] [threads=num_of_threads] [verbose="TRUE"|"FALSE"]
connect
必須。ディレクトリ・データベース接続文字列。tnsnames.ora
ファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.ora
ファイルは、$
ORACLE_HOME
/network/admin
にあります。
basedn | file
必須。削除するサブツリーのベースDN("dc=company, dc=com"
など)。DNは引用符で囲んでください。複数のベースDNを指定することもできます。そのためには、DNをファイルに記述し、file
引数でファイル名とパスを指定します。
cleandb
オプション。削除したエントリをツームストンにするのか、それともデータベースから完全に削除するのかを指定します。デフォルト(cleandb="TRUE"
)は、エントリを完全に削除します。
size
オプション。1回のトランザクションの一部としてコミットするエントリの数。
encode
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
debug
オプション。ログ・レベルを報告します。コマンドの実行がエラーになる場合に役に立ちます。出力はbulkdelete.log
ファイルに記録されます。このファイルは$ORACLE_HOME/ldap/log
にあります。
threads
オプション。作成するスレッドの数。デフォルト値は、マシンのCPU数に1を加えた数です。
verbose
オプション。コマンドを冗長モードで実行します。
bulkload
コマンドライン・ツールは、大量のエントリをディレクトリ・サーバーにロードする場合に役立ちます。このツールでは、Oracle SQL*Loaderを使用してディレクトリ・エントリをロードします。bulkloadツールの入力ファイルの形式は、LDAP Data Interchange Format(LDIF)である必要があります。LDIFファイルの適切な形式および構文の詳細は、付録A「LDIFファイル形式」を参照してください。
バルク・ロード・ツールの操作は、次の各フェーズに分割されます。
チェック
チェック・フェーズでは、有効なLDAPスキーマが存在し、重複エントリがないかどうかについて、LDIFファイルのすべてのエントリが検証されます。バルク・ロード・ツールによってエラーが報告された場合、作業を続行する前にそのエラーを修正する必要があります。
生成
生成フェーズでは、LDIF入力が中間ファイルに変換されます。SQL*Loaderは、この中間ファイルを使用してOracle Internet Directoryのディレクトリ・ストアにデータをロードします。
生成フェーズで生成された中間ファイルが、Oracle Internet Directoryのディレクトリ・ストアにロードされます。バルク・ロード・ツールでは、次の2つのタイプのデータ・ロードがサポートされます。
増分モードでは、既存のディレクトリ・データにデータを追加できます。このモードでのロードは、他の追加方法より高速ですが、バルク・モードでのロードより低速です。
このモードは、少量のデータを追加する場合に使用します。ここでの少量とは、比較上の数です。この数は、ディレクトリ内の既存データ、ロードするデータの量、およびロードを処理するハードウェアの性能によって変化します。
このモードでは、バルク・ロード・ツールは、カタログ索引の削除や再構築は行いません。かわりに、SQL*Loaderを挿入モードで使用してデータベースにデータを追加し、挿入を通じて索引を更新します。
バルク・モードでは、大量のエントリを確実にディレクトリに追加できます。デフォルトでは、バルク・ロード・ツールは、バルク・モードで実行されます。バルク・モードは、増分モードより高速です。
バルク・モードでは、すべてのOracle Internet Directoryサーバー・インスタンスを停止する必要があります。このモードでは、バルク・ロード・ツールは、既存の索引を削除してデータのロード後に再作成します。データ・ロードでは、SQL*Loaderのダイレクト・パス・モードが使用されます。
ロードが完了すると、索引が再作成されます(バルク・モードでのロードの場合)。バルク・ロード・ツールには、すべての索引を再作成するだけのオプションもあります。このオプションは、前に実行した索引作成がなんらかの理由で失敗した場合に便利です。
ロード・フェーズでの失敗により、ディレクトリ・データの一貫性が失われる場合があります。バルク・ロード・ツールでは、bulkload
を起動する前の元の状態を復元できます。
bulkloadツールを使用する前に、次の操作を実行してください。
バルク・モードでデータをロードする前に、Oracle Internet Directoryサーバー・インスタンスを停止します。
増分モードでデータをロードする場合、ディレクトリ・サーバーを停止する必要はありませんが、ディレクトリ・サーバーを読取り/更新モードに設定する必要があります。読取り/更新モードでは、DNの追加、削除および変更操作が制限されます。
旧バージョンのOracle Internet Directoryのデータを含むLDIFファイルをロードする場合、作業を開始する前にOracle Application Serverのアップグレードおよび互換性ガイドを参照して、orclguids
のアップグレードに関する特別な指示に従ってください。
bulkload [connect=connect_string] {[check="TRUE"|"FALSE" [restore="TRUE"|"FALSE"] [thread=num_of_threads] [file=ldif_file]] [generate="TRUE"|"FALSE" [append="TRUE"|"FALSE"] [restore="TRUE"|"FALSE"] [thread=num_of_threads] file=ldif_file] [load="TRUE"|"FALSE" [append="TRUE"|"FALSE"] [threads=num_of_threads]] [index="TRUE"|"FALSE"] [recover="TRUE"|"FALSE"]} [encode=character_set] [debug="TRUE"|"FALSE"] [verbose="TRUE"|"FALSE"]
connect
オプション。ディレクトリ・データベース接続文字列。tnsnames.ora
ファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.ora
ファイルは、$
ORACLE_HOME
/network/admin
にあります。単一のノードにデータをロードする場合、そのノードの接続文字列を指定します(orcl
など)。複数のノードにデータをロードする場合、すべてのノードの接続文字列を指定します(orcl1 orcl2 orcl3
など)。
check | generate | load | recover | index
必須。実行する操作を指定します。操作は次のとおりです。
check
: スキーマに一貫性があるかどうか、および重複したエントリDNが存在しないかどうかについて、指定のLDIFファイルをチェックします。LDIFファイルのフルパスまたは相対パスと名前を指定する必要があります。オプションとして、スレッドの数を指定できます。check
およびgenerate
操作は、同時に発行できます。
generate
: SQL*Loaderを使用してOracle Internet Directoryにエントリをロードするのに適した中間ファイルを作成します。エントリを作成するLDIFファイルのフルパスまたは相対パスと名前を指定する必要があります。オプションとして、スレッドの数を指定できます。check
およびgenerate
操作は、同時に発行できます。
注意: generate 操作の後は、load 操作を実行するまで、ディレクトリは読取り/更新モードのままになります。 |
load
: generate
操作で生成されたファイルをデータベースにロードします。append
オプションを使用して、既存のディレクトリ・データにデータを追加する必要があるかどうかを指定できます。ロードが成功するには、LDAPサーバーが稼働している必要があります。オプションとして、スレッドの数を指定できます。ldplonly
オプションを"TRUE"
に設定すると、データのロードはパラレルに実行されますが、索引の作成はシリアル・モードで行われます。load
操作の前にgenerate
操作を実行する必要があります。
recover
: load
操作に失敗した場合、元のデータを使用してディレクトリをリカバリします。recover
オプションを使用するときは、他のオプションは使用できません。
index
: すべてのカタログ表で索引を再作成します。
file
check
およびgenerate
操作の場合は必須。ロードするエントリを含むLDIFファイルの完全修飾パスまたは相対パスと名前。
threads
check
、generate
およびload
の各操作に対してはオプション。作成するスレッドの数。デフォルト値は、マシンのCPU数に1を加えた数です。
restore
check
およびgenerate
操作ではオプション。操作属性(orclguid
、creatorsname
、createtimestamp
など)が指定したLDIFファイルに存在することが前提です。重複する操作属性値はSQL*Loaderの出力ファイルに作成されません。
append
generate
およびload
操作ではオプション。エントリをデフォルトのバルク・モードではなく増分モードでロードします。データを既存のディレクトリ・データに追加する増分モードは、少量のデータをロードするのに適しています。
encode
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
debug
オプション。デバッグの有効と無効を切り替えます。コマンドでエラーが発生する場合は、デバッグを有効(debug="TRUE"
)にすると役に立ちます。出力はbulkload.log
ファイルに記録されます。このファイルは$ORACLE_HOME/ldap/log
にあります。
verbose
コマンドを冗長モードで実行します。
bulkloadツールを使用すると、次のタスクを実行できます。
典型的な使用例として、Oracle Internet Directoryのインストール後にディレクトリ・データをロードすることがあげられます。最初にLDIFファイルでスキーマ・エラーを検査し、中間ファイルを生成します。次に、データをOracle Internet Directoryストアにロードします。
次の例は、bulkload
ツールを実行する方法を示しています。ツールは最初に、check
およびgenerate
オプションで実行されます。check
オプションは、入力でスキーマおよびデータ整合性の違反を検査します。generate
オプションは、SQL*Loaderに対する入力ファイルを生成します。次に、コマンドはload
オプション付きで実行され、データをディレクトリにロードします。
例:
bulkload connect="orcl" check="TRUE" generate="TRUE" file="~/myfiles/data.ldif" bulkload connect="orcl" load="TRUE"
レプリケートされたネットワーク上の複数のノードに同じデータをロードする場合、orclGUID
パラメータ(グローバルID)がすべてのノードで一貫していることを確認します。この操作を実行するには、(generate
引数により)一度だけバルク・ロード・データファイルを生成し、(load
引数により)同じデータファイルを使用して他のノードにデータをロードします。
すでにいくつかのLDIFユーザー・データを含むOracle Internet Directoryストアにディレクトリ・エントリを追加する場合、append
引数を使用して増分モードを指定します。このモードは、通常、ディレクトリにエントリを追加するその他の方法より高速です。ただし、作業を開始する前に、ディレクトリ・サーバー・インスタンスを読取り/更新モードに設定しておく必要があります。次の例は、増分モードでbulkload
を実行する方法を示しています。
例:
bulkload connect="orcl" check="TRUE" generate="TRUE" load="TRUE" append="TRUE" file="~/myfiles/data.ldif"
check
オプションとindex
オプションを一緒に使用して、ディレクトリ内の既存の索引を検証できます。
例:
bulkload connect="orcl" check="TRUE" index="TRUE"
load
操作では、索引が更新されるか作成されます。ただし、誤ったサイズ指定などの問題が原因で、索引が適切に更新または作成されない場合もあります。そのため、bulkload
ツールでは、すべての索引を再作成することが可能です。
例:
bulkload connect="orcl" index="TRUE"
「bulkdelete」を参照してください。
「bulkmodify」を参照してください。
「ldapadd」を参照してください。
「ldapaddmt」を参照してください。
bulkmodify
コマンドライン・ツールを使用すると、大量の既存エントリを効率的に変更できます。bulkmodify
ツールでは、次の機能がサポートされます。
サブツリー・ベースの変更。
LDAP検索フィルタ。たとえば、フィルタはobjectclass=*
、objectclass=oneclass
または '(&(sn=Baileys)(cn=Kalid Baileys))'
などです。
属性値の追加と置換。これにより、すべての一致エントリをバルク変更できます。
bulkmodify
ツールでは、初期化時に、指定した属性の名前/値ペアに対してスキーマ・チェックが実行されます。次の基準に一致するすべてのエントリが変更されます。
エントリが指定されたサブツリーの下に存在すること
エントリがLDAPフィルタ条件に一致すること
必須またはオプションとして指定された変更対象の属性がエントリに含まれること
ディレクトリ・サーバーとディレクトリ・レプリケーション・サーバーは、バルク変更の進行中も同時に実行できますが、レプリケーション・サーバーはバルク変更による影響を受けません。この場合、すべてのレプリカに対してバルク変更を実行する必要があります。
バルク変更中は、サブツリーに対するユーザー・アクセスを制限する必要があります。必要に応じて、bulkmodify
で更新されるサブツリーにアクセス制御項目(ACI)による制限を適用できます。
bulkmodify
を使用して、すでに1つの値を含んでいる単一値属性に値を追加することはできません。2番目の値を追加する場合は、ディレクトリ・スキーマを変更してその属性を複数値属性にする必要があります。
次の属性は、bulkmodify
ツールで更新できません。
dn(かわりにldapmoddn
を使用)
バイナリ属性
cn(かわりにldapmodify
を使用)
userPassword(かわりにldapmodify
を使用)
orclPassword(かわりにldapmodify
を使用)
orclACI(かわりにldapmodify
を使用)
orclEntryLevelACI(かわりにldapmodify
を使用)
bulkmodify connect=connect_string basedn=Base_DN {[add="TRUE"|"FALSE"]|[replace="TRUE"|"FALSE"]} attribute=attribute_name value=attribute_value [filter=filter_string] [size=transaction_size] [threads=num_of_threads] [debug="TRUE"|"FALSE"] [encode=character_set] [verbose="TRUE"|"FALSE"]
connect
必須。ディレクトリ・データベース接続文字列。tnsnames.ora
ファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.ora
ファイルは、$
ORACLE_HOME
/network/admin
にあります。
basedn
必須。変更するサブツリーのDN。DNは引用符で囲んでください。
add | replace
必須。属性に対して実行する操作。属性値を追加するのか置換するのかを指定します。
attribute
必須。値を追加または置換する必要のある単一の属性の名前。
value
必須。追加または置換する単一の属性の値。値に空白が含まれる場合は、引用符で囲みます。
filter
オプション。単一の属性を含むフィルタ文字列。デフォルトはobjectclass=*
です。
size
オプション。1回のトランザクションの一部としてコミットするエントリの数。デフォルトは100です。
threads
オプション。作成するスレッドの数。デフォルト値は、マシンのCPU数に1を加えた数です。
debug
オプション。ログ・レベルを報告します。コマンドの実行がエラーになる場合に役に立ちます。出力はbulkmodify.log
ファイルに記録されます。このファイルは$ORACLE_HOME/ldap/log
にあります。
encode
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
verbose
コマンドを冗長モードで実行します。
bulkmodify
には次の制限事項があります。
bulkmodify
は、replace
操作を実行するときに、属性のサブタイプの有無を区別しません。bulkmodify
は、属性がサブタイプを含むかどうかにかかわらず、属性値を置換します。
bulkmodify
では、DNを変更せずにRDNを変更できます。属性がDNの一部である場合、属性値は変更されますが、ディレクトリのDNエントリは変更されません。
bulkmodify
は、add
操作を実行するときに、オブジェクト・クラスのチェックを行いません。新しい属性をディレクトリ・エントリに追加するとき、bulkmodifyは、その属性をサポートするために必要なオブジェクト・クラスがエントリにあるかどうかを検証しません。
「bulkdelete」を参照してください。
「bulkload」を参照してください。
「ldapmodify」を参照してください。
「ldapmodifymt」を参照してください。
Oracle Internet Directoryでは、索引の使用により検索時に属性の利用が可能になります。Oracle Internet Directoryをインストールすると、cn=catalogs
エントリに検索で使用できる属性がリストされます。次のルールを保持する属性にのみ索引を作成できます。
等価性に関する一致ルール
Oracle Internet Directoryによってサポートされる一致ルール(「一致規則」を参照)
検索フィルタで追加の属性を使用する場合、それらの属性をカタログ・エントリに追加する必要があります。この作業は、Oracle Directory Managerを使用して属性を作成するときに行います。ただし、属性がすでに存在する場合は、カタログ管理ツール(catalog
)を使用して索引のみを作成できます。
catalog
を実行する前に、ディレクトリ・サーバーが停止中であるか、または読取り専用モードに設定されていることを確認してください。
注意: Oracle Internet Directoryのベース・スキーマによって作成された索引には、catalog のdelete="TRUE" 引数は使用しないでください。ベース・スキーマ属性から索引を削除すると、Oracle Internet Directoryの動作に悪影響を及ぼす可能性があります。 |
catalog connect=connect_string {[add="TRUE"|"FALSE"]|[delete="TRUE"|"FALSE"]} {[attribute=attribute_name]| [file=file_name]} [logging="TRUE"|"FALSE"] [threads=num_of_threads] [debug="TRUE"|"FALSE"] [verbose="TRUE"|"FALSE"]
connect
必須。ディレクトリ・データベース接続文字列。tnsnames.ora
ファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.ora
ファイルは、$
ORACLE_HOME
/network/admin
にあります。
add | delete
必須。実行する操作を指定します。add
引数は、指定された属性に索引を作成します。delete
引数は、指定された属性の索引を削除します。
attribute | file
必須。カタログに追加する1つ以上の属性。コマンドラインで単一の属性名を指定する場合、attribute
引数を使用します。複数の属性名のリストを含むファイルの完全パスと名前を指定する場合、file
引数を使用します。
logging
オプション。カタログを作成するときにREDOログを生成するかどうかを指定します。
threads
オプション。作成するスレッドの数。デフォルト値は、マシンのCPU数に1を加えた数です。
debug
オプション。ログ・レベルを報告します。コマンドの実行がエラーになる場合に役に立ちます。出力はcatalog.log
ファイルに記録されます。このファイルは$ORACLE_HOME/ldap/log
にあります。
verbose
オプション。コマンドを冗長モードで実行するかどうかを指定します。
catalog
ツールを使用すると、次のタスクを実行できます。
次の例は、単一属性の索引を作成する方法を示しています。catalog
ツールによって、Oracle Internet Directoryスーパーユーザー・パスワードの入力を求められます。
例:
catalog connect="orcl" add="TRUE" attribute="orclGender"
次の例は、属性名のリストを含むファイルを指定して、複数の値の索引を作成する方法を示しています。catalog
ツールによって、Oracle Internet Directoryスーパーユーザー・パスワードの入力を求められます。
例:
catalog connect="orcl" add="TRUE" file="~/myfiles/attrs.txt"
ldapadd
コマンドライン・ツールを使用すると、エントリ、エントリのオブジェクト・クラス、属性および値をディレクトリに追加できます。既存のエントリに属性を追加するには、ldapmodify
コマンドを使用します(「ldapmodify」を参照)。
関連資料: ldapaddでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。 |
ldapadd -h oid_hostname -D "binddn" -w password [-Y "proxy_dn"] [-p ldap_port] [-V ldap_version] {-f ldif_filename | -X dsml_filename} [-b] [-n] [-c [-o log_file_name]] [-M] [-v] [-O ref_hop_limit] [-i 1|0] [-k|-K] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-d debug_level] [-E character_set]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-Y "proxy_dn"
オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-V ldap_version
オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。
-f ldif_filename | -X dsml_filename
必須。インポートするデータを含む入力ファイルのフルパスと名前。
LDIFファイルを指定する場合は、-f
引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。
Directory Service Markup Language(DSML)ファイルを指定する場合は、-X
引数を使用します。DSMLファイルの形式の詳細は、「DSMLファイルを使用したディレクトリへのデータの追加」を参照してください。
-b
オプション。スラッシュ文字が前に付いたバイナリ・ファイル名が入力ファイルに含まれる場合は、このオプションを使用します。ツールにより、参照先のファイルから実際の値が取得されます。
-n
オプション。実際の操作を実行せずに、操作の結果をプレビューできます。
-c
オプション。エラーが発生しても操作を続行します。すべてのエラーが報告されます。-c
引数を使用しない場合、ツールはエラーの発生時に停止します。
-o log_file_name
オプション。-c
引数と組み合せて使用します。エラーの発生したLDIFエントリをログ・ファイルに書き込みます。ログ・ファイルのフルパスと名前を指定します。
-M
オプション。ManageDSAIT
コントロールをサーバーに送信するようツールに指示します。ManageDSAIT
コントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。
-v
オプション。ツールを冗長モードで実行します。
-O ref_hop_limit
オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。
-i 1 | 0
オプション。次の参照時に現在のユーザーとしてバインドするかどうかを指定します。現在のユーザーでバインドする場合は1を、匿名でバインドする場合は0を指定します。デフォルトは0(ゼロ)です。
-k | -K
オプション。-k
引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K
引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-d debug_level
オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。
1: 大容量トレースのデバッグ
128: パケット・ハンドリングのデバッグ
256: ネットワーク・アクティビティに関連する接続管理
512: 検索フィルタの処理
1024: エントリの解析
2048: 構成ファイルの処理
8192: アクセス制御リストの処理
491520: データベースとの通信のログ
524288: スキーマ関連の操作
4194304: レプリケーション固有の操作
8388608: 各接続でのエントリ、操作および結果のログ
16777216: ファンクション・コールの引数のトレース
67108864: このサーバーに接続しているクライアントの数とID
117440511: 使用可能なすべての操作およびデータ
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
ldapaddツールを使用すると、次のタスクを実行できます。
ldapadd
を使用すると、エントリまたはスキーマ情報をLDIFファイルからディレクトリに追加できます。LDIFファイルは、適切に書式設定されている必要があります。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。
例:
ldapadd -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -f ~/myfiles/input.ldif -v
ldapadd
を使用すると、<addRequest>
要素を含むDirectory Service Markup Language(DSML)ファイルからディレクトリにエントリまたはスキーマ情報を追加できます。DSMLファイルの形式の詳細は、OASISのWebサイト(http://www.oasis-open.org
)を参照してください。次の例は、ユーザー用のサンプルDSMLエントリを示しています。
例:
<addRequest dn="CN=Alice,OU=HR,DC=Example,DC=COM"> <attr name="objectclass"><value>top</value></attr> <attr name="objectclass"><value>person</value></attr> <attr name="objectclass"><value>organizationalPerson</value></attr> <attr name="sn"><value>Johnson</value></attr> <attr name="givenName"><value>Alice</value></attr> <attr name="title"><value>Software Design Engineer</value></attr> </addRequest>
DSMLファイルを適切に書式設定したら、ldapadd
でDSMLファイルを入力ファイルとして指定することで、ディレクトリにデータを追加できます。
例:
ldapadd -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -X ~/myfiles/input.xml -v
ldapaddmt
ツールの機能は、ldapadd
コマンドの機能と同じです。エントリ、エントリのオブジェクト・クラス、属性および値をディレクトリに追加できます。ただし、このツールでは、エントリの同時追加でマルチスレッドがサポートされます。
ldapaddmt
によるエントリの処理中は、現行ディレクトリ内のadd.log
ファイルにエラーが記録されます。
ldapaddmt -h oid_hostname -D "binddn" -w password -T number_threads [-p ldap_port] [-V ldap_version] {-f ldif_filename | -X dsml_filename} [-b] [-c] [-M] [-O ref_hop_limit] [-k|-K] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-d debug_level] [-E character_set]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-T number_threads
必須。エントリを同時に処理するスレッドの数。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-V ldap_version
オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。
-f ldif_filename | -X dsml_filename
必須。インポートするデータを含む入力ファイルのフルパスと名前。
LDIFファイルを指定する場合は、-f
引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。
Directory Service Markup Language(DSML)ファイルを指定する場合は、-X
引数を使用します。DSMLファイルの形式の詳細は、「DSMLファイルを使用したディレクトリへのデータの追加」を参照してください。
-b
オプション。スラッシュ文字が前に付いたバイナリ・ファイル名が入力ファイルに含まれる場合は、このオプションを使用します。ツールにより、参照先のファイルから実際の値が取得されます。
-c
オプション。エラーが発生しても操作を続行します。すべてのエラーが報告されます。-c
引数を使用しない場合、ツールはエラーの発生時に停止します。
-M
オプション。ManageDSAIT
コントロールをサーバーに送信するようツールに指示します。ManageDSAIT
コントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。
-O ref_hop_limit
オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。
-k | -K
オプション。-k
引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K
引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-d debug_level
オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。
1: 大容量トレースのデバッグ
128: パケット・ハンドリングのデバッグ
256: ネットワーク・アクティビティに関連する接続管理
512: 検索フィルタの処理
1024: エントリの解析
2048: 構成ファイルの処理
8192: アクセス制御リストの処理
491520: データベースとの通信のログ
524288: スキーマ関連の操作
4194304: レプリケーション固有の操作
8388608: 各接続でのエントリ、操作および結果のログ
16777216: ファンクション・コールの引数のトレース
67108864: このサーバーに接続しているクライアントの数とID
117440511: 使用可能なすべての操作およびデータ
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
ldapaddmt
ツールを使用すると、次のタスクを実行できます。
ldapaddmt
を使用すると、エントリまたはスキーマ情報をLDIFファイルからディレクトリに同時追加できます。LDIFファイルは、適切に書式設定されている必要があります。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。
例:
ldapaddmt -h myhost.company.com -D "cn=orcladmin" -w password -T 5 -p 389 -f ~/myfiles/input.ldif -v
ldapbind
コマンドライン・ツールを使用すると、サーバーに対するクライアント認証が可能であるどうかを確認できます。
ldapbind -h oid_hostname -D "binddn" -w password [-p ldap_port] [-V ldap_version] [-n] [-O "auth"] [-Y "DIGEST-MD5|EXTERNAL"] [-R SASL_realm] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-V ldap_version
オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。
-O "auth"
オプション。SASLセキュリティ・プロパティを指定します。サポートされるセキュリティ・プロパティは、-O "auth"
です。このセキュリティ・プロパティは、DIGEST-MD5
SASLメカニズム用です。これにより、データ整合性またはデータ機密性の保証のない認証が有効になります。
-Y "DIGEST-MD5 | EXTERNAL"
オプション。Simple Authentication and Security Layer(SASL)メカニズムを指定します。次のメカニズムがサポートされます。
DIGEST-MD5
EXTERNAL
: このメカニズムのSASL認証は、双方向SSL認証を基盤として実行されます。この場合、SSL Walletに格納されたユーザーIDがSASL認証に使用されます。
-R SASL_realm
オプション。SASLレルム。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
ldapcompare
コマンドライン・ツールを使用すると、コマンドラインで指定した属性値をディレクトリ・エントリの属性値と比較できます。
ldapcompare -h oid_hostname -D "binddn" -w password [-Y "proxy_dn"] [-p ldap_port] -a attribute_name -b "basedn" -v "attribute_value" [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-d debug_level] [-E character_set]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-Y "proxy_dn"
オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-a attribute_name
必須。値の比較を実行する属性。
-b "basedn"
必須。比較を実行するエントリのDN。
-v "attribute_value"
必須。エントリの値と比較する属性値。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-d debug_level
オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。
1: 大容量トレースのデバッグ
128: パケット・ハンドリングのデバッグ
256: ネットワーク・アクティビティに関連する接続管理
512: 検索フィルタの処理
1024: エントリの解析
2048: 構成ファイルの処理
8192: アクセス制御リストの処理
491520: データベースとの通信のログ
524288: スキーマ関連の操作
4194304: レプリケーション固有の操作
8388608: 各接続でのエントリ、操作および結果のログ
16777216: ファンクション・コールの引数のトレース
67108864: このサーバーに接続しているクライアントの数とID
117440511: 使用可能なすべての操作およびデータ
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
ldapdelete
コマンドライン・ツールを使用すると、ディレクトリからエントリ全体を削除できます。
関連資料: ldapdeleteでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。 |
ldapdelete -h oid_hostname -D "binddn" -w password [-Y proxy_dn] [-p ldap_port] [-V ldap_version] {-f ldif_filename | "entry_dn"} [-n] [-M] [-v] [-O ref_hop_limit] [-k|-K] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-Y "proxy_dn"
オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-V ldap_version
オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。
-f ldif_filename | "entry_dn"
必須。削除するエントリDNを含む入力ファイルのフルパスと名前、またはコマンドラインで指定する単一のエントリDN。
LDIFファイルを指定する場合は、-f
引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。
1つのエントリを削除する場合は、エントリのDNを引用符で囲って指定します。
-n
オプション。実際の操作を実行せずに、操作の結果をプレビューできます。
-M
オプション。ManageDSAIT
コントロールをサーバーに送信するようツールに指示します。ManageDSAIT
コントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。
-v
オプション。ツールを冗長モードで実行します。
-O ref_hop_limit
オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。
-k | -K
オプション。-k
引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K
引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
ldapdelete
を使用すると、次のタスクを実行できます。
次の例は、Anne Smithという人物のエントリを削除する方法を示しています。
例:
ldapdelete -h myhost.company.com -D "cn=orcladmin" -w password -p 389 "cn=Anne Smith,ou=Sales,o=IMC,c=US"
次の例は、削除するエントリのDNを含むLDIFファイルを指定して、複数のエントリを一度に削除する方法を示しています。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。
例:
ldapdelete -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -f /home/mydir/delete.ldif
ldapmoddn
コマンドライン・ツールを使用すると、エントリのRDNを変更することや、エントリをディレクトリ・ツリーの新しい親ノードに移動することができます。
関連資料: ldapmoddnでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。 |
ldapmoddn -h oid_hostname -D "binddn" -w password [-p ldap_port] [-V ldap_version] -b "base_dn" {-R "new_rdn"|-N "new_parent"} [-r] [-M] [-O ref_hop_limit] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-V ldap_version
オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。
-b "base_dn"
必須。新しい親DNに移動するエントリのDN、またはRDNを更新するエントリのDN。
-R "new_rdn" | -N "new_parent"
必須。実行する操作を指定します。エントリのRDNを変更する場合は、-R
引数を使用します。エントリをディレクトリ・ツリーの新しい親ノードに移動する場合は、-N
引数を使用します。
-r
オプション。古いRDNを変更後のエントリの値として保存しないよう指定します。指定しない場合、古いRDNは変更後のエントリに属性として保存されます。
-M
オプション。ManageDSAIT
コントロールをサーバーに送信するようツールに指示します。ManageDSAIT
コントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。
-O ref_hop_limit
オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
ldapmodify
コマンドライン・ツールを使用すると、入力用のLDIFファイルを指定して、エントリの属性を追加、削除または置換できます。ldapmodify
では、エントリの削除または追加も可能です。
適切な形式のLDIFファイルの詳細は、付録A「LDIFファイル形式」を参照してください。
関連資料: ldapmodifyでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。 |
ldapmodify -h oid_hostname -D "binddn" [-Y "proxy_dn"] -w password [-p ldap_port] [-V ldap_version] {-f ldif_filename | -X dsml_filename} [-a] [-b] [-c [-o log_file_name]] [-n] [-v] [-M] [-O ref_hop_limit] [-i 1|0] [-k|-K] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set] [-d debug_level]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-Y "proxy_dn"
オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-V ldap_version
オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。
-f ldif_filename | -X dsml_filename
必須。インポートするデータを含む入力ファイルのフルパスと名前。
LDIFファイルを指定する場合は、-f
引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。
Directory Service Markup Language(DSML)ファイルを指定する場合は、-X
引数を使用します。DSMLファイルの形式の詳細は、「DSMLファイルを使用したディレクトリへのデータの追加」を参照してください。
-a
オプション。追加する新規エントリがLDIFまたはDSML入力ファイルに含まれることを示します。
-b
オプション。スラッシュ文字が前に付いたバイナリ・ファイル名が入力ファイルに含まれる場合は、このオプションを使用します。ツールにより、参照先のファイルから実際の値が取得されます。
-c
オプション。エラーが発生しても操作を続行します。すべてのエラーが報告されます。-c
引数を使用しない場合、ツールはエラーの発生時に停止します。
-n
オプション。実際の操作を実行せずに、操作の結果をプレビューできます。
-v
オプション。ツールを冗長モードで実行します。
-o log_file_name
オプション。-c
引数と組み合せて使用します。エラーの発生したLDIFエントリをログ・ファイルに書き込みます。ログ・ファイルのフルパスと名前を指定します。
-M
オプション。ManageDSAIT
コントロールをサーバーに送信するようツールに指示します。ManageDSAIT
コントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。
-O ref_hop_limit
オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。
-i 1 | 0
オプション。次の参照時に現在のユーザーとしてバインドするかどうかを指定します。現在のユーザーでバインドする場合は1を、匿名でバインドする場合は0を指定します。デフォルトは0(ゼロ)です。
-k | -K
オプション。-k
引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K
引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
-d debug_level
オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。
1: 大容量トレースのデバッグ
128: パケット・ハンドリングのデバッグ
256: ネットワーク・アクティビティに関連する接続管理
512: 検索フィルタの処理
1024: エントリの解析
2048: 構成ファイルの処理
8192: アクセス制御リストの処理
491520: データベースとの通信のログ
524288: スキーマ関連の操作
4194304: レプリケーション固有の操作
8388608: 各接続でのエントリ、操作および結果のログ
16777216: ファンクション・コールの引数のトレース
67108864: このサーバーに接続しているクライアントの数とID
117440511: 使用可能なすべての操作およびデータ
ldapmodify
コマンドライン・ツールを使用すると、次のタスクを実行できます。
初めに、LDIFファイルを準備して追加する新規スキーマ要素を定義する必要があります。詳細な例は、「スキーマ要素を追加するLDIF形式」を参照してください。LDIFファイルを適切に書式設定したら、ldapmodify
ツールを使用して新規スキーマ定義をディレクトリ・スキーマにインポートできます。
例:
ldapmodify -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -f /home/myfiles/modify.ldif -v
エントリの属性または属性値を変更するには、初めにLDIFファイルを適切に準備する必要があります。詳細な例は、「エントリを変更するLDIF形式」を参照してください。LDIFファイルを適切に書式設定したら、ldapmodify
ツールを使用して変更をインポートできます。
例:
ldapmodify -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -f /home/myfiles/modify.ldif -v
ldapmodifymt
コマンドライン・ツールは、ldapmodify
と同様に、入力用のLDIFファイルを指定してエントリを追加、削除または変更できます。ただし、ldapmodifymt
は、マルチスレッド・モードで動作するため、複数のエントリを同時に操作できます。
適切な形式のLDIFファイルの詳細は、付録A「LDIFファイル形式」を参照してください。
ldapmodifymt -h oid_hostname -D "binddn" -w password [-p ldap_port] [-V ldap_version] -T number_of_threads {-f ldif_filename | -X dsml_filename} [-a] [-b] [-c [-o log_file_name]] [-M] [-O ref_hop_limit] [-k|-K] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set] [-d debug_level]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-V ldap_version
オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。
-T number_threads
必須。エントリを同時に処理するスレッドの数。
-f ldif_filename | -X dsml_filename
必須。インポートするデータを含む入力ファイルのフルパスと名前。
LDIFファイルを指定する場合は、-f
引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。
Directory Service Markup Language(DSML)ファイルを指定する場合は、-X
引数を使用します。DSMLファイルの形式の詳細は、「DSMLファイルを使用したディレクトリへのデータの追加」を参照してください。
-a
オプション。追加するエントリがLDIFファイルに含まれることを示します。
-b
オプション。スラッシュ文字が前に付いたバイナリ・ファイル名が入力ファイルに含まれる場合は、このオプションを使用します。ツールにより、参照先のファイルから実際の値が取得されます。
-c
オプション。エラーが発生しても操作を続行します。すべてのエラーが報告されます。-c
引数を使用しない場合、ツールはエラーの発生時に停止します。
-o log_file_name
オプション。-c
引数と組み合せて使用します。エラーの発生したLDIFエントリをログ・ファイルに書き込みます。ログ・ファイルのフルパスと名前を指定します。
-M
オプション。ManageDSAIT
コントロールをサーバーに送信するようツールに指示します。ManageDSAIT
コントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。
-O ref_hop_limit
オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。
-k | -K
オプション。-k
引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K
引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
-d debug_level
オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。
1: 大容量トレースのデバッグ
128: パケット・ハンドリングのデバッグ
256: ネットワーク・アクティビティに関連する接続管理
512: 検索フィルタの処理
1024: エントリの解析
2048: 構成ファイルの処理
8192: アクセス制御リストの処理
491520: データベースとの通信のログ
524288: スキーマ関連の操作
4194304: レプリケーション固有の操作
8388608: 各接続でのエントリ、操作および結果のログ
16777216: ファンクション・コールの引数のトレース
67108864: このサーバーに接続しているクライアントの数とID
117440511: 使用可能なすべての操作およびデータ
ldapmodifymt
コマンドライン・ツールを使用すると、次のタスクを実行できます。
複数のエントリを同時に変更するには、初めにLDIFファイルを適切に準備する必要があります。詳細な例は、付録A「LDIFファイル形式」を参照してください。LDIFファイルを適切に書式設定したら、ldapmodifymt
ツールを使用して変更をインポートできます。
次の例では、5つの同時スレッドを使用して、/home/myfiles/modify.ldif
ファイルに指定されたエントリを変更します。
例:
ldapmodify -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -T 5 -f /home/myfiles/modify.ldif -v
ldapsearchコマンドライン・ツールを使用すると、ディレクトリ内の特定のエントリを検索して取得できます。
エントリの検索に使用するLDAPフィルタは、Internet Engineering Task Force(IETF)のRFC 2254に指定された標準仕様に準拠している必要があります。標準のフィルタ形式の詳細は、IETFのWebサイト(http://www.ietf.org
)を参照してください。Oracle Internet Directoryでは、拡張可能な一致を除くRFC 2254のすべての要素がサポートされます。
注意: 様々なUNIXシェルでは、アスタリスク(*)などのいくつかの文字が特殊文字として解釈されます。使用するシェルによっては、これらの文字をエスケープする必要があります。 |
関連資料: ldapsearchでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。 |
ldapsearch -h oid_hostname -D "binddn" -w password [-Y "proxy_dn"] [-p ldap_port] [-V ldap_version] -b "basedn" {-s base|one|sub} {"filter_string" [attributes]|-f input_file} [-F separator] [-T [-]sort_attribute] [-j page_size] [-A] [-a never|always|search|find] [-S] [-R] [-i 1|0] [-t] [-u] [-L|-X] [-B] [-M] [-v] [-n] [-l time_limit] [-z size_limit] [-O ref_hop_limit] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-d debug_level] [-E character_set][-c]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-Y "proxy_dn"
オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-V ldap_version
オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。
-b "basedn"
必須。検索対象のベースDN。
-s base | one | sub
必須。DIT内の検索範囲。オプションは次のとおりです。
base
: 特定のディレクトリ・エントリを検索します。
one
: 検索対象のルートの1レベル下にあるすべてのエントリに検索を制限します。
sub
: 検索対象のルートを含むサブツリー全体のエントリを検索します。
"filter_string" [attributes] | -f input_file
必須。コマンドラインで引用符内に単一のフィルタを指定し、次に取得する値を含む属性の名前を指定します。複数の属性は、空白で区切ります。属性をリストしない場合、すべての属性が取得されます。
実行する一連の検索操作を含む入力ファイルを-f
引数で指定することも可能です。
-F separator
オプション。検索出力で属性の名前と値の間に使用するセパレータを選択できます。デフォルトは=
(等号)です。
-T [-]sort_attribute
オプション。ソート・リクエストをサーバーに送信するようツールに指示します。サーバーは、エントリを属性sort_attribute
でソートして返します。sort_attribute
の前にダッシュ(-)を付けると、逆順でエントリをソートするようツールに指示します。
-j page_size
オプション。ページ・リクエストをサーバーに送信するようツールに指示します。サーバーは、ページ・サイズpage_size
でエントリにページを付けて返します。
-A
オプション。属性名のみを取得します(値は取得しません)。
-a never | always | search | find
オプション。別名の参照解除を指定します。LDAPディレクトリの別名エントリは、別のエントリを指し示すエントリです。別名ポインタをたどることは、別名の参照解除と呼ばれます。オプションは次のとおりです。
never
: 別名エントリを参照解除しません。参照解除を必要とする別名エントリがディレクトリ内に存在しない場合、このオプションを選択すると、検索パフォーマンスが向上します。
always
: 常に別名を参照解除します。この選択はデフォルトです。
search
: 指定した検索ベースに従属する別名エントリは参照解除しますが、検索ベースの別名エントリは参照解除しません。
find
: 指定した検索ベースの別名エントリは参照解除しますが、検索ベースに従属する別名エントリは参照解除しません。
-S attr
オプション。指定された属性で結果をソートします。
-R
オプション。参照の自動追跡を無効にします。
-i 1 | 0
オプション。次の参照時に現在のユーザーとしてバインドするかどうかを指定します。現在のユーザーでバインドする場合は1を、匿名でバインドする場合は0を指定します。デフォルトは0(ゼロ)です。
-t
オプション。/tmp
にファイルを書き込みます。
-u
オプション。出力にわかりやすい名前を含めます。
-L | -X
オプション。LDIF形式(-L
)またはDSML形式(-X
)でエントリを出力します。
-B
オプション。非ASCII値の出力を許可します。
-M
オプション。ManageDSAIT
コントロールをサーバーに送信するようツールに指示します。ManageDSAIT
コントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。
-n
オプション。実際の操作を実行せずに、操作の結果をプレビューできます。
-v
オプション。ツールを冗長モードで実行します。
-l time_limit
オプション。ldapsearch
コマンドの完了を待機する最大時間(秒単位)。
-z size_limit
オプション。返されるエントリの最大数。
-O ref_hop_limit
オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
-d debug_level
オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。
1: 大容量トレースのデバッグ
128: パケット・ハンドリングのデバッグ
256: ネットワーク・アクティビティに関連する接続管理
512: 検索フィルタの処理
1024: エントリの解析
2048: 構成ファイルの処理
8192: アクセス制御リストの処理
491520: データベースとの通信のログ
524288: スキーマ関連の操作
4194304: レプリケーション固有の操作
8388608: 各接続でのエントリ、操作および結果のログ
16777216: ファンクション・コールの引数のトレース
67108864: このサーバーに接続しているクライアントの数とID
117440511: 使用可能なすべての操作およびデータ
-E character_set
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
-C
オプション。ldapsearch -Cオプションは階層をトラバースして、直接的なメンバーシップを報告します。ldapsearch -Cオプションは、基本的に、クライアントに送信するリクエストにCONNECT_BYコントロール(2.16.840.1.113894.1.8.3)を含めます。ldapsearchには、コントロールで値を渡す手段はありません。そのため、値なしでCONNECT_BYコントロールを送信します。その場合は、デフォルト値が想定されます。つまり、階層が生成する属性名がフィルタから取得され、レベル数は0です。つまり、-Cオプションは、あるユーザーの全グループのフェッチや、ある管理者の全従業員のフェッチなど、「あるものを含むすべてのもの」の問合せをフェッチするためにのみ使用できます。また、階層の全レベルがトラバースされます。詳細は、表7-2を参照してください。
関連資料: 次のマニュアルの「階層検索の実行」を参照してください。『Oracle Identity Managementアプリケーション開発者ガイド』 |
ldapsearch
コマンドライン・ツールを使用すると、次のタスクを実行できます。
次の例では、ルートからディレクトリのベース・レベル検索を実行します。
-b
は、検索対象のベースDNを指定します。この場合はルートです。
-s
は、検索がベース検索(base
)、1レベル検索(one
)、サブツリー検索(sub
)のいずれであるかを指定します。
"objectclass=*"
は、検索のフィルタを指定します。
例:
ldapsearch -p 389 -h myhost -b "" -s base -v "objectclass=*"
次の例では、"ou=HR, ou=Americas, o=IMC, c=US"
から開始する1レベル検索を実行します。
例:
ldapsearch -p 389 -h myhost -b "ou=HR, ou=Americas, o=IMC, c=US" -s one \ -v "objectclass=*"
次の例では、サブツリー検索を実行し、"cn=us"
で始まるDNを持つすべてのエントリを取得します。
例:
ldapsearch -p 389 -h myhost -b "c=US" -s sub -v "cn=Person*"
次の例では、一致エントリのDN
属性値のみを取得します。
例:
ldapsearch -p 389 -h myhost -b "c=US" -s sub -v "objectclass=*" dn
次の例では、姓(sn
)および説明(description
)の属性値とともに識別名を取得します。
例:
ldapsearch -p 389 -h myhost -b "c=US" -s sub -v "cn=Person*" dn sn description
次の例では、識別名(dn)、姓(sn
)および説明(description
)の属性値を取得します。エントリは姓(sn
)でソートされます。1ページごとに10エントリが返ります。
例:
ldapsearch -p 389 -h myhost -b "c=US" -s sub -v "cn=Person*" dn sn description -T sn -j 10
次の例では、言語コード属性オプションを指定するオプションを保持する共通名(cn
)属性付きのエントリを取得します。特にこの例では、共通名がフランス語で、文字Rで始まっているエントリを取得します。
例:
ldapsearch -p 389 -h myhost -b "c=US" -s sub "cn;lang-fr=R*"
ここで、Johnというエントリがあり、cn;lang-it
言語コード属性オプションに値が設定されていないと仮定します。この場合、次の例ではJohnのエントリを取得できません。
例:
ldapsearch -p 389 -h myhost -b "c=us" -s sub "cn;lang-it=Giovanni"
次の例では、すべてのユーザー属性と、createtimestamp
およびorclguid
操作属性を取得します。
例:
ldapsearch -p 389 -h myhost -b "ou=Benefits,ou=HR,ou=Americas,o=IMC,c=US" \ -s sub "cn=Person*" "*" createtimestamp orclguid
次の例では、Anne Smithによって変更されたエントリを取得します。
例:
ldapsearch -h sun1 -b "" "(&(objectclass=*)(modifiersname=cn=Anne Smith))"
次の例では、2001年4月1日から2001年4月6日までに変更されたエントリを取得します。
例:
ldapsearch -h sun1 -b "" \ "(&(objectclass=*)(modifytimestamp >= 20000401000000) \ (modifytimestamp <= 20000406235959))"
注意: modifiersname およびmodifytimestamp 属性には索引がないため、catalog.shを使用してこれら2つの属性に索引を作成します。その後、Oracleディレクトリ・サーバーを再起動してから、前述の2つのldapsearchコマンドを発行します。 |
次の各例では、ホストsun1のポート389を使用して、"ou=hr,o=acme,c=us"
というDNで始まるサブツリー全体を検索します。
次の例では、objectclass属性に任意の値が含まれるすべてのエントリを検索します。
ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" -s subtree "objectclass=*"
次の例では、objectclass
属性の値がorcl
で始まるすべてのエントリを検索します。
ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" -s subtree "objectclass=orcl*"
次の例では、objectclass
属性の値がorcl
で始まり、かつcn
属性の値がfoo
で始まるエントリを検索します。
ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" \ -s subtree "(&(objectclass=orcl*)(cn=foo*))"
次の例では、cn
がfoo
で始まるか、またはsn
がbar
で始まるエントリを検索します。
ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" \ -s subtree "(|(cn=foo*)(sn=bar*))"
次の例では、employeenumber
が10000以下であるエントリを検索します。
ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" \ -s subtree "employeenumber<=10000"
Oracle Internet Directoryデータ移行ツール(ldifmigrator
)を使用すると、他のディレクトリまたはアプリケーション固有のリポジトリから出力されたLDIFファイルをOracle Internet Directoryで認識可能な形式に変換できます。データ移行ツールでは、置換変数を含むLDIFファイルを入力として取得し、Oracle Internet Directoryへのロードに適したLDIFファイルを出力します。
このツールで使用するLDIF入力ファイルの適切な形式の詳細は、「エントリを移行するLDIF形式」を参照してください。
ldifmigrator "input_file=filename" "output_file=filename" [-lookup -h oid_hostname -D "binddn" -w password [-p ldap_port] [subscriber=subscriberDN]] ["s_VariableName1=replacement_value" "s_VariableName2=replacement_value"...] [-load -reconcile SAFE|SAFE_EXTENDED|NORMAL]
"input_file=filename"
ディレクトリ・エントリ・データおよび1つ以上の置換変数を含むLDIFファイルのフルパスと名前。
"output_file=filename"
ldifmigrator
ツールで生成する出力ファイルのフルパスと名前。
-lookup
このフラグを指定すると、特定の置換変数の値が、ディレクトリ・サーバーの適切な値の参照により取得されます。参照可能な置換変数のリストは、「入力ファイルを移行するための置換変数」を参照してください。
-h oid_hostname
-lookup
フラグを使用する場合は必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
-lookup
フラグを使用する場合は必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
-lookup
フラグを使用する場合は必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-p ldap_port
-lookup
フラグを使用する場合のオプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
subscriber=subscriberDN
オプション。置換変数のかわりに使用する属性値を保持するサブスクライバ。指定しない場合、ルートOracleコンテキストで指定されたデフォルトのID管理レルムが使用されます。
"s_VariableName=replacement_value"
オプション。コマンドラインで置換変数の値を指定できます。LDIF入力ファイルに置換変数を追加する手順は、「入力ファイルを移行するための置換変数」を参照してください。ldifmigrator
ツールにより、一致するすべての変数が指定した値で置換されます。
-load
オプション。ldifmigrator
ツールによって出力されたデータをOracle Internet Directoryに直接ロードします。エントリがディレクトリにすでに存在する場合は、そのディレクトリ・エントリがファイルに記録されます。ディレクトリ・エントリの追加は、その他の理由で失敗する場合もあります(エントリを追加する権限が不足している場合や、親エントリが存在しない場合など)。
-reconcile SAFE | SAFE_EXTENDED | NORMAL
オプション。-reconcile
オプションを使用すると、すでに存在するエントリのデータをロードする場合や、競合が発生する可能性のあるエントリの属性を変更する場合に役立つ各種のモードを指定できます。選択できるモードは次のとおりです。
SAFE: このモードでは、存在しない新規エントリを追加するか、既存のエントリに新規属性を追加するのみです。
SAFE-EXTENDED: このモードでは、存在しない新規エントリを追加するか、既存のエントリに新規属性を追加するのみです。既存の属性に新規の値を追加する場合は、既存の値セットに追加されます。
NORMAL: このモードでは、すべてのディレクティブを指示どおりに適用し、ldifmigrator
出力に指定されたデータですべての競合属性またはエントリを上書きします。
-reconcile
オプションでサポートされるLDIFディレクティブの詳細は、「移行されたエントリの調整オプション」を参照してください。
ldifmigrator
コマンドライン・ツールを使用すると、次のタスクを実行できます。
データ移行ツールで使用するLDIF入力ファイルの適切な形式の例は、「エントリを移行するLDIF形式」を参照してください。
この例では、Oracle Internet Directoryサーバーが環境内に存在します。また、移行ツールは、ディレクトリ・サーバーを参照してLDIF入力ファイルに指定された特定の置換変数を解決します。
例:
$ldifmigrator "input_file=sample.dat" "output_file=sample.ldif" \ -lookup "host=ldap.acme.com" "subscriber=acme" \ "s_UserOrganization=Development"
状況によっては、参照モードを使用しながら、事前定義された1つ以上の置換変数の値を上書きすることも可能です。この場合、コマンドラインで上書き値を指定します。次のコマンドラインは、デフォルトのuid
を上書きして、UserNickNameAttribute
にcn
を設定する方法を示しています。
例:
$ldifmigrator "input_file=sample.dat" "output_file=sample.ldif" \ -lookup "host=ldap.acme.com" "subscriber=acme" \ "s_UserOrganization=Development" "s_UserNicknameAttribute=cn"
次の例は、参照モードを使用せずに、LDIF入力ファイルに存在する置換変数に独自の値を指定する方法を示しています。
例:
$ldifmigrator "input_file=sample.dat" "output_file=sample.ldif" \ "s_UserContainerDN=cn=Users,o=Acme,dc=com" \ "s_UserNicknameAttribute=uid" "s_UserOrganization=Development"
データ移行ツールでは、データをOracle Internet Directoryに直接ロードするオプションも提供されています。-load
および-reconcile
オプションを使用すると、データのロードと競合の調整を安全に実行できます。
例:
$ldifmigrator "input_file=sample.dat" "output_file=sample.ldif" \ -lookup "host=ldap.acme.com" "subscriber=acme" \ "s_UserOrganization=Development" -load -reconcile SAFE
データ移行ツールでは、次のエラー・メッセージが表示される場合があります。
表4-1 データ移行ツールのエラー・メッセージ
メッセージ | 理由 | 修正処置 |
---|---|---|
環境変数ORACLE_HOMEが定義されていません。 |
ORACLE_HOMEが定義されていない。 |
環境変数ORACLE_HOMEを設定する。 |
入力パラメータ解析中のエラー。再確認してください。 |
必須パラメータがすべて指定されていない。必須パラメータは、Input_File、Output_Fileおよび1つ以上の置換変数。 |
入力パラメータを適切に指定する。使用方法を出力するには、 |
Input_Fileパラメータが指定されていません。指定してください。 |
Input_Fileは必須パラメータ。 |
入力パラメータを適切に指定する。使用方法を出力するには、 |
Output_Fileパラメータが指定されていません。指定してください。 |
Output_Fileは必須パラメータ。 |
入力パラメータを適切に指定する。使用方法を出力するには、 |
指定された入力ファイルは存在しません。 |
指定したファイルの場所が無効。 |
入力ファイルのパスを確認する。 |
入力ファイルをチェックしてください。入力ファイルは0バイトです。 |
入力ファイルにエントリが含まれていない。 |
擬似LDIFエントリを含む有効なファイルを指定する。 |
出力ファイルを作成できません。出力ファイルはすでに存在します。 |
出力ファイルがすでに存在する。 |
Output_Fileフラグを確認する。 |
アクセスが拒否されました。入力ファイルから読み込むことができません。 |
指定した入力ファイルに対する読取り権限がない。 |
入力ファイルの読取り権限を確認する。 |
アクセスが拒否されました。出力ファイルに作成できません。 |
出力ファイルを作成する権限がない。 |
出力ファイルの作成先となるディレクトリに対する権限を確認する。 |
ディレクトリ・サーバー名が指定されていません。-lookupオプションが使用されているときはホスト・パラメータを指定する必要があります。 |
|
ホスト・パラメータを指定する。 |
バインドDNパラメータが指定されていません。-lookupオプションを使用するときはDNパラメータを指定する必要があります。 |
|
DNパラメータを指定する。 |
指定されたポート番号は無効です。 |
ポート番号には数値を使用する。 |
ポート番号パラメータを確認する。 |
ディレクトリへ接続を確立することができません。入力パラメータ(ホスト、ポート、DN、パスワード)を確認してください。 |
ディレクトリ・サーバーが指定したホストおよびポートで稼働していないか、資格証明が無効である可能性がある。 |
ホスト、ポート、DNおよびパスワードのパラメータを確認する。 |
ディレクトリからサブスクライバ情報を取り出している際にネーミング例外が発生しました。入力パラメータを指定してください。 |
指定したID管理レルムがディレクトリに存在しない。 |
レルム・パラメータを確認する。 |
すべての置換変数が指定されたディレクトリ・サーバーで定義されていません。 |
ID管理レルム・エントリに必須属性が含まれない場合、このエラーが発生する。 |
ディレクトリのレルム・エントリを確認する。 |
LDIFデータのOIDへの移行中にエラーが発生しました。 |
処理中に問題が発生した場合(ディレクトリ・サーバーまたはディスクの障害など)、このエラーが発生することがある。 |
エラー・メッセージを管理者に報告する。 |
エラー状態が発生した場合、ログ・メッセージはORACLE_HOME
/ldap/install/LDIFMig_YYYY_MM_DD_HH_SS.log
ファイルに記録されます。
ldifwrite
コマンドライン・ツールを使用すると、Oracle Internet Directoryに存在する情報の一部または全部をLDIFに変換できます。変換した情報は、レプリケートしたディレクトリの新規ノードまたはバックアップ記憶域の別のノードにロードできます。
注意: ldifwrite ツールの出力には、ディレクトリ自体の操作データ(cn=subschemasubentry 、cn=catalogs 、cn=changelog entries など)は含まれません。これらのエントリをLDIF形式にエクスポートするには、-L フラグ付きでldapsearch を使用します。 |
ldifwrite
ツールでは、指定したDN以下のすべてのエントリを対象にサブツリー検索を実行します(DN自体も対象です)。
ldifwrite connect=connect_string basedn=Base_DN ldiffile=LDIF_Filename [filter=LDAP_Filter] [threads=num_of_threads] [debug="TRUE"|"FALSE"] [encode=character_set] [verbose="TRUE"|"FALSE"]
connect
必須。ディレクトリ・データベース接続文字列。tnsnames.ora
ファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.ora
ファイルは、$
ORACLE_HOME
/network/admin
にあります。指定しない場合、デフォルトで$ORACLE_SID
環境変数の値が使用されます。
basedn
必須。LDIF形式で出力を書き込むサブツリーのベースDN。
ベースDNがレプリケーション承諾エントリである場合、LDAPのネーミング・コンテキスト構成に基づいてネーミング・コンテキストの一部をバックアップできます。この場合、レプリケーション承諾DNを指定します。
ldiffile
必須。出力LDIFファイルのフルパスと名前。
filter
オプション。使用するLDAPフィルタ。フィルタを指定し、特定の基準に一致するエントリを選択できます。一致したエントリのみが、LDIFファイルに書き込まれます。
threads
オプション。ディレクトリ・ストアからの読取りとLDIF出力ファイルへの書込みに使用するスレッドの数。デフォルトは、CPU数に1を加えた数です。
debug
オプション。ログ・レベルを報告します。コマンドの実行がエラーになる場合に役に立ちます。出力はldifwrite.log
ファイルに記録されます。このファイルは$ORACLE_HOME/ldap/log
にあります。
encode
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
verbose
オプション。コマンドを冗長モードで実行します。
ldifwrite
コマンドライン・ツールを使用すると、次のタスクを実行できます。
次の例では、ou=Europe,o=imc,c=us
の下のすべてのエントリをoutput1.ldif
ファイルに書き込みます。
LDIFファイルと中間ファイルは、常に現行ディレクトリに書き込まれます。
ldifwrite
ツールには、ディレクトリの各エントリの操作属性が含まれます(createtimestamp
、creatorsname
、orclguid
など)。
Oracle Internet Directoryのパスワードを求められた場合は、ODSデータベース・ユーザー・アカウントのパスワードを入力してください。デフォルト・パスワードはods
です。
例:
ldifwrite connect="nldap" basedn="ou=Europe, o=imc, c=us" file="output1.ldif"
この例では、部分レプリケーションに定義された次のネーミング・コンテキスト・オブジェクトを使用します。
dn: cn=includednamingcontext000001, cn=replication namecontext, orclagreementid=000001, orclreplicaid=node replica identifier, cn=replication configuration
orclincludednamingcontexts: c=us
orclexcludednamingcontexts: ou=Americas, c=us
orclexcludedattributes: userpassword
objectclass: top
objectclass: orclreplnamectxconfig
この例では、c=us
の下のすべてのエントリがバックアップされますが、ou=Americas,c=us
は除外されます。userpassword
属性も除外されます。
例:
ldifwrite connect="nldap" basedn="cn=includednamingcontext000001, \ cn=replication namecontext,orclagreementid=000001, \ orclreplicaid=node replica identifier,cn=replication configuration" \ file="output2.ldif"
リリース10.1.2以上では、証明書のハッシュ値を使用してOracle Internet Directoryにバインドできます。このハッシュ値を導入する場合、リリース10.1.2より前に発行されたユーザー証明書については、ディレクトリで更新する必要があります。この作業は、アップグレード後の手順であり、ユーザー証明書がディレクトリでプロビジョニングされている場合にのみ必須です。upgradecert.pl
ツールは、この証明書の更新に使用します。
upgradecert.pl
ツールを実行する前に、次のことを確認してください。
Oracle Internet Directoryサーバー・インスタンスが起動して稼働中であることを確認します。
Perl 5.6以上が実行されていることを確認します。次のコマンドを実行してください。
perl -version
環境変数PERL5LIBが適切なPerlライブラリの場所に設定されていることを確認します。
コマンド・プロンプトからldapmodify
およびldapsearch
を実行できることを確認します。
ツールを実行するのに十分なディスク領域があるかどうかを確認します。必要なディスク領域の容量は、格納される証明書の数に応じて変化します。
perl $ORACLE_HOME/ldap/bin/upgradecert.pl -h oid_hostname -D "binddn" -w password [-p ldap_port] [-t temp_dir]
-h oid_hostname
必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。
-D "binddn"
必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladmin
など)。
-w password
必須。ディレクトリへのバインドに必要なユーザー・パスワード。
-p ldap_port
オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。
-t temp_dir
オプション。一時作業ディレクトリの場所。これは、ログ・ファイルの場所になります。ORACLE_HOME
環境変数が設定されている場合のデフォルトは、$ORACLE_HOME/ldap/log
です。この変数が設定されていない場合のデフォルトは、現行ディレクトリです。