ヘッダーをスキップ
Oracle Identity Managementユーザー・リファレンス
10g(10.1.4.2)
E05895-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

4 Oracle Internet Directoryデータ管理ツール

この章では、Oracle Internet Directoryに格納されたエントリおよびデータの管理に使用できる次のコマンドライン・ツールについて説明します。

4.1 bulkdelete

bulkdeleteコマンドライン・ツールを使用すると、1つ以上のサブツリーを効率的に削除できます。このツールは、Oracle Internet DirectoryサーバーとOracleディレクトリ・レプリケーション・サーバーが両方とも稼働している場合に使用できます。このツールでは、SQLインタフェースの使用によりパフォーマンスが向上しています。今回のリリースのbulkdeleteツールは、一度に1つのノードでのみ動作します。

このツールでは、フィルタ・ベースの削除がサポートされません。つまり、サブツリーのルートより下にあるサブツリーが、すべて削除されます。ベースDNが、ディレクトリ・インストールの一部として作成されたDNではなく、ユーザーが追加したDNである場合、そのDNは削除対象に含まれます。削除中は、サブツリーに対するLDAPアクティビティを制限する必要があります。

4.1.1 bulkdeleteの構文

bulkdelete connect=connect_string {[basedn=Base_DN]|[file=file_name]} [cleandb="TRUE"|"FALSE"] 
[size=transaction_size] [encode=character_set] [debug="TRUE"|"FALSE"] [threads=num_of_threads] [verbose="TRUE"|"FALSE"]

4.1.2 bulkdeleteの引数

connect

必須。ディレクトリ・データベース接続文字列。tnsnames.oraファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.oraファイルは、$ORACLE_HOME/network/adminにあります。

basedn | file

必須。削除するサブツリーのベースDN("dc=company, dc=com"など)。DNは引用符で囲んでください。複数のベースDNを指定することもできます。そのためには、DNをファイルに記述し、file引数でファイル名とパスを指定します。

cleandb

オプション。削除したエントリをツームストンにするのか、それともデータベースから完全に削除するのかを指定します。デフォルト(cleandb="TRUE")は、エントリを完全に削除します。

size

オプション。1回のトランザクションの一部としてコミットするエントリの数。

encode

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

debug

オプション。ログ・レベルを報告します。コマンドの実行がエラーになる場合に役に立ちます。出力はbulkdelete.logファイルに記録されます。このファイルは$ORACLE_HOME/ldap/logにあります。

threads

オプション。作成するスレッドの数。デフォルト値は、マシンのCPU数に1を加えた数です。

verbose

オプション。コマンドを冗長モードで実行します。

4.1.3 bulkdeleteのタスクと使用例

次の例は、ディレクトリから1つ以上のサブツリーを削除する方法を示しています。

4.1.3.1 ネーミング・コンテキスト内の全エントリの削除とツームストン・エントリとしての設定

例:

bulkdelete connect="dbs1" basedn="cn=OracleContext" cleandb="FALSE"

4.1.3.2 ネーミング・コンテキスト内の全エントリの完全な削除

例:

bulkdelete connect="dbs1" basedn="cn=OracleContext"

4.1.3.3 複数のネーミング・コンテキスト内のエントリの削除

この例では、削除するDNのリストを含むファイルを使用します。

例:

bulkdelete connect="dbs1" file="~/myfiles/dn.txt"

4.1.4 bulkdeleteの関連コマンドライン・ツール

4.2 bulkload

bulkloadコマンドライン・ツールは、大量のエントリをディレクトリ・サーバーにロードする場合に役立ちます。このツールでは、Oracle SQL*Loaderを使用してディレクトリ・エントリをロードします。bulkloadツールの入力ファイルの形式は、LDAP Data Interchange Format(LDIF)である必要があります。LDIFファイルの適切な形式および構文の詳細は、付録A「LDIFファイル形式」を参照してください。

バルク・ロード・ツールの操作の概要

バルク・ロード・ツールの操作は、次の各フェーズに分割されます。

  1. チェック

    チェック・フェーズでは、有効なLDAPスキーマが存在し、重複エントリがないかどうかについて、LDIFファイルのすべてのエントリが検証されます。バルク・ロード・ツールによってエラーが報告された場合、作業を続行する前にそのエラーを修正する必要があります。

  2. 生成

    生成フェーズでは、LDIF入力が中間ファイルに変換されます。SQL*Loaderは、この中間ファイルを使用してOracle Internet Directoryのディレクトリ・ストアにデータをロードします。

  3. ロード

    生成フェーズで生成された中間ファイルが、Oracle Internet Directoryのディレクトリ・ストアにロードされます。バルク・ロード・ツールでは、次の2つのタイプのデータ・ロードがサポートされます。

    • 増分モードでのロード

      増分モードでは、既存のディレクトリ・データにデータを追加できます。このモードでのロードは、他の追加方法より高速ですが、バルク・モードでのロードより低速です。

      このモードは、少量のデータを追加する場合に使用します。ここでの少量とは、比較上の数です。この数は、ディレクトリ内の既存データ、ロードするデータの量、およびロードを処理するハードウェアの性能によって変化します。

      このモードでは、バルク・ロード・ツールは、カタログ索引の削除や再構築は行いません。かわりに、SQL*Loaderを挿入モードで使用してデータベースにデータを追加し、挿入を通じて索引を更新します。

    • バルク・モードでのロード

      バルク・モードでは、大量のエントリを確実にディレクトリに追加できます。デフォルトでは、バルク・ロード・ツールは、バルク・モードで実行されます。バルク・モードは、増分モードより高速です。

      バルク・モードでは、すべてのOracle Internet Directoryサーバー・インスタンスを停止する必要があります。このモードでは、バルク・ロード・ツールは、既存の索引を削除してデータのロード後に再作成します。データ・ロードでは、SQL*Loaderのダイレクト・パス・モードが使用されます。

  4. 索引作成

    ロードが完了すると、索引が再作成されます(バルク・モードでのロードの場合)。バルク・ロード・ツールには、すべての索引を再作成するだけのオプションもあります。このオプションは、前に実行した索引作成がなんらかの理由で失敗した場合に便利です。

  5. ディレクトリ・データ・リカバリ

    ロード・フェーズでの失敗により、ディレクトリ・データの一貫性が失われる場合があります。バルク・ロード・ツールでは、bulkloadを起動する前の元の状態を復元できます。

bulkloadツールを使用する前に

bulkloadツールを使用する前に、次の操作を実行してください。

  1. バルク・モードでデータをロードする前に、Oracle Internet Directoryサーバー・インスタンスを停止します。

  2. 増分モードでデータをロードする場合、ディレクトリ・サーバーを停止する必要はありませんが、ディレクトリ・サーバーを読取り/更新モードに設定する必要があります。読取り/更新モードでは、DNの追加、削除および変更操作が制限されます。

  3. 旧バージョンのOracle Internet Directoryのデータを含むLDIFファイルをロードする場合、作業を開始する前にOracle Application Serverのアップグレードおよび互換性ガイドを参照して、orclguidsのアップグレードに関する特別な指示に従ってください。

4.2.1 bulkloadの構文

bulkload [connect=connect_string]
{[check="TRUE"|"FALSE" [restore="TRUE"|"FALSE"] [thread=num_of_threads] [file=ldif_file]]
[generate="TRUE"|"FALSE" [append="TRUE"|"FALSE"] [restore="TRUE"|"FALSE"] [thread=num_of_threads] file=ldif_file]
[load="TRUE"|"FALSE"  [append="TRUE"|"FALSE"] [threads=num_of_threads]]
[index="TRUE"|"FALSE"] [recover="TRUE"|"FALSE"]}
[encode=character_set] [debug="TRUE"|"FALSE"] [verbose="TRUE"|"FALSE"]

4.2.2 bulkloadの引数

connect

オプション。ディレクトリ・データベース接続文字列。tnsnames.oraファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.oraファイルは、$ORACLE_HOME/network/adminにあります。単一のノードにデータをロードする場合、そのノードの接続文字列を指定します(orclなど)。複数のノードにデータをロードする場合、すべてのノードの接続文字列を指定します(orcl1 orcl2 orcl3など)。

check | generate | load | recover | index

必須。実行する操作を指定します。操作は次のとおりです。

  • check: スキーマに一貫性があるかどうか、および重複したエントリDNが存在しないかどうかについて、指定のLDIFファイルをチェックします。LDIFファイルのフルパスまたは相対パスと名前を指定する必要があります。オプションとして、スレッドの数を指定できます。checkおよびgenerate操作は、同時に発行できます。

  • generate: SQL*Loaderを使用してOracle Internet Directoryにエントリをロードするのに適した中間ファイルを作成します。エントリを作成するLDIFファイルのフルパスまたは相対パスと名前を指定する必要があります。オプションとして、スレッドの数を指定できます。checkおよびgenerate操作は、同時に発行できます。


    注意:

    generate操作の後は、load操作を実行するまで、ディレクトリは読取り/更新モードのままになります。

  • load: generate操作で生成されたファイルをデータベースにロードします。appendオプションを使用して、既存のディレクトリ・データにデータを追加する必要があるかどうかを指定できます。ロードが成功するには、LDAPサーバーが稼働している必要があります。オプションとして、スレッドの数を指定できます。ldplonlyオプションを"TRUE"に設定すると、データのロードはパラレルに実行されますが、索引の作成はシリアル・モードで行われます。load操作の前にgenerate操作を実行する必要があります。

  • recover: load操作に失敗した場合、元のデータを使用してディレクトリをリカバリします。recoverオプションを使用するときは、他のオプションは使用できません。

  • index: すべてのカタログ表で索引を再作成します。

file

checkおよびgenerate操作の場合は必須。ロードするエントリを含むLDIFファイルの完全修飾パスまたは相対パスと名前。

threads

checkgenerateおよびloadの各操作に対してはオプション。作成するスレッドの数。デフォルト値は、マシンのCPU数に1を加えた数です。

restore

checkおよびgenerate操作ではオプション。操作属性(orclguidcreatorsnamecreatetimestampなど)が指定したLDIFファイルに存在することが前提です。重複する操作属性値はSQL*Loaderの出力ファイルに作成されません。

append

generateおよびload操作ではオプション。エントリをデフォルトのバルク・モードではなく増分モードでロードします。データを既存のディレクトリ・データに追加する増分モードは、少量のデータをロードするのに適しています。

encode

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

debug

オプション。デバッグの有効と無効を切り替えます。コマンドでエラーが発生する場合は、デバッグを有効(debug="TRUE")にすると役に立ちます。出力はbulkload.logファイルに記録されます。このファイルは$ORACLE_HOME/ldap/logにあります。

verbose

コマンドを冗長モードで実行します。

4.2.3 bulkloadのタスクと使用例

bulkloadツールを使用すると、次のタスクを実行できます。

4.2.3.1 バルク・モードでのデータのロード

典型的な使用例として、Oracle Internet Directoryのインストール後にディレクトリ・データをロードすることがあげられます。最初にLDIFファイルでスキーマ・エラーを検査し、中間ファイルを生成します。次に、データをOracle Internet Directoryストアにロードします。

次の例は、bulkloadツールを実行する方法を示しています。ツールは最初に、checkおよびgenerateオプションで実行されます。checkオプションは、入力でスキーマおよびデータ整合性の違反を検査します。generateオプションは、SQL*Loaderに対する入力ファイルを生成します。次に、コマンドはloadオプション付きで実行され、データをディレクトリにロードします。

例:

bulkload connect="orcl" check="TRUE" generate="TRUE" file="~/myfiles/data.ldif"
bulkload connect="orcl" load="TRUE"

4.2.3.2 レプリケート環境での複数ノードへのデータのロード

レプリケートされたネットワーク上の複数のノードに同じデータをロードする場合、orclGUIDパラメータ(グローバルID)がすべてのノードで一貫していることを確認します。この操作を実行するには、(generate引数により)一度だけバルク・ロード・データファイルを生成し、(load引数により)同じデータファイルを使用して他のノードにデータをロードします。

4.2.3.3 増分モードでのデータのロード

すでにいくつかのLDIFユーザー・データを含むOracle Internet Directoryストアにディレクトリ・エントリを追加する場合、append引数を使用して増分モードを指定します。このモードは、通常、ディレクトリにエントリを追加するその他の方法より高速です。ただし、作業を開始する前に、ディレクトリ・サーバー・インスタンスを読取り/更新モードに設定しておく必要があります。次の例は、増分モードでbulkloadを実行する方法を示しています。

例:

bulkload connect="orcl" check="TRUE" generate="TRUE" load="TRUE" append="TRUE" file="~/myfiles/data.ldif"

4.2.3.4 索引の検証

checkオプションとindexオプションを一緒に使用して、ディレクトリ内の既存の索引を検証できます。

例:

bulkload connect="orcl" check="TRUE" index="TRUE"

4.2.3.5 索引の再作成

load操作では、索引が更新されるか作成されます。ただし、誤ったサイズ指定などの問題が原因で、索引が適切に更新または作成されない場合もあります。そのため、bulkloadツールでは、すべての索引を再作成することが可能です。

例:

bulkload connect="orcl" index="TRUE"

4.2.3.6 ロード・エラー後のデータのリカバリ

誤ったディスク・サイズ指定などの問題が原因で、load操作に失敗する場合があります。このとき、ディレクトリ・データの一貫性が損われる可能性があります。そのため、bulkloadでは、ディレクトリ・データをbulkloadの起動前の状態にリカバリすることが可能です。

例:

bulkload connect="orcl" recover="TRUE"

4.2.4 bulkloadの関連コマンドライン・ツール

4.3 bulkmodify

bulkmodifyコマンドライン・ツールを使用すると、大量の既存エントリを効率的に変更できます。bulkmodifyツールでは、次の機能がサポートされます。

bulkmodifyツールでは、初期化時に、指定した属性の名前/値ペアに対してスキーマ・チェックが実行されます。次の基準に一致するすべてのエントリが変更されます。

ディレクトリ・サーバーとディレクトリ・レプリケーション・サーバーは、バルク変更の進行中も同時に実行できますが、レプリケーション・サーバーはバルク変更による影響を受けません。この場合、すべてのレプリカに対してバルク変更を実行する必要があります。


注意:

LDIFファイル・ベースの変更は、bulkmodifyではサポートされません。このタイプの変更では、エントリごとのスキーマ・チェックが必要になるため、既存のldapmodifyツールを大幅に超えるほどのパフォーマンス向上は望めません。

bulkmodifyを起動する場合は、サーバー側のエントリ・キャッシュが無効であることを確認してください。


バルク変更中は、サブツリーに対するユーザー・アクセスを制限する必要があります。必要に応じて、bulkmodifyで更新されるサブツリーにアクセス制御項目(ACI)による制限を適用できます。

bulkmodifyを使用して、すでに1つの値を含んでいる単一値属性に値を追加することはできません。2番目の値を追加する場合は、ディレクトリ・スキーマを変更してその属性を複数値属性にする必要があります。

次の属性は、bulkmodifyツールで更新できません。

4.3.1 bulkmodifyの構文

bulkmodify connect=connect_string basedn=Base_DN {[add="TRUE"|"FALSE"]|[replace="TRUE"|"FALSE"]} 
attribute=attribute_name value=attribute_value [filter=filter_string] [size=transaction_size] 
[threads=num_of_threads] [debug="TRUE"|"FALSE"] [encode=character_set] [verbose="TRUE"|"FALSE"]

4.3.2 bulkmodifyの引数

connect

必須。ディレクトリ・データベース接続文字列。tnsnames.oraファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.oraファイルは、$ORACLE_HOME/network/adminにあります。

basedn

必須。変更するサブツリーのDN。DNは引用符で囲んでください。

add | replace

必須。属性に対して実行する操作。属性値を追加するのか置換するのかを指定します。

attribute

必須。値を追加または置換する必要のある単一の属性の名前。

value

必須。追加または置換する単一の属性の値。値に空白が含まれる場合は、引用符で囲みます。

filter

オプション。単一の属性を含むフィルタ文字列。デフォルトはobjectclass=*です。

size

オプション。1回のトランザクションの一部としてコミットするエントリの数。デフォルトは100です。

threads

オプション。作成するスレッドの数。デフォルト値は、マシンのCPU数に1を加えた数です。

debug

オプション。ログ・レベルを報告します。コマンドの実行がエラーになる場合に役に立ちます。出力はbulkmodify.logファイルに記録されます。このファイルは$ORACLE_HOME/ldap/logにあります。

encode

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

verbose

コマンドを冗長モードで実行します。

4.3.3 bulkmodifyのタスクと使用例

bulkmodifyツールを使用すると、次のタスクを実行できます。

4.3.3.1 複数エントリの属性の同時更新

次の例は、フィルタを使用して複数のエントリの属性を変更する方法を示しています。このコマンドにより、マネージャがAnne Smithであるすべての従業員のエントリに、電話番号408-123-4567が追加されます。

例:

bulkmodify connect="orcl" basedn="c=US" add="TRUE" attribute="telephoneNumber" value="408-123-4567" filter="manager=Anne Smith"

4.3.4 bulkmodifyの制限事項

bulkmodifyには次の制限事項があります。

  • bulkmodifyは、replace操作を実行するときに、属性のサブタイプの有無を区別しません。bulkmodifyは、属性がサブタイプを含むかどうかにかかわらず、属性値を置換します。

  • bulkmodifyでは、DNを変更せずにRDNを変更できます。属性がDNの一部である場合、属性値は変更されますが、ディレクトリのDNエントリは変更されません。

  • bulkmodifyは、add操作を実行するときに、オブジェクト・クラスのチェックを行いません。新しい属性をディレクトリ・エントリに追加するとき、bulkmodifyは、その属性をサポートするために必要なオブジェクト・クラスがエントリにあるかどうかを検証しません。

4.3.5 bulkmodifyの関連コマンドライン・ツール

4.4 catalog

Oracle Internet Directoryでは、索引の使用により検索時に属性の利用が可能になります。Oracle Internet Directoryをインストールすると、cn=catalogsエントリに検索で使用できる属性がリストされます。次のルールを保持する属性にのみ索引を作成できます。

検索フィルタで追加の属性を使用する場合、それらの属性をカタログ・エントリに追加する必要があります。この作業は、Oracle Directory Managerを使用して属性を作成するときに行います。ただし、属性がすでに存在する場合は、カタログ管理ツール(catalog)を使用して索引のみを作成できます。

catalogを実行する前に、ディレクトリ・サーバーが停止中であるか、または読取り専用モードに設定されていることを確認してください。


注意:

Oracle Internet Directoryのベース・スキーマによって作成された索引には、catalogdelete="TRUE"引数は使用しないでください。ベース・スキーマ属性から索引を削除すると、Oracle Internet Directoryの動作に悪影響を及ぼす可能性があります。

4.4.1 catalogの構文

catalog connect=connect_string {[add="TRUE"|"FALSE"]|[delete="TRUE"|"FALSE"]} {[attribute=attribute_name]|
[file=file_name]} [logging="TRUE"|"FALSE"] [threads=num_of_threads] [debug="TRUE"|"FALSE"] [verbose="TRUE"|"FALSE"]

4.4.2 catalogの引数

connect

必須。ディレクトリ・データベース接続文字列。tnsnames.oraファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.oraファイルは、$ORACLE_HOME/network/adminにあります。

add | delete

必須。実行する操作を指定します。add引数は、指定された属性に索引を作成します。delete引数は、指定された属性の索引を削除します。

attribute | file

必須。カタログに追加する1つ以上の属性。コマンドラインで単一の属性名を指定する場合、attribute引数を使用します。複数の属性名のリストを含むファイルの完全パスと名前を指定する場合、file引数を使用します。

logging

オプション。カタログを作成するときにREDOログを生成するかどうかを指定します。

threads

オプション。作成するスレッドの数。デフォルト値は、マシンのCPU数に1を加えた数です。

debug

オプション。ログ・レベルを報告します。コマンドの実行がエラーになる場合に役に立ちます。出力はcatalog.logファイルに記録されます。このファイルは$ORACLE_HOME/ldap/logにあります。

verbose

オプション。コマンドを冗長モードで実行するかどうかを指定します。

4.4.3 catalogのタスクと使用例

catalogツールを使用すると、次のタスクを実行できます。

4.4.3.1 単一の属性の索引作成

次の例は、単一属性の索引を作成する方法を示しています。catalogツールによって、Oracle Internet Directoryスーパーユーザー・パスワードの入力を求められます。

例:

catalog connect="orcl" add="TRUE" attribute="orclGender"

4.4.3.2 複数の属性の索引作成

次の例は、属性名のリストを含むファイルを指定して、複数の値の索引を作成する方法を示しています。catalogツールによって、Oracle Internet Directoryスーパーユーザー・パスワードの入力を求められます。

例:

catalog connect="orcl" add="TRUE" file="~/myfiles/attrs.txt"

4.4.3.3 索引付き属性のリストからの属性の削除

次の例は、索引付き属性のリストから単一の属性を削除する方法を示しています。catalogツールによって、Oracle Internet Directoryスーパーユーザー・パスワードの入力を求められます。

例:

catalog connect="orcl" delete="TRUE" attribute="orclGender"

4.4.4 catalogの関連コマンドライン・ツール

  • 該当なし

4.5 ldapadd

ldapaddコマンドライン・ツールを使用すると、エントリ、エントリのオブジェクト・クラス、属性および値をディレクトリに追加できます。既存のエントリに属性を追加するには、ldapmodifyコマンドを使用します(「ldapmodify」を参照)。


関連資料:

ldapaddでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。

4.5.1 ldapaddの構文

ldapadd -h oid_hostname -D "binddn" -w password [-Y "proxy_dn"] [-p ldap_port]  [-V ldap_version] 
{-f ldif_filename | -X dsml_filename}  [-b] [-n]  [-c [-o log_file_name]] [-M] [-v] [-O ref_hop_limit] 
[-i 1|0] [-k|-K]  [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-d debug_level]  [-E character_set]

4.5.2 ldapaddの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-Y "proxy_dn"

オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-V ldap_version

オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。

-f ldif_filename | -X dsml_filename

必須。インポートするデータを含む入力ファイルのフルパスと名前。

LDIFファイルを指定する場合は、-f引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。

Directory Service Markup Language(DSML)ファイルを指定する場合は、-X引数を使用します。DSMLファイルの形式の詳細は、「DSMLファイルを使用したディレクトリへのデータの追加」を参照してください。

-b

オプション。スラッシュ文字が前に付いたバイナリ・ファイル名が入力ファイルに含まれる場合は、このオプションを使用します。ツールにより、参照先のファイルから実際の値が取得されます。

-n

オプション。実際の操作を実行せずに、操作の結果をプレビューできます。

-c

オプション。エラーが発生しても操作を続行します。すべてのエラーが報告されます。-c引数を使用しない場合、ツールはエラーの発生時に停止します。

-o log_file_name

オプション。-c引数と組み合せて使用します。エラーの発生したLDIFエントリをログ・ファイルに書き込みます。ログ・ファイルのフルパスと名前を指定します。

-M

オプション。ManageDSAITコントロールをサーバーに送信するようツールに指示します。ManageDSAITコントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。

-v

オプション。ツールを冗長モードで実行します。

-O ref_hop_limit

オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。

-i 1 | 0

オプション。次の参照時に現在のユーザーとしてバインドするかどうかを指定します。現在のユーザーでバインドする場合は1を、匿名でバインドする場合は0を指定します。デフォルトは0(ゼロ)です。

-k | -K

オプション。-k引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-d debug_level

オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。

  • 1: 大容量トレースのデバッグ

  • 128: パケット・ハンドリングのデバッグ

  • 256: ネットワーク・アクティビティに関連する接続管理

  • 512: 検索フィルタの処理

  • 1024: エントリの解析

  • 2048: 構成ファイルの処理

  • 8192: アクセス制御リストの処理

  • 491520: データベースとの通信のログ

  • 524288: スキーマ関連の操作

  • 4194304: レプリケーション固有の操作

  • 8388608: 各接続でのエントリ、操作および結果のログ

  • 16777216: ファンクション・コールの引数のトレース

  • 67108864: このサーバーに接続しているクライアントの数とID

  • 117440511: 使用可能なすべての操作およびデータ

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

4.5.3 ldapaddのタスクと使用例

ldapaddツールを使用すると、次のタスクを実行できます。

4.5.3.1 LDIFファイルを使用したディレクトリへのデータの追加

ldapaddを使用すると、エントリまたはスキーマ情報をLDIFファイルからディレクトリに追加できます。LDIFファイルは、適切に書式設定されている必要があります。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。

例:

ldapadd -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -f ~/myfiles/input.ldif -v

4.5.3.2 DSMLファイルを使用したディレクトリへのデータの追加

ldapaddを使用すると、<addRequest>要素を含むDirectory Service Markup Language(DSML)ファイルからディレクトリにエントリまたはスキーマ情報を追加できます。DSMLファイルの形式の詳細は、OASISのWebサイト(http://www.oasis-open.org)を参照してください。次の例は、ユーザー用のサンプルDSMLエントリを示しています。

例:

<addRequest dn="CN=Alice,OU=HR,DC=Example,DC=COM">
     <attr name="objectclass"><value>top</value></attr>
     <attr name="objectclass"><value>person</value></attr>
     <attr name="objectclass"><value>organizationalPerson</value></attr>
     <attr name="sn"><value>Johnson</value></attr>
     <attr name="givenName"><value>Alice</value></attr>
     <attr name="title"><value>Software Design Engineer</value></attr>
</addRequest>

DSMLファイルを適切に書式設定したら、ldapaddでDSMLファイルを入力ファイルとして指定することで、ディレクトリにデータを追加できます。

例:

ldapadd -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -X ~/myfiles/input.xml -v

4.5.3.3 追加操作のプレビュー

ldapaddコマンドに-n引数を使用すると、実際にディレクトリにデータを追加する前に、その追加操作の結果をプレビューできます。

例:

ldapadd -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -X ~/myfiles/input.xml -v -n

4.5.4 ldapaddの関連コマンドライン・ツール

4.6 ldapaddmt

ldapaddmtツールの機能は、ldapaddコマンドの機能と同じです。エントリ、エントリのオブジェクト・クラス、属性および値をディレクトリに追加できます。ただし、このツールでは、エントリの同時追加でマルチスレッドがサポートされます。

ldapaddmtによるエントリの処理中は、現行ディレクトリ内のadd.logファイルにエラーが記録されます。


注意:

同時スレッドの数を増やすと、エントリの作成速度が向上しますが、システム・リソースの使用率も増加します。

4.6.1 ldapaddmtの構文

ldapaddmt -h oid_hostname -D "binddn" -w password -T number_threads [-p ldap_port] [-V ldap_version] 
{-f ldif_filename | -X dsml_filename}  [-b] [-c] [-M] [-O ref_hop_limit] [-k|-K] [-U SSL_auth_mode 
{-W wallet_location -P wallet_password}] [-d debug_level] [-E character_set]

4.6.2 ldapaddmtの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-T number_threads

必須。エントリを同時に処理するスレッドの数。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-V ldap_version

オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。

-f ldif_filename | -X dsml_filename

必須。インポートするデータを含む入力ファイルのフルパスと名前。

LDIFファイルを指定する場合は、-f引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。

Directory Service Markup Language(DSML)ファイルを指定する場合は、-X引数を使用します。DSMLファイルの形式の詳細は、「DSMLファイルを使用したディレクトリへのデータの追加」を参照してください。

-b

オプション。スラッシュ文字が前に付いたバイナリ・ファイル名が入力ファイルに含まれる場合は、このオプションを使用します。ツールにより、参照先のファイルから実際の値が取得されます。

-c

オプション。エラーが発生しても操作を続行します。すべてのエラーが報告されます。-c引数を使用しない場合、ツールはエラーの発生時に停止します。

-M

オプション。ManageDSAITコントロールをサーバーに送信するようツールに指示します。ManageDSAITコントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。

-O ref_hop_limit

オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。

-k | -K

オプション。-k引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-d debug_level

オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。

  • 1: 大容量トレースのデバッグ

  • 128: パケット・ハンドリングのデバッグ

  • 256: ネットワーク・アクティビティに関連する接続管理

  • 512: 検索フィルタの処理

  • 1024: エントリの解析

  • 2048: 構成ファイルの処理

  • 8192: アクセス制御リストの処理

  • 491520: データベースとの通信のログ

  • 524288: スキーマ関連の操作

  • 4194304: レプリケーション固有の操作

  • 8388608: 各接続でのエントリ、操作および結果のログ

  • 16777216: ファンクション・コールの引数のトレース

  • 67108864: このサーバーに接続しているクライアントの数とID

  • 117440511: 使用可能なすべての操作およびデータ

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

4.6.3 ldapaddmtのタスクと使用例

ldapaddmtツールを使用すると、次のタスクを実行できます。

4.6.3.1 LDIFファイルを使用したディレクトリへのエントリの同時追加

ldapaddmtを使用すると、エントリまたはスキーマ情報をLDIFファイルからディレクトリに同時追加できます。LDIFファイルは、適切に書式設定されている必要があります。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。

例:

ldapaddmt -h myhost.company.com -D "cn=orcladmin" -w password -T 5 -p 389 -f ~/myfiles/input.ldif -v

4.6.4 ldapaddmtの関連コマンドライン・ツール

4.7 ldapbind

ldapbindコマンドライン・ツールを使用すると、サーバーに対するクライアント認証が可能であるどうかを確認できます。

4.7.1 ldapbindの構文

ldapbind -h oid_hostname -D "binddn" -w password [-p ldap_port] [-V ldap_version] [-n] [-O "auth"] 
[-Y "DIGEST-MD5|EXTERNAL"] [-R SASL_realm]  [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set]

4.7.2 ldapbindの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-V ldap_version

オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。

-O "auth"

オプション。SASLセキュリティ・プロパティを指定します。サポートされるセキュリティ・プロパティは、-O "auth"です。このセキュリティ・プロパティは、DIGEST-MD5 SASLメカニズム用です。これにより、データ整合性またはデータ機密性の保証のない認証が有効になります。

-Y "DIGEST-MD5 | EXTERNAL"

オプション。Simple Authentication and Security Layer(SASL)メカニズムを指定します。次のメカニズムがサポートされます。

  • DIGEST-MD5

  • EXTERNAL: このメカニズムのSASL認証は、双方向SSL認証を基盤として実行されます。この場合、SSL Walletに格納されたユーザーIDがSASL認証に使用されます。

-R SASL_realm

オプション。SASLレルム。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

4.7.3 ldapbindのタスクと使用例

ldapbindツールを使用すると、次のタスクを実行できます。

4.7.3.1 認証資格証明の検証

次の例は、SSLを使用してディレクトリ・サーバーにバインドするための認証資格証明を検証する方法を示しています。

例:

ldapbind -h myhost.company.com -D "cn-orcladmin" -w password -p 636 -U 2  -W "file:/home/my_dir/my_wallet" -P password

4.7.4 ldapbindの関連コマンドライン・ツール

  • 該当なし

4.8 ldapcompare

ldapcompareコマンドライン・ツールを使用すると、コマンドラインで指定した属性値をディレクトリ・エントリの属性値と比較できます。

4.8.1 ldapcompareの構文

ldapcompare -h oid_hostname -D "binddn" -w password [-Y "proxy_dn"] [-p ldap_port] -a attribute_name -b "basedn" 
-v "attribute_value" [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-d debug_level] [-E character_set]

4.8.2 ldapcompareの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-Y "proxy_dn"

オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-a attribute_name

必須。値の比較を実行する属性。

-b "basedn"

必須。比較を実行するエントリのDN。

-v "attribute_value"

必須。エントリの値と比較する属性値。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-d debug_level

オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。

  • 1: 大容量トレースのデバッグ

  • 128: パケット・ハンドリングのデバッグ

  • 256: ネットワーク・アクティビティに関連する接続管理

  • 512: 検索フィルタの処理

  • 1024: エントリの解析

  • 2048: 構成ファイルの処理

  • 8192: アクセス制御リストの処理

  • 491520: データベースとの通信のログ

  • 524288: スキーマ関連の操作

  • 4194304: レプリケーション固有の操作

  • 8388608: 各接続でのエントリ、操作および結果のログ

  • 16777216: ファンクション・コールの引数のトレース

  • 67108864: このサーバーに接続しているクライアントの数とID

  • 117440511: 使用可能なすべての操作およびデータ

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

4.8.3 ldapcompareのタスクと使用例

ldapcompareを使用すると、次のタスクを実行できます。

4.8.3.1 エントリの属性値の比較

次の例は、Anne Smithという人物のエントリをチェックし、そのtitleManagerであるかどうかを確認する方法を示しています。

例:

ldapcompare -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -a title -b "cn=Anne Smith,ou=Sales,o=IMC,c=US" -v "Manager"

4.8.4 ldapcompareの関連コマンドライン・ツール

  • 該当なし

4.9 ldapdelete

ldapdeleteコマンドライン・ツールを使用すると、ディレクトリからエントリ全体を削除できます。


関連資料:

ldapdeleteでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。

4.9.1 ldapdeleteの構文

ldapdelete -h oid_hostname -D "binddn" -w password [-Y proxy_dn] [-p ldap_port] [-V ldap_version] 
{-f ldif_filename | "entry_dn"} [-n] [-M] [-v] [-O ref_hop_limit] [-k|-K] [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set]

4.9.2 ldapdeleteの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-Y "proxy_dn"

オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-V ldap_version

オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。

-f ldif_filename | "entry_dn"

必須。削除するエントリDNを含む入力ファイルのフルパスと名前、またはコマンドラインで指定する単一のエントリDN。

LDIFファイルを指定する場合は、-f引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。

1つのエントリを削除する場合は、エントリのDNを引用符で囲って指定します。

-n

オプション。実際の操作を実行せずに、操作の結果をプレビューできます。

-M

オプション。ManageDSAITコントロールをサーバーに送信するようツールに指示します。ManageDSAITコントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。

-v

オプション。ツールを冗長モードで実行します。

-O ref_hop_limit

オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。

-k | -K

オプション。-k引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

4.9.3 ldapdeleteのタスクと使用例

ldapdeleteを使用すると、次のタスクを実行できます。

4.9.3.1 単一のエントリの削除

次の例は、Anne Smithという人物のエントリを削除する方法を示しています。

例:

ldapdelete -h myhost.company.com -D "cn=orcladmin" -w password -p 389  "cn=Anne Smith,ou=Sales,o=IMC,c=US"

4.9.3.2 LDIFファイルを使用した複数のエントリの削除

次の例は、削除するエントリのDNを含むLDIFファイルを指定して、複数のエントリを一度に削除する方法を示しています。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。

例:

ldapdelete -h myhost.company.com -D "cn=orcladmin" -w password -p 389  -f /home/mydir/delete.ldif

4.9.4 ldapdeleteの関連コマンドライン・ツール

4.10 ldapmoddn

ldapmoddnコマンドライン・ツールを使用すると、エントリのRDNを変更することや、エントリをディレクトリ・ツリーの新しい親ノードに移動することができます。


関連資料:

ldapmoddnでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。

4.10.1 ldapmoddnの構文

ldapmoddn -h oid_hostname -D "binddn" -w password [-p ldap_port] [-V ldap_version] -b "base_dn" 
{-R "new_rdn"|-N "new_parent"} [-r] [-M] [-O ref_hop_limit]  [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set]

4.10.2 ldapmoddnの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-V ldap_version

オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。

-b "base_dn"

必須。新しい親DNに移動するエントリのDN、またはRDNを更新するエントリのDN。

-R "new_rdn" | -N "new_parent"

必須。実行する操作を指定します。エントリのRDNを変更する場合は、-R引数を使用します。エントリをディレクトリ・ツリーの新しい親ノードに移動する場合は、-N引数を使用します。

-r

オプション。古いRDNを変更後のエントリの値として保存しないよう指定します。指定しない場合、古いRDNは変更後のエントリに属性として保存されます。

-M

オプション。ManageDSAITコントロールをサーバーに送信するようツールに指示します。ManageDSAITコントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。

-O ref_hop_limit

オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

4.10.3 ldapmoddnのタスクと使用例

ldapmoddnコマンドライン・ツールを使用すると、次のタスクを実行できます。

4.10.3.1 エントリのRDNの変更

次の例は、エントリのRDNをMary SmithからMary Jonesに変更する方法を示しています。

例:

ldapmoddn -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -b "cn=Mary Smith,dc=Americas,dc=IMC,dc=com" -R "cn=Mary Jones" -r

4.10.3.2 エントリの移動

次の例は、エントリをディレクトリ・サブツリーの別の親ノードに移動する方法を示しています。Mary SmithというRDNを持つエントリが、dc=Americas親ノードからdc=Australia親ノードに移動します。

例:

ldapmoddn -h myhost.company.com -D "cn=orcladmin" -w password -p 389 -b "cn=Mary Smith,dc=Americas,dc=IMC,dc=com" -N "dc=Australia,dc=IMC,dc=com"

4.10.4 ldapmoddnの関連コマンドライン・ツール

4.11 ldapmodify

ldapmodifyコマンドライン・ツールを使用すると、入力用のLDIFファイルを指定して、エントリの属性を追加、削除または置換できます。ldapmodifyでは、エントリの削除または追加も可能です。

適切な形式のLDIFファイルの詳細は、付録A「LDIFファイル形式」を参照してください。


関連資料:

ldapmodifyでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。

4.11.1 ldapmodifyの構文

ldapmodify -h oid_hostname -D "binddn" [-Y "proxy_dn"] -w password [-p ldap_port] [-V ldap_version] 
{-f ldif_filename | -X dsml_filename}  [-a] [-b]  [-c [-o log_file_name]] [-n] [-v] [-M] [-O ref_hop_limit] 
[-i 1|0] [-k|-K]  [-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set]  [-d debug_level]

4.11.2 ldapmodifyの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-Y "proxy_dn"

オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-V ldap_version

オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。

-f ldif_filename | -X dsml_filename

必須。インポートするデータを含む入力ファイルのフルパスと名前。

LDIFファイルを指定する場合は、-f引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。

Directory Service Markup Language(DSML)ファイルを指定する場合は、-X引数を使用します。DSMLファイルの形式の詳細は、「DSMLファイルを使用したディレクトリへのデータの追加」を参照してください。

-a

オプション。追加する新規エントリがLDIFまたはDSML入力ファイルに含まれることを示します。

-b

オプション。スラッシュ文字が前に付いたバイナリ・ファイル名が入力ファイルに含まれる場合は、このオプションを使用します。ツールにより、参照先のファイルから実際の値が取得されます。

-c

オプション。エラーが発生しても操作を続行します。すべてのエラーが報告されます。-c引数を使用しない場合、ツールはエラーの発生時に停止します。

-n

オプション。実際の操作を実行せずに、操作の結果をプレビューできます。

-v

オプション。ツールを冗長モードで実行します。

-o log_file_name

オプション。-c引数と組み合せて使用します。エラーの発生したLDIFエントリをログ・ファイルに書き込みます。ログ・ファイルのフルパスと名前を指定します。

-M

オプション。ManageDSAITコントロールをサーバーに送信するようツールに指示します。ManageDSAITコントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。

-O ref_hop_limit

オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。

-i 1 | 0

オプション。次の参照時に現在のユーザーとしてバインドするかどうかを指定します。現在のユーザーでバインドする場合は1を、匿名でバインドする場合は0を指定します。デフォルトは0(ゼロ)です。

-k | -K

オプション。-k引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

-d debug_level

オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。

  • 1: 大容量トレースのデバッグ

  • 128: パケット・ハンドリングのデバッグ

  • 256: ネットワーク・アクティビティに関連する接続管理

  • 512: 検索フィルタの処理

  • 1024: エントリの解析

  • 2048: 構成ファイルの処理

  • 8192: アクセス制御リストの処理

  • 491520: データベースとの通信のログ

  • 524288: スキーマ関連の操作

  • 4194304: レプリケーション固有の操作

  • 8388608: 各接続でのエントリ、操作および結果のログ

  • 16777216: ファンクション・コールの引数のトレース

  • 67108864: このサーバーに接続しているクライアントの数とID

  • 117440511: 使用可能なすべての操作およびデータ

4.11.3 ldapmodifyのタスクと使用例

ldapmodifyコマンドライン・ツールを使用すると、次のタスクを実行できます。

4.11.3.1 ディレクトリ・スキーマの変更

初めに、LDIFファイルを準備して追加する新規スキーマ要素を定義する必要があります。詳細な例は、「スキーマ要素を追加するLDIF形式」を参照してください。LDIFファイルを適切に書式設定したら、ldapmodifyツールを使用して新規スキーマ定義をディレクトリ・スキーマにインポートできます。

例:

ldapmodify -h myhost.company.com -D "cn=orcladmin" -w password -p 389  -f /home/myfiles/modify.ldif  -v

4.11.3.2 エントリの変更

エントリの属性または属性値を変更するには、初めにLDIFファイルを適切に準備する必要があります。詳細な例は、「エントリを変更するLDIF形式」を参照してください。LDIFファイルを適切に書式設定したら、ldapmodifyツールを使用して変更をインポートできます。

例:

ldapmodify -h myhost.company.com -D "cn=orcladmin" -w password -p 389  -f /home/myfiles/modify.ldif  -v

4.11.4 ldapmodifyの関連コマンドライン・ツール

4.12 ldapmodifymt

ldapmodifymtコマンドライン・ツールは、ldapmodifyと同様に、入力用のLDIFファイルを指定してエントリを追加、削除または変更できます。ただし、ldapmodifymtは、マルチスレッド・モードで動作するため、複数のエントリを同時に操作できます。

適切な形式のLDIFファイルの詳細は、付録A「LDIFファイル形式」を参照してください。

4.12.1 ldapmodifymtの構文

ldapmodifymt -h oid_hostname -D "binddn" -w password [-p ldap_port]  [-V ldap_version] -T number_of_threads 
{-f ldif_filename | -X dsml_filename}   [-a] [-b] [-c [-o log_file_name]] [-M] [-O ref_hop_limit] [-k|-K]  
[-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-E character_set]  [-d debug_level]

4.12.2 ldapmodifymtの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-V ldap_version

オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。

-T number_threads

必須。エントリを同時に処理するスレッドの数。

-f ldif_filename | -X dsml_filename

必須。インポートするデータを含む入力ファイルのフルパスと名前。

LDIFファイルを指定する場合は、-f引数を使用します。LDIFファイルの形式の詳細は、付録A「LDIFファイル形式」を参照してください。

Directory Service Markup Language(DSML)ファイルを指定する場合は、-X引数を使用します。DSMLファイルの形式の詳細は、「DSMLファイルを使用したディレクトリへのデータの追加」を参照してください。

-a

オプション。追加するエントリがLDIFファイルに含まれることを示します。

-b

オプション。スラッシュ文字が前に付いたバイナリ・ファイル名が入力ファイルに含まれる場合は、このオプションを使用します。ツールにより、参照先のファイルから実際の値が取得されます。

-c

オプション。エラーが発生しても操作を続行します。すべてのエラーが報告されます。-c引数を使用しない場合、ツールはエラーの発生時に停止します。

-o log_file_name

オプション。-c引数と組み合せて使用します。エラーの発生したLDIFエントリをログ・ファイルに書き込みます。ログ・ファイルのフルパスと名前を指定します。

-M

オプション。ManageDSAITコントロールをサーバーに送信するようツールに指示します。ManageDSAITコントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。

-O ref_hop_limit

オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。

-k | -K

オプション。-k引数を指定すると、簡易認証ではなくKerberos認証を使用します。このオプションを有効にするには、KERBEROSを定義してコンパイルする必要があり、有効なチケット認可チケットがあらかじめ存在している必要があります。-K引数は、Kerberosバインドの最初のステップのみを実行する場合に使用します。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

-d debug_level

オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。

  • 1: 大容量トレースのデバッグ

  • 128: パケット・ハンドリングのデバッグ

  • 256: ネットワーク・アクティビティに関連する接続管理

  • 512: 検索フィルタの処理

  • 1024: エントリの解析

  • 2048: 構成ファイルの処理

  • 8192: アクセス制御リストの処理

  • 491520: データベースとの通信のログ

  • 524288: スキーマ関連の操作

  • 4194304: レプリケーション固有の操作

  • 8388608: 各接続でのエントリ、操作および結果のログ

  • 16777216: ファンクション・コールの引数のトレース

  • 67108864: このサーバーに接続しているクライアントの数とID

  • 117440511: 使用可能なすべての操作およびデータ

4.12.3 ldapmodifymtのタスクと使用例

ldapmodifymtコマンドライン・ツールを使用すると、次のタスクを実行できます。

4.12.3.1 複数のエントリの同時変更

複数のエントリを同時に変更するには、初めにLDIFファイルを適切に準備する必要があります。詳細な例は、付録A「LDIFファイル形式」を参照してください。LDIFファイルを適切に書式設定したら、ldapmodifymtツールを使用して変更をインポートできます。

次の例では、5つの同時スレッドを使用して、/home/myfiles/modify.ldifファイルに指定されたエントリを変更します。

例:

ldapmodify -h myhost.company.com -D "cn=orcladmin" -w password -p 389  -T 5 -f /home/myfiles/modify.ldif  -v

4.12.4 ldapmodifymtの関連コマンドライン・ツール

4.13 ldapsearch

ldapsearchコマンドライン・ツールを使用すると、ディレクトリ内の特定のエントリを検索して取得できます。

エントリの検索に使用するLDAPフィルタは、Internet Engineering Task Force(IETF)のRFC 2254に指定された標準仕様に準拠している必要があります。標準のフィルタ形式の詳細は、IETFのWebサイト(http://www.ietf.org)を参照してください。Oracle Internet Directoryでは、拡張可能な一致を除くRFC 2254のすべての要素がサポートされます。


注意:

様々なUNIXシェルでは、アスタリスク(*)などのいくつかの文字が特殊文字として解釈されます。使用するシェルによっては、これらの文字をエスケープする必要があります。


関連資料:

ldapsearchでの属性別名の使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の「ディレクトリ内の属性別名」を参照してください。

4.13.1 ldapsearchの構文

ldapsearch -h oid_hostname -D "binddn" -w password [-Y "proxy_dn"] [-p ldap_port] [-V ldap_version] 
-b "basedn" {-s base|one|sub} {"filter_string" [attributes]|-f input_file} [-F separator] 
[-T [-]sort_attribute] [-j page_size] [-A] [-a never|always|search|find] [-S] [-R] [-i 1|0] 
[-t] [-u] [-L|-X] [-B] [-M] [-v] [-n] [-l time_limit] [-z size_limit] [-O ref_hop_limit] 
[-U SSL_auth_mode {-W wallet_location -P wallet_password}] [-d debug_level]  [-E character_set][-c]

4.13.2 ldapsearchの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-Y "proxy_dn"

オプション。プロキシ・ユーザーのDN。ディレクトリにバインドした後、追加操作はこのユーザーで実行されます。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-V ldap_version

オプション。使用するLDAPプロトコルのバージョン。許容される値は2または3で、デフォルトは3(LDAP v3)です。

-b "basedn"

必須。検索対象のベースDN。

-s base | one | sub

必須。DIT内の検索範囲。オプションは次のとおりです。

  • base: 特定のディレクトリ・エントリを検索します。

  • one: 検索対象のルートの1レベル下にあるすべてのエントリに検索を制限します。

  • sub: 検索対象のルートを含むサブツリー全体のエントリを検索します。

"filter_string" [attributes] | -f input_file

必須。コマンドラインで引用符内に単一のフィルタを指定し、次に取得する値を含む属性の名前を指定します。複数の属性は、空白で区切ります。属性をリストしない場合、すべての属性が取得されます。

実行する一連の検索操作を含む入力ファイルを-f引数で指定することも可能です。

-F separator

オプション。検索出力で属性の名前と値の間に使用するセパレータを選択できます。デフォルトは=(等号)です。

-T [-]sort_attribute

オプション。ソート・リクエストをサーバーに送信するようツールに指示します。サーバーは、エントリを属性sort_attributeでソートして返します。sort_attributeの前にダッシュ(-)を付けると、逆順でエントリをソートするようツールに指示します。

-j page_size

オプション。ページ・リクエストをサーバーに送信するようツールに指示します。サーバーは、ページ・サイズpage_sizeでエントリにページを付けて返します。

-A

オプション。属性名のみを取得します(値は取得しません)。

-a never | always | search | find

オプション。別名の参照解除を指定します。LDAPディレクトリの別名エントリは、別のエントリを指し示すエントリです。別名ポインタをたどることは、別名の参照解除と呼ばれます。オプションは次のとおりです。

  • never: 別名エントリを参照解除しません。参照解除を必要とする別名エントリがディレクトリ内に存在しない場合、このオプションを選択すると、検索パフォーマンスが向上します。

  • always: 常に別名を参照解除します。この選択はデフォルトです。

  • search: 指定した検索ベースに従属する別名エントリは参照解除しますが、検索ベースの別名エントリは参照解除しません。

  • find: 指定した検索ベースの別名エントリは参照解除しますが、検索ベースに従属する別名エントリは参照解除しません。

-S attr

オプション。指定された属性で結果をソートします。

-R

オプション。参照の自動追跡を無効にします。

-i 1 | 0

オプション。次の参照時に現在のユーザーとしてバインドするかどうかを指定します。現在のユーザーでバインドする場合は1を、匿名でバインドする場合は0を指定します。デフォルトは0(ゼロ)です。

-t

オプション。/tmpにファイルを書き込みます。

-u

オプション。出力にわかりやすい名前を含めます。

-L | -X

オプション。LDIF形式(-L)またはDSML形式(-X)でエントリを出力します。

-B

オプション。非ASCII値の出力を許可します。

-M

オプション。ManageDSAITコントロールをサーバーに送信するようツールに指示します。ManageDSAITコントロールは、クライアントに参照を送信しないようサーバーに指示します。かわりに、参照エントリは通常のエントリとして返されます。

-n

オプション。実際の操作を実行せずに、操作の結果をプレビューできます。

-v

オプション。ツールを冗長モードで実行します。

-l time_limit

オプション。ldapsearchコマンドの完了を待機する最大時間(秒単位)。

-z size_limit

オプション。返されるエントリの最大数。

-O ref_hop_limit

オプション。クライアントで処理が必要な参照ホップの数。デフォルトは5です。

-U SSL_auth_mode

オプション。次のSSL認証モード:

  • 1: 認証の必要がない場合。

  • 2: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

  • 3: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。

-W wallet_location

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。サーバーのSSL証明書を含むWalletの場所。

UNIXでの例:

-W "file:/home/my_dir/my_wallet"

Microsoft Windowsでの例:

-W "file:C:\my_dir\my_wallet"

-P wallet_password

一方向または双方向のSSL認証を使用する場合(-U 2|3)は必須。-W引数で指定したWalletのパスワード。

-d debug_level

オプション。指定しない場合、デフォルトの0(無効)が使用されます。デバッグ・レベルは加算方式です。有効にする機能を表す数値を加算し、コマンドライン・オプションではその合計を使用します。たとえば、検索フィルタの処理(512)とアクティブ接続管理(256)をトレースする場合は、デバッグ・レベルとして768(512 + 256 = 768)を入力します。デバッグ・レベルは次のとおりです。

  • 1: 大容量トレースのデバッグ

  • 128: パケット・ハンドリングのデバッグ

  • 256: ネットワーク・アクティビティに関連する接続管理

  • 512: 検索フィルタの処理

  • 1024: エントリの解析

  • 2048: 構成ファイルの処理

  • 8192: アクセス制御リストの処理

  • 491520: データベースとの通信のログ

  • 524288: スキーマ関連の操作

  • 4194304: レプリケーション固有の操作

  • 8388608: 各接続でのエントリ、操作および結果のログ

  • 16777216: ファンクション・コールの引数のトレース

  • 67108864: このサーバーに接続しているクライアントの数とID

  • 117440511: 使用可能なすべての操作およびデータ

-E character_set

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

-C

オプション。ldapsearch -Cオプションは階層をトラバースして、直接的なメンバーシップを報告します。ldapsearch -Cオプションは、基本的に、クライアントに送信するリクエストにCONNECT_BYコントロール(2.16.840.1.113894.1.8.3)を含めます。ldapsearchには、コントロールで値を渡す手段はありません。そのため、値なしでCONNECT_BYコントロールを送信します。その場合は、デフォルト値が想定されます。つまり、階層が生成する属性名がフィルタから取得され、レベル数は0です。つまり、-Cオプションは、あるユーザーの全グループのフェッチや、ある管理者の全従業員のフェッチなど、「あるものを含むすべてのもの」の問合せをフェッチするためにのみ使用できます。また、階層の全レベルがトラバースされます。詳細は、表7-2を参照してください。


関連資料:

次のマニュアルの「階層検索の実行」を参照してください。

『Oracle Identity Managementアプリケーション開発者ガイド』


4.13.3 ldapsearchのタスクと使用例

ldapsearchコマンドライン・ツールを使用すると、次のタスクを実行できます。

4.13.3.1 ベース・オブジェクト検索の実行

次の例では、ルートからディレクトリのベース・レベル検索を実行します。

  • -bは、検索対象のベースDNを指定します。この場合はルートです。

  • -sは、検索がベース検索(base)、1レベル検索(one)、サブツリー検索(sub)のいずれであるかを指定します。

  • "objectclass=*"は、検索のフィルタを指定します。

例:

ldapsearch -p 389 -h myhost -b "" -s base -v "objectclass=*"

4.13.3.2 1レベル検索の実行

次の例では、"ou=HR, ou=Americas, o=IMC, c=US"から開始する1レベル検索を実行します。

例:

ldapsearch -p 389 -h myhost -b "ou=HR, ou=Americas, o=IMC, c=US" -s one \
           -v "objectclass=*"

4.13.3.3 サブツリー検索の実行

次の例では、サブツリー検索を実行し、"cn=us"で始まるDNを持つすべてのエントリを取得します。

例:

ldapsearch -p 389 -h myhost -b "c=US" -s sub -v "cn=Person*"

4.13.3.4 エントリの属性値の検索

次の例では、一致エントリのDN属性値のみを取得します。

例:

ldapsearch -p 389 -h myhost -b "c=US" -s sub -v "objectclass=*" dn

次の例では、姓(sn)および説明(description)の属性値とともに識別名を取得します。

例:

ldapsearch -p 389 -h myhost -b "c=US" -s sub -v "cn=Person*" dn sn description

次の例では、識別名(dn)、姓(sn)および説明(description)の属性値を取得します。エントリは姓(sn)でソートされます。1ページごとに10エントリが返ります。

例:

ldapsearch -p 389 -h myhost -b "c=US" -s sub -v "cn=Person*" dn sn description -T sn -j 10

4.13.3.5 属性オプション付きのエントリの検索

次の例では、言語コード属性オプションを指定するオプションを保持する共通名(cn)属性付きのエントリを取得します。特にこの例では、共通名がフランス語で、文字Rで始まっているエントリを取得します。

例:

ldapsearch -p 389 -h myhost -b "c=US" -s sub "cn;lang-fr=R*"

ここで、Johnというエントリがあり、cn;lang-it言語コード属性オプションに値が設定されていないと仮定します。この場合、次の例ではJohnのエントリを取得できません。

例:

ldapsearch -p 389 -h myhost -b "c=us" -s sub "cn;lang-it=Giovanni"

4.13.3.6 すべてのユーザー属性および指定した操作属性の検索

次の例では、すべてのユーザー属性と、createtimestampおよびorclguid操作属性を取得します。

例:

ldapsearch -p 389 -h myhost -b "ou=Benefits,ou=HR,ou=Americas,o=IMC,c=US" \
           -s sub "cn=Person*" "*" createtimestamp orclguid

次の例では、Anne Smithによって変更されたエントリを取得します。

例:

ldapsearch -h sun1 -b "" "(&(objectclass=*)(modifiersname=cn=Anne
Smith))"

次の例では、2001年4月1日から2001年4月6日までに変更されたエントリを取得します。

例:

ldapsearch -h sun1 -b "" \
           "(&(objectclass=*)(modifytimestamp >= 20000401000000) \
           (modifytimestamp <= 20000406235959))"

注意:

modifiersnameおよびmodifytimestamp属性には索引がないため、catalog.shを使用してこれら2つの属性に索引を作成します。その後、Oracleディレクトリ・サーバーを再起動してから、前述の2つのldapsearchコマンドを発行します。

4.13.3.7 エントリの検索(その他の例)

次の各例では、ホストsun1のポート389を使用して、"ou=hr,o=acme,c=us"というDNで始まるサブツリー全体を検索します。

次の例では、objectclass属性に任意の値が含まれるすべてのエントリを検索します。

ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" -s subtree "objectclass=*"

次の例では、objectclass属性の値がorclで始まるすべてのエントリを検索します。

ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" -s subtree "objectclass=orcl*"

次の例では、objectclass属性の値がorclで始まり、かつcn属性の値がfooで始まるエントリを検索します。

ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" \
          -s subtree "(&(objectclass=orcl*)(cn=foo*))"

次の例では、cnfooで始まるか、またはsnbarで始まるエントリを検索します。

ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" \
          -s subtree "(|(cn=foo*)(sn=bar*))"

次の例では、employeenumberが10000以下であるエントリを検索します。

ldapsearch -p 389 -h sun1 -b "ou=hr, o=acme, c=us" \
           -s subtree "employeenumber<=10000"

4.13.4 ldapsearchの関連コマンドライン・ツール

4.14 ldifmigrator

Oracle Internet Directoryデータ移行ツール(ldifmigrator)を使用すると、他のディレクトリまたはアプリケーション固有のリポジトリから出力されたLDIFファイルをOracle Internet Directoryで認識可能な形式に変換できます。データ移行ツールでは、置換変数を含むLDIFファイルを入力として取得し、Oracle Internet Directoryへのロードに適したLDIFファイルを出力します。

このツールで使用するLDIF入力ファイルの適切な形式の詳細は、「エントリを移行するLDIF形式」を参照してください。

4.14.1 ldifmigratorの構文

ldifmigrator "input_file=filename" "output_file=filename"  [-lookup -h oid_hostname -D "binddn" -w password [-p ldap_port] 
[subscriber=subscriberDN]] ["s_VariableName1=replacement_value" "s_VariableName2=replacement_value"...] [-load -reconcile SAFE|SAFE_EXTENDED|NORMAL]

4.14.2 ldifmigratorの引数

"input_file=filename"

ディレクトリ・エントリ・データおよび1つ以上の置換変数を含むLDIFファイルのフルパスと名前。

"output_file=filename"

ldifmigratorツールで生成する出力ファイルのフルパスと名前。

-lookup

このフラグを指定すると、特定の置換変数の値が、ディレクトリ・サーバーの適切な値の参照により取得されます。参照可能な置換変数のリストは、「入力ファイルを移行するための置換変数」を参照してください。

-h oid_hostname

-lookupフラグを使用する場合は必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

-lookupフラグを使用する場合は必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

-lookupフラグを使用する場合は必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-p ldap_port

-lookupフラグを使用する場合のオプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

subscriber=subscriberDN

オプション。置換変数のかわりに使用する属性値を保持するサブスクライバ。指定しない場合、ルートOracleコンテキストで指定されたデフォルトのID管理レルムが使用されます。

"s_VariableName=replacement_value"

オプション。コマンドラインで置換変数の値を指定できます。LDIF入力ファイルに置換変数を追加する手順は、「入力ファイルを移行するための置換変数」を参照してください。ldifmigratorツールにより、一致するすべての変数が指定した値で置換されます。

-load

オプション。ldifmigratorツールによって出力されたデータをOracle Internet Directoryに直接ロードします。エントリがディレクトリにすでに存在する場合は、そのディレクトリ・エントリがファイルに記録されます。ディレクトリ・エントリの追加は、その他の理由で失敗する場合もあります(エントリを追加する権限が不足している場合や、親エントリが存在しない場合など)。

-reconcile SAFE | SAFE_EXTENDED | NORMAL

オプション。-reconcileオプションを使用すると、すでに存在するエントリのデータをロードする場合や、競合が発生する可能性のあるエントリの属性を変更する場合に役立つ各種のモードを指定できます。選択できるモードは次のとおりです。

  • SAFE: このモードでは、存在しない新規エントリを追加するか、既存のエントリに新規属性を追加するのみです。

  • SAFE-EXTENDED: このモードでは、存在しない新規エントリを追加するか、既存のエントリに新規属性を追加するのみです。既存の属性に新規の値を追加する場合は、既存の値セットに追加されます。

  • NORMAL: このモードでは、すべてのディレクティブを指示どおりに適用し、ldifmigrator出力に指定されたデータですべての競合属性またはエントリを上書きします。

-reconcileオプションでサポートされるLDIFディレクティブの詳細は、「移行されたエントリの調整オプション」を参照してください。

4.14.3 ldifmigratorのタスクと使用例

ldifmigratorコマンドライン・ツールを使用すると、次のタスクを実行できます。

4.14.3.1 参照モードでのデータ移行ツールの使用

この例では、Oracle Internet Directoryサーバーが環境内に存在します。また、移行ツールは、ディレクトリ・サーバーを参照してLDIF入力ファイルに指定された特定の置換変数を解決します。

例:

$ldifmigrator "input_file=sample.dat" "output_file=sample.ldif" \
               -lookup "host=ldap.acme.com" "subscriber=acme" \
               "s_UserOrganization=Development"

4.14.3.2 参照モードでのデータ移行値の上書き

状況によっては、参照モードを使用しながら、事前定義された1つ以上の置換変数の値を上書きすることも可能です。この場合、コマンドラインで上書き値を指定します。次のコマンドラインは、デフォルトのuidを上書きして、UserNickNameAttributecnを設定する方法を示しています。

例:

$ldifmigrator "input_file=sample.dat" "output_file=sample.ldif" \
              -lookup "host=ldap.acme.com" "subscriber=acme" \
             "s_UserOrganization=Development" "s_UserNicknameAttribute=cn"

4.14.3.3 独自の値の指定によるデータ移行ツールの使用

次の例は、参照モードを使用せずに、LDIF入力ファイルに存在する置換変数に独自の値を指定する方法を示しています。

例:

$ldifmigrator "input_file=sample.dat" "output_file=sample.ldif"  \
              "s_UserContainerDN=cn=Users,o=Acme,dc=com" \
              "s_UserNicknameAttribute=uid" "s_UserOrganization=Development"

4.14.3.4 データ移行ツールを使用したデータのロードと調整

データ移行ツールでは、データをOracle Internet Directoryに直接ロードするオプションも提供されています。-loadおよび-reconcileオプションを使用すると、データのロードと競合の調整を安全に実行できます。

例:

$ldifmigrator "input_file=sample.dat" "output_file=sample.ldif" \
               -lookup "host=ldap.acme.com" "subscriber=acme" \
               "s_UserOrganization=Development"
               -load -reconcile SAFE

4.14.4 ldifmigratorの関連コマンドライン・ツール

4.14.5 ldifmigratorのエラー・メッセージ

データ移行ツールでは、次のエラー・メッセージが表示される場合があります。

表4-1 データ移行ツールのエラー・メッセージ

メッセージ 理由 修正処置

環境変数ORACLE_HOMEが定義されていません。

ORACLE_HOMEが定義されていない。

環境変数ORACLE_HOMEを設定する。

入力パラメータ解析中のエラー。再確認してください。

必須パラメータがすべて指定されていない。必須パラメータは、Input_File、Output_Fileおよび1つ以上の置換変数。

入力パラメータを適切に指定する。使用方法を出力するには、-helpオプションを使用。

Input_Fileパラメータが指定されていません。指定してください。

Input_Fileは必須パラメータ。

入力パラメータを適切に指定する。使用方法を出力するには、-helpオプションを使用。

Output_Fileパラメータが指定されていません。指定してください。

Output_Fileは必須パラメータ。

入力パラメータを適切に指定する。使用方法を出力するには、-helpオプションを使用。

指定された入力ファイルは存在しません。

指定したファイルの場所が無効。

入力ファイルのパスを確認する。

入力ファイルをチェックしてください。入力ファイルは0バイトです。

入力ファイルにエントリが含まれていない。

擬似LDIFエントリを含む有効なファイルを指定する。

出力ファイルを作成できません。出力ファイルはすでに存在します。

出力ファイルがすでに存在する。

Output_Fileフラグを確認する。

アクセスが拒否されました。入力ファイルから読み込むことができません。

指定した入力ファイルに対する読取り権限がない。

入力ファイルの読取り権限を確認する。

アクセスが拒否されました。出力ファイルに作成できません。

出力ファイルを作成する権限がない。

出力ファイルの作成先となるディレクトリに対する権限を確認する。

ディレクトリ・サーバー名が指定されていません。-lookupオプションが使用されているときはホスト・パラメータを指定する必要があります。

-lookupオプションを指定する場合、ホスト・パラメータは必須。

ホスト・パラメータを指定する。

バインドDNパラメータが指定されていません。-lookupオプションを使用するときはDNパラメータを指定する必要があります。

-lookupオプションを指定する場合、DNパラメータは必須。

DNパラメータを指定する。

指定されたポート番号は無効です。

ポート番号には数値を使用する。

ポート番号パラメータを確認する。

ディレクトリへ接続を確立することができません。入力パラメータ(ホスト、ポート、DN、パスワード)を確認してください。

ディレクトリ・サーバーが指定したホストおよびポートで稼働していないか、資格証明が無効である可能性がある。

ホスト、ポート、DNおよびパスワードのパラメータを確認する。$ORACLE_HOME/ldap/install/LDIFMig_YYYY_MM_DD_HH_SS.logファイルを確認する。

ディレクトリからサブスクライバ情報を取り出している際にネーミング例外が発生しました。入力パラメータを指定してください。

指定したID管理レルムがディレクトリに存在しない。

レルム・パラメータを確認する。

すべての置換変数が指定されたディレクトリ・サーバーで定義されていません。

ID管理レルム・エントリに必須属性が含まれない場合、このエラーが発生する。

ディレクトリのレルム・エントリを確認する。

LDIFデータのOIDへの移行中にエラーが発生しました。

処理中に問題が発生した場合(ディレクトリ・サーバーまたはディスクの障害など)、このエラーが発生することがある。

エラー・メッセージを管理者に報告する。


エラー状態が発生した場合、ログ・メッセージはORACLE_HOME/ldap/install/LDIFMig_YYYY_MM_DD_HH_SS.logファイルに記録されます。

4.15 ldifwrite

ldifwriteコマンドライン・ツールを使用すると、Oracle Internet Directoryに存在する情報の一部または全部をLDIFに変換できます。変換した情報は、レプリケートしたディレクトリの新規ノードまたはバックアップ記憶域の別のノードにロードできます。


注意:

ldifwriteツールの出力には、ディレクトリ自体の操作データ(cn=subschemasubentrycn=catalogscn=changelog entriesなど)は含まれません。これらのエントリをLDIF形式にエクスポートするには、-Lフラグ付きでldapsearchを使用します。

ldifwriteツールでは、指定したDN以下のすべてのエントリを対象にサブツリー検索を実行します(DN自体も対象です)。

4.15.1 ldifwriteの構文

ldifwrite connect=connect_string basedn=Base_DN ldiffile=LDIF_Filename [filter=LDAP_Filter] 
[threads=num_of_threads] [debug="TRUE"|"FALSE"] [encode=character_set] [verbose="TRUE"|"FALSE"]

4.15.2 ldifwriteの引数

connect

必須。ディレクトリ・データベース接続文字列。tnsnames.oraファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.oraファイルは、$ORACLE_HOME/network/adminにあります。指定しない場合、デフォルトで$ORACLE_SID環境変数の値が使用されます。

basedn

必須。LDIF形式で出力を書き込むサブツリーのベースDN。

ベースDNがレプリケーション承諾エントリである場合、LDAPのネーミング・コンテキスト構成に基づいてネーミング・コンテキストの一部をバックアップできます。この場合、レプリケーション承諾DNを指定します。

ldiffile

必須。出力LDIFファイルのフルパスと名前。

filter

オプション。使用するLDAPフィルタ。フィルタを指定し、特定の基準に一致するエントリを選択できます。一致したエントリのみが、LDIFファイルに書き込まれます。

threads

オプション。ディレクトリ・ストアからの読取りとLDIF出力ファイルへの書込みに使用するスレッドの数。デフォルトは、CPU数に1を加えた数です。

debug

オプション。ログ・レベルを報告します。コマンドの実行がエラーになる場合に役に立ちます。出力はldifwrite.logファイルに記録されます。このファイルは$ORACLE_HOME/ldap/logにあります。

encode

オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252JA16SJISまたはAL32UTF8などの一意の略語があります。

verbose

オプション。コマンドを冗長モードで実行します。

4.15.3 ldifwriteのタスクと使用例

ldifwriteコマンドライン・ツールを使用すると、次のタスクを実行できます。

4.15.3.1 ネーミング・コンテキストの下に存在するすべてのエントリのLDIFファイルへの変換

次の例では、ou=Europe,o=imc,c=usの下のすべてのエントリをoutput1.ldifファイルに書き込みます。

LDIFファイルと中間ファイルは、常に現行ディレクトリに書き込まれます。

ldifwriteツールには、ディレクトリの各エントリの操作属性が含まれます(createtimestampcreatorsnameorclguidなど)。

Oracle Internet Directoryのパスワードを求められた場合は、ODSデータベース・ユーザー・アカウントのパスワードを入力してください。デフォルト・パスワードはodsです。

例:

ldifwrite connect="nldap" basedn="ou=Europe, o=imc, c=us" file="output1.ldif"

4.15.3.2 部分ネーミング・コンテキストのLDIFファイルへの変換

この例では、部分レプリケーションに定義された次のネーミング・コンテキスト・オブジェクトを使用します。

dn: cn=includednamingcontext000001,  cn=replication namecontext,  orclagreementid=000001,  orclreplicaid=node replica identifier,  cn=replication configuration
orclincludednamingcontexts: c=us
orclexcludednamingcontexts: ou=Americas, c=us
orclexcludedattributes: userpassword
objectclass: top
objectclass: orclreplnamectxconfig

この例では、c=usの下のすべてのエントリがバックアップされますが、ou=Americas,c=usは除外されます。userpassword属性も除外されます。

例:

ldifwrite connect="nldap" basedn="cn=includednamingcontext000001, \
          cn=replication namecontext,orclagreementid=000001, \
          orclreplicaid=node replica identifier,cn=replication configuration" \
          file="output2.ldif"

4.15.3.3 基準に一致するエントリのLDIFファイルへの変換

次の例では、ou=users,o=test,c=usの下のエントリでsn="Stuart"であるものを、LDIFファイル(output3.ldif)に書き込みます。

例:

ldifwrite connect="nldap" basedn="ou=users, o= test, c=us" filter="sn=xyz" ldiffile="output3.ldif"

4.15.4 ldifwriteの関連コマンドライン・ツール

4.16 upgradecert.pl

リリース10.1.2以上では、証明書のハッシュ値を使用してOracle Internet Directoryにバインドできます。このハッシュ値を導入する場合、リリース10.1.2より前に発行されたユーザー証明書については、ディレクトリで更新する必要があります。この作業は、アップグレード後の手順であり、ユーザー証明書がディレクトリでプロビジョニングされている場合にのみ必須です。upgradecert.plツールは、この証明書の更新に使用します。

upgradecert.plツールを実行する前に、次のことを確認してください。

  1. Oracle Internet Directoryサーバー・インスタンスが起動して稼働中であることを確認します。

  2. Perl 5.6以上が実行されていることを確認します。次のコマンドを実行してください。

    perl -version
    
  3. 環境変数PERL5LIBが適切なPerlライブラリの場所に設定されていることを確認します。

  4. コマンド・プロンプトからldapmodifyおよびldapsearchを実行できることを確認します。

  5. ツールを実行するのに十分なディスク領域があるかどうかを確認します。必要なディスク領域の容量は、格納される証明書の数に応じて変化します。

4.16.1 upgradecert.plの構文

perl $ORACLE_HOME/ldap/bin/upgradecert.pl -h oid_hostname -D "binddn" -w password [-p ldap_port] [-t temp_dir]

4.16.2 upgradecert.plの引数

-h oid_hostname

必須。Oracle Internet Directoryサーバーのホスト名またはIPアドレス。

-D "binddn"

必須。ディレクトリへのバインドに必要な、Oracle Internet DirectoryユーザーのDN(cn=orcladminなど)。

-w password

必須。ディレクトリへのバインドに必要なユーザー・パスワード。

-p ldap_port

オプション。Oracle Internet Directoryサーバーへの接続に使用されるポート番号。デフォルトはポート389です。

-t temp_dir

オプション。一時作業ディレクトリの場所。これは、ログ・ファイルの場所になります。ORACLE_HOME環境変数が設定されている場合のデフォルトは、$ORACLE_HOME/ldap/logです。この変数が設定されていない場合のデフォルトは、現行ディレクトリです。

4.16.3 upgradecert.plのタスクと使用例

upgradecert.plツールを使用すると、次のタスクを実行できます。

4.16.3.1 ディレクトリに格納されたリリース10.1.2より前のユーザー証明書のアップグレード

例:

perl $ORACLE_HOME/ldap/bin/upgradecert.pl -h myhost.company.com -D "cn=orcladmin" -w password

4.16.4 upgradecert.plの関連コマンドライン・ツール

  • 該当なし