IBM Tivoli Directory Server 管理ガイドpublib.boulder.ibm.com/tividd/td/IBMDS/IDSadmin52/ja_JA/...目次まえがきix 本書の対象読者 ix 資料 ix IBM Tivoli Directory

IBM Tivoli Directory Server

IBM Tivoli Directory Server 管理ガイド

バージョン 5.2

SC88-9780-00

(英文原典：SC32-1339-00)

��


IBM Tivoli Directory Server 管理ガイド

バージョン 5.2

SC88-9780-00

(英文原典：SC32-1339-00)

��

お願い本書および本書で紹介する製品をご使用になる前に、 463ページの『付録 I. 特記事項』に記載されている情報をお読みください。

本書は、IBM Tivoli Directory Server バージョン 5 リリース 2 に適用されます。また、新版において特に断りがない限り、それ以降のすべてのリリースおよびモディフィケーションにも適用されます。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： SC32–1339–00


IBM Tivoli Directory Server Administration Guide

Version 5.2

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2003.9

この文書では、平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2003. All rights reserved.

© Copyright IBM Japan 2003

目次まえがき . . . . . . . . . . . . . . ix本書の対象読者 . . . . . . . . . . . . . ix資料 . . . . . . . . . . . . . . . . . ix

IBM Tivoli Directory Server ライブラリー . . . ix関連資料 . . . . . . . . . . . . . . . x

アクセシビリティー . . . . . . . . . . . . xカスタマー・サポートとの連絡 . . . . . . . . x本書の規則 . . . . . . . . . . . . . . . x表記規則 . . . . . . . . . . . . . . . xオペレーティング・システムによる差 . . . . . xi

第 1 部 Directory の概要 . . . . . . 1

第 1 章ディレクトリーの定義 . . . . . 3ディレクトリー・クライアントとディレクトリー・サーバー . . . . . . . . . . . . . . . . 3ディレクトリーのセキュリティー . . . . . . . 4

第 2 章 IBM Tivoli Directory Server . . 5

第 3 章識別名 (DN) . . . . . . . . . 7識別名の構文 . . . . . . . . . . . . . . 7DN エスケープ規則 . . . . . . . . . . . . 8拡張された DN の処理 . . . . . . . . . . . 9

第 2 部サーバー管理 . . . . . . . 11

第 4 章ディレクトリー管理デーモン . . 13ディレクトリー管理デーモンの始動 . . . . . . 13ディレクトリー管理デーモンの停止 . . . . . . 13

第 5 章構成専用モード . . . . . . . . 15構成専用モードの最低要件 . . . . . . . . . 15構成専用モードで始動する方法 . . . . . . . . 15

Web 管理の使用 . . . . . . . . . . . . 16コマンド行の使用 . . . . . . . . . . . 16

サーバーが構成専用モードで実行中かどうかを確認する方法 . . . . . . . . . . . . . . . 16


第 6 章 Web 管理ツールのグラフィカル・ユーザー・インターフェース (GUI) . 17Web 管理ツールの始動 . . . . . . . . . . 17コンソールへのログイン . . . . . . . . . . 18コンソール管理者としてのコンソールへのログオン . . . . . . . . . . . . . . . . 18サーバー管理者としてのコンソールへのログオン 18管理グループのメンバーまたは LDAP ユーザーとしてのコンソールへのログオン . . . . . . 18

コンソールのレイアウト . . . . . . . . . . 19コンソールのログオフ . . . . . . . . . . . 19

第 7 章コンソールの設定 . . . . . . . 21コンソールの管理 . . . . . . . . . . . . 21コンソール管理者ログインの変更 . . . . . . 21コンソール管理パスワードの変更 . . . . . . 21コンソールでのサーバーの追加、変更、および除去 . . . . . . . . . . . . . . . . 21コンソール・プロパティーの管理 . . . . . . 22

第 8 章基本的なサーバー管理タスク . . 25Web 管理ツールへのログオン . . . . . . . . 25管理者の識別名およびパスワードの変更 . . . . . 25


サーバーの始動と停止 . . . . . . . . . . . 26Web 管理の使用 . . . . . . . . . . . . 26コマンド行または Windows の「サービス」アイコンの使用 . . . . . . . . . . . . . 27

サーバー状況の検査 . . . . . . . . . . . 27Web 管理の使用 . . . . . . . . . . . . 27コマンド行の使用 . . . . . . . . . . . 33

サーバー接続の管理 . . . . . . . . . . . 38Web 管理の使用 . . . . . . . . . . . . 38コマンド行の使用 . . . . . . . . . . . 39

接続プロパティーの管理 . . . . . . . . . . 39Web 管理の使用 . . . . . . . . . . . . 40コマンド行の使用 . . . . . . . . . . . 42

管理グループの作成 . . . . . . . . . . . 42管理グループの使用可能化および使用不可化 . . 43管理グループに対するメンバーの追加 . . . . 44管理グループ・メンバーの変更 . . . . . . . 45管理グループからのメンバーの除去 . . . . . 46

固有属性の管理 . . . . . . . . . . . . . 47固有属性グループの作成 . . . . . . . . . 47固有属性のリストからの属性の除去 . . . . . 49

第 9 章サーバー・プロパティーの設定 51サーバー・ポートの変更および言語タグの使用可能化 . . . . . . . . . . . . . . . . . 52


パフォーマンス設定 . . . . . . . . . . . 53Web 管理の使用 . . . . . . . . . . . . 53コマンド行の使用 . . . . . . . . . . . 54

検索の設定 . . . . . . . . . . . . . . 55Web 管理の使用 . . . . . . . . . . . . 55コマンド行の使用 . . . . . . . . . . . 57拡張された検索制御 . . . . . . . . . . 57

トランザクション・サポートの設定 . . . . . . 62

© Copyright IBM Corp. 2003 iii

トランザクション・サポートの有効化 . . . . 62トランザクション・サポートの無効化 . . . . 63

イベント通知の設定 . . . . . . . . . . . 64イベント通知の有効化 . . . . . . . . . . 64イベント通知の無効化 . . . . . . . . . . 65

サフィックスの追加および除去 . . . . . . . . 66サフィックスの作成または追加 . . . . . . . 66サフィックスの除去 . . . . . . . . . . 67

参照の作成および除去 . . . . . . . . . . . 68参照の作成 . . . . . . . . . . . . . 68参照の除去 . . . . . . . . . . . . . 69その他の LDAP ディレクトリーへの参照の設定 70

属性キャッシュに対する属性の追加および除去 . . 73属性キャッシュに対する属性の設定および追加 . 74属性キャッシュからの属性の除去 . . . . . . 75

第 10 章ディレクトリーの保護 . . . . 77セキュリティー設定の構成 . . . . . . . . . 77

Web 管理の使用 . . . . . . . . . . . . 77コマンド行の使用 . . . . . . . . . . . 79Transport Layer Security . . . . . . . . . 79セキュア・ソケット・レイヤー . . . . . . . 80gsk7ikm の使用 . . . . . . . . . . . . 87

鍵データベースの設定 . . . . . . . . . . . 97Web 管理の使用 . . . . . . . . . . . . 97コマンド行の使用 . . . . . . . . . . . 98

暗号化レベルの設定 . . . . . . . . . . . 98Web 管理の使用 . . . . . . . . . . . . 98コマンド行の使用 . . . . . . . . . . . 99パスワードの暗号化 . . . . . . . . . . 100

パスワード・ポリシーの設定 . . . . . . . . 102Web 管理の使用 . . . . . . . . . . . 102コマンド行の使用 . . . . . . . . . . . 103パスワードのガイドライン . . . . . . . . 104

パスワード・ロックアウトの設定 . . . . . . . 106Web 管理の使用 . . . . . . . . . . . 106コマンド行の使用 . . . . . . . . . . . 106

パスワード妥当性検査の設定 . . . . . . . . 107Web 管理の使用 . . . . . . . . . . . 107コマンド行の使用 . . . . . . . . . . . 108

Kerberos の設定 . . . . . . . . . . . . 108Web 管理の使用 . . . . . . . . . . . 110コマンド行の使用 . . . . . . . . . . . 110Kerberos の使用 . . . . . . . . . . . 111Kerberos の ID マッピング . . . . . . . . 111

証明書取り消し検査 . . . . . . . . . . . 113Web 管理の使用 . . . . . . . . . . . 113コマンド行の使用 . . . . . . . . . . . 114

DIGEST-MD5 機構の構成 . . . . . . . . . 114Web 管理の使用 . . . . . . . . . . . 115コマンド行の使用 . . . . . . . . . . . 115

第 11 章 IBM Directory スキーマの管理 . . . . . . . . . . . . . . . . 117共通スキーマ・サポート . . . . . . . . . . 119オブジェクト ID (OID) . . . . . . . . . . 119

オブジェクト・クラスの処理 . . . . . . . . 119オブジェクト・クラスの定義 . . . . . . . 120オブジェクト・クラスの表示 . . . . . . . 121オブジェクト・クラスの追加 . . . . . . . 122オブジェクト・クラスの編集 . . . . . . . 123オブジェクト・クラスのコピー . . . . . . 125オブジェクト・クラスの削除 . . . . . . . 126

属性の処理 . . . . . . . . . . . . . . 127属性の表示 . . . . . . . . . . . . . 127属性の追加 . . . . . . . . . . . . . 128属性の編集 . . . . . . . . . . . . . 130属性のコピー . . . . . . . . . . . . 131属性の削除 . . . . . . . . . . . . . 133IBMAttributeTypes 属性タイプ . . . . . . . 133突き合わせ規則 . . . . . . . . . . . . 135索引付け規則 . . . . . . . . . . . . 136属性構文 . . . . . . . . . . . . . . 137

サブスキーマ項目 . . . . . . . . . . . . 138IBMsubschema オブジェクト・クラス . . . . . 138スキーマの照会 . . . . . . . . . . . . . 138動的スキーマ . . . . . . . . . . . . . 139アクセス制御 . . . . . . . . . . . . 139複製 . . . . . . . . . . . . . . . 140

許可されないスキーマの変更 . . . . . . . . 140オブジェクト・クラス . . . . . . . . . 140属性 . . . . . . . . . . . . . . . 140構文 . . . . . . . . . . . . . . . 146突き合わせ規則 . . . . . . . . . . . . 146

スキーマの検査 . . . . . . . . . . . . . 146スキーマの照合による項目の検査 . . . . . . 147

DEN スキーマ・サポート . . . . . . . . . 148iPlanet との互換性 . . . . . . . . . . . . 149標準時および UTC 時刻 . . . . . . . . . . 150

第 12 章複製 . . . . . . . . . . . 153複製トポロジー . . . . . . . . . . . . . 153複製合意 . . . . . . . . . . . . . . . 157マスター - レプリカ・トポロジーの作成 . . . . 158

Web 管理の使用 . . . . . . . . . . . 158コマンド行の使用 . . . . . . . . . . . 165

マスター - 転送 - レプリカ・トポロジーの作成 167Web 管理の使用 . . . . . . . . . . . 167コマンド行の使用 . . . . . . . . . . . 169

複雑な複製トポロジーの作成に関する概要 . . . . 171ピア複製を持つ複雑なトポロジーのセットアップ 172


ゲートウェイ・トポロジーのセットアップ . . . . 180Web 管理の使用 . . . . . . . . . . . 182コマンド行の使用 . . . . . . . . . . . 184

複製を管理するための Web 管理タスク . . . . 189トポロジーの管理 . . . . . . . . . . . 189複製プロパティーの変更 . . . . . . . . . 193複製スケジュールの作成 . . . . . . . . . 195キューの管理 . . . . . . . . . . . . 196

複製を管理するためのコマンド行でのタスク . . . 197

iv IBM Tivoli Directory Server: IBM Tivoli Directory Server 管理ガイド

サブツリーのサプライヤー DN およびパスワードの指定 . . . . . . . . . . . . . . 197複製構成情報の表示 . . . . . . . . . . 199複製状況のモニター . . . . . . . . . . 200ゲートウェイ・サーバーの作成 . . . . . . 201

第 13 章ロギング・ユーティリティー 203エラー・ログの変更 . . . . . . . . . . . 203コマンド行の使用 . . . . . . . . . . . 204

エラー・ログの表示 . . . . . . . . . . . 204Web 管理の使用 . . . . . . . . . . . 204コマンド行の使用 . . . . . . . . . . . 205

監査ログ . . . . . . . . . . . . . . . 205監査ログの使用可能化と監査ログ設定の変更 . . 205監査ログを使用不可にする . . . . . . . . 207監査ログの表示 . . . . . . . . . . . . 208

DB2 エラー・ログ. . . . . . . . . . . . 210DB2 エラー・ログ設定の変更 . . . . . . . 210DB2 エラー・ログの表示 . . . . . . . . 210

bulkload エラー・ログ記録 . . . . . . . . . 211bulkload エラー・ログ設定の変更 . . . . . . 211bulkload エラー・ログの表示 . . . . . . . 212

管理デーモン・エラー・ログ . . . . . . . . 213管理デーモン・エラー・ログ設定の変更 . . . 213管理デーモン・エラー・ログの表示 . . . . . 214

管理デーモン監査ログ . . . . . . . . . . 214管理デーモン監査ログの使用可能化と管理監査ログ設定の変更 . . . . . . . . . . . . 215管理デーモン監査ログの使用不可化 . . . . . 216管理デーモン監査ログの表示 . . . . . . . 216

第 3 部ディレクトリー管理 . . . . 219

第 14 章ディレクトリー項目の処理 221ツリーのブラウズ . . . . . . . . . . . . 221項目の追加 . . . . . . . . . . . . . . 221言語タグ . . . . . . . . . . . . . . . 222言語タグ付き属性を含む項目の作成 . . . . . 224言語タグ付き属性を含む項目の検索 . . . . . 225言語タグ記述子の項目からの除去 . . . . . . 225

項目の削除 . . . . . . . . . . . . . . 226項目の変更 . . . . . . . . . . . . . . 226バイナリー属性 . . . . . . . . . . . . . 228項目のコピー . . . . . . . . . . . . . 229アクセス制御リストの編集 . . . . . . . . . 229補助オブジェクト・クラスの追加 . . . . . . . 229補助クラスの削除 . . . . . . . . . . . . 230グループ・メンバーシップの変更 . . . . . . . 231ディレクトリー項目の検索 . . . . . . . . . 231検索フィルター . . . . . . . . . . . . 231オプション . . . . . . . . . . . . . 233

第 15 章アクセス制御リスト . . . . . 235概要 . . . . . . . . . . . . . . . . 235

EntryOwner 情報 . . . . . . . . . . . 235アクセス制御情報 . . . . . . . . . . . 235

アクセス制御属性の構文 . . . . . . . . . . 236サブジェクト . . . . . . . . . . . . 237疑似 DN . . . . . . . . . . . . . . 238オブジェクト・フィルター . . . . . . . . 239権限 . . . . . . . . . . . . . . . 240

伝搬 . . . . . . . . . . . . . . . . 241アクセス評価 . . . . . . . . . . . . . 242ACL の処理 . . . . . . . . . . . . . . 245

Web 管理ツール・ユーティリティーによる ACLの管理 . . . . . . . . . . . . . . . 245コマンド行ユーティリティーによる ACL の管理 251

サブツリー複製の考慮 . . . . . . . . . . 255

第 16 章グループと役割. . . . . . . 257グループ . . . . . . . . . . . . . . . 257静的グループ . . . . . . . . . . . . 257動的グループ . . . . . . . . . . . . 257ネストされたグループ . . . . . . . . . 259混成グループ . . . . . . . . . . . . 259グループ・メンバーシップの判別 . . . . . . 260グループ・オブジェクト・クラス . . . . . . 262グループ属性タイプ . . . . . . . . . . 262

役割 . . . . . . . . . . . . . . . . 263

第 17 章検索制限グループの管理 . . . 265検索制限グループの作成 . . . . . . . . . . 266


検索制限グループの変更 . . . . . . . . . . 267Web 管理の使用 . . . . . . . . . . . 268コマンド行の使用 . . . . . . . . . . . 268

検索制限グループのコピー . . . . . . . . . 268サーバー管理の使用 . . . . . . . . . . 268コマンド行の使用 . . . . . . . . . . . 268

検索制限グループの除去 . . . . . . . . . . 269Web 管理の使用 . . . . . . . . . . . 269コマンド行の使用 . . . . . . . . . . . 269

第 18 章プロキシー許可グループの管理 . . . . . . . . . . . . . . . . 271プロキシー許可グループの作成 . . . . . . . 271


プロキシー許可グループの変更 . . . . . . . 273サーバー管理の使用 . . . . . . . . . . 273コマンド行の使用 . . . . . . . . . . . 273

プロキシー許可グループのコピー . . . . . . . 274サーバー管理の使用 . . . . . . . . . . 274コマンド行の使用 . . . . . . . . . . . 274

プロキシー許可グループの除去 . . . . . . . 274Web 管理の使用 . . . . . . . . . . . 274コマンド行の使用 . . . . . . . . . . . 274

第 4 部ユーザー関連のタスク . . . 275

目次 v

第 19 章レルム、テンプレート、ユーザー、およびグループ . . . . . . . . 277レルムの作成 . . . . . . . . . . . . . 277レルム管理者の作成 . . . . . . . . . . . 277レルム管理グループの作成 . . . . . . . . 277管理者項目の作成 . . . . . . . . . . . 278管理グループへの管理者の追加 . . . . . . 278

テンプレートの作成 . . . . . . . . . . . 279レルムへのテンプレートの追加 . . . . . . . 281グループの作成 . . . . . . . . . . . . . 281レルムへのユーザーの追加 . . . . . . . . . 281レルムの管理 . . . . . . . . . . . . . 282レルムの追加 . . . . . . . . . . . . 282レルムの編集 . . . . . . . . . . . . 282レルムの除去 . . . . . . . . . . . . 283レルムの ACL の編集 . . . . . . . . . 283

テンプレートの管理 . . . . . . . . . . . 283ユーザー・テンプレートの追加 . . . . . . 283テンプレートの編集 . . . . . . . . . . 285テンプレートの除去 . . . . . . . . . . 286テンプレートの ACL の編集 . . . . . . . 286

ユーザーの管理 . . . . . . . . . . . . . 286ユーザーの追加 . . . . . . . . . . . . 286レルム内のユーザーの検索 . . . . . . . . 287ユーザー情報の編集 . . . . . . . . . . 287ユーザーのコピー . . . . . . . . . . . 287ユーザーの除去 . . . . . . . . . . . . 288

グループの管理 . . . . . . . . . . . . . 288グループの追加 . . . . . . . . . . . . 288レルム内のグループの検索 . . . . . . . . 288グループ情報の編集 . . . . . . . . . . 289グループのコピー . . . . . . . . . . . 289グループの除去 . . . . . . . . . . . . 289

第 5 部コマンド行ユーティリティー . . . . . . . . . . . . . . . . 291

第 20 章コマンド行ユーティリティー 293クライアント・ユーティリティー . . . . . . . 294

ldapchangepwd . . . . . . . . . . . . 294ldapdelete . . . . . . . . . . . . . . 298ldapexop . . . . . . . . . . . . . . 303ldapmodify、ldapadd . . . . . . . . . . 313ldapmodrdn . . . . . . . . . . . . . 321ldapsearch . . . . . . . . . . . . . . 326

サーバー・ユーティリティー . . . . . . . . 336bulkload ユーティリティー . . . . . . . . 336dbback . . . . . . . . . . . . . . . 341dbrestore . . . . . . . . . . . . . . 341db2ldif ユーティリティー . . . . . . . . 342ibmdiradm. . . . . . . . . . . . . . 343ibmdirctl . . . . . . . . . . . . . . 344ldapdiff . . . . . . . . . . . . . . 345ldaptrace . . . . . . . . . . . . . . 353ldif ユーティリティー . . . . . . . . . 357

ldif2db ユーティリティー . . . . . . . . 358runstats . . . . . . . . . . . . . . 358

第 6 部付録 . . . . . . . . . . . 361

付録 A. トラブルシューティング . . . 363GSKit 証明書エラー . . . . . . . . . . . 363ファイル許可 . . . . . . . . . . . . . 363Kerberos . . . . . . . . . . . . . . . 363

Kerberos サービス名の変更 . . . . . . . . 363Windows で発生する「slapd.cat を開くときにエラー (Error opening slapd.cat)」 . . . . . . . . 364Web 管理. . . . . . . . . . . . . . . 364

Web 管理ツールで入力したデータの文字化け 364別のログイン・パネルを開くことができない . . 365ldapmodify コマンドを実行すると Web 管理が矛盾した状態になる . . . . . . . . . . . 366Windows 2003 プラットフォームで Web 管理GUI コンソールを使用して検出される問題 . . 366AIX 上での Websphere Application Server(Express) . . . . . . . . . . . . . . 367HP-UX 上の Web 管理ツールの接続が切断される . . . . . . . . . . . . . . . . 367Web 管理のタブ、表ヘッダー、および静的リスト・ボックスが正しくない言語で表示される . . 368HTML の特殊文字が正しく表示されない . . . 369ドミノ・™ サーバー上で Web 管理を使用するには IBM JDK が必要 . . . . . . . . . 369

デバッグ . . . . . . . . . . . . . . . 369構成のためのデバッグ出力 . . . . . . . . 369ibmslapd コマンドのパラメーター . . . . . 372サーバー・デバッグ・モード . . . . . . . 372

複製コマンド行インターフェースのエラー(Windows プラットフォームのみ). . . . . . . 373

付録 B. IBM UUID . . . . . . . . . 375

付録 C. エラー・コード . . . . . . . 377

付録 D. ルート DSE 内部のオブジェクト ID (OID) および属性 . . . . . . . 383ルート DSE 内の属性 . . . . . . . . . . 383サポートされ、使用可能になっている機能の OID 385ACI 機構の OID . . . . . . . . . . . . 387拡張操作の OID . . . . . . . . . . . . 387コントロールの OID . . . . . . . . . . . 389

付録 E. LDAP データ交換フォーマット(LDIF). . . . . . . . . . . . . . . 391LDIF の例 . . . . . . . . . . . . . . 391バージョン 1 LDIF サポート . . . . . . . . 392バージョン 1 LDIF の例 . . . . . . . . . 392プラットフォームでサポートされている IANA 文字セット . . . . . . . . . . . . . . . 394

vi IBM Tivoli Directory Server: IBM Tivoli Directory Server 管理ガイド

付録 F. IPv6 サポート . . . . . . . . 397

付録 G. IBM Tivoli Directory Server5.2 必須属性の定義 . . . . . . . . . 399

付録 H. IBM Tivoli Directory Server5.2 構成スキーマのオブジェクト・クラスおよび属性 . . . . . . . . . . . . 435構成オブジェクト・クラス . . . . . . . . . 435

構成属性 . . . . . . . . . . . . . . . 438動的に変更される属性 . . . . . . . . . 460

付録 I. 特記事項 . . . . . . . . . . 463商標 . . . . . . . . . . . . . . . . 464

用語集 . . . . . . . . . . . . . . 467

索引 . . . . . . . . . . . . . . . 475

目次 vii

viii IBM Tivoli Directory Server: IBM Tivoli Directory Server 管理ガイド

まえがき

本書には、 IBM® Tivoli® Directory Server の管理に必要な情報が記載されています。

本書の対象読者この資料は、システム管理者を対象に作成されています。

資料『IBM Tivoli Directory Server ライブラリー』の説明を読んで、役立つと思われる資料を判断してください。

IBM Tivoli Directory Server ライブラリーIBM Tivoli Directory Server ライブラリーの資料には、次のものがあります。

IBM Tivoli Directory Server Version 5.2 Readme Addendum

Tivoli Software Library の Web サイトに移動して、「IBM Tivoli Directory

Server 5.2 の Readme 補足(Readme Addendum for IBM Tivoli Directory

Server 5.2)」にアクセスしてください。ここには、Readme ファイルに収められなかった重要な情報が記載されています。

IBM Tivoli Directory Server バージョン 5.2 クライアント Readme

クライアントに関する最新情報が記載されています。

IBM Tivoli Directory Server バージョン 5.2 サーバー Readme

サーバーに関する最新情報が記載されています。

IBM Tivoli Directory Server バージョン 5.2 Web 管理ツール Readme

Web 管理ツールに関する最新情報が記載されています。この Readme は、Web 管理ツールのメインパネルから参照できます。

IBM Tivoli Directory Server インストールと構成のガイドバージョン 5.2

IBM Tivoli Directory Server のクライアント、サーバー、および Web 管理ツールのインストールに関する詳細が説明されています。以前のバージョンの IBM Tivoli Directory Server または SecureWay® Directory からの移行に関する情報も記載されています。

IBM Tivoli Directory Server Version 5.2 Tuning Guide

パフォーマンスを向上するための調整方法が記載されています。

IBM Tivoli Directory Server 管理ガイドバージョン 5.2

Web 管理ツールやコマンド行を介して管理者タスクを実行するための手順が記載されています。

IBM Tivoli Directory Server Version 5.2 Plug-in Reference

サーバーのプラグインの作成に関する情報が記載されています。

© Copyright IBM Corp. 2003 ix

http://www.ibm.com/software/tivoli/library/

IBM Tivoli Directory Server Version 5.2 C-Client SDK Programming Reference

LDAP クライアント・アプリケーションの作成に関する情報が記載されています。

関連資料IBM Tivoli Directory Server に関連した情報は、以下の資料で参照できます。

v IBM Tivoli Directory Server バージョン 5.2 では、Sun Microsystems 製の JNDI

クライアントを使用しています。 JNDI クライアントについては、 Sun

Microsystems の Web サイト(URL: http://java.sun.com/products/jndi/1.2/javadoc/index.html) で、Java™ Naming

and Directory Interface™ 1.2.1 Specification を参照してください。

v Tivoli Software Library には、白書、データシート、デモンストレーション、レッドブック、発表レターなどのさまざまな Tivoli 関連資料が用意されています。Tivoli Software Library は、 Web 上(URL: http://www.ibm.com/software/tivoli/library/) で利用できます。

v Tivoli Software Glossary には、 Tivoli ソフトウェアに関連した多数の技術用語の定義が収録されています。 Tivoli Software Glossary は、英語版のみですが、Tivoli Software Library の Web ページ(URL: http://www.ibm.com/software/tivoli/library/) の左側に表示されているGlossary リンクからアクセスできます。

アクセシビリティーアクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。この製品により、聴覚支援テクノロジーを利用してインターフェースを自在に移動することができます。インストールの完了後、マウスの代わりにキーボードを使用して、グラフィカル・ユーザー・インターフェースのすべての機能を操作することができます。

カスタマー・サポートとの連絡資料およびカスタマー・サポートについては営業担当員にお問い合わせください。

本書の規則この資料では、特殊な用語や処置、およびオペレーティング・システムに依存するコマンドやパスに対して、いくつかの規則を適用しています。

表記規則この資料では、次の表記規則を適用しています。

太字本文と区別しにくい小文字のコマンドや大文字と小文字が混合しているコマンド、キーワード、パラメーター、オプション、Java クラス名、およびオブジェクトは、太字で表記します。

x IBM Tivoli Directory Server: IBM Tivoli Directory Server 管理ガイド

http://java.sun.com/products/jndi/1.2/javadoc/index.html



イタリック資料のタイトル、および強調されている特殊な語句は、イタリックで表記します。

<イタリック>

変数は < > で囲んで区別し、<イタリック> で表記します。

モノスペースコード例、コマンド行、画面出力、本文と区別しにくいファイル名やディレクトリー名、システム・メッセージ、ユーザーによる入力が必要なテキスト、および引き数やコマンド・オプションの値は、モノスペースで表記します。

オペレーティング・システムによる差この資料では、環境変数の指定やディレクトリーの表記に UNIX® の規則を適用しています。 Windows® のコマンド行を使用する場合は、環境変数の $variable を%variable% に置き換え、ディレクトリー・パスの各スラッシュ (/) を円記号 (¥) に置き換えてください。 Windows システム上で bash シェルを使用している場合は、UNIX の規則を適用できます。

まえがき xi

xii IBM Tivoli Directory Server: IBM Tivoli Directory Server 管理ガイド

第 1 部 Directory の概要

© Copyright IBM Corp. 2003 1

2 IBM Tivoli Directory Server: IBM Tivoli Directory Server 管理ガイド

第 1 章ディレクトリーの定義

ディレクトリーは、階層構造に配置されたオブジェクトに関する情報のコレクションです。ディレクトリーは、特定のタスクに必要な特性を持つリソースをユーザーやアプリケーションが検索できるようにするための特別なデータベースです。

オブジェクトの名前がわかっている場合は、その特性の検索が可能です。個々のオブジェクトの名前がわからない場合は、特定の要件を満たす一連のオブジェクトをディレクトリーから検索できます。一般にディレクトリーは、事前に定義された一連のカテゴリーだけではなく、特定の基準によっても検索できます。

ディレクトリーは、汎用のリレーショナル・データベースとは異なる特性を持つ専用のデータベースです。ディレクトリーの特徴は、更新 (書き込み) されるよりも、アクセス (読み取りまたは検索) される回数の方が圧倒的に多いということです。ディレクトリーは、大量の読み取り要求に対応できなければならないため、通常は、読み取りアクセス性能が最適化されています。ディレクトリーは、汎用データベースと同等の機能を提供することが目的ではありません。そのため、大規模な分散環境に配置されたディレクトリー・データにより多くのアプリケーションが高速かつ経済的にアクセスできるよう、最適化することが可能です。

ディレクトリーは、1 個所にまとめて配置することもできますし、分散して配置することもできます。ディレクトリーを 1 個所に配置する場合は、ディレクトリー・アクセスを提供する 1 つのディレクトリー・サーバー (またはサーバー・クラスター) を 1 つの場所に配置する必要があります。ディレクトリーを分散して配置する場合は、通常は地理的に分散した複数のサーバーがディレクトリーへのアクセスを提供します。

ディレクトリーを分散して配置する場合は、ディレクトリーに保管する情報を分割、または複製します。情報を分割する場合、それぞれのディレクトリー・サーバーには、他のサーバーとは重複しない、全体の情報の一部が保管されます。つまり、同じディレクトリー項目が複数のサーバーに保管されることはありません。ディレクトリーを分割する手法には、LDAP 参照が使用されます。LDAP 参照を使用すると、異なる (または同じ) サーバーに保管された同じまたは異なるネーム・スペースを、LDAP 要求に参照させることができます。情報を複製する場合は、複数のサーバーに同じディレクトリー項目が保管されます。一般に、分散ディレクトリーでは、情報の種類に応じて、分割や複製が行われます。

ディレクトリー・クライアントとディレクトリー・サーバー通常、ディレクトリーは、クライアント/サーバー型通信モデルを使用してアクセスされます。クライアント・プロセスとサーバー・プロセスは、同じマシン上に存在する場合もありますし、別々のマシン上に存在する場合もあります。サーバーは、多くのクライアントにサービスを提供する能力を持ちます。ディレクトリーの情報を読み取り/書き込みする場合、アプリケーションは、そのディレクトリーに直接アクセスするのではなく、メッセージを別のプロセスに送る関数またはアプリケーション・プログラミング・インターフェース (API) を呼び出します。この 2 番目のプ


ロセスが、要求を出したアプリケーションに代わって、ディレクトリーの情報にアクセスします。このプロセスによって読み取り/書き込みされた結果が、要求を出したアプリケーションに戻されます。

API は、特定のプログラミング言語がサービスにアクセスする際に使用するプログラミング・インターフェースを定義します。クライアントとサーバー間で交換されるメッセージの形式と内容は、同意されたプロトコルに従っている必要があります。LDAP は、ディレクトリー・クライアントとディレクトリー・サーバーが使用するメッセージ・プロトコルを定義します。C 言語用の関連する LDAP API や、Java アプリケーションから Java Naming and Directory Interface (JNDI) を使用してディレクトリーにアクセスする手段なども提供されています。

ディレクトリーのセキュリティーディレクトリーは、セキュリティー・ポリシーのインプリメントに必要な基本的な機能をサポートしている必要があります。一般に、ディレクトリーは、基盤となるセキュリティー機能を直接提供はしていません。しかし、基本的なセキュリティー・サービスを提供するトラステッド・ネットワーク・セキュリティー・サービスとディレクトリーを統合することは可能です。その場合、最初に必要となるのは、ユーザー認証方式です。認証では、ユーザーが偽りのない本人であるかどうかが検査されます。ユーザー名とパスワードは、基本的な認証方式の 1 つです。ユーザーが認証されたら、次は、要求された操作を特定のオブジェクトに対して実行する権限や許可を、ユーザーが持っているかどうかを調べる必要があります。

一般に許可は、アクセス制御リスト (ACL) に基づいて判断されます。ACL は、ディレクトリー内のオブジェクトや属性に付加される許可を記述したリストです。ACL には、各ユーザーやグループに対して許可または禁止されているアクセスのタイプがリストされています。ACL をコンパクトにしてより管理しやすくするため、通常、同じアクセス権を持つユーザーはグループにまとめられます。


第 2 章 IBM Tivoli Directory Server

IBM Tivoli Directory には、Internet Engineering Task Force (IETF) LDAP V3 仕様がインプリメントされています。また、IBM により追加された、関数やパフォーマンスに関する機能強化も組み込まれています。本バージョンでは、IBM DB2® をバッキング・ストアとして使用することにより、LDAP 操作単位のトランザクション整合性、パフォーマンスに優れた操作、およびオンラインによるバックアップ/復元機能を提供しています。 IBM Tivoli Directory Server は、 IETF LDAP V3 ベースのクライアントと相互に運用されます。本製品の主要な機能を以下に示します。

v IBM Directory を管理および構成するために使用するグラフィカル・ユーザー・インターフェース (GUI)。このインターフェースの管理/構成機能により、管理者は次のことが可能となります。

– ディレクトリーの初期設定

– 構成パラメーターとオプションの変更

– オブジェクト・クラス、属性、項目などのオブジェクトの追加や編集のような、ディレクトリー運用の日常管理

v 動的拡張可能ディレクトリー・スキーマ。新しい属性やオブジェクト・クラスを定義して、ディレクトリー・スキーマを拡張することが可能です。整合性検査を実施するディレクトリー・スキーマに変更を加えることもできます。ユーザーは、ディレクトリー・サーバーを再始動せずに、スキーマの内容を動的に変更できます。スキーマ自体もディレクトリーの一部であるため、スキーマの更新は、標準 LDAP API を介して行われます。 LDAPv3 動的拡張可能スキーマで提供される主な機能を以下に示します。

– LDAP API を介した照会可能なスキーマ情報

– LDAP API を介した動的なスキーマ変更

– サーバーのルート DSE

v UTF-8 (Universal Character Set Transformation Format)。IBM Tivoli Directory

Server は複数言語のデータをサポートしており、ネイティブ言語コード・ページで情報を保管、検索、および管理することが可能です。

v Simple Authentication and Security Layer (SASL)。このサポートは、追加の認証機構として提供されます。セキュア・ソケット・レイヤー (SSL) では、データの暗号化と X.509v3 公開鍵証明書を使用した認証を行うことができます。サーバーは、SSL サポートをオンまたはオフにして実行するように構成できます。

v 複製。ディレクトリーの読み取り専用コピーを追加の作成を可能にする複製がサポートされています。複製を行うと、ディレクトリー・サービスのパフォーマンスと信頼性が向上します。複製トポロジーでは、転送サーバーとゲートウェイ・サーバーもサポートされます。

v 参照。LDAP 参照のサポートにより、複数の LDAP サーバーにディレクトリーを分散できます (1 つのサーバーには、ディレクトリーの全データの一部のみが含まれます)。

v アクセス制御モデル。強力で管理しやすいアクセス制御モデルが ACL を介してサポートされます。


v 変更ログ

v パスワード・ポリシー

v セキュリティー監査ログ

v LDAP API を介した動的な構成変更


第 3 章識別名 (DN)

ディレクトリー内のすべての項目には、識別名 (DN) が付いています。DN は、ディレクトリー内の項目を一意に識別するための名前です。例えば、DN はattribute=value の組をコンマで区切ったものから構成されます。

cn=Ben Gray,ou=editing,o=New York Times,c=UScn=Lucille White,ou=editing,o=New York Times,c=UScn=Tom Brown,ou=reporting,o=New York Times,c=US

ディレクトリー・スキーマ内に定義された属性はいずれも、DN を構成するために使用することができます。コンポーネントの属性と値のペアの順序は重要です。DN

は、ルートを基点として、項目が存在するレベルまでの各ディレクトリー階層レベルごとに、1 つのコンポーネントを含みます。LDAP DN は、最も特定的な属性(通常、ある種の名前) から始まります。その後属性は徐々に広範になり、最後は一般に国属性で終わります。DN の先頭のコンポーネントは、相対識別名 (RDN) と呼ばれます。RDN は項目を、同じ親を持つ他の項目と明確に区別します。上記の例では、RDN ″cn=Ben Gray″ によって、1 番目の項目を 2 番目の項目 (RDN

″cn=Lucille White″ を持つ) と区別しています。これら 2 つの DN は、それ以外は同じものです。項目の RDN を構成している属性と値のペアは、その項目の中にも存在している必要があります (これは、DN のその他のコンポーネントには当てはまりません。)

識別名の構文このサーバーでサポートされる識別名 (DN) の構文は、RFC 2253 に基づいています。バッカス正規形式 (BNF) の構文は、以下のように定義されます。

<name> ::= <name-component> ( <spaced-separator> )| <name-component> <spaced-separator> <name>

<spaced-separator> ::= <optional-space><separator><optional-space>

<separator> ::= "," | ";"

<optional-space> ::= ( <CR> ) *( " " )

<name-component> ::= <attribute>| <attribute> <optional-space> "+"

<optional-space> <name-component>

<attribute> ::= <string>| <key> <optional-space> "=" <optional-space> <string>

<key> ::= 1*( <keychar> ) | "OID." <oid> | "oid." <oid><keychar> ::= letters, numbers, and space

<oid> ::= <digitstring> | <digitstring> "." <oid><digitstring> ::= 1*<digit><digit> ::= digits 0-9

<string> ::= *( <stringchar> | <pair> )| ’"’ *( <stringchar> | <special> | <pair> ) ’"’


| "#" <hex>

<special> ::= "," | "=" | <CR> | "+" | "<" | ">"| "#" | ";"

<pair> ::= "¥" ( <special> | "¥" | ’"’)<stringchar> ::= any character except <special> or "¥" or ’"’

<hex> ::= 2*<hexchar><hexchar> ::= 0-9, a-f, A-F

識別名内の RDN を区切るために、セミコロン (;) 文字を使用することができますが、通常の表記では、コンマ (,) 文字が使用されます。

コンマまたはセミコロンの両側に、空白文字 (スペース) を付けることができます。空白文字は無視されます。また、セミコロンはコンマで置き換えられます。

’+’ または ’=’ の前後には、スペース (’ ’ ASCII 32) 文字を付けることができます。これらの空白文字は、構文解析のときには無視されます。

値は二重引用符 (’″’ ACSII 34) 文字で囲まれますが、二重引用符は値の一部ではありません。引用符に囲まれた値の内部では、以下の文字を指定することができます(これらの文字は、エスケープ文字とは解釈されません)。

v ストリングの先頭のスペース文字または ″#″ 文字

v ストリングの最後のスペース文字

v ″’″、″=″、″+″、″¥″、″<″、″>″、または ″;″ のいずれかの文字

もう 1 つの方法としてエスケープされる単一文字の先頭には、バックスラッシュまたは円記号 (’¥’ ASCII 92) を付けることができます。この方法を使用すると、上にリストされた文字、および二重引用符 (’″’ ASCII 34) 文字をエスケープすることができます。

この表記は、名前の共通形式に対して便利なように設計されています。以下の例は、この表記を使用して記述した識別名です。先頭は、3 つのコンポーネントを含む名前です。これらのコンポーネントの先頭は、複数値の RDN です。複数値のRDN には、複数の属性と値のペアが含まれています。複数値の RDN を使用すると、単純 CN 値が不明確な場合に、特定の項目を明確に識別することができます。

OU=Sales+CN=J. Smith,O=Widget Inc.,C=US

DN エスケープ規則DN には、特殊文字を含めることができます。DN に含めることができる特殊文字は、, (コンマ)、= (等号)、+ (正符号)、< (より小さい)、> (より大きい)、# (番号記号)、; (セミコロン)、¥ (バックスラッシュ) または ¥ (円記号)、および “” ( 引用符) です。

これらの特殊文字やその他の文字を DN ストリングの属性値の中でエスケープするには、以下の方法を使用します。


v エスケープする文字が特殊文字の 1 つである場合は、その前にバックスラッシュまたは円記号 (’¥’ ASCII 92) を付けます。以下の例は、組織名のコンマをエスケープする方法を示しています。

CN=L. Eagle,O=Sue¥, Grabbit and Runn,C=GB

これは、よく使用される方法です。

v エスケープする文字をバックスラッシュまたは円記号と、その文字のコードを形成する単一バイトに該当する 2 桁の 16 進数で置き換えます。文字コードは、UTF-8 コード・セットのものを使用する必要があります。

CN=L. Eagle,O=Sue¥2C Grabbit and Runn,C=GB

v 属性値全体を “” (引用符) (ASCII 34) で囲みます。引用符は値の一部とは見なされません。 ¥ (バックスラッシュ) または ¥ (円記号) を除き、引用符で囲まれた文字はすべてそのまま処理されます。¥ (バックスラッシュ) または ¥ (円記号)

を使用すると、文字をエスケープできます。エスケープできる文字は、バックスラッシュまたは円記号 (ASCII 92)、引用符 (ASCII 34)、前述した特殊文字、手順2 で説明した 16 進数のペアです。例えば、cn=xyz"qrs"abc の引用符をエスケープするには、cn=xyz¥"qrs¥"abc のように指定します。¥ をエスケープするには、以下の例のように指定します。

"you need to escape a single backslash this way ¥¥"

"¥Zoo" は正しくありません。このコンテキストでは、’Z’ をエスケープできないからです。

この形式の DN をサーバー・エンドで受け取ると、サーバーは、1 番と 2 番のエスケープ・メカニズムで DN を再フォーマットして、内部処理を行います。

拡張された DN の処理一般に DN の複合 RDN は、‘+’ 演算子で結合された複数のコンポーネントからなります。サーバーでは、そのような DN を持つ項目の検索サポートが強化されています。複合 RDN は、検索操作のベースとして、任意の順序で指定できます。

ldapsearch cn=mike+ou=austin,o=ibm,c=us

サーバーは、DN 正規化の拡張操作を受け入れます。DN 正規化の拡張操作は、サーバー・スキーマを使用して DN を正規化します。この拡張操作は、DN を使用するアプリケーションに役立つ場合があります。詳細については、IBM Tivoli

Directory Server Version 5.2 C-client Programming Reference を参照してください。

第 3 章識別名 (DN) 9


第 2 部サーバー管理



第 4 章ディレクトリー管理デーモン

ディレクトリー管理デーモン (ibmdiradm) により、IBM Tivoli Directory Server のリモートの管理が可能になります。これは、IBM Tivoli Directory Server をインストールしたマシンにインストールし、常時実行していなければなりません。ディレクトリー管理デーモンは、LDAP 拡張操作によって要求を受け入れ、IBM Tivoli

Directory Server の始動、停止、再始動、および状況モニターをサポートします。デフォルトでは、IBM ディレクトリー管理デーモンは、非 SSL 接続の場合はポート3538、SSL 接続の場合はポート 3539 (SSL 接続が使用可能な場合) の 2 つのポートを listen します。

ディレクトリー管理デーモンを始動するには、コマンド・プロンプトからプログラム ibmdiradm を実行します。詳細については、『ディレクトリー管理デーモンの始動』を参照してください。

注: SSL 通信を可能にする場合は、ディレクトリー管理デーモンを停止して再始動しなければ SSL は有効になりません。 77ページの『Web 管理の使用』を参照してください。

ディレクトリー管理デーモンの始動

注: IBM Tivoli Directory Server をインストールすると、管理デーモンはデフォルトで実行されます。

管理デーモンを始動するには、以下のいずれかを実行します。

v UNIX ベースのシステムと Windows ベースのシステムの場合は、以下のコマンドを発行します。

ibmdiradm

v Windows ベースのシステムの場合は、「コントロールパネル」->「サービス」を使用し、「IBM Directory Admin Daemon」を選択し、「開始」をクリックします。

ディレクトリー管理デーモンの停止管理デーモンを停止するには、以下のいずれかの方法を使用します。

v ディレクトリー管理デーモンの管理 DN とパスワードをすでに構成している場合は、 ibmdirctl コマンドを使用して管理デーモンを停止できます。このコマンドは、プラットフォームに固有のものではありません。詳細については、 344ページの『ibmdirctl』を参照してください。

以下のコマンドを発行します。

ibmdirictl -D <adminDN> -w <adminPW> admstop

v UNIX ベースのシステムの場合は、以下のコマンドを発行します。

ps -ef | grep ibmdiradmkill -p <pid obtained by previous command>


v Windows ベースのシステムの場合は、「コントロールパネル」->「サービス」を使用し、「IBM Directory Admin Daemon」を選択し、「停止」をクリックします。


第 5 章構成専用モード

IBM Tivoli Directory Server は、サーバーの構成設定への LDAP アクセスをサポートしています。管理者は、LDAP プロトコルを使用してサーバーの構成を照会したり更新したりできます。この機能によって、リモート管理を使用できます。このアクセスを堅固にし、信頼性を高めるために、サーバーは、データベース・バックエンドの初期化が正常に終了しているかどうかに依存しないようになっています。cn=configuration サフィックスがアクティブな場合のみ、サーバーを構成専用モードで始動することができます。すなわち、構成バックエンドが使用可能な限り、サーバーは LDAP 要求を開始して受け入れます。構成専用モードを使用すると、管理者は、始動時にエラーが発生した場合でも、サーバーへのリモート・アクセスが可能です。

構成専用モードでは、以下の機能がサポートされています。

v 構成ファイルとログ・ファイルへのアクセス

v 監査

v イベント通知

v Kerberos

v SASL

v SSL

構成専用モードでは、以下の機能はサポートされていません。

v データベースへのアクセス

v 変更ログ

v パスワード・ポリシー

v 複製

v スキーマの変更

v トランザクション

構成専用モードの最低要件v 構成ファイルが正しい LDIF 形式になっていなければ、サーバーはファイルを検出して読み取ることができません。

v サーバーは、構成ファイルに従ってスキーマを読み取ってロードできる必要があります。

v サーバーは構成プラグインをロードできる必要があります。

構成専用モードで始動する方法サーバーの始動時に障害が発生した場合に、サーバーを構成専用モードで始動する必要があります。


Web 管理の使用Web 管理ツールを介してサーバーを始動する場合は、「構成専用モード(Configuration only mode)」をチェックしてください。

コマンド行の使用サーバーの始動時に -a または -A を指定します。

ibmslapd -a

または

ibmdirctl -h <hostname> -D <adminDN> -w <adminpw>-p <portnumber>start -- -a

注: 構成専用モードではなく、データベース・バックエンドを使用してサーバーを始動できない場合、 -n または -N オプションを使用すると、サーバーを始動できません。この ibmslapd オプションの詳細については、 344ページの『ibmdirctl』を参照してください。

サーバーが構成専用モードで実行中かどうかを確認する方法サーバーが構成専用モードで実行しているかどうかを確認するには、以下のいずれかの方法を使用します。

Web 管理の使用サーバーが構成専用モードで始動されている場合、停止アイコンと始動アイコンの間にある || アイコンが強調表示されます。

コマンド行の使用属性 ibm-slapdisconfigurationmode のルート DSE の検索を発行します。true に設定されている場合、サーバーは構成専用モードで実行されています。

ldapsearch -s base -b " " objectclass=* ibm-slapdisconfigurationmode


第 6 章 Web 管理ツールのグラフィカル・ユーザー・インターフェース (GUI)

IBM Tivoli Directory Server バージョン 5.2 の Web 管理ツールは、 IBM Tivoli

Directory Server に含まれる組み込み版の IBM WebSphere® Application Server -

Express (WAS) などのアプリケーション・サーバーにインストールされ、コンソールを介して管理されます。コンソールに追加されたサーバーは、Web 管理ツールを通じて管理することができます。各サーバーにツールをインストールする必要はありません。

サーバー管理では、Web 管理ツールがよく使用されます。

管理したいサーバーを対して Web 管理ツールを使用する際は、そのサーバーの構成時に以下のタスクを完了しておく必要があります。

v 所定のサーバーを始動できるように adminDN とパスワードを設定します。

v 構成専用モード以外の状態で所定のサーバーを始動できるようにデータベースを構成します。

v 所定のサーバーをリモートで始動、停止、または再始動できるように、管理デーモンを実行します。

これらのタスクの詳細については、 IBM Tivoli Directory Server インストールと構成のガイドバージョン 5.2、および 13ページの『第 4 章ディレクトリー管理デーモン』を参照してください。

注: Web 管理ツールをインストールしたアプリケーション・サーバーとその他のアプリケーション・サーバーは、別々のポートで実行する必要があります。

Web 管理ツールの始動Web 管理ツールを始動するには、そのツールがインストールされているアプリケーション・サーバーを始動する必要があります。

組み込み版の IBM WebSphere Application Server - Express の場合は、IBM Tivoli

Directory Server をインストールしたディレクトリーに移動し、以下のコマンドを発行します。

UNIX ベースのプラットフォームの場合

<IDSinstalldir>/ldap/appsrv/bin/startServer.sh server1

注: Solaris の場合は opt/ibmldapc/appsrv/bin/startServer.sh server1 です。

Windows ベースのプラットフォームの場合

<IDSinstalldir>¥ldap¥appsrv¥bin¥startServer.bat server1


コンソールへのログインWeb ブラウザーを開いて、アドレスhttp://localhost:9080/IDSWebApp/IDSjsp/Login.jsp を入力します。「IBM Tivoli

Directory Server Web 管理ログイン・ページ」パネルが表示されます。

注: Web 管理ツールがインストールされているのとは異なるマシン上のブラウザーにログオンした場合、 localhost は、ホスト名または IP アドレスになります。

コンソール管理者としてのコンソールへのログオンコンソール管理者としてログオンするには、以下の手順を実行します。

1. 「IBM Tivoli Directory Server Web 管理ログイン・ページ」で、「コンソール管理」としてログインします。これは、「LDAP ホスト名」フィールドのデフォルトの選択項目です。

2. 「ユーザー名」フィールドに superadmin と入力します。

3. 「パスワード」フィールドに secret と入力します。

4. 「ログイン」をクリックします。

「IBM Tivoli Directory Server Web 管理ツール」コンソールが表示されます。

サーバー管理者としてのコンソールへのログオンサーバー管理者としてログオンするには、以下の手順を実行します。

v 「IBM Tivoli Directory Server Web 管理ログイン・ページ」で、マシンの LDAP

ホスト名または IP アドレスをドロップダウン・メニューから選択します。

v そのサーバーの admin DN とパスワードを入力します (これらは、サーバー構成時に設定したものです)。

v 「ログイン」をクリックします。

「IBM Tivoli Directory Server Web 管理ツール」コンソールが、各種のサーバー管理タスクとともに表示されます。サーバー管理タスクは、サーバーの機能によって異なります。

注: Web 管理ツールでは、複製サプライヤー信任状を使用した任意のサーバーへのログオンはサポートされません。

管理グループのメンバーまたは LDAP ユーザーとしてのコンソールへのログオン

管理グループのメンバー ( 42ページの『管理グループの作成』を参照)、またはLDAP ユーザーとしてログオンするには、以下の手順を実行します。

v 「IBM Tivoli Directory Server Web 管理ログイン・ページ」で、マシンの LDAP

ホスト名または IP アドレスをドロップダウン・メニューから選択します。

v そのサーバーのユーザー名 (DN 形式) とパスワードを入力します。


「IBM Tivoli Directory Server Web 管理ツール」コンソールが、各種のサーバー管理タスクとともに表示されます。サーバー管理タスクは、ユーザーの権限やサーバーの機能によって異なります。


注: Web 管理ツールでは、複製サプライヤー信任状を使用した任意のサーバーへのログオンはサポートされません。

コンソールのレイアウト「IBM Tivoli Directory Server Web 管理ツール」コンソールは、次の 5 つの領域から構成されます。

バナー・エリアパネルの一番上にあるバナー・エリアには、アプリケーション名「IBM

Tivoli Directory Server Web 管理ツール」および IBM のロゴが表示されます。

ナビゲーション領域ナビゲーション領域はパネルの左側にあります。ここには、各種のコンソールまたはサーバー・タスクのカテゴリーが展開可能な形式で表示されます。表示されるタスクは、ユーザーの権限やログオンしているサーバーの機能によって異なります。

作業域作業域には、ナビゲーション領域で選択されたタスクに関連するタスクが表示されます。例えば、ナビゲーション領域で「サーバー・セキュリティーの管理 (Managing server security)」を選択した場合、作業域には「サーバー・セキュリティー (Server Security)」ページと、サーバー・セキュリティーのセットアップに関連したタスクを含むタブが表示されます。

サーバー・ステータス域

注: コンソール管理者としてログオンしている場合、この領域には「コンソール管理者」が表示され、タスク関連ヘルプの目次にリンクするアイコンが用意されています。

サーバー・ステータス域は作業域の上部にあります。ここには、管理されているサーバーの状況や名前が表示されます。サーバー・ステータス域には 2

つのアイコン・リンクもあります。1 つは始動/停止/再始動プロシージャーへのリンク、もう 1 つは一般ヘルプ情報へのリンクです。ナビゲーション領域からタスクを選択すると、選択したタスクの名前、エラー・ログ・ファイルへのリンク、およびタスク・ヘルプへのリンクも表示されます。

タスク・ステータス域タスク・ステータス域は作業域の下にあります。ここには、現在のタスクの状況が表示されます。

コンソールのログオフコンソールからログオフするには、ナビゲーション領域の「ログアウト」をクリックします。

「ログアウトの正常終了」パネルに次のようなメッセージが表示されます。

If you have been accidentally logged out then you will need to re-loginby clicking here.

このメッセージ内の here をクリックすると、「IBM Tivoli Directory Server Web

管理ログイン・ページ」に戻ります。

第 6 章 Web 管理ツールのグラフィカル・ユーザー・インターフェース (GUI) 19


第 7 章コンソールの設定

アプリケーション・サーバーを始動したら、ディレクトリー・サーバーを管理するコンソールの設定が必要です。「IBM Tivoli Directory Server Web 管理ログイン・ページ」からコンソール管理者としてログインし、以下のタスクを実行します。

コンソールの管理「IBM Tivoli Directory Server Web 管理ツール」コンソールで、以下のタスクを実行します。

コンソール管理者ログインの変更superadmin を別の管理者 ID に変更するには、以下の手順を実行します。

1. ナビゲーション領域で「コンソール管理」を展開します。

2. 「コンソール管理者ログインの変更」をクリックします。

3. 新しい管理者 ID を入力します。

注: 指定できる管理者 ID は 1 つのみです。指定した新しい ID で superadmin

ID が置き換えられます。

4. 現在の管理者パスワードを入力します。パスワード (secret) は、変更するまでは新しい管理者 ID のパスワードと同じです。

コンソール管理パスワードの変更管理者パスワード secret を変更するには、以下の手順を実行します。


2. 「コンソール管理者パスワードの変更」をクリックします。

3. 現在のパスワードを入力します。

4. 新しいパスワードを入力します。

5. タイプミスがないことを確認するために、新しいパスワードをもう一度入力します。

6. 「OK」をクリックします。

コンソールでのサーバーの追加、変更、および除去コンソールでサーバーを追加、編集、または削除するには、以下の手順を使用します。

コンソールへのサーバーの追加コンソールにサーバーを追加するには、以下の手順を実行します。


2. 「コンソール・サーバーの管理」をクリックします。サーバー・ホスト名およびポート番号をリストした表が表示されます。

3. 「追加」をクリックします。


4. サーバーのホスト名アドレスまたは IP アドレスを入力します。

(例: servername.austin.ibm.com)

5. ポート番号を指定するか、またはデフォルトを受け入れます。

6. サーバーが SSL に対応しているかどうかを指定します。『コンソール・プロパティーの管理』のステップ 5 (23ページ) を完了します。

7. 変更を適用する場合は「OK」をクリックします。変更を行わずにパネルを終了する場合は「キャンセル」をクリックします。

コンソールでのサーバーの変更サーバーのポート番号または SSL の対応状況を変更するには、以下の手順を実行します。


2. 「コンソール・サーバーの管理」をクリックします。サーバー・ホスト名とポート番号のリストが表示されます。

3. 変更するサーバーの横のラジオ・ボタンを選択します。

4. 「編集」をクリックします。

5. ポート番号を変更できます。

6. サーバーが SSL に対応しているかどうかを変更できます。 SSL を使用可能にしている場合は、『コンソール・プロパティーの管理』のステップ 5 (23ページ)

を完了します。

7. 変更を適用する場合は「OK」をクリックします。変更を行わずにパネルを終了する場合は「キャンセル」をクリックします。

コンソールからのサーバーの除去コンソールからサーバーを除去するには、以下の手順を実行します。


2. 「コンソール・サーバーの管理」をクリックします。サーバー・ホスト名とポート番号のリストが表示されます。

3. 除去するサーバーの横のラジオ・ボタンを選択します。

4. 「削除」をクリックします。

5. サーバーを削除する場合は「OK」をクリックします。変更を行わずにパネルを終了する場合は「キャンセル」をクリックします。

コンソール・プロパティーの管理コンソール・プロパティーの設定を変更するには、以下の手順を実行します。


2. 「コンソール・プロパティーの管理」をクリックします。

3. 「コンポーネント管理」をクリックし、コンソール内のすべてのサーバーで使用可能にするコンポーネントを指定します。デフォルトでは、すべてのコンポーネントが使用可能です。

注: ユーザーが適切なサーバー権限を持っていなかったり、必要な機能がサーバーに備わっていない場合、管理コンポーネントやそのタスクの一部は、たとえ使用可能であっても表示されません。


4. 「セッション・プロパティー」をクリックし、コンソール・セッションのタイムアウト制限を設定します。デフォルトの設定は 60 分です。

注: セッションは、設定した時間が経過してから 3 分から 5 分間有効である場合があります。これは、タイマー間隔に作用するアプリケーション・サーバーのバックグラウンド・スレッドによってセッションの無効化が実行されるためです。このタイマー間隔によってセッションのタイムアウト期間が延長されます。

5. 「SSL 鍵データベース」をクリックし、必要に応じて、セキュア・ソケット・レイヤー (SSL) 経由で他の LDAP サーバーと通信できるようにコンソールをセットアップします。鍵データベースのパスとファイル名、鍵パスワード、トラステッド・データベースのパスとファイル名、トラステッド・パスワードを、該当するフィールドに設定します。サポートされるファイル・タイプは jks です。鍵データベースと SSL の詳細については、 87ページの『gsk7ikm の使用』および80ページの『セキュア・ソケット・レイヤー』を参照してください。

コンソールのセットアップが完了したら、「ログアウト」をクリックして終了します。

第 7 章コンソールの設定 23


第 8 章基本的なサーバー管理タスク

注: 特に断りのない限り、以下のタスクを実行できるのは、ディレクトリー管理者または管理者グループのメンバーです。

v 『Web 管理ツールへのログオン』

v 『管理者の識別名およびパスワードの変更』

v 26ページの『サーバーの始動と停止』

v 27ページの『サーバー状況の検査』

v 38ページの『サーバー接続の管理』

v 39ページの『接続プロパティーの管理』

v 42ページの『管理グループの作成』

v 47ページの『固有属性の管理』

Web 管理ツールへのログオンディレクトリー管理者または管理グループのメンバーとしてログオンするには、以下の手順を実行します。

v 「IBM Tivoli Directory Server Web 管理ログイン・ページ」で、サーバーのLDAP ホスト名または IP アドレスをドロップダウン・メニューから選択します。

v そのサーバーの管理 DN とパスワードを入力します。


管理者の識別名およびパスワードの変更このタスクは、ディレクトリー管理者のみが実行できます。

通常、管理者の名前とパスワードは、サーバーのインストールおよび構成時に設定されます。ただし、Web 管理ツールやコマンド行でも、管理者の名前とパスワードを変更できます。

Web 管理の使用Web 管理ツールのナビゲーション領域で「ユーザー・プロパティー」をクリックします。2 つの選択肢が表示されます。

管理者ログインの変更フィールドに新しい管理者 DN を指定して、現在のパスワードを入力します。「OK」をクリックします。変更を行わずに「ようこそ」パネルに戻る場合は「キャンセル」をクリックします。

注: この選択項目は、ディレクトリー管理者としてログインしている場合にのみ使用可能です。ユーザーまたは管理グループのメンバーとしてログインしている場合は使用できません。


パスワードの変更現在のログイン DN のパスワードを変更するには、「現在のパスワード」フィールドに現在のパスワードを入力します。さらに新しいパスワードを「新規パスワード」フィールドに入力し、同じパスワードを「新規パスワードの確認」フィールドに再度入力し、「OK」をクリックします。変更を行わずに「ようこそ」パネルに戻るには、「キャンセル」をクリックします。

コマンド行の使用コマンド行から ldapcfg コマンドまたは ldapxcfg ユーティリティーを使用できます。

ldapcfg コマンドは、以下のように使用します。

ldapcfg -u <admindn> -p <adminPW>

ldapxcfg ユーティリティーを使用するには、コマンド行で ldapxcfg を入力します。「IBM Tivoli Directory Server Configuration Tool」パネルが表示されたら、「管理者 DN/パスワード」を選択し、指示に従います。ldapxcfg ユーティリティーの使用については、IBM Tivoli Directory Server インストールと構成のガイドバージョン 5.2 を参照してください。

識別名についての詳細は、 7ページの『第 3 章識別名 (DN)』を参照してください。

サーバーの始動と停止サーバーを始動または停止するには、以下のいずれかの方法を使用できます。

Web 管理の使用

注: 管理デーモン (ibmdiradm) を実行しておく必要があります。

サーバーの現在の状況 (始動しているか、停止しているか、構成モードで始動しているか) は、サーバー・ステータス域の左上隅にアイコンで示されます。現在の状況は、作業域の最初の文にも示されます。例を以下に示します。

The Directory Server is currently running

1. Web 管理ナビゲーション領域の「サーバー管理」をまだクリックしていない場合は、それをクリックしてから、展開されたリストの「サーバーの始動/停止/再始動」をクリックします。

2. メッセージ領域には、サーバーの現在の状態 (停止、実行中、構成専用モードで実行中) が表示されます。サーバーの状態 (実行中または停止) に応じて、サーバーの状態を変更できるボタンが使用可能になります。

表 1. サーバーの状況と使用可能なアクション

サーバーのステータス使用可能なボタン

停止中始動、閉じる

実行中停止、再始動、閉じる

構成専用モードで実行中 (Running in

configuration only mode)

停止、再始動、閉じる


v サーバーが実行中の場合、「停止」をクリックするとサーバーが停止し、「再始動」をクリックすると、サーバーが停止してから始動します。

v サーバーが停止中の場合、「始動」をクリックすると、サーバーが始動します。

v 「閉じる」をクリックすると、「概要」パネルに戻ります。

3. サーバーが正常に始動または停止すると、メッセージが表示されます。

サーバー構成保守を実行する必要がある場合は、「構成専用モードで始動/再始動」チェック・ボックスを選択します。このモードでは、システム管理者のみがサーバーにバインドできます。他の接続は、DB2 バックエンドを使用可能にして (「構成専用モードで始動/再始動」チェック・ボックスを選択解除して) サーバーを再始動するまで、すべて拒否されます。詳細については、 15ページの『第 5 章構成専用モード』を参照してください。

注: 構成保守はサーバーの実行中に行えます。

コマンド行または Windows の「サービス」アイコンの使用サーバーを始動または停止するには、以下のコマンドを使用します。

注: 管理デーモン (ibmdiradm) を実行しておく必要があります。

ibmdirctl [-h <hostname>] [-D <adminDN>] [-w <password>] [-p <portnumber>]start|stop|restart|status -- [ibmslapd options]

詳細については、 344ページの『ibmdirctl』を参照してください。

Windows システムの場合は、前のコマンドを使用するか、以下の手順を実行します。

1. デスクトップから、「マイコンピュータ」アイコンをダブルクリックします。

2. 「コントロールパネル」アイコンをダブルクリックします。

3. 「サービス」アイコンをダブルクリックします。

4. サーバーを始動するには、「IBM Tivoli Directory V5.2」を選択して「始動」をクリックします。

5. サーバーを停止するには、「IBM Tivoli Directory V5.2」を選択して「停止」をクリックします。

サーバー状況の検査cn=monitor でオブジェクト・クラスを検索することによって、サーバーの状況を検査できます。これを実行するには、以下のいずれかの方法を使用します。

Web 管理の使用ナビゲーション領域で「サーバー管理」カテゴリーを展開します。「サーバー・ステータスの表示」をクリックします。このパネルには、9 つのタブがあります。このパネルの下部で、「再表示」ボタンをクリックすると、現在のタブに表示されているステータスが更新されます。「閉じる」をクリックすると、IBM Tivoli

Directory Server の「ようこそ」パネルに戻ります。ディレクトリー・サーバーが実行中であれば、以下の情報が表示されます。

第 8 章基本的なサーバー管理タスク 27

一般以下の情報を表示するには、「一般」タブをクリックします。

ホスト名LDAP サーバーのホスト名。

サーバーのステータスサーバーは「実行中」、「停止」、または「構成専用モードを実行中(Running configuration only mode)」のいずれかです。サーバー・ステータス域の左隅に表示される 3 つのアイコンによって、サーバーの状況をいつでも判別できます。

開始時刻サーバーを始動した時刻。開始時刻は、以下の形式で示されます。

year-month-day hour:minutes:seconds GMT

現在時刻サーバーの現在の時刻。現在時刻は、以下の形式で示されます。


合計スレッドサーバーで使用されているワーカー・スレッドの数。

書き込み時ブロックされたスレッドの合計クライアントに送信データを戻すスレッドの数。

読み取り時ブロックされたスレッドの合計クライアントからデータを読み取るスレッドの数。

接続数現在アクティブな接続の数。

合計接続サーバーが始動した後の接続の合計数。

SSL 接続の総数サーバーが始動した後の SSL 接続の合計数。

TLS 接続の総数サーバーが始動した後の TLS 接続の合計数。

送信された項目数サーバーが始動した後にサーバーにより送信された項目の数。

使用している項目キャッシュのパーセンテージ現在使用中の項目キャッシュのパーセント。この値は構成専用モードでは表示されません。

使用している検索フィルター・キャッシュのパーセンテージ現在使用中の検索フィルター・キャッシュのパーセント。この値は構成専用モードでは表示されません。

ACL キャッシュACL キャッシュがアクティブ (TRUE) か非アクティブ (FALSE) かを示すブール値。この値は構成専用モードでは表示されません。

最大 ACL キャッシュ・サイズACL キャッシュで許可されている項目の最大数。この値は構成専用モードでは表示されません。


別名の参照解除のバイパス別名処理をバイパスできるかどうかを指定するサーバー実行時の値。ディレクトリーに別名オブジェクトが存在しない場合は true が表示され、ディレクトリーに 1 つ以上の別名オブジェクトが存在する場合は false が表示されます。

操作カウント以下の情報を表示するには、「操作カウント」をクリックします。

要求された操作数サーバーが始動した後に開始された要求の数。

完了した操作数サーバーが始動した後に完了した要求の数。

要求された検索操作の数サーバーが始動した後に開始された検索の数。

完了した検索操作の数サーバーが始動した後に完了した検索の数。

要求されたバインド操作の数サーバー始動後のバインド要求の数。

完了したバインド操作の数サーバーが始動した後に完了したバインド要求の数。

要求されたアンバインド操作の数サーバー始動後の削除要求の数。

完了したアンバインド操作の数サーバー始動後に完了した削除要求の数。

要求された追加操作の数サーバー始動後の追加要求の数。

完了した追加操作の数サーバーが始動した後に完了した追加要求の数。

要求された削除操作の数サーバー始動後の削除要求の数。

完了した削除操作の数サーバー始動後に完了した削除要求の数。

要求された RDN 変更操作の数サーバー始動後の RDN 変更要求の数。

完了した RDN 変更操作の数サーバーが始動した後に完了した RDN 変更要求の数。

要求された変更操作の数サーバー始動後の変更要求の数。

完了した変更操作の数サーバーが始動した後に完了した変更要求の数。

要求された比較操作の数サーバー始動後の比較要求の数。


完了した比較操作の数サーバーが始動した後に完了した比較要求の数。

要求された中止操作の数サーバー始動後の中止要求の数。

完了した中止操作の数サーバーが始動した後に完了した中止要求の数。

要求された拡張操作の数サーバー始動後の拡張要求の数。

完了した拡張操作の数サーバーが始動した後に完了した拡張要求の数。

要求された不明操作の数サーバー始動後の不明要求の数。

完了した不明操作の数サーバーが始動した後に完了した不明要求の数。

作業キュー以下の情報を表示するには、「作業キュー」をクリックします。

使用可能なワーカー・スレッドの数作業に振り向けることができるワーカー・スレッドの数。

作業キューの深さ作業キューの現在のサイズ。

作業キューの最大サイズ作業キューがこれまでに到達した最大のサイズ。

自動接続クリーナーで閉じられた接続の数自動接続クリーナーによって閉じられたアイドル状態接続の数。

自動接続クリーナーが実行された回数自動接続クリーナーが実行された回数。

現在アクティブな緊急スレッド緊急スレッドが実行されているかどうかを示すインディケーター。

緊急スレッドが活動化された回数緊急スレッドが活動化された回数。

緊急スレッドが最後に活動化された時刻緊急スレッドが最後に活動化された時刻。

ワーカー・ステータスの表示現在活動状態にあるワーカー・スレッドの情報を表示するには、「ワーカー・ステータスの表示」をクリックします。この情報は、サーバーのパフォーマンスが予想通りではないか、不十分な場合に役立ちます。この検索を実行すると、完了するまでサーバーのアクティビティーはすべて中断されます。この影響に対する警告が表示され、この操作が完了するまでの時間は接続数および活動状態のワーカー・スレッドの数に依存することが説明されます。情報を表示するには、「はい」をクリックします。


ディレクトリー・キャッシュ属性以下の情報を表示するには、「ディレクトリー・キャッシュ属性」をクリックします。先頭から 3 つ目までのステータス項目が表形式で表示されます。

表 2. ディレクトリー・キャッシュ属性の表

属性キャッシュ・ヒットの数キャッシュ・サイズ

属性属性の名前。

キャッシュ・ヒットの数属性フィルターがキャッシュに格納された後で使用された回数。

キャッシュ・サイズ属性によって使用されるメモリーのサイズ。

キャッシュ対象属性の合計サイズ (キロバイト)キャッシュによる使用の対象となるメモリーのサイズ。

注: この数値には、個々の属性に対しては要求されない、キャッシュの管理に使用する追加メモリーのサイズも含まれます。したがって、この合計値は個々の属性のメモリー使用量の合計よりも大きくなります。

キャッシュ対象属性の構成済みサイズこのキャッシュに割り当てられているメモリーの最大サイズ (バイト)。詳細については、 73ページの『属性キャッシュに対する属性の追加および除去』を参照してください。

ディレクトリー・キャッシュ候補これは、キャッシュに格納されていない属性のうち、最も頻繁に使用されている上位 10 個の属性を表形式で示したリストです。これらの属性の使用頻度が多すぎる場合は、これらを属性キャッシュに追加することもできます。

表 3. ディレクトリー・キャッシュ候補の表

属性ヒットの数


ヒットの数属性フィルターが使用された回数。

変更ログ・キャッシュ属性以下の情報を表示するには、「変更ログ・キャッシュ」属性をクリックします。先頭から 3 つ目までのステータス項目が表形式で表示されます。

表 4. 変更ログ・キャッシュ属性の表



表 4. 変更ログ・キャッシュ属性の表 (続き)



キャッシュ・ヒットの数属性フィルターがキャッシュに格納された後で使用された回数。

キャッシュ・サイズ属性によって使用されるメモリーのサイズ。

キャッシュ対象属性の合計サイズ (キロバイト)キャッシュによる使用の対象となるメモリーのサイズ。

注: この数値には、個々の属性に対しては要求されない、キャッシュの管理に使用する追加メモリーのサイズも含まれます。したがって、この合計値は個々の属性のメモリー使用量の合計よりも大きくなります。

キャッシュ対象属性の構成済みサイズこのキャッシュに割り当てられているメモリーのサイズ。手順については、73ページの『属性キャッシュに対する属性の追加および除去』を参照してください。

変更ログ・キャッシュ候補これは、キャッシュに格納されていない属性のうち、最も頻繁に使用されている上位 10 個の属性を表形式で示したリストです。これらの属性の使用頻度が多すぎる場合は、これらを属性キャッシュに追加することもできます。

表 5. 変更ログ・キャッシュ候補の表

属性ヒットの数


ヒットの数属性フィルターが使用された回数。

トレースおよびログ以下の情報を表示するには、「トレースおよびログ」をクリックします。

使用可能なトレースサーバーに対する現在のトレース値。トレース・データを収集する場合はTRUE、収集しない場合は FALSE となります。トレース機能の使用可能化および始動については、 353ページの『ldaptrace』を参照してください。

トレース・メッセージ・レベルサーバーに対する現在の ldap_debug 値。値は 16 進数形式です。例を以下に示します。

0x0=00xffff=65535


トレース・メッセージ・ログトレース出力が入るファイルの名前。

注: 値が stderr の場合は、LDAP サーバーを始動したコマンド・ウィンドウに出力が表示されます。コマンド行からサーバーを始動していない場合、データは表示されません。

サーバー・ログに追加されたメッセージの数サーバーの始動後に記録されたエラー・メッセージの数。

CLI エラー・ログに追加されたメッセージの数 (Number of messages added toCLI error log)

サーバーの始動後に記録された DB2 エラー・メッセージの数。

監査ログに追加されたメッセージの数サーバーの始動後に監査ログによって記録されたメッセージの数。

監査ログに追加されたエラー・メッセージの数監査ログによって記録された失敗操作メッセージの数。

コマンド行の使用コマンド行を使用してサーバー・ステータスを確認するには、 ldapsearch コマンドを使用して、ベース cn=monitor および cn=worker,cn=monitor を取得します。

cn=monitorldapsearch -h <servername> -p <portnumber> -b cn=monitor -s base objectclass=*

このコマンドは、以下の情報を戻します。

cn=monitor

version=IBM Tivoli Directory (SSL), Version 5.2

totalconnectionsサーバーが始動した後の接続の合計数。

total_ssl_connectionsサーバーが始動した後の SSL 接続の合計数。

total_tls_connectionsサーバーが始動した後の TLS 接続の合計数。

currentconnectionsアクティブな接続の数。

maxconnections許可されているアクティブな接続の最大数。

writewaitersクライアントに送信データを戻すスレッドの数。

readwaitersクライアントからデータを読み取るスレッドの数。

opsinitiatedサーバーが始動した後の要求の数。


livethreadsサーバーで使用されているワーカー・スレッドの数。

opscompletedサーバーが始動した後に完了した要求の数。

entriessentサーバーが始動した後にサーバーにより送信された項目の数。

searchesrequestedサーバーが始動した後に要求された検索の数。

searchescompletedサーバーが始動した後に完了した検索の数。

bindsrequestedサーバーが始動した後に要求されたバインド操作の数。

bindscompletedサーバーが始動した後に完了したバインド操作の数。

unbindsrequestedサーバーが始動した後に要求されたアンバインド操作の数。

unbindscompletedサーバーが始動した後に完了したアンバインド操作の数。

addsrequestedサーバーが始動した後に要求された追加操作の数。

addscompletedサーバーが始動した後に完了した追加操作の数。

deletesrequestedサーバーが始動した後に要求された削除操作の数。

deletescompletedサーバーが始動した後に完了した削除操作の数。

modrdnsrequestedサーバーが始動した後に要求された RDN 変更操作の数。

modrdnscompletedサーバーが始動した後に完了した RDN 変更操作の数。

modifiesrequestedサーバーが始動した後に要求された変更操作の数。

modifiescompletedサーバーが始動した後に完了した変更操作の数。

comparesrequestedサーバーが始動した後に要求された比較操作の数。

comparescompletedサーバーが始動した後に完了した比較操作の数。

abandonsrequestedサーバーが始動した後に要求された中止操作の数。


abandonscompletedサーバーが始動した後に完了した中止操作の数。

extopsrequestedサーバーが始動した後に要求された拡張操作の数。

extopscompletedサーバーが始動した後に完了した拡張操作の数。

unknownopsrequestedサーバーが始動した後に要求された不明操作の数。

unknownopscompletedサーバーが始動した後に完了した不明操作の数。

slapderrorlog_messagesサーバーの始動後またはリセットの実行後に記録されたサーバー・エラー・メッセージの数。

slapdclierrors_messagesサーバーの始動後またはリセットの実行後に記録された DB2 エラー・メッセージの数。

auditlog_messagesサーバーの始動後またはリセットの実行後に記録された監査メッセージの数。

auditlog_failedop_messagesサーバーの始動後またはリセットの実行後に記録された失敗操作メッセージの数。

filter_cache_sizeキャッシュで許可されているフィルターの最大数。

filter_cache_current現在キャッシュ内にあるフィルターの数。

filter_cache_hitキャッシュ内で見つかったフィルターの数。

filter_cache_missキャッシュ内で見つからなかったフィルターの数。

filter_cache_bypass_limitこの制限より多くの項目を戻す検索フィルターはキャッシュされません。

entry_cache_sizeキャッシュで許可されている項目の最大数。

entry_cache_current現在キャッシュ内にある項目の数。

entry_cache_hitキャッシュ内で見つかった項目の数。

entry_cache_missキャッシュ内で見つからなかった項目の数。


acl_cacheACL キャッシュがアクティブ (TRUE) か非アクティブ (FALSE) かを示すブール値。

acl_cache_sizeACL キャッシュ内の項目の最大数。

cached_attribute_total_sizeディレクトリー属性キャッシュによって使用されるメモリーのサイズ。

cached_attribute_configured_sizeディレクトリー属性キャッシュに割り当てられているメモリーのサイズ。

currenttimeサーバーの現在の時刻。現在時刻は、以下の形式で示されます。


starttimeサーバーを始動した時刻。開始時刻は、以下の形式で示されます。


trace_enabledサーバーに対する現在のトレース値。トレース・データを収集する場合はTRUE、収集しない場合は FALSE となります。トレース機能の使用可能化および始動については、 353ページの『ldaptrace』を参照してください。

trace_message_levelサーバーに対する現在の ldap_debug 値。値は 16 進数形式です。例を以下に示します。

0x0=00xffff=65535

trace_message_logサーバーに対する現在の LDAP_DEBUG_FILE 環境変数設定。

en_currentregsイベント通知のクライアント登録の現在の数。

en_notificationssentサーバーが始動した後にクライアントに送信されたイベント通知の合計数。

bypass_deref_aliases別名処理をバイパスできるかどうかを指定するサーバー実行時の値。ディレクトリーに別名オブジェクトが存在しない場合は true が表示され、ディレクトリーに 1 つ以上の別名オブジェクトが存在する場合は false が表示されます。

available_workers作業に振り向けることができるワーカー・スレッドの数。

current_workqueue_size作業キューの現在の深さ。

largest_workqueue_size作業キューがこれまでに到達した最大のサイズ。

idle_connections_closed自動接続クリーナーによって閉じられたアイドル状態接続の数。


auto_connection_cleaner_run自動接続クリーナーが実行された回数。

emergency_thread_running緊急スレッドが実行されているかどうかを示すインディケーター。

totaltimes_emergency_thread_run緊急スレッドが活動化された回数。

lasttime_emergency_thread_run緊急スレッドが最後に活動化された時刻。

cn=workers,cn=monitorワーカー・スレッド情報を取得するには、監査を使用可能にし、次のコマンドを発行します。

ldapsearch -D <adminDN> -w <adminpw> -b cn=workers,cn=monitor -s base objectclass=*

このコマンドにより、各アクティブ・ワーカーごとに次のタイプの情報が得られます。

cn=workers,cn=monitor

cn=workers

objectclass=container

cn=thread2640,cn=workers,cn=monitor

threadワーカー・スレッドの数 (例: 2640)。

ldapversionLDAP バージョンのレベル (V1 または V2)。

binddnサーバーのバインドに使用する DN。

clientipクライアントの IP アドレス。

clientportクライアントが使用するポート。

connectionid接続を識別する数値。

received作業要求を受け取った日時。

workrequest受け取った作業要求のタイプと要求に関する追加情報。例えば、要求が検索であった場合は、次の情報も提供されます。

base=cn=workers,cn=monitorscope=baseObjectderefaliases=neverDerefAliasestypesonly=falsefilter=(objectclass=*)attributes=all


サーバー接続の管理サーバーの接続状況を確認するには、以下のいずれかの方法を使用します。

Web 管理の使用ナビゲーション領域で「サーバー管理」カテゴリーを展開します。「サーバー接続の管理」をクリックします。以下の情報を含む表が各接続ごとに表示されます。

DN サーバーへのクライアント接続の DN を指定します。

IP アドレスサーバーに接続するクライアントの IP アドレスを指定します。

開始時刻接続された日時を指定します。

ステータス接続がアクティブかアイドルかを指定します。進行中の操作がある場合は、接続はアクティブと見なされます。

開始した操作接続の確立後に要求された操作の数を指定します。

完了した操作接続ごとに完了した操作の数を指定します。

タイプ接続が SSL と TLS のどちらで保護されているのかを指定します。これ以外で保護されている場合、フィールドはブランクになります。

注:

1. この表は、最大 20 個の接続を同時に表示します。

この表を DN または IP アドレスのどちらで表示するのかを指定するには、パネル上部にあるドロップダウン・メニューを展開し、該当する項目を選択します。デフォルトの設定は、DN による表示です。同様に、表の表示順を昇順または降順のいずれかに指定できます。

「再表示」をクリックすると、現在の接続情報が更新されます。

管理者または管理グループのメンバーとしてログオンしている場合は、サーバー接続を切断するためのもう 1 つの選択肢がパネル上に表示されます。このサーバー接続切断機能を利用すると、サービス妨害攻撃を停止してサーバーへのアクセスを制御することができます。接続を切断するには、ドロップダウン・メニューを展開して、DN または IP アドレス、あるいはその両方を選択し、「切断」をクリックします。選択の内容に応じて、次のアクションが実行されます。

表 6. 切断の規則

選択した DN 選択した IP アドレスアクション

<DNvalue> なし指定の DN とバインドしているすべての接続が切断されます。

なし <IPvalue> 指定の IP アドレスを介しているすべての接続が切断されます。


表 6. 切断の規則 (続き)

<DNvalue> <IPvalue> 指定の DN としてバインドし、指定の IP アドレスを介しているすべての接続が切断されます。

なしなしこれは有効な条件ではありません。 DN と IP アドレスのいずれかまたは両方を指定する必要があります。

ドロップダウン・メニューのデフォルト値は、どちらも「なし」です。

この要求を除くすべてのサーバー接続を切断するには、「すべて切断」をクリックします。確認の警告が表示されます。「OK」をクリックして切断アクションを進めるか、または「キャンセル」をクリックしてアクションを終了し、「サーバー接続の管理」パネルに戻ります。

コマンド行の使用サーバーの接続を表示するには、以下のコマンドを発行します。

ldapsearch -D<adminDN> -w <adminPW> -h <servername> -p <portnumber>-b cn=connections,cn=monitor -s base objectclass=*

このコマンドは情報を以下の形式で戻します。

cn=connections,cn=monitorconnection=1632 : 9.41.21.31 : 2002-10-05 19:18:21 GMT : 1 : 1 : CN=ADMIN : :connection=1487 : 127.0.0.1 : 2002-10-05 19:17:01 GMT : 1 : 1 : CN=ADMIN : :

注: 該当する場合は、各接続に SSL または TLS インディケーターが追加されます。

サーバーの接続を終了するには、以下のいずれかのコマンドを発行します。

# To disconnect a specific DN:ldapexop -D<adminDN> -w <adminPW> -op unbind -dn cn=john

# To disconnect a specific IP address:ldapexop -op unbind -ip 9.182.173.43

#To disconnect a specific DN over a specific IP address:ldapexop -op unbind -D cn=john -ip 9.182.173.43

#To disconnect all connections:ldapexop -D<adminDN> -w <adminPW> -op unbind -all

接続の終了の詳細については、 303ページの『ldapexop』を参照してください。

接続プロパティーの管理接続プロパティーの管理機能では、次のようなクライアントの接続を終了することにより、サーバーのロックを防止できます。

v データを低速で送信する、データを部分的に送信する、またはデータを送信しない。

v データ結果を読み取らないか、または低速で結果を読み取る。


v アンバインドしない。

v 匿名でバインドする。

また、この機能を使用すると、長時間実行されるタスクによりバックエンドが使用中になっている場合でも管理者はいつでもサーバーにアクセスすることができます。

Web 管理の使用

注: 以下の選択肢が表示されるのは、この機能をサポートしているサーバーに、管理者または管理グループのメンバーとしてログインしている場合のみです。

ナビゲーション領域で「サーバー管理」カテゴリーを展開します。「接続プロパティーの管理」をクリックします。

1. 「一般」タブを選択します。

2. 「匿名接続の許可」チェック・ボックスがすでに選択されているので、匿名バインドは許可されています。これはデフォルトの設定です。このチェック・ボックスをクリックすると、「匿名接続の許可」機能の選択を解除できます。このアクションにより、サーバーは匿名接続をすべてアンバインドします。

注: 匿名バインドを禁止すると、一部のアプリケーションには障害が発生する場合があります。

3. 匿名接続のクリーンアップを開始するしきい値を設定します。「匿名接続のクリーンアップしきい値」フィールドには、0 から 65535 までの数値を指定できます。

注: 実際の最大数は、プロセスごとに許可されているファイル数によって制限されます。 UNIX システムでは、 ulimit -a コマンドを使用して制限を決定できます。 Windows システムでは、この値は固定されています。

デフォルトの設定は 0 です。匿名接続の数がこの数値を超えると、「アイドル・タイムアウト」フィールドで設定したアイドル・タイムアウトの制限値に基づいて、接続がクリーンアップされます。

4. 認証済み接続のクリーンアップを開始するしきい値を設定します。「認証済み接続のクリーンアップしきい値」フィールドには、0 から 65535 までの数値を指定できます。


デフォルトの設定は 1100 です。認証済み接続の数がこの数値を超えると、「アイドル・タイムアウト」フィールドで設定したアイドル・タイムアウトの制限値に応じて、接続がクリーンアップされます。

5. すべての接続のクリーンアップを開始するしきい値を設定します。「全接続のクリーンアップしきい値」フィールドには、0 から 65535 までの数値を指定できます。



デフォルトの設定は 1200 です。接続数の合計がこの数値を超えると、「アイドル・タイムアウト」フィールドで設定したアイドル・タイムアウトの制限値に応じて、接続がクリーンアップされます。

6. クリーンアップ処理によって接続を閉じるまでのアイドル状態の秒数を設定します。「アイドル・タイムアウト制限」フィールドには、0 から 65535 までの数値を指定できます。


デフォルトの設定は 300 です。クリーンアップ処理が開始されると、この処理に従って、制限値を超える接続がすべて閉じられます。

7. 書き込み試行の後、次の書き込み試行を許可するまでの秒数を設定します。「結果タイムアウト制限」フィールドには、0 ～ 65535 までの数値を指定できます。デフォルトの設定は 120 です。この制限を超えると接続は終了します。

注: これは、 Windows システムにのみ適用されます。30 秒を超えると、接続はオペレーティング・システムによって自動的にドロップされます。したがって、この「結果タイムアウト制限」の設定値は 30 秒が経過するとオペレーティング・システムによってオーバーライドされます。

8. 「緊急スレッド」タブを選択します。

9. 「緊急スレッドの使用可能化」チェック・ボックスはすでに選択されているので、緊急スレッドを活動化できます。これはデフォルトの設定です。このチェック・ボックスをクリックすると、「緊急スレッドの使用可能化」機能の選択を解除できます。このアクションにより、緊急スレッドの活動化を防止できます。

10. 緊急スレッドを活動化する作業要求の制限値を設定します。「未処理要求しきい値」フィールドに 0 から 65535 までの数値を指定して、緊急スレッドを活動化するまでにキュー内部に格納できる作業要求の制限値を設定します。デフォルトは 50 です。指定した制限値を超えると、緊急スレッドが活動化されます。

11. 前回の作業項目をキューから除去した後の経過分数を設定します。作業項目がキューにある場合にこの時間制限を超えると、緊急スレッドが活動化されます。「時間しきい値」フィールドには、0 から 240 までの数値を指定できます。デフォルトの設定は 5 です。

12. ドロップダウン・メニューから、緊急スレッドの活動化に使用する基準を選択します。以下を選択できます。

v 「サイズのみ」: キューの未処理作業項目が指定の値を超えた場合にのみ、緊急スレッドを活動化します。

v 「時間のみ」: 除去された作業項目間の時間が指定の制限値を超えた場合にのみ、緊急スレッドを活動化します。

v 「サイズまたは時間」: キューのサイズまたは時間しきい値のいずれかが指定の値を超えた場合に緊急スレッドを活動化します。

v 「サイズおよび時間」: キューのサイズおよび時間しきい値の両方が指定の値を超えた場合に緊急スレッドを活動化します。

「サイズおよび時間」がデフォルトの設定値です。


13. 上記設定の完了後、終了せずに変更を保管する場合は「適用」、変更を適用して終了する場合は「OK」、変更せずにこのパネルを終了する場合は「キャンセル」をクリックします。

コマンド行の使用コマンド行を使用して同じ操作を実行するには、以下のコマンドを発行します。

ldapmodify -D <adminDN> -w<adminPW> -i<filename>

<filename> には、以下の情報が格納されています。

dn: cn=Connection Management,cn=Front End, cn=Configurationcn: Connection Management

changetype: modifyreplace: ibm-slapdAllowAnonibm-slapdAllowAnon: TRUE-replace: ibm-slapdAnonReapingThresholdibm-slapdAnonReapingThreshold: 0-replace: ibm-slapdBoundReapingThresholdibm-slapdBoundReapingThreshold: 1100-replace: ibm-slapdAllReapingThresholdibm-slapdAllReapingThreshold: 1200-replace: ibm-slapdIdleTimeOutibm-slapdIdleTimeOut: 300-replace: ibm-slapdWriteTimeoutibm-slapdWriteTimeout: 120-replace: ibm-slapdEThreadEnablibm-slapdEThreadEnable: TRUE-replace: ibm-slapdESizeThresholdibm-slapdESizeThreshold: 50-replace: ibm-slapdETimeThresholdibm-slapdETimeThreshold: 5-#ibm-slapdEThreadActivate can be set to S for size only, T for#time only, SOT for size or time, and SAT for size and time.replace: ibm-slapdEThreadActivateibm-slapdEThreadActivate: { S | T | SOT | SAT}

設定を動的に更新するには、以下の ldapexop コマンドを発行します。

ldapexop -D cn=root -w root -op readconfig -scope entire

ldapexop コマンドでは、これらの属性のうち動的に変更可能なもののみが更新されます。他の変更内容を有効にするには、サーバーを停止して再始動する必要があります。動的に更新可能な属性のリストについては、 460ページの『動的に変更される属性』を参照してください。

管理グループの作成管理グループの機能を利用すると、1 つの ID とパスワードを管理者間で共用する必要なく、1 日 24 時間体制の管理機能が提供されます。管理グループのメンバーには、各自に固有の ID およびパスワードが与えられます。管理グループ・メンバーの DN は、互いに異なっている必要があります。IBM Tivoli Directory Server 管


理者の DN とも異なっている必要があります。逆の言い方をすると、IBM Tivoli

Directory Server 管理者の DN は、すべての管理グループ・メンバーの DN と一致しないようにする必要があります。この規則は、IBM Tivoli Directory Server の管理者および管理グループ・メンバーの Kerberos ID または Digest-MD5 ID にも適用されます。これらの DN は、IBM Tivoli Directory Server のいずれの複製サプライヤー DN とも一致しないようにする必要があります。このことは、IBM Tivoli

Directory Server の複製サプライヤー DN は、すべての管理グループ・メンバーのDN および IBM Tivoli Directory Server 管理者の DN のいずれにも一致しないようにする必要があるという意味でもあります。

注: IBM Tivoli Directory Server の複製サプライヤーの DN は、互いに一致してもかまいません。

管理グループのメンバーは、ディレクトリー管理者のすべての能力を持っています。ただし、以下の例外事項があります。

v IBM Tivoli Directory Server の管理者のみが管理グループに対してメンバーを追加または除去できます。さらに、IBM Tivoli Directory Server の管理者のみが管理グループ・メンバーの DN、パスワード、Kerberos ID、または Digest-MD5 ID

を変更できます。管理グループのメンバーは、自分のパスワードを変更できます。ただし、DN、Kerberos ID、または Digest-MD5 ID については自分のものでも変更できません。管理グループのメンバーは、管理グループの他のメンバーやIBM TivoliDirectory Server 管理者のパスワードは参照できません。

v 構成バックエンドに対して cn=Keberos,cn=Configuration やcn=Digest,cn=Configuration という項目を追加または除去できるのは、IBM Tivoli

Directory Server の管理者のみです。管理グループのメンバーは、これらの項目の属性のうち、ディレクトリー管理者の Keberos ID および Digest-MD5 ID を除くすべての属性を変更できます。

v 任意の監査ログ設定を変更または更新できるのは、IBM Tivoli Directory Server

管理者のみです。管理グループのメンバーができることは、監査ログと監査ログ設定の表示のみです。

v 監査ログを消去できるのは、IBM Tivoli Directory Server 管理者のみです。

管理グループの使用可能化および使用不可化この操作を実行するには、IBM Tivoli Directory Server 管理者である必要があります。

注: このタスクおよびこの後の「管理グループの管理」タスクでは、管理グループのメンバーに対しては操作ボタンが使用不可になっています。管理グループのメンバーが表示できるのは、「管理グループの管理」パネルの「管理グループ・メンバー」テーブルのみです。

Web 管理の使用ナビゲーション領域で「サーバー管理」カテゴリーを展開します。「管理グループの管理」をクリックします。

1. 管理グループを使用可能または使用不可にするには、「管理グループの使用可能化」の隣にあるチェック・ボックスをクリックします。このチェック・ボックスにチェックマークを付けると、管理グループが使用可能になります。



注: 管理グループを使用不可にした場合、ログインしているメンバーは、再バインドを要求されるまで管理操作を継続できます。すでにバインドされている管理グループ・メンバーによる追加の操作を停止するには、アンバインド操作を実行します。詳細については、 38ページの『サーバー接続の管理』を参照してください。




dn: cn=Configurationcn: Configurationchangetype: modifyreplace: ibm-slapdAdminGroupEnabled#specify TRUE to enable or FALSE to disable the administrative group#TRUE has been preselected for you.ibm-slapdAdminGroupEnabled: TRUEobjectclass: topobjectclass: ibm-slapdConfigEntryobjectclass: ibm-slapdTop


ldapexop -D cn=root -w root -op readconfig -scope singlecn=Configuration ibm-slapdAdminGroupEnabled

管理グループに対するメンバーの追加この操作を実行するには、IBM Tivoli Directory Server 管理者である必要があります。

Web 管理の使用管理グループにメンバーを追加するには、「管理グループの管理」パネルで、「追加」をクリックします。

「管理グループ・メンバーの追加」パネルで、以下の手順を実行します。

1. メンバーの管理者 DN を入力します (これは有効な DN 構文にする必要があります)。

2. メンバーのパスワードを入力します。

3. 確認のため、メンバーのパスワードを再度入力します。

4. 必要に応じて、メンバーの Kerberos ID を入力します。 Kerberos ID はibm-kn または ibm-KerberosName のいずれかのフォーマットにする必要があります。この値に大文字小文字の区別はありません。例えば、[email protected] と[email protected] は同じ意味を持ちます。

注: このフィールドが使用できるプラットフォームは、 AIX®、 Windows

NT®、および Windows 2000 のみです。 kerberos でサポートされる機能OID (1.3.18.0.2.32.30) がサーバー上で検出された場合、このフィールドは表示専用となります。


5. 必要に応じて、メンバーの「Digest-MD5 ユーザー名」を入力します。


注: Digest-MD5 ユーザー名には、大文字小文字の区別があります。管理グループに追加するメンバーごとにこの手順を繰り返します。

「管理グループ・メンバー」リスト・ボックスには、管理者 DN、Digest-MD5 ユーザー名 (指定した場合)、および Kerberos ID (指定した場合) が表示されます。

注: Kerberos サポートが提供されるプラットフォームは、 AIX、 Windows NT、Windows 2000、および Windows 2003 のみです。 kerberos でサポートされる機能 OID (1.3.18.0.2.32.30) がサーバー上で検出された場合、 Kerberos ID 列は、「管理グループ・メンバー」リスト・ボックスにのみ表示されます。


ldapadd -D <adminDN> -w<adminPW> -i<filename>


dn: cn=AdminGroup, cn=Configurationcn: AdminGroupobjectclass: topobjectclass: container

dn: cn=admin1, cn=AdminGroup, cn=Configurationcn: admin1ibm-slapdAdminDN: <memberDN>ibm-slapdAdminPW: <password>#ibm-slapdKrbAdminDN and ibm-slapdDigestAdminUser are optional attributes.ibm-slapdKrbAdminDN: <KerberosID>ibm-slapdDigestAdminUser: <DigestID>objectclass: topobjectclass: ibm-slapdConfigEntryobjectclass: ibm-slapdAdminGroupMember

注: すでに管理グループにメンバーを作成済みの場合は、最初の項目を省略します。


ldapexop -D cn=root -w root -op readconfig -scope subtreecn=AdminGroup,cn=Configuration

管理グループ・メンバーの変更この操作を実行するには、IBM Tivoli Directory Server 管理者である必要があります。

Web 管理の使用管理グループ・メンバーの情報を変更するには、「管理グループの管理」パネルで以下の手順を実行します。

1. 情報の変更対象メンバーを選択します。


3. メンバーの管理者 DN を入力します (これは有効な DN 構文にする必要があります)。


4. メンバーのパスワードを変更します。

5. 確認のため、メンバーのパスワードを再度入力します。

6. メンバーの Kerberos ID を入力または変更します。 Kerberos ID は ibm-kn または ibm-KerberosName のいずれかのフォーマットにする必要があります。この値に大文字小文字の区別はありません。例えば、[email protected] と[email protected] は同じ意味を持ちます。

注: このフィールドが使用できるプラットフォームは、 AIX、 Windows NT、および Windows 2000 のみです。 kerberos でサポートされる機能 OID

(1.3.18.0.2.32.30) がサーバー上で検出された場合、このフィールドは表示専用となります。

7. メンバーの「Digest-MD5 ユーザー名」を入力します。Digest-MD5 ユーザー名には、大文字小文字の区別があります。


注: 管理グループのメンバーである場合は、「ユーザー・プロパティー」 >「パスワードの変更」パネルを使用して、自分のパスワードを変更できます。

管理グループで変更するメンバーごとにこの手順を繰り返します。




dn: cn=admin1, cn=AdminGroup, cn=Configurationcn: admin1changetype: modifyreplace: ibm-slapdAdminDNibm-slapdAdminDN: cn=<memberDN>-replace: ibm-slapdAdminPWibm-slapdAdminPW: <password>-replace: ibm-slapdKrbAdminDNibm-slapdKrbAdminDN: <KerberosID>-replace: ibm-slapdDigestAdminUseribm-slapdDigestAdminUser: <DigestID>



管理グループからのメンバーの除去この操作を実行するには、IBM Tivoli Directory Server 管理者である必要があります。

サーバー管理の使用管理グループのメンバーを除去するには、「管理グループの管理」パネルで以下の手順を実行します。

1. 除去するメンバーを選択します。



3. 除去の確認を求められます。

4. メンバーを削除する場合は「OK」をクリックします。変更を行わずに「管理グループの管理」パネルに戻る場合は「キャンセル」をクリックします。

管理グループから除去するメンバーごとにこの手順を繰り返します。


ldapdelete -D <adminDN> -w<adminPW> -i<filename>


#list additional DNs here, one per linedn: cn=admin1, cn=AdminGroup, cn=Configuration

複数のメンバーを除去するには、DN を列挙します。各 DN は別々の行に記述する必要があります。



固有属性の管理固有属性機能を使用すると、指定した属性がディレクトリー内で固有の値を必ず持つようになります。これらの属性は、cn=uniqueattribute,cn=localhost およびcn=uniqueattribute,cn=IBMpolicies という 2 つの項目でのみ指定できます。固有属性の値は、その属性が固有のものとして指定されたサーバーに保管されます。固有属性の検索結果は、そのサーバーのデータベースでのみ固有となります。参照からの結果を含む検索結果は、固有でない場合があります。

注: バイナリー属性、操作属性、構成属性、および objectclass 属性は、固有のものとして指定できません。

固有属性グループの作成

注: 属性ごとに、言語タグは固有属性と相互に排他的です。特定の属性を固有属性として指定した場合、その属性に言語タグを関連付けることはできません。

Web 管理の使用ナビゲーション領域で「サーバー管理」カテゴリーを展開します。「固有属性の管理」をクリックします。

1. 固有属性として追加する属性を「使用可能な属性」メニューから選択します。リストされる使用可能な属性は、固有のものとして指定可能な属性です (例:

sn)。

注: 属性は、cn=localhost と cn=IBMpolicies の両方のコンテナーに置かれるまでは使用可能な属性のリストに残っています。

2. 「cn=localhost への追加」または「cn=IBMpolicies への追加」のいずれかをクリックします。これら 2 つのコンテナーの差は、cn=IBMpolicies 項目は複製


されるが、cn=localhost 項目は複製されないことです。属性は、該当するリスト・ボックスに表示されます。両方のコンテナーに同じ属性を登録できます。

注: cn=localhost および cn=IBMpolicies の両方の下に項目を作成した場合、これらの 2 つの項目の結果の共用体は、その固有属性リストを統合したものになります。例えば、属性 cn および employeeNumber を固有のものとしてcn=localhost に指定し、属性 cn および telephoneNumber を固有のものとして cn=IBMploicies に指定した場合、サーバーは、属性cn、employeeNumber、および telephoneNumber を固有属性として扱います。

3. 固有属性として追加する属性ごとにこの処理を繰り返します。

4. 変更を保管する場合は「OK」をクリックします。変更を行わずにこのパネルを終了する場合は「キャンセル」をクリックします。

コマンド行の使用属性に固有の値を持たせる必要があることを指定するには、以下のコマンドを発行します。



dn: cn=uniqueattributes,cn=localhostchangetype: addcn: uniqueattributesibm-UniqueAttributeTypes: snobjectclass: topobjectclass: ibm-UniqueAttributeTypes

属性をさらに追加するには、以下のコマンドを発行します。



dn: cn=uniqueattributes,cn=localhostcn: uniqueattributeschangetype: modifyadd: ibm-UniqueAttributeTypesibm-UniqueAttributeTypes: AIXAdminUserId

-add: ibm-UniqueAttributeTypesibm-UniqueAttributeTypes: adminGroupNames

固有属性項目を追加または変更する際、リストされた固有属性タイプに対して固有の制約事項を作成するとエラーが生じる場合、ディレクトリーに項目は追加または作成されません。項目を作成または変更するには、問題を解決し、追加または変更のコマンドを再発行する必要があります。例えば、固有属性項目をディレクトリーに追加する際、リストされた固有属性タイプの表に対して固有の制約事項を作成できない場合は (重複した値がデータベースに存在することが原因で)、固有属性項目はディレクトリーに追加されません。「DSA は実行を望んでいません」というエラーが発行されます。

注: cn=localhost および cn=IBMpolicies の両方の下に項目を作成した場合、これらの 2 つの項目の結果の共用体は、その固有属性リストを統合したものになります。例えば、属性 cn および employeeNumber を固有のものとして cn=localhost

に指定し、属性 cn および telephoneNumber を固有のものとして


cn=IBMploicies に指定した場合、サーバーは、属性 cn、employeeNumber、および telephoneNumber を固有属性として扱います。

アプリケーションが、既存のディレクトリー項目を複製する属性の値を持つ項目をディレクトリーに追加しようとすると、LDAP サーバーから結果コード 20 のエラー (LDAP: error code 20 - Attribute or Value Exists) が送出されます。

サーバーは、始動後に固有属性のリストを検査し、 DB2 制約が各属性に存在するかどうかを確認します。 bulkload ユーティリティーで除去したり、ユーザーが手動で除去したことが原因で属性に対する制約事項が存在しない場合は、それが固有属性リストから除去され、エラー・ログ (ibmslapd.log) にエラー・メッセージが記録されます。例えば、属性 cn を cn=uniqueattributes,cn=localhost 内で固有のものとして指定し、その属性に対する DB2 制約が存在しない場合は、以下のメッセージがログに記録されます。

Values for the attribute CN are not unique.The attribute CN was removed from the unique attributeentry: CN=UNIQUEATTRIBUTES,CN=LOCALHOST

固有属性のリストからの属性の除去固有属性のリストから属性を除去するには、次のいずれかの方法を使用します。

注: cn=uniqueattribute,cn=localhost および cn=uniqueattribute,cn=IBMpolicies の両方に固有属性が存在し、一方の項目だけからそれを除去した場合、サーバーは、引き続きその属性を固有属性として扱います。属性は、両方の項目から除去された時点で固有でなくなります。

Web 管理の使用ナビゲーション領域で「サーバー管理」カテゴリーを展開します。「固有属性の管理」をクリックします。

1. 該当するリスト・ボックスで、リストから除去する属性をクリックして選択します。例えば、前のタスクの AIXAdminUserId などです。

2. 「除去」をクリックします。

3. リストから除去する属性ごとにこの処理を繰り返します。

4. 変更を保管する場合は「OK」をクリックします。変更を行わずにこのパネルを終了する場合は「キャンセル」をクリックします。

注: 最後の固有属性を cn=localhost または the cn=IBMpolicies リスト・ボックスから除去すると、そのリスト・ボックスのコンテナー項目cn=uniqueattribute,cn=localhost または cn=uniqueattribute,cn=IBMpolicies が自動的に削除されます。

コマンド行の使用コマンド行を使用して固有属性のリストから属性を除去するには、以下のコマンドを発行します。




dn: cn=uniqueattributes,cn=localhostcn: uniqueattributeschangetype: modifycn: uniqueattributesibm-UniqueAttributeTypes: AIXAdminUserId

例えば、cn=localhost に保管されている固有属性をすべて除去するには、以下のコマンドを発行します。

ldapdelete -D <adminDN> -w <Adminpw> "cn=uniqueattributes,cn=localhost"

ディレクトリーから ″cn=uniqueattributes″ 項目を削除すると、固有属性に適用される固有の制約事項が除去され、この属性に非固有値を再び指定できるようになります。


第 9 章サーバー・プロパティーの設定

サーバーには、以下のプロパティーを設定できます。

v 52ページの『サーバー・ポートの変更および言語タグの使用可能化』

v 55ページの『検索の設定』

v 62ページの『トランザクション・サポートの設定』

v 64ページの『イベント通知の設定』

v 66ページの『サフィックスの追加および除去』

v 68ページの『参照の作成および除去』

v 73ページの『属性キャッシュに対する属性の追加および除去』

Web 管理ツールを使用している場合は、LDAP ユーティリティーを使用してサーバー構成ファイルを更新できます。LDAP 変更要求は、以下によって生成されます。

v IBM Tivoli Directory Server とともに提供されている C クライアントを使用するC アプリケーション

v JNDI を使用する Java アプリケーション

v 標準の V3 LDAP を生成するその他のインターフェース

提供される例では、ldapmodify コマンド行ユーティリティーを使用します。

ldapmodify コマンドは、対話モードで実行することも、入力をファイルに指定して実行することもできます。本書のほとんどの例では、ldapmodify コマンドで使用するファイルの内容を提供しています。これらのファイルを指定して使用するコマンドの一般的な形式は、以下のとおりです。

ldapmodify -D <adminDN> —w <password> —i <filename>

動的にサーバー構成設定を更新するには、以下の ldapexop コマンドを発行する必要があります。次のコマンドは、動的な構成設定をすべて更新します。


次のコマンドは、単一の設定を更新します。

ldapexop -D cn=root -w root -op readconfig -scope single <entry DN><attribute>

ldapexop コマンドでは、これらの属性のうち動的に変更可能なもののみが更新されます。他の変更内容を有効にするには、サーバーを停止して再始動する必要があります。動的に更新可能な属性のリストについては、 460ページの『動的に変更される属性』を参照してください。ldapmodify コマンドおよび ldapexop コマンドの詳細については、 293ページの『第 20 章コマンド行ユーティリティー』を参照してください。

注: サーバー構成設定の更新を許可されているのは、管理者および管理グループのメンバーのみです。


サーバー・ポートの変更および言語タグの使用可能化

注: サーバーのポート設定を変更する場合は、コンソールにあるサーバーのポート設定も変更する必要があります。 21ページの『コンソールの管理』を参照してください。

Web 管理の使用Web 管理のナビゲーション領域で「サーバー・プロパティーの管理」タブをクリックし、「サーバー・プロパティーの管理」パネルを表示します。このパネルは、「一般」タブが事前に選択された状態で表示されます。「一般」パネルには 2 つの読み取り専用情報フィールドがあり、サーバーのホスト名およびマシンにインストールされている IBM Tivoli Directory Server のバージョン・レベルが表示されます。

このパネルには、それぞれ現在のポート番号を表示する「非セキュア・ポート」(デフォルト値は 389)、「セキュア・ポート」(デフォルト値は 636)、および言語タグ・サポートの有無を指定するチェック・ボックスという、3 つの変更可能な必須フィールドもあります。ポート設定を変更したり、言語タグを使用可能にしたりするには、以下の手順を実行します。

注: ウェルノウン・ポートは 0 ～ 1023 です。登録済みポートは 1024 ～ 49151

です。動的ポートまたは専用ポートは 49152 ～ 65535 です。

1. 「非セキュア・ポート」をクリックして、49152 ～ 65535 までの数値を入力します。この例では、399 を入力します。

2. 「セキュア・ポート」をクリックして、49152 ～ 65535 までの数値を入力します。この例では、699 を入力します。

3. 「言語タグ・サポートの使用可能化」チェック・ボックスをクリックして、言語タグのサポートを使用可能にします。デフォルトの設定は使用不可です。詳細については、 222ページの『言語タグ』を参照してください。


ポート番号を変更した場合、変更内容を有効にするにはサーバーを停止する必要があります。 26ページの『サーバーの始動と停止』を参照してください。サーバーを停止したら、管理デーモンをローカル・マシン上で停止および始動して、ポートを再同期化する必要があります。詳細については、 13ページの『第 4 章ディレクトリー管理デーモン』を参照してください。サーバーを再始動します。

コマンド行の使用言語タグ機能が使用可能であるかどうかを確認するには、属性「ibm-enabledCapabilities」を指定してルート DSE 検索を発行します。

ldapsearch -b "" -s base objectclass=* ibm-enabledCapabilities

OID「1.3.6.1.4.1.4203.1.5.4」が戻された場合は、言語タグ機能は使用可能です。

言語タグ・サポートが使用可能でない場合は、言語タグを属性に関連付ける LDAP

操作が拒否され、以下のエラー・メッセージが表示されます。


unrecognized attribute

コマンド行からデフォルト・ポート以外のポートを割り当て、言語タグを使用可能にするには、以下のコマンドを実行します。

ldapmodify -D <adminDN> —w <password> —i <filename>


dn: cn=configurationchangetype: modifyreplace: ibm-slapdPortibm-slapdPort: 399-replace: ibm-slapdSecurePortibm-slapdSecurePort: 699-dn: cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationreplace: ibm-slapdLanguageTagsEnabledibm-slapdLanguageTagsEnabled: TRUE

変更した内容を有効にするには、サーバーを停止する必要があります。 26ページの『サーバーの始動と停止』を参照してください。サーバーを停止したら、管理デーモンをローカル・マシン上で停止および始動して、ポートを再同期化する必要があります。詳細については、 13ページの『第 4 章ディレクトリー管理デーモン』を参照してください。

ibmdirctl -D <AdminDN> -w <Adminpw> -p 389 stop

ibmdirctl -D <AdminDN> -w <Adminpw> admstop

ibmdiradm

ibmdirctl -D<AdminDN> -w <Adminpw> start

パフォーマンス設定

注: 最新のチューニング情報については、Tivoli Software Library Web サイトにある IBM Tivoli Directory Server Version 5.2 Tuning Guide を参照してください。

検索制限と接続設定を変更すると、パフォーマンスの向上が可能です。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「パフォーマンス」タブを選択します。

1. 「データベース接続の数」を指定します。これは、サーバーが使用する DB2

接続の数を設定します。指定する必要がある最小値は 5 です。デフォルトの設定値は 15 です。 LDAP サーバーが大量のクライアント要求を受信する場合やクライアントが「接続拒否」エラーを受信する場合は、サーバーで DB2 への接続数の設定を大きくすると、良好な結果が得られる場合があります。接続数の最大値は、DB2 データベースの設定によって決定されます。指定した接続の数に関するサーバーの制限がなくなっても、リソースはそれぞれの接続によって消費されます。使用のシステムに推奨される最新のチューニング情報については、「IBM Tivoli Directory Server Version 5.2 Tuning Guide」を参照してください。

2. 「複製用データベース接続の数」を指定します。これにより、サーバーが複製のために使用する DB2 接続の数が設定されます。指定する必要がある最小値は

第 9 章サーバー・プロパティーの設定 53


1 です。デフォルトの設定値は 4 です。使用のシステムに推奨される最新のチューニング情報については、「IBM Tivoli Directory Server Version 5.2 Tuning

Guide」を参照してください。

注: データベース接続および複製用データベース接続に指定する接続の総数は、DB2 データベースで設定されている接続数を超えてはなりません。

3. 以下の ACL キャッシュ設定を使用するには、「キャッシュ ACL 情報」を選択します。このパネルの他のキャッシュ設定オプションを有効にするには、このオプションを選択する必要があります。

4. 「ACL キャッシュの最大エレメント数」を指定します。デフォルトは 25,000

です。

5. 「項目キャッシュの最大エレメント数」を指定します。デフォルトは 25,000 です。

6. 「検索フィルター・キャッシュの最大エレメント数」を指定します。デフォルトは 25,000 です。検索フィルター・キャッシュは、要求された属性フィルターに対する実際の照会と、一致した結果項目の ID から構成されます。更新操作では、すべてのフィルター・キャッシュ項目は無効化されます。

7. 「検索フィルター・キャッシュに追加される簡易検索の最大エレメント数」を指定します。「エレメント」を選択する場合は、数値を必ず入力してください。デフォルトは 100 です。それ以外の場合は「無制限」を選択します。ここに指定した数値より多い項目に一致する検索項目は、検索フィルター・キャッシュに追加されません。


9. データベース接続数を設定している場合は、変更を有効にするためにサーバーを再始動する必要があります。設定のみを変更した場合は、サーバーを再始動する必要はありません。




dn: cn=Directory,cn=RDBM Backends,cn=IBM Directory,cn=Schemas,cn=Configurationchangetype: modifyreplace: ibm-slapdDbConnectionsibm-slapdDbConnections: 15-replace: ibm-slapdReplDbConnsibm-slapdReplDbConns: 4

dn: cn=Front End, cn=Configurationchangetype: modifyreplace: ibm-slapdACLCacheibm-slapdACLCache: TRUE-replace: ibm-slapdACLCacheSizeibm-slapdACLCacheSize: 25000-replace: ibm-slapdEntryCacheSize


ibm-slapdEntryCacheSize: 25000-replace: ibm-slapdFilterCacheSizeibm-slapdFilterCacheSize: 25000-replace: ibm-slapdFilterCacheBypassLimitibm-slapdFilterCacheBypassLimit: 100




検索の設定検索パラメーターを設定して、ページ検索やソート検索などのユーザーの検索機能を制御できます。

ページ検索の結果によって、検索要求から戻されるデータの量を管理できます。すべての結果を一度に受信するのではなく、項目のサブセット (1 ページ分) を要求できます。操作が取り消されるか最後の結果が戻されるまで、以後の検索結果には次のページの結果が表示されます。ソートを行う検索を使用して、クライアントは、基準リストでソートされた検索結果を受け取ることができます。この場合、各基準はソート・キーに対応します。これを選択すると、ソートの実行責任がクライアント・アプリケーションからサーバーに移動するため、より効率的にソートを実行できます。

「alias」または「aliasObject」という objectclass を持つディレクトリー項目には、「aliasedObjectName」属性が格納されています。この属性は、このディレクトリー内の別の項目を参照するときに使用します。別名を参照解除するかどうかは、検索要求によってのみ指定できます。参照解除とは、元の項目まで別名を逆方向にトレースすることを指します。別名の参照解除オプションを「常時」または「検索」に設定して検索した場合の IBM Tivoli Directory Server の応答時間は、別名項目がディレクトリーに存在する場合、参照解除オプションを「なし」に設定して検索した場合より大幅に長くなる可能性があります。

サーバー・サイドの参照解除オプションには、「なし」、「検出」、「検索」、または「常時」を設定できます。このオプションの値は、検索要求で指定された遅延オプションの値と論理 AND 演算によって結合されます。結果の値は、検索操作の参照解除オプションとして使用されます。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「検索設定」タブを選択します。

1. 「検索サイズ上限」を設定します。「項目」または「無制限」ラジオ・ボタンをクリックします。「項目」を選択した場合は、1 回の検索で戻される項目の最大


数をフィールドに必ず指定してください。デフォルトの設定は 500 です。この値より多くの項目が検索基準を満たす場合、超過分は戻されません。この制限は管理者には適用されません。

2. 「検索時間制限」を設定します。「秒」または「無制限」ラジオ・ボタンをクリックします。「秒」を選択する場合は、サーバーが要求の処理に消費する最大時間をこのフィールドに指定する必要があります。デフォルトの設定は 900 です。この制限は管理者には適用されません。

3. 検索結果のソート機能を管理者に制限するには、「管理者にのみソート検索を許可する」チェック・ボックスを選択します。

4. 検索結果のページ分割機能を管理者に制限するには、「管理者にのみページ検索を許可する」チェック・ボックスを選択します。

5. 別名の参照解除のレベルを設定するには、「別名の参照解除」のドロップダウン・メニューを展開し、以下のいずれかを選択します。デフォルトの設定は「常時」です。

「なし」別名の参照解除は一切実行されません

「検出」検索の開始点を検出するときは別名を参照解除しますが、開始項目の下位項目を検索するときは参照解除しません。

「検索 (search)」検索の開始点より下の項目を検索するときは別名を参照解除しますが、開始項目を検出しているときは参照解除しません。

「常時」検索の開始点を検出するときにも、開始項目より下位の項目を検索するときにも、必ず別名を参照解除します。「常時」がデフォルトの設定です。

注: このオプションは、使用しているサーバーが別名の参照解除をサポートしている場合にのみ使用可能です。

6. ページ検索を待機する時間 (アイドル・タイムアウト) を秒単位で指定します。ページ検索では、LDAP サーバーと LDAP データが格納された DB2 データベースの間で接続をオープンしておく必要があります。アイドル・タイムアウトの管理制限は、ページ検索結果要求のためにオープンされている DB2 データベース接続の存続期間を管理するために設計されています。

7. サーバーによって許可されている同時に可能なページ検索の最大数を設定します。デフォルトの設定は 3 です。

8. ソートを行う検索でソートに使用される属性の最大数を指定します。デフォルトの設定は 3 です。


検索の詳細については、 57ページの『拡張された検索制御』を参照してください。





dn: cn=Configurationchangetype: modifyreplace: ibm-slapdTimeLimitibm-slapdTimeLimit: 900-replace : ibm-slapdDerefAliasesibm-slapdDerefAliases: {never|find|search|always}-replace: ibm-slapdSizeLimitibm-slapdSizeLimit: 500

dn: cn=Directory,cn=RDBM Backends,cn=IBM Directory,cn=Schemas,cn=Configurationchangetype: modifyreplace: ibm-slapdPagedResAllowNonAdminibm-slapdPagedResAllowNonAdmin: false-replace: ibm-slapdPagedResLmtibm-slapdPagedResLmt: 3-replace: ibm-slapdSortKeyLimitibm-slapdSortKeyLimit: 3-replace:ibm-slapdSortSrchAllowNonAdmin: false

dn: cn=Front End, cn=Configurationchangetype: modifyreplace: ibm-slapdIdleTimeOutibm-slapdIdleTimeOut: 300



コマンド行を使用して検索を実行する方法の詳細については、 326ページの『ldapsearch』を参照してください。

拡張された検索制御検索機能は、属性の索引付けが使用可能な場合に、その属性の先頭 240 バイトのみに対してフィルターで一致するものを検索します。さらに、検索要求時にソートを指定すると、サーバーは、先頭 240 バイトのみを使用して検索された項目をソートします。エンド・ユーザーまたはクライアント・アプリケーションは、その表に対する索引付けが有効になっているかどうかに応じて、先頭 240 バイトより後の値が検索フィルターに合致してもクライアントに戻されない場合があることを考慮に入れる必要があります。

注: この制約事項は、IBM Tivoli Directory Server に固有のものです。z/OS™ やOS/400® などの他のプラットフォームの IBM LDAP サーバーでは制約事項が異なる場合があります。制約事項については、各プラットフォームの資料を参照してください。


管理者は、Web 管理ツールで属性定義を参照するか (「スキーマ管理」 ->「属性の管理」-> <attributename> ->「編集」->「IBM 拡張」)、 cn=schema の検索で戻される属性定義を参照することによって、属性に対する索引付けが使用可能かどうかを調べることができます。 Web 管理ツールで属性定義を参照すると、「IBM 拡張」タブに以下のものが表示されます。

索引付け規則

[] Equality[] Ordering[] Approximate[] Substring[] Reverse

属性に対して該当する索引付け規則がチェックされます。 ldapsearch ユーティリティーを使用する場合、 ibmattributetypes 値には、キーワードAPPROX、EQUALITY、ORDERING、SUBSTR、または REVERSE が入ります。例えば、「cn」属性には、以下の索引が定義されています。

attributetypes=( 2.5.4.3 NAME ( ’cn’ ’commonName’ ) DESC ’This is the X.500commonName attribute, which contains a name of an object.If the object corresponds to a person, it is typically thepersons full name.’ SUP 2.5.4.41 EQUALITY 2.5.13.2ORDERING 2.5.13.3 SUBSTR 2.5.13.4 )

ibmattributetypes=( 2.5.4.3 DBNAME ( ’cn’ ’cn’ ) ACCESS-CLASS NORMAL LENGTH256 EQUALITY ORDERING SUBSTR APPROX )

136ページの『索引付け規則』を参照してください。

ソート済み検索制御ソート済み検索結果は、ソート機能が限定されているかまったくない LDAP クライアントにソート機能を提供します。ソート済み検索結果によって、LDAP クライアントは、基準のリストに基づいてソートされた検索結果を受け取ることができます。ここで、各基準はソート・キーを表します。ソート基準には、属性タイプ、比較の規則、および降順があります。サーバーは、この基準を使用して検索結果をソートしてから戻します。この機能を使用すると、ソートの実行責任がクライアント・アプリケーションからサーバーに移動するため、より効率的にソートを実行できます。例えば、クライアント・アプリケーションでケイマン諸島の支社にいる従業員のリストを名字、通称、および電話番号でソートすることもできます。この機能では、ソートを実行するための検索リストが 2 回は作成されません (つまり、サーバー上と、結果がすべて戻された後のクライアント上でリストが 2 回作成されることはありません)。検索リストは 1 回のみ作成されます。検索リストが作成されてソートが実行されると、その結果がクライアント・アプリケーションに戻されます。

サーバーは、属性に基づいて検索項目をソートします。デフォルトでは、1 回の検索操作について最大 3 件のソート・キー (属性名) を指定することができます。この管理制限の値を変更するには、ibmslapd.conf ファイルの ibm-slapdSortKeyLimit:

3 という行を変更します。この方法の詳細については、 55ページの『検索の設定』を参照してください。この行が存在しない場合は、行を追加して新しい最大値に設定します (この行が存在しない場合はデフォルト値が使用されます)。

デフォルトでは、サーバーは管理者以外のバインドからの要求を受け入れます (匿名でバインドしているユーザーも含む)。検索結果をソートしてから戻すと、単純に結果を戻すよりも多くのサーバー・リソースが使用されます。そのため、管理者権


限がバインドされたユーザーからの要求のみを受け入れるようにサーバーを構成することもできます。管理者のバインドのみを使用して実効依頼された検索結果のソート要求を受け入れるには、 ibmslapd.conf ファイルの行ibm-slapdSortSrchAllowNonAdmin: true を ibm-slapdSortSrchAllowNonAdmin:

false に変更します。 55ページの『検索の設定』を参照してください。この行が存在しない場合に管理者のバインドのみを許可するには、この行を追加して値を false

に設定します。詳細については、 61ページの『検索属性の追加例』を参照してください。

LDAP サーバーは、検索要求の終了時にすべての参照をクライアントに戻します。検索結果に対するソート要求の重要度を設定するかどうかを決定し、参照サーバーでサポートされていない機能を適切に補うのは、クライアント・サービスを使用するアプリケーションの責任です。さらに、LDAP サーバーは、参照サーバーがソート済み検索制御をサポートしていることを保証しません。クライアント・アプリケーションには複数のリストが戻される場合があり、その場合に一部がソートされていないこともあります。この情報をエンド・ユーザーに提供するための適切な方法はクライアント・アプリケーションが決定します。方法としては、すべての参照結果を結合してからエンド・ユーザーに提供する、複数のリストおよび対応する参照サーバーのホスト名を表示する、追加の処理を行わずにサーバーから戻された結果をすべてそのままエンド・ユーザーに表示する、などが考えられます。正確にソートされたリストを 1 つ得るには、クライアント・アプリケーションは参照をオフにする必要があります。オフにしないと、ソート済み検索制御を指定して参照を追跡するときに予期しない結果になる場合があります。

サーバーのソート済み検索結果を利用する場合は、以下の点に注意してください。

v サーバーはベースとなる DB2 データベースを利用して検索結果をソートします。このため、データベースのデータ・コード・ページによってソート後の検索結果が異なる場合があります (特にデータベースのコード・ページが UTF-8 の場合)。

v サーバーは、ソート・キー属性に指定した突き合わせ規則を無視します。現在、サーバーは突き合わせ規則をサポートしていません。

v マルチサーバー・ソート (参照) はサポートされていません。サーバーは、参照サーバーが検索結果のソートをサポートしていることを保証しません。

サーバー・サイドでのソート済み検索制御に関する詳細については、RFC 2891 を参照してください。検索結果をソートするための制御 OID は 1.2.840.113556.1.4.473

であり、サポートされている機能としてルート DSE 情報に含まれています。

単純ページ付け結果単純ページ付け結果で提供されるページング機能によって、LDAP クライアントは、リスト全体ではなく、検索結果のサブセット (ページ) のみを受け取ることができます。項目の次のページは、その後、操作が取り消されるか最後の結果が戻されるまで、クライアントによって検索結果のページング要求が実行依頼されるごとにクライアント・アプリケーションに戻されます。サーバーは、ページ・サイズがサーバーの sizeLimit 値以上の場合は要求を単一の操作で満たすことができるため、単純ページ付け結果要求を無視します。


http://www.ietf.org/rfc/rfc2891.txt

検索結果をページングすると単純ページ付け結果要求を行っている間サーバー・リソースが保持されるため、単純ページ付け結果要求によるサーバー・リソースの乱用や誤用を防ぐためのいくつかの管理制限が新しく設けられています。

ibm-slapdPagedResAllowNonAdminデフォルトでは、サーバーは管理者以外のバインドからの要求を受け入れます (匿名でバインドしているユーザーも含む)。管理者権限がバインドされたユーザーからの単純ページ付け結果要求のみをサーバーで受け入れるには、ibmslapd.conf ファイルの行 ibm-slapdPagedResAllowNonAdmin: true をibm-slapdPagedResAllowNonAdmin: false に変更する必要があります。 55

ページの『検索の設定』を参照してください。この行が存在しない場合に管理者のバインドのみを許可するには、この行を追加して値を false に設定します。 61ページの『検索属性の追加例』を参照してください。

ibm-slapdPagedResLmtデフォルトでは、サーバーは、未処理の単純ページ付け結果を 3 件まで同時に処理することができます。以後のページ付け結果要求の応答を高速化するために、サーバーは、検索要求が行われている間、ユーザーが単純ページ付け結果要求を取り消すか最後の結果がクライアント・アプリケーションに戻されるまでデータベース接続をオープンしたままにします。この管理制限は、処理中の単純ページ付け結果要求によってすべてのデータベース接続が使用中になってしまい、サーバーが行っている他の操作に関するサービスが拒否されないようにする目的で設けられています。一貫性のある結果を得るには、ibm-slapdPagedResLmt に設定する値を、サーバーの最大データベース接続数より小さくします。この管理制限の値を変更するには、ibmslapd.conf ファイルの ibm-slapdPagedResLmt: 3 という行を変更します。 55ページの『検索の設定』を参照してください。この行が存在しない場合は、行を追加して新しい最大値に設定します (この行が存在しない場合はデフォルト値が使用されます)。 61ページの『検索属性の追加例』を参照してください。

ibm-slapdPagedSizeLmtデフォルトでは、サーバーは 1 ページあたり最大 50 件の検索結果を戻します。異なる最大ページ・サイズを設定する場合は、ibmslapd.conf ファイルの ibm-slapdPagedSizeLmt: 50 という行を変更します。

注: ibm-slapdPagedSizeLmt は、IBM Directory Server バージョン 4.1 および 5.1 でサポートされます。 IBM Tivoli Directory Server バージョン5.2 では、 ibm-slpadPagedSizeLmt はサポートされません。

ibm-slapdIdleTimeOutアイドル・タイムアウト管理制限は、単純ページ付け結果要求のためにオープンしたままにしている DB2 データベース接続のタイムアウトを管理するために設けられています。単純ページ付け結果要求に対するデフォルトのアイドル・タイムは 500 秒です。例えば、クライアント・アプリケーションが次のページを処理するまで 510 秒停止すると、サーバーは要求をタイムアウトさせ、データベース接続を解放して、他のサーバー操作で使用できるようにします。サーバーは、次に単純ページ付け結果要求が実行依頼された場合に、クライアント・アプリケーションに該当するエラーを戻します。この時点で、クライアント・アプリケーションは単純ページ付け結果要求を再開始する必要があります。単純ページ付け結果要求それぞれに対するアイド


ル・タイマーは、クライアント・アプリケーションにページが戻されるごとにリセットされます。サーバーは、単純ページ付け結果要求の存続期間を 5

秒ごとにチェックするため、ibm-slapdIdleTimeOut 値を 5 未満に設定しても、単純ページ付け結果要求がタイムアウトになるまで 5 秒かかります。この管理制限の値を変更するには、ibmslapd.conf ファイルのibm-slapdIdleTimeOut: 300 という行を変更します。 55ページの『検索の設定』を参照してください。この行が存在しない場合は、行を追加して新しい最大値に設定します (この行が存在しない場合はデフォルト値が使用されます)。『検索属性の追加例』を参照してください。

LDAP サーバーは、検索要求が終了するとすべての参照をクライアントに戻します。これは制御なしで検索する場合と同じです。すなわち、サーバーが 10 ページの結果を戻す場合は、すべての参照が 10 ページ目で戻されます (各ページの終わりではありません)。参照を追跡する場合は、クライアント・アプリケーションは、cookie をヌルに設定して各参照サーバーに初期ページ付け結果要求を送信する必要があります。ページ付け結果のサポートの重要度を設定するかどうかを決定し、参照サーバーでサポートされていない機能を適切に補うのは、クライアント・サービスを使用するアプリケーションの責任です。さらに、LDAP サーバーは、参照サーバーがページ付け結果制御をサポートしていることを保証しません。クライアント・アプリケーションには複数のリストが戻される場合があり、その場合に一部がページングされないこともあります。この情報をエンド・ユーザーに提供するための適切な方法はクライアント・アプリケーションが決定します。方法としては、すべての参照結果を結合してからエンド・ユーザーに提供する、複数のリストおよび対応する参照サーバーのホスト名を表示する、追加の処理を行わずにサーバーから戻された結果をすべてそのままエンド・ユーザーに表示する、などが考えられます。正確にページングされたリストを 1 つ得るには、クライアント・アプリケーションは参照をオフにする必要があります。オフにしないと、ページ付け検索結果を指定して追跡参照を行うときに予期しない結果になる場合があります。

サーバー・サイドでの単純ページ付け結果制御に関する詳細については、RFC 2686

を参照してください。単純な結果のページングのための制御 OID は1.2.840.113556.1.4.319 であり、サポートされている機能としてルート DSE 情報に含まれています。

検索属性の追加例ldapmodify -D <adminDN> -w<adminPW> -i<filename>


dn: cn=Directory,cn=RDBM Backends,cn=IBM Directory,cn=Schemas,cn=Configurationchangetype: addadd: ibm-slapdSortSrchAllowNonAdminibm-slapdSortSrchAllowNonAdmin: TRUE-add: ibm-slapdSortKeyLimitibm-slapdSortKeyLimit: 3-add: ibm-slapdPagedResAllowNonAdminibm-slapdPagedResAllowNonAdmin: TRUE-add: ibm-slapdPagedResLmtibm-slapdPagedResLmt: 3-add: ibm-slapdPagedSizeLmt



ibm-slapdPagedSizeLmt: 50-add: ibm-slapdIdleTimeOutibm-slapdIdleTimeOut: 300



トランザクション・サポートの設定トランザクション処理により、アプリケーションは、一連の項目更新を 1 つのオペレーションにまとめることができます。通常、各個別 LDAP オペレーションは、データベース内の独立したトランザクションとして扱われます。操作のグループ化は、1 つの操作に失敗するとトランザクション全体が失敗するために 1 つの操作が別の操作に依存する場合に有用です。トランザクションの設定により、サーバー上で可能なトランザクション・アクティビティーの制約が決定します。

トランザクション・サポートの有効化トランザクション・サポートを有効にするには、以下のいずれかの手順を使用します。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「トランザクション」タブを選択します。

1. 「トランザクション処理を使用可能にする」チェック・ボックスを選択して、トランザクション処理を使用可能にします。「トランザクション処理を使用可能にする」が使用不可の場合は、サーバーは、このパネルの他のオプション (「トランザクションごとの最大操作数」や「保留時間制限」など) をすべて無視します。

2. 「トランザクションの最大数」を設定します。「トランザクション」または「無制限」ラジオ・ボタンをクリックします。「トランザクション」を選択した場合は、トランザクションの最大数をフィールドに指定する必要があります。トランザクションの最大数は 2,147,483,647 です。トランザクション数のデフォルトの設定は 20 です。

3. 「トランザクションごとの最大操作数」を設定します。「操作」または「無制限」ラジオ・ボタンをクリックします。「操作」を選択する場合は、このフィールドでトランザクションごとの最大操作数を必ず指定してください。操作の最大数は 2,147,483,647 です。数が小さいほどパフォーマンスはよくなります。デフォルトは 5 です。

4. 「保留時間制限」を設定します。この選択をすると、トランザクションが保留状態のままタイムアウトになるまでの時間 (秒数) が決まります。「秒」または「無制限」ラジオ・ボタンをクリックします。「秒」を選択する場合は、このフィールドでトランザクションごとの最長時間を秒単位で指定する必要があります。秒の最大数は 2,147,483,647 です。これにより長い時間経過しても完了しないトランザクションは取り消されます (ロールバックされます)。デフォルトは300 秒です。



6. トランザクション・サポートを使用可能にした場合、変更した内容を有効にするには、サーバーを再始動する必要があります。設定のみを変更した場合は、サーバーを再始動する必要はありません。




dn: cn=Transaction,cn=Configurationchangetype: modifyreplace: ibm-slapdTransactionEnableibm-slapdTransactionEnable: TRUE-replace: ibm-slapdMaxNumOfTransactionsibm-slapdMaxNumOfTransactions: 20-replace: ibm-slapdMaxOpPerTransactionibm-slapdMaxOpPerTransaction: 5-replace: ibm-slapdMaxTimeLimitOfTransactionsibm-slapdMaxTimeLimitOfTransactions: 300




トランザクション・サポートの無効化トランザクション処理を無効にするには、以下のいずれかの手順を使用します。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「トランザクション」タブを選択します。

1. 「トランザクション処理を使用可能にする」チェック・ボックスを選択解除して、トランザクション処理を無効にします。


3. 変更した内容を有効にするには、サーバーを再始動する必要があります。





dn: cn=Transaction,cn=Configurationchangetype: modifyreplace: ibm-slapdTransactionEnableibm-slapdTransactionEnable: False

変更した内容を有効にするには、サーバーを再始動する必要があります。

トランザクション・サポートの詳細については、「IBM Tivoli Directory Server

Version 5.2 C-Client SDK Programming Reference」を参照してください。

イベント通知の設定イベント通知機能により、サーバーは、ディレクトリー・ツリーの項目の変更、追加、または削除を登録済みクライアントに通知できます。この通知は、非送信請求メッセージの形式で実行されます。

イベントが発生すると、サーバーはクライアントに、メッセージを LDAP v3 非送信請求通知として送信します。このメッセージ ID は 0 であり、形式は、拡張操作応答の形式です。responseName フィールドは登録 OID に設定されます。応答フィールドには、固有の登録 ID とイベントの発生時刻を示すタイム・スタンプが設定されます。時刻フィールドは UTC 時刻形式です。

注: トランザクションが発生すると、そのトランザクション・ステップに対応するイベント通知は、トランザクション全体が完了するまで送信されません。

イベント通知の有効化イベント通知を有効にするには、以下のいずれかの手順を使用します。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「イベント通知」タブを選択します。

1. 「イベント通知を使用可能にする」チェック・ボックスを選択してイベント通知を使用可能にします。「イベント通知を使用可能にする」が使用不可の場合は、サーバーは、このパネルの他のオプションをすべて無視します。

2. 「接続ごとの最大登録数」を設定します。「登録」または「無制限」ラジオ・ボタンをクリックします。「登録」を選択する場合は、このフィールドで接続ごとの最大登録数を必ず指定してください。トランザクションの最大数は2,147,483,647 です。登録数のデフォルトの設定は 100 です。

3. 「最大合計登録数」を設定します。この選択により、サーバーで同時に可能な登録数が決まります。「登録」または「無制限」ラジオ・ボタンをクリックします。「登録」を選択する場合は、このフィールドで接続ごとの最大登録数を必ず指定してください。トランザクションの最大数は 2,147,483,647 です。デフォルトの登録数は「無制限」です。



5. イベント通知を使用可能にした場合は、変更した内容を有効にするために、サーバーを再始動する必要があります。設定のみを変更した場合は、サーバーを再始動する必要はありません。




dn: cn=Event Notification,cn=Configurationchangetype: modifyreplace: ibm-slapdEnableEventNotificationibm-slapdEnableEventNotification: TRUE-replace: ibm-slapdMaxEventsPerConnectionibm-slapdMaxEventsPerConnection: 100-replace: ibm-slapdMaxEventsTotalibm-slapdMaxEventsTotal: 0

イベント通知を使用可能にした場合は、変更した内容を有効にするために、サーバーを再始動する必要があります。設定のみを変更した場合は、サーバーを再始動する必要はありません。




イベント通知の無効化イベント通知を無効にするには、以下のいずれかの手順を使用します。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「イベント通知」タブを選択します。

1. 「イベント通知を使用可能にする」チェック・ボックスを選択解除して、トランザクション処理を使用可能にします。


3. 変更した内容を有効にするには、サーバーを再始動する必要があります。





dn: cn=Event Notification,cn=Configurationchangetype: modifyreplace: ibm-slapdEnableEventNotificationibm-slapdEnableEventNotification: FALSE


イベント通知の詳細については、「IBM Tivoli Directory Server Version 5.2 C-Client

SDK Programming Reference」を参照してください。

サフィックスの追加および除去サフィックスは、ローカルで保持されているディレクトリー階層の先頭の項目を識別する DN です。LDAP では相対命名方式が使用されているため、この DN は、そのディレクトリー階層内のその他すべての項目のサフィックスでもあります。ディレクトリー・サーバーは、複数のサフィックスを持つことが可能です。各サフィックスは、ローカルで保持されているディレクトリー階層を識別します (o=ibm,c=us

など)。

注: ディレクトリーには、サフィックスと一致する特定の項目を追加する必要があります。

ディレクトリーに追加する項目は、DN 値と同じサフィックスを持っている必要があります (’ou=Marketing,o=ibm,c=us’ など)。照会に含まれているサフィックスが、ローカル・データベースに対して構成されているいずれのサフィックスとも同じでない場合、この照会は、デフォルト参照で識別されている LDAP サーバーで参照されます。 LDAP デフォルト参照を指定しない場合、戻される結果には、オブジェクトが存在しない旨が示されます。

サフィックスの作成または追加サフィックスを作成または追加するには、以下のいずれかの方法を使用します。

Web 管理の使用

注: cn=localhost、cn=pwdpolicy、および cn=ibmpolicies などの定義済みのサフィックスは、追加または除去することはできません。したがって、これらのサフィックスはパネルには表示されません。

Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「サフィックス」タブを選択します。

1. サフィックス DN を入力します (c=Italy など)。サフィックスの文字の最大数は1000 です。


3. 追加するサフィックスの数だけこのプロセスを繰り返します。



コマンド行の使用コマンド行を使用してサフィックスを追加するには、以下のコマンドを発行します。



DN: cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationchangetype: modifyadd: ibm-slapdSuffixibm-slapdSuffix: <suffixname>ibm-slapdSuffix: <suffix2>ibm-slapdSuffix: <suffix3>


ldapexop -D cn=root -w root -op readconfig -scope single "cn=Directory,cn=RDBM Backends,cn=IBM Directory,cn=Schemas,cn=Configuration" ibm-slapdSuffix

サフィックスの除去サフィックスを除去するには、以下のいずれかの方法を使用します。

Web 管理の使用

注: cn=localhost、cn=pwdpolicy、および cn=ibmpolicies などの定義済みのサフィックスは、追加または除去することはできません。したがって、これらのサフィックスはパネルには表示されません。

Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「サフィックス」タブを選択します。

1. 「現在のサフィックス DN」リスト・ボックスから、除去するサフィックスを選択します。



コマンド行の使用

注: cn=localhost、cn=pwdpolicy、および cn=ibmpolicies などのシステムで定義されたサフィックスの除去は、サポートされていません。

コマンド行を使用して同じ操作を実行するには、以下のコマンドを発行します。



DN: cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationchangetype: modifydelete: ibm-slapdSuffixibm-slapdSuffix: <suffixname>ibm-slapdSuffix: <suffix2>ibm-slapdSuffix: <suffix3>




ldapexop -D cn=root -w root -op readconfig -scope single "cn=Directory,cn=RDBM Backends,cn=IBM Directory,cn=Schemas,cn=Configuration" ibm-slapdSuffix

注: 構成ユーティリティー ldapcfg、ldapucfg、および ldapxcfg を使用してサフィックスの追加および除去を行うこともできます。これらのユーティリティーの詳細については、「IBM Tivoli Directory Server インストールと構成のガイドバージョン 5.2」を参照してください。

参照の作成および除去参照を使用すると、サーバーはクライアントに対して、追加のディレクトリー・サーバーを参照するように指示することができます。参照は、代替 LDAP サーバーのURL を指定します。この代替サーバーは、現在の LDAP サーバーのいずれのサブツリーでも検索されないオブジェクトに対する要求を処理します。参照を使用すると、以下のことができます。

v 複数のサーバーにネーム・スペース情報を配布する。

v 相互に関連する一連のサーバー内のどこにデータがあるのかについて情報を提供する。

v 該当するサーバーにクライアント要求を発送する。

参照の利点のいくつかを以下に示します。

v 処理のオーバーヘッドを分散し、基本的なロード・バランシングを行う。

v 組織の境界に沿ってデータの管理を分散する。

v 組織独自の境界を超えて、広範な相互接続の可能性を提供する。

注: Linux、Solaris、および HP-UX プラットフォームでは、参照を追跡しているときにクライアントがハングした場合、システム環境で環境変数LDAP_LOCK_REC が設定されていることを確認します。特定の値を指定する必要はありません。

set LDAP_LOCK_REC=anyvalue

参照の作成参照を作成および除去する場合、Web 管理ユーティリティーを使用することをお勧めします。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「参照」タブを選択します。

1. 初期値 ldap:// で始まる参照 URL を入力します。最大長は 32700 文字です。


3. 追加する参照の数だけこのプロセスを繰り返します。

4. 参照リスト内で参照を選択し、その位置を変更するには、「上へ移動」または「下へ移動」をクリックします。 1 回クリックするごとに、選択した参照がリスト内で 1 段移動します。選択した参照が希望の位置に移動するまでクリックを繰り返します。このリストの順序で参照が構成ファイルに保管されます。




コマンド行の使用別のサーバー上のディレクトリーを参照するには、デフォルト参照を定義します。デフォルト参照を使用すると、以下を指し示すことができます。

v (階層内における) このサーバーの直接の親

v 階層内の最上位サーバーなどの、「より多くの情報を持つ」サーバー

v ネーム・スペースの非結合部分を実行する可能性がある、「より多くの情報を持つ」サーバー

注: デフォルト参照 LDAP URL には、DN 部分は含まれません。ldap:// ID とhostname:port のみが含まれています。

例を以下に示します。

ldapadd -D <adminDN> -w <adminpw> -i <filename>


# referraldn: cn=Referral, cn=Configurationcn: Referralibm-slapdReferral: ldap://dcecds3.endicott.ibm.com:389ibm-slapdReferral: ldap://<additional hostname:port>ibm-slapdReferral: ldap://<additional hostname:port>ibm-slapdReferral: ldap://<additional hostname:port>objectclass: ibm-slapdReferralobjectclass: topobjectclass: ibm-slapdConfigEntry

参照の除去参照を除去するには、以下のいずれかの方法を使用します。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「参照」タブを選択します。

1. 「現在の参照」セクションから除去する参照を選択します。


3. 確認パネルが表示されます。参照を除去する場合は、「OK」をクリックします。変更を行わずに前のパネルに戻る場合は「キャンセル」をクリックします。

4. 除去する参照の数だけこのプロセスを繰り返します。



コマンド行の使用austin.ibm.com:389 など、単一のデフォルト参照を削除するには、以下のコマンドを発行します。


ldapmodify -D <adminDN> -w <adminPW> -f <filename>


dn: cn=referral, cn= configurationchangetype: modifydelete: ibm-slapdReferralibm-slapdReferral: ldap://referral.austin.ibm.com:398

すべてのデフォルト参照を削除するには、以下の手順を実行します。

ldapdelete -D <adminDN> -w <adminPW> "cn=referral,cn=configuration"

その他の LDAP ディレクトリーへの参照の設定このセクションでは、参照オブジェクト・クラスおよび ref 属性を使用して、他のLDAP ディレクトリーへの参照を含む項目を LDAP ディレクトリー内に作成する方法を説明します。また、参照を使用して複数のサーバーを関連させる方法とその例についても説明します。

参照オブジェクト・クラスおよび ref 属性の使用参照オブジェクト・クラスおよび ref 属性は、分散されたネーム・レゾリューションを容易に行ったり、複数のサーバーに渡って検索を行ったりするために使用されます。ref 属性は、参照するサーバー内で指定する項目に示されます。ref 属性の値は、参照されるサーバー内で保持されている項目を指します。

項目の作成: 以下の構成の例では、ref 属性の使用方法が示されています。

この例で Server A は、o=ABC, c=US および o=XYZ, c=US という 2 つの項目への参照を保持しています。o=ABC, c=US 項目に関して、Server A は Server B への参照を保持しています。o=XYZ, c=US 項目に関して、Server A は Server C への参照を保持しています。

参照のセットアップの一つは、まず、管理するサブツリーに基づいて、複数のサーバーを 1 つの階層に構成することです。次に、上位の (階層のルートに近い) 情報を保持するサーバーからの「フォワード」参照を提供し、その親サーバーを指すようにデフォルト参照を設定します。

サーバーと参照との関連付け: 参照を介してサーバーの関連付けを行うには、次のようにします。

図 1. referral 属性の使用例


v 参照オブジェクトを使用して、従属参照用の他のサーバーを指示する。

v 別の場所 (通常は親サーバー) を指すデフォルト参照を定義する。

注: 参照オブジェクトは、コマンド行 LDAP ユーティリティーから -M オプションを指定することで表示できます。

他のサーバーの指示: 従属参照 (すなわち、このサーバーの下のネーム・スペースにあり、このサーバーが直接サービスを提供しない部分) 用として、他のサーバーを指し示す参照オブジェクトを使用します。

参照オブジェクトは他のオブジェクトと同様に、バックエンド (DB2) に入ります。参照オブジェクトは、以下のもので構成されています。

dn: 識別名を指定します。これは、参照されるサーバーによってサービス提供されるネーム・スペースの一部です。

objectclass:オブジェクト・クラス ″referral″ の値を指定します。

ref: サーバーの LDAP Web アドレスを指定します。この Web アドレスは、ldap:// ID、hostname:port、および DN で構成されています。ID には、ホスト名ストリング、または TCP/IP アドレスのどちらでも指定することができます。hostname:port と区切るため、DN の前にはスラッシュ (/) が必要です。また、この DN は、参照オブジェクトの DN と同じである必要があります。参照属性値に指定する DN と参照オブジェクトの DN は、同じでなければなりません。通常 DN は、参照サーバーが保持している命名コンテキストでの命名コンテキストの項目、またはその下での命名コンテキストの項目です。

dn: o=IBM,c=USobjectclass: referralref: ldap://9.130.25.51:389/o=IBM,c=US

分散されたネーム・スペースとのバインドIBM Directory アプリケーションがバインド DN と信任状を変更するように設計されていない場合、検索の実行時では、元のサーバーにバインドまたはログインするのに使用されたものと同じ DN が使用されて参照先のサーバーにバインドします。両方のサーバーにバインドして、参照を追跡できるようにするには、同じ DN に対して正しいアクセスをセットアップする必要があります。詳細については、 25ページの『Web 管理ツールへのログオン』を参照してください。

参照を使用したネーム・スペース分散の例参照を使用してネーム・スペースを分散するには、以下の手順を実行します。

1. ネーム・スペース階層を計画します。

country - UScompany - IBM, LotusorganizationalUnit - IBM Austin, IBM Endicott, IBM Raleigh, IBM HQ

2. 複数のサーバーをセットアップします。それぞれのサーバーには、ネーム・スペースの一部を含めます。


サーバーの説明を以下に示します。

Server A米国内の他のサーバーを見つけるために使用されるサーバー。最初にここを訪れれば、他の情報がなくても、クライアントは米国内の人物の情報を突き止めることができます。

Server B米国内の IBM に関するデータをすべて扱うハブ。すべての HQ 情報を直接保持しています。また、他の IBM データの場所についても、そのすべての情報 (参照) を保持しています。

Server CIBM オースティンに関するすべての情報を保持しています。

Server DIBM エンディコットに関するすべての情報を保持しています。

Server ELotus® に関するすべての情報を保持しています。

3. 他のサーバーの子孫を指すように参照オブジェクトをセットアップします。

サーバーは、デフォルト参照を定義することもできます。デフォルト参照は、ネーム・スペース内のそれらのサーバーの下にはない情報を得ることを目的として、「より多くの情報を持つ」サーバーを指すために使用されます。

注: デフォルト参照 LDAP Web アドレスには、DN 部分は含まれません。

以下は、同じ 5 つのサーバーの配置です。上位参照用に使用されるデフォルト参照だけではなく、データベース内の参照オブジェクトも示しています。

図 2. サーバーのセットアップ

図 3. Server A データベース (LDIF 入力)


属性キャッシュに対する属性の追加および除去属性キャッシュには、データベースではなくメモリーの内部でフィルターを解決できるという利点があります。また、フィルター・キャッシュのように、LDAP の追加、削除、変更、または modrdn の各操作が実行されるたびにデータがフラッシュされることはないという利点もあります。

メモリーに格納する属性を判断する場合は、以下の点を考慮する必要があります。

v サーバーで使用可能なメモリーのサイズ

図 4. 参照の例の要約


v ディレクトリーのサイズ

v アプリケーションが通常使用する検索フィルターの種類

通常は、メモリーの制約があるため、属性キャッシュに書き込む属性の数は制限することになります。キャッシュに格納する属性を決定しやすくするため、ディレクトリー・キャッシュ候補リストおよび変更ログ・キャッシュ候補リストを表示して、使用のアプリケーションによる使用頻度が高い属性検索フィルターの上位 10

種類を見つけます。詳細については、 27ページの『サーバー状況の検査』を参照してください。

属性キャッシュに対する属性の設定および追加属性キャッシュに対して属性を設定および追加するには、以下のいずれかの方法を使用します。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「属性キャッシュ」タブを選択します。

1. ディレクトリー・キャッシュに対して使用可能なメモリーのサイズをバイト単位で変更できます。デフォルト値は 16384000 キロバイト (16 KB) です。

2. 変更ログ・キャッシュに対して使用可能なメモリーのサイズをバイト単位で変更できます。デフォルト値は 16384000 キロバイト (16 KB) です。

注: 変更ログを構成していない場合、この選択は使用できません。

3. 固有属性として追加する属性を「使用可能な属性」メニューから選択します。このメニューに表示されるのは、固有のものとして指定可能な属性のみです (例:

sn)。

注: 属性は、cn=directory と cn=changelog の両方のコンテナーに置かれるまでは使用可能な属性のリストに残っています。

4. 「cn=directory への追加」または「cn=changelog への追加」のいずれかをクリックします。属性は、該当するリスト・ボックスに表示されます。両方のコンテナーに同じ属性を登録できます。

注: 変更ログを構成していない場合、「cn=changelog への追加」は使用できません。

5. 属性キャッシュに追加する属性ごとにこの処理を繰り返します。


コマンド行の使用同じ属性を持つディレクトリー属性キャッシュおよび変更ログ属性キャッシュを作成するには、以下のコマンドを発行します。



dn: cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationchangetype: modifyadd: ibm-slapdCachedAttribute


ibm-slapdCachedAttribute: sn-add: ibm-slapdCachedAttributeibm-slapdCachedAttribute: cn-add: ibm-slapdcachedattributesizeibm-slapdcachedattributesize: 16384000

dn: CN=CHANGE LOG, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationchangetype: modifyadd: ibm-slapdCachedAttributeibm-slapdCachedAttribute: sn-add: ibm-slapdCachedAttributeibm-slapdCachedAttribute: cn-add: ibm-slapdcachedattributesizeibm-slapdcachedattributesize: 16384000

属性キャッシュからの属性の除去属性キャッシュから属性を除去するには、以下のいずれかのタスクを実行します。

Web 管理の使用1. 該当するリスト・ボックスで、属性キャッシュから除去する属性をクリックして選択します。例えば、前のタスクの AIXAdminGroupId などです。


3. リストから除去する属性ごとにこの処理を繰り返します。





DN: cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationchangetype: modifydelete: ibm-slapdCachedAttributeibm-slapdCachedAttribute: sn

DN: cn=Changelog, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationchangetype: modifydelete: ibm-slapdCachedAttributeibm-slapdCachedAttribute: sn



第 10 章ディレクトリーの保護

このセクションでは、ディレクトリー内のデータをセキュアに保持するのに必要なステップについて説明します。

セキュリティー設定の構成IBM Tivoli Directory Server では、セキュア・ソケット・レイヤー (SSL) セキュリティーや Transport Layer Security (TLS) を使用してデータを暗号化することにより、LDAP のアクセスを保護することができます。 SSL または TLS により IBM

Directory との LDAP 通信をセキュアにすると、サーバー認証およびクライアント認証の両方がサポートされます。 SSL または TLS を使用するには、システムにGSKit をインストールしておく必要があります。詳細については、 80ページの『セキュア・ソケット・レイヤー』、 79ページの『Transport Layer Security』、および87ページの『gsk7ikm の使用』を参照してください。

Web 管理の使用Web 管理ツールのナビゲーション領域で「セキュリティー・プロパティーの管理」カテゴリーを展開し、「設定」タブを選択します。

1. セキュリティー接続のタイプを使用可能にするには、以下のラジオ・ボタンのいずれかを選択します。

なしサーバーがクライアントから非セキュア通信のみを受信できるようにします。デフォルトのポートは、389 です。

SSL サーバーがクライアントからセキュア通信 (デフォルトのポートは 636)

および非セキュア通信 (デフォルトのポートは 389) の両方を受信できるようにします。

SSL のみ (SSL only)サーバーがクライアントからセキュア通信のみを受信できるようにします。これは、サーバーを構成する際の最もセキュアな方法です。デフォルト・ポートは 636 です。

TLS サーバーがデフォルトのポートである 389 を介して、クライアントからセキュア通信および非セキュア通信を受信できるようにします。セキュア通信の場合、クライアントは TLS 拡張操作を開始する必要があります。詳細については、 79ページの『Transport Layer Security』を参照してください。

SSL および TLSサーバーがデフォルトのポートである 389 を介して、クライアントからセキュア通信および非セキュア通信を受信できるようにします。デフォルト・ポートでセキュア通信を行う場合、クライアントは TLS 拡張操作を開始する必要があります。サーバーは、SSL ポート 636 経由でもセキュア通信を受信します。詳細については、 79ページの『Transport

Layer Security』を参照してください。


注:

a. 「TLS オプション」と「SSL および TLS オプション」が使用できるのは、サーバーが TLS をサポートしている場合のみです。

b. 「TLS」と「SSL」を同時に使用することはできません。セキュア・ポート経由で TLS 開始要求を送信すると、操作エラーが発生します。

2. 認証方法を選択します。

注: 各クライアントにサーバー証明書を配布する必要があります。サーバーおよびクライアント認証の場合は、各クライアント証明書をサーバーの鍵データベースに追加する必要があります。

以下のいずれかのラジオ・ボタンを選択します。

サーバー認証

サーバー認証を行う場合 IBM Tivoli Directory Server は、最初の SSL

ハンドシェーク中に、クライアントに対して IBM Tivoli Directory

Server の X.509 証明書を提供します。クライアントがサーバーの証明書の妥当性検査を行うと、暗号化されたセキュアな通信チャネルが IBM

Tivoli Directory Server とクライアント・アプリケーションとの間に確立されます。

サーバー認証を機能させるには、IBM Tivoli Directory Server の鍵データベース・ファイル内に、秘密鍵および関連するサーバー証明書が必要です。

サーバーおよびクライアントの認証このタイプの認証では、LDAP クライアントと LDAP サーバーとの間で、双方向の認証が提供されます。クライアント認証の場合、LDAP クライアントは、X.509 標準に基づいたディジタル証明書を持っている必要があります。このディジタル証明書は、IBM Tivoli Directory Server

に対して、LDAP クライアントを認証するために使用します。 85ページの『クライアント認証』を参照してください。

3. 使用するセキュア・ポート番号を指定します。デフォルト・ポートは 636 です。


5. 変更内容を有効にするには、IBM Tivoli Directory Server と管理デーモンの両方を停止して再始動する必要があります。

a. サーバーを停止します。

b. 以下のいずれかの方法を使用して、管理デーモンを停止します。

v 以下のコマンドを発行します。

ibmdirictl -D <adminDN> -w <adminPW> admstop


ps -ef | grep ibmdiradmkill -p <pid obtained by previous command>


v Windows ベースのシステムの場合は、「コントロールパネル」->「サービス」を使用し、「IBM Directory Admin Daemon」を選択し、「停止」をクリックします。

c. 管理デーモンを始動します。


ibmdiradm

v Windows ベースのシステムの場合は、「コントロールパネル」->「サービス」を使用し、「IBM Directory Admin Daemon」を選択し、「開始」をクリックします。

d. サーバーを始動します。

コマンド行の使用コマンド行を使用して SSL 通信を構成するには、以下のコマンドを発行します。

ldapmodify -D <adminDN> -w <adminPW> -i <filename>


dn: cn=SSL,cn=Configurationchangetype: modifyreplace: ibm-slapdSslAuthibm-slapdSslAuth: {serverAuth | serverClientAuth}-replace: ibm-slapdSecurityibm-slapdSecurity: {none | SSL | SSlOnly | TLS | SSLTLS}

変更した内容を有効にするには、サーバーおよび管理デーモンを再始動する必要があります。

Transport Layer SecurityTransport Layer Security (TLS) は、クライアントとサーバー間の通信におけるプライバシーおよびデータ保全性を確保するプロトコルです。

TLS は次の 2 つの層で構成されています。

TLS Record ProtocolData Encryption Standard (DES) や RC4 などのデータ暗号化方式を適用するか、または暗号化を適用せずに接続のセキュリティーを提供します。この対称暗号化の鍵は、接続ごとに一意に生成され、TLS Handshake Protocol によってネゴシエーションが行われる秘密鍵が基になっています。 TLS

Record Protocol は、暗号化なしでも使用できます。

TLS Handshake Protocolこのプロトコルでは、サーバーとクライアントが互いに認証し合い、データを交換する前に暗号化アルゴリズムと暗号鍵のネゴシエーションを実行できます。

TLS は、クライアントのユーティリティーから -Y オプションを使用して起動します。

注: TLS と SSL を同時に使用することはできません。 SSL ポートを介して TLS

の開始要求 (-Y オプション) を発行すると、操作エラーが発生します。

第 10 章ディレクトリーの保護 79

セキュア・ソケット・レイヤーIBM Tivoli Directory Server では、セキュア・ソケット・レイヤー (SSL) のセキュリティーを使用してデータを暗号化することにより LDAP のアクセスを保護することができます。SSL により IBM Directory との LDAP 通信をセキュアにすると、サーバー認証およびクライアント認証の両方がサポートされます。

サーバー認証では、IBM Tivoli Directory Server が X.509 規格に基づくディジタル証明書を持っている必要があります。このディジタル証明書は、クライアント・アプリケーション (Directory Management Tool または ldapsearch など) やアプリケーション開発パッケージで構築したアプリケーションに対して IBM Tivoli Directory

Serverを認証し、SSL 上で LDAP アクセスを行うために使用されます。

サーバー認証を行う場合 IBM Tivoli Directory Server は、最初の SSL ハンドシェーク中に、クライアントに対して IBM Tivoli Directory Server の X.509 証明書を提供します。クライアントがサーバーの証明書の妥当性検査を行うと、暗号化されたセキュアな通信チャネルが IBM Tivoli Directory Server とクライアント・アプリケーションとの間に確立されます。

サーバー認証を機能させるには、IBM Tivoli Directory Server の鍵データベース・ファイル内に、秘密鍵および関連するサーバー証明書が必要です。

クライアント認証では、LDAP クライアントと LDAP サーバーとの間で、双方向の認証が提供されます。

クライアント認証の場合、LDAP クライアントは、X.509 標準に基づいたディジタル証明書を持っている必要があります。このディジタル証明書は、IBM Tivoli

Directory Server に対して、LDAP クライアントを認証するために使用します。 85

ページの『クライアント認証』を参照してください。

インターネット上でビジネスを行う場合は、VeriSign などのよく知られた認証局(CA) を利用して、信頼性の高いサーバー証明書を取得することをお勧めします。

SSL によるサーバーのセキュリティー保護IBM Directory の SSL 機能をオンにしてサーバー認証を行うには、以下のハイレベルなステップを実行する必要があります。これらのステップでは、IBM Tivoli

Directory Server がすでにインストールされ、構成されていることを前提にしています。

1. IBM Directory GSKit パッケージをインストールします (まだインストールしていない場合)。GSKit パッケージのインストールについては、IBM Tivoli

Directory Server インストールと構成のガイドバージョン 5.2 を参照してください。

2. gsk7ikm ユーティリティー (GSKit とともにインストールされます) を使用して、IBM Tivoli Directory Server 秘密鍵およびサーバー証明書を生成します。サーバーの証明書は、VeriSign などの商用 CA (commercial CA) から署名を受けることも、gsk7ikm ツールで自己署名することもできます。CA の公的証明書 (または自己署名証明書) は、クライアント・アプリケーションの鍵データベース・ファイルにも配布する必要があります。


3. サーバーの鍵データベース・ファイルおよび関連付けられたパスワード stash ファイルをサーバーに保管します。通常、これらのファイルは、鍵データベースのデフォルト・パスである ...¥ldap¥etc ディレクトリーに保管します。

4. Web ベースの LDAP 管理インターフェースにアクセスして、LDAP サーバーを構成します。手順については、 77ページの『Web 管理の使用』を参照してください。

マスター IBM Tivoli Directory Server と 1 つ以上のレプリカ・サーバーとの間でもセキュア通信を確立する場合は、さらに以下のステップを実行する必要があります。

1. レプリカ・ディレクトリー・サーバーを構成します。

注: マスターについては、上記のステップを実行しますが、各レプリカについては、このステップを実行しません。SSL を使用するようにレプリカを構成した場合、SSL 使用時のレプリカとマスターは、同等の役割を持ちます。レプリカと通信するときにマスターは、(SSL を使用する) LDAP クライアントになります。

2. マスター・ディレクトリー・サーバーを構成します。

a. マスター・ディレクトリー・サーバーの鍵データベース・ファイルに、レプリカの署名されたサーバー証明書をトラステッド・ルートとして追加します。この場合、マスター・ディレクトリーは、実際の LDAP クライアントになります。自己署名証明書を使用する場合は、 IBM Tivoli Directory Server

の各レプリカから自己署名証明書をすべて抽出し、それらをマスターの鍵データベースに追加して、トラステッド・ルートとしてマーク付けする必要があります。基本的にマスターは、レプリカ・サーバーの SSL クライアントとして構成します。

b. レプリカ・サーバーを認識するように、マスターの IBM Tivoli Directory

Server を構成します。 IBM Tivoli Directory Server のレプリカが SSL 通信で利用するポートを使用するには、replicaPort 属性を設定する必要があります。

3. マスター・サーバーと各レプリカ・サーバーをともに再始動します。

注: 使用できる鍵データベースは、LDAP サーバー当たり 1 つのみです。

サーバー認証の設定: サーバー認証用に、cn=SSL, cn=Configuration 項目のibmslapd.conf ファイルを変更できます。Web 管理ツールを使用するには、 77ページの『Web 管理の使用』を参照してください。

コマンド行を使用するには、以下を行います。



dn: cn=SSL,cn=Configurationchangetype: modifyreplace: ibm-slapdSSLAuthibm-slapdSSLAuth: serverAuth



外部認証局 (CA) からのサーバー証明書IBM Directory とそのクライアントとの間でセキュア通信を確立するには、サーバーが X.509 証明書と秘密鍵を持っている必要があります。

秘密鍵を生成し、必要なサーバー証明書を外部 CA から取得して、さらに、IBM

Directory でそれらを使用できるように準備するには、以下の手順を実行します。

1. 管理者またはルートとしてログオンします。

2. 鍵データベース・ファイルを作成するディレクトリーに移動します。このディレクトリーは、秘密鍵および証明書を保管するディレクトリーでもあります。

3. gsk7ikm を実行し、新規の鍵データベース・ファイルを作成します。鍵データベース・ファイルの名前には、有効であれば、任意の値を指定できます。どのようなファイル名を付けても、SSL を使用するように LDAP サーバーを構成するときに、そのファイル名を指定する必要があります。絶対パス名を指定する必要があることに注意してください。秘密鍵と公開鍵のペアおよび認証要求を生成するときは、gsk7ikm ユーティリティーを使用します。詳細については、 87ページの『gsk7ikm の使用』を参照してください。

注: デフォルトでは、GSKit によって作成された新規 KDB はサーバーから読み取れません。所有者を ldap に変更する必要があります。

chown ldap:ldap <mykeyring>.*

詳細については、 363ページの『Kerberos』を参照してください。

4. VeriSign を外部 CA として使用している場合は、以下のようにして VeriSign から証明書を取得します。

a. VeriSign Web サイトの http://digitalid.verisign.com/server_ids.html にアクセスします。

b. 「IBM Internet Connection Server」をクリックします。

c. このサイトの情報を確認したら、「開始」をクリックします。

d. 必要な情報を提供し、必要なステップに従って、ユーザーのサーバー証明書を要求します。VeriSign は、外部で生成された高保証サーバー証明書を取得するためにサポートされる、主要な認証局です。

5. 他の CA を使用する場合は、その CA の指示に従って、認証要求ファイルの内容を提出します。

作成された証明書を CA から受け取るには、以下の手順を実行します。

1. ユーザーのサーバー ID を使用してログオンします。

2. 鍵データベース・ファイルを作成したディレクトリーに移動します。

3. CA からの署名付き証明書をこのディレクトリーのファイルに格納します。このファイルは、次のステップで使用されます。

4. 同じディレクトリーから gsk7ikm を実行し、証明書を鍵データベース・ファイル内に取り込みます。

5. LDAP サーバーの Web 管理インターフェースにアクセスし、鍵データベース・ファイルのファイル仕様も含めて各種の SSL パラメーターを構成します。 77ページの『Web 管理の使用』を参照してください。

6. 鍵データベース・ファイルに複数の証明書がある場合は、 IBM Directory で使用する証明書をデフォルトに設定する必要があります。


http://digitalid.verisign.com/server_ids.html

7. IBM Directory を開始します。

注: パスワードをパスワード stash ファイル内に保管するように gsk7ikm に指示した場合は、 ibmslapd.conf ファイル内のパスワードを変更または設定する必要はありません。

自己署名サーバー証明書の使用イントラネット環境で IBM Directory を使用している場合は、gsk7ikm を使用して、ユーザー自身のサーバー証明書を作成します。 gsk7ikm を使用すると、VeriSign の高保証サーバー証明書を取得しなくても、 SSL を使用する IBM

Directory をテストできます。このタイプの証明書は、自己署名証明書と呼ばれます。

自己署名証明書を使用して鍵データベース・ファイルを作成するには、以下の手順を実行します。

1. 各サーバー上では、以下を実行します。

a. 鍵データベース・ファイルを作成するディレクトリーに移動します。このディレクトリーは、秘密鍵および証明書を保管するディレクトリーでもあります。

b. 新規の鍵データベース・ファイル、および CA 証明書として使用される自己署名証明書要求を作成します。

v 使用可能な最大鍵サイズを使用します。

v 低保証の証明書ではなく、セキュア・サーバー証明書を使用します。

c. 認証要求ファイルを取得します。この証明書は gsk7ikm ツールにより、自動的に鍵データベース・ファイルに取り込まれます。

2. クライアント用に作成されたアプリケーションを使用している場合は、各クライアント・マシン上で以下を実行します。

a. CA 証明書要求ファイルをクライアント・マシン上のアクセス可能な場所に配置します。

b. CA 証明書要求ファイルをクライアントの鍵データベースに取り込みます。

c. 取り込んだ証明書要求ファイルをトラステッド・ルートとしてマーク付けします。

詳細については、 87ページの『gsk7ikm の使用』を参照してください。

注:

1. サーバー証明書をサーバーの鍵データベース・ファイルに取り込むときは、事前に CA 証明書をサーバーの鍵データベース・ファイルに取り込み、それをトラステッド・ルートとしてマーク付けしておく必要があります。

2. gsk7ikm を使用して IBM Tivoli Directory Server の鍵データベース・ファイルを管理するときは、必ずその鍵データベース・ファイルが入っているディレクトリーに移動するようにしてください。

3. IBM Tivoli Directory Server は、それぞれ独自の秘密鍵と証明書を持っている必要があります。複数の IBM Tivoli Directory Server が、同じ秘密鍵と証明書を使用していると、セキュリティー上のリスクが高くなります。サーバーのいずれか


の鍵データベース・ファイルが危険にさらされた場合でも、各サーバーごとに異なる証明書と秘密鍵を使用していれば、機密漏れを最小限にとどめることができます。

LDAP クライアントの設定と IBM Directory へのアクセスLDAP クライアントの中には、1 つ以上の自己署名サーバー証明書を持ち、それがクライアントによって「トラステッド」とマーク付けされているものがあります。そうした LDAP クライアントの鍵データベース・ファイルを作成するには、以下のステップを実行する必要があります。このプロセスを使用すると、トラステッド・ルートとして使用するクライアントの鍵データベース・ファイルに、他のソース、VeriSign などからの CA 証明書をインポートすることもできます。トラステッド・ルートとは、信用できるエンティティー (VeriSign や自己署名サーバー証明書の作成者など) が署名した X.509 証明書のことです。トラステッド・ルートは、クライアントの鍵データベース・ファイルにインポートされ、トラステッドとしてマーク付けされます。

1. サーバーの証明書ファイル (cert.arm) をクライアント・ワークステーションにコピーします。

2. gsk7ikm を実行し、新規クライアント鍵データベース・ファイルを作成するか既存の鍵データベース・ファイルにアクセスします。新しいクライアント鍵データベースについては、管理を容易にするために、クライアントと関連したファイル名を選択してください。例えば、LDAP クライアントが Fred のマシン上で実行されている場合は、ファイル名を FRED.KDB のように選択します。

3. サーバーの証明書を既存のクライアント鍵データベースに追加するには、以下を実行します。

a. 「鍵データベース・ファイル (Key database file)」をクリックし、「開く」をクリックします。

b. 既存の鍵データベース・ファイルのパスおよび名前を入力し、「OK」をクリックします。

c. パスワードを入力します。

d. 「署名者証明書を確認 (Ensure signer certificates)」が選択されています。「追加」をクリックします。

e. サーバーの証明書ファイルの名前および場所を入力します。

f. サーバー証明書項目のラベル (Corporate Directory Server など) を、クライアントの鍵データベース・ファイルに入力し、「OK」をクリックします。

4. 新しいクライアント鍵データベースを作成するには、以下を実行します。

a. 「鍵データベース・ファイル (Key database file)」をクリックし、「新規(New)」をクリックします。

b. 新しいクライアント鍵データベースの名前と場所を入力し、「OK」をクリックします。

c. パスワードを入力します。

d. 新しいクライアント鍵データベースが作成されたら、上記の (サーバーの証明書を既存の鍵データベース・ファイルに追加する) ステップを繰り返します。

5. gsk7ikm を終了します。

詳細については、 87ページの『gsk7ikm の使用』を参照してください。


LDAP クライアントとサーバーとの間にセキュア SSL 接続が確立されると、LDAP

クライアントは、サーバーの自己署名証明書を使用して、接続先のサーバーが正しいことを確認します。

LDAP クライアントがセキュアに接続する必要のある IBM Tivoli Directory Server

ごとに、上記のステップを繰り返します。

鍵データベース・ファイルへの鍵リング・ファイルのマイグレーションMKKF ユーティリティーで作成された古い鍵リング・ファイルをマイグレーションするには、以下の手順を実行します。

1. gsk7ikm を始動します。

2. 「鍵データベース・ファイル (Key database file)」をクリックし、「開く」をクリックします。

3. 鍵リング・ファイルのパスおよびファイル名を入力し、「OK」をクリックします。

4. 鍵リング・ファイルのパスワードを入力します。パスワードを指定せずに鍵リング・ファイルを作成した場合は、古い MKKF を使用して、このファイルに必ずパスワードを割り当てる必要があります。

5. 古い鍵リング・ファイルを開いたら、「鍵データベース・ファイル (Keydatabase file)」をクリックし、「名前を付けて保存」を選択します。

6. 鍵データベースのタイプが CMS 鍵データベース・ファイルに設定されていることを確認します。鍵データベース・ファイルの名前と場所を入力し、「OK」をクリックします。

クライアント認証クライアント認証では、LDAP クライアントと LDAP サーバーとの間で、双方向の認証が提供されます。

クライアント認証の場合、LDAP クライアントは、X.509 標準に基づいたディジタル証明書を持っている必要があります。このディジタル証明書は、IBM Tivoli

Directory Server に対して、LDAP クライアントを認証するために使用します。

Simple Authentication and Security Layer (SASL) を使用すると、接続プロトコルに認証サポートを追加することができます。プロトコルには、サーバーに対してユーザーを識別および認証するためのコマンドが含まれています。SASL は、必要に応じて、後続のプロトコル対話用のセキュリティー・レイヤーをネゴシエーションできます。

サーバーは、認証コマンドまたはクライアント応答を受け取ると、ユーザー確認のための質問を発行するか、あるいは、障害の発生もしくは処理の完了を知らせます。クライアントは、ユーザー確認のための質問を受け取ると、プロトコルのプロファイルに応じて、応答を発行したり、交換を終了したりします。

認証プロトコルの交換時に、SASL メカニズムは認証を実行し、クライアントからサーバーに許可 ID (userid と呼ばれる) を送信して、メカニズム固有のセキュリティー・レイヤーの使用をネゴシエーションします。


LDAP サーバーは、クライアントから LDAP バインド要求を受け取ると、以下の順序でその要求を処理します。

1. サーバーは LDAP バインド要求を構文解析して、以下の情報を検索します。

v クライアントが認証を試みるときの DN。

v 使用する認証方式。

v 信任状 (要求に含まれるパスワードなど)。

v 認証方式が SASL の場合、サーバーは、使用する SASL メカニズムの名前もLDAP バインド要求から検索します。

2. サーバーは、要求から検索した DN を正規化します。

3. サーバーは、LDAP バインド要求に含まれる LDAP コントロールを検索します。

4. 認証方式が SASL の場合、サーバーは、(要求で指定された) SASL メカニズムがサポートされているかどうかを判別します。その SASL メカニズムがサポートされていない場合、サーバーは、クライアントにエラー戻りコードを送り、バインド処理を終了します。

5. SASL メカニズムがサポートされており (=EXTERNAL)、SSL 認証タイプがサーバーおよびクライアントの認証の場合、サーバーは、既知の CA から発行されたクライアント証明書が有効であるかどうかを検査するとともに、クライアントの証明書チェーン上の証明書に無効なものや取り消されたものがないかも検査します。ldap_sasl_bind で指定されたクライアント DN およびパスワードがNULL の場合は、クライアントの x.509v3 証明書に入っている DN が、後続のLDAP 操作に対する認証された ID として使用されます。それ以外の場合、クライアントは、無名で認証されるか (DN およびパスワードが NULL の場合)、またはそのクライアントが提供したバインド情報に基づいて認証されます。

6. 認証方式が単純認証の場合、サーバーは、DN が空ストリングであるかどうか、または信任状がないかどうかを検査します。

7. DN が空ストリングの場合、または、DN も信任状も指定されていない場合、サーバーは、クライアントが無名でバインドしているものと見なし、そのクライアントに有効な結果を戻します。接続用の DN および認証方式は、それぞれNULL および LDAP_AUTH_NONE のまま変わりません。

8. クライアントがまだバインドされておらず、バインド操作中に証明書が存在しない場合は、接続は拒否されます。

クライアント認証の設定: クライアント認証用に、cn=SSL, cn=Configuration 項目の ibmslapd.conf ファイルを変更できます。Web 管理ツールを使用するには、 77ページの『Web 管理の使用』を参照してください。

コマンド行を使用するには、以下を行います。



dn: cn=SSL,cn=Configurationcn: SSLchangetype: modifyreplace: ibm-slapdSSLAuthibm-slapdSSLAuth: serverClientAuth



gsk7ikm の使用次に説明する鍵管理プログラム gsk7ikm は、 IBM グローバル・セキュリティー・キット (GSKit) とともに提供されます。このプログラムは、鍵ファイルを管理するための使いやすい GUI で、 Java アプレットとしてインプリメントされています。

注: AIX オペレーティング・システムでは、JAVA_HOME を設定するようにプロンプトが出された場合は、システムにインストールされている Java または IBM

Tivoli Directory Server に組み込まれている Java のバージョンに設定することができます。IBM Tivoli Directory Server バージョンを使用する場合は、LIBPATH 環境変数を以下のように設定する必要もあります。

export LIBPATH=/usr/ldap/java/bin:/usr/ldap/java/bin/classic:$LIBPATH

gsk7ikm ユーティリティーでは、公開鍵と秘密鍵のペアの作成、認証要求の作成、認証要求の鍵データベース・ファイルへの取り込み、および鍵データベース・ファイル内の鍵の管理を行うことができます。

gsk7ikm では、以下のタスクを実行できます。

v 鍵ペアの作成と認証局からの証明書の要求

v 証明書の鍵データベース・ファイルへの保管

v 鍵と証明書の管理

– 鍵データベース・パスワードの変更

– 鍵に関する情報の表示

– 鍵の削除

– 鍵を鍵データベースのデフォルト鍵にすること

– 自己署名用の鍵ペアと認証要求の作成

– 鍵のエクスポート

– 鍵の鍵データベースへのインポート

– 鍵をトラステッド・ルートとして指定する

– トラステッド・ルート鍵の指定を解除する

– 既存の鍵の証明書要求

v 鍵リング・ファイルの鍵データベース・フォーマットへのマイグレーション

鍵ペアの作成と認証局からの証明書の要求クライアントおよびサーバー認証を必要とする LDAP サーバーにクライアント・アプリケーションを接続するには、公開鍵と秘密鍵のペア、および証明書を作成する必要があります。

サーバー認証のみを必要とする LDAP サーバーにクライアント・アプリケーションが接続している場合は、公開鍵と秘密鍵のペア、および証明書を作成する必要はありません。この場合は、トラステッド・ルートとしてマーク付けされたクライアント鍵データベース・ファイルに証明書を保管するのみで構いません。サーバーの証明書を発行した認証局 (CA) がクライアント鍵データベースにまだ定義されていな


い場合は、CA からの CA 証明書を要求し、それを鍵データベースに保管し、トラステッドとしてマーク付けする必要があります。 94ページの『鍵をトラステッド・ルートとして指定する』を参照してください。

クライアントは、自分の秘密鍵を使用して、サーバーに送信するメッセージに署名します。サーバーは、自分に送信されるメッセージを暗号化するための公開鍵をクライアントに送信します。サーバーは、その公開鍵で暗号化されたメッセージを自分の秘密鍵で暗号解除します。

クライアントが自分の公開鍵をサーバーに送信するには、クライアントの証明書が必要です。証明書には、クライアントの公開鍵、クライアント証明書に関連付けられた識別名、証明書のシリアル番号、および証明書の有効期限が含まれます。証明書は、クライアントの ID を検査する CA から発行されます。

一般に、CA によって署名される証明書を作成するには、以下の手順を実行します。

1. gsk7ikm を使用して認証要求を作成します。

2. 作成した認証要求を CA に実行依頼します。認証要求を CA に実行依頼するには、電子メールを使用するか、CA の Web ページのオンライン実行依頼を利用します。

3. CA からの応答をサーバーのファイルシステム上のアクセス可能な場所に保管します。

4. 証明書を鍵データベース・ファイルに保管します。

注: トラステッド CA のデフォルト・リストにない CA から署名付きのクライアント証明書を取得する場合は、その CA の証明書を取得し、それを鍵データベースに保管して、トラステッドとしてマーク付けする必要があります。これは、署名付きクライアント証明書を鍵データベース・ファイルに保管する前に行う必要があります。

公開鍵と秘密鍵のペアを作成して証明書を要求するには、以下の手順を実行します。

1. 以下のコマンドを入力して、gsk7ikm Java ユーティリティーを開始します。

gsk7ikm

2. 「鍵データベース・ファイル (Key database file)」を選択します。

3. 「新規」を選択します (鍵データベースがすでに存在する場合は、「開く」を選択します)。

4. 鍵データベース・ファイルの名前と場所を指定します。「OK」をクリックします。

注: 鍵データベースは、1 つ以上の鍵ペアと証明書を保管するためにクライアントやサーバーが使用するファイルです。

5. 指示に従って、鍵データベース・ファイルのパスワードを入力します。「OK」をクリックします。

6. 「作成」を選択します。

7. 「新規認証要求 (New certificate request)」を選択します。


8. ユーザー割り当てラベルを鍵ペアに指定します。鍵データベース・ファイル内の鍵ペアと証明書は、このラベルで識別されます。

9. 低保証クライアント証明書を要求する場合は、共通名を入力します。共通名は、固有なユーザー名でなければなりません。

10. 高保証セキュア・サーバー証明書を要求する場合は、以下を行う必要があります。

v サーバーの X.500 共通名を入力します。通常は、www.ibm.com のようなTCP/IP 完全修飾ホスト名として入力します。 VeriSign サーバー証明書を入手するには、完全修飾ホスト名を指定する必要があります。

v 組織名を入力します。これは、組織の名前です。VeriSign セキュア・サーバー証明書を入手する場合、VeriSign のアカウントがすでにあるときは、そのアカウントと同じ名前をこのフィールドに入力する必要があります。

v 組織の単位名を入力します。このフィールドは、必要に応じて入力します。

v サーバーが設置されている地域を入力します。このフィールドは、必要に応じて入力します。

v サーバーが設置されている都道府県の省略形 (3 文字) を入力します。

v サーバーの設置場所の郵便番号を入力します。

v サーバーの設置場所の国別コード (2 文字) を入力します。


12. 認証要求ファイルの名前と場所を確認するメッセージが表示されます。「OK」をクリックします。

13. 認証要求を CA に送信します。

VeriSign の低保証証明書またはセキュア・サーバー証明書を要求する場合は、電子メールで VeriSign に認証要求を送る必要があります。

低保証認証要求の場合は、簡単な書式で VeriSign に電子メールを送ることができます。セキュア・サーバー認証要求の場合は、所定の書式に従って電子メールを送る必要があります。セキュア・サーバー認証要求の書式については、http://www.verisign.com/ibm を参照してください。

14. CA から証明書を受け取ったら、それを鍵ペアが保管されている鍵データベースに保管します。証明書を鍵データベースに保管するには gsk7ikm を使用します。『証明書の鍵データベースへの保管』を参照してください。

注: 鍵データベース・パスワードは定期的に変更するようにしてください。パスワードに有効期限を設定した場合は、パスワード変更の時期を常に把握しておく必要があります。パスワード変更前にパスワードが失効すると、パスワードを変更するまで鍵データベースを使用できません。

証明書の鍵データベースへの保管CA から応答を受け取ったら、証明書を鍵データベースに保管する必要があります。

証明書を鍵データベースに保管するには、以下の手順を実行します。

1. gsk7ikm と入力して、Java ユーティリティーを開始します。


3. 「開く」を選択します。





6. 「作成」を選択します。

7. 中央のウィンドウにある「個人用証明書」を選択します。

8. 「受取」をクリックします。

9. CA から受け取った署名付き証明書を入れる証明書ファイルの名前と場所を入力します。「OK」をクリックします。

鍵データベース・パスワードの変更鍵データベース・パスワードを変更するには、以下の手順を実行します。







7. 「パスワードの変更」を選択します。

8. <New password> を入力します。

9. <New password> を確認します。

10. 必要があれば、パスワードの有効期限を選択して設定します。

11. パスワードを暗号化してディスクに保管する場合は、「ファイルに対してパスワードを隠しておきますか ?」を選択します。


13. stash パスワード・ファイルの名前と場所が示されたメッセージが表示されます。「OK」をクリックします。

注: パスワードは秘密鍵を保護するので重要です。秘密鍵は、文書に署名したり、公開鍵で暗号化されたメッセージを暗号解除したりするために使用できる唯一の鍵です。

鍵に関する情報の表示鍵に関する情報 (名前、サイズ、トラステッド・ルートであるかどうかなど) を表示するには、以下の手順を実行します。







6. 個人用証明書として指定した鍵に関する情報を表示させるには、以下を行います。

v 「鍵データベースの内容 (Key database content)」ウィンドウの上部にある「個人証明書」を選択します。

v 証明書を選択します。

v 「表示/編集」をクリックし、選択した鍵の情報を表示します。

v 「OK」をクリックし、個人証明書のリストに戻ります。

7. 署名者の証明書として指定された鍵の情報を表示するには、以下の手順を実行します。

v 「鍵データベースの内容 (Key database content)」ウィンドウの上部にある「署名者の証明書」を選択します。

v 証明書を選択します。

v 「表示/編集」をクリックし、選択した鍵の情報を表示します。

v 「OK」をクリックし、署名者の証明書のリストに戻ります。

鍵の削除鍵を削除するには、以下の手順を実行します。






6. 「鍵データベースの内容 (Key database content)」ウィンドウの上で、削除する鍵のタイプ (個人用証明書、署名者証明書、または個人用認証要求) を選択します。

7. 証明書を選択します。


9. 削除の確認には「はい」をクリックします。

鍵を鍵リング内のデフォルト鍵にするデフォルト鍵は、サーバーがセキュアな通信のために使用する秘密鍵でなければなりません。

鍵を鍵リング内のデフォルト鍵にするには、以下の手順を実行します。







6. 「鍵データベースの内容 (Key database content)」ウィンドウの上部にある「個人証明書」を選択します。

7. 希望する証明書を選択します。

8. 「表示/編集」を選択します。

9. 「証明書をデフォルトとして設定」チェック・ボックスを選択します。「OK」をクリックします。

自己署名用の鍵ペアと認証要求の作成定義上、セキュア・サーバーには、公開鍵と秘密鍵のペア、および証明書が必要です。

サーバーは、自分の秘密鍵を使用して、クライアントに送信するメッセージに署名します。サーバーは、自分に送信されるメッセージを暗号化するための公開鍵をクライアントに送信します。サーバーは、その公開鍵で暗号化されたメッセージを自分の秘密鍵で暗号解除します。

サーバーが自分の公開鍵をクライアントに送信するには、サーバーの証明書が必要です。証明書には、サーバーの公開鍵、サーバー証明書に関連付けられた識別名、証明書のシリアル番号、および証明書の有効期限が含まれます。証明書は、サーバーの ID を検査する CA から発行されます。

ユーザーは、以下の証明書のいずれかを要求できます。

v VeriSign から発行される低保証証明書。これは、機密保護機能のある環境のベータ・テストなど、非商用目的に最適です。

v インターネット上で商用ビジネスを行うためのサーバー証明書。VeriSign やその他の CA から入手できます。

v 自己署名サーバー証明書 (プライベートな Web ネットワークにおいて、自分自身の CA として機能する場合)。

VeriSign などの CA を利用してサーバー証明書に署名する方法については、 87ページの『鍵ペアの作成と認証局からの証明書の要求』を参照してください。

一般に、自己署名証明書を作成するには、以下の手順を実行します。



3. 「新規」を選択します (鍵データベースがすでに存在する場合は、「開く」を選択します)。


注: 鍵データベースは、1 つ以上の鍵ペアと証明書を保管するためにクライアントやサーバーが使用するファイルです。


6. 「新規自己署名 (New self-signed)」をクリックします。

7. 以下の情報を指定します。


v 鍵ペアのユーザー割り当てラベル。鍵データベース・ファイル内の鍵ペアと証明書は、このラベルで識別されます。

v 希望する証明書のバージョン。

v 希望する鍵のサイズ。

v サーバーの X.500 共通名。通常は、www.ibm.com のような TCP/IP 完全修飾ホスト名として入力します。

v 組織名。これは、組織の名前です。

v 組織の単位名。このフィールドは、必要に応じて入力します。

v サーバーが設置されている地域。このフィールドは、必要に応じて入力します。

v サーバーが設置されている都道府県の省略形 (3 文字)。

v サーバーが設置されている場所の郵便番号。

v サーバーの設置場所の国別コード (2 文字)。

v 証明書の有効期間。


鍵のエクスポート鍵ペアまたは証明書を別のコンピューターに転送する必要がある場合は、鍵データベースからファイルに鍵ペアをエクスポートします。転送先のコンピューターでは、鍵ペアを鍵リングにインポートします。

鍵データベースから鍵をエクスポートするには、以下の手順を実行します。








8. 「エクスポート/インポート」をクリックします。

9. 「アクション・タイプ (Action type)」として「鍵をエクスポート (Exportkey)」を選択します。

10. 鍵ファイル・タイプとして、以下のいずれかを選択します。

v PKCS12 ファイル

v CMS 鍵データベース・ファイル

v 鍵リング・ファイル (mkkf によって使用されます。)

v SSLight 鍵データベース・クラス

11. ファイル名を指定します。

12. 場所を指定します。



14. ファイルの必須パスワードを入力します。「OK」をクリックします。

鍵のインポート鍵リングに鍵をインポートするには、以下の手順を実行します。









9. 「アクション・タイプ (Action type)」として「鍵をインポート (Importkey)」を選択します。

10. 希望する鍵付きファイル・タイプを選択します。

11. ファイルの名前と場所を入力します。


13. ソース・ファイルの必須パスワードを入力します。「OK」をクリックします。

鍵をトラステッド・ルートとして指定するトラステッド・ルート鍵は、公開鍵と関連付けられた CA の識別名を合わせたものです。新しい鍵データベースごとに、以下のトラステッド・ルートが自動的に定義されます。

v Integrion Certification Authority Root

v IBM World Registry™ Certification Authority

v Thawte Personal Premium CA

v Thawte Personal Freeemail CA

v Thawte Personal Basic CA

v Thawte Premium Server CA

v VeriSign Test CA Root Certificate

v RSA Secure Server Certification Authority

v VeriSign Class 1 Public Primary Certification Authority




注: 上記の各トラステッド・ルートは、デフォルトで最初からトラステッド・ルートになるように設定されます。


鍵をトラステッド・ルートとして指定するには、以下の手順を実行します。






6. 「鍵データベースの内容 (Key database content)」ウィンドウの上部にある「署名者の証明書」を選択します。



9. 「証明書をトラステッド・ルートとして設定」チェック・ボックスを選択し、「OK」をクリックします。

10. 「鍵データベース・ファイル (Key database file)」を選択し、「閉じる」を選択します。

トラステッド・ルート鍵の指定解除トラステッド・ルート鍵は、公開鍵と関連付けられた CA の識別名を合わせたものです。新しい鍵データベースごとに、以下のトラステッド・ルートが自動的に定義されます。

v Integrion Certification Authority Root

v IBM World Registry Certification Authority

v Thawte Personal Premium CA

v Thawte Personal Freeemail CA

v Thawte Personal Basic CA

v Thawte Premium Server CA

v VeriSign Test CA Root Certificate

v RSA Secure Server Certification Authority





注: 上記の各トラステッド・ルートは、デフォルトで最初からトラステッド・ルートになるように設定されます。

鍵のトラステッド・ルート状況を解除するには、以下の手順を実行します。







6. 「鍵データベースの内容 (Key database content)」ウィンドウの上部にある「署名者の証明書」を選択します。



9. 「証明書をトラステッド・ルートとして設定」チェック・ボックスをクリアします。「OK」をクリックします。


既存の鍵の認証要求既存の鍵の認証要求を作成するには、以下の手順を実行します。









9. 「アクション・タイプ (Action type)」として「鍵をエクスポート (Exportkey)」を選択します。

10. 必要なデータ・タイプを以下から選択します。

v Base 64 エンコード ASCII データ

v Binary DER データ

v SSLight 鍵データベース・クラス

11. 証明書のファイル名と場所を入力します。



認証要求を CA に送信します。

VeriSign の低保証証明書またはセキュア・サーバー証明書を要求する場合は、電子メールで VeriSign に認証要求を送る必要があります。

低保証認証要求の場合は、簡単な書式で VeriSign に電子メールを送ることができます。セキュア・サーバー認証要求の場合は、所定の書式に従って電子メールを送る必要があります。セキュア・サーバー認証要求の書式については、http://www.verisign.com/ibm を参照してください。



鍵リング・ファイルの鍵データベース・フォーマットへのマイグレーションmkkf で作成した既存の鍵リング・ファイルを gsk7ikm で使用するフォーマットにマイグレーションするには、gsk7ikm プログラムを使用します。

鍵リング・ファイルをマイグレーションするには、以下の手順を実行します。





5. 指示に従って、鍵リング・ファイルのパスワードを入力します。「OK」をクリックします。


7. 「名前を付けて保存 (Save as)...」を選択します。

8. 鍵データベースのタイプとして「CMS 鍵データベース・ファイル」を選択します。

9. ファイル名を指定します。

10. 場所を指定します。


鍵データベースの設定鍵データベースを設定するには、以下のいずれかの手順を使用します。

Web 管理の使用Web 管理ツールのナビゲーション領域で「セキュリティー・プロパティーの管理」カテゴリーを展開し、「鍵データベース」タブを選択します。

1. 「鍵ラベル」を指定します。この管理者定義鍵ラベルは、鍵データベースのどの部分を使用するかを示します。

2. 「鍵データベースのパスおよびファイル名」を指定します。これは、鍵データベース・ファイルの完全修飾ファイル仕様です。パスワード stash ファイルが定義されている場合は、拡張子 .sth を持つ同じファイル仕様があるものと想定されます。

3. 「鍵パスワード」を指定します。パスワード stash ファイルが使用されていない場合は、鍵データベース・ファイルのパスワードをここで指定する必要があります。「パスワードの確認」フィールドにパスワードを再度入力します。


注: このファイルをサーバーで使用するには、ユーザー ID ldap でこのファイルを読み取れるように設定する必要があります。 363ページの『ファイル許可』を参照してください。


コマンド行の使用コマンド行を使用して SSL および TLS の鍵データベースを設定するには、以下のコマンドを発行します。



dn: cn=SSL,cn=Configurationchangetype: modifyreplace: ibm-slapdSSLKeyDatabaseibm-slapdSSLKeyDatabase: <databasename>-replace: ibm-slapdSSLKeyDatabasePWibm-slapdSSLKeyDatabasePW: <password>-replace: ibm-slapdSslKeyRingFileibm-slapdSslKeyRingFile: <filename>-replace: ibm-slapdSslKeyRingFilePWibm-slapdSslKeyRingFilePW: <password>


暗号化レベルの設定デフォルトでは、SSL および TLS バージョンの IBM Tivoli Directory Server は、(SSL または TLS ハンドシェークにおいて) 暗号をクライアントとネゴシエーションする際に、以下の暗号を使用します。

注: 構成専用モードでは、パスワード・ポリシー機能は利用できませんが、パスワード暗号化のレベルは変更できます。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー管理」カテゴリーを展開します。

1. 「セキュリティー・プロパティーの管理」をクリックします。

2. 「暗号化」をクリックします。

3. サーバーにアクセスするクライアントに基づいて、使用する暗号化の方法を選択します。複数の暗号化方法を選択した場合、デフォルトでは最高レベルの暗号化が使用されますが、選択された下位の暗号化レベルを使用するクライアントにも、サーバーへのアクセス権があります。

注: IBM Tivoli Directory Server バージョン 5.2 では、AES (Advanced

Encryption Standard) レベルの暗号化がサポートされています。AES の詳細については、http://csrc.nist.gov/encryption/aes/ の NIST Web ページを参照してください。

表 7. サポートされる暗号化のレベル

暗号化レベル属性

168 ビット鍵と SHA-1 MAC を用いるTriple-DES 暗号化

ibm-slapdSslCipherSpec: TripleDES-168


http://csrc.nist.gov/encryption/aes/

表 7. サポートされる暗号化のレベル (続き)

暗号化レベル属性

56 ビット鍵と SHA-1 MAC を用いる DES 暗号化

ibm-slapdSslCipherSpec: DES-56

128 ビット鍵と SHA-1 MAC を用いる RC4 暗号化

ibm-slapdSslCipherSpec: RC4-128-SHA

128 ビット鍵と MD5 MAC を用いる RC4 暗号化

ibm-slapdSslCipherSpec: RC4-128-MD5





AES 128 ビット暗号化 ibm-slapdSslCipherSpec: AES-128

AES 256 ビット暗号化 ibm-slapdSslCipherSpec: AES

選択した暗号は、ibm-slapdsslCipherSpec キーワードおよび前述の表で定義された属性を使用して構成ファイルに格納されます。例えば、Triple-DES のみを使用する場合は、「168 ビット鍵と SHA-1 MAC を用いる Triple-DES 暗号化」を選択します。属性 ibm-slapdSslCipherSpec: TripleDES-168 が ibmslapd.confファイルに追加されます。この場合、サーバーに対して SSL 接続を確立できるのは、Triple-DES もサポートするクライアントのみです。複数の暗号を選択できます。

4. 連邦情報処理標準 (FIPS) モード対応機能がサーバーでサポートされている場合は、ヘッダー「インプリメンテーション (Implementation)」の下に、「FIPS 認証インプリメンテーションを使用する (Use FIPS certified implementation)」チェック・ボックスが選択済みの状態で表示されます。これにより、サーバーは、ICC FIPS 認証ライブラリーからの暗号化アルゴリズムを使用できるようになります。このチェック・ボックスの選択を解除した場合は、非 FIPS 認証ライブラリーからの暗号化アルゴリズムが使用されます。


コマンド行の使用コマンド行を使用して暗号化の SSL レベルを (この例では 168 ビットの鍵とSHA-1 MAC を備えた Triple-DES 暗号化に) 設定するには、以下のコマンドを発行します。



dn: cn=SSL,cn=Configurationchangetype: modifyreplace: ibm-slapdSslCipherSpecibm-slapdSslCipherSpec: TripleDES-168

他の暗号化値については、 98ページの表 7 を参照してください。

暗号化のレベルを複数追加するには、<filename> に次の以下の情報を記述しておく必要があります。


dn: cn=SSL,cn=Configurationchangetype: modifyreplace: ibm-slapdSslCipherSpecibm-slapdSslCipherSpec: RC2-40-MD5ibm-slapdSslCipherSpec: AESibm-slapdSslCipherSpec: RC4-128-MD5ibm-slapdSslCipherSpec: RC4-128-SHAibm-slapdSslCipherSpec: TripleDES-168ibm-slapdSslCipherSpec: DES-56ibm-slapdSslCipherSpec: RC4-40-MD5

コマンド行を使用して FIPS モードをオフにするには、以下のコマンドを発行します。



dn: cn=SSL,cn=Configurationchangetype: modifyreplace: ibm-slapdSslFIPSModeEnabledibm-slapdSslFIPSModeEnabled: false


パスワードの暗号化IBM Directory では、ユーザーのパスワードへの許可されないアクセスを防止できます。ユーザー・パスワードをエンコードしてディレクトリーに格納することができるため、システム管理者を含め、いずれのユーザーもクリア・パスワードにアクセスすることはできません。

管理者は、片方向エンコード形式または両方向エンコード形式のいずれかでuserPassword 属性値をエンコードするようにサーバーを構成することができます。

片方向エンコード形式は以下のとおりです。

v SHA-1

v crypt

サーバーを構成した後は、新規パスワード (新規ユーザーの場合) または変更したパスワード (既存ユーザーの場合) はエンコードされてからディレクトリー・データベースに格納されます。エンコードされたパスワードにはエンコード・アルゴリズム名を示すタグが付くため、異なる形式でエンコードしたパスワードをディレクトリーに共存させることができます。エンコード構成を変更しても、既存のエンコード済みパスワードは変更されず、引き続き有効となります。

クリア・パスワードを取得する必要があるアプリケーション (中間層認証エージェントなど) の場合、ディレクトリー管理者は、ユーザー・パスワードを 2 方法エンコードするかあるいは暗号化を実行しないようにサーバーを構成する必要があります。この場合、ディレクトリーに格納されるクリア・パスワードはディレクトリーの ACL メカニズムによって保護されます。

2 方法エンコード形式は以下のとおりです。

v imask


imask は 2 方法マスキング・オプションです。このオプションでは、userPassword

属性の値をディレクトリー内でエンコードし、元のクリアな形式で項目の一部として取得することができます。中間層認証サーバーなどの一部のアプリケーションではパスワードをクリア・テキスト形式で検索する必要がありますが、2 次的な永続記憶装置にクリアな形式でパスワードを格納することが、会社のセキュリティー・ポリシーで禁止されている場合があります。このオプションによって、両方の要件を満たすことができます。

単純なバインドは、バインド要求で渡されたパスワードが userPassword 属性の複数の値のいずれかに一致した場合に成功します。

Web 管理を使用してサーバーを構成すると、以下の 4 つの暗号化オプションのいずれかを選択することができます。

None 暗号化を行いません。パスワードはクリアな形式で格納されます。

crypt パスワードを UNIX の crypt エンコード・アルゴリズムによってエンコードしてからディレクトリーに格納します。

SHA-1 パスワードを SHA-1 エンコード・アルゴリズムによってエンコードしてからディレクトリーに格納します。

imask パスワードは、imask アルゴリズムでエンコードしてからディレクトリーに格納され、項目の一部として、元のクリアな形式で取得されます。

デフォルトのオプションは imask です。変更内容は、サーバー構成ファイルのパスワード暗号化ディレクティブに登録されます。

ibm-SlapdPwEncryption: imask

サーバー構成ファイルは以下の場所にあります。

<installation path>¥etc¥ibmslapd.conf

userPassword の他に、secretKey 属性の値も必ずディレクトリー内で「imask」エンコードされます。userPassword とは異なり、secretKey の値にはこのエンコードが強制的に実行されます。他のオプションはありません。secretKey 属性は、IBM

定義のスキーマです。アプリケーションでこの属性を使用すると、機密データを常にエンコードしてディレクトリーに格納し、ディレクトリー・アクセス制御を使用してクリア・テキスト形式でデータを取得することができます。

構成ファイルの詳細については、インストールと構成のガイドを参照してください。

コマンド行を使用して暗号化のタイプを crypt などに変更するには、以下のコマンドを発行します。



dn: cn=configurationchangetype: modifyreplace: ibm-slapdPWEncryptionibm-slapdPWEncryption: crypt



ldapexop -D <adminDN> -w <adminPW> -op readconfig -scope single"cn=configuration" ibm-slapdPWEncryption

注:

1. サーバー・パスワードの暗号化方式として imask を使用する場合は、入力したパスワードの先頭から 46 文字のみが有効となります。47 文字目以降の文字はすべて無視され、一致すると見なされます。同様に、UNIX の crypt 方式を使用する場合は、先頭から 8 文字のみが有効となります。 SecretKey は imask 暗号化を使用してデータベースに格納されるため、46 文字を超える SecretKey 値は正しく保持されません。

2. 片方向エンコードされたパスワードは、パスワードの比較に使用することはできますが、暗号解除することはできません。ログイン・パスワードは、ユーザー・ログイン時にエンコードされ、格納されているパスワードと一致するか比較されます。

パスワード・ポリシーの設定パスワード・ポリシーは、IBM Directory でのパスワードの使用方法および管理方法を制御する一連の規則です。これらの規則は、ユーザーがパスワードを定期的に変更し、そのパスワードが組織の構文上のパスワード要件を満たしていることを確実にするために作成されます。これらのルールは、旧パスワードの再利用も制限し、定義した数の試行が失敗した後にユーザーがロックされるようにします。

パスワードの詳細については、 104ページの『パスワードのガイドライン』を参照してください。

ディレクトリー管理者および管理グループのメンバーを除くすべてのユーザーが、このパスワード・ポリシーを強制的されます。管理者および管理グループのメンバーのパスワードには期限がなく、アカウントはロックされません。ディレクトリー管理者および管理グループのメンバーには、ユーザーのパスワードとパスワード・ポリシーを変更するために必要なアクセス制御権があります。

Web 管理の使用Web 管理ツールのナビゲーション領域で「セキュリティー・プロパティーの管理」カテゴリーを展開し、「パスワード・ポリシー」タブを選択します。このパネルには、編集不可能な「パスワード属性」フィールドが表示されます。このフィールドには、パスワード・ポリシーで使用されている属性名が入ります。

1. ドロップダウン・リストからパスワード暗号化のタイプを選択します。

v なし

v imask

v crypt

v sha

詳細については、 100ページの『パスワードの暗号化』を参照してください。

2. パスワード・ポリシーを使用可能にするには、「パスワード・ポリシー使用可能」チェック・ボックスを選択します。


注: 「パスワード・ポリシー使用可能」が使用不可の場合は、このチェック・ボックスを使用可能にするまで、このパネルおよび他のパスワード・パネルにある他の機能は使用できません。デフォルトでは、パスワード・ポリシーは使用不可です。

3. ユーザーがパスワードを変更できるように指定するには、「ユーザーはパスワードを変更できます」チェック・ボックスを選択します。

4. ユーザーがリセット・パスワードでログオンした後にパスワードを変更しなければならないことを指定するには、「リセット後、ユーザーは必ずパスワードを変更する」チェック・ボックスを選択します。

5. 最初のログオンの後、パスワードを変更するためには、ユーザーがパスワードを再度指定する必要があるかどうかを指定するには、「ユーザーは変更時に必ずパスワードを送信する」チェック・ボックスを選択します。

6. パスワードの有効期限制限を設定します。特定の時間間隔でパスワードを変更する必要がないことを指定するには、「パスワードを有効期限切れにしない」ラジオ・ボタンをクリックします。パスワードをリセットする必要がある場合は、「日」ラジオ・ボタンをクリックして、時間間隔を日数で指定します。

7. パスワードが失効する前に、パスワード失効警告を発行するかどうかを指定します。「警告しない」ラジオ・ボタンをクリックした場合は、ユーザーに警告が出されないまま、以前のパスワードの有効期限が切れます。ユーザーは、管理者が新しいパスワードを作成するまでディレクトリーにアクセスできません。「有効期限までの日数」ラジオ・ボタンをクリックし、日数 (n) を指定した場合は、パスワードの変更を要求する警告プロンプトが、パスワードの有効期限が切れる n

日前からユーザーのログオン時に毎回出力されます。ユーザーは、パスワードの有効期限が切れるまで、引き続きディレクトリーにアクセスできます。

8. 必要に応じて、パスワードが失効した後にユーザーがログオンできる回数を指定します。この選択により、ユーザーは有効期限切れのパスワードを使用してディレクトリーにアクセスできます。





dn: cn=pwdpolicychangetype: modifyreplace: ibm-pwdpolicyibm-pwdpolicy: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace:pwdallowuserchangepwdallowuserchange: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace:pwdmustchangepwdmustchange: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-


replace:pwdmaxagepwdmaxage: 5-replace:pwdexpirewarningpwdexpirewarning: 7-replace:pwdgraceloginlimitpwdgraceloginlimit: 2


パスワードのガイドライン以下のセクションでは、IBM Tivoli Directory Server のユーザー項目に対して IBM

Tivoli Directory Server (IDS) パスワード属性をサポートしている値の詳細と、LDAP

環境を管理するために使用するアカウントについて説明します。ここでは、Directory Server コマンド行ツールと C-API インターフェースを実行する際の混乱を少なくするために、使用すべきではない文字についても説明します。

Directory Server には、次の 2 種類のユーザー・アカウントがあります。

v /etc/ibmslapd.conf ファイルに格納されている管理アカウント (LDAP 管理者(cn=root)、管理者グループのメンバー、または LDAP DB2 ユーザー)

v Directory Server の C および Java (JNDI) API と組み合わせて使用するパスワード属性を持つユーザー項目 (iNetOrgPerson)。これらは、Policy Director やWebSphere などのアプリケーションが使用するインターフェースです。 Directory

Server はパスワード項目の値を幅広くサポートしていますが、アプリケーションの資料を調べて、適用されるガイドラインや制約事項を確認することが必要です。

以下では、IBMTivoli Directory Server リリース 5.2 を使用する際にサポートされるパスワード値の詳細について説明します。

ユーザー項目のパスワード (InetOrgPerson)リリース 5.2 では、userPassword 属性フィールドに対して以下の文字がサポートされています。これらの文字は、C および Java API を使用して Directory Server に格納されます。 Policy Director、WebSphere など、Directory Server を使用しているアプリケーションには、パスワードの値に対して制約が追加される場合があります。詳細については、これらの製品の資料を参照してください。

v すべての英文字の大文字と小文字および数字。

v それ以外のすべての ASCII 英文字もサポートされます。

v IBM Tivoli Directory Server バージョン 5.2 リリース情報で指定された言語については、2 バイト文字がサポートされます。

v パスワードは大文字と小文字が区別されます。 (例えば、パスワードを TeSt にした場合、パスワードとして TEST や test を使用しても拒否されます。大文字と小文字を正確に記述した TeSt のみが受け入れられます。)

LDAP ibmslapd.conf ユーザーリリース 5.2 では、<LDAP_DIR>/etc/ibmslapd.conf ファイル内のユーザー・パスワードに対して、以下の文字がサポートされます。

v 大文字・小文字を含むすべての英字と数字がサポートされます。

v それ以外のすべての ASCII 1 バイト文字もサポートされます。



注:

1. ibmslapd.conf ファイルのユーザー項目には、以下の内容を記述できます。

v LDAP 管理者 (cn=root)

v 管理者グループのメンバー

v 複製用のマスター ID (cn=MASTER)

v LDAP DB 項目および変更ログ・データベース (LDAPDB2) の LDAP DB2 ユーザー

2. 管理者パスワードでの 2 バイト文字はサポートされていません。

IDS Web 管理ツールを使用したパスワード属性の変更リリース 5.2 の Web 管理ツールを使用すると、パスワード属性フィールドの追加または変更において、以下の文字がサポートされます。

v 大文字・小文字を含むすべての英字と数字がサポートされます。

v それ以外のすべての ASCII 1 バイト文字もサポートされます。


注:

1. 管理者パスワードについては、2 バイト文字はサポートされていません。

2. ユーザー・パスワードについては、2 バイト文字がサポートされています。

特殊文字以下の文字は、動作中のシェルが「特殊」文字と解釈する場合があるため、使用しないでください。

`’\"|

例えば、リリース 5.2 の Web 管理ツールを使用して、ユーザー・パスワード属性に次の値を割り当てる場合を考えます。

"¥"test¥’

この場合には、コマンド行から、入力する場合、次のパスワードを入力する必要があります。

-w¥"¥¥¥"test¥’

以下に検索例を示します。

ldapsearch -b" " -sbase -Dcn=newEntry,o=ibm,c=us -w¥"¥¥¥"test¥’ objectclass=*

注: このパスワードは、エスケープ文字のない元のパスワードを使用する、 Web 管理ツールの Java アプリケーションで有効です。前述の例において、Web 管理


ツールのバインド・パスワードは、Web 管理ツールでパスワードを割り当てる際に入力した以下のパスワードと同じです。

"¥"test¥’

パスワード・ロックアウトの設定パスワードをロックする条件を設定するには、以下のいずれかの手順を使用します。

注: サーバー上でパスワード・ポリシーが使用可能でない場合、パスワード・ロックアウト機能は有効になりません。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「パスワード・ロックアウト」タブを選択します。

注: サーバーでパスワード・ポリシーを使用可能にしない場合は、このパネルの機能は有効になりません。

1. パスワードを変更できるようになるまでに経過しなければならない秒数、分数、時間数、または日数を指定します。

2. 誤ったログインの場合パスワードをロックアウトするかどうかを指定します。

v 無制限にログイン試行を許可する場合は、「パスワードをロックアウトしない」ラジオ・ボタンを選択します。これを選択すると、パスワード・ロックアウト機能が使用不可になります。

v 「試行」ラジオ・ボタンを選択して、パスワードをロックアウトするまでに許可するログイン試行の回数を指定します。これを選択すると、パスワード・ロックアウト機能が使用可能になります。

3. ロックアウトの期間を指定します。「ロックアウトの有効期限を切らない」ラジオ・ボタンを選択し、システム管理者がパスワードをリセットしなければならないことを指定するか、「秒」ラジオ・ボタンを選択し、ロックアウトの有効期限が切れてログイン試行を再開できるようになるまでの秒数を指定します。

4. 誤ったログインの有効期限を指定します。誤ったログインは正常なログインの場合のみクリアされることを指定するには、「誤ったログインは正しいパスワードでのみクリアされます」ラジオ・ボタンをクリックします。または、「秒」ラジオ・ボタンをクリックして、失敗したログイン試行がメモリーからクリアされるまでの秒数を指定します。

注: このオプションは、パスワードがロックアウトされていない場合のみ機能します。






dn: cn=pwdpolicychangetype: modifyreplace: pwdlockoutpwdlockout: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace:pwdmaxfailurepwdmaxfailure: 3-replace:pwdlockoutdurationpwdlockoutduration: 15-replace:pwdfailurecountintervalpwdfailurecountinterval: 30-replace:pwdexpirewarningpwdexpirewarning: 7-replace:pwdgraceloginlimitpwdgraceloginlimit: 2

パスワード妥当性検査の設定パスワード検証の要件と制限を設定するには、以下のいずれかの手順を使用します。

Web 管理の使用Web 管理ツールのナビゲーション領域で「サーバー・プロパティーの管理」カテゴリーを展開し、「パスワード妥当性検査」タブを選択します。

注: サーバーでパスワード・ポリシーを使用可能にしない場合は、このパネルの機能は有効になりません。

1. 同じパスワードの再利用を可能にする前に使用しなければならないパスワードの数を設定します。0 ～ 30 までの数値を入力します。ゼロを入力すると、同じパスワードは制限なしに再利用できます。

2. ドロップダウン・メニューから、以下の入力フィールドに定義したパスワードについて構文を検査するかどうかを指定します。以下を選択できます。

構文を検査しない構文検査は実行されません。

構文を検査する (暗号化されたパスワードを除く)暗号化されていないすべてのパスワードについて、構文検査が実行されます。

構文を検査するすべてのパスワードについて、構文検査が実行されます。

3. パスワードの最小長を設定する数値を指定します。値をゼロに設定すると、構文検査は実行されません。

v パスワードに必要な英字の最小数を設定する数値を指定します。

v パスワードに必要な数字と特殊文字の最小数を設定する数値を指定します。

注: 英字、数字、および特殊文字の最小数の合計は、パスワードの最小長として指定した数値以下でなければなりません。


4. パスワードで同じ文字を使用できる最大数を指定します。このオプションは、パスワードに特定の文字が現れる回数を制限します。値をゼロに設定すると、文字の繰り返しの数は検査されません。

5. 前のパスワードおよび、「再利用前のパスワードの最小数」フィールドに指定された数の以前のパスワードで使用されている文字と変える必要のある最小数を指定します。値をゼロに設定すると、異なる文字の数は検査されません。





dn: cn=pwdpolicychangetype: modifyreplace: pwdinhistorypwdinhistory: 8-replace:pwdchecksyntaxpwdchecksyntax: {0|1|2}# 0=No syntax check#1=Check syntax (except encrypted)#2=Check syntax on all-replace:pwdminlengthpwdminlength: 6-replace:passwordminalphacharspasswordminalphachars: 3-replace:passwordminothercharspasswordminotherchars: 3-replace:passwordmaxrepeatedcharspasswordmaxrepeatedchars: 2-replace:passwordmindiffcharspasswordmindiffchars: 4

Kerberos の設定IBM Tivoli Directory Server は、 AIX サーバー、および AIX 64 ビット・クライアントに対して、 IBM ネットワーク認証サービスなどの Kerberos バージョン 1.3

サーバーをサポートします。 AIX 32 ビット・クライアント、 Windows NT、および Windows 2000 クライアントについては、オペレーティング・システムに同梱されているバージョンの Kerberos を使用します。

注: Kerberos 認証を使用するには、Kerberos クライアントをインストールしておく必要があります。

ネットワーク認証サービスでは、クライアント (通常はユーザーまたはサービス) はチケットの要求を鍵配布センター (KDC) に送信します。KDC はクライアントの発券許可証 (TGT) を作成し、クライアントのパスワードを鍵として使用して暗号化して、暗号化された TGT をクライアントに戻します。クライアントは、パスワード


を使用して TGT を暗号解除しようとします。暗号解除に成功すると、クライアントは、クライアントの ID の証明を示すために、暗号解除された TGT を保存します。

TGT は指定した時刻に有効期限切れになり、特定のサービスに対する許可を付与する追加チケットの取得をクライアントに許可します。これらの追加チケットの要求と付与は、ユーザーの介入を必要としません。

ネットワーク認証サービスは、ネットワーク上の 2 つのポイント間の認証済み (任意で暗号化されます) 通信をネゴシエーションします。これにより、アプリケーションは、クライアントがファイアウォールのどちらの側に存在するかに関係なく、セキュリティーのレイヤーを提供できます。このため、ネットワーク認証サービスは、ネットワークのセキュリティーで重要な役割を果たします。

プリンシパル名 ldap/<hostname>.<mylocation>.<mycompany>.com を使用して鍵配布センター (KDC) に LDAP サーバー・サービス名を作成する必要があります。

注: 環境変数 LDAP_KRB_SERVICE_NAME は、LDAP Kerberos サービス名が大文字か小文字かを決定するために使用されます。この変数を「LDAP」に設定すると、大文字の LDAP Kerberos サービス名が使用されます。変数を設定しない場合は、小文字の ldap が使用されます。この環境変数は LDAP クライアントおよびサーバーの両方で使用されます。デフォルトではこの変数は設定されません。詳細については、 363ページの『Kerberos』を参照してください。

ネットワーク認証サービスは、以下のコンポーネントを提供します。

鍵配布センターKDC は、レルムの全プリンシパルの秘密鍵へのアクセス権を持つ、トラステッド・サーバーです。KDC は、認証サーバー (AS) と発券サーバー(TGS) という 2 つの部分で構成されています。AS は、TGT を発行することで初期クライアント認証を処理します。TGS は、クライアントがサービスの認証に使用するサービス・チケットを発行します。

管理サーバー管理サーバーは、ネットワーク認証サービス・データベースへの管理アクセス権を提供します。このデータベースには、プリンシパル、鍵、ポリシー、およびレルムに関するその他の管理情報が含まれます。管理サーバーは、プリンシパルとポリシーを追加、変更、削除、および表示することができます。

パスワード変更サービスパスワード変更サービスを使用すると、ユーザーはパスワードを変更できます。パスワード変更サービスは、管理サーバーによって提供されます。

クライアント・プログラムクライアント・プログラムは、信任状 (チケット) の操作、keytab ファイルの操作、パスワードの変更、およびその他の基本ネットワーク認証サービス操作を実行するために提供されます。

アプリケーション・プログラミング・インターフェース (API)セキュアな分散アプリケーションの開発を許可するために、ライブラリーとヘッダー・ファイルが提供されています。提供される API については、「Application Development Reference」を参照してください。


Web 管理の使用「サーバー管理」で、Web 管理ツールのナビゲーション領域にある「セキュリティー・プロパティーの管理」カテゴリーを展開します。サーバーで Kerberos がサポートされる場合 (つまり、kerberos でサポートされる機能 OID 1.3.18.0.2.32.30 をサーバーが持っている場合) は、「Kerberos」タブを選択します。サーバーで Kerberos

がサポートされない場合、このタブは表示されません。

1. 「Kerberos 認証を使用可能にする」チェック・ボックスを選択し、 Kerberos

認証を使用可能にします。

注: Kerberos 認証を使用するには、Kerberos クライアントをインストールしておく必要があります。

2. ディレクトリー管理者が Kerberos 認証方式とともに既存の ACL データのセットを使用できるようにするには、「Kerberos ID を LDAP DN にマップする」チェック・ボックスを選択します。詳細については、 111ページの『Kerberos のID マッピング』を参照してください。

3. hostName.domainName の形式で Kerberos レルムを入力します(例: TEST.AUSTIN.IBM.COM)。この形式には、大文字小文字の区別はありません。

4. Kerberos keytab ファイルのパスおよびファイル名を入力します。このファイルには、LDAP サーバーの kerberos アカウントに関連付けられた、このサーバーの LDAP サーバーの秘密鍵が含まれます。このファイルと SSL 鍵データベース・ファイルは保護される必要があります。

5. ディレクトリー管理者としてログインしている場合は、形式ibm-kn=value@realm または ibm-KerberosName=value@realm (例:

[email protected]) を使用して、代替管理者 ID を入力します。このフィールドを管理グループのメンバーが編集することはできません。

注: この ID は、Kerberos レルムで有効な ID にする必要があります。この ID

の値には、大文字小文字の区別はありません。


コマンド行の使用Kerberos 項目を作成するには、以下のコマンドを発行します。



dn: cn=Kerberos, cn=Configurationcn: Kerberosibm-slapdKrbAdminDN: [email protected]: trueibm-slapdKrbIdentityMap: trueibm-slapdKrbKeyTab: /keytabs/mykeytab.keytabibm-slapdKrbRealm: MYREALM.AUSTIN.IBM.COMobjectclass: ibm-slapdKerberosobjectclass: ibm-slapdconfigEntryobjectclass: top

keytab ファイルを変更するなど、Kerberos 項目を変更するには、以下のコマンドを発行します。




dn: cn=Kerberos, cn=Configurationchangetype: modifyreplace: ibm-slapdKrbKeyTabibm-slapdKrbKeyTab: /keytabs/mynewkeytab.keytab

Kerberos の使用コマンド行を使用して Kerberos 認証を行うには、事前に Kerberos を初期設定しておく必要があります。以下のコマンドを発行します。

kinit <kerberos_principlename>@<realm_name>

Kerberos 認証を使用するには、ldapadd コマンドおよび ldapsearch コマンド上で、GSSAPI パラメーターとともに -m オプションを指定する必要があります。例を以下に示します。

ldapsearch -V 3 -m GSSAPI -b <"cn=us"> objectclass=*

Kerberos の ID マッピングID マッピングを使用すると、ディレクトリー管理者は、既存の ACL データのセットを Kerberos 認証方式で使用できます。 IBM Directory の ACL は、ディレクトリー・サーバーに接続されたクライアントに割り当てられている識別名 (DN) に基づいています。アクセス権は、その DN に与えられている許可と、その DN をメンバーとして含むグループの許可に基づいて決定されます。 GSSAPI のバインド方式を使用する場合 (つまり、サーバーへの認証に Kerberos を使用する場合)、DN

は、IBM-KN=your_principal@YOUR_REALM_NAME のような形式で表現されます。このタイプの DN は、アクセス ID またはアクセス・グループのメンバーとして使用できます。 Kerberos ID マッピング機能を使用すると、すでにディレクトリー内に存在する項目に、この DN のアクセス権を与えることもできます。

例えば、Reginald Bender のディレクトリーに以下の項目がある場合を考えます。

dn: cn=Reginald Bender, ou=internal users, o=ibm.com, c=USobjectclass: topobjectclass: personobjectclass: organizationalpersoncn: Reginald Bendersn: Benderaclentry: access-id:CN=THIS:critical:rwscaclentry: group:CN=ANYBODY:normal:rscuserpassword: cL1eNt

この項目のアクセス権を使用すると、DN ″cn=Reginald Bender, ou=internal users,

o=ibm.com, c=US″ でバインドしているすべてのユーザーが、パスワードなどの重要情報を参照できます (それ以外のユーザーは参照できません)。

Reginald Bender が Kerberos を使用してサーバーにバインドした場合、Reginald

Bender の DN は、[email protected]_1 のような形式になります。ID

マッピングがサーバー上で使用可能になっていない場合、Reginald Bender は、自分の項目のパスワードを参照できません。

ID マッピングが使用可能になっている場合、この項目が以下の行を含むように変更されていれば、Reginald Bender はパスワードを参照できます。


dn: cn=Reginald Bender, ou=internal users, o=ibm.com, c=US...objectclass: ibm-securityidentitiesaltsecurityidentities: Kerberos:[email protected]_1

Reginald Bender がディレクトリー・サーバーにバインドすると、サーバーは最初にディレクトリー全体を検索し、ディレクトリーが KDC (鍵配布センター) アカウント・レジストリーであるかどうかを確認します。ディレクトリーが KDC でない場合、サーバーは、Kerberos のユーザー・プリンシパルとレルムに一致する値を持つaltsecurityidentities 属性が入っている項目がないかどうか、ディレクトリーを検索します。この例では、rbender がユーザー・プリンシパルで SW.REALM_1 がレルムです。これは、Kerberos ID マッピングのデフォルト設定です。この値が指定された属性を持つ項目が複数あると、バインドは失敗します。マッピングは 1 対 1 でなければなりません。マッピングが成功すると、Reginald Bender は、″cn=Reginald

Bender, ou=internal users, o=ibm.com, c=US″ (およびこの DN をメンバーとして含むすべてのアクセス・グループ) に対するすべてのアクセス権を所有します。

IBM Tivoli Directory Server を使用して Kerberos アカウント情報(krbRealmName-V2 = <realm_name> および krbPrincipalName =

<princ_name>@<realm_name>) を保管すると、IBM Directory を KDC のバッキング・ストアとして機能させることができます。

Kerberos ID マッピングが使用可能になっているサーバーは最初に、以下の例のようなオブジェクト・クラス krbRealm-V2 and krbRealmName-V2 =<realm_name> を持つ項目がないかどうか、ディレクトリーを検索します。

dn: krbRealmName-V2=SW.REALM_1, o=ibm.com, c=USobjectclass: krbRealm-V2krbReamlName-V2: SW.REALM_1

項目が見つからない場合、サーバーは、前述したデフォルトの Kerberos ID マッピングを使用します。項目が複数見つかった場合、バインドは失敗します。

ただし、ディレクトリーに以下のような単一記入項目が含まれている場合です。

dn: krbRealmName-V2=SW.REALM_1, ou=Group, o=ibm.com, c=USobjectclass: krbRealm-V2krbRealmName-V2: SW.REALM_1krbPrincSubtree: ou=internal users,o=ibm.com, c=USkrbPrincSubtree: ou=external users,o=ibm.com, c=US

サーバーは、krbPrincSubtree の値としてリストされている各サブツリーを検索し、属性 krbPrincipalName を持つ項目がないかどうかを調べます。

今回のリリースの場合、Reginald Bender に対して ID マッピングを機能させるには、 ″cn=Reginal Bender, ou=internal users, o=ibm.com, c=US″ 項目に以下の 2 つの属性を追加する必要があります。

objectclass: extensibleObjectkrbPrincipalName: [email protected]_1

ディレクトリーが KDC アカウント・レジストリーでない場合、最後の項目は以下のようになります。

dn: cn=Reginald Bender, ou=internal users, o=ibm.com, c=US...objectclass: ibm-securityidentitiesaltsecurityidentities: Kerberos:[email protected]_1...


ディレクトリーが KDC アカウント・レジストリーの場合、最後の項目は以下のようになります。

dn: cn=Reginald Bender, ou=internal users, o=ibm.com, c=US...objectclass: extensibleObjectkrbPrincipalName: [email protected]_1

いずれの場合も、クライアントは ″cn=Reginald Bender, ou=internal users,

o=ibm.com, c=US″ にマップされます。

項目が見つからず DN がマップされない場合、マッピングは失敗しますが、バインドは成功します。ただし、複数の DN がマップされると、バインドは失敗します。

ID マッピングを使用すると、既存の ACL と Kerberos 認証を一緒に使用できます。マップされた ID を持つ Kerberos を使用するクライアントは、2 つの異なるID を持ちます。この 2 つの ID はどちらも、アクセス権の付与の際に評価されます。

ID マッピングには、コストがかかります。バインド時の内部検索はパフォーマンスに影響し、ID マッピングでは、マップする項目に適切な属性を追加するための設定がさらに必要となります。

今回のリリースでデフォルト ID マッピングを使用する場合、管理者 (Kerberos または LDAP) は、KDC 内のデータと LDAP サーバー内のデータを同期させる必要があります。データを同期しないと、ACL の評価が適切に行われないため、誤った結果が戻されます。

注: KrbPrincipal などのオブジェクト・クラスと KrbPrincSubtree、KRbAliasedObjectName、および KrbHintAliases などの属性は、IBM

Directory を Kerberos KDC として定義するために使用されます。詳細については、Kerberos の資料を参照してください。

証明書取り消し検査SSL 設定でサーバーとクライアント認証の使用を選択した場合は、失効した証明書または有効期限切れの証明書を検査するようにサーバーを構成する場合があります。

クライアントがサーバーに認証要求を送信すると、サーバーは証明書を読み取って、失効した証明書を含むリストとともに LDAP サーバーに照会を送信します。リストにクライアント証明書が見つからない場合、クライアントとサーバー間の通信は SSL を介して許可されます。証明書が見つかった場合、通信は許可されません。

SSL 証明書の取り消し検査を構成するには、以下のいずれかの方法を使用します。

Web 管理の使用「サーバー管理」で、Web 管理ツールのナビゲーション領域にある「セキュリティー・プロパティーの管理」カテゴリーを展開し、「証明書取り消し」タブを選択します。


1. 取り消された証明書を含むサーバーの名前を入力します。このサーバーは、例えば VeriSign など、使用する権限を付与する証明書 (CA) によって指定されます。ホスト名の形式は、hostName.domainName です (myserver.ibm.com など)。

2. サーバーと通信するのに使用するポート (389 など) を入力します。

3. 検証するサーバーへのバインドに使用する DN (例えば cn=root) を入力します。これは、検証するサーバーが証明書取り消しリスト (CRL) の無名検索を許可する場合はオプションです。

4. バインド DN に関連付けられたパスワードを入力します。これは、DN を指定した場合に必要です。

5. タイプミスがないことを確認するため、再度バインド・パスワードを入力します。


注: 有効期限は証明書自体に含まれているため、有効期限切れの証明書は、リストには含まれません。

コマンド行の使用コマンド行を使用して SSL 証明書取り消しの検証を構成するには、以下のコマンドを発行します。



dn: cn=CRL,cn=SSL,cn=Configurationchangetype: modifyreplace: ibm-slapdCrlHostibm-slapdCrlHost: <newhostname>-replace: ibm-slapdCrlPasswordibm-slapdCrlPassword: <password>-replace: ibm-slapdCrlPortibm-slapdCrlPort: <portnumber>-replace: ibm-slapdCrlUseribm-slapdCrlUser: <username>


DIGEST-MD5 機構の構成DIGEST-MD5 は、SASL 認証機構です。クライアントで Digest-MD5 を使用すると、パスワードがクリア・テキスト形式では送信されません。また、リプレイ・アタックがプロトコルによって防止されます。

DIGEST-MD5 機構を構成するには、以下のいずれかの方法を使用します。


Web 管理の使用「サーバー管理」で、Web 管理ツールのナビゲーション領域にある「セキュリティー・プロパティーの管理」カテゴリーを展開し、「DIGEST-MD5」タブを選択します。

注: このタブは、DIGEST-MD5 がサーバーでサポートされている場合にのみ表示されます。

1. 「サーバー・レルム」では、事前選択された「デフォルト」設定 (サーバーの完全修飾ホスト名) を選択できます。あるいは「レルム」をクリックして、サーバーを構成する対象のレルムの名前を入力します。

注: 構成項目に ibm-slapdDigestRealm 属性を設定すると、サーバーはこの値をレルムのデフォルト値の代わりに使用します。この場合は「レルム」ボタンが事前に選択されており、レルムの値がフィールド内に表示されています。

このレルムの名前は、使用するユーザー名およびパスワードを調べるために、クライアントによって使用されます。

複製を使用する場合は、すべてのサーバーを同じレルムで構成します。

2. 「ユーザー名属性」では、事前に選択された「デフォルト」設定、つまり UID

を選択できます。あるいは、「属性」をクリックして、DIGEST-MD5 SASL バインド時にユーザー項目を一意に識別するためにサーバーが使用する属性の名前を入力します。

注: 構成項目に ibm-slapdDigestAttr 属性を設定すると、サーバーはこの値をユーザー名属性のデフォルト値の代わりに使用します。この場合は「属性」ボタンが事前に選択されており、属性値がフィールド内に表示されています。

3. ディレクトリー管理者としてログインしている場合は、「管理者ユーザー名」の下に管理者のユーザー名を入力します。このフィールドを管理グループのメンバーが編集することはできません。 DIGEST-MD5 SASL バインドで指定したユーザー名がこのストリングと一致した場合、このユーザーは管理者となります。

注: 管理者のユーザー名には、大文字小文字の区別があります。


コマンド行の使用cn=Digest,cn=configuration 項目を作成するには、以下のコマンドを入力します。

ldapadd -D <adminDN> -w <adminpw> -i <filename>


dn: cn=Digest,cn=configurationcn: Digestibm-slapdDigestRealm: <realm name>ibm-slapdDigestAttr: <uuid>ibm-slapdDigestAdminUser: <Adminuser>objectclass:topobjectclass: ibm-slapdConfigEntryobjectclass: ibm-slapdDigest


DIGEST-MD5 の設定を変更するには、以下のコマンドを使用します。

ldapmodify -D <adminDN> -w <adminpw> -i <filename>


dn: cn=Digest,cn=configurationchangetype: modifyreplace: ibm-slapdDigestRealmibm-slapdDigestRealm: <newrealmname>-replace: ibm-slapdDigestAttribm-slapdDigestAttr: <newattribute>-replace: ibm-slapdDigestAdminUseribm-slapdDigestAdminUser: <newAdminuser>


第 11 章 IBM Directory スキーマの管理

スキーマは、データをディレクトリーに保管する方法を管理する一連の規則です。スキーマは、許可される項目のタイプ、項目の属性構造、および属性の構文を定義します。

注: オブジェクト・クラスの説明や構文など、サーバーに同梱されるスキーマ情報は英語で記述されています。これは、翻訳はされていません。

データは、ディレクトリー項目を使用してディレクトリーに保管されます。項目は、必須のオブジェクト・クラスとその属性で構成されます。属性は、必須またはオプションです。オブジェクト・クラスは、項目が記述する情報の種類を指定し、項目に含まれる属性のセットを定義します。各属性には、1 つ以上の関連する値があります。項目の詳細については、 221ページの『第 14 章ディレクトリー項目の処理』を参照してください。

IBM Directory バージョン 5.2 のスキーマは事前定義されていますが、追加の要件がある場合はスキーマを変更できます。

IBM Tivoli Directory バージョン 5.2 は、動的スキーマをサポートしています。スキーマはディレクトリー情報の一部として公開され、サブスキーマ項目(DN=″cn=schema″) 内で使用できます。このスキーマを照会する場合は ldap_search()

API を使用し、変更する場合は ldap_modify() API を使用します。これらの API の詳細についてはIBM Directory Client SDK Programming Reference を参照してください。

このスキーマは、LDAP バージョン 3 RFC (Request For Comments) (標準仕様) に含まれるスキーマよりも多くの構成情報を持っています。例えば、特定の属性のために、保守する索引を指定することができます。こうした追加の構成情報は、必要に応じてサブスキーマ項目で保守されます。サブスキーマ項目 IBMsubschema には、特別なオブジェクト・クラスが定義されています。これは、拡張されたスキーマ情報を保持する ″MAY″ 属性を持っています。

IBM Tivoli Directory Server では、命名コンテキスト用に定義されたスキーマを特殊ディレクトリー項目の ″cn=schema″ に保管する必要があります。この項目には、サーバー用に定義されたスキーマがすべて入っています。スキーマ情報を検索するには、以下を使用して、ldap_search を実行します。

DN: "cn=schema", search scope: base, filter: objectclass=subschemaor objectclass=*

スキーマでは、以下の属性タイプの値が指定されます。

v objectClasses ( 119ページの『オブジェクト・クラスの処理』を参照。)

v attributeTypes ( 127ページの『属性の処理』を参照。)

v IBMAttributeTypes ( 133ページの『IBMAttributeTypes 属性タイプ』を参照。)

v 突き合わせ規則 ( 135ページの『突き合わせ規則』を参照。)

v LDAP 構文 ( 137ページの『属性構文』を参照。)


これらのスキーマ定義の構文は、LDAP バージョン 3 RFC に基づいています。

サンプル・スキーマ項目の定義例は、以下のとおりです。

objectclasses=( 1.3.6.1.4.1.1466.101.120.111NAME ’extensibleObject’SUP top AUXILIARY )

objectclasses=( 2.5.20.1NAME ’subschema’AUXILIARY MAY

( dITStructureRules$ nameForms$ ditContentRules$ objectClasses$ attributeTypes$ matchingRules$ matchingRuleUse ) )

objectclasses=( 2.5.6.1NAME ’alias’SUP top STRUCTURALMUST aliasedObjectName )

attributeTypes {( 2.5.18.10 NAME ’subschemaSubentry’ EQUALITY distinguishedNameMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 NO-USER-MODIFICATIONSINGLE-VALUE USAGE directoryOperation )

( 2.5.21.5 NAME ’attributeTypes’EQUALITY objectIdentifierFirstComponentMatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.3 USAGE directoryOperation )

( 2.5.21.6 NAME ’objectClasses’EQUALITY objectIdentifierFirstComponentMatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.37 USAGE directoryOperation )SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 USAGE directoryOperation )

}

ldapSyntaxes {( 1.3.6.1.4.1.1466.115.121.1.5 DESC ’Binary’ )( 1.3.6.1.4.1.1466.115.121.1.7 DESC ’Boolean’ )( 1.3.6.1.4.1.1466.115.121.1.12 DESC ’DN’ )( 1.3.6.1.4.1.1466.115.121.1.15 DESC ’Directory String’ )( 1.3.6.1.4.1.1466.115.121.1.24 DESC ’Generalized Time’ )( 1.3.6.1.4.1.1466.115.121.1.26 DESC ’IA5 String’ )( 1.3.6.1.4.1.1466.115.121.1.27 DESC ’INTEGER’ )( 1.3.6.1.4.1.1466.115.121.1.50 DESC ’Telephone Number’ )( 1.3.6.1.4.1.1466.115.121.1.53 DESC ’UTC Time’ )

}

matchingRules {( 2.5.13.2 NAME ’caseIgnoreMatch’

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )( 2.5.13.0 NAME ’objectIdentifierMatch’

SYNTAX 1.3.6.1.4.1.1466.115.121.1.38 )( 2.5.13.30 NAME ’objectIdentifierFirstComponentMatch’

SYNTAX 1.3.6.1.4.1.1466.115.121.1.38 )( 2.5.13.4 NAME ’caseIgnoreSubstringsMatch’

SYNTAX 1.3.6.1.4.1.1466.115.121.1.58 )}

上記の例で示すように、単一の運用で、所定の属性タイプの属性値をすべて指定する必要はありません。

スキーマ情報は、ldap_modify API を使用して変更することができます。詳細については、Client SDK Programming Reference を参照してください。 DN ″cn=schema″


を使用すると、属性タイプまたはオブジェクト・クラスを追加、削除、または置換できます。スキーマ・エンティティーを削除するには、oid を括弧付きで (oid) と指定します。全記述を指定することもできます。スキーマ項目を追加するか、あるいは LDAP バージョン 3 定義、または IBM 属性の拡張定義、またはその両方の定義でスキーマ項目を置換できます。

共通スキーマ・サポートIBM Directory は、以下で定義されている標準ディレクトリー・スキーマをサポートします。

v Internet Engineering Task Force (IETF) LDAP バージョン 3 RFC (RFC 2252 や2256 など)

v Directory Enabled Network (DEN)

v Desktop Management Task Force (DMTF) の Common Information Model (CIM)

v Network Application Consortium の Lightweight Internet Person Schema (LIPS)

このバージョンの LDAP には、デフォルト・スキーマ構成に LDAP バージョン 3

で定義されたスキーマが含まれています。また、DEN スキーマ定義も含まれています。

IBM は、一連の拡張共通スキーマ定義も提供しています。これは、IBM の他の製品が LDAP ディレクトリーを利用する際に共用されます。例えば、以下のものがあります。

v ePerson、グループ、国、組織、組織の単位および役割、地区、都道府県などの、ホワイト・ページ・アプリケーションのためのオブジェクト

v アカウント、サービス、アクセス・ポイント、権限、認証、セキュリティー・ポリシーなどの、他のサブシステムのためのオブジェクト

オブジェクト ID (OID)オブジェクト ID (OID) は、オブジェクトを一意に識別する 10 進数のストリングです。このオブジェクトは通常、オブジェクト・クラスまたは属性です。これらの数値は、IANA (Internet Assigned Number Authority) から入手できます。IANA

Website は http://www.iana.org/iana/ にあります。

OID を持っていない場合は、オブジェクト・クラス名または属性名に -oid を付けたものを使用できます。例えば、属性 tempID を作成した場合は、OID をtempID-oid と指定できます。

オブジェクト・クラスの処理オブジェクト・クラスは、オブジェクトを記述するために使用する一連の属性を指定します。例えば、オブジェクト・クラス tempEmployee を作成した場合、臨時の従業員に関連する属性 (idNumber、dateOfHire、assignmentLength など) を含めることができます。ユーザーは、組織の必要に応じて、カスタム・オブジェクト・クラスを追加することができます。IBM Tivoli Directory Server のスキーマは、以下のようないくつかの基本的なタイプのオブジェクト・クラスを提供します。

v グループ (Groups)

第 11 章 IBM Directory スキーマの管理 119

http://www.ietf.org/

http://murchiso.com/den/

http://www.dmtf.org

http://www.netapps.org/

http://www.iana.org/iana/

http://www.iana.org/iana/

v 場所 (Locations)

v 組織 (Organizations)

v ユーザー (People)

注: IBM Tivoli Directory Server に固有のオブジェクト・クラスにはプレフィックス「ibm-」が付いています。

オブジェクト・クラスの定義オブジェクト・クラスはタイプ、継承、および属性の特性によって定義されます。

オブジェクト・クラスのタイプオブジェクト・クラスのタイプは、以下の 3 つのいずれかです。

構造化すべての項目は、1 つの構造化オブジェクト・クラスにのみ属し、項目の基本内容を定義します。このオブジェクト・クラスは、実際のオブジェクトを表します。すべての項目が構造化オブジェクト・クラスに属する必要があるため、これは最も一般的なタイプのオブジェクト・クラスです。

抽象このタイプは、スーパークラス、または他の (構造化) オブジェクト・クラスのテンプレートとして使用されます。このタイプは、構造化オブジェクト・クラスのセットに共通する属性のセットを定義します。これらのオブジェクト・クラスは、抽象クラスのサブクラスとして定義された場合、定義された属性を継承します。従属オブジェクト・クラスごとに属性を定義する必要はありません。

補助このタイプは、特定の構造化オブジェクト・クラスに属する項目に関連付けられた、追加属性を示します。項目は 1 つの構造化オブジェクト・クラスにのみ属することができますが、複数の補助オブジェクト・クラスに属することも可能です。

オブジェクト・クラス継承このバージョンの IBM Tivoli Directory Server は、オブジェクト・クラスおよび属性の定義のためのオブジェクト継承をサポートします。新しいオブジェクト・クラスは、親クラス (複数継承)、および追加または変更された属性によって定義できます。

各項目は、1 つの構造化オブジェクト・クラスに割り当てられます。すべてのオブジェクト・クラスが、抽象オブジェクト・クラス top から継承します。オブジェクト・クラスは、他のオブジェクト・クラスから継承することもできます。オブジェクト・クラスの構造は、特定の項目の必須属性と許可属性のリストを決定します。オブジェクト・クラス継承は、オブジェクト・クラス定義の順序によって異なります。オブジェクト・クラスは、先行するオブジェクト・クラスからのみ継承できます。例えば、LDIF ファイルで person 項目のオブジェクト・クラス構造を以下のように定義できます。

objectClass: topobjectClass: personobjectClass: organizationalPerson

この構造では、organizationalPerson は person オブジェクト・クラスと top オブジェクト・クラスから継承しますが、person オブジェクト・クラスは、top オブジェクト・クラスからのみ継承します。したがって、項目に organizationalPerson オブジ


ェクト・クラスを割り当てる場合は、上位オブジェクト・クラスから必須属性と許可属性が自動的に継承されます。この場合は、person オブジェクト・クラスです。

スキーマ更新操作は、スキーマ・クラス階層に対する一貫性を検査してから処理しコミットされます。

属性すべてのオブジェクト・クラスに、多数の必須属性とオプションの属性が含まれています。必須属性は、オブジェクト・クラスを使用する項目に存在していなければならない属性です。オプションの属性は、オブジェクト・クラスを使用する項目に存在している可能性がある属性です。

オブジェクト・クラスの表示Web 管理ツール (優先) またはコマンド行を使用して、スキーマのオブジェクト・クラスを表示できます。

Web 管理の使用ナビゲーション領域で「スキーマ管理」を展開して、「オブジェクト・クラスの管理」をクリックします。

読み取り専用のパネルが表示されます。このパネルでは、スキーマのオブジェクト・クラスおよびそれらの特性を参照できます。オブジェクト・クラスは、アルファベット順に表示されます。「前へ」または「次へ」をクリックすることで、1 ページ前または後に移動できます。これらのボタンの隣にあるフィールドは、現在表示されているページを示します。

また、このフィールドのドロップダウン・メニューを使用して、特定のページにスキップすることもできます。ページにリストされている最初のオブジェクト・クラスは、ページ番号とともに表示され、表示するオブジェクト・クラスを検索するのに役立ちます。例えば、オブジェクト・クラス person を検索している場合は、ドロップダウン・メニューを展開して、 14 ページの nsLiServer および 15 ページの printerLPR が表示されるまでスクロールします。person はアルファベット順でnsLiServer と printerLPR の間にあるため、14 ページを選択して、「移動」をクリックします。

オブジェクト・クラスをタイプでソートして表示することもできます。「Objectclass」が表示されるドロップダウン・メニューから、「タイプ」を選択し、「ソート」をクリックします。オブジェクト・クラスが、タイプ、抽象、補助、または構造化の範囲内でアルファベット順にソートされます。同様に、「降順」を選択して「ソート」をクリックすると、リストの順序を逆にすることができます。

対象とするオブジェクト・クラスが見つかると、そのタイプ、継承、必須属性、およびオプションの属性を表示させることができます。各特性の完全なリストを参照するには、継承、必須属性、およびオプションの属性に対するドロップダウン・メニューを展開してください。

実行するオブジェクト・クラス操作は右側のツールバーから選択できます。選択できる操作の例を以下に示します。


v 追加

v 編集

v コピー

v 削除

完了したら、「閉じる」をクリックし、IBM Tivoli Directory Server の「ようこそ」パネルに戻ります。

コマンド行の使用スキーマに含まれているオブジェクト・クラスを表示するには、以下のコマンドを発行します。

ldapsearch -b cn=schema -s base objectclass=* objectclasses

オブジェクト・クラスの追加

Web 管理の使用ナビゲーション領域の「スキーマ管理」が展開されていない場合は、これを展開し、「オブジェクト・クラスの管理」をクリックします。新規のオブジェクト・クラスを作成するには、以下の手順を実行します。


注: ナビゲーション領域の「スキーマ管理」を展開し、次に「オブジェクト・クラスの追加」をクリックすることによっても、このパネルにアクセスすることができます。

2. 「一般プロパティー」タブで以下を行います。

v 「オブジェクト・クラス名」を入力します。これは必須フィールドで、オブジェクト・クラスの機能を説明するものです。例えば、臨時の従業員の状況を把握するために使用するオブジェクト・クラスには、tempEmployee などの名前を指定します。

v オブジェクト・クラスの「記述」を入力します (臨時の従業員に使用するオブジェクト・クラスなど)。

v オブジェクト・クラスの「OID」を入力します。これは必須フィールドです。119ページの『オブジェクト ID (OID)』を参照してください。OID を持っていない場合は、オブジェクト・クラス名に -oid を付けたものを使用できます。例えば、オブジェクト・クラス名が tempEmployee であれば、OID はtempEmployee-oid となります。このフィールドの値は変更可能です。

v メニューから 1 つ以上の「上位オブジェクト・クラス」を選択します。これを選択することにより、他の属性の継承元のオブジェクト・クラスが決定されます。通常、「上位オブジェクト・クラス」は top ですが、他のオブジェクト・クラスにしてもかまいません。あるいは、他のオブジェクト・クラスと組み合わせて使用することもできます。例えば、tempEmployee の上位オブジェクト・クラスは、top および ePerson の場合があります。

v 「オブジェクト・クラス・タイプ」を選択します。オブジェクト・クラス・タイプの詳細については、 120ページの『オブジェクト・クラスのタイプ』を参照してください。


v オブジェクト・クラスの必須属性とオプションの属性を指定して、継承された属性を表示する場合は、「属性」タブをクリックします。新しいオブジェクト・クラスを追加する場合は「OK」をクリックします。変更を行わずに「オブジェクト・クラスの管理」に戻る場合は「キャンセル」をクリックします。

3. 「属性」タブで以下の手順を実行します。

v アルファベット順にリストされた「使用可能な属性」から属性を選択したら、「必須に追加」をクリックして属性を必須にするか、「オプションに追加」をクリックして、オブジェクト・クラスのオプションの属性にします。選択した属性の該当するリストに属性が表示されます。

v 選択するすべての属性について、このプロセスを繰り返します。

v 属性を選択して、必要に応じて「移動先 (Move to)」または「除去」ボタンをクリックすることで、属性をあるリストから別のリストに移動したり、選択したリストから属性を削除したりできます。

v 必須属性と継承された属性 (オプション) のリストを表示することができます。継承された属性は、「一般」タブで選択された「上位オブジェクト・クラス」に基づいています。継承された属性を変更することはできません。ただし、「一般」タブの「上位オブジェクト・クラス」を変更した場合は、継承された属性の異なるセットが表示されます。

4. 新しいオブジェクト・クラスを追加する場合は「OK」をクリックします。変更を行わずに「オブジェクト・クラスの管理」に戻る場合は「キャンセル」をクリックします。

注: 属性を追加せずに「一般」タブで「OK」をクリックした場合は、新しいオブジェクト・クラスを編集することによって属性を追加できます。

コマンド行の使用コマンド行を使用してオブジェクト・クラスを追加するには、以下のコマンドを発行します。



dn: cn=Schemachangetype: modifyadd: objectclassesobjectclasses: ( <myobjectClass-oid> NAME ’<myObjectClass>’ DESC ’<An object class

I defined for my LDAP application>’ SUP ’<objectclassinheritance>’<objectclasstype> MUST (<attribute1> $ <attribute2>)MAY (<attribute1> $ <attribute2>) )

オブジェクト・クラスの編集スキーマは、自由に変更できるわけではありません。変更の制限の詳細については、 140ページの『許可されないスキーマの変更』を参照してください。

Web 管理の使用ナビゲーション領域の「スキーマ管理」が展開されていない場合は、これを展開し、「オブジェクト・クラスの管理」をクリックします。オブジェクト・クラスを編集するには、以下の手順を実行します。

1. 編集するオブジェクト・クラスの隣にあるラジオ・ボタンをクリックします。



3. 以下のタブのいずれかを選択します。

v 以下の操作を行うには、「一般」タブを使用します。

– 「記述」を変更します。

– 「上位オブジェクト・クラス」を変更します。メニューから 1 つ以上の上位オブジェクト・クラスを選択します。これにより、他の属性の継承元のオブジェクト・クラスが判別されます。通常、「上位オブジェクト・クラス」は top ですが、他のオブジェクト・クラスにしてもかまいません。あるいは、他のオブジェクト・クラスと組み合わせて使用することもできます。例えば、tempEmployee の上位オブジェクト・クラスは、top およびePerson の場合があります。

– 「オブジェクト・クラス・タイプ」を変更します。オブジェクト・クラス・タイプを選択します。オブジェクト・クラス・タイプの詳細については、 120ページの『オブジェクト・クラスのタイプ』を参照してください。

– オブジェクト・クラスの必須属性とオプションの属性を変更して、継承された属性を表示するには、「属性」タブをクリックします。変更を適用する場合は「OK」をクリックします。変更を適用せずに「オブジェクト・クラスの管理」に戻る場合は「キャンセル」をクリックします。

v 以下の操作を行うには、「属性」タブを使用します。

アルファベット順にリストされた「使用可能な属性」から属性を選択したら、「必須に追加」をクリックして属性を必須にするか、「オプションに追加」をクリックして、オブジェクト・クラスのオプションの属性にします。選択した属性の該当するリストに属性が表示されます。

選択するすべての属性について、このプロセスを繰り返します。

属性を選択して、必要に応じて「移動先 (Move to)」または「削除」ボタンをクリックすることで、属性をあるリストから別のリストに移動したり、選択したリストから属性を削除したりできます。

必須属性と継承された属性 (オプション) のリストを表示することができます。継承された属性は、「一般」タブで選択された「上位オブジェクト・クラス」に基づいています。継承された属性を変更することはできません。ただし、「一般」タブの「上位オブジェクト・クラス」を変更した場合は、継承された属性の異なるセットが表示されます。

4. 変更を適用する場合は「OK」をクリックします。変更を行わずに「オブジェクト・クラスの管理」に戻る場合は「キャンセル」をクリックします。



コマンド行を使用してオブジェクト・クラスを編集するには、以下のコマンドを発行します。




dn: cn=schemachangetype: modifyreplace: objectclassesobjectclasses: ( <myobjectClass-oid> NAME ’<myObjectClass>’ DESC ’<An object class

I defined for my LDAP application>’ SUP ’<newsuperiorclassobject>’<newobjectclasstype> MUST (<attribute1> $ <attribute2>)

MAY (<attribute1> $ <attribute2>) )

オブジェクト・クラスのコピー

Web 管理の使用ナビゲーション領域の「スキーマ管理」が展開されていない場合は、これを展開し、「オブジェクト・クラスの管理」をクリックします。オブジェクト・クラスをコピーするには、以下の手順を実行します。

1. コピーするオブジェクト・クラスの隣にあるラジオ・ボタンをクリックします。

2. 「コピー」をクリックします。



– 新しい「オブジェクト・クラス名」を入力します。例えば、tempPersonを tempPersonCOPY としてコピーすることができます。

– 「記述」を変更します。

– 新しい OID を入力します。コピーしたオブジェクト・クラス用の新しいOID を持っていない場合は、既存の OID に「COPY」を付加して使用することもできます。例えば、<tempPerson-oid> を選択し、それを<tempPerson-oid>COPY としてコピーできます。

– 「上位オブジェクト・クラス」を変更します。メニューから 1 つ以上の上位オブジェクト・クラスを選択します。これにより、他の属性の継承元のオブジェクト・クラスが判別されます。通常、「上位オブジェクト・クラス」は top ですが、他のオブジェクト・クラスにしてもかまいません。あるいは、他のオブジェクト・クラスと組み合わせて使用することもできます。例えば、tempEmployeeCOPY の上位オブジェクト・クラスは、topおよび ePerson の場合があります。

– 「オブジェクト・クラス・タイプ」を変更します。オブジェクト・クラス・タイプを選択します。オブジェクト・クラス・タイプの詳細については、 120ページの『オブジェクト・クラスのタイプ』を参照してください。

– オブジェクト・クラスの必須属性とオプションの属性を変更して、継承された属性を表示するには、「属性」タブをクリックします。変更を適用する場合は「OK」をクリックします。変更を適用せずに「オブジェクト・クラスの管理」に戻る場合は「キャンセル」をクリックします。

v 以下の操作を行うには、「属性」タブを使用します。

アルファベット順にリストされた「使用可能な属性」から属性を選択したら、「必須に追加」をクリックして属性を必須にするか、「オプションに追加」をクリックして、オブジェクト・クラスのオプションの属性にします。選択した属性の該当するリストに属性が表示されます。

選択するすべての属性について、このプロセスを繰り返します。


属性を選択して、必要に応じて「移動先 (Move to)」または「削除」ボタンをクリックすることで、属性をあるリストから別のリストに移動したり、選択したリストから属性を削除したりできます。

必須属性と継承された属性 (オプション) のリストを表示することができます。継承された属性は、「一般」タブで選択された「上位オブジェクト・クラス」に基づいています。継承された属性を変更することはできません。ただし、「一般」タブの「上位オブジェクト・クラス」を変更した場合は、継承された属性の異なるセットが表示されます。

4. 変更を適用する場合は「OK」をクリックします。変更を行わずに「オブジェクト・クラスの管理」に戻る場合は「キャンセル」をクリックします。



コピーするオブジェクト・クラスを選択します。エディターを使用して該当する情報を変更し、<filename> に対する変更を保管します。以下のコマンドを発行します。



dn: cn=schemachangetype: modifyreplace: objectclassesobjectclasses: ( <mynewobjectClass-oid> NAME ’<mynewObjectClass>’

DESC ’<A new object class I copied for my LDAP application>’SUP ’<superiorclassobject>’<objectclasstype>MUST (<attribute1> $ <attribute2>)MAY (>attribute1> $ <attribute2> $ <attribute3>) )

オブジェクト・クラスの削除スキーマは、自由に変更できるわけではありません。変更の制限の詳細については、 140ページの『許可されないスキーマの変更』を参照してください。

Web 管理の使用ナビゲーション領域の「スキーマ管理」が展開されていない場合は、これを展開し、「オブジェクト・クラスの管理」をクリックします。オブジェクト・クラスを削除するには、以下の手順を実行します。

1. 削除するオブジェクト・クラスの隣にあるラジオ・ボタンをクリックします。


3. オブジェクト・クラスを除去するときは、確認のプロンプトが出されます。オブジェクト・クラスを削除する場合は「OK」をクリックします。変更を行わずに「オブジェクト・クラスの管理」に戻る場合は「キャンセル」をクリックします。




削除するオブジェクト・クラスを選択し、以下のコマンドを発行します。



dn: cn=schemachangetype: modifydelete: objectclassesobjectclasses: ( <myobjectClass-oid> NAME ’<myObjectClass>’

DESC ’<An object class I defined for my LDAP application>’SUP ’<objectclassinheritance>’ <objectclasstype >MUST (<attribute1> $ <attribute2>) >MAY (<attribute1> $ <attribute2>) )

属性の処理各ディレクトリー項目は、そのオブジェクト・クラスを通じて、関連する一連の属性を持っています。オブジェクト・クラスは項目に含まれる情報のタイプを記述しますが、実際のデータは属性に含まれています。属性は、名前、住所、電話番号など、特定のデータ要素を保持する 1 つ以上の名前と値のペアで表されます。IBM

Tivoli Directory Server は、名前と値のペア、記述属性 (例: commonName (cn))、および特定の情報の断片 (例: John Doe) としてデータを表します。

例えば、John Doe の項目には、複数の属性の名前と値のペアが含まれることがあります。

dn: uid=jdoe, ou=people, ou=mycompany, c=us,objectClass: topobjectClass: personobjectClass: organizationalPersoncn: John Doesn: DoegivenName: JackgivenName: John

標準属性はスキーマ・ファイルですでに定義されていますが、組織の必要に応じて、属性を作成、編集、コピー、または削除することができます。

属性の表示Web 管理ツール (優先) またはコマンド行を使用して、スキーマの属性を表示できます。

Web 管理の使用ナビゲーション領域で「スキーマ管理」を展開して、「属性の管理」をクリックします。読み取り専用のパネルが表示されます。このパネルでは、スキーマの属性およびそれらの特性を参照できます。属性は、アルファベット順に表示されます。「前へ」または「次へ」をクリックすることで、1 ページ前または後に移動できます。これらのボタンの隣にあるフィールドは、現在表示されているページを示します。また、このフィールドのドロップダウン・メニューを使用して、特定のページにスキップすることもできます。ページにリストされている最初のオブジェクト・クラスは、ページ番号とともに表示され、表示するオブジェクト・クラスを検索するのに役立ちます。例えば、属性 authenticationUserID を検索している場合は、ドロップダウン・メニューを展開して、 3 ページの applSystemHint および 4 ペ


ージの authorityRevocatonList が表示されるまでスクロールします。authenticationUserID はアルファベット順で applSystemHint と authorityRevocatonList

の間にあるため、3 ページを選択して、「移動」をクリックします。

属性を構文でソートして表示することもできます。「構文」を選択して、「ソート」をクリックします。属性が構文内でアルファベット順にソートされます。リストまたは構文のタイプの詳細については、 137ページの『属性構文』を参照してください。同様に、「降順」を選択して「ソート」をクリックすると、リストの順序を逆にすることができます。

対象とする属性が見つかると、その属性が複数値かどうかに無関係に、構文および含まれるオブジェクト・クラスを表示させることができます。属性のオブジェクト・クラスのリストを参照するには、オブジェクト・クラスのドロップダウン・メニューを展開します。

完了したら、「閉じる」をクリックし、IBM Tivoli Directory Server の「ようこそ」パネルに戻ります。

コマンド行の使用スキーマに含まれている属性を表示するには、以下のコマンドを発行します。

ldapsearch -b cn=schema -s base objectclass=* attributeTypes IBMAttributeTypes

属性の追加新しい属性を作成するには、以下のいずれかの方法を使用します。Web 管理ツールがよく使用されます。

Web 管理の使用ナビゲーション領域の「スキーマ管理」が展開されていない場合は、これを展開し、「属性の管理」をクリックします。新規の属性を作成するには、以下の手順を実行します。


注: ナビゲーション領域の「スキーマ管理」を展開して「属性の追加」をクリックし、このパネルにアクセスすることもできます。

2. 「属性名」を入力します (tempId など)。これは必須フィールドです。先頭は英字でなければなりません。

3. 属性の「記述」を入力します (臨時の従業員に割り当てた ID 番号など)。

4. 属性の「OID」を入力します。これは必須フィールドです。 119ページの『オブジェクト ID (OID)』を参照してください。OID を持っていない場合は、属性名に -oid を付けたものを使用できます。例えば、属性名が tempID であれば、デフォルト OID は tempID-oid となります。このフィールドの値は変更可能です。

5. ドロップダウン・リストから「上位属性」を選択します。上位属性は、プロパティーの継承元の属性を判別します。

6. ドロップダウン・リストから「構文」を選択します。構文については、 137ページの『属性構文』を参照してください。


7. この属性の最大長を指定する「属性長」を入力します。長さは、バイト数として表されます。

8. 属性に複数の値を持たせるには、「複数値を使用可能」チェック・ボックスを選択します。複数の値の詳細については、用語集の項目を参照してください。

9. 同等性、順序付け、およびサブストリングの突き合わせ規則の、各ドロップダウン・メニューから突き合わせ規則を選択します。突き合わせ規則の完全なリストについては、 135ページの『突き合わせ規則』を参照してください。

10. 「IBM 拡張」タブをクリックして属性に追加の拡張を指定するか、「OK」をクリックして新しい属性を追加します。変更を行わずに「属性の管理」に戻るには、「キャンセル」をクリックします。

11. 「IBM 拡張」タブで以下を行います。

v 「DB2 表名」を変更します。このフィールドをブランクのままにしておくと、サーバーが DB2 表名を生成します。DB2 表名を入力した場合は、DB2

列名も入力する必要があります。

v 「DB2 列名」を変更します。このフィールドをブランクのままにしておくと、サーバーが DB2 列名を生成します。DB2 列名を入力した場合は、DB2

表名も入力する必要があります。

v ドロップダウン・リストから「通常」、「重要」、または「重大」を選択し、「セキュリティー・クラス」を設定します。セキュリティー・クラスについては、246 ページのセキュリティー・クラスのセクションを参照してください。

v 1 つ以上の索引付け規則を選択して、索引付け規則を設定します。索引付け規則の詳細については、 136ページの『索引付け規則』を参照してください。

注: 検索フィルターで使用する属性には、少なくとも「同等性」の索引付けを指定することをお勧めします。

12. 新しい属性を追加する場合は「OK」をクリックします。変更を行わずに「属性の管理」に戻る場合は「キャンセル」をクリックします。

注: 拡張を追加せずに「一般」タブで「OK」をクリックした場合は、新しい属性を編集することで拡張を追加できます。

コマンド行の使用以下の例では、Directory String 構文 ( 137ページの『属性構文』を参照) および大文字と小文字を区別しない突き合わせ ( 135ページの『突き合わせ規則』を参照) を使用して myAttribute という属性の属性タイプ定義を追加します。この定義の IBM

固有部分では、属性データが「myAttrTable」という表の「myAttrColumn」という列に格納されることが指定されています。これらの名前を指定しなかった場合、デフォルトでは、表と列の名前は「myAttribute」に設定されます。この属性は「通常」アクセス・クラスに割り当てられ、値の最大長は 200 バイトになります。

ldapmodify -D <admindn> -w <adminpw> -i myschema.ldif

myschema.ldif ファイルには、以下の情報が格納されています。

dn: cn=schemachangetype: modifyadd: attributetypesattributetypes: ( myAttribute-oid NAME ( ’myAttribute’ )


DESC ’An attribute I defined for my LDAP application’EQUALITY 2.5.13.2 SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE userApplications )

-add: ibmattributetypesibmattributetypes: ( myAttribute-oid DBNAME ( ’myAttrTable’ ’myAttrColumn’ )

ACCESS-CLASS normal LENGTH 200 )

このコマンドの詳細については、 313ページの『ldapmodify、ldapadd』を参照してください。

属性の編集スキーマは、自由に変更できるわけではありません。変更の制限の詳細については、 140ページの『許可されないスキーマの変更』を参照してください。

定義した属性を使用する項目を追加する前であれば、定義のどの部分でも変更することができます。属性を編集するには、以下のいずれかの方法を使用します。Web

管理ツールがよく使用されます。

Web 管理の使用ナビゲーション領域の「スキーマ管理」が展開されていない場合は、これを展開し、「属性の管理」をクリックします。属性を編集するには、以下の手順を実行します。

1. 編集する属性の隣にあるラジオ・ボタンをクリックします。




– 以下のタブのいずれかを選択します。

- 以下の操作を行うには、「一般」を使用します。

v 「記述」を変更します。

v 「構文」を変更します。

v 「属性長」を設定します。

v 「複数値」の設定を変更します。

v 「突き合わせ規則」を選択します。

v 「上位属性」を変更します。

- 属性の拡張を編集するには「IBM 拡張」タブをクリックします。変更を適用するには「OK」をクリックします。変更を行わずに「属性の管理」に戻るには「キャンセル」をクリックします。

- 以下の操作を行うには、「IBM 拡張」を使用します (IBM Tivoli

Directory Server に接続している場合)。

v 「セキュリティー・クラス」を変更します。

注: system または restricted というセキュリティー区分が存在する属性のセキュリティー・クラスは変更できません。

v 「索引付け規則」を変更します。

– 変更を適用する場合は「OK」をクリックします。変更を行わずに「属性の管理」に戻る場合は「キャンセル」をクリックします。


4. 変更を適用する場合は「OK」をクリックします。変更を行わずに「属性の管理」に戻る場合は「キャンセル」をクリックします。

コマンド行の使用以下の例では、属性に索引付けを追加し、高速に検索できるようにします。定義を変更するには、ldapmodify コマンドと LDIF ファイルを使用します。

ldapmodify -D <admindn> -w <adminpw> -i myschemachange.ldif

myschemachange.ldif ファイルには、以下の情報が格納されています。

dn: cn=schemachangetype: modifyreplace: attributetypesattributetypes: ( myAttribute-oid NAME ( ’myAttribute’ ) DESC ’An attribute

I defined for my LDAP application’ EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 USAGE userApplications )

-replace: ibmattributetypesibmattributetypes: ( myAttribute-oid DBNAME ( ’myAttrTable’ ’myAttrColumn’ )

ACCESS-CLASS normal LENGTH 200 EQUALITY SUBSTR )

注: 変更対象が ibmattributetypes の部分のみであっても、置換操作では、定義の両方の部分 (attributetypes および ibmattributetypes) を指定する必要があります。変更内容は、同等性およびサブストリング突き合わせのための索引を要求するために、定義の最後に「EQUALITY SUBSTR」を追加している点のみです。


属性のコピー属性をコピーするには、以下のいずれかの方法を使用します。Web 管理ツールがよく使用されます。

Web 管理の使用ナビゲーション領域の「スキーマ管理」が展開されていない場合は、これを展開し、「属性の管理」をクリックします。属性をコピーするには、以下の手順を実行します。

1. コピーする属性の隣にあるラジオ・ボタンをクリックします。

2. 「コピー」をクリックします。

3. 「属性名」を変更します。デフォルト名は、コピーされた属性名に COPY という語を付けたものです。例えば、tempID は、tempIDCOPY としてコピーされます。

4. 属性の「記述」を変更します (臨時の従業員に割り当てた ID 番号など)。

5. 「OID」を変更します。デフォルトの OID は、コピー元の属性 OID にCOPYOID という語を付けたものです。例えば、tempID-oid は、tempID-oidCOPYOID としてコピーされます。

6. ドロップダウン・リストから「上位属性」を選択します。上位属性は、プロパティーの継承元の属性を判別します。

7. ドロップダウン・リストから「構文」を選択します。構文については、 137ページの『属性構文』を参照してください。


8. この属性の最大長を指定する「属性長」を入力します。長さは、バイト数として表されます。

9. 属性に複数の値を持たせるには、「複数値を使用可能」チェック・ボックスを選択します。複数の値の詳細については、用語集の項目を参照してください。

10. 同等性、順序付け、およびサブストリングの突き合わせ規則の、各ドロップダウン・メニューから突き合わせ規則を選択します。突き合わせ規則の完全なリストについては、 135ページの『突き合わせ規則』を参照してください。

11. 属性の追加の拡張を変更するには「IBM 拡張」タブをクリックします。変更を適用するには「OK」をクリックします。変更を行わずに「属性の管理」に戻るには「キャンセル」をクリックします。

12. 「IBM 拡張」タブで以下を行います。

v 「DB2 表名」を変更します。このフィールドをブランクのままにしておくと、サーバーが DB2 表名を生成します。DB2 表名を入力した場合は、DB2

列名も入力する必要があります。

v 「DB2 列名」を変更します。このフィールドをブランクのままにしておくと、サーバーが DB2 列名を生成します。DB2 列名を入力した場合は、DB2

表名も入力する必要があります。

v ドロップダウン・リストから「通常」、「重要」、または「重大」を選択し、「セキュリティー・クラス」を変更します。

注: system または restricted というセキュリティー区分が存在する属性のセキュリティー・クラスは変更できません。

v 1 つ以上の索引付け規則を選択して、索引付け規則を変更します。索引付け規則の詳細については、 136ページの『索引付け規則』を参照してください。

注: 検索フィルターで使用する属性には、少なくとも「等しい」の索引付けを指定することをお勧めします。

13. 変更を適用する場合は「OK」をクリックします。変更を行わずに「属性の管理」に戻る場合は「キャンセル」をクリックします。

注: 拡張を追加せずに「一般」タブで「OK」をクリックした場合は、新しい属性を編集することによって拡張を追加または編集できます。

コマンド行の使用スキーマに含まれている属性を表示させるには、以下のコマンドを発行します。

ldapsearch -b cn=schema -s base objectclass=* attributeTypes IBMAttributeTypes

コピーする属性を選択します。エディターを使用して該当する情報を変更し、<filename> に対する変更を保管します。その後、以下のコマンドを発行します。



dn: cn=schemachangetype: modifyadd: attributetypesattributetypes: ( <mynewAttribute-oid> NAME ’<mynewAttribute>’ DESC ’<A new

attribute I copied for my LDAP application> EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 USAGE userApplications )


-add: ibmattributetypesibmattributetypes: ( myAttribute-oid DBNAME ( ’myAttrTable’ ’myAttrColumn’ )

ACCESS-CLASS normal LENGTH 200 )

属性の削除スキーマは、自由に変更できるわけではありません。変更の制限の詳細については、 140ページの『許可されないスキーマの変更』を参照してください。

属性を削除するには、以下のいずれかの方法を使用します。Web 管理ツールがよく使用されます。

Web 管理の使用ナビゲーション領域の「スキーマ管理」が展開されていない場合は、これを展開し、「属性の管理」をクリックします。属性を削除するには、以下の手順を実行します。

1. 削除する属性の隣にあるラジオ・ボタンをクリックします。


3. 属性を除去するときは、確認のプロンプトが出されます。属性を削除する場合は「OK」をクリックします。変更を行わずに「属性の管理」に戻る場合は「キャンセル」をクリックします。

コマンド行の使用ldapmodify -D <admindn> -w <adminpw> -i myschemadelete.ldif

myschemadelete.ldif ファイルには、以下の情報が格納されています。

dn: cn=schemachangetype: modifydelete: attributetypesattributetypes: ( myAttribute-oid NAME ( ’myAttribute’ ) DESC ’An attribute

I defined for my LDAP application’ EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 USAGE userApplications )

-delete: ibmattributetypesibmattributetypes: ( myAttribute-oid DBNAME ( ’myAttrTable’ ’myAttrColumn’ )

ACCESS-CLASS normal LENGTH 200 EQUALITY SUBSTR )


IBMAttributeTypes 属性タイプIBMAttributeTypes 属性を使用すると、LDAP バージョン 3 規格で扱われていない属性のスキーマ情報を定義できます。IBMAttributeTypes の値は、以下の文法に従う必要があります。

IBMAttributeTypesDescription = "(" whspnumericoid whsp

[ "DBNAME" qdescrs ] ; at most 2 names (table, column)[ "ACCESS-CLASS" whsp IBMAccessClass whsp ][ "LENGTH" wlen whsp ] ; maximum length of attribute[ "EQUALITY" [ IBMwlen ] whsp ] ; create index for matching rule[ "ORDERING" [ IBMwlen ] whsp ] ; create index for matching rule[ "APPROX" [ IBMwlen ] whsp ] ; create index for matching rule[ "SUBSTR" [ IBMwlen ] whsp ] ; create index for matching rule[ "REVERSE" [ IBMwlen ] whsp ] ; reverse index for substring


whsp ")"

IBMAccessClass ="NORMAL" / ; this is the default"SENSITIVE" /"CRITICAL" /"RESTRICTED" /"SYSTEM" /

IBMwlen = whsp len

numericoidattributetypes の値を IBMAttributeTypes の値と相互に関連させるために使用します。

DBNAME実際に 2 つの名前が与えられた場合は、最大 2 つの名前を指定できます。最初の名前は、この属性に使用される表名です。2 番目の名前は、この表内の完全に正規化された属性値に使用される列名です。名前を 1 つだけしか指定しないと、その名前は、表名としても列名としても使用されます。DBNAME を指定しない場合は、(attributetypes からの) 短縮属性名が使用されます。

ACCESS-CLASS同様のアクセス権を必要としている属性は、クラス内にグループ化されます。属性は、ディレクトリー・スキーマ・ファイル内の属性クラスにマッピングされます。これらのクラスはそれぞれ独立しています。したがって、あるクラスにアクセスしても、それが別のクラスへのアクセスを意味するわけではありません。許可は、属性アクセス・クラス全体に対して設定されます。ある特定の属性クラスに設定された許可は、個々の属性アクセス権が指定されない限り、このアクセス・クラス内のすべての属性に適用されます。

IBM では、ユーザー属性へのアクセスの評価に使用する属性クラスとしてnormal、sensitive、critical、system、および restricted の 5 つを定義しています。例えば、属性 commonName は normal クラスに属し、属性userPassword は critical クラスに属します。ユーザー定義属性は、特に指定がない限り、normal アクセス・クラスに属します。詳細については、240ページの『権限』を参照してください。

ACCESS-CLASS を省略すると、標準 (normal) にデフォルト設定されます。

LENGTHこの属性の最大長です。長さは、バイト数として表されます。IBM

Directory バージョン 5.2 には、属性長を指定するための規定があります。attributetypes 値の中で、

( attr-oid ... SYNTAX syntax-oid{len} ... )

というストリングを使用すると、oid attr-oid を持つ attributetype が最大長であることを示すことができます。

EQUALITY、ORDERING、APPROX、SUBSTR、REVERSE上記の属性のいずれかを使用すると、対応する突き合わせ規則に従って索引が生成されます。オプションの長さでは、索引付けされる列の幅が指定されます。多くの構文で、単一の索引を共用して複数の突き合わせ規則をインプリメントできます。IBM Tivoli Directory Server ではこれを利用していま


す。ユーザーが長さを指定しないと、SLAPD バージョン 3.2 が長さを割り当てます。SLAPD は、その方がよいと判断した場合は、ユーザーが要求したよりも短い長さを使用することがあります。例えば、索引の長さを属性の最大長より大きく指定した場合、索引の長さは無視されます。

突き合わせ規則突き合わせ規則は、検索操作のときにストリング比較を行うためのガイドラインを提供します。これらの規則は 3 つのカテゴリーに分類されます。

v 同等性

v 順序付け

v サブストリング

表 8.

同等性突き合わせ規則

突き合わせ規則 OID 構文

caseExactIA5Match 1.3.6.1.4.1.1466.109.114.1 Directory String 構文

caseExactMatch 2.5.13.5 Directory String 構文

caseIgnoreIA5Match 1.3.6.1.4.1.1466.109.114.2 IA5 String 構文

caseIgnoreMatch 2.5.13.2 Directory String 構文

distinguishedNameMatch 2.5.13.1 DN - distinguished name

generalizedTimeMatch 2.5.13.27 Generalized Time 構文

ibm-entryUuidMatch 1.3.18.0.2.22.2 Directory String 構文

integerFirstComponentMatch 2.5.13.29 Integer 構文 - 整数値

integerMatch 2.5.13.14 Integer 構文 - 整数値

objectIdentifierFirstComponentMatch 2.5.13.30 OID を格納するためのストリング。OID は、数値 (0 ～ 9) と小数点(.) を含むストリングです。

objectIdentifierMatch 2.5.13.0 OID を格納するためのストリング。OID は、数値 (0 ～ 9) と小数点(.) を含むストリングです。

octetStringMatch 2.5.13.17 Directory String 構文

telephoneNumberMatch 2.5.13.20 Telephone Number 構文

uTCTimeMatch 2.5.13.25 UTC Time 構文

表 9.

順序付け突き合わせ規則


caseExactOrderingMatch 2.5.13.6 Directory String 構文

caseIgnoreOrderingMatch 2.5.13.3 Directory String 構文

distinguishedNameOrderingMatch 1.3.18.0.2.4.405 DN - 識別名


表 9. (続き)

順序付け突き合わせ規則


generalizedTimeOrderingMatch 2.5.13.28 Generalized Time 構文

表 10.

サブストリング突き合わせ規則


caseExactSubstringsMatch 2.5.13.7 Directory String 構文

caseIgnoreSubstringsMatch 2.5.13.4 Directory String 構文

telephoneNumberSubstringsMatch 2.5.13.21 Telephone Number 構文

注: UTC 時刻は、ASN.1 規格によって定義されたタイム・ストリング・フォーマットです。ISO 8601 および X680 を参照してください。UTC 時刻形式の時間値を格納するには、この構文を使用します。 150ページの『標準時および UTC

時刻』を参照してください。

索引付け規則属性に索引規則を付加すると、情報をより早く検索できます。属性のみを指定した場合は、索引は保持されません。IBM Directory では、以下の索引付け規則が提供されます。

v 同等性

v 順序付け

v ほぼ等しい


v 反転

属性の索引付け規則の指定属性に索引付け規則を指定すると、属性値に特別な索引を作成して保守することを管理できます。これにより、索引付けされた属性を含むフィルターを使用した検索では、応答時間が大幅に短縮されます。以下の 5 タイプの索引付け規則が、検索フィルターで適用される操作と関連しています。

同等性以下の検索操作に適用されます。

v equalityMatch ’=’


"cn = John Doe"

順序付け以下の検索操作に適用されます。

v greaterOrEqual ’>=’

v lessOrEqual ’<=’


"sn >= Doe"


ほぼ等しい以下の検索操作に適用されます。

v approxMatch ’~=’


"sn ~= doe"

サブストリングサブストリング構文を使用した検索操作に適用されます。

v substring ’*’


"sn = McC*""cn = J*Doe"

反転以下の検索操作に適用されます。

v ’*’ substring


"sn = *baugh"

検索フィルターで使用する属性には、少なくとも「等しい」の索引付けを指定することをお勧めします。

属性構文構文は、アルファベット順または OID 順のいずれかで表示させることができます。「構文」または「OID」を選択して、「ソート」をクリックします。同様に、「降順」を選択して「ソート」をクリックすると、リストの順序を逆にすることができます。

表 11.

構文 OID

Attribute Type Description 構文 1.3.6.1.4.1.1466.115.121.1.3

Binary - octet string 1.3.6.1.4.1.1466.115.121.1.5

Boolean - TRUE/FALSE 1.3.6.1.4.1.1466.115.121.1.7

Directory String 構文 1.3.6.1.4.1.1466.115.121.1.15

DIT Content Rule Description 構文 1.3.6.1.4.1.1466.115.121.1.16

DITStructure Rule Description 構文 1.3.6.1.4.1.1466.115.121.1.17

DN - distinguished name 1.3.6.1.4.1.1466.115.121.1.12

Generalized Time 構文 1.3.6.1.4.1.1466.115.121.1.24

IA5 String 構文 1.3.6.1.4.1.1466.115.121.1.26

IBM Attribute Type Description 1.3.18.0.2.8.1

Integer 構文 - 整数値 1.3.6.1.4.1.1466.115.121.1.27

LDAP Syntax Description 構文 1.3.6.1.4.1.1466.115.121.1.54

Matching Rule Description 1.3.6.1.4.1.1466.115.121.1.30

Matching Rule Use Description 1.3.6.1.4.1.1466.115.121.1.31

Name Form Description 1.3.6.1.4.1.1466.115.121.1.35

Object Class Description 構文 1.3.6.1.4.1.1466.115.121.1.37


表 11. (続き)

構文 OID

OID を格納するためのストリング。OID

は、数値 (0 ～ 9) と小数点 (.) を含むストリングです。. 119ページの『オブジェクトID (OID)』を参照してください。

1.3.6.1.4.1.1466.115.121.1.38

Telephone Number 構文 1.3.6.1.4.1.1466.115.121.1.50

UTC Time 構文。UTC 時刻は、ASN.1 規格によって定義されたタイム・ストリング・フォーマットです。ISO 8601 および X680 を参照してください。UTC 時刻形式の時間値を格納するには、この構文を使用します。150ページの『標準時および UTC 時刻』を参照してください。

1.3.6.1.4.1.1466.115.121.1.53

サブスキーマ項目サブスキーマ項目は、1 つのサーバーにつき 1 つあります。ディレクトリー内の項目はすべて、暗黙の subschemaSubentry 属性タイプを持っています。subschemaSubentry 属性タイプの値は、項目に対応するサブスキーマ項目の DN です。同じサーバーの下の項目はすべて、同じサブスキーマ項目を共用します。また、それらの subschemaSubentry 属性タイプは同じ値を持ちます。サブスキーマ項目には、DN ’cn=schema’ がハードコーディングされています。

サブスキーマ項目は、’top’、’subschema’、および ’IBMsubschema’ というオブジェクト・クラスに属しています。’IBMsubschema’ オブジェクト・クラスは、MUST 属性を持っておらず、MAY 属性タイプ (’IBMattributeTypes’) を 1 つ持っています。

IBMsubschema オブジェクト・クラスIBMsubschema オブジェクト・クラスは、以下のように、サブスキーマ項目内でのみ使用されます。

( <objectClass-oid-TBD> NAME ’IBMsubschema’ AUXILIARYMAY IBMattributeTypes )

スキーマの照会ldap_search() API を使用すると、以下の例に示すように、サブスキーマ項目を照会することができます。

DN : "cn=schema"search scope : basefilter : objectclass=subschema or objectclass=*

この例では、スキーマ全体が検索されます。選択された属性タイプの値をすべて検索するには、ldap_search の attrs パラメーターを使用します。特定の属性タイプの特定の値のみを検索することはできません。

ldap_search API の詳細については、IBM Directory Version 5.2: Client SDK

Programming Reference を参照してください。


動的スキーマ動的にスキーマを変更するには、″cn=schema″ という DN を指定して、ldap_modify

API を使用します。スキーマ・エンティティー (属性タイプやオブジェクト・クラスなど) は、一度に 1 つのみしか、追加、削除、または置換することができません。

スキーマ・エンティティーを削除するには、oid を以下のように括弧で囲みます。

( oid )

詳細な説明を指定することもできます。いずれの場合でも、削除するスキーマ・エンティティーを見つけるために使用する突き合わせ規則は、objectIdentifierFirstComponentMatch となります。

スキーマ・エンティティーを追加または置換するには、LDAP バージョン 3 の定義を指定する必要があります。IBM の定義を指定してもかまいません。すべての場合において、ユーザーは、適用するスキーマ・エンティティーの定義のみを指定する必要があります。

例えば、属性タイプ ’cn’ (OID は 2.5.4.3) を削除するには、以下の行を指定してldap_modify() を実行します。

LDAPMod attr;LDAPMod *attrs[] = { &attr, NULL };char *vals [] = { "( 2.5.4.3 )", NULL };attr.mod_op = LDAP_MOD_DELETE;attr.mod_type = "attributeTypes";attr.mod_values = vals;ldap_modify_s(ldap_session_handle, "cn=schema", attrs);

OID が 20.20.20 で NAME の長さが 20 文字の新しい属性タイプ bar を追加するには、以下のように指定します。

char *vals1[] = { "( 20.20.20 NAME ’bar’ SUP NAME )", NULL };char *vals2[] = { "( 20.20.20 LENGTH 20 )", NULL };LDAPMod attr1;LDAPMod attr2;LDAPMod *attrs[] = { &attr1, &attr2, NULL };attr1.mod_op = LDAP_MOD_ADD;attr1.mod_type = "attributeTypes";attr1.mod_values = vals1;attr2.mod_op = LDAP_MOD_ADD;attr2.mod_type = "IBMattributeTypes";attr2.mod_values = vals2;ldap_modify_s(ldap_session_handle, "cn=schema", attrs);

注: ACCESS-CLASS タイプを「system」または「restricted」に、あるいは「system」、「restricted」から変更はできません。

Web 管理ツールおよび ldapmodify コマンドの使用例については、 127ページの『属性の処理』を参照してください。

ldap_modify API の詳細については、IBM Directory Version 5.2: Client SDK


アクセス制御動的なスキーマ変更を行えるのは複製サプライヤーまたは管理者 DN のみです。


複製動的スキーマの変更を実行すると、他の ldap_modify 操作と同様に、その内容が複製されます。

許可されないスキーマの変更スキーマは、自由に変更できるわけではありません。変更の制限として、以下の規則があります。

v スキーマを変更しても、スキーマの一貫性が失われないようにすること。

v 別の属性タイプのスーパータイプである属性タイプは削除しないこと。オブジェクト・クラスの ″MAY″ または ″MUST″ 属性タイプである属性タイプは削除しないこと。

v 別のオブジェクト・クラスのスーパークラスであるオブジェクト・クラスは削除しないこと。

v 存在しないエンティティー (構文またはオブジェクト・クラスなど) を参照するオブジェクト・クラスまたは属性タイプは追加しないこと。

v 属性タイプまたはオブジェクト・クラスを変更する場合、これらが存在しないエンティティー (構文またはオブジェクト・クラスなど) を参照するようには変更しないこと。

サーバーの操作に影響を与えるようなスキーマの変更は許可されていません。以下のスキーマ定義は、ディレクトリー・サーバーによって要求されます。これらは、変更が禁止されています。

オブジェクト・クラス以下のオブジェクト・クラス定義は変更しないでください。

v accessGroup

v accessRole

v alias

v referral

v replicaObject

v top

属性以下の属性定義は変更しないでください。

操作属性Directory Server に対して特殊な意味を持つ、操作属性という複数の属性があります。これらは、Directory Server によって保守される属性であり、Directory Server

がある 1 つの項目について管理している情報を反映するか、または Directory

Server の動作に影響を及ぼします。これらの属性には、以下のような特殊な特性があります。

v これらの属性は、検索要求時に (名前で) 具体的に要求しない限り、検索操作では戻りません。

v これらの属性は削除できません。


v これらの属性はオブジェクト・クラスの一部ではありません。 Directory Server

は、どの項目にこれらの属性が格納されるかを制御します。

次の操作属性のリストは、IBM Tivoli Directory Server によってサポートされている属性です。

v aclEntry

v aclPropagate

v aclSource

v aliasedObjectName、aliasedentryName

v createTimestamp

v creatorsName

v entryOwner

v hasSubordinates

v ibm-allGroups

v ibm-allMembers

v ibm-capabilitiessubentry

v ibm-effectiveAcl

v ibm-entryChecksum

v ibm-entryChecksumOp

v ibm-entryUuid

v ibm-filterAclEntry

v ibm-filterAclInherit

v ibm-replicationChangeLDIF

v ibm-replicationIsQuiesced

v ibm-replicationLastActivationTime

v ibm-replicationLastChangeId

v ibm-replicationLastFinishTime

v ibm-replicationLastGlobalChangeId

v ibm-replicationLastResult

v ibm-replicationLastResultAdditional

v ibm-replicationNextTime

v ibm-replicationPendingChangeCount

v ibm-replicationPendingChanges

v ibm-replicationState

v ibm-replicationThisServerIsMaster

v modifiersName

v modifyTimestamp

v ownerPropagate

v ownerSource

v pwdAccountLockedTime

v pwdChangedTime


v pwdExpirationWarned

v pwdFailureTime

v pwdGraceUseTime

v pwdHistory

v pwdReset

v subschemaSubentry

v subtreeSpecification

これらの属性の詳細については、 399ページの『付録 G. IBM Tivoli Directory

Server 5.2 必須属性の定義』を参照してください。

制限付き属性次の制限付き属性のリストは、IBM Tivoli Directory Server でサポートされている属性です。

v aclEntry

v aclPropagate

v entryOwner



v ownerPropagate

ルート DSE の属性以下の属性はルート DSE に関連しているため、変更しないでください。

v altServer

v ibm-effectiveReplicationModel

v ibm-enabledCapabilities

v ibm-serverId

v ibm-supportedCapabilities

v ibm-supportedReplicationModels

v namingContexts



スキーマ定義属性以下の属性はスキーマ定義に関連しているため、変更しないでください。

v attributeTypes

v ditContentRules

v ditStructureRules

v IBMAttributeTypes

v ldapSyntaxes

v matchingRules

v matchingRuleUse

v nameForms


v objectClasses

v supportedExtension

v supportedLDAPVersion

v supportedSASLMechanisms



構成属性以下に示すのは、サーバーの構成に影響を与える属性です。値を変更することはできますが、サーバーを正常に動作させるため、これらの属性の定義は変更しないでください。

v ibm-audit

v ibm-auditAdd

v ibm-auditBind

v ibm-auditDelete

v ibm-auditExtOpEvent

v ibm-auditFailedOpOnly

v ibm-auditLog

v ibm-auditModify

v ibm-auditModifyDN

v ibm-auditSearch

v ibm-auditUnbind

v ibm-slapdAclCache

v ibm-slapdAclCacheSize

v ibm-slapdAdminDN

v ibm-slapdAdminPW

v ibm-slapdAuthIntegration

v ibm-slapdCLIErrors

v ibm-slapdDB2CP

v ibm-slapdDBAlias

v ibm-slapdDbConnections

v ibm-slapdDbInstance

v ibm-slapdDbLocation

v ibm-slapdDbName

v ibm-slapdDbUserID

v ibm-slapdDbUserPW

v ibm-slapdDerefAliases

v ibm-slapdDN

v ibm-slapdsupportedCapabilities

v ibm-slapdEnableEventNotification

v ibm-slapdEntryCacheSize


v ibm-slapdErrorLog

v ibm-slapdFilterCacheBypassLimit

v ibm-slapdFilterCacheSize

v ibm-slapdIdleTimeOut

v ibm-slapdIncludeSchema

v ibm-slapdIpAddress

v ibm-slapdKrbAdminDN

v ibm-slapdKrbEnable

v ibm-slapdKrbIdentityMap

v ibm-slapdKrbKeyTab

v ibm-slapdKrbRealm

v ibm-slapdLdapCrlHost

v ibm-slapdLdapCrlPassword

v ibm-slapdLdapCrlPort

v ibm-slapdLdapCrlUser

v ibm-slapdMasterDN

v ibm-slapdMasterPW

v ibm-slapdMasterReferral

v ibm-slapdMaxEventsPerConnection

v ibm-slapdMaxEventsTotal

v ibm-slapdMaxNumOfTransactions

v ibm-slapdMaxOpPerTransaction

v ibm-slapdMaxTimeLimitOfTransactions

v ibm-slapdMigrationInfo

v ibm-slapdPagedResAllowNonAdmin

v ibm-slapdPagedResLmt

v ibm-slapdPageSizeLmt

v ibm-slapdPlugin

v ibm-slapdPort

v ibm-slapdslapdPwEncryption

v ibm-slapdReadOnly

v ibm-slapdReferral

v ibm-slapdSchemaAdditions

v ibm-slapdSchemaCheck

v ibm-slapdSecurePort

v ibm-slapdSecurity

v ibm-slapdSetenv

v ibm-slapdSizeLimit

v ibm-slapdSortKeyLimit

v ibm-slapdSortSrchAllowNonAdmin


v ibm-slapdSslAuth

v ibm-slapdSslCertificate

v ibm-slapdSslCipherSpec

v ibm-slapSslCipherSpecs

v ibm-slapdSslKeyDatabase

v ibm-slapdSslKeyDatabasePW

v ibm-slapdSslKeyRingFile

v ibm-slapdSslKeyRingFilePW

v ibm-slapdSuffix

v ibm-slapdSupportedWebAdmVersion

v ibm-slapdSysLogLevel

v ibm-slapdTimeLimit

v ibm-slapdTraceEnabled

v ibm-slapdTraceMessageLevel

v ibm-slapdTraceMessageLog

v ibm-slapdTransactionEnable

v ibm-slapdUseProcessIdPW

v ibm-slapdVersion

v replicaBindDN

v replicaBindMethod

v replicaCredentials、replicaBindCredentials

v replicaHost

v replicaPort

v replicaUpdateTimeInterval

v replicaUseSSL


Server 5.2 必須属性の定義』または「構成属性」を参照してください。

ユーザー・アプリケーション属性さらに、属性の定義を変更してはならないユーザー・アプリケーション属性が複数あります。

v businessCategory

v cn、commonName

v changeNumber

v changes

v changeTime

v changeType

v deleteOldRdn

v description

v dn、distinguishedName


v member

v name

v newSuperior

v o、organizationName、organization

v objectClass

v ou、organizationalUnit、organizationalUnitName

v owner

v ref

v seeAlso

v targetDN



構文構文の変更は許可されていません。

突き合わせ規則突き合わせ規則の変更は許可されていません。

スキーマの検査サーバーの初期設定では、スキーマ・ファイルが読み取られ、その一貫性と正確性が検査されます。検査に失敗した場合は、サーバーは初期化に失敗し、エラー・メッセージを出力します。動的なスキーマの変更時、変更されたスキーマにも、一貫性と正確性の検査が行われます。この検査に合格しないと、エラーが戻されて、変更が失敗します。検査の中には、文法に含まれているものもあります (例えば、属性タイプは、最大 1 つのスーパータイプしか持てません。また、オブジェクト・クラスは、いくつでもスーパークラスを持つことができます。)

属性タイプについては、以下の項目が検査されます。

v 2 つの異なる属性タイプが、同じ名前または OID を持っていないこと。

v 属性タイプの継承の階層で循環がないこと。

v 属性タイプのスーパータイプも定義されていること (ただし、この定義は、後で表示されたり、単独のファイル内に存在したりする場合があります)。

v 属性タイプが、別の属性タイプのサブタイプである場合、これらの両方とも、同じ USAGE を持っていること。

v すべての属性タイプは、直接定義または継承された構文を持っていること。

v NO-USER-MODIFICATION としてマーク付けされているのは、操作属性のみであること。

オブジェクト・クラスについては、以下の項目が検査されます。

v 2 つの異なるオブジェクト・クラスが、同じ名前または OID を持っていないこと。

v オブジェクト・クラスの継承の階層に循環がないこと。


v オブジェクト・クラスのスーパークラスも定義されていること (ただし、この定義は、後で表示されたり、単独のファイル内に存在したりする場合があります)。

v オブジェクト・クラスの ″MUST″ および ″MAY″ 属性タイプも定義されていること (ただし、この定義は、後で表示されたり、単独のファイル内に存在することがあります)。

v 構造化オブジェクト・クラスはすべて、トップの直接または間接のサブクラスであること。

v 抽象オブジェクト・クラスがスーパークラスを持っている場合は、そのスーパークラスも抽象であること。

スキーマの照合による項目の検査LDAP 操作を介して項目を追加または変更する場合、その項目は、スキーマと突き合わせて検査されます。デフォルトでは、このセクションに記述されている検査がすべて実施されます。ただし、ibmslapd.conf 構成ディレクティブにibm-slapdSchemaCheck 値を指定すれば、実施を取りやめたい検査項目を個々に選択できます。スキーマ構成属性については、IBM Tivoli Directory Server インストールと構成のガイドバージョン 5.2 を参照してください。

スキーマに準拠させるため、以下の条件について項目が検査されます。

オブジェクト・クラスについては、以下の項目が検査されます。

v 属性タイプ ″objectClass″ について、少なくとも 1 つの値を持っていること。

v 任意の数の補助オブジェクト・クラス (ゼロを含む) を持つことができます。これは、検査ではなく説明です。これを使用不可にするオプションはありません。

v 任意の数の抽象オブジェクト・クラスを持つことができます (ただし、クラス継承の結果としてのみ)。つまり、項目が所有するすべての抽象オブジェクト・クラスについて、項目は、その抽象オブジェクト・クラスから直接または間接に継承する構造化オブジェクト・クラスまたは補助オブジェクト・クラスも所有します。

v 少なくとも 1 つの構造化オブジェクト・クラスを持っていること。

v 正確に 1 つの即時または基本構造化オブジェクト・クラスを持っていること。つまり、項目が指定されたすべての構造化オブジェクト・クラスは、それぞれがそのうちの 1 つの構造化オブジェクト・クラスのスーパークラスである必要があります。最も派生の進んだオブジェクト・クラスは、項目の「即時」または「基本構造」オブジェクト・クラスと呼ばれます。単に、項目の「構造」オブジェクト・クラスとも呼ばれます。

v その即時構造化オブジェクト・クラスを (ldap_modify で) 変更することはできません。

v 項目が指定された各オブジェクト・クラスについて、その直接および間接のスーパークラスのすべてのセットが計算されます。これらのスーパークラスに項目が指定されていない場合は、自動的に追加されます。

項目の属性タイプの妥当性は、以下のようにして判別されます。

v 項目の MUST 属性タイプのセットは、継承された暗黙のオブジェクト・クラスを含めて、そのオブジェクト・クラスのすべての MUST 属性タイ


プのセットの共用体として計算されます。項目の MUST 属性タイプのセットが、項目に含まれている属性タイプのセットのサブセットでない場合、その項目は拒否されます。

v 項目の MAY 属性タイプのセットは、継承された暗黙のオブジェクト・クラスを含めて、そのオブジェクト・クラスのすべての MAY 属性タイプのセットの共用体として計算されます。項目に含まれている属性タイプのセットが、項目の MUST および MAY 属性タイプのセットの共用体のサブセットでない場合、その項目は拒否されます。

v 項目に対して定義された属性タイプが NO-USER-MODIFICATION としてマーク付けされている場合、その項目は拒否されます。

項目の属性タイプ値の妥当性は、以下のようにして判別されます。

v 項目に含まれているすべての属性タイプについて、属性タイプが単一値であり、項目が複数の値を持つ場合、その項目は拒否されます。

v 項目に含まれているすべての属性タイプのすべての属性値について、その構文が、その属性の構文用の構文検査ルーチンに従っていない場合、その項目は拒否されます。

v 項目に含まれているすべての属性タイプのすべての属性値について、その長さが、その属性タイプに割り当てられている最大長よりも長い場合、その項目は拒否されます。

DN の妥当性は、以下のようにして判別されます。

v 構文が DistinguishedNames の BNF に準拠しているかどうかを検査します。準拠していない場合、項目は拒否されます。

v その項目に対して有効な属性タイプのみで RDN が構成されているかどうかを検査します。

v RDN で使用される属性タイプの値が項目内に示されているかどうかを検査します。

DEN スキーマ・サポートDirectory-Enabled Network (DEN) 仕様は、ユーザー、アプリケーション、ネットワーク要素、およびネットワーキング・サービスを表すオブジェクト間の関係を保存して記述する標準スキーマ形式を定義します。

DEN をサポートするために、IBM Tivoli Directory Server は、以下の機能を提供します。

v サブクラス化 (クラス継承)。クラス定義は、サブクラス化によって、既存の定義から作成することができます。新しいクラス定義は、親クラス定義からプロパティーを継承します。親 (または上位) オブジェクト・クラスを指定するには、オブジェクト・クラス定義の SUP オプションを使用します。

v DEN で必要な LDAP 構文には、以下のものが含まれます。

– Boolean

– DN

– ディレクトリー・ストリング

– Generalized Time


– UTC 時刻

– IA5 ストリング

– 整数

iPlanet との互換性IBM Tivoli Directory Server で使用されるパーサーでは、スキーマ属性タイプ(objectClasses と attributeTypes) の属性値を iPlanet の文法を使用して指定できます。例えば、descr および numeric-oid は、(qdescrs と同様に) 単一引用符で囲んで指定することができます。ただし、スキーマ情報は、ldap_search を使用して、いつでも参照できます。ファイル内の属性値に対して単一の動的変更を (ldap_modify を使用して) 実行するとすぐに、すべての属性値が IBM Directory バージョン 5.2 仕様に従っているファイルによって、ファイル全体が置き換えられます。ファイルおよび ldap_modify 要求で使用されるパーサーは同じであるため、属性値に対してiPlanet 文法を使用する ldap_modify も正常に処理されます。

iPlanet サーバーのサブスキーマ項目に対して照会を実行すると、結果として得られる項目が、1 つの OID に対して複数の値を持つことがあります。例えば、ある属性タイプが 2 つの値を持っている場合 (’cn’ と ’commonName’ など)、その属性タイプの説明は、それぞれの名前に対して 1 回ずつ、計 2 回提供されます。IBM

Tivoli Directory Server では、単一の属性タイプまたはオブジェクト・クラスの説明が、同じ内容で複数回現れるスキーマを構文解析することができます (NAME とDESCR は除く)。ただし、IBM Tivoli Directory がスキーマを発行するときには、そのような属性タイプの単一の説明を、すべての名前 (短縮名が最初に示される) をリストして提供します。例えば、iPlanet では、以下のように共通名属性が記述されます。

( 2.5.4.3 NAME ’cn’DESC ’Standard Attribute’SYNTAX ’1.3.6.1.4.1.1466.115.121.1.15’ )

( 2.5.4.3 NAME ’commonName’DESC ’Standard Attribute, alias for cn’SYNTAX ’1.3.6.1.4.1.1466.115.121.1.15’ )

IBM Tivoli Directory Server では、以下のように記述されます。

( 2.5.4.3 NAME ( ’cn’ ’commonName’ ) SUP name )

IBM Tivoli Directory Server では、サブタイプがサポートされます。’cn’ を名前のサブタイプにしたくない場合は (これは標準から逸脱します)、以下のように宣言します。

( 2.5.4.3 NAME ( ’cn’ ’commonName’ )DESC ’Standard Attribute’SYNTAX ’1.3.6.1.4.1.1466.115.121.1.15’ )

最初の名前 (’cn’) は優先名、または短縮名として解釈され、’cn’ の後のすべての名前は代替名として解釈されます。この位置以降、ストリング ’2.3.4.3’、’cn’ および’commonName’ (と大文字小文字が区別されないその同等値) は、スキーマ内またはディレクトリーに追加された項目に対して、区別なく使用することができます。


標準時および UTC 時刻日付および時刻関連の情報を指定するには、さまざまな表記法があります。例えば、1999 年 2 月 4 日は、以下のように表現できます。

2/4/994/2/9999/2/44.2.199904-FEB-1999

この他にも多数の表記が存在します。

IBM Tivoli Directory Server は、LDAP サーバーに以下の 2 つの構文のサポートを要求することで、タイム・スタンプ表記を標準化しています。

v 標準時の構文は、以下の形式で表現されます。

YYYYMMDDHHMMSS[.|,fraction][(+|-HHMM)|Z]

年には 4 桁、月、日、時、分、秒にはそれぞれ 2 桁を使用します。秒にはオプションとして、小数部も指定できます。他に情報を付加しなければ、日付および時刻は、現地時間帯であると見なされます。時刻が協定世界時で表されていることを示すには、時刻に大文字の Z を付加するか、現地時差を付加します。例を以下に示します。

"19991106210627.3"

これは現地時間で、1999 年 11 月 6 日の午後 9 時 6 分 27.3 秒であることを示します。

"19991106210627.3Z"

これは協定世界時であることを示します。

"19991106210627.3-0500"

これは、最初の例と同様に現地時間ですが、協定世界時に対して 5 時間の時差があることを示しています。

オプションの小数点以下の秒数を指定する場合は、ピリオドまたはコンマが必要です。現地時間の時差の場合、’+’ または ’-’ を HHMM 値の前に付けなければなりません。

v 協定世界時の構文は、以下の形式で表現されます。

YYMMDDHHMM[SS][(+ | -)HHMM)|Z]

年、月、日、時、分、およびオプションである秒の各フィールドに 2 桁ずつ使用します。GeneralizedTime の場合と同様、オプションの時差を指定できます。例えば、現地時間が 1999 年 1 月 2 日の午前であり、協定世界時が 1999 年 1 月 2

日の正午である場合、UTC 時刻の値は、以下のいずれかで表現されます。

"9901021200Z"または

"9901020700-0500"

現地時間が 2001 年 1 月 2 日の午前であり、協定世界時が 2001 年 1 月 2 日の正午である場合、UTC 時刻の値は、以下のいずれかで表現されます。


"0101021200Z"または

"0101020700-0500"

UTC 時刻では、年の値に 2 桁しか使用できないため、あまり使用しないことをお勧めします。

サポートされる突き合わせ規則は generalizedTimeMatch (等式の場合) およびgeneralizedTimeOrderingMatch (不等式の場合) です。サブストリング検索は使用できません。例えば、以下のフィルターは有効です。

generalized-timestamp-attribute=199910061030utc-timestamp-attribute>=991006generalized-timestamp-attribute=*

以下のフィルターは有効ではありません。

generalized-timestamp-attribute=1999*utc-timestamp-attribute>=*1010



第 12 章複製

複製は、ディレクトリー・サーバーがパフォーマンスおよび信頼性を向上させるために使用する技法です。複製処理は、複数のディレクトリーのデータを同期した状態に保ちます。

複製には、主に 2 つの利点があります。

v 情報の冗長: 複製は、サプライヤーのサーバーの内容をバックアップします。

v 高速な検索: 検索要求を単一のサーバーで処理するのではなく、内容が同じ複数のサーバーに分割できます。これにより、要求完了の応答時間が短縮されます。

複製トポロジーIBM Tivoli Directory Server バージョン 5.2 では、新しい複製トポロジーの管理方法が採用されました。複製の説明に使用する用語を以下に示します。

カスケード複製複数のサーバー層がある複製トポロジー。ピア/マスター・サーバーは、読み取り専用 (転送) サーバーのセットに複製された後、他のサーバーに複製されます。このようなトポロジーにより、マスター・サーバーからの複製作業の負荷が軽減されます。

コンシューマー・サーバー他の (サプライヤー) サーバーからの複製を介して変更を受信するサーバー。

信任状サプライヤーがコンシューマーへのバインドに使用するメソッドおよび必須情報を識別します。単純なバインドの場合は、DN およびパスワードが含まれます。信任状は、レプリカ合意で指定された DN の項目に格納されます。

転送サーバー送信されたすべての変更を複製する読み取り専用サーバー。これは、読み取り専用であり、ピアを持つことができないという点で、ピア/マスター・サーバーと対照的です。

ゲートウェイ・サーバーすべての複製トラフィックを、ゲートウェイ・サーバーが存在するローカル複製サイトから、複製ネットワークに存在する他のゲートウェイ・サーバーへ転送するサーバー。複製ネットワーク内にある他のゲートウェイ・サーバーからの複製トラフィックも受信します。このトラフィックは、ゲートウェイ・サーバーによってローカル複製サイト上にあるすべてのサーバーに転送されます。

ゲートウェイ・サーバーはマスター (書き込み可能) にする必要があります。

マスター・サーバーある特定のサブツリーにおいて、書き込み可能な (更新可能な) サーバー。


ネストされたサブツリーディレクトリーの複製されたサブツリー内のサブツリー。

ピア・サーバーある特定のサブツリーに複数のマスターがある場合にマスター・サーバーに対して使用する用語。ピア・サーバーは、別のピア・サーバーから送られてきた変更を複製しません。最初にそのピア・サーバーで行われた変更のみを複製します。

レプリカ・グループ複製コンテキストの下に最初に作成される項目はオブジェクト・クラスibm-replicaGroup を持ち、複製に参加するサーバーのコレクションを表します。これは、複製トポロジー情報を保護するように ACL を設定する場所として便利です。現在、管理ツールは、各複製コンテキストの下のibm-replicagroup=default という名前の 1 つのレプリカ・グループをサポートしています。

レプリカ・サブエントリーレプリカ・グループ項目の下にオブジェクト・クラスが ibm-replicaSubentry

の項目を 1 つ以上作成できます。この場合、サプライヤーとして複製に参加するサーバーごとに 1 つ作成します。レプリカ・サブエントリーは、複製時のサーバーの役割 (マスターか読み取り専用か) を示します。読み取り専用のサーバーは複製合意を持ち、カスケード複製をサポートできます。

複製されたサブツリーあるサーバーから別のサーバーに複製される DIT の一部。この設計では、特定のサブツリーを一部のサーバーにのみ複製できます。サブツリーは特定のサーバーでは書き込み可能ですが、他のサブツリーは読み取り専用の場合があります。

複製ネットワーク接続されている複製サイトを含むネットワーク。

複製合意2 つのサーバー間の「接続」または「複製パス」を定義するディレクトリー内にある情報。一方のサーバーはサプライヤー (変更を送信する側)、もう一方のサーバーはコンシューマー (変更を受信する側) と呼ばれます。合意には、サプライヤーからコンシューマーに接続して、複製を計画するために必要な情報がすべて含まれます。

複製コンテキスト複製サブツリーのルートを示します。ibm-replicationContext 補助オブジェクト・クラスを項目に追加し、複製領域のルートとしてマークできます。複製に関連する構成情報は、複製コンテキストの下に作成された一連の項目に保持されます。

複製サイトゲートウェイ・サーバーおよび組み合わせて複製するよう構成された任意のマスター・サーバー、ピア・サーバー、またはレプリカ・サーバー。

スケジュールサプライヤーが累積した変更内容をバッチで送信し、複製を特定の時点で行うようにスケジュールできます。レプリカ合意には、スケジュールを提供する項目の DN があります。


サプライヤー・サーバー変更を他の (コンシューマー) サーバーに送信するサーバー。

ディレクトリーの特定の項目は、ibm-replicationContext オブジェクト・クラスを追加することによって、複製されたサブツリーのルートとして識別されます。各サブツリーは独立して複製されます。サブツリーは、リーフ項目または他の複製されたサブツリーに到達するまでディレクトリー情報ツリー (DIT) を下にたどります。項目は、複製されたサブツリーのルートの下に追加され、複製構成情報が格納されます。これらの項目は 1 つ以上のレプリカ・グループ項目であり、その下にレプリカ・サブエントリーが作成されます。各レプリカ・サブエントリーには、各サーバーによって提供される (複製される) サーバーを識別し、信任状およびスケジュール情報を定義する複製合意が関連付けられます。

複製では、あるディレクトリーに加えた変更が、1 つ以上の別のディレクトリーに伝搬されます。つまり、あるディレクトリーを変更すると、その内容が複数の別のディレクトリーに反映されます。IBM Directory は、拡張マスター・スレーブ複製モデルをサポートしています。複製トポロジーは、以下のものを含むように拡張されます。

v 特定のサーバーへの Directory Information Tree (DIT) のサブツリーの複製

v カスケード複製と呼ばれるマルチレイヤー・トポロジー

v サブツリーによるサーバー・ロール (マスターまたはレプリカ) の割り当て

v 複数のマスター・サーバー (ピアツーピア複製と呼びます)

v ネットワークを介したゲートウェイの複製

サブツリーによる複製の利点は、レプリカはディレクトリー全体を複製する必要がないという点です。ディレクトリーの一部、またはサブツリーのレプリカを作成できます。

拡張モデルにより、マスターおよびレプリカの概念は変化します。これらの用語は、サーバーではなく、複製された特定のサブツリーに関してサーバーが持つロールに適用されるようになりました。サーバーは、複数のサブツリーのマスター、およびその他サーバーのレプリカとして機能します。マスターという用語は、複製されたサブツリーのクライアント更新を受け入れるサーバーに使用されます。レプリカという用語は、複製されたサブツリーのサプライヤーとして指定された他のサーバーからの更新のみを受け入れるサーバーに使用されます。

機能により定義されるディレクトリーには、マスター/ピア、ゲートウェイ、転送(カスケード)、およびレプリカ (読み取り専用) の 4 タイプがあります。

第 12 章複製 155

表 12. サーバーの役割

マスター/ピアマスター/ピア・サーバーには、マスター・ディレクトリー情報が入っています。更新情報は、ここからレプリカに伝搬されます。変更はすべて、マスター・サーバー上で行われます。マスターは、これらの変更をレプリカに伝搬する責任があります。

ディレクトリー情報のマスターとして機能する複数のサーバーがあります。各マスターは、他のマスター・サーバーおよびレプリカ・サーバーの更新する責任があります。これはピア複製と呼ばれます。ピア複製により、パフォーマンスと信頼性が向上されます。パフォーマンスは、広範囲に分散したネットワークで更新を処理するローカル・サーバーの提供により向上します。信頼性は、1 次マスターが失敗した場合ただちに引き継ぐバックアップ・マスター・サーバーの提供により向上します。

注:

1. マスター・サーバーはすべてのクライアント更新を複製しますが、他のマスターから受け取った更新は複製しません。

2. ピア・サーバー間の更新は、直ちに実行することもできますし、スケジュールに従って実行することもできます。詳細については、 195ページの『複製スケジュールの作成』を参照してください。

3. 競合解決が行われないため、複数のサーバーが同じ項目を更新すると、ディレクトリー・データが矛盾する場合があります。サーバー再同期の詳細については、 345ページの『ldapdiff』を参照してください。

転送 (カスケード)

転送サーバーまたはカスケード・サーバーは、送られてきた変更をすべて複製するレプリカ・サーバーです。これは、サーバーに接続されているクライアントによる変更のみを複製するマスター/ピア・サーバーとは対照的です。カスケード・サーバーは、多くのレプリカが広く分散されたネットワークで、マスター・サーバーの複製ワークロードを緩和できます。

ゲートウェイゲートウェイ複製では、ゲートウェイ・サーバーを使用して、複製情報を複製ネットワークを介して効果的に収集および配布します。ゲートウェイ複製の主な利点はネットワーク・トラフィックの軽減です。

レプリカ (読み取り専用)

ディレクトリー情報のコピーを持つ追加のサーバー。レプリカは、マスターのコピーです (またはそれ自身がレプリカであるサブツリーです)。レプリカは、複製されたサブツリーのバックアップとしての役割も果たします。

レプリカ・サーバーで更新を要求できますが、実際には、参照をクライアントに戻すことによって更新がマスター・サーバーに転送されます。更新が正常に完了した場合は、マスター・サーバーは更新をレプリカに送信します。マスターが更新情報の複製を完了するまでは、要求元のレプリカ・サーバーにその変更は反映されません。複製に失敗した場合は、マスターを再始動しても引き続き失敗します。変更は、マスターで行われた順序で複製されます。

レプリカを使用しなくなった場合は、サプライヤーからレプリカ合意を除去する必要があります。レプリカの定義を残しておくと、サーバーがすべての更新情報をキューに入れるため、ディレクトリー・スペースが無駄に使用されることがあります。また、サプライヤーは欠落しているコンシューマーへの接続を試行し、データの送信を再試行します。


複製合意複製合意は、レプリカ・サブエントリーの下に作成されたオブジェクト・クラスibm-replicationAgreement のディレクトリーの項目であり、サブエントリーによって表されたサーバーから別のサーバーへの複製を定義します。これらのオブジェクトは、以前のバージョンの Directory Server で使用していた replicaObject 項目に似ています。複製合意は、以下の項目で構成されます。

v 合意の命名属性として使用される、わかりやすい名前。

v LDAP サーバー、ポート番号、および SSL を使用するかどうかを指定するLDAP URL。

v コンシューマー・サーバー ID (既知の場合)。サーバー ID が不明な場合はサーバーの場合は「unknown」(前のリリースを実行するサーバーと同様)。

v サプライヤーがコンシューマーにバインドするために使用する信任状を含むオブジェクトの DN。

v 複製のためのスケジュール情報を含むオブジェクトへのオプションの DN ポインター。この属性が存在しない場合は、変更がただちに複製されます。

分かりやすい名前は、コンシューマー・サーバー名などの説明的なストリングです。

データの正確性を確保するために、サプライヤーは、コンシューマーにバインドするときにサーバー ID をルート DSE から取得し、合意の値と比較します。サーバー ID が一致しない場合は、警告がログに記録されます。

コンシューマー・サーバー ID は、トポロジーを検索するために管理 GUI が使用します。コンシューマー・サーバー ID を指定すると、GUI は対応するサブエントリーとその合意を検索できます。

複製合意は複製できるため、信任状オブジェクトへの DN が使用されます。これにより、ディレクトリーの複製されない領域に信任状を格納できます。(「平文」の信任状の取得元になる) 信任状オブジェクトを複製するということは、機密漏れが発生する可能性があることを示します。cn=localhost サフィックスは、信任状オブジェクトを作成するための適切なデフォルトの場所です。個別のオブジェクトを使用することで、さまざまな認証方法をより簡単にサポートできます。多数のオプションの属性を設定せずに、新しいオブジェクト・クラスを作成できます。

オブジェクト・クラスは、サポートされている認証方法ごとに定義されます。

v 単純なバインド

v SSL を使用した SASL EXTERNAL メカニズム

v Kerberos 認証

レプリカ・サブエントリーを定義せずに ibm-replicationContext 補助クラスをサブツリーのルートに追加することによって、複製されたサブツリーの一部を複製しないことを指定できます。

注: Web 管理ツールは、ある特定の合意での複製を待機している一連の変更を指す場合に合意を「キュー」とも呼びます。

第 12 章複製 157

以下のセクションでは、コマンド行ユーティリティーおよび LDIF ファイルを使用した複製のセットアップ例について説明します。シナリオは少しずつ複雑になります。

v 1 つのマスターおよび 1 つのレプリカ

v 1 つのマスター、1 つの転送、および 1 つのレプリカ

v 2 つのピア/マスター、2 つの転送、および 4 つのレプリカ

マスター - レプリカ・トポロジーの作成基本的なマスター - レプリカ・トポロジーを定義するには、以下の手順を実行します。

1. マスター・サーバーを作成し、内容を定義します。複製するサブツリーを選択し、サーバーをマスターとして指定します。

2. サプライヤーが使用する信任状を作成します。

3. レプリカ・サーバーを作成します。

4. レプリカにデータをエクスポートします。

Web 管理の使用

注:

追加する項目がサーバーのサフィックスでない場合は、「サブツリーの追加」機能を使用する前に、その ACL を以下のように定義しておく必要があります。

フィルターに掛けられていない ACL の場合:

ownersource: <same as the entry DN>ownerpropagate: TRUE

aclsource: <same as the entry DN>aclpropagate: TRUE

フィルターに掛けられた ACL の場合:

ibm-filteraclinherit: FALSE

ACL 要件を満たすには、項目がサーバーのサフィックスでない場合に、「項目の管理」パネルでその項目の ACL を編集します。項目を選択し、「ACL の編集」をクリックします。フィルターに掛けられていない ACL を追加する場合は、タブを選択し、ACL と所有者の両方について、役割が access-id の項目cn=this を追加します。必ず「ACL の伝搬」および「所有者の伝搬」にチェックマークを付けてください。フィルターに掛けられた ACL を追加する場合は、そのタブを選択し、ACL と所有者の両方について、役割が access-id の項目 cn=this を追加します。必ず「フィルターに掛けられた ACL の累算」のチェックマークを外し、「所有者の伝搬」にチェックマークを付けてください。詳細については、 245ページの『ACL の処理』を参照してください。

マスター・サーバー (複製されたサブツリー) の作成

注: この作業を実行するには、サーバーが稼働していることが必要です。


このタスクは、独立して複製されたサブツリーのルートとして項目を指定し、このサーバーをサブツリーの単一のマスターとして表す ibm-replicasubentry を作成します。複製されたサブツリーを作成するには、複製元のサブツリーをサーバーに指定する必要があります。

注: Linux、Solaris、および HP-UX プラットフォームで参照先サーバーが実行されていないために参照が失敗した場合は、システム環境で環境変数LDAP_LOCK_REC が設定されていることを確認してください。特定の値を指定する必要はありません。


ナビゲーション領域で「複製管理」カテゴリーを展開し、「トポロジーの管理」をクリックします。

1. 「サブツリーの追加」をクリックします。

2. 複製するサブツリーの DN を入力するか、「ブラウズ」をクリックして項目を展開し、サブツリーのルートにする項目を選択します。

3. マスター・サーバー参照 URL は、LDAP URL の形式で表示されます。例を以下に示します。

ldap://<myservername>.<mylocation>.<mycompany>.com

注: マスター・サーバー参照 URL はオプションです。これは以下の場合にのみ使用されます。

v サーバーが読み取り専用サブツリーを含む場合。

v サーバーの読み取り専用サブツリーに対する更新のために戻される参照URL を定義する場合。


5. ヘッダー「複製サブツリー」の下にある「トポロジーの管理」パネルに、新しいサーバーが表示されます。

信任状の作成Web 管理ツールのナビゲーション領域で「複製管理」カテゴリーを展開し、「信任状の管理」をクリックします。

1. 信任状の格納に使用する場所をサブツリーのリストから選択します。Web 管理ツールでは、以下の 3 つの場所で信任状を定義できます。

v cn=replication,cn=localhost は現在のサーバーのみに信任状を保持します。

注: 通常の複製では、cn=replication,cn=localhost に信任状を配置することが好まれます。なぜなら、複製された信任状をサブツリーに配置するよりも高いセキュリティーが得られるからです。しかし、状況によっては、cn=replication,cn=localhost に配置した信任状が使用できない場合もあります。

例えば serverA というサーバーの下にレプリカを追加しようとする場合、ユーザーが Web 管理ツールを使用して別のサーバー (serverB) に接続していると、「信任状の選択」フィールドにオプション

第 12 章複製 159

cn=replication,cn=localhost が表示されません。これは、serverB に接続していると、serverA の cn=localhost の下の情報を読み取ったり更新したりできないからです。

cn=replication,cn=localhost を使用できるのは、 Web 管理ツールを使用して接続しているサーバーが、レプリカを追加しようとするサーバーと同じ場合に限られます。

v cn=replication,cn=IBMpolicies は、Web 管理ツールを使用して接続しているサーバーが、レプリカを追加しようとするサーバーと同じでない場合であっても使用可能です。この場所に配置された信任状はサーバーに複製されます。

注: 場所 cn=replication,cn=IBMpolicies を使用できるのは、IBMpolicies をサポートする OID 1.3.18.0.2.32.18 がルート DSE の ibm-supportedcapabilities

の下にある場合のみです。

v 複製されたサブツリー内の場合、信任状は他のサブツリーで複製されます。複製されたサブツリーに置く信任状は、そのサブツリーのibm-replicagroup=default 項目の下に作成されます。

注: サブツリーが表示されない場合、複製するサブツリーの作成に関する詳細については、 158ページの『マスター・サーバー (複製されたサブツリー)

の作成』を参照してください。


3. 作成する信任状の名前 (例: mycreds) を入力します。フィールド内では cn= が前に付加されます。

4. 使用する認証方法のタイプを選択して、「次へ」をクリックします。

v 単純なバインド認証を選択した場合は、以下の手順を実行します。

a. cn=any など、サーバーがレプリカへのバインドに使用する DN を入力します。

b. secret など、サーバーがレプリカにバインドするときに使用するパスワードを入力します。

c. タイプミスがないことを確認するため、再度パスワードを入力します。

d. 必要に応じて、信任状の要旨を入力します。

e. 「完了」をクリックします。

注: 信任状のバインド DN およびパスワードは、後で参照できるように記録しておいてください。レプリカ合意を作成する場合は、このパスワードが必要です。

v Kerberos 認証を選択した場合は、以下の手順を実行します。

a. Kerberos バインド DN を入力します。

b. バインド・パスワードを入力します。

c. 確認のため、バインド・パスワードを再入力します。

d. 必要に応じて、信任状の要旨を入力します。その他の情報は必要ありません。詳細については、 108ページの『Kerberos の設定』を参照してください。

e. 「完了」をクリックします。


デフォルトでは、サプライヤーは独自のサービス・プリンシパルを使用してコンシューマーとバインドします。例えば、サプライヤーの名前がmaster.our.org.com であり、レルムが SOME.REALM の場合の DN は、ibm-Kn=ldap/[email protected] です。レルムの値には、大文字小文字の区別はありません。複数のサプライヤーがある場合は、すべてのサプライヤーで使用するプリンシパルおよびパスワードを指定する必要があります。

信任状を作成したサーバー側:

a. 「ディレクトリー管理」を展開し、「項目の管理」をクリックします。

b. 信任状を格納したサブツリー (例: cn=localhost) を選択し、「展開」をクリックします。

c. 「cn=replication」を選択し、「展開」をクリックします。

d. Kerberos 信任状 (ibm-replicationCredentialsKerberos) を選択し、「属性の編集」をクリックします。

e. 「他の属性」タブをクリックします。

f. replicaBindDN (例: [email protected]) を入力します。

g. replicaCredentials を入力します。これは、myprincipal に使用した KDC パスワードです。

注: このプリンシパルおよびパスワードは、コマンド行から kinitを実行するために使用したものと同じでなければなりません。

レプリカ側:

a. ナビゲーション領域で「複製プロパティーの管理 (Managereplication properties)」をクリックします。

b. 「サプライヤー情報」ドロップダウン・メニューからサプライヤーを選択するか、サプライヤー信任状を構成する複製されたサブツリーの名前を入力します。

c. 「編集」をクリックします。

d. 複製バインド DN を入力します。この例では[email protected] です。

e. 「複製バインド・パスワード」を入力して確認します。これは、myprincipal に使用した KDC パスワードです。

v 証明書認証を使用した SSL を選択して、サーバーの証明書を使用している場合は、追加情報を指定する必要はありません。サーバー以外の証明書を使用する場合は、以下の手順を実行します。

a. 鍵ファイル名を入力します。

b. 鍵ファイル・パスワードを入力します。

c. 確認のため、鍵ファイル・パスワードを再入力します。

d. 鍵ラベルを入力します。

e. 必要に応じて、要旨を入力します。

f. 「完了」をクリックします。

第 12 章複製 161

詳細については、 80ページの『セキュア・ソケット・レイヤー』を参照してください。

レプリカ・サーバーの作成



1. 複製するサブツリーを選択して、「トポロジーの表示」をクリックします。

2. サプライヤー・サーバーのリストを展開するには、「複製トポロジー」選択の隣にある矢印をクリックします。

3. サプライヤー・サーバーを選択して、「レプリカの追加」をクリックします。

「レプリカの追加」ウィンドウの「サーバー」タブで、以下の手順を実行します。

v 作成するレプリカのホスト名およびポート番号を入力します。デフォルトのポートは、非 SSL の場合 389、SSL の場合 636 です。これらは必須フィールドです。

v SSL 通信を使用可能にするかどうかを選択します。

v レプリカ名を入力するか、ホスト名を使用する場合はフィールドをブランクにします。

v レプリカ ID を入力します。レプリカを作成しているサーバーが実行中の場合、このフィールドを自動的に事前に入力するには、「レプリカ ID の取得」をクリックします。追加するサーバーがピア・サーバーまたは転送サーバーの場合、これは必須フィールドです。これは、どの IBM Tivoli Directory Server バージョン5.2 レプリカ・サーバーの場合にもお勧めします。

v レプリカ・サーバーの説明を入力します。

「追加」タブで以下の手順を実行します。

1. マスターと通信するためにレプリカが使用する信任状を指定します。

注: Web 管理ツールでは、以下の 2 つの場所で信任状を定義できます。

v cn=replication,cn=localhost は、その信任状を使用するサーバーのみに信任状を保持します。

v cn=replication,cn=IBMpolicies は、Web 管理ツールを使用して接続しているサーバーが、レプリカを追加しようとするサーバーと同じでない場合であっても使用可能です。この場所に配置された信任状はサーバーに複製されます。

注: 場所 cn=replication,cn=IBMpolicies を使用できるのは、IBMpolicies をサポートする OID 1.3.18.0.2.32.18 がルート DSE のibm-supportedcapabilities の下にある場合のみです。

v 複製されたサブツリー内の場合、信任状は他のサブツリーで複製されます。複製されたサブツリーに置く信任状は、そのサブツリーのibm-replicagroup=default 項目の下に作成されます。

信任状を cn=replication,cn=localhost に置くとセキュリティーが高くなります。


a. 「選択」をクリックします。

b. 使用する信任状の場所を選択します。cn=replication,cn=localhost がよく使用されます。

c. 「信任状の表示」をクリックします。

d. 信任状のリストを展開して、使用する信任状を選択します。

e. 「OK」をクリックします。

合意信任状の詳細については、 159ページの『信任状の作成』を参照してください。

2. ドロップダウン・リストから複製スケジュールを指定するか、または「追加」をクリックして複製スケジュールを作成します。 195ページの『複製スケジュールの作成』を参照してください。

3. サプライヤー機能のリストから、コンシューマーに複製しない機能を選択解除できます。

リリースの異なるサーバーがネットワークに混在している場合は、古いリリースで使用不能な機能が新しいリリースで使用可能です。フィルター ACL やパスワード・ポリシーなどの一部の機能は、他の変更とともに複製される運用属性を利用します。ほとんどの場合、これらの機能を使用する場合は、すべてのサーバーにサポートさせると考えられます。すべてのサーバーがその機能をサポートしていない場合は使用しないと考えられます。例えば、サーバーごとに ACL の効果が異なるのは好ましくありません。しかし、機能をサポートしているサーバーでその機能を使用し、その機能をサポートしていないサーバーにその機能に関連する変更を複製しない場合もあります。このような場合は、機能リストを使用して複製しない特定の機能にマークを付けることができます。

4. レプリカを作成するには、「OK」をクリックします。

5. 追加のアクションが必要であることを示すメッセージが表示されます。「OK」をクリックします。

注: サーバーを追加レプリカとしてさらに追加する場合、または複雑なトポロジーを作成する場合は、マスター・サーバー上のトポロジーの定義を完了するまでは、『レプリカへのデータのコピー』または 164ページの『レプリカへのサプライヤー情報の追加』を実行しないでください。トポロジーの完成後にmasterfile.ldif を作成すると、そのファイルにトポロジー合意の完全なコピーとマスター・サーバーのディレクトリー項目が含まれます。このファイルを各サーバーにロードすれば、それぞれのサーバーは同じ情報を持つようになります。

レプリカへのデータのコピー複製を作成したら、マスターからレプリカにトポロジーをエクスポートする必要があります。これは手動で行う手順です。

マスター・サーバーで、データの LDIF ファイルを作成します。マスター・サーバーに含まれるデータをすべてコピーするには、以下のコマンドを発行します。

db2ldif -o <masterfile.ldif>

単一のサブツリーからのデータのみをコピーする場合のコマンドは以下のとおりです。

第 12 章複製 163

db2ldif -o <masterfile.ldif> -s <subtreeDN>

注: -j オプションを指定しない場合は、 createTimestamp、creatorsName、modifiersName、および modifyTimestamp の 4 つの操作属性が LDIF ファイルにエクスポートされます。

レプリカを作成しているマシンで、以下の手順を実行します。

1. マスターが使用するサフィックスが ibmslapd.conf ファイルで定義されていることを確認します。

2. レプリカ・サーバーを停止します。

3. <masterfile.ldif> をレプリカにコピーして、以下のコマンドを発行します。

ldif2db -r no -i <masterfile.ldif>

複製合意、スケジュール、信任状 (複製されたサブツリーに格納する場合)、および項目データがレプリカにロードされます。

4. サーバーを始動します。

レプリカへのサプライヤー情報の追加変更の複製が許可されている対象を識別するようにレプリカの構成を変更し、マスターに参照を追加する必要があります。

レプリカを作成しているマシンで、以下の手順を実行します。

1. ナビゲーション領域で「複製管理」を展開し、「複製プロパティーの管理」をクリックします。


3. 「複製されたサブツリー」ドロップダウン・メニューからサプライヤーを選択するか、サプライヤー信任状を構成する複製されたサブツリーの名前を入力します。サプライヤー信任状を編集している場合は、このフィールドは編集できません。

4. 複製バインド DN を入力します。この例では cn=any です。

注: 状況に応じて、以下の 2 つのいずれのオプションも使用できます。

v 「デフォルトの信任状と参照」を使用して、すべての複製されたサブツリーの複製バインド DN (とパスワード) およびデフォルト参照をサーバーに設定します。これは、すべてのサブツリーを同じサプライヤーから複製するときに使用される場合があります。

v 各サブツリーのサプライヤー情報を追加して、複製されたサブツリーごとに独立して複製バインド DN およびパスワードを設定します。これは、サブツリーごとにサプライヤーが異なる場合 (サブツリーごとにマスター・サーバーが異なる場合) に使用される場合があります。

5. 信任状のタイプに応じて信任状パスワードを入力し、確認します。(将来使用するときのために以前に記録しています。)

v 単純なバインド - DN およびパスワードを指定します

v Kerberos - サプライヤーの信任状がプリンシパルおよびパスワードを識別しない場合 (サーバーの独自のサービス・プリンシパルを使用する場合) のバインド DN は ibm-kn=ldap/<yourservername@yourrealm> になります。信任状の


プリンシパル名が <myprincipal@myrealm> などの場合は、その名前を DN として使用します。いずれの場合も、パスワードは不要です。

v EXTERNAL バインドの SSL - 証明書のサブジェクト DN およびパスワードなしを指定します

159ページの『信任状の作成』を参照してください。


7. 変更した内容を有効にするには、レプリカを再始動する必要があります。

詳細については、 193ページの『複製プロパティーの変更』を参照してください。

レプリカは中断状態であり、複製は行われていません。複製トポロジーのセットアップが完了したら、「キューの管理」をクリックし、レプリカを選択し、「中断/再開」をクリックし、複製を開始する必要があります。詳細については、 196ページの『キューの管理』を参照してください。以上で、レプリカがマスターから更新を受信するようになります。

コマンド行の使用このシナリオでは、複製されたサブツリーをユーザーが新たに作成していると想定しています。

注:

dn: o=ibm,c=usobjectclass: organizationobjectclass: ibm-replicationContext

上記は作成するサブツリーです。この項目がすでに存在する場合は、項目全体を追加する代わりに objclass=ibm-replicationContext を追加するように変更してください。

サブツリーのレプリカを作成するには、マスターとレプリカの間にレプリカ合意を作成する必要があります ( 157ページの『複製合意』を参照)。この合意は、マスターとレプリカの両方にロードする必要があります。

2 つのサーバーは、マスターがレプリカへのサプライヤーであり、レプリカがマスターのコンシューマーであるという関係になっています。

サブツリー o=ibm,c=us のマスター (master) およびレプリカ (replica1) を作成するには、以下のようにします。

1. マスターが存在するマシンで合意情報を格納するファイル (例:

myreplicainfofile) を作成します。ここで、myreplicainfofile の内容は以下のとおりです。

注: 以下のファイルの <master-uuid> の箇所は、すべてマスター・サーバーのcn=Configuration 項目の ibm-slapdServerId 属性の値で置き換えてください。この値は、サーバーを最初に始動したときにサーバーによって生成されます。また、UNIX ベースのシステムの場合は、cn=Configuration 項目の ldapsearch を実行するか、ibmslapd.conf ファイルに対して grepコマンドを使用することによって検索できます。同様に、<replica1-uuid>

の箇所は、すべてレプリカ・サーバーの cn=Configuration 項目のibm-slapdServerId 属性の値で置き換えてください。

第 12 章複製 165

###Replication Context - needs to be on all suppliers and consumersdn: cn=replication,cn=localhostobjectclass: container


###Copy the following to servers at v5.1 or later.

###Replica Groupdn: ibm-replicaGroup=default, o=IBM, c=USobjectclass: topobjectclass: ibm-replicaGroupibm-replicaGroup: default

###Bind Credentials/method to replica server - replication agreement###points to this.dn: cn=replica1 BindCredentials,cn=replication,cn=localhostobjectclass: ibm-replicationCredentialsSimplecn: replica1 BindCredentialsreplicaBindDN: cn=masterreplicaCredentials: masterdescription: Bindmethod of master to replica1

###Replica SubEntrydn: ibm-replicaServerId=<master-uuid>,ibm-replicaGroup=default,o=IBM, c=USobjectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <master-uuid>ibm-replicationServerIsMaster: truecn: masterdescription: master server

###Replication Agreement to Replica Serverdn: cn=replica1,ibm-replicaServerId=<master-uuid>,

ibm-replicaGroup=default,o=IBM,c=USobjectclass: topobjectclass: ibm-replicationAgreementcn: replica1ibm-replicaConsumerId: <replica1-uuid>ibm-replicaUrl: ldap://<replicahostname:replicaport>ibm-replicaCredentialsDN: cn=replica1 BindCredentials,cn=replication,

cn=localhostdescription: replica server number one

2. まだ停止していない場合は、マスターを停止します。

3. 以下のコマンドを発行します。

ldif2db -r no -i <myreplicainfofile>



詳細については、 342ページの『db2ldif ユーティリティー』を参照してください。

5. replica1 が存在するマシンに <masterfile.ldif> をコピーします。

6. レプリカが実行中の場合は停止します。

7. replica1 を構成してレプリカ・サーバーにする必要があります。エディターを使用し、replica1 の ibmslapd.conf ファイルに以下の項目を追加します。


dn: cn=Master Server, cn=configurationobjectclass: ibm-slapdReplicationcn: Master Serveribm-slapdMasterDN: <cn=masterbndn>ibm-slapdMasterPW: <masterbnpw>ibm-slapdMasterReferral: ldap://<masterhostname>:<masterport>/

8. ibmslapd.conf ファイルを保管します。



10. master および replica1 を始動します。

注: v4.1 以前のサーバーにサブツリーをコピーする場合は、ibm-replicagroup=default サブツリーをコピーせずに、ibm-replicationcontext 補助のクラスを除去する必要があります。これらはいずれも 4.1 スキーマではサポートされていません。

マスター - 転送 - レプリカ・トポロジーの作成マスター - 転送 - レプリカ・トポロジーを定義するには、以下の手順を実行します。

1. マスター・サーバーおよびレプリカ・サーバーを作成します。 158ページの『マスター - レプリカ・トポロジーの作成』を参照してください。

2. 元のレプリカに対する新しいレプリカ・サーバーを作成します。

3. データをレプリカにコピーします。 163ページの『レプリカへのデータのコピー』を参照してください。

Web 管理の使用マスター (server1) およびレプリカ (server2) を持つ複製トポロジーをセットアップした場合 ( 158ページの『マスター・サーバー (複製されたサブツリー) の作成』を参照)、server2 の役割を転送サーバーの役割に変更できます。これを行うには、server2 の下に新しいレプリカ (server3) を作成する必要があります。

1. Web 管理をマスター (server1) に接続します。

2. ナビゲーション領域で「複製管理」カテゴリーを展開し、「トポロジーの管理」をクリックします。


4. サプライヤー・サーバーのリストを展開するには、「複製トポロジー」選択の隣にある矢印をクリックします。

5. 「server1」選択の隣にある矢印をクリックし、サーバーのリストを展開します。

6. server2 を選択して、「レプリカの追加」をクリックします。

7. 「レプリカの追加」ウィンドウの「サーバー」タブで、以下の手順を実行します。

v 作成するレプリカ (server3) のホスト名およびポート番号を入力します。デフォルトのポートは、非 SSL の場合 389、SSL の場合 636 です。これらは必須フィールドです。

v SSL 通信を使用可能にするかどうかを選択します。

第 12 章複製 167

v レプリカ名を入力するか、ホスト名を使用する場合はフィールドをブランクにします。

v レプリカ ID を入力します。レプリカを作成しているサーバーが実行中の場合、このフィールドを自動的に事前に入力するには、「レプリカ ID の取得」をクリックします。追加するサーバーがピア・サーバーまたは転送サーバーの場合、これは必須フィールドです。これは、どの IBM Tivoli Directory Server

バージョン 5.2 レプリカ・サーバーの場合にもお勧めします。

v レプリカ・サーバーの説明を入力します。

「追加」タブで以下の手順を実行します。

a. マスターと通信するためにレプリカが使用する信任状を指定します。

注: Web 管理ツールでは、以下の 2 つの場所で信任状を定義できます。

v cn=replication,cn=localhost は、その信任状を使用するサーバーのみに信任状を保持します。

v 複製されたサブツリー内の場合、信任状は他のサブツリーで複製されます。

信任状を cn=replication,cn=localhost に置くとセキュリティーが高くなります。複製されたサブツリーに置く信任状は、そのサブツリーのibm-replicagroup=default 項目の下に作成されます。

1) 「選択」をクリックします。

2) 使用する信任状の場所を選択します。cn=replication,cn=localhost がよく使用されます。

3) 「信任状の表示」をクリックします。

4) 信任状のリストを展開して、使用する信任状を選択します。

5) 「OK」をクリックします。

合意信任状の詳細については、 159ページの『信任状の作成』を参照してください。

b. ドロップダウン・リストから複製スケジュールを指定するか、または「追加」をクリックして複製スケジュールを作成します。 195ページの『複製スケジュールの作成』を参照してください。

c. サプライヤー機能のリストから、コンシューマーに複製しない機能を選択解除できます。

リリースの異なるサーバーがネットワークに混在している場合は、古いリリースで使用不能な機能が新しいリリースで使用可能です。フィルター ACL

やパスワード・ポリシーなどの一部の機能は、他の変更とともに複製される運用属性を利用します。ほとんどの場合、これらの機能を使用する場合は、すべてのサーバーにサポートさせると考えられます。すべてのサーバーがその機能をサポートしていない場合は使用しないと考えられます。例えば、サーバーごとに ACL の効果が異なるのは好ましくありません。しかし、機能をサポートしているサーバーでその機能を使用し、その機能をサポートしていないサーバーにその機能に関連する変更を複製しない場合もあります。このような場合は、機能リストを使用して複製しない特定の機能にマークを付けることができます。

d. レプリカを作成するには、「OK」をクリックします。


8. データを server2 から新規レプリカ server3 にコピーします。この方法の詳細については、 163ページの『レプリカへのデータのコピー』を参照してください。

9. サプライヤー合意を server3 に追加し、server2 を server3 のサプライヤーに、server3 を server2 のコンシューマーにします。この方法の詳細については、164ページの『レプリカへのサプライヤー情報の追加』を参照してください。

Web 管理ツールでは、サーバーの役割がアイコンで示されます。以上で、トポロジーは以下のようになります。

v server1 (マスター)

– server2 (転送)

- server3 (レプリカ)


注:



この手順は単一のマスターおよびレプリカの場合と似ていますが、トポロジー全体を各サーバーに追加する必要があり、合意情報ファイルの内容が複雑になります。現在、ファイルには転送サーバーの情報およびサプライヤーとコンシューマーの情報が格納されています。

このシナリオのサプライヤーとコンシューマーの関係は以下のとおりです。

v マスターは転送に対するサプライヤーです。

v 転送は以下の 2 つの役割を持ちます。

1. マスターのコンシューマー

2. レプリカに対するサプライヤー

v レプリカは転送のコンシューマーです。

サブツリー o=ibm,c=us のマスター (master)、転送 (forwarder1)、およびレプリカ(replica1) を作成するには、以下のようにします。

1. マスター・サーバーが存在するマシンで合意情報を格納するファイル (例:

myreplicainfofile) を作成します。ここで、myreplicainfofile の内容は以下のとおりです。

注: 以下のファイルの <master-uuid> の箇所は、すべてマスター・サーバーのcn=Configuration 項目の ibm-slapdServerId 属性の値で置き換えてください。この値は、サーバーを最初に始動したときにサーバーによって生成されます。また、UNIX ベースのシステムの場合は、cn=Configuration 項目の ldapsearch を実行するか、ibmslapd.conf ファイルに対して grepコマンドを使用することによって検索できます。同様に、<forwarder1-uuid>

第 12 章複製 169

および <replica1-uuid> の箇所は、すべて各サーバーの cn=Configuration項目の ibm-slapdServerId 属性の値で置き換えてください。

dn: cn=replication,cn=localhostobjectclass: container


dn: ibm-replicaGroup=default, o=ibm,c=usobjectclass: topobjectclass: ibm-replicaGroupibm-replicaGroup: default

dn: cn=forwarder1 BindCredentials,cn=replication,cn=localhostobjectclass: ibm-replicationCredentialsSimple

#or ibm-replicationCredentialsExternal or#ibm-replicationCredentialsKerberos

cn: forwarder1 BindCredentialsreplicaBindDN: <cn=forw1bnddn>replicaCredentials: <forw1bndpw>cn:forwarder1 BindCredentialsdescription: Bindmethod of master to forwarder1

dn: cn=replica1 BindCredentials,cn=replication,cn=localhostobjectclass: ibm-replicationCredentialsSimplecn: replica1 BindCredentialsreplicaBindDN: <cn=rep1bnddn>replicaCredentials: <rep1bndpw>description: Bindmethod of forwarder1 to replica1

dn: ibm-replicaServerId=<master-uuid>,ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <master-uuid> #whatever the id is in the configibm-replicationServerIsMaster: true #true if master, false if forwardercn: masterdescription: master ibm-replicaSubentry

dn: ibm-replicaServerId=<forwarder1-uuid>,ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <forwarder1-uuid>ibm-replicationServerIsMaster: falsecn: forwarder1description: forwarder1 ibm-replicaSubentry

dn: cn=forwarder1,ibm-replicaServerId=<master-uuid>,ibm-replicaGroup=default,o=ibm,c=us

objectclass: topobjectclass: ibm-replicationAgreementcn: forwarder1ibm-replicaConsumerId: <forwarder1-uuid>ibm-replicaUrl: ldap://<forwarder1hostname:forwarder1port>ibm-replicaCredentialsDN: cn=forwarder1 BindCredentials,cn=replication,

cn=localhostdescription: master1 to forwarder1 agreement

dn: cn=replica1,ibm-replicaServerId=<forwarder1-uuid>,ibm-replicaGroup=default,o=ibm,c=us

objectclass: topobjectclass: ibm-replicationAgreementcn: replica1ibm-replicaConsumerId: <replica1-uuid>-uuidibm-replicaUrl: ldap://<replica1hostname:replica1port>


ibm-replicaCredentialsDN: cn=replica1 BindCredentials,cn=replication,cn=localhost

description: forwarder1 to replica1 agreement



ldif2db -r no -i <myreplicainfofile>




5. forwarder1 が存在するマシンに <masterfile.ldif> をコピーします。

6. forwarder1 が実行中の場合は停止します。

7. forwarder1 を構成して転送サーバーにする必要があります。エディターを使用し、forwarder1 の ibmslapd.conf ファイルに以下の項目を追加します。

dn: cn=Master Server, cn=configurationobjectclass: ibm-slapdReplicationcn: Master Serveribm-slapdMasterDN: <cn=masterbnddn>ibm-slapdMasterPW: <masterbndpw>ibm-slapdMasterReferral: ldap://masterhostname:masterport/

#referral to master when trying to add to consumer.#Referral can also be added to replicaContext, which would be#checked first for a valid server.



10. replica1 が実行中の場合は停止します。


dn: cn=Master Server, cn=configurationobjectclass: ibm-slapdReplicationcn: Master Serveribm-slapdMasterDN: <cn=forw1bndn>ibm-slapdMasterPW: <forw1bnpw>ibm-slapdMasterReferral: ldap://forw1hostname:forw1port/


13. forwarder1 および replica1 が存在するマシンで以下のコマンドを発行します。


14. master、forwarder1、および replica1 を始動します。

複雑な複製トポロジーの作成に関する概要この概要は、複雑な複製トポロジーをセットアップするためのガイドとして使用してください。

1. ピア・マスターにするサーバーおよびレプリカにするサーバーをすべて構成専用モードで始動し、配置します。

2. 「最初の」マスターを始動し、そのコンテキストのマスターとして構成します。

第 12 章複製 171

3. 「最初の」マスターで複製するサブツリーのデータをまだロードしていない場合はロードします。

4. 複製するサブツリーを選択します。

5. すべてのピア・マスターにするサーバーを「最初の」マスターのレプリカとして追加します。

6. 他のレプリカをすべて追加します。

7. 他のピア・マスターを移動し、プロモートします。

8. レプリカのレプリカ合意を各ピア・マスターに追加します。

注: 信任状を cn=replication,cn=localhost に作成する場合は、各サーバーで再始動後に信任状を作成する必要があります。信任状オブジェクトを作成しなければ、ピアによる複製は失敗します。

9. 他のマスターのレプリカ合意を各ピア・マスターに追加します。「最初の」マスターはすでにその情報を持っています。

10. 複製されたサブツリーを静止します。

11. キュー管理を使用し、各キューですべてスキップします。

12. 複製されたサブツリーのデータを「最初の」マスターからエクスポートします。

13. サブツリーを静止解除します。

14. 複製されたサブツリーのデータを各レプリカおよびピア・マスターにインポートします。

15. 各レプリカおよびピア・マスターの複製プロパティーを管理し、サプライヤーが使用する信任状を設定します。

16. レプリカおよびピア・マスターが作動可能になったらただちに再始動します。

ピア複製を持つ複雑なトポロジーのセットアップピア複製は、複数のサーバーがマスターである複製トポロジーです。しかし、複数マスター環境とは異なり、ピア・サーバー間の競合解決は行われません。LDAP サーバーは、ピア・サーバーによって提供された更新を受け入れ、サーバー自体のデータのコピーを更新します。更新の受信順序 (複数の更新が競合するかどうか) は考慮されません。

追加のマスター (ピア) を追加するには、最初に既存のマスターの読み取り専用レプリカとしてそのサーバーを追加し ( 162ページの『レプリカ・サーバーの作成』を参照)、ディレクトリー・データを初期化し、サーバーをプロモートしてマスターにします ( 191ページの『サーバーの移動またはプロモート』を参照)。

この処理によって作成された ibm-replicagroup オブジェクトは、最初は、複製されたサブツリーのルート項目の ACL を継承します。これらの ACL は、ディレクトリーの複製情報に対するアクセス制御に不適切な場合があります。

追加する項目 DN がサーバーのサフィックスではない場合にサブツリー追加操作を正常に終了させるには、その項目 DN に正しい ACL が必要です。

フィルターに掛けられていない ACL の場合:

v ownersource: <the entry DN>


v ownerpropagate: TRUE

v aclsource: <the entry DN>

v aclpropagate: TRUE

フィルターに掛けられた ACL の場合:

v ownersource: <the entry DN>

v ownerpropagate: TRUE

v ibm-filteraclinherit: FALSE

v ibm-filteraclentry: <any value>

Web 管理ツールの「ACL の編集」機能を使用し、新しく作成した複製されるサブツリーに関連付ける複製情報の ACL を設定します ( 193ページの『アクセス制御リストの編集』を参照)。

レプリカは中断状態であり、複製は行われていません。複製トポロジーのセットアップが完了したら、「キューの管理」をクリックし、レプリカを選択し、「中断/再開」をクリックし、複製を開始する必要があります。詳細については、 196ページの『キューの管理』を参照してください。以上で、レプリカがマスターから更新を受信するようになります。

ピア複製は、更新ベクトルが既知の環境のみで使用してください。ディレクトリー内の特定のオブジェクトに対する更新は、1 つのピア・サーバーのみで行う必要があります。これは、あるサーバーがオブジェクトを削除した後に別のサーバーがそのオブジェクトを変更してしまうのを防ぐためです。このようになってしまうと、ピア・サーバーが削除コマンドを受信した後に変更コマンドを受信し、矛盾が発生する可能性があります。

2 つのピア・マスター・サーバー、2 つの転送サーバー、および 4 つのレプリカからなるピア - 転送 - レプリカ・トポロジーを定義するには、以下の手順を実行します。

1. マスター・サーバーおよびレプリカ・サーバーを作成します。 158ページの『マスター - レプリカ・トポロジーの作成』を参照してください。

2. マスター・サーバーに対するレプリカ・サーバーをさらに 2 つ作成します。162ページの『レプリカ・サーバーの作成』を参照してください。

3. 新規作成した 2 つのレプリカ・サーバーの下に、それぞれ 2 つのレプリカを作成します。

4. 元のレプリカをマスターにプロモートします。

注: マスターにプロモートするサーバーは、従属レプリカを持たないリーフ・レプリカでなければなりません。

5. マスターから新しいマスターおよびレプリカにデータをコピーします。 163ページの『レプリカへのデータのコピー』を参照してください。

Web 管理の使用167ページの『Web 管理の使用』で作成した転送トポロジーを使用して、サーバーをピアにプロモートできます。この例では、レプリカ (server3) をマスター・サーバー (server1) に対するピアにプロモートします。

第 12 章複製 173




4. サーバーのリストを展開するには、「複製トポロジー」選択の隣にある矢印をクリックします。



7. 「server1」をクリックし、「レプリカの追加」をクリックします。 server4

を作成します。 162ページの『レプリカ・サーバーの作成』を参照してください。同じ手順に従って server5 を作成します。Web 管理ツールでは、サーバーの役割がアイコンで示されます。以上で、トポロジーは以下のようになります。




– server4 (レプリカ)


8. 「server2」をクリックし、「レプリカの追加」をクリックして、 server6 を作成します。

9. 「server4」をクリックし、「レプリカの追加」をクリックして、 server7 を作成します。同じ手順に従って server8 を作成します。以上で、トポロジーは以下のようになります。









10. 「server5」を選択し、「移動」をクリックします。

注: 移動するサーバーは、従属レプリカを持たないリーフ・レプリカでなければなりません。

11. 「複製トポロジー」を選択し、レプリカをマスターにプロモートします。「移動」をクリックします。

12. 「追加のサプライヤー合意の作成」パネルが表示されます。ピア複製では、各マスターはトポロジー内のその他の各マスターに対するサプライヤーおよびコンシューマーであり、最初のレベルの各レプリカ (server2 および server4) に対するサプライヤーおよびコンシューマーであることが必要です。 Server5 は、


すでに server1 のコンシューマーになっています。現在は、server1、server2、および server4 に対するサプライヤーになる必要があります。「サプライヤー合意 (supplier agreement)」チェック・ボックスを以下のようにチェックします。

表 13.

サプライヤーコンシューマー

U server5 server1

U server5 server2

U server5 server4

「継続 (Continue)」をクリックします。

注: 場合によっては、「信任状の選択」パネルがポップアップし、cn=replication,cn=localhost 以外の場所に存在する信任状が要求されます。このような場合は、cn=replication,cn=localhost 以外の場所に存在する信任状オブジェクトを指定する必要があります。サブツリーが信任状の既存のセットの形成に使用する信任状を選択するか、または新しい信任状を作成します。 159ページの『信任状の作成』を参照してください。

.

13. 「OK」をクリックします。以上で、トポロジーは以下のようになります。








– server5 (マスター)





14. データを server1 からすべてのサーバーにコピーします。この方法の詳細については、 163ページの『レプリカへのデータのコピー』を参照してください。


注:


第 12 章複製 175


この例ではトポロジーがより複雑になります。2 つのピア・マスター (peer1 およびpeer2)、2 つの転送 (forwarder1 および forwarder2)、および 4 つのレプリカ(replica1、replica2、replica3、および replica4) があります。サーバーの関係は以下のとおりです。

v peer1 および peer2 はピア・マスター・サーバーです。すなわち、相互に更新を受信しますが、複製するのはクライアントから受信した項目のみです。両方のマスターの項目の内容は同じですが、項目を複製するのはクライアント要求を受信したサーバーのみです。両方のマスターは、互いにサプライヤーおよびコンシューマーであり、転送サーバーに対するサプライヤーです。

v forwarder1 および forwarder2 には 2 つの役割があります。これらはともに peer1

および peer2 のコンシューマーであり、各レプリカに対するサプライヤーです。クライアント更新は行いません。複製された更新をコンシューマーに渡します。このシナリオでは、

– forwarder1 は replica1 および replica2 に対するサプライヤーです。

– forwarder2 は replica3 および replica4 に対するサプライヤーです。

forwarder1 と forwarder2 の間の対話はありません。

v replica1 および replica2 は forwarder1 のコンシューマーであり、replica3 およびreplica4 は forwarder2 のコンシューマーです。

ピア - マスター (peer1 および peer2)、転送 (forwarder1 および forwarder2)、ならびにレプリカ (replica1、replica2、replica3、および replica4) をサブツリーo=ibm,c=us に対して作成するには、以下の手順を実行します。

Peer1<------->Peer2| \ / || X |↓ / \ ↓

Forwarder1 Forwarder2/ | | \

Replica1 Replica2 Replica3 Replica4

1. サーバー peer1 および peer2 を停止します。

2. peer1 および peer2 を構成してピア・サーバーにする必要があります。エディターを使用し、peer1 および peer2 の ibmslapd.conf ファイルに以下の項目を追加します。

dn: cn=Master Server, cn=configurationobjectclass: ibm-slapdReplicationcn: Master Serveribm-slapdMasterDN: cn=masteribm-slapdMasterPW: master

注: この例ではすべてのサーバーで共用する信任状オブジェクトを使用するため、これらの項目は両方のサーバーで完全に同じでなければなりません。


4. マスター・サーバー peer1 が存在するマシンで合意情報を格納するファイル(例: mycredentialsfile) を作成します。ここで、mycredentialsfile の内容は以下のとおりです。



dn: cn=simple,cn=replication,cn=localhostobjectclass: ibm-replicationCredentialsSimplecn: simplereplicaBindDN: cn=masterreplicaCredentials: masterdescription: Bindmethod for topology


ldif2db -r no -i <mycredentialsfile>

6. peer2、forwarder1、および forwarder2 が配置されているマシンに<mycredentialsfile> をコピーし、各マシン上で以下のコマンドを発行します。


7. peer1 が存在するマシンでファイル <mytopologyfile> を作成します。ここで、<mytopologyfile> の内容は以下のとおりです。

注: 以下のファイルの <master-uuid> の箇所は、すべてマスター・サーバーのcn=Configuration 項目の ibm-slapdServerId 属性の値で置き換えてください。この値は、サーバーを最初に始動したときにサーバーによって生成されます。また、UNIX ベースのシステムの場合は、cn=Configuration 項目の ldapsearch を実行するか、ibmslapd.conf ファイルに対して grepコマンドを使用することによって検索できます。同様に、<peerx-uuid>、<forwarderx-uuid>、および <replicax-uuid> (x は番号) の箇所は、すべて各サーバーの cn=Configuration 項目の ibm-slapdServerId属性の値で置き換えてください。

dn: o=ibm,c=uso: ibmobjectclass: topobjectclass: organizationobjectclass: ibm-replicationContext


dn: ibm-replicaServerId=<peer1-uuid>,ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <peer1-uuid>ibm-replicationServerIsMaster: truecn: peer1description: peer1 server


dn: ibm-replicaServerId=<forwarder1-uuid>,ibm-replicaGroup=default,o=ibm,c=us

objectclass: top

第 12 章複製 177

objectclass: ibm-replicaSubentryibm-replicaServerId: <forwarder1-uuid>ibm-replicationServerIsMaster: falsecn: forwarder1description: forwarder server number one


objectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <forwarder2-uuid>ibm-replicationServerIsMaster: falsecn: forwarder2description: forwarder server number two

#peer1 to peer2 agreementdn: cn=peer2,ibm-replicaServerId=<peer1-uuid>,

ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: peer2ibm-replicaConsumerId: <peer2-uuid>ibm-replicaUrl: ldap://<peer2hostname:peer2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: peer2 server

#peer1 to forwarder1 agreementdn: cn=forwarder1,ibm-replicaServerId=<peer1-uuid>,

ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: forwarder1ibm-replicaConsumerId: <forwarder1-uuid>ibm-replicaUrl: ldap://<forwarder1hostname:forwarder1port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: forwarder server one

#peer1 to forwarder2 agreementdn: cn=forwarder2,ibm-replicaServerId=<peer1-uuid>

ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: forwarder2ibm-replicaConsumerId: <forwarder2-uuid>ibm-replicaUrl: ldap://<forwarder2hostname:forwarder2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: forwarder server two


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: peer1ibm-replicaConsumerId: <peer1-uuid>ibm-replicaUrl: ldap://<peer1hostname:peer1port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: peer server one


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: forwarder1ibm-replicaConsumerId: forwarder1-uidibm-replicaUrl: ldap://<forwarder1hostname:forwarder1port>


ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: forwarder server one


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: forwarder2ibm-replicaConsumerId: <forwarder2-uuid>ibm-replicaUrl: ldap://$<forwarder2hostname:forwarder2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: forwarder server two

#forwarder1 to replica1 agreementdn: cn=replica1,ibm-replicaServerId=<forwarder1-uuid>,

ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: replica1ibm-replicaConsumerId: <replica1-uuid>ibm-replicaUrl: ldap://<replica1hostname:replica1port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: replica server number one


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: replica2ibm-replicaConsumerId: <replica2-uuid>ibm-replicaUrl: ldap://<replica2hostname:replica2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: replica server number two


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: replica3ibm-replicaConsumerId: <replica3-uuid>ibm-replicaUrl: ldap://<replica3hostname:replica3port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: replica server number three


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: replica4ibm-replicaConsumerId: <replica4-uuid>ibm-replicaUrl: ldap://<replica4hostname:replica4port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: replica server number four

8. このトポロジーをロードするには、以下のコマンドを発行します。

ldif2db -r no -i <mytopologyfile>

ここで、-r no は項目のセットの複製を防止するオプションです。

9. この時点で、サブツリーに追加のデータをロードできます。

10. データのロードが完了したら、以下のコマンドを発行し、その他のサーバーに設定するトポロジーをエクスポートできるようにします。

第 12 章複製 179

db2ldif -s"o=ibm,c=us" -o <mymasterfile.ldif>


11. peer2 が存在するマシンに <masterfile.ldif> をコピーします。

12. peer2 が存在するマシンで以下のコマンドを発行します。


13. forwarder1 および forwarder2 が停止していることを確認します。

14. forwarder1 および forwarder2 を構成して転送サーバーにする必要があります。エディターを使用し、forwarder1 および forwarder2 の ibmslapd.conf ファイルに以下の項目を追加します。

dn: cn=Master Server, cn=configurationobjectclass: ibm-slapdReplicationcn: Master Serveribm-slapdMasterDN: cn=masteribm-slapdMasterPW: masteribm-slapdMasterReferral: ldap://peer1hostname:peer1port/

注: これにより、クライアントからの更新がすべて peer1 を参照するようになります。

15. forwarder1 および forwarder2 が存在するマシンに <masterfile.ldif> をコピーします。

16. これらの各マシンで以下のコマンドを発行します。


17. replica1、replica2、replica3、および replica4 が停止していることを確認します。

18. replica1、replica2、replica3、および replica4 を構成してレプリカ・サーバーにする必要があります。エディターを使用し、各レプリカの ibmslapd.conf ファイルに以下の項目を追加します。



20. replica1、replica2、replica3、および replica4 が存在するマシンに<masterfile.ldif> をコピーします。



22. peer1、peer2、forwarder1、forwarder2、replica1、replica2、replica3、およびreplica4 を始動します。

ゲートウェイ・トポロジーのセットアップ

注: ゲートウェイ・サーバーには、 IBM Tivoli Directory Server バージョン 5.2 サーバー、または IBM Directory Server バージョン 5.1 サーバー (ゲートウェイ複製をサポートする修正パッケージ適用済み) を選択する必要があります。


ゲートウェイ複製では、ゲートウェイ・サーバーを使用して、複製情報を複製ネットワークを介して効果的に収集および配布します。ゲートウェイ複製の主な利点はネットワーク・トラフィックの軽減です。

ゲートウェイ・サーバーはマスター (書き込み可能) にする必要があります。次の図は、ゲートウェイ複製がどのように機能するかを示しています。

図 5 の複製ネットワークには 4 つの複製サイトがあり、各サイトにはゲートウェイ・サーバーが 1 つずつあります。ゲートウェイ・サーバーの機能は次のとおりです。

v 各ゲートウェイ・サーバーが存在する複製サイトのピア・サーバーやマスター・サーバーから複製の更新情報を収集して、この更新情報を複製ネットワーク内部にあるその他のすべてのゲートウェイ・サーバーに送信します。

v 複製ネットワーク内部にある他のゲートウェイ・サーバーから複製の更新情報を収集して、これらの更新情報を、このゲートウェイ・サーバーが存在する複製サイトのピア・サーバー、マスター・サーバーおよびレプリカ・サーバーに送信します。

ゲートウェイ・サーバーは、サーバー ID とコンシューマー ID を使用して、複製ネットワーク内の他のゲートウェイ・サーバーに送信する更新情報と、複製サイト内部のローカル・サーバーに送信する更新情報を判別します。

ゲートウェイ複製をセットアップするには、2 つ以上のゲートウェイ・サーバーを作成する必要があります。ゲートウェイ・サーバーを作成すると、複製サイトが確

図 5. ゲートウェイ・サーバーを持つ複製ネットワーク

第 12 章複製 181

立されます。次に、このゲートウェイ・サーバーと、このゲートウェイ・サーバーの複製サイト内に組み込むマスター、ピア、およびレプリカの各サーバー間の複製合意を作成します。

ゲートウェイ・サーバーはマスター (書き込み可能) にする必要があります。マスターではないサブエントリーにゲートウェイ・オブジェクト・クラス(ibm-replicaGateway) を追加しようとすると、エラー・メッセージが戻されます。

ゲートウェイ・サーバーを作成するには 2 つの方法があります。以下を実行できます。

v 新規のゲートウェイ・サーバーを作成する

v 既存のピア・サーバーをゲートウェイ・サーバーに変換する

注: 複製サイトごとに割り当てるゲートウェイの数を 1 つだけにすることは非常に重要です。

Web 管理の使用前述のシナリオからのピア複製を持つ複雑なトポロジーを使用してゲートウェイをセットアップするには、以下の手順を実行します。

v 既存のピア・サーバー (peer1) をゲートウェイ・サーバーに変換し、複製サイト1 を作成します。

v 複製サイト 2 用の新しいゲートウェイ・サーバー、および peer1 との合意を作成します。

v 複製サイト 2 のトポロジーを作成します (この例には示されていません)。

v マスターからトポロジー内のすべてのマシンにデータをコピーします。




4. サーバーのリストを展開するには、「複製トポロジー」選択の隣にある矢印をクリックします。

5. 既存のサーバーをゲートウェイ・サーバーに変換するには、「server1」またはそのピアの「server5」を選択します。この例では「server1」を使用します。

6. 「サーバーの編集」をクリックします。

7. 「サーバーはマスターです」が選択されていることを確認し、「サーバーはゲートウェイです」を選択します。


注: ゲートウェイとして使用したいサーバーがまだマスターになっていない場合は、そのサーバーを従属レプリカを持たないリーフ・レプリカにする必要があります。従属レプリカを持たないリーフ・レプリカは、最初にマスターになるようにプロモートし、次にゲートウェイとして指定することができます。

9. 新しいゲートウェイ・サーバーを作成するには、「server1」を選択し、「レプリカの追加」をクリックします。


10. 新しいレプリカ server9 を作成します。 162ページの『レプリカ・サーバーの作成』を参照してください。

11. 「server9」を選択し、「移動」をクリックします。

12. 「複製トポロジー」を選択し、レプリカをマスターにプロモートします。「移動」をクリックします。

13. 「追加のサプライヤー合意の作成」パネルが表示されます。「サプライヤー合意 (supplier agreement)」チェック・ボックスで server1 のみをチェックします。

表 14.

サプライヤーコンシューマー

U server9 server1

server9 server2

server9 server4

server9 server5

「継続 (Continue)」をクリックします。

注: 場合によっては、「信任状の選択」パネルがポップアップし、cn=replication,cn=localhost 以外の場所に存在する信任状が要求されます。このような場合は、cn=replication,cn=localhost 以外の場所に存在する信任状オブジェクトを指定する必要があります。サブツリーが信任状の既存のセットの形成に使用する信任状を選択するか、または新しい信任状を作成します。 159ページの『信任状の作成』を参照してください。

.

14. 「OK」をクリックします。Web 管理ツールでは、サーバーの役割がアイコンで示されます。以上で、トポロジーは以下のようになります。

v server1 (複製サイト 1 のマスター - ゲートウェイ)








– server9 (複製サイト 2 のマスター - ゲートウェイ)





v server9 (マスター - ゲートウェイ)

– server1 (マスター - ゲートウェイ)

15. レプリカ・サーバーを server9 に追加し、複製サイト 2 のトポロジーを作成します。

第 12 章複製 183

16. 複製サイトをさらに作成する場合は、この手順を繰り返します。複製サイトごとに作成するゲートウェイ・サーバーの数は 1 つだけにすることを忘れないでください。

17. トポロジーの作成が完了したら、すべての複製サイト内のすべてのサーバーにserver1 のデータをコピーします。この方法の詳細については、 163ページの『レプリカへのデータのコピー』を参照してください。

コマンド行の使用このシナリオでは、ピアツーピアの例で使用されたのと同じトポロジーを用いて、新しい複製サブツリーを作成します。

注:



この例では、前述の 2 つのピア、2 つの転送、および 4 つのレプリカ・シナリオを変更し、以下のことを行います。

v peer1 の役割をそのトポロジーのゲートウェイ・サーバー (複製サイト 1) に変更します。

v 複製サイト 2 用の新しいゲートウェイ・サーバー (gate2) を作成します。

注: 複製サイト 2 は、ゲートウェイ・サーバーとして gate2 を持つ独自のトポロジーを備えています。この複製トポロジーは、この例では示されていません。複製サイト 1 のトポロジーをモデルとして使用できます。ただし、実際のトポロジー・セットアップでは、すべての複製サイトにすべてのトポロジーを含める必要があります。

Gate2 <-------------->Peer1(G)<---->Peer2| \ / || X |↓ / \ ↓

Forwarder1 Forwarder2/ | | \

Replica1 Replica2 Replica3 Replica4

1. サーバー gate2、peer1、および peer2 を停止します。

2. gate2、peer1、および peer2 をピア・サーバーとして構成する必要があります。エディターを使用し、peer1 および peer2 の ibmslapd.conf ファイルに以下の項目を追加します。

dn: cn=Master Server, cn=configurationobjectclass: ibm-slapdReplicationcn: Master Serveribm-slapdMasterDN: cn=masteribm-slapdMasterPW: master

注: この例では、すべてのサーバー上で共用される信任状オブジェクトが使用されます。そのため、これらの項目は、すべてのサーバー上で完全に同じであることが重要です。



4. マスター・サーバー peer1 が存在するマシンで合意情報を格納するファイル(例: mycredentialsfile) を作成します。ここで、mycredentialsfile の内容は以下のとおりです。


dn: cn=simple,cn=replication,cn=localhostobjectclass: ibm-replicationCredentialsSimplecn: simplereplicaBindDN: cn=masterreplicaCredentials: masterdescription: Bindmethod for topology



6. gate2、peer2、forwarder1、および forwarder2 が配置されているマシンに<mycredentialsfile> をコピーし、各マシン上で以下のコマンドを発行します。


7. peer1 が存在するマシンでファイル <mytopologyfile> を作成します。ここで、<mytopologyfile> の内容は以下のとおりです。

注: 以下のファイルの <peer1-uuid> の個所は、マスター・サーバーのcn=Configuration 項目の ibm-slapdServerId 属性の値ですべて置き換えてください。この値は、サーバーを最初に始動したときにサーバーによって生成されます。また、UNIX ベースのシステムの場合は、cn=Configuration 項目の ldapsearch を実行するか、ibmslapd.conf ファイルに対して grep コマンドを使用することによって検索できます。同様に、<peerx-uuid>、<forwarderx-uuid>、 <replicax-uuid、および<gate2-uuid> (x は番号) の個所は、各サーバーの cn=Configuration 項目の ibm-slapdServerId 属性の値ですべて置き換えてください。

前述のピア・トポロジー・コマンド行からのコード例で変更された部分は太字で示しています。

dn: o=ibm,c=uso: ibmobjectclass: topobjectclass: organizationobjectclass: ibm-replicationContext


#Make peer1 a gateway server for site 1dn: ibm-replicaServerId=<peer1-uuid>,ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicaSubentryobjectclass: ibm-replicaGatewayibm-replicaServerId: <peer1-uuid>ibm-replicationServerIsMaster: truecn: peer1description: gateway server from replication site 1 to replication site 2

第 12 章複製 185

#Add gate2 as a gateway server for site 2dn: ibm-replicaServerId=<gate2-uuid>,ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicaSubentryobjectclass: ibm-replicaGatewayibm-replicaServerId: <gate2-uuid>ibm-replicationServerIsMaster: truecn: gate2description: gateway server from replication site 2 to replication site 1



objectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <forwarder1-uuid>ibm-replicationServerIsMaster: falsecn: forwarder1description: forwarder server number one


objectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <forwarder2-uuid>ibm-replicationServerIsMaster: falsecn: forwarder2description: forwarder server number two

#peer1 to gate2 agreementdn: cn=gate2,ibm-replicaServerId=<peer1-uuid>,

ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: gate2ibm-replicaConsumerId: <gate2-uuid>ibm-replicaUrl: ldap://<gate2hostname:gate2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: supplier agreement from replication site1 to replication site2

#gate2 to peer1 agreementdn: cn=gate1,ibm-replicaServerId=<gate2-uuid>,

ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: peer1ibm-replicaConsumerId: <peer1-uuid>ibm-replicaUrl: ldap://<peer1hostname:peer1port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: supplier agreement from replication site2 to replication site 1


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: peer2ibm-replicaConsumerId: <peer2-uuid>ibm-replicaUrl: ldap://<peer2hostname:peer2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhost


description: peer2 server


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: forwarder1ibm-replicaConsumerId: <forwarder1-uuid>ibm-replicaUrl: ldap://<forwarder1hostname:forwarder1port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: forwarder server one


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: forwarder2ibm-replicaConsumerId: <forwarder2-uuid>ibm-replicaUrl: ldap://<forwarder2hostname:forwarder2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: forwarder server two


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: peer1ibm-replicaConsumerId: <peer1-uuid>ibm-replicaUrl: ldap://<peer1hostname:peer1port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: peer server one


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: forwarder1ibm-replicaConsumerId: forwarder1-uidibm-replicaUrl: ldap://<forwarder1hostname:forwarder1port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: forwarder server one


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: forwarder2ibm-replicaConsumerId: <forwarder2-uuid>ibm-replicaUrl: ldap://$<forwarder2hostname:forwarder2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: forwarder server two


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: replica1ibm-replicaConsumerId: <replica1-uuid>ibm-replicaUrl: ldap://<replica1hostname:replica1port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: replica server number one

第 12 章複製 187


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: replica2ibm-replicaConsumerId: <replica2-uuid>ibm-replicaUrl: ldap://<replica2hostname:replica2port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: replica server number two


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: replica3ibm-replicaConsumerId: <replica3-uuid>ibm-replicaUrl: ldap://<replica3hostname:replica3port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: replica server number three


ibm-replicaGroup=default,o=ibm,c=usobjectclass: topobjectclass: ibm-replicationAgreementcn: replica4ibm-replicaConsumerId: <replica4-uuid>ibm-replicaUrl: ldap://<replica4hostname:replica4port>ibm-replicaCredentialsDN: cn=simple,cn=replication,cn=localhostdescription: replica server number four

8. このトポロジーをロードするには、以下のコマンドを発行します。

ldif2db -r no -i <mytopologyfile>

ここで、-r no は項目のセットの複製を防止するオプションです。

9. この時点で、サブツリーに追加のデータをロードできます。

10. データのロードが完了したら、以下のコマンドを発行し、その他のサーバーに設定するトポロジーをエクスポートできるようにします。

db2ldif -s"o=ibm,c=us" -o <mymasterfile.ldif>


11. gate2 が存在するマシンに <masterfile.ldif> をコピーします。

12. gate2 が存在するマシンで以下のコマンドを発行します。


13. peer2 が存在するマシンに <masterfile.ldif> をコピーします。

14. peer2 が存在するマシンで以下のコマンドを発行します。


15. forwarder1 および forwarder2 が停止していることを確認します。

16. forwarder1 および forwarder2 を構成して転送サーバーにする必要があります。エディターを使用し、forwarder1 および forwarder2 の ibmslapd.conf ファイルに以下の項目を追加します。



注: これにより、クライアントからの更新がすべて peer1 を参照するようになります。

17. forwarder1 および forwarder2 が存在するマシンに <masterfile.ldif> をコピーします。



19. replica1、replica2、replica3、および replica4 が停止していることを確認します。

20. replica1、replica2、replica3、および replica4 を構成してレプリカ・サーバーにする必要があります。エディターを使用し、各レプリカの ibmslapd.conf ファイルに以下の項目を追加します。



22. replica1、replica2、replica3、および replica4 が存在するマシンに<masterfile.ldif> をコピーします。



24. gate2、peer1、peer2、forwarder1、forwarder2、replica1、replica2、replica3、および replica4 を始動します。

複製を管理するための Web 管理タスク以下のタスクを実行するには、Web 管理ツールを使用します。

トポロジーの管理トポロジーは複製されたサブツリーに固有のものです。

トポロジーの表示



1. 表示するサブツリーを選択して、「トポロジーの表示」をクリックします。

複製トポロジー・リストにトポロジーが表示されます。青い三角形をクリックして、トポロジーを展開します。このリストから、以下のことができます。

v レプリカを追加します。

第 12 章複製 189

v 既存のレプリカに関する情報を編集します。

v レプリカの別のサプライヤー・サーバーに変更したり、レプリカをマスター・サーバーにプロモートしたりします。

v レプリカを削除します。

レプリカの追加162ページの『レプリカ・サーバーの作成』を参照してください。

合意の編集レプリカの以下の情報を変更できます。

「サーバー」タブで変更可能な情報は以下に限られます。

v ホスト名

v ポート

v SSL を使用可能にする

v 説明

「追加」タブでは、以下の情報を変更できます。

v 信任状 - 159ページの『信任状の作成』を参照してください。

v 複製スケジュール - 195ページの『複製スケジュールの作成』を参照してください。

v コンシューマー・レプリカに複製される機能を変更します。サプライヤー機能のリストから、コンシューマーに複製しない機能を選択解除できます。

v 完了したら、「OK」をクリックします。

サーバーの編集

注: ゲートウェイ・サーバーには、 IBM Tivoli Directory Server バージョン 5.2 サーバー、または IBM Directory Server バージョン 5.1 サーバー (ゲートウェイ複製をサポートする修正パッケージ適用済み) を選択する必要があります。

複製サイトのゲートウェイ・サーバーの役割をマスター・サーバーに持たせるかどうかを指定できます。

マスターをゲートウェイ・サーバーとして指定するには、以下の手順を実行します。

1. 「サーバーはゲートウェイです」チェック・ボックスを選択します。


ゲートウェイ・サーバーの役割をマスター・サーバーから除去するには、以下の手順を実行します。

1. 「サーバーはゲートウェイです」チェック・ボックスの選択を解除します。


詳細については、 180ページの『ゲートウェイ・トポロジーのセットアップ』を参照してください。


サーバーの移動またはプロモート1. 必要なサーバーを選択し、「移動」をクリックします。

2. レプリカを移動するサーバーを選択するか、「複製トポロジー」を選択し、レプリカをマスターにプロモートします。「移動」をクリックします。

3. 場合によっては、「信任状の選択」パネルがポップアップし、cn=replication,cn=localhost 以外の場所に存在する信任状が要求されます。このような場合は、cn=replication,cn=localhost 以外の場所に存在する信任状オブジェクトを指定する必要があります。サブツリーが信任状の既存のセットの形成に使用する信任状を選択するか、または新しい信任状を作成します。 159ページの『信任状の作成』を参照してください。

4. 「追加のサプライヤー合意の作成」が表示されます。サーバーの役割に適したサプライヤー合意を選択します。例えば、レプリカ・サーバーがピア・サーバーになるようにプロモートされている場合は、その他すべてのサーバーおよび最初のレベルのレプリカとのサプライヤー合意を作成するように選択を行う必要があります。この合意により、プロモートされたサーバーは、その他のサーバーおよびそのレプリカに対するサプライヤーとして機能できます。その他のサーバーから新しくプロモートされたサーバーまでの既存のサプライヤー合意は依然として有効であり、再作成の必要はありません。


トポロジー・ツリーの変更はサーバーの移動に反映されます。

詳細については、 172ページの『ピア複製を持つ複雑なトポロジーのセットアップ』を参照してください。

マスターのデモートサーバーの役割をマスターからレプリカに変更するには、以下を行います。

1. Web 管理ツールをデモート対象のサーバーに接続します。

2. 「トポロジーの管理」をクリックします。

3. サブツリーを選択し、「トポロジーの表示」をクリックします。

4. デモートするサーバーの合意をすべて削除します。

5. デモートするサーバーを選択し、「移動」をクリックします。

6. デモートするサーバーを置くサーバーを選択し、「移動」をクリックします。

7. 新規レプリカの場合と同様に、デモートしたサーバーとそのサプライヤーの間の新規サプライヤー合意を作成します。手順については、 162ページの『レプリカ・サーバーの作成』を参照してください。

サブツリーの複製



v 「サブツリーの追加」をクリックします。

v 複製するサブツリーの DN を入力するか、「ブラウズ」をクリックして項目を展開し、サブツリーのルートにする項目を選択します。

第 12 章複製 191

v マスター・サーバーの参照 URL を入力します。これは、以下のような LDAP

URL の形式にする必要があります。

ldap://<myservername>.<mylocation>.<mycompany>.com

v 「OK」をクリックします。

v ヘッダー「複製サブツリー」の下にある「トポロジーの管理」パネルに、新しいサーバーが表示されます。

注: Linux、Solaris、および HP-UX プラットフォームでは、参照が失敗した場合、システム環境で環境変数 LDAP_LOCK_REC が設定されていることを確認してください。特定の値を指定する必要はありません。


サブツリーの編集このサブツリーとレプリカが更新を送信する宛先となるマスター・サーバーの URL

を変更するには、このオプションを使用します。この処理は、マスター・サーバーのポート番号またはホスト名を変更し、マスターを別のサーバーに変更する場合に行う必要があります。

1. 編集するサブツリーを選択します。

2. 「サブツリーの編集」をクリックします。

3. マスター・サーバーの参照 URL を入力します。これは、以下のような LDAP

URL の形式にする必要があります。

ldap://<mynewservername>.<mylocation>.<mycompany>.com

このサブツリーのサーバーが担っていた役割 (マスター、レプリカ、転送のいずれであるか) に応じて、異なるラベルおよびボタンがパネルに表示されます。

v サブツリーの役割がレプリカの場合は、サーバーがレプリカまたは転送として機能することを示すラベルがボタン「サーバーをマスターにする」とともに表示されます。このボタンをクリックすると、Web 管理ツールの接続先サーバーがマスターになります。

v 補助クラス (デフォルト・グループもサブエントリーも存在しない) を追加することによってのみサブツリーが複製用に構成されている場合は、ラベル「このサブツリーは複製されていません」がボタン「サブツリーの複製」とともに表示されます。このボタンをクリックすると、デフォルト・グループおよびサブエントリーが追加され、Web 管理ツールの接続先サーバーがマスターになります。

v マスター・サーバーのサブエントリーが見つからない場合は、ラベル「このサブツリーにはマスター・サーバーが定義されていません」がボタン「サーバーをマスターにする」とともに表示されます。このボタンをクリックすると、欠落しているサブエントリーが追加され、Web 管理ツールの接続先サーバーがマスターになります。

サブツリーの除去1. 除去するサブツリーを選択します。

2. 「サブツリーの削除」をクリックします。

3. 削除の確認を要求されたら、「OK」をクリックします。

サブツリーが、「複製されたサブツリー」リストから除去されます。


注: この操作は、ibm-replicaGroup=default が空の項目の場合にのみ正常に終了します。

サブツリーの静止この機能は、保守を実行したり、トポロジーを変更したりする場合に便利です。この機能により、サーバーに対して行われる更新の回数が最小化されます。静止されたサーバーは、クライアント要求を受け入れません。静止されたサーバーは、サーバー管理制御を使用する管理者からの要求のみを受け入れます。

この機能はブールです。

1. サブツリーを静止するには、「静止/静止解除」をクリックします。

2. 処理の確認を要求されたら、「OK」をクリックします。

3. サブツリーを静止解除するには、「静止/静止解除」をクリックします。

4. 処理の確認を要求されたら、「OK」をクリックします。

アクセス制御リストの編集複製情報 (レプリカ・サブエントリー、複製合意、スケジュール、場合によっては信任状) は、特別なオブジェクト ibm-replicagroup=default に格納されます。ibm-replicagroup オブジェクトは、複製されたサブツリーのルート項目の直下に存在します。デフォルトでは、このサブツリーは、複製されたサブツリーのルート項目から ACL を継承します。この ACL は、複製情報へのアクセスの制御に不適切な場合があります。

必要な権限は以下のとおりです。

v 複製制御: ibm-replicagroup=default オブジェクトに対する書き込みアクセスを持つ(または所有者/管理者である) 必要があります。

v カスケード複製制御: ibm-replicagroup=default オブジェクトに対する書き込みアクセスを持つ (または所有者/管理者である) 必要があります。

v キュー制御: 複製合意への書き込みアクセスが必要です。

Web 管理ツール・ユーティリティーを使用して ACL プロパティーを表示させたりACL を処理したりするには、 245ページの『ACL の処理』を参照してください。

詳細については、 235ページの『第 15 章アクセス制御リスト』を参照してください。

複製プロパティーの変更ナビゲーション領域で「複製管理」カテゴリーを展開し、「複製プロパティーの管理」をクリックします。

このパネルで、以下を行うことができます。

v 複製状況照会から戻す保留変更の最大数を変更します。デフォルトは 200 です。

v サプライヤー信任状の追加、編集、または削除を実行します。

サプライヤー情報の追加1. 「追加」をクリックします。

第 12 章複製 193

2. ドロップダウン・メニューからサプライヤーを選択するか、サプライヤーとして追加する複製されたサブツリーの名前を入力します。

3. 信任状の複製バインド DN を入力します。

注: 状況に応じて、以下の 2 つのいずれのオプションも使用できます。

v 「デフォルトの信任状と参照」を使用して、すべての複製されたサブツリーの複製バインド DN (とパスワード) およびデフォルト参照をサーバーに設定します。これは、すべてのサブツリーを同じサプライヤーから複製するときに使用される場合があります。

v 各サブツリーのサプライヤー情報を追加して、複製されたサブツリーごとに独立して複製バインド DN およびパスワードを設定します。これは、サブツリーごとにサプライヤーが異なる場合 (サブツリーごとにマスター・サーバーが異なる場合) に使用される場合があります。

4. 信任状のタイプに応じて信任状パスワードを入力し、確認します。(将来使用するときのために以前に記録しています。)

v 単純なバインド - DN およびパスワードを指定します。

v Kerberos - パスワードなしで ibm-kn=LDAP-service-name@realm の形式の疑似 DN を指定します。

v EXTERNAL バインドの SSL - 証明書のサブジェクト DN およびパスワードなしを指定します。

159ページの『信任状の作成』を参照してください。


サプライヤーのサブツリーがサプライヤー情報リストに追加されます。

サプライヤー情報の編集1. 編集するサプライヤー・サブツリーを選択します。


3. 「デフォルトの信任状と参照」を編集し、それを使用して cn=configuration にcn=Master Server 項目を作成する場合は、「デフォルト・サプライヤーの LDAP

URL」フィールドに、クライアントでレプリカの更新を受信するサーバーのURL を入力します。これは、有効な LDAP URL (ldap://) である必要があります。それ以外の場合は、ステップ 4 にスキップしてください。

4. 使用する新規信任状の複製バインド DN を入力します。

5. 信任状パスワードを入力して確認します。


サプライヤー情報の除去1. 除去するサプライヤー・サブツリーを選択します。



サブツリーが「サプライヤー情報」リストから除去されます。


複製スケジュールの作成オプションで複製スケジュールを定義すると、特定の時間に複製するように、または特定の時間に複製しないようにスケジュールできます。スケジュールを使用しない場合は、サーバーは、変更が行われた時点で複製をスケジュールします。これは、毎日午前 12:00 にただちに複製を開始するようにスケジュールを指定するのに同等です。

ナビゲーション領域で「複製管理」カテゴリーを展開し、「スケジュールの管理」をクリックします。

「週次スケジュール」タブで、スケジュールを作成するサブツリーを選択し、「スケジュールの表示」をクリックします。スケジュールが存在する場合は、「週次スケジュール」ボックスに表示されます。新規のスケジュールを作成または追加するには、以下の手順を実行します。


2. スケジュールの名前を入力します。例えば、schedule1 などです。

3. 日曜から土曜までの毎日の日次スケジュールは、「なし」として指定します。したがって、複製更新イベントはスケジュールされません。最後の複製イベント(ある場合) がまだ有効になっています。これは新規のレプリカであるため、前の複製イベントは存在しません。したがって、スケジュールのデフォルトは、即時複製に設定されます。

4. 日次複製スケジュールを作成するには、日を選択して、「日次スケジュールの追加」をクリックします。日次スケジュールを作成すると、その日次スケジュールが各曜日のデフォルトのスケジュールになります。以下を実行できます。

v 日次スケジュールをそれぞれの日のデフォルトとして保持するか、または特定の日を選択して、その日のスケジュールをなしに戻します。スケジュールされた複製イベントがない日については、最後に発生した複製イベントがまだ有効になっていることに注意してください。

v 日を選択して、「日次スケジュールの編集」を選択することで、日次スケジュールを変更します。日次スケジュールを変更すると、選択した日以外にも、そのスケジュールを使用するすべての日に影響することに注意してください。

v 日を選択して、「日次スケジュールの追加」をクリックすることで、別の日次スケジュールを作成します。このスケジュールを作成すると、「日次スケジュール」ドロップダウン・メニューに追加されます。スケジュールを使用する日ごとにこのスケジュールを選択する必要があります。

日次スケジュール設定の詳細については、『日次スケジュールの作成』を参照してください。

5. 完了したら、「OK」をクリックします。

日次スケジュールの作成ナビゲーション領域で「複製管理」カテゴリーを展開し、「スケジュールの管理」をクリックします。

「日次スケジュール」タブで、スケジュールを作成するサブツリーを選択し、「スケジュールの表示」をクリックします。スケジュールが存在する場合は、「日次スケジュール」ボックスに表示されます。新規のスケジュールを作成または追加するには、以下の手順を実行します。

第 12 章複製 195


2. スケジュールの名前を入力します。例えば、monday1 などです。

3. 時間帯設定 (UTC またはローカル) を選択します。

4. ドロップダウン・メニューから複製のタイプを選択します。

即時最後の複製イベント以降、保留されていた項目更新を実行してから、次にスケジュールされた更新イベントに達するまで継続的に更新します。

1 回開始時刻より前に保留されていた更新をすべて実行します。開始時刻以降に行われた更新は、次にスケジュールされた複製イベントまで待機します。

5. 複製イベントの開始時刻を選択します。

6. 「追加」をクリックします。複製イベントのタイプと時刻が表示されます。

7. イベントを追加または除去し、スケジュールを完成させます。イベントのリストは、日時順に再表示されます。



表 15.

複製のタイプ開始時刻

即時 12:00 AM

1 回 10:00 AM

1 回 2:00 PM

即時 4:00 PM

1 回 8:00 PM

このスケジュールでは、最初の複製イベントは真夜中に発生し、その時刻より前に保留されていた変更がすべて更新されます。複製更新は、10:00 AM まで続行されます。10:00 AM から 2:00 PM までに行われた更新は、2:00 PM まで複製するのを待機します。2:00 PM から 4:00 PM までに行われた更新は、4:00 PM にスケジュールされた複製イベントを待機します。その後、次にスケジュールされた 8:00PM の複製イベントまで、複製更新は続行されます。8:00 PM 以降に行われた更新は、次にスケジュールされた複製イベントまで待機します。

注: 複製イベントの間隔を密にスケジュールすると、次のイベントがスケジュールされたときに前のイベントの更新が進行中の場合、複製イベントが失われることがあります。

キューの管理このタスクにより、このサーバーが使用する複製合意 (キュー) ごとに複製の状況をモニターできます。

ナビゲーション領域で「複製管理」カテゴリーを展開し、「キューの管理」をクリックします。

キューを管理する対象となるレプリカを選択します。

v レプリカの状況に応じて、「中断/再開」をクリックして複製を中止または開始できます。


v 「複製の強制」をクリックすると、次の複製がいつスケジュールされているかに無関係に、すべての保留変更が複製されます。

v レプリカのキューの詳細については、「キューの詳細」をクリックします。この選択項目からキューを管理することもできます。

v 「再表示」をクリックすると、キューが更新され、サーバー・メッセージがクリアされます。

キューの詳細「キューの詳細」をクリックすると、以下の 3 つのタブが表示されます。

v ステータス

v 最終試行の詳細

v 変更の保留

「ステータス」タブには、レプリカ名、そのサブツリー、その状況、および複製時間のレコードが表示されます。このパネルで「再開」をクリックすると、複製を中断または再開できます。「再表示」をクリックするとキュー情報が更新されます。

「最終試行の詳細」タブには、最後の更新試行に関する情報が表示されます。項目をロードできない場合は、「ブロッキング項目のスキップ」を押し、次の保留中の項目から複製を継続します。「再表示」をクリックするとキュー情報が更新されます。

「変更の保留」タブには、レプリカに対するすべての保留変更が表示されます。複製がブロックされる場合は、「すべてスキップ」をクリックすると、保留変更をすべて削除できます。「再表示」をクリックすると、保留変更のリストが更新され、処理済みの新規の更新が反映されます。

注: ブロックしている変更をスキップした場合は、必ず最終的にコンシューマー・サーバーを更新する必要があります。詳細については、 345ページの『ldapdiff』を参照してください。

複製を管理するためのコマンド行でのタスク

サブツリーのサプライヤー DN およびパスワードの指定特定のサブツリーのサプライヤー DN およびパスワードを指定できます。これを行うには、レプリカおよびマスターに以下の情報が必要です。

サブツリーのレプリカを作成するには、マスターとレプリカの間にレプリカ合意を作成する必要があります ( 157ページの『複製合意』を参照)。この合意は、マスターとレプリカの両方にロードする必要があります。2 つのサーバーは、マスターがレプリカへのサプライヤーであり、レプリカがマスターのコンシューマーであるという関係になっています。

1. マスターが存在するマシンで合意情報を格納するファイル (例:

mysupplierinfofile) を作成します。ここで、mysupplierinfofile の内容は以下のとおりです。

#Replication data on the master:

dn: o=IBM,c=US

第 12 章複製 197

objectclass: organization

dn: ou=Test,o=IBM,c=USobjectclass: organizationalunitobjectclass: ibm-replicationContextaclentry: access-id:CN=this:object:a:normal:rwsc:sensitive:rwsc:critical:rwscentryowner: access-id:CN=this

dn: ibm-replicaGroup=default, ou=Test,o=IBM,c=USobjectclass: topobjectclass: ibm-replicaGroupibm-replicaGroup: default

dn: cn=replica1 BindCredentials, cn=localhostobjectclass: ibm-replicationCredentialsSimplecn: replica1 BindCredentialsreplicaBindDN: cn=s1replicaCredentials: s1description: Bindmethod of master to replica1

dn: ibm-replicaServerId=<master-uuid>,ibm-replicaGroup=default,ou=Test,o=IBM,c=US

#master uuid is whatever the server ID is set to in your ibmslapd.conf#on the master.objectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <master-uuid>ibm-replicationServerIsMaster: truecn: masterdescription: master server

dn: cn=replica1,ibm-replicaServerId=<master-uuid>,ibm-replicaGroup=default,ou=Test,o=IBM,c=US

objectclass: topobjectclass: ibm-replicationAgreementcn: replica1ibm-replicaConsumerId: <replica1-uuid>#<replica1-uuid> is whatever the server ID is set to in your#replica ibmslapd.conf file.ibm-replicaUrl: ldap://<replica1hostname:replica1port>ibm-replicaCredentialsDN: cn=replica1 BindCredentials, cn=localhostdescription: replica server number one



ldif2db -r no -i <mysupplierinfofile>





6. レプリカが実行中の場合は停止します。


dn: cn=Master Server, cn=configurationcn: Master Serveribm-slapdMasterDN: cn=masteribm-slapdMasterPW: <masterserverpassword>ibm-slapdMasterReferral: ldap://<masterhostname:masterport>objectclass: ibm-slapdReplication


dn: cn=Supplier s1, cn=configurationcn: Supplier s1ibm-slapdMasterDN: cn=s1ibm-slapdMasterPW: s1ibm-slapdReplicaSubtree: ou=Test, o=IBM, c=USobjectclass: ibm-slapdSupplier




10. master および replica1 を始動します。

複製構成情報の表示検索を使用して、複製アクティビティーに関連する大量の情報を利用できます。特定の複製されたサブツリーに関連する複製トポロジー情報を参照するには、ベースをサブツリーの DN に設定し、フィルターを (objectclass=ibm-replicaGroup) に設定した 1 レベル検索を行って、トポロジー情報のベースであるサブエントリーを検索できます。Web 管理インターフェースでこの複製コンテキストを作成した場合は、項目の名前は ibm-replicaGroup=default です。

ldapsearch -D <adminDN> -w <adminPW> -b <suffixentryDN> (objectclass=*)

戻されるオブジェクトにはレプリカ・グループ自体が含まれるほか、以下のものが含まれます。

v このコンテキスト内でデータを複製する各サーバーのobjectclass=ibm-replicaSubentry のオブジェクト。レプリカ・サブエントリーには、サーバー ID 属性およびサーバーの役割 (ibm-replicationServerIsMaster)

が示されます。

v レプリカ・サブエントリーごとに、レプリカ・サブエントリーによって記述されたサーバーから複製更新を受信する各コンシューマー・サーバーの複製合意オブジェクトがあります。各複製合意には以下の情報があります。

– ibm-replicaConsumerId: コンシューマー・サーバーのサーバー ID。

– ibm-replicaURL: コンシューマー・サーバーの LDAP URL。

– ibm-replicaCredentialsDN: コンシューマーへのバインドに使用する信任状を含む項目の DN。

合意は以下を含む場合もあります。

– ibm-replicaScheduleDN: 複製更新がこのコンシューマーに送信される時点を決定するスケジュール項目の DN。スケジュールが指定されていない場合は、複製はデフォルトで「即時」モードになります。

– ibm-replicationOnHold: このコンシューマーへの複製が中断されているかどうかを示すブール値。

– ibm-replicationExcludedCapability: この属性の値は、コンシューマーがサポートしていない機能の OID をリストします。これらの機能に関連した操作は、このコンシューマーに送信された更新から除外されます。

第 12 章複製 199

複製状況のモニターさらに、検索時に明示的に要求した場合に、複製状況情報を提供する多くの操作可能な属性があります。これらの属性の中の 1 つは、複製されたサブツリーのベースの項目 (ibm-replicationContext オブジェクト・クラスが追加された項目) に関連付けられます。その項目のベース検索を行う場合は、ibm-replicationIsQuiesced属性を戻すように要求します。この属性は、サブツリーが静止しているかどうかを示すブール値です。サブツリーが静止している場合は、クライアント更新は不可能です (複製サプライヤーからの更新のみが受け入れられます)。サブツリーの静止に使用できる拡張操作については、 303ページの『ldapexop』を参照してください。

状況関連の操作可能な残りの属性は、すべて複製合意オブジェクトに関連するものです。これらの属性は、検索時に明示的に要求された場合にのみ戻されます。使用可能な属性は以下のとおりです。

v ibm-replicationLastActivationTime: このサプライヤーとコンシューマーの間の最後の複製セッションが開始された時刻。

v ibm-replicationLastFinishTime: このサプライヤーとコンシューマーの間の最後の複製セッションが完了した時刻。

v ibm-replicationLastChangeId: このコンシューマーに送信された最後の更新の変更 ID。

v ibm-replicationLastGlobalChangeId: このコンシューマーに送信されたグローバル項目に対する最後の更新の変更 ID。グローバル項目は、cn=schema やcn=pwdpolicy など、DIT の内容全体に適用されるものです。

v ibm-replicationState: このコンシューマーとの複製の現在の状態。値は以下のとおりです。

Active コンシューマーに更新をアクティブ送信中 (おそらくエラーのために再試行中)。

Ready 即時複製モード。発生時に更新を送信可能。

Waiting次にスケジュールされた複製時刻を待機中。

Bindingコンシューマーへのバインド処理中。

Connectingコンシューマーへの接続処理中。

OnHoldこの複製合意が中断または「保留」されている。

v ibm-replicationLastResult このコンシューマーに対する最後に試行された更新の結果。形式は以下のとおりです。

<time stamp> <change id> <result code> <operation> <entry DN>

v ibm-replicationLastResultAdditional: 最後の更新についてコンシューマーから戻された追加のエラー情報。

v ibm-replicationPendingChangeCount: このコンシューマーに複製するためにキューに入れられた更新の数。

v ibm-replicationPendingChanges: この属性のそれぞれの値は、以下の形式で保留変更の 1 つに関する情報を提供します。


<change id> <operation> <entry DN>

この属性を要求すると、多くの値が戻される場合があります。この属性を要求する前に変更カウントを検査してください。

v ibm-replicationChangeLDIF: LDIF で最後に失敗した更新の詳細。

ゲートウェイ・サーバーの作成

新規のゲートウェイ・サーバーの作成

注: ゲートウェイ・サーバーを作成したら、新規の複製合意を作成して、新しいトポロジーを反映させる必要があります。詳細については、 157ページの『複製合意』を参照してください。

新規のレプリカ・コンテキスト、レプリカ・グループ、およびレプリカ・サブエントリーを DIT に作成します。レプリカのサブエントリーには、ibm-replicaSubentry

オブジェクト・クラスと ibm-replicaGateway 補助オブジェクト・クラスを格納する必要があります。ibm-replicaSubentry オブジェクト・クラスと ibm-replicaGateway

補助オブジェクト・クラスは、次の例では太字になっています。

dn: o=sandboxobjectclass: topobjectclass: organizationobjectclass: ibm-replicationContext

dn: ibm-replicagroup=default,o=sandboxobjectclass: topobjectclass: ibm-replicaGroupibm-replicagrpoup: default

dn: ibm-replicaServerId=<serverid>,ibm-replicagroup=default,o=sandboxobjectclass: topobjectclass: ibm-replicaSubentryobjectclass: ibm-replicaGatewayibm-replicaServerId:<serverid>ibm-replicationServerIsMaster: TRUEcn: <servername>

ここで、<servername> はサーバーの名前、<serverid> はサーバーの最初の始動時に割り当てられる 37 文字のストリングです。サーバー ID は、コマンド・プロンプトに以下のコマンドを入力すると表示されます。

ldapsearch -b "" -s base objectclass=*

既存のピア・サーバーからゲートウェイ・サーバーへの変換

注: ゲートウェイ・サーバーを作成したら、不必要な複製合意をキャンセルし、新規の複製合意を作成して、新しいトポロジーを反映させる必要があります。複製合意の詳細については、「 IBM Directory Server 管理ガイドバージョン5.1」を参照してください。

ピア・サーバーをゲートウェイ・サーバーに変換する前に、サブツリーが静止状態であり、保留中の変更がないことを確認します。次の例では、ゲートウェイ・サーバーとして構成されていないレプリカのサブエントリーを示します。

第 12 章複製 201

dn: o=sandboxobjectclass: topobjectclass: organizationobjectclass: ibm-replicationContext

dn: ibm-replicagroup=default,o=sandboxobjectclass: topobjectclass: ibm-replicaGroupibm-replicagrpoup: default

dn: ibm-replicaServerId=<serverid>,ibm-replicagroup=default,o=sandboxobjectclass: topobjectclass: ibm-replicaSubentryibm-replicaServerId: <serverid>ibm-replicationServerIsMaster: TRUEcn: <servername>

このピア・サーバーをゲートウェイ・サーバーに変換するには、DIT の目的のレプリカ・サブエントリーに ibm-replicaGateway 補助オブジェクト・クラスを追加します。 ibm-replicaGateway 補助オブジェクト・クラスは、次の例では太字になっています。

dn: ibm-replicaServerId=<serverid>,ibm-replicagroup=default,o=sandboxchangetype: modifyadd: objectclassobjectclass: ibm-replicaGateway

ここで、<servername> はサーバーの名前、<serverid> はサーバーの最初の始動時に割り当てられる 37 文字のストリングです。サーバー ID は、コマンド・プロンプトに以下のコマンドを入力すると表示されます。

ldapsearch -b "" -s base objectclass=*


第 13 章ロギング・ユーティリティー

IBM Tivoli Directory Server バージョン 5.2 で提供されているロギング・ユーティリティーは、Web 管理ツールまたはシステム・コマンド行のいずれでも表示できます。

注:

1. Web 管理ツールでは、タスク・タイトル・バーの「ログ・ファイル」フィールドから Web 管理コンソール・ログ・ファイルにアクセスします。IBM Tivoli

Directory Server のログ・ファイルにアクセスするには、以下のセクションに示す手順を使用します。

2. Windows ベースのシステムでは、パスがドライブ名およびコロンで開始する場合は、絶対パスとします。ドライブ名のないパスはインストール・ツリーから開始します。例えば、c:¥tmp¥mylog は絶対パスであり、¥tmp¥mylog はc:¥program files¥ibm¥ldap¥tmp¥mylog と解釈されます。

管理者または管理グループのメンバーのみがログ情報の表示またはアクセスを実行できます。

エラー・ログの変更エラー・ログ (ibmslapd.log) は、デフォルトで使用可能であり、以下の方法でエラー・ログ設定を変更できます。

1. ナビゲーション領域で「サーバー管理」を展開し、「ログ」をクリックし、「エラー・ログ設定の変更」をクリックします。

2. エラー・ログのパスとファイル名を入力します。パスが有効なことを確認してください。ファイルが存在しない場合は作成されます。エラー・ログは、ライン・プリンターなどファイル以外の場所に送信することもできます。

注: 受け入れ可能なファイル名でないファイルを指定した場合 (構文が無効な場合や、ファイルの作成や変更を行う権限がサーバーにない場合など)、操作はエラー「LDAP サーバーは操作の実行を望んでいません」で失敗します。

3. エラー・ログ記録のレベルとして、「低 (low)」、「中 (medium)」、または「高(high)」を選択します。

v 「低」を選択すると、最低限のエラー情報が記録されます。

Mar 29 11:03:23 2002 IBM Directory, Version 5.2slapd started.

v 「中」を選択すると、中程度のエラー情報が記録されます。

Mar 29 11:07:51 2002 Configuration read securePort 636.Mar 29 11:07:51 2002 Plugin of type PREOPERATION is successfully

loaded from libDSP.dll.Mar 29 11:07:51 2002 Plugin of type DATABASE is successfully loaded from

C:¥Program Files¥IBM¥LDAP/bin/libback-rdbm.dll.Mar 29 11:08:11 2002 Non-SSL port initialized to 389.Mar 29 11:08:12 2002 IBM Directory, Version 5.2slapd started.

v 「高」を選択すると、最も詳細なエラー情報が記録されます。


Mar 29 11:04:05 2002 Configuration read securePort 636.Mar 29 11:04:05 2002 Configuration read cipher specifications

mask to be 12288.Mar 29 11:04:05 2002 Plugin of type PREOPERATION is successfully

loaded from libDSP.dll.Mar 29 11:04:05 2002 Plugin of type DATABASE is successfully loaded from

C:¥Program Files¥IBM¥LDAP/bin/libback-rdbm.dllMar 29 11:04:24 2002 Configuration file successfully read.Mar 29 11:04:24 2002 Non-SSL port initialized to 389.Mar 29 11:04:25 2002 IBM Directory, Version 5.2slapd started.

4. 変更を適用する場合は「OK」をクリックします。変更を行わずに IBM Tivoli

Directory Server Web 管理の「ようこそ」パネルに戻る場合は「キャンセル」をクリックします。

5. 「OK」をクリックし、IBM Tivoli Directory Server Web 管理の「ようこそ」パネルに戻ります。

コマンド行の使用以下のコマンドを発行します。

ldapmodify -D <adminDN <-w >adminPW> -i <filename>


dn: cn=Configurationchangetype: modifyreplace: ibm-slapdErrorLogibm-slapdErrorLog: <newpathname>-replace: ibm-slapdSysLogLevelibm-slapdSysLogLevel: {l | m | h}




エラー・ログの表示エラー・ログを表示するには、以下の手順を使用します。

Web 管理の使用1. ナビゲーション領域で「ログ」を展開し、「エラー・ログの表示」をクリックします。

2. パネルにはエラー・ログの先頭ページが表示されます。パネルの下部にあるナビゲーション矢印を使用すると、「次へ」ページまたは「前へ」ページに移動できます。メニューから特定のページ (16 ページの 6 など) を選択し、「実行」をクリックしてエラー・ログの該当するページを表示します。

以下を実行できます。

v 「再表示」をクリックして、ログの項目を更新します。


v 「ログのクリア」をクリックすると、管理デーモンのエラー・ログ内の項目をすべて削除できます。

v 「閉じる」をクリックし、IBM Tivoli Directory Server Web 管理の「ようこそ」パネルに戻ります。

コマンド行の使用エラー・ログを表示するには、以下のコマンドを発行します。

more /var/ldap/ibmslapd.log

ここで、var/ldap/ibmslapd.log は、エラー・ログです。

注: var/ldap/ibmslapd.log は UNIX システムのデフォルトのエラー・ログであり、installpath¥var¥ibmslapd.log は Windows システムのデフォルトのエラー・ログです。

エラー・ログを動的に表示してクリアするには、以下のコマンドを発行します。

ldapexop -D cn=root -w root -op readlog -log slapd -lines allldapexop -D cn=root -w root -op clearlog -log slapd

監査ログ監査ログは、ディレクトリー・サーバーのセキュリティーを高めるために使用されます。サーバーには、デフォルトの監査プラグインが提供されています。このプラグインは、サーバーが処理した各 LDAP 操作ごとに、監査項目をデフォルトまたは指定された監査ログに記録します (ログの記録先は、監査構成パラメーターで決まります)。セキュリティー違反の検出を行う場合、システム管理者は、監査ログに保管されたアクティビティーを参照し、疑わしいパターンの活動がないかどうかを確認します。セキュリティー違反が発生した場合、監査ログを使用すると、問題がいつどのようにして起きたのかを特定できます。また、監査ログから、受けた損害の程度がわかることもあります。この情報は、違反からリカバリーする際に非常に役立ちますが、将来の問題に備えてより強力なセキュリティー対策を立てる際にも役立つことがあります。監査プラグインを独自に作成して、デフォルトの監査プラグインと置き換えたり、デフォルトの監査プラグインにより多くの機能を追加したりすることもできます。

デフォルトでは、監査ログは使用不可です。

注: 管理グループのメンバーは監査ログと設定を表示できますが、これらを変更することはできません。監査ログ・ファイルのアクセス、変更、または消去が可能なのは、ルート管理者のみです。

監査ログの使用可能化と監査ログ設定の変更監査ログ記録を使用可能にするには、以下の手順を実行します。

1. ナビゲーション領域の「ログ」を展開して、「監査ログ設定の変更」をクリックします。

2. 監査ログ・ユーティリティーを使用するには、「監査ログ記録を使用可能にする」を選択します。

第 13 章ロギング・ユーティリティー 205

3. 使用する監査バージョンを選択します。バージョン 1 では、監査ログを解析するすべてのアプリケーションに対して、前回の監査のロギング機能を保守します。バージョン 2 を使用すると、拡張操作のログが可能になりますが、監査ログを解析する既存のアプリケーションの変更が必要な場合があります。

4. 選択した操作の「失敗した操作のみ」をログに記録するか、「すべての項目」をログに記録するかを選択します。

5. 監査ログの「パスおよびファイル名」を入力します。監査ログは、ライン・プリンターなどファイル以外の場所に送信することもできます。

6. ログに記録する操作を選択します。ログに記録できるさまざまな操作の追加情報については、フィールドのヘルプを参照してください。

v バインド (Bind) - サーバーへの接続を記録します。

v アンバインド (Unbind) - サーバーからの切断を記録します。

v 検索 (Search) - クライアントによって実行される LDAP 検索操作を記録します。

v 追加 (Add) - LDAP への追加を記録します。

v 変更 (Modify) - LDAP に対する変更を記録します。

v 削除 (Delete) - LDAP からの削除を記録します。

v RDN 変更 (Modify RDN) - RDN に対する変更を記録します。

v イベント通知 (Event notification) - イベント通知を記録します。

v 拡張操作 (Extended operation)- サーバーに対して実行される拡張操作を記録します。

注: 監査バージョン 1 を選択した場合は、「拡張操作」を選択してもこの機能は活動化しません。拡張操作の監査ログ機能を動作させるには、監査バージョン 2 を選択する必要があります。






dn: cn=audit, cn=localhostchangetype: modifyreplace: ibm-auditibm-audit: true

-replace: ibm-auditaddibm-auditadd: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace: ibm-auditbindibm-auditbind: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace: ibm-auditdeleteibm-auditdelete: {TRUE|FALSE}


-replace: ibm-auditextopeventibm-auditextopevent: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace: ibm-auditfailedoponlyibm-auditfailedoponly: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace: ibm-auditlogibm-auditlog: <newpathname>-replace: ibm-auditmodifyibm-auditmodify: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace: ibm-auditmodifydnibm-auditmodifydn: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace: ibm-auditsearchibm-auditsearch: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace: ibm-auditunbindibm-auditunbind: {TRUE|FALSE}#select TRUE to enable, FALSE to disable-replace: ibm-auditversionibm-auditversion: {1|2}#select 2, if you are enabling audit for extended operations-replace: ibm-auditExtOpibm-auditExtOp: {TRUE|FALSE}#select TRUE to enable, FALSE to disable

注: 構成専用モードで監査ログを使用している場合は、指定される DN は dn:

cn=audit, cn=configuration です。サーバーを通常のモードで始動した場合は、この DN に対する変更は dn: cn=audit, cn=localhost 値で上書きされます。

監査ログを使用不可にする監査ログ記録を使用不可にするには、以下の手順を実行します。

Web 管理の使用1. ナビゲーション領域の「ログ」を展開して、「監査ログ設定の変更」をクリックします。

2. 「監査ログ記録を使用可能にする」を選択解除します。







dn: cn=audit, cn=localhostchangetype: modifyreplace: ibm-auditibm-audit: flase

注: 構成専用モードで監査ログを使用している場合は、指定される DN は dn:

cn=audit, cn=configuration です。サーバーを通常のモードで始動した場合は、この DN に対する変更は dn: cn=audit, cn=localhost 値で上書きされます。

監査ログの表示監査ログには、ログ項目が日時順に表示されます。非メッセージ項目にはそれぞれ一般情報ヘッダーが含まれ、その後に操作固有のデータが続きます。例を以下に示します。

2000-03-23-16:01:01.345-06:00--V3 Bind--bindDN:cn=root--client:9.1.2.3:12345--

ConnectionID:12--received:2000-03-23-16:01:01.330-06:00--success

name: cn=rootauthenticationChoice: simple

監査バージョンがバージョン 2 である場合、ヘッダーには「AuditV2--」が含まれます。

AuditV2--2003-07-22-09:39:54.421-06:00DST--V3 Bind--bindDN: cn=root--client: 127.0.0.1:8196--connectionID: 3--received: 2003-07-22-09:39:54.421-06:00DST--Success

ヘッダーの形式は以下のとおりです。

タイム・スタンプ 1 ″--″項目をログに記録したときの現地時間 (要求が処理された時刻)。タイム・スタンプの形式は、YYYY-MM-DD-HH:MM:SS.mmm=(または -)HH:MM です。=(または -)HH:MM は UTC オフセットです。mmm はミリ秒です。

バージョン番号 +[SSL]+[unauthenticated または anonymous] 操作 ″--″受信して処理された LDAP 要求を示します。バージョン番号は、V2 か V3

です。SSL は、接続で SSL が使用されたときにのみ表示されます。要求が非認証クライアントからのものである場合は unauthenticated、無名クライアントからのものである場合は anonymous が表示されます。要求が認証済みクライアントからのものである場合は、unauthenticated も anonymous も表示されません。

bindDN:バインド DN を示します。V3 の非認証要求や匿名要求の場合、このフィールドは <*CN=NULLDN*> になります。

client: クライアント IP アドレス: ポート番号 ″--″クライアント IP アドレスとポート番号を示します。

ConnectionID: xxxx ″--″同じ接続で (バインドとアンバインド間で) 受信されるすべての項目をグループ化するために使用されます。

received: タイム・スタンプ 2 ″--″要求を受信したときの現地時間。厳密に言えば、要求の処理が開始された時刻です。形式はタイム・スタンプ 1 と同じです。


結果またはステータス・ストリングLDAP 操作の結果またはステータスを示します。結果ストリングの場合は、テキスト形式の LDAP resultCode が記録されます。例えば、0 や 1 ではなく、success や operationsError が記録されます。

操作固有のデータは、ヘッダーに続いて以下のように表示されます。

v バインド操作

name: Y249bWFuYWdlcg0KauthenticationChoice: simple

v 追加操作

entry: cn=Jim Brown, ou=sales,o=ibm_us,c=usattributes: objectclass, cn, sn, telphonenumber

v 削除操作

entry: cn=Jim Brown, ou=sales,o=ibm_us,c=us

v 変更操作

object: cn=Jim Brown, ou=sales,o=ibm_us,c=usadd: maildelete: telephonenumber

監査ログを表示するには、以下の手順を使用します。

Web 管理の使用監査ログを表示するには、以下の手順を実行します。

1. ナビゲーション領域の「ログ」を展開して、「監査ログの表示」をクリックします。

2. パネルには監査ログの先頭ページが表示されます。パネルの下部にあるナビゲーション矢印を使用すると、「次へ」ページまたは「前へ」ページに移動できます。メニューから特定のページ (16 ページの 6 など) を選択し、「実行」をクリックして監査ログの該当するページを表示します。



v 「ログのクリア」をクリックすると、監査ログ内の項目がすべて削除されます。


コマンド行の使用エラー・ログを表示するには、以下のコマンドを発行します。

more /var/ldap/audit.log

ここで、/var/ldap/audit.log は、エラー・ログです。

注: /var/ldap/audit.log は UNIX システムのデフォルト監査ログであり、installpath¥var¥audit.log は Windows システムのデフォルトの監査ログです。

監査ログを動的に表示してクリアするには、以下のコマンドを発行します。


ldapexop -D cn=root -w root -op readlog -log audit -lines allldapexop -D cn=root -w root -op clearlog -log audit

DB2 エラー・ログ

DB2 エラー・ログ設定の変更1. ナビゲーション領域の「ログ」を展開して、「DB2 ログ設定の変更」をクリックします。

2. エラー・ログのパスとファイル名を入力します。通常、これは /var/ldap ディレクトリーに存在する db2cli.log ファイルです。パスが有効なことを確認してください。ファイルが存在しない場合は作成されます。

注: var/ldap/db2cli.log は UNIX システムのデフォルト DB2 エラー・ログであり、installpath¥var¥db2cli.log は Windows システムのデフォルトDB2 エラー・ログです。



4. 「OK」をクリックし、IBM Tivoli Directory Server Web 管理の「ようこそ」パネルに戻ります。




dn: cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationchangetype: modifyreplace: ibm-slapdCLIErrorsibm-slapdCLIErrors: <newpathname>


ldapexop -D cn=root -w root -op readconfig -scope single"cn=Directory,cn=RDBM Backends,cn=IBM Directory,cn=Schemas,cn=Configuration"ibm-slapdCLIErrors


DB2 エラー・ログの表示DB2 エラー・ログを表示するには、以下の手順を使用します。

Web 管理の使用1. ナビゲーション領域で「ログ」を展開し、「DB2 ログの表示」をクリックします。

2. パネルには DB2 ログの先頭ページが表示されます。パネルの下部にあるナビゲーション矢印を使用すると、次のページまたは前のページに移動できます。メニ


ューから特定のページ (6/16 ページなど) を選択し、「実行」をクリックすると、 DB2 ログのそのページを表示できます。



v 「ログのクリア」をクリックすると、 DB2 エラー・ログ内の項目がすべて削除されます。


コマンド行の使用DB2 エラー・ログを表示するには、以下のコマンドを発行します。

more /var/ldap/db2cli.log

ここで、var/ldap/db2cli.log は、DB2 エラー・ログです。

注: var/ldap/db2cli.log は UNIX システムのデフォルト DB2 エラー・ログであり、installpath¥var¥db2cli.log は Windows システムのデフォルト DB2 エラー・ログです。

DB2 エラー・ログを動的に表示してクリアするには、以下のコマンドを発行します。

ldapexop -D cn=root -w root -op readlog -log cli -lines allldapexop -D cn=root -w root -op clearlog -log cli

bulkload エラー・ログ記録

bulkload エラー・ログ設定の変更1. ナビゲーション領域の「ログ」を展開して、「bulkload ログ設定の変更」をクリックします。

2. エラー・ログのパスとファイル名を入力します。通常、これは var/ldap ディレクトリーに存在する bulkload.log ファイルです。LDAP サーバー上にこのファイルが存在していることと、パスが有効であることを確認します。

注: var/ldap/bulkload.log は UNIX システムのデフォルトの bulkload エラー・ログであり、installpath¥var¥bulkload.log は Windows システムのデフォルトの bulkload エラー・ログです。



4. 「OK」をクリックすると、サーバーを再始動する必要があるというメッセージが表示されます。「OK」をクリックし、IBM Tivoli Directory Server Web 管理の「ようこそ」パネルに戻ります。





dn: cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configurationchangetype: modifyreplace: ibm-slapdBulkloadErrorsibm-slapdBulkloadErrors: <newpathname>


ldapexop -D cn=root -w root -op readconfig -scope single"cn=Directory,cn=RDBM Backends,cn=IBM Directory,cn=Schemas,cn=Configuration"ibm-slapdBulkloadErrors


bulkload エラー・ログの表示bulkload エラー・ログを表示するには、以下の手順を使用します。

Web 管理の使用1. ナビゲーション領域で「ログ」を展開し、「bulkload ログの表示」をクリックします。

2. パネルには bulkload ログの先頭ページが表示されます。パネルの下部にあるナビゲーション矢印を使用すると、「次へ」ページまたは「前へ」ページに移動できます。メニューから特定のページ (6/16 ページなど) を選択し、「実行」をクリックして bulkload ログの該当するページを表示します。



v 「ログのクリア」をクリックすると、bulkload ログ内の項目をすべて削除できます。


コマンド行の使用bulkload エラー・ログを表示するには、以下のコマンドを発行します。

more /var/ldap/bulkload.log

ここで、var/ldap/bulkload.log は、bulkload エラー・ログです。

注: var/ldap/bulkload.log は UNIX システムのデフォルトのエラー・ログであり、installpath¥var¥bulkload.log は Windows システムのデフォルトのbulkload エラー・ログです。

bulkload エラー・ログを動的に表示してクリアするには、以下のコマンドを発行します。

ldapexop -D cn=root -w root -op readlog -log bulkload -lines allldapexop -D cn=root -w root -op clearlog -log bulkload


管理デーモン・エラー・ログ

管理デーモン・エラー・ログ設定の変更1. ナビゲーション領域の「ログ」を展開して、「管理デーモン・ログ設定の変更」をクリックします。

2. 管理デーモン・エラー・ログのパスおよびファイル名を入力します。通常、これは var/ldap/ ディレクトリーに存在する ibmdiradm.log ファイルです。LDAP サーバー上にこのファイルが存在していることと、パスが有効であることを確認します。

注: var/ldap/ibmdiradm.log は UNIX システムのデフォルトの管理デーモン・エラー・ログであり、installpath¥var¥ibmdiradm.log は Windows システムのデフォルトの管理デーモン・エラー・ログです。




5. 変更した内容を有効にするには、サーバーを停止する必要があります。 26ページの『サーバーの始動と停止』を参照してください。サーバーを停止したら、管理デーモンをローカル・マシン上で停止および始動して、ポートを再同期化する必要があります。

v UNIX システムの場合:


ibmdiradm

v Windows システムの場合

a. 「コントロールパネル」の「サービス」ウィンドウを開きます。

b. 「Directory Admin Daemon」をクリックします。

c. 「アクション」->「停止」をクリックします。

サーバーを再始動します。


ldapmodify -D <adminDN> -w >adminPW> -i <filename>


dn: cn=Admin, cn=Configurationchangetype: modifyreplace: ibm-slapdErrorLogibm-slapdErrorLog: <newpathname>

変更した内容を有効にするには、サーバーを停止する必要があります。サーバーを停止したら、管理デーモンをローカル・マシン上で停止および始動して、ポートを再同期化する必要があります。サーバーを始動します。


ibmdirctl -D <AdminDN> -w <AdminPW> -p 389 stop

ibmdirctl -D <AdminDN> -w <AdminPW> admstop

ibmdiradm

ibmdirctl -D <AdminDN> -w <AdminPW> start

管理デーモン・エラー・ログの表示管理デーモンエラー・ログを表示するには、以下の手順を使用します。

Web 管理の使用1. ナビゲーション領域で「ログ」を展開し、「管理デーモン・ログの表示」をクリックします。

2. パネルには管理デーモン・エラー・ログの先頭ページが表示されます。パネルの下部にあるナビゲーション矢印を使用すると、「次へ」または「前へ」ページを移動できます。メニューから特定のページ (6/16 ページなど) を選択し、「実行」をクリックして管理デーモン・エラー・ログの該当するページを表示します。



v 「ログのクリア」をクリックすると、管理デーモンのログ内の項目をすべて削除できます。


コマンド行の使用管理デーモン・エラー・ログを表示するには、以下のコマンドを実行します。

more /var/ldap/ibmdiradm.log

ここで、var/ldap/ibmdiradm.log は、Web 管理エラー・ログです。

注: var/ldap/ibmdiradm.log は UNIX システムのデフォルトの Web 管理エラー・ログであり、installpath¥var¥ibmdiradm.log は Windows システムのデフォルトの Web 管理エラー・ログです。

Web 管理エラー・ログを動的に表示してクリアするには、以下のコマンドを実行します。

ldapexop -D >adminDN> -w >adminPW> -op readlog -log ibmdiradm -lines allldapexop -D >adminDN> -w >adminPW> -op clearlog -log ibmdiradm

管理デーモン監査ログ

注: 管理グループのメンバーは管理デーモン監査ログと設定を表示できますが、これらを変更することはできません。管理デーモン監査ログ・ファイルのアクセス、変更、または消去が可能なのは、ルート管理者のみです。


管理デーモン監査ログの使用可能化と管理監査ログ設定の変更1. ナビゲーション領域の「ログ」を展開して、「管理デーモン監査ログ設定の変更」をクリックします。

2. 管理デーモンで監査ログ・ユーティリティーを使用するには、「管理デーモン監査ログの使用可能化」を選択します。

注: デフォルトの設定は使用可能です。以前に管理デーモン監査ログを使用不可にしてある場合は、チェック・ボックスを選択するだけで済みます。

3. 管理デーモン監査ログのパスおよびファイル名を入力します。通常、これはvar/ldap/ ディレクトリーに存在する adminAudit.log ファイルです。LDAP サーバー上にこのファイルが存在していることと、パスが有効であることを確認します。

注: var/ldap/adminAudit.log は UNIX システムのデフォルトの管理デーモン監査ログであり、installpath¥var¥adminAudit.log は Windows システムのデフォルトの管理デーモン監査ログです。




6. 変更した内容を有効にするには、サーバーを停止する必要があります。 26ページの『サーバーの始動と停止』を参照してください。サーバーを停止したら、管理デーモンをローカル・マシン上で停止および始動して、ポートを再同期化する必要があります。

v UNIX システムの場合:


ibmdiradm


a. 「コントロールパネル」の「サービス」ウィンドウを開きます。

b. 「Directory Admin Daemon」をクリックします。

c. 「アクション」->「停止」をクリックします。

d. 「Directory Admin Daemon」をクリックします。

e. 「アクション」->「開始」をクリックします。

サーバーを再始動します。




dn: cn=Admin Audit, cn=Configurationchangetype: modifyreplace: ibm-audit


ibm-audit: true-replace: ibm-auditLogibm-auditLog: <newpathname>

変更した内容を有効にするには、サーバーを停止する必要があります。サーバーを停止したら、管理デーモンをローカル・マシン上で停止および始動して、ポートを再同期化する必要があります。サーバーを再始動します。

ibmdirctl -D <AdminDN> -w <adminPW> -p 389 stop

ibmdirctl -D <AdminDN> -w <adminPW> admstop

ibmdiradm

ibmdirctl -D <AdminDN> -w <adminPW> start

管理デーモン監査ログの使用不可化監査ログ記録を使用不可にするには、以下の手順を実行します。

Web 管理の使用1. ナビゲーション領域の「ログ」を展開して、「管理デーモン監査ログ設定の変更」をクリックします。

2. 「管理デーモン監査ログの使用可能化」の選択を解除します。






cn=Admin Audit, cn=Configurationchangetype: modifyreplace: ibm-auditibm-audit: flase

注: 構成専用モードで管理デーモン監査ログを使用している場合、指定される DN

は dn: cn=audit, cn=configuration です。サーバーを通常のモードで始動した場合は、この DN に対する変更は dn: cn=audit, cn=localhost 値で上書きされます。

管理デーモン監査ログの表示管理デーモン監査ログを表示するには、以下の手順を使用します。

Web 管理の使用1. ナビゲーション領域で「ログ」を展開し、「管理デーモン監査ログの表示」をクリックします。

2. パネルには管理デーモン監査ログの先頭ページが表示されます。パネルの下部にあるナビゲーション矢印を使用すると、「次へ」または「前へ」ページを移動で


きます。メニューから特定のページ (6/16 ページなど) を選択し、「実行」をクリックして管理デーモン監査ログの該当するページを表示します。



v 「ログのクリア」をクリックすると、管理デーモン監査ログ内の項目がすべて削除されます。


コマンド行の使用管理デーモン監査ログを表示するには、以下のコマンドを実行します。

more /var/ldap/adminAudit.log

ここで var/ldap/adminAudit.log は、管理デーモン監査ログです。

注: var/ldap/adminAudit.log は UNIX システムのデフォルトの管理デーモン監査ログであり、installpath¥var¥adminAudit.log は Windows システムのデフォルトの管理デーモン監査ログです。

管理デーモン監査ログの表示および消去を動的に実行するには、以下のコマンドを発行します。

ldapexop -D <adminDN> -w <adminPW> -op readlog -log adminAudit -lines allldapexop -D <adminDN> -w <adminPW> -op clearlog -log adminAudit



第 3 部ディレクトリー管理



第 14 章ディレクトリー項目の処理

Web 管理ツールのナビゲーション領域の「ディレクトリー管理」カテゴリーを展開します。「項目の管理」を選択すると、実行するすべてのディレクトリー項目タスクにアクセスできます。項目の追加および項目の検索の特定のタスクには、ナビゲーション領域に 2 つのショートカットが追加されています。

ディレクトリー項目に対しては、以下の操作を実行できます。

v ディレクトリー・ツリーのブラウズ

v 項目の追加または作成

v 項目への補助オブジェクト・クラスの追加または削除

v 項目の属性の編集

v 項目のコピー

v ACL の編集

v 項目の検索

ツリーのブラウズナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開してから、「項目の管理」をクリックします。個々のサブツリーを展開すると、作業する項目を選択できます。実行する操作は、右側のツールバーから選択できます。

項目の追加ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開します。

1. 「項目の追加」をクリックします。

2. リスト・ボックスから構造化オブジェクト・クラスを 1 つ選択します。

3. 「次へ」をクリックします。

4. 使用する補助オブジェクト・クラスを「使用可能 (Available)」ボックスから選択して、「追加」をクリックします。追加する補助オブジェクト・クラスごとにこのプロセスを繰り返します。補助オブジェクト・クラスを選択して、「除去」をクリックすることで、「選択済み」ボックスから補助オブジェクト・クラスを削除することもできます。


6. 追加する項目の相対識別名 (RDN) を「相対 DN」フィールドに入力します(cn=John Doe など)。

7. 選択したツリー項目の識別名を「親 DN」フィールドに入力します (ou=Austin,

o=IBM など)。「ブラウズ」をクリックして、リストから「親 DN」を選択することもできます。選択を展開して、サブツリーの下位にある他の選択項目を表示することもできます。必要な「親 DN」を指定するには、選択項目を指定し


て、「選択」をクリックします。デフォルトでは、「親 DN」には、ツリー内で選択されている項目が設定されます。

注: このタスクを「項目の管理」パネルから開始した場合、このフィールドは事前に入力されています。「親 DN」を選択してから、「追加」をクリックして項目の追加プロセスを開始します。

8. 「必須属性」タブで、必須属性の値を入力します。

9. 特定の属性に複数の値を追加する場合は、「複数値」をクリックしてから、値を 1 つずつ追加します。複数の値を追加したら、「OK」をクリックします。これらの値は、属性の下に表示されるメニューに追加されます。

10. サーバーによって言語タグが使用可能になっている場合は、「言語タグ値」をクリックして、言語タグ記述子を追加または除去できます。詳細については、『言語タグ』を参照してください。

11. 「他の属性」をクリックします。

12. 「他の属性」タブで、他の属性の値を必要に応じて入力します。バイナリー値の追加の詳細については、 228ページの『バイナリー属性』を参照してください。


14. サーバーによって言語タグが使用可能になっている場合は、「言語タグ値」をクリックして、言語タグ記述子を追加または除去できます。詳細については、『言語タグ』を参照してください。

15. 「OK」をクリックすると、項目が作成されます。

16. 「ACL」ボタンをクリックし、この項目のアクセス制御リストを変更します。ACL の詳細については、 245ページの『ACL の処理』を参照してください。

17. 少なくとも必須フィールドへの入力が完了した後で、新しい項目を追加する場合は「追加」をクリックし、ディレクトリーへの変更を行わずに「ツリーのブラウズ」に戻るには「キャンセル」をクリックします。

言語タグ

注: 言語タグを適切に機能させるには、データベースを UTF-8 データベースとして構成する必要があります。

言語タグという用語は、自然言語コードとディレクトリー内に格納されている値とをディレクトリーが関連付けるためお仕組みや、自然言語の特定の要件に合致する値をクライアントがディレクトリーで照会できるようにする仕組みと定義されています。言語タグは、属性記述子のコンポーネントです。言語タグは、接頭辞 lang-を持ち、英字の基本サブタグと、ハイフン (-) でつながれたサブタグが続く場合もあります。後置のサブタグには、任意の英数字を組み合わせることができます。英字にする必要があるのは、先頭の基本サブタグのみです。サブタグの長さは自由ですが、タグ全体の長さが 240 文字を超えることはできません。言語タグは大文字と小文字を区別しません。例えば、en-us、en-US、EN-US は同一とみなされます。言語タグを DN または RDN のコンポーネントに組み込むことはできません。属性記述子当たりに許可される言語タグは 1 つのみです。


注: 属性ごとに、言語タグは固有属性と相互に排他的です。特定の属性を固有属性として指定した場合、その属性に言語タグを関連付けることはできません。

ディレクトリーにデータを追加するときに言語タグを含めれば、検索操作の際にその言語タグを使用して、特定の言語の属性値を選択的に検索できます。要求された検索属性リスト内で属性記述子に言語タグを指定すれば、ディレクトリー項目の属性値のうち、指定されたのと同じ言語タグを持つものだけが戻されます。したがって、以下のような検索を実行した場合、

ldapsearch -b "o=ibm,c=us" (objectclass=organization) description;lang-en

サーバーは属性「discription;lang-en」の値を戻しますが、属性「description」または「description;lang-fr」の値は戻しません。

言語コードなしで属性を指定して要求を行った場合は、すべての属性値がその言語コードとは無関係に戻されます。

属性タイプと言語タグは、セミコロン (;) 文字で分離されています。

注: RFC2252 では、AttributeType の「NAME」パートにセミコロン文字を使用することが許されています。しかし、この文字は AtrributeType と言語タグを分離するために使用されるため、現在 AttributeType の「NAME」パートで使用することは許されていません (draft-ietf-ldapbis-models-07.txt を参照)。

例えば、クライアントが「description」属性を要求し、一致する項目に以下の内容が含まれていた場合、

objectclass: topobjectclass: organizationo: Software GmbHdescription: softwaredescription;lang-en: software productsdescription;lang-de: SoftwareproduktepostalAddress: Berlin 8001 GermanypostalAddress;lang-de: Berlin 8001 Deutschland

サーバーは、以下の内容を戻します。

description: softwaredescription;lang-en: software productsdescription;lang-de: Softwareprodukte

検索で「description;lang-de」属性を要求した場合、サーバーは以下の内容を戻します。

description;lang-de: Softwareprodukte

これにより、マルチリンガル・データを含むディレクトリーが使用可能になり、各種の言語で動作するクライアントがサポートされます。インプリメントが正しく行われていれば、ドイツ語クライアントには lang-de 属性として入力されたデータのみが表示され、フランス語クライアントには lang-fr 属性として入力されたデータのみが表示されます。

言語タグ機能が使用可能であるかどうかを確認するには、属性「ibm-enabledCapabilities」を指定してルート DSE 検索を発行します。

ldapsearch -b "" -s base objectclass=* ibm-enabledCapabilities

OID「1.3.6.1.4.1.4203.1.5.4」が戻された場合は、言語タグ機能は使用可能です。

第 14 章ディレクトリー項目の処理 223

言語タグ・サポートが使用可能でない場合は、言語タグを属性に関連付ける LDAP

操作が拒否され、以下のエラー・メッセージが表示されます。

unrecognized attribute

言語タグ付き属性を含む項目の作成言語タグ付き属性を含む項目を作成するには、以下のいずれかの方法を使用します。

Web 管理の使用「項目の管理」->「属性の編集」、または「項目の追加」-> 「構造化オブジェクト・クラスの選択 (Select structural object class)」->「補助オブジェクト・クラスの選択」-> 「属性の入力」から、以下の手順を実行します。

1. 言語タグを作成する属性を選択します。

2. 「言語タグ値」ボタンをクリックして、「言語タグ値」パネルを表示します。

3. 「言語タグ」フィールドで、作成する言語タグの名前を入力します。タグは必ずサフィックス lang- を先頭にする必要があります。

4. 「値」フィールドにタグの値を入力します。

5. 「追加」をクリックします。言語タグとその値がメニュー・リストに表示されます。

6. 言語タグをさらに作成したり、属性の現在の言語タグを変更するには、手順3、4、および 5 を繰り返します。必要な言語タグを作成したら、「OK」をクリックします。

7. 「言語タグ付きで表示」メニューを展開し、言語タグを選択します。「表示の変更」をクリックすると、その言語タグに対して入力した属性値が表示されます。この表示画面で追加または変更した値は、選択した言語タグにのみ適用されます。


コマンド行の使用cn 属性と関連付けられた言語タグを持つ項目を追加するには、以下のコマンドを発行します。

ldapadd -D <adminDN> -w <adminPW> -i <filename>


dn: cn=Mark Anthony, o=IBM, c=USobjectclass: personcn: Mark Anthonycn;lang-spanish: Mark Antoniosn: Anthony

言語タグ付き属性を含む項目の変更。: 言語タグ付き属性を含む項目を変更するには、以下のコマンドを発行します。



dn: cn=Mark Anthony, o=IBM, c=USchangetype: modifyadd: sn;lang-spanish


sn;lang-spanish: Antonio-replace: cn;spanishcn;spanish: Marco Antonio-delete: cn;spanish

このコマンドにより、属性記述子と値のペア「sn;lang-spanish=Antonio」が項目に追加されます。このコマンドは「cn;spanish」の値を置換し、「cn;spanish」とその値を削除します。

注: 「cn;spanish」の値を置換および削除しても、属性記述子と値のペア「cn=Mark

Anthony」には影響はありません。

言語タグ付き属性を含む項目の検索以下のコマンドを発行すると、

ldapsearch -b "o=ibm,c=us" "cn=Mark Anthony" sn

以下の結果が戻されます。

cn=Mark Anthony,o=IBM,c=USsn=Anthonysn;lang-spanish=Antonio

注: 出力には ″sn″ のすべてのバージョンが表示されます。

以下のコマンドを発行すると、

ldapsearch -b "o=ibm,c=us" "cn=Mark Anthony" sn;lang-spanish

以下の結果が戻されます。

cn=Mark Anthony,o=IBM,c=USsn;lang-spanish=Antonio

注: 出力には ″sn;lang-spanish″ のみが表示されます。

以下のコマンドを発行すると、

ldapsearch -b "o=ibm,c=us" "sn;lang-spanish=Antonio"

以下の項目全体が戻されます。

cn=Mark Anthony,o=IBM,c=USobjectclass=personobjectclass=topcn=Mark Anthonysn=Anthonysn;lang-spanish=Antonio

言語タグ記述子の項目からの除去言語タグ記述子のフォームおよび項目を除去するには、以下のいずれかの方法を使用します。

Web 管理の使用「項目の管理」->「属性の編集」、または「項目の追加」-> 「構造化オブジェクト・クラスの選択 (Select structural object class)」->「補助オブジェクト・クラスの選択」-> 「属性の入力」から、以下の手順を実行します。


1. 言語タグを除去する属性を選択します。

2. 「言語タグ値」ボタンをクリックして、「言語タグ値」パネルを表示します。

3. 「言語タグ」フィールドで、除去する言語タグをクリックします。

4. 「除去」をクリックします。言語タグとその値がメニュー・リストから除去されます。

5. 除去の対象となる言語タグごとに、手順 3 および 4 を繰り返します。





dn: cn=Mark Anthony, o=IBM, c=USchangetype: modifydelete:sn;lang-spanish: Antonio

これにより、値 ″Antonio″ を持つ属性 sn;lang-spanish が項目から除去されます。

項目全体を削除するには、『項目の削除』を参照してください。

項目の削除

注: コンソールにログインした際、Web 管理ツールでは、ログオンしている項目の削除が許可されません。例えば、ユーザーcn=John Doe,ou=mylocale,o=mycompany,c=mycountry としてログオンした場合、項目 cn=John Doe をそのツリーから削除しようとすると、エラー・メッセージが表示されます。 John Doe 項目を削除するには、別のユーザーとしてログオンする必要があります。

ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開してから、「項目の管理」をクリックします。さまざまなサブツリーを展開し、操作するサブツリー、サフィックス、または項目を選択できます。右側のツールバーから「削除」をクリックします。

v 削除を確認するプロンプトが出されます。「OK」をクリックします。

v 項目が項目から削除され、項目のリストに戻ります。

項目の変更ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開してから、「項目の管理」をクリックします。個々のサブツリーを展開すると、作業する項目を選択できます。右側のツールバーから「属性の編集」をクリックします。

1. 「必須属性」タブで、必須属性の値を入力します。バイナリー値の追加の詳細については、 228ページの『バイナリー属性』を参照してください。



3. サーバーによって言語タグが使用可能になっている場合は、「言語タグ値」をクリックして、言語タグ記述子を追加または除去できます。詳細については、222ページの『言語タグ』を参照してください。


5. 「他の属性」タブで、他の属性の値を必要に応じて入力します。



8. 「メンバーシップ」をクリックします。

9. グループを作成した場合は、「メンバーシップ」タブで以下の手順を実行します。

v 「使用可能グループ」からグループを選択して「追加」をクリックし、その項目を選択した「静的グループのメンバーシップ」のメンバーにします。

v 「静的グループのメンバーシップ」からグループを選択して「除去」をクリックし、選択したグループから項目を除去します。

10. 項目がグループ項目の場合は、「メンバー」タブが使用可能です。「メンバー」タブには、選択したグループのメンバーが表示されます。このグループのメンバーの追加および除去が可能です。

v メンバーをグループに追加するには、以下を行います。

a. 「必須属性」タブの「メンバー」属性フィールドの近くにある「複数値」をクリックするか、「メンバー」タブの「メンバー」属性フィールドの近くにある「メンバー」をクリックします。

b. 「メンバー」フィールドに、追加する項目の DN を入力します。

c. 「追加」をクリックします。

d. 「OK」をクリックします。

v グループからメンバーを除去するには、以下を行います。

a. 「必須属性」タブまたは「他の属性」タブの「メンバー」属性フィールドの近くにある「複数値」をクリックするか、「メンバー」タブで「メンバー」をクリックします。

b. 除去する項目を選択します。

c. 「除去」をクリックします。

d. 「OK」をクリックします。

v 「現在のメンバー」リストを再表示するには、「メンバー」タブで「更新」をクリックします。

11. 「OK」をクリックすると、項目が変更されます。


バイナリー属性属性がバイナリー・データを必要とする場合は、「バイナリー・データ」ボタンが属性フィールドの横に表示されます。属性にデータが含まれていない場合は、フィールドはブランクです。バイナリー属性は表示できないため、属性がバイナリー・データを含む場合は、フィールドに「バイナリー・データ 1」と表示されます。属性に複数の値が含まれる場合は、ドロップダウン・リスト形式でフィールドが表示されます。

バイナリー属性を処理するには、「バイナリー・データ」ボタンをクリックします。

バイナリー・データをインポート、エクスポート、または削除することができます。

属性にバイナリー・データを追加するには、以下の手順を実行します。

1. 「バイナリー・データ」ボタンをクリックします。

2. 「インポート」をクリックします。

3. 該当するファイルのパス名を入力するか、「ブラウズ」をクリックして、バイナリー・ファイルを検索して選択します。

4. 「ファイルの実行依頼」をクリックします。「ファイルがアップロードされました」というメッセージが表示されます。

5. 「閉じる」をクリックします。「バイナリー・データ項目」の下に「バイナリー・データ 1」が表示されます。

6. 追加するバイナリー・ファイルの数だけインポート・プロセスを繰り返します。以降の項目は、「バイナリー・データ 2」、「バイナリー・データ 3」などとしてリストされます。

7. バイナリー・データの追加が完了したら、「OK」をクリックします。

バイナリー・データをエクスポートするには、以下の手順を実行します。


2. 「エクスポート」をクリックします。

3. 「ダウンロードするバイナリー・データ」リンクをクリックします。

4. バイナリー・ファイルを表示、または新しい場所に保存するには、ウィザードの指示に従います。

5. 「閉じる」をクリックします。

6. エクスポートするバイナリー・ファイルの数だけエクスポート・プロセスを繰り返します。

7. データのエクスポートが完了したら、「OK」をクリックします。

バイナリー・データを削除するには、以下の手順を実行します。


2. 削除するバイナリー・データ・ファイルにチェックマークを付けます。複数のファイルを選択できます。



4. 削除を確認するプロンプトが出されたら、「OK」をクリックします。削除のマークが付けられたバイナリー・データがリストから除去されます。

5. データの削除が完了したら、「OK」をクリックします。

注: バイナリー属性は検索できません。

項目のコピーこの機能は、類似した項目を作成する場合に役に立ちます。コピーは、元の項目の属性をすべて継承します。新しい項目に名前を付けるには、いくつかの変更を行う必要があります。

ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開してから、「項目の管理」をクリックします。個々のサブツリーを展開すると、作業する項目 John Doe などを選択できます。右側のツールバーから「コピー」をクリックします。

v 「DN」フィールドの RDN 項目を変更します。例えば、cn=John Doe を cn=Jim

Smith に変更します。

v 「必須属性」タブで、cn 項目を新しい RDN に変更します。この例では Jim

Smith です。

v 必要に応じて、他の必須属性を変更します。この例では、sn 属性を Doe からSmith に変更します。

v 必要な変更が完了したら、「OK」をクリックすると、新しい項目が作成されます。

v 新しい項目 Jim Smith が項目リストの下部に追加されます。

注: この手順は、項目の属性のみをコピーします。元の項目のグループ・メンバーシップは、新しい項目にはコピーされません。メンバーシップを追加するには、「属性の編集」機能を使用します。

アクセス制御リストの編集Web 管理ツール・ユーティリティーを使用して ACL プロパティーを表示させたりACL を処理したりするには、 245ページの『ACL の処理』を参照してください。


補助オブジェクト・クラスの追加ディレクトリー・ツリー内の既存の項目に補助オブジェクト・クラスを追加するには、ツールバーの「補助クラスの追加」ボタンを使用します。補助オブジェクト・クラスは、追加先の項目に補足的な属性を提供します。

ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開してから、「項目の管理」をクリックします。個々のサブツリーを展開すると、作業する項目 John Doe などを選択できます。右側のツールバーから「補助クラスの追加」をクリックします。


1. 使用する補助オブジェクト・クラスを「使用可能 (Available)」ボックスから選択して、「追加」をクリックします。追加する補助オブジェクト・クラスごとにこのプロセスを繰り返します。補助オブジェクト・クラスを選択して、「除去」をクリックすることで、「選択済み」ボックスから補助オブジェクト・クラスを削除することもできます。





6. 「他の属性」タブで、他の属性の値を必要に応じて入力します。



9. 「メンバーシップ」をクリックします。

10. グループを作成した場合は、「メンバーシップ」タブで以下の手順を実行します。

v 「使用可能グループ」からグループを選択して「追加」をクリックし、その項目を選択した「静的グループのメンバーシップ」のメンバーにします。


11. 「OK」をクリックすると、項目が変更されます。

補助クラスの削除補助クラスの追加プロシージャーで補助クラスを削除できますが、項目から単一の補助クラスを削除する場合は、補助クラスの削除機能を使用する方が便利です。ただし、項目から複数の補助クラスを削除する場合は、補助クラスの追加プロシージャーを使用する方が便利な場合があります。

1. ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開してから、「項目の管理」をクリックします。個々のサブツリーを展開すると、作業する項目 John Doe などを選択できます。右側のツールバーから「補助クラスの削除」をクリックします。

2. 補助クラスのリストから削除する補助クラスを選択して、「OK」をクリックします。


4. 補助クラスが項目から削除され、項目のリストに戻ります。

削除する補助クラスごとにこのステップを繰り返します。


グループ・メンバーシップの変更ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開します。

1. 「項目の管理」をクリックします。

2. ディレクトリー・ツリーからユーザーを選択し、ツールバー・ツリーの「属性の編集」アイコンをクリックします。

3. 「メンバーシップ」タブをクリックします。

4. ユーザーのメンバーシップを変更するには、以下の手順を実行します。「メンバーシップの変更」パネルには、ユーザーを追加できる「使用可能グループ」および項目の「静的グループのメンバーシップ」が表示されます。

v 「使用可能グループ」からグループを選択して「追加」をクリックし、その項目を選択したグループのメンバーにします。


5. 変更を保管する場合は「OK」をクリックします。変更を保管せずに前のパネルに戻る場合は「キャンセル」をクリックします。

ディレクトリー項目の検索ディレクトリー・ツリーの検索には、3 つのオプションがあります。

v 事前に定義した一連の検索基準を使用する簡易検索

v ユーザーが定義した一連の検索基準を使用する拡張検索

v 手動検索

これらのオプションを利用するには、ナビゲーション領域の「ディレクトリー管理」カテゴリーを展開して、「項目の検索」をクリックします。以下のタブのいずれかを選択します。

注: バイナリー項目 (passwords など) は検索できません。

検索フィルター以下の検索タイプのいずれかを選択します。

簡易検索簡易検索では、以下に示すデフォルトの検索基準が使用されます。

v 基本 DN: すべてのサフィックス

v 検索スコープ: サブツリー

v 検索サイズ: 無制限

v 時間制限: 無制限

v 別名参照解除: しない

v 追跡参照: 選択解除 (オフ)

簡易検索を実行するには、以下の手順を実行します。

1. 「検索フィルター」タブで、「簡易」をクリックします。

2. ドロップダウン・リストからオブジェクト・クラスを選択します。


3. サーバーによって言語タグが使用可能になっている場合は、言語タグを指定できます。詳細については、 222ページの『言語タグ』を参照してください。

4. 選択した項目タイプの特定の属性を選択します。特定の属性を検索する場合は、ドロップダウン・リストから属性を選択し、「等しい」ボックスにその属性値を入力します。属性を指定しないと、検索は、選択した項目タイプのディレクトリー項目をすべて戻します。

拡張検索拡張検索では、検索の制約を指定できるとともに、検索フィルターも使用できます。デフォルトの検索基準を適用する場合は、簡易検索を使用してください。

v 拡張検索を実行するには、以下の手順を実行します。

1. 「検索フィルター」タブで、「拡張」をクリックします。

2. ドロップダウン・リストから「属性」を選択します。

3. サーバーによって言語タグが使用可能になっている場合は、言語タグを指定できます。詳細については、 222ページの『言語タグ』を参照してください。

4. 「比較」演算子を選択します。

– = 属性と値が等しい。

– ! 属性と値が等しくない。

– < 属性が値より小か等しい。

– > 属性が値より大か等しい。

– ~ 属性と値がほぼ等しい。

5. 比較する値を入力します。

6. 複雑な照会を行う場合は、「検索演算子」ボタンを使用します。

– すでに 1 つ以上の検索フィルターを追加している場合は、追加の基準を指定して、「AND」をクリックします。AND コマンドを実行すると、両方の検索基準に合致した項目が戻されます。

– すでに 1 つ以上の検索フィルターを追加している場合は、追加の基準を指定して、「OR」をクリックします。OR コマンドを実行すると、どちらかの検索基準に合致した項目が戻されます。

7. 拡張検索に検索フィルター基準を追加するには、「追加」をクリックします。

8. 検索に使用するフィルターごとにチェック・ボックスを選択します。

9. 「オプション」タブのいずれかのデフォルト設定を変更します。 233ページの『オプション』を参照してください。

10. 「OK」をクリックして、検索を開始します。

11. 検索結果を表示したら、「OK」をクリックして、「項目の検索」パネルに戻ります。

注: 検索フィルターを除去するには、以下の手順に従います。

– 除去するフィルターごとにチェック・ボックスを選択します。

– 拡張検索からフィルター基準を除去するには、「削除」をクリックします。


– 検索フィルターをすべてクリアするには、「リセット」をクリックします。

手動検索この方法を使用して、検索フィルターを作成します。例えば、名字を検索するには、フィールドに sn=* と入力します。複数の属性を検索する場合は、検索フィルター構文を使用する必要があります。例えば、特定の部門の名字を検索するには、以下のように入力します。

(&(sn=*)(dept=<departmentname>))

オプション「オプション」タブで以下の手順を実行します。

v 検索ベース - サフィックス内のみで検索する場合は、ドロップダウン・リストからそのサフィックスを選択します。


ツリー全体を検索する場合は、「すべてのサフィックス」を選択することもできます。

v 検索スコープ

– 選択したオブジェクトの中だけで検索する場合は、「オブジェクト」を選択します。

– 選択したオブジェクトの直接の子の中だけで検索する場合は、「単一レベル」を選択します。

– 選択した項目のすべての子孫を検索する場合は、「サブツリー」を選択します。

v 検索サイズ上限 - 検索する項目の最大数を入力します。「無制限」を選択することもできます。

v 検索時間制限 - 検索の最大時間数 (秒) を入力します。「無制限」を選択することもできます。

v ドロップダウン・リストから「別名の参照解除」のタイプを選択します。

– しない: 選択した項目が別名の場合、その項目は検索で参照解除されません。つまり、検索では、その別名への参照は無視されます。

– 検出 - 選択した項目が別名の場合、検索では別名が参照解除され、その別名のロケーションから検索されます。

– 検索 - 選択した項目は参照解除されませんが、検索で検出された項目は参照解除されます。

– 常時 - 検索で検出された別名は、すべて参照解除されます。

v 検索で参照が戻された場合、別のサーバーへの参照を追跡するには、「追跡参照」チェック・ボックスを選択します。参照により別のサーバーへの検索が指示される場合、そのサーバーへの接続には現在の信任状が使用されます。無名でログインしている場合は、認証済みの DN を使用して、サーバーにログインしなければならない場合があります。


参照サーバーで項目が検出された場合、「検索結果」パネルには、項目の DN のみが表示されます。「オブジェクト・クラス」や「変更されたタイム・スタンプ(modified timestamp)」などのその他の列は表示されません。参照項目に対して「ACL の編集」、「削除」、「補助の追加 (Add auxiliary)」、または「補助の削除 (Delete auxiliary)」などの操作を実行することはできません。

ログインの詳細については、 25ページの『Web 管理ツールへのログオン』を参照してください。参照の詳細については、 68ページの『参照の作成および除去』を参照してください。

検索の詳細については、 55ページの『検索の設定』を参照してください。


第 15 章アクセス制御リスト

以下のセクションでは、アクセス制御リスト (ACL) とその管理方法について説明します。

概要アクセス制御リスト (ACL) を使用すると、LDAP ディレクトリーに保管された情報を保護することができます。管理者は ACL を使用して、ディレクトリーのさまざまな部分へのアクセスや、特定のディレクトリー項目へのアクセスを制限します。LDAP のディレクトリー項目は、階層ツリー構造によって相互に関連しています。各ディレクトリー項目 (またはオブジェクト) には、一連の属性やそれに対応する値のみではなく、オブジェクトの識別名も含まれています。

アクセス制御モデルでは、次の 2 つの属性セットが定義されます。

v entryOwner 情報

v アクセス制御情報 (ACI)

ACI 情報と entryOwner 情報は、LDAP モデルに従って、属性 - 値ペアの形式で表現されます。LDIF 構文を使用すると、これらの値を管理できます。

EntryOwner 情報entryOwner 情報は、どのサブジェクトが ACI を定義できるのかを制御します。entryOwner は、ターゲット・オブジェクトへのフル・アクセス権も獲得します。項目の所有権を定義する属性は、以下のとおりです。

v entryOwner - 項目の所有者を明示的に定義します。

v ownerPropagate - アクセス権セットをサブツリー子孫項目に伝搬させるかどうかを指定します。

項目の所有者は、aclEntry に関係なく、オブジェクトに対してすべての操作を実行できる完全な許可を持っています。また、項目の所有者は、そのオブジェクトのaclEntry を管理することが許された唯一の存在です。EntryOwner はアクセス制御サブジェクトであり、個人、グループ、または役割として定義できます。

注: デフォルトでは、ディレクトリー管理者および管理グループのメンバーは、ディレクトリー内のすべてのオブジェクトの entryOwner であり、このentryOwnership は、どのオブジェクトからも除去できません。

アクセス制御情報ACI には、特定の LDAP オブジェクトに所定の操作を実行するための、サブジェクトの許可が定義されます。

フィルターに処理されていない ACLこの種の ACL は、この ACL を含むディレクトリー項目に明示的に適用されます。このディレクトリー項目には ACL が格納されていますが、ACL はまったく伝


搬しない場合も、すべての子孫項目に伝搬する場合もあります。フィルターに処理されていない ACL のデフォルトの振る舞いは、伝搬することです。フィルターに処理されていない ACL を定義する属性は以下のとおりです。

v aclEntry - アクセス権セットを定義します。

v aclPropagate - アクセス権セットをサブツリー子孫項目に伝搬させるかどうかを指定します。

フィルターに処理された ACLフィルター・ベースの ACL は、宛先オブジェクトと適用される有効なアクセスを突き合わせるために、指定されたオブジェクト・フィルターを使用して、フィルター・ベースの比較を行うという点で異なります。

これらは同じ機能を実行しますが、2 種類の ACL の振る舞いは大幅に異なります。フィルター・ベース ACL は、非フィルター・ベース ACL が現在行っているのと同じ方法では伝搬しません。フィルター・ベースの ACL は本質的に、関連するサブツリーで比較が一致したオブジェクトに伝搬します。このような理由から、aclPropagate 属性 (フィルターに掛けられていない ACL の伝搬の停止に使用します) は新しいフィルター・ベースの ACL には適用されません。

フィルター・ベースの ACL のデフォルト動作では、最下位の収容項目から、祖先項目チェーンを上に向かって、DIT の最上位の収容項目まで累算します。有効なアクセスは、構成する祖先項目によって付与または否認されたアクセス権の共用体として計算されます。この動作には例外があります。サブツリー複製機能との互換性のために、また管理制御を強化するために、上限属性を使用して、上限属性が含まれる項目での累算が停止されます。

一連の独立したアクセス制御属性は、フィルター・ベースの特性を既存の非フィルター・ベースの ACL にマージするのではなく、フィルター・ベースの ACL をサポートすることに主眼を置いています。属性は、以下のとおりです。



ibm-filterAclEntry 属性は、オブジェクト・フィルター・コンポーネントを追加することにより、aclEntry と同じ形式になります。関連する上限属性は、ibm-filterAclInherit です。デフォルトでは true に設定されています。false に設定すると、累算を終了します。

アクセス制御属性の構文これらの各属性は、LDIF 表記を使用して管理できます。新しいフィルター・ベースACL 属性の構文は、現在の非フィルター・ベース ACL 属性の変更バージョンです。バッカス正規形式 (BNF) を使用した ACI 属性および entryOwner 属性の構文の定義を以下に示します。

<aclEntry> ::= <subject> [ ":" <rights> ]

<aclPropagate> ::= "true" | "false"

<ibm-filterAclEntry> ::= <subject> ":" <object filter> [ ":" <rights> ]

<ibm-filterAclInherit> ::= "true" | "false"


<entryOwner> ::= <subject>

<ownerPropagate> ::= "true" | "false"

<subject> ::= <subjectDnType> ’:’ <subjectDn> |<pseudoDn>

<subjectDnType> ::= "role" | "group" | "access-id"

<subjectDn> ::= <DN>

<DN> ::= distinguished name as described in RFC 2251, section 4.1.3.

<pseudoDn> ::= "group:cn=anybody" | "group:cn=authenticated" |"access-id:cn=this"

<object filter> ::= string search filter as defined in RFC 2254, section 4(extensible matching is not supported).

<rights> ::= <accessList> [":" <rights> ]

<accessList> ::= <objectAccess> | <attributeAccess> |<attributeClassAccess>

<objectAccess> ::= "object:" [<action> ":"] <objectPermissions>

<action> ::= "grant" | "deny"

<objectPermisssions> ::= <objectPermission> [ <objectPermissions> ]

<objectPermission> ::= "a" | "d" | ""

<attributeAccess> ::= "at." <attributeName> ":" [<action> ":"]<attributePermissions>

<attributeName> ::= attributeType name as described in RFC 2251, section 4.1.4.(OID or alpha-numeric string with leadingalphabet, "-" and ";" allowed)

<attributePermissions> ::= <attributePermission>[<attributePermissions>]

<attributePermission> ::= "r" | "w" | "s" | "c" | ""

<attributeClassAccess> ::= <class> ":" [<action> ":"]<attributePermissions>

<class> ::= "normal" | "sensitive" | "critical" | "system" | "restricted"

サブジェクトサブジェクト (オブジェクトを操作するためのアクセスを要求しているエンティティー) は、DN (識別名) タイプと DN の組み合わせで構成されます。有効な DN

タイプは、アクセス ID (access ID)、グループ (Group)、および役割 (Role) です。

DN は、特定のアクセス ID、役割、またはグループを識別します。例えば、サブジェクトは ″access-id: cn=personA, o=IBM or group: cn=deptXYZ, o=IBM″ のようになります。

フィールドの区切り文字はコロン (:) です。したがって、DN にコロンが含まれている場合は、二重引用符 (“”) で囲む必要があります。DN に二重引用符を使用した文字が含まれている場合は、バックスラッシュまたは円記号 (¥) を使用して、該当する文字をエスケープする必要があります。

第 15 章アクセス制御リスト 237

ディレクトリー・グループはすべて、アクセス制御で使用できます。

注: AccessGroup、GroupOfNames、GroupofUniqueNames、groupOfURLs の各構造化オブジェクト・クラス、または ibm-dynamicGroup、ibm-staticGroup の補助オブジェクト・クラスはアクセス制御に使用できます。

アクセス制御モデル内で使用されるもう 1 つの DN タイプは、役割です。役割とグループは、インプリメンテーション上はよく似ていますが、概念的には異なります。ユーザーに役割を割り当てるときは、その役割に関連するジョブの実行に必要な権限が設定済みであるという暗黙の了解があります。グループ・メンバーシップでは、そのグループのメンバーになることで得られる (または禁止される) 許可についての前提条件は組み込まれていません。

役割とグループは、ディレクトリー内でオブジェクトにより表現されるという点では同じです。役割には、さらに DN のグループも含まれています。アクセス制御で使用する役割は、AccessRole のオブジェクト・クラスを持っている必要があります。

疑似 DN疑似 DN は、アクセス制御の定義および評価で使用されます。 LDAP/DB2 ディレクトリーには、いくつかの疑似 DN が含まれています (″group:cn=Anybody″ や″access-id:cn=this″ など)。これらの疑似 DN は、実行される操作または操作が実行されているオブジェクトのいずれかに関して、共通の特性を共用する多数の DN を参照するために使用されます。

LDAP バージョン 3 では、以下の 3 つの疑似 DN がサポートされます。

access-id:cn=thisACL の一部として指定されると、この DN は操作が実行される DN と同じ bindDN を参照します。例えば、オブジェクト ″cn=personA, ou=IBM,

c=US″ に対して操作が実行され、bindDn が ″cn=personA, ou=IBM, c=US″の場合、与えられる許可は、″cn=this″ に与えられる許可と ″cn=personA,

ou=IBM, c=US″ に与えられる許可の組み合わせとなります。

group:cn=anybodyACL の一部として指定されると、この DN は、認証されていないユーザーも含めて、すべてのユーザーを参照します。このグループからユーザーを除去することはできません。また、データベースからこのグループを除去することもできません。

group: cn=Authenticatedこの DN は、ディレクトリーによって認証された DN を参照します。認証の方式は考慮されません。

注: ″cn=Authenticated″ は、DN を表すオブジェクトがどこにあるかにかかわらず、サーバーの任意の場所で認証された DN を参照します。ただし、これを使用する際には注意が必要です。例えば、1 つのサフィックスの下で ″cn=Secret″ は ″cn=Confidential Material″ と呼ばれるノードとなって、″group:cn=Authenticated:normal:rsc″ の aclentry を持つことができます。別のサフィックスの下では、″cn=Common″ をノード


″cn=Public Material″ にすることができます。これらの 2 つのツリーが同じサーバー上にある場合、″cn=Public Material″ へのバインドは認証済みと見なされ、 ″cn= Confidential Material″ オブジェクト上の標準クラスに対する許可が取得されます。

疑似 DN の例疑似 DN の例をいくつか以下に示します。

例 1 オブジェクト cn=personA, c=US AclEntry に対して、以下の ACL を考えてみましょう。

access-id: cn = this:critical:rwscAclEntry: group: cn=Anybody: normal:rscAclEntry: group: cn=Authenticated: sensitive:rcs

表 16.

ユーザー・バインド受け取る内容

cn=personA, c=US normal:rsc:sensitive:rcs:critical:rwsc

cn=personB, c=US normal:rsc:sensitive:rsc

NULL (認証されていない)

normal:rsc

この例で personA が受け取るのは、″cn=this″ ID に与えられた許可、および ″cn=Anybody″ 疑似 DN グループと ″cn=Authenticated″ 疑似 DN グループの両方に与えられた許可です。

例 2 オブジェクト cn=personA, c=US AclEntry に対して、以下の ACL を考えてみましょう。access-id:cn=personA, c=US: object:ad

AclEntry: access-id: cn = this:critical:rwscAclEntry: group: cn=Anybody: normal:rscAclEntry: group: cn=Authenticated: sensitive:rcs

cn=personA, c=US に対して操作を実行すると、以下のようになります。

表 17.

ユーザー・バインド受け取る内容

cn=personA, c=US object:ad:critical:rwsc

cn=personB, c=US normal:rsc:sensitive:rsc

NULL (認証されていない)

normal:rsc

この例で personA が受け取るのは、″cn=this″ ID に与えられた許可、および DN 自体の ″cn=personA, c=US″ に与えられた許可です。バインド DN(″cn=personA, c=US″) に対してより具体的な AclEntry(″access-id:cn=personA, c=US″) があるため、グループ許可は与えられません。

オブジェクト・フィルターこのパラメーターは、フィルターに処理された ACL にのみ適用されます。RFC

2254 で定義されているストリング検索フィルターは、オブジェクト・フィルター形式として使用されます。ターゲット・オブジェクトは既知であるため、ストリング


は実際の検索の実行には使用されません。該当するターゲット・オブジェクトでのフィルター・ベースの比較は、ibm-filterAclEntry 値の特定のセットが適用されるかどうかを決定します。

権限アクセス権は、オブジェクト全体またはオブジェクトの属性に適用することができます。LDAP のアクセス権はそれぞれ独立しています。つまり、1 つの権限が別の権限を伴うことはありません。権限を一緒に結合すると、必要な権限のリストを提供できます。これは、後で説明する一連の規則に従っています。権限には値を指定しないこともできます。権限に値を指定しないと、ターゲット・オブジェクト上のサブジェクトにはアクセス権が付与されません。権限は、以下の 3 つの部分から構成されます。

Action:定義される値は grant または deny です。このフィールドがない場合、デフォルトは grant に設定されます。

Permission:ディレクトリー・オブジェクト上で実行できる基本操作は 6 つです。これらの操作から、ACI 許可の基本セットが処理されます。基本操作には、項目の追加、項目の削除、属性値の読み取り、属性値の書き込み、属性の検索、および属性値の比較があります。

可能な属性の許可には、読み取り (r)、書き込み (w)、検索 (s)、および比較(c) があります。また、オブジェクトの許可は、項目全体に適用されます。オブジェクトの許可には、子項目の追加 (a) と、この項目の削除 (d) があります。

以下の表は、各 LDAP 操作の実行に必要とされる許可をまとめたものです。

表 18.

操作必要な許可

ldapadd 追加 (親に対する)

ldapdelete 削除 (オブジェクトに対する)

ldapmodify 書き込み (変更中の属性に対する)

ldapsearch v 検索、読み取り (RDN 内の属性に対する)

v 検索 (検索フィルターで指定された属性に対する)

v 検索 (名前とともに戻された属性に対する)

v 検索、読み取り (値とともに戻された属性に対する)

ldapmodrdn 書き込み (RDN 属性に対する)

ldapcompare 比較 (比較対象の属性に対する)

注: 検索操作の場合、サブジェクトは、検索フィルター内のすべての属性への検索 (s) アクセス権を持っている必要があります。検索アクセス権を持っていないと、項目は戻されません。検索から戻される項目について、サブジェクトは、戻される項目の RDN のすべての属性に対して、


検索 (s) および読み取り (r) アクセス権を持っている必要があります。これらのアクセス権を持っていないと、項目は戻されません。

Access Target:これらの許可は、オブジェクト全体 (子項目の追加、項目の削除) や項目内の個々の属性に適用できます。あるいは、次に説明する属性グループ (属性アクセス・クラス) に適用できます。

同様のアクセス権を必要としている属性は、クラス内にグループ化されます。属性は、ディレクトリー・スキーマ・ファイル内の属性クラスにマッピングされます。これらのクラスは明確に区別されています。あるクラスにアクセスしても、それによって、別のクラスへのアクセスが発生することはありません。許可は、属性アクセス・クラス全体に対して設定されます。ある特定の属性クラスに設定された許可は、個々の属性アクセス権が指定されない限り、このアクセス・クラス内のすべての属性に適用されます。

IBM では、ユーザー属性へのアクセスの評価に使用する属性クラスとしてnormal、sensitive、critical、system、および restricted の 5 つを定義しています。例えば、属性 commonName は normal クラスに属し、属性userPassword は critical クラスに属します。ユーザー定義属性は、特に指定がない限り、normal アクセス・クラスに属します。

アクセス制御が適用される system クラス属性は、以下のとおりです。

v aclSource

v ibm-effectiveAcl

v ownerSource

これらは、LDAP サーバーによって保持されている属性で、ディレクトリーのユーザーおよび管理者に対しては、読み取り専用に設定されています。OwnerSource と aclSource については、『伝搬』のセクションを参照してください。

アクセス制御を定義する restricted クラス属性は、以下のとおりです。

v aclEntry

v aclPropagate

v entryOwner



v ownerPropagate

デフォルトでは、すべてのユーザーが restricted 属性への読み取りアクセス権を保有していますが、これらの属性を作成、変更、および削除できるのはentryOwners のみです。

伝搬aclEntry が配置されている項目は、明示的な aclEntry を持っている項目と見なされます。同様に、entryOwner が特定の項目に対して設定されている場合、その項目は、明示的な所有者を持っているものと見なされます。この 2 つは、互いに関連しているわけではありません。明示的な所有者を持つ項目が、明示的な aclEntryを持つとは限りませんし、明示的な aclEntry を持つ項目が、明示的な所有者を持


つこともあります。これらの値のいずれかが項目上に明示的に存在していない場合、欠落している値は、ディレクトリー・ツリー内の祖先ノードから継承されます。

明示的な aclEntry または entryOwner は、それらが設定されている項目にそれぞれ適用されます。また、値は、明示的に設定された値を持たないすべての子孫に適用できます。これらの値は伝搬されるものと見なされ、ディレクトリー・ツリーを通じて伝搬されます。特定の値の伝搬は、別の伝搬中の値が到達するまで続けられます。

注: フィルター・ベースの ACL は、非フィルター・ベースの ACL と同じ方法では伝搬しません。フィルター・ベースの ACL は、関連するサブツリーで比較が一致したオブジェクトに伝搬します。その違いの詳細については、 236ページの『フィルターに処理された ACL』を参照してください。

AclEntry と entryOwner は、伝搬値を ″false″ に指定して、特定の項目にのみ適用するように設定することができます。また、伝搬値を ″true″ に指定して、その項目およびそのサブツリーに適用するように設定することもできます。aclEntry とentryOwner はいずれも伝搬できますが、それらの伝搬はリンクされません。

aclEntry 属性と entryOwner 属性は、同じ項目内に複数の値を格納できます。ただし、伝搬属性である aclPropagate と ownerPropagate では、同じ項目内に格納できる値は 1つに限られます。

system 属性の aclSource と ownerSource には、aclEntry または entryOwnerを評価する有効なノードの DN がそれぞれ含まれています。そのようなノードが存在しない場合は、値として default が割り当てられます。

オブジェクトの有効なアクセス制御定義は、以下のロジックによって得ることができます。

v オブジェクトに明示的な一連のアクセス制御属性がある場合は、それがオブジェクトのアクセス制御定義になります。

v 明示的に定義されたアクセス制御属性がない場合は、一連の伝搬アクセス制御属性を持つ祖先ノードに達するまで、ディレクトリー・ツリーを上方向に検索します。

v そのような祖先ノードが見つからない場合は、『アクセス評価』で説明するデフォルト・アクセスがサブジェクトに与えられます。

アクセス評価特定の操作のためのアクセスが認可されるかどうかは、ターゲット・オブジェクト上でその操作を行うための、サブジェクトのバインド DN によって決まります。アクセスが決定されると、処理はただちに停止されます。

アクセスの検査は、まず、有効な entryOwnership と ACI 定義を検索し、次に、項目の所有権を検査して、最後に、オブジェクトの ACI の値を評価することで行われます。

フィルター・ベースの ACL では、最下位の収容項目から、祖先項目チェーンを上に向かって、DIT の最上位の収容項目まで累算します。有効なアクセスは、構成す


る祖先項目によって付与または否認されたアクセス権の共用体として計算されます。特定規則と結合規則の既存のセットは、フィルター・ベースの ACL の有効なアクセスを評価するために使用されます。

フィルター・ベースの属性と非フィルター・ベースの属性は、単一の収容ディレクトリー項目内では相互に排他的です。両方のタイプの属性を同じ項目に入れることはできません。制約違反になります。この条件が検出されると、ディレクトリー項目の作成または更新に関連する操作は失敗します。

有効なアクセスを計算する場合、ターゲット・オブジェクト項目の祖先チェーンで検出される最初の ACL タイプにより、計算のモードが設定されます。フィルター・ベース・モードでは、有効なアクセスを計算するときに非フィルター・ベースの ACL は無視されます。同様に、非フィルター・ベース・モードでは、有効なアクセスを計算するときにフィルター・ベースの ACL は無視されます。

有効なアクセスを計算するときに、フィルター・ベースの ACL の累算を制限するには、値を ″false″ に設定した ibm-filterAclInherit 属性を、特定のサブツリーのibm-filterAclEntry の最上位と最下位のオカレンスの間にある項目に配置します。これにより、ターゲット・オブジェクトの祖先チェーンでそれより上にあるibm-filterAclEntry 属性のサブセットが無視されます。

有効なアクセスを計算するときに、フィルター・ベースの ACL の累算を除外するには、値を ″false″ に設定した ibm-filterAclInherit 属性を、特定のサブツリーのibm-filterAclEntry の最下位のオカレンスの下にある項目に配置します。これにより、ターゲット・オブジェクトの祖先チェーンでそれより上にあるすべてのibm-filterAclEntry 属性が無視されます。結果のアクセスは、デフォルトのフィルター ACL 値に解決されます。

デフォルトでは、ディレクトリー管理者、管理者グループのメンバー、およびマスター・サーバー (複製の場合はピア・サーバー) は、ディレクトリー内のすべてのオブジェクトに対するフル・アクセス権を取得します。ただし、system 属性への書き込みアクセス権は除きます。その他の entryOwner は、system 属性への書き込みアクセスを除き、その所有権の下のオブジェクトへのアクセス権をすべて取得します。デフォルトでは、すべてのユーザーが normal、system、restricted の各属性に対する読み取りアクセス権を持っています。要求を出しているサブジェクトがentryOwnership を持っている場合、アクセス権は上記のデフォルト設定によって決定され、アクセス処理は停止されます。

要求を出しているサブジェクトが entryOwner でない場合は、オブジェクト項目のACI の値が検査されます。ACI 内で定義されている、ターゲット・オブジェクトに対するアクセス権は、特定規則と結合規則によって計算されます。

特定規則最も特定的な aclEntry 定義は、ユーザーへの許可の付与または否認を評価するときに使用される aclEntry 定義です。特定性のレベルは、以下のとおりです。

v アクセス ID は、グループまたは役割よりも特定的です。グループと役割は、同じレベルです。

v 同じ dnType レベル内では、個々の属性レベルの許可の方が、属性クラス・レベルの許可よりも特定的です。


v 同じ属性または属性クラス・レベル内では、deny の方が grant よりも特定的です。

結合規則同じ特定性を持つサブジェクトに与えられた許可は結合されます。同じ特定性のレベル内でアクセスを決定できない場合は、特定性のレベルがより低いアクセス定義が使用されます。定義済みの ACI がすべて適用されてもアクセスが決定されない場合は、アクセスが否認されます。

注: アクセス評価の際に、一致するアクセス ID レベルの aclEntry が見つかると、グループ・レベルの aclEntry は、アクセス計算に含まれません。ただし、例外として、一致するアクセス ID レベルの aclEntry がcn=this の下ですべて定義されている場合は、一致するグループ・レベルの aclEntry も、評価の際にすべて結合されます。

つまり、オブジェクト項目内において、バインド DN と同じアクセス ID サブジェクト DN が、定義済みの ACI 項目に含まれている場合、許可は、最初にそのaclEntry に基づいて評価されます。同じサブジェクト DN の下で、一致する属性レベルの許可が定義されていると、それらの許可は、属性クラスの下で定義されている許可に取って代わります。同じ属性または属性クラス・レベル定義の下で、競合する許可がある場合は、deny (否認) された許可が grant (付与) された許可をオーバーライドします。

注: ヌル値許可を定義すると、特定性のより低い許可定義は含まれなくなります。

アクセスがまだ決定できず、見つかった aclEntry のうち一致するものがすべて″cn=this″ の下で定義されている場合は、グループ・メンバーシップが評価されます。ユーザーが複数のグループに属している場合、ユーザーは、組み合わされた許可をそれらのグループから受け取ります。また、ユーザーは自動的に cn=Anybody

グループに属します。ユーザーが認証済みのバインドを実行した場合は、cn=Authenticated グループに属することがあります。これらのグループに対して許可が定義されている場合、ユーザーは、指定された許可を受け取ります。

注: グループおよびロール・メンバーシップは、バインド時に決定されます。これらは、別のバインドが発生するまで、またはアンバインド要求を受け取るまで継続します。ネストされたグループおよびロール (すなわち、別のグループまたはロールのメンバーとして定義されたグループまたはロール) は、メンバーシップの決定やアクセス評価で解決されません。

例えば、attribute1 が sensitive 属性クラス内にあり、ユーザー cn=Person A, o=IBM

が group1 と group2 の両方に属しており、以下の aclEntry が定義されていると想定します。

1. aclEntry: access-id: cn=Person A, o=IBM: at.attributel:grant:rsc:sensitive:deny:rsc

2. aclEntry: group: cn=group1,o=IBM:critical:deny:rwsc

3. aclEntry: group: cn=group2,o=IBM:critical:grant:r:normal:grant:rsc

このユーザーのアクセス権は以下のとおりです。

v ’rsc’ から attribute1 へのアクセス権を取得します (1. より。属性レベル定義は、属性クラス・レベル定義に取って代わります)。


v ターゲット・オブジェクト内の他の sensitive クラス属性へのアクセス権は取得しません (1. より)。

v その他の権限は与えられません (2. および 3. は、アクセス評価に含まれません)。

別の例として、以下の aclEntry が定義されていると想定します。

1. aclEntry: access-id: cn=this: sensitive

2. aclEntry: group: cn=group1,o=IBM:sensitive:grant:rsc:normal:grant:rsc

このユーザーのアクセス権は以下のとおりです。

v sensitive クラス属性へのアクセス権は持ちません (1. より。access-id の下にヌル値が定義されているため、group1 の sensitive クラス属性へのアクセス権を含めることはできません)。

v ’rsc’ から normal クラス属性へのアクセス権は持ちます (2. より)。

ACL の処理以下のセクションでは、ACL を管理するために実行できるさまざまなタスクについて説明します。

Web 管理ツール・ユーティリティーによる ACL の管理Web 管理ツール・ユーティリティーを使用して ACL プロパティーを表示し、ACL

を処理するには、以下の手順を実行します。

1. ディレクトリー項目を選択します。例えば、cn=John Doe,ou=Advertising,o=ibm,c=US を選択します。

2. 「ACL の編集」をクリックします。「ACL の編集」パネルは、「有効なACL」タブが事前に選択されて表示されます。

このパネルには、以下の 5 つのタブがあります。

v 有効な ACL

v 有効所有者

v フィルターに処理されていない ACL

v フィルターに処理された ACL

v 所有者

「有効な ACL」タブと「有効所有者」タブには、ACL に関する読み取り専用情報が表示されます。

有効な ACL「有効な ACL」は明示的な ACL あるいは、選択した項目の継承された ACL です。特定の有効な ACL を選択して、「表示」ボタンをクリックすると、特定の有効な ACL のアクセス権を表示できます。「アクセス権の表示」パネルが開きます。

アクセス権の表示:

v 「権限」セクションには、サブジェクトの追加権限と削除権限が表示されます。


– 「子の追加」では、選択した項目の下にディレクトリー項目を追加する権限をサブジェクトに付与または否認できます。

– 「項目の削除」では、選択した項目を削除する権限をサブジェクトに付与または否認できます。前記の例では、cn=Marketing Group に対して、cn=John Doe

を削除する権限を付与または否認できます。

v 「セキュリティー」クラス・セクションでは、セキュリティー・クラスの許可が定義されます。属性は、以下のようなセキュリティー・クラスにグループ化されます。

– Normal - Normal 属性では、最低限のセキュリティーが要求されます (例:

commonName 属性)。

– Sensitive - Sensitive 属性では、中程度のセキュリティーが要求されます (例:

homePhone 属性)。

– Critical - Critical 属性では、最高レベルのセキュリティーが要求されます (例:

userpassword 属性)。

– System - System 属性は、サーバーによって保守される読み取り専用の属性です。

– Restricted - Restricted 属性は、アクセス制御を定義するために使用します。

各セキュリティー・クラスには、関連する許可があります。

– 読み取り - サブジェクトは属性を読み取ることができます。

– 書き込み - サブジェクトは属性を変更することができます。

注: System 属性に書き込みをすることはできません。

– 検索 - サブジェクトは属性を検索することができます。

– 比較 - サブジェクトは属性を比較することができます。

「OK」をクリックし、「有効な ACL」タブに戻ります。

「キャンセル」をクリックすると、「ACL の編集」パネルに戻ります。

有効所有者「有効所有者」は明示的な所有者あるいは、選択した項目の継承された所有者です。

フィルターに処理されていない ACLフィルターに処理されていない新規の ACL を項目に追加したり、フィルターに処理されていない既存の ACL を編集したりできます。

フィルターに処理されていない ACL を伝搬できます。つまり、1 つの項目に定義されたアクセス制御情報を、従属するすべての項目に適用できます。「ACL ソース」は、選択した項目に対する現在の ACL のソースです。項目に ACL がない場合、その項目は、親オブジェクトの ACL 設定に基づいて、親オブジェクトからACL を継承します。

「フィルターに処理されていない ACL」タブで、以下の情報を入力します。

v ACL の伝搬: 明示的に定義された ACL を持たない子孫がこの項目から継承するのを許可するには、「伝搬」チェック・ボックスを選択します。チェック・ボックスが選択されている場合、子孫はこの項目から ACL を継承します。子項目に


対して ACL が明示的に定義されている場合、親から継承された ACL は、追加された新しい ACL に置換されます。このチェック・ボックスが選択されていない場合、明示的に定義された ACL を持たない子孫項目は、このオプションがオンにされている、その項目の親から、ACL を継承します。

v 識別名 (DN) - cn=Marketing Group など、選択した項目で操作を実行するには、アクセスを要求しているエンティティーの「識別名 (DN)」を入力します。

v タイプ - DN の「タイプ」を入力します。例えば、DN がユーザーの場合は、「アクセス ID」を選択します。

アクセス権の追加と編集: 「識別名」フィールドの DN を ACL リストに追加する場合は、「追加」ボタンをクリックします。既存の DN の ACL を変更する場合は、「編集」ボタンをクリックします。

「アクセス権の追加」パネルと「アクセス権の編集 (Edit access rights)」パネルを使用すると、新規または既存のアクセス制御リスト (ACL) のアクセス権を設定できます。デフォルトでは、「タイプ」フィールドは「ACL の編集 (Edit ACL)」パネルで選択したタイプに設定されます。ACL を追加している場合は、他のフィールドはすべて、デフォルトでブランクになります。ACL を編集している場合は、フィールドには ACL を最後に変更したときの値セットが入ります。


v ACL タイプを変更します。

v 追加権限と削除権限を設定します。

v セキュリティー・クラスのアクセス権を設定します。

アクセス権を設定するには、以下の手順を実行します。

1. ACL の項目の「タイプ」を選択します。例えば、DN がユーザーの場合は、「アクセス ID」を選択します。

2. 「権限」セクションには、サブジェクトの追加権限と削除権限が表示されます。

v 「子の追加」では、選択した項目の下にディレクトリー項目を追加する権限をサブジェクトに付与または否認できます。

v 「項目の削除」では、選択した項目を削除する権限をサブジェクトに付与または否認できます。

3. 「セキュリティー・クラス」セクションでは、属性クラスの許可を定義します。属性は、以下のようなセキュリティー・クラスにグループ化されます。

v Normal - Normal 属性では、最低限のセキュリティーが要求されます (例:


v Sensitive - Sensitive 属性では、中程度のセキュリティーが要求されます (例:


v Critical - Critical 属性では、最高レベルのセキュリティーが要求されます (例: userpassword 属性)。

v System - System 属性は、サーバーによって保守される読み取り専用の属性です。

v Restricted - Restricted 属性は、アクセス制御を定義するために使用します。



v 読み取り - サブジェクトは属性を読み取ることができます。

v 書き込み - サブジェクトは属性を変更することができます。


v 検索 - サブジェクトは属性を検索することができます。

v 比較 - サブジェクトは属性を比較することができます。

また、属性が属しているセキュリティー・クラスではなく、属性に基づいて許可を指定することもできます。属性セクションは、Critical セキュリティー・クラスの下にリストされます。

v 「属性の定義」ドロップダウン・リストから属性を選択します。

v 「定義」をクリックします。属性は、許可表に表示されます。

v 属性に関連付けられた 4 つの各セキュリティー・クラス許可を付与または否認するかどうかを指定します。

v 複数の属性について、この手順を繰り返すことができます。

v 属性を除去するには、属性を選択して、「削除」をクリックします。


ACL の除去: 以下の 2 つの方法で ACL を除去できます。

v 削除する ACL の隣にあるラジオ・ボタンをクリックします。「除去」をクリックします。

v リストからすべての DN を削除するには、「すべて除去」をクリックします。

フィルターに処理された ACLフィルターに処理された新規の ACL を項目に追加したり、フィルターに処理された既存の ACL を編集したりできます。

フィルター・ベースの ACL は、宛先オブジェクトと適用される有効なアクセスを突き合わせるために、指定されたオブジェクト・フィルターを使用して、フィルター・ベースの比較を行います。

フィルター・ベースの ACL のデフォルト動作では、最下位の収容項目から、祖先項目チェーンを上に向かって、DIT の最上位の収容項目まで累算します。有効なアクセスは、構成する祖先項目によって付与または否認されたアクセス権の共用体として計算されます。この動作には例外があります。サブツリー複製機能との互換性のために、また管理制御を強化するために、上限属性を使用して、上限属性が含まれる項目での累算が停止されます。

「フィルターに処理された ACL」タブで、以下の情報を入力します。

v フィルターに処理された ACL の累算 -

– 選択した項目から ibm-filterACLInherit 属性を除去するには、「指定なし」ラジオ・ボタンを選択します。

– 選択した項目の ACL が、その項目から祖先項目チェーンを上に向かって、DIT の最上位のフィルター ACL 収容項目まで累算できるようにするには、「True」ラジオ・ボタンを選択します。

– 選択した項目でのフィルター ACL の累算を停止するには、「False」ラジオ・ボタンを選択します。




アクセス権の追加と編集: 「識別名」フィールドの DN を ACL リストに追加する場合は、「追加」ボタンをクリックします。既存の DN の ACL を変更する場合は、「編集」ボタンをクリックします。

「アクセス権の追加」パネルと「アクセス権の編集 (Edit access rights)」パネルを使用すると、新規または既存のアクセス制御リスト (ACL) のアクセス権を設定できます。デフォルトでは、「タイプ」フィールドは「ACL の編集 (Edit ACL)」パネルで選択したタイプに設定されます。ACL を追加している場合は、他のフィールドはすべて、デフォルトでブランクになります。ACL を編集している場合は、フィールドには ACL を最後に変更したときの値セットが入ります。


v ACL タイプを変更します。

v 追加権限と削除権限を設定します。

v フィルターに処理された ACL のオブジェクト・フィルターを設定します。

v セキュリティー・クラスのアクセス権を設定します。

アクセス権を設定するには、以下の手順を実行します。

1. ACL の項目の「タイプ」を選択します。例えば、DN がユーザーの場合は、「アクセス ID」を選択します。

2. 「権限」セクションには、サブジェクトの追加権限と削除権限が表示されます。

v 「子の追加」では、選択した項目の下にディレクトリー項目を追加する権限をサブジェクトに付与または否認できます。

v 「項目の削除」では、選択した項目を削除する権限をサブジェクトに付与または否認できます。

3. フィルター・ベースの比較のオブジェクト・フィルターを設定します。「オブジェクト・フィルター」フィールドに、選択した ACL に必要なオブジェクト・フィルターを入力します。検索フィルター・ストリングの構成を支援するには、「フィルターの編集」ボタンをクリックします。フィルターに処理された現在のACL は、このフィールドのフィルターに一致する関連サブツリーの子孫オブジェクトに伝搬されます。

4. 「セキュリティー・クラス」セクションでは、属性クラスの許可を定義します。属性は、以下のようなセキュリティー・クラスにグループ化されます。

v Normal - Normal 属性では、最低限のセキュリティーが要求されます (例:


v Sensitive - Sensitive 属性では、中程度のセキュリティーが要求されます (例:


v Critical - Critical 属性では、最高レベルのセキュリティーが要求されます (例: userpassword 属性)。

v System - System 属性は、サーバーによって保守される読み取り専用の属性です。


v Restricted - Restricted 属性は、アクセス制御を定義するために使用します。


v 読み取り - サブジェクトは属性を読み取ることができます。

v 書き込み - サブジェクトは属性を変更することができます。


v 検索 - サブジェクトは属性を検索することができます。

v 比較 - サブジェクトは属性を比較することができます。

また、属性が属しているセキュリティー・クラスではなく、属性に基づいて許可を指定することもできます。属性セクションは、Critical セキュリティー・クラスの下にリストされます。

v 「属性の定義」ドロップダウン・リストから属性を選択します。

v 「定義」をクリックします。属性は、許可表に表示されます。

v 属性に関連付けられた 4 つの各セキュリティー・クラス許可を付与または否認するかどうかを指定します。

v 複数の属性について、この手順を繰り返すことができます。

v 属性を除去するには、属性を選択して、「削除」をクリックします。


ACL の除去: 以下の 2 つの方法で ACL を除去できます。

v 削除する ACL の隣にあるラジオ・ボタンをクリックします。「除去」をクリックします。

v リストからすべての DN を削除するには、「すべて除去」をクリックします。

所有者項目の所有者は、オブジェクトに対するすべての操作を実行できる完全な許可を持っています。項目の所有者は、明示的に定義するか、または伝搬 (継承) 可能です。

「所有者」タブで以下の情報を入力します。

v 明示的に定義された所有者を持たない子孫がこの項目から継承するのを許可するには、「所有者の伝搬」チェック・ボックスを選択します。このチェック・ボックスが選択されていない場合、明示的に定義された所有者を持たない子孫項目は、このオプションがオンにされている、その項目の親から、所有者を継承します。



所有者の追加: 「識別名 (DN)」フィールドの DN をリストに追加する場合は、「追加」をクリックします。

所有者の除去: 以下の 2 つの方法で所有者を除去できます。

v 削除する所有者の DN の隣にあるラジオ・ボタンをクリックします。「除去」をクリックします。


v リストからすべての所有者 DN を削除するには、「すべて除去」をクリックします。

コマンド行ユーティリティーによる ACL の管理以下のセクションでは、LDIF ユーティリティーを使用して ACL を管理する方法について説明します。

ACI と項目の所有者の定義以下の 2 つの例は、設定中の管理サブドメインを示しています。最初の例は、ドメイン全体の entryOwner として割り当てられている単一ユーザーを示しています。2

番目の例は、entryOwner として割り当てられているグループを示しています。

entryOwner: access-id:cn=Person A,o=IBMownerPropagate: true

entryOwner: group:cn=System Owners, o=IBMownerPropagate: true

次の例は、アクセス ID ″cn=Person 1, o=IBM″ に対して、attribute1 の読み取り、検索、および比較の許可を与える方法を示しています。許可は、サブツリー全体のすべてのノード、″(objectclass=groupOfNames)″ 比較フィルターと一致するこの ACI

を含むノード、またはそのノードの下に適用されます。祖先ノードで一致するibm-filteraclentry 属性の累算は、ibm-filterAclInherit 属性を ″false″ に設定することで、この項目で終了しています。

ibm-filterAclEntry: access-id:cn=Person 1,o=IBM:(objectclass=groupOfNames):at.attribute1:grant:rsc

ibm-filterAclInherit: false

次の例は、グループ ″cn=Dept XYZ, o=IBM″ に対して、attribute1 の読み取り、検索、および比較の許可を与える方法を示しています。この許可は、この ACI を含むノードの下のサブツリー全体に適用されます。

aclEntry: group:cn=Dept XYZ,o=IBM:at.attribute1:grant:rscaclPropagate: true

次の例は、役割 ″cn=System Admins,o=IBM″ に対して、このノードの下にオブジェクトを追加する許可と、attribute2 と critical 属性クラスの読み取り、検索、および比較の許可を与える方法を示しています。この許可は、この ACI を含むノードにしか適用されません。

aclEntry: role:cn=System Admins,o=IBM:object:grant:a:at.attribute2:grant:rsc:critical:grant:rsc

aclPropagate: false

ACI 値と項目の所有者値の変更

Modify-replaceModify-replace は、他のすべての属性と同じように機能します。属性値が存在しない場合は、値を作成します。属性値が存在する場合は、値を置換します。

例えば、項目に対して以下の ACI がある場合、

aclEntry: group:cn=Dept ABC,o=IBM:normal:grant:rscaclPropagate: true


以下の変更を実行すると、

dn: cn=some entrychangetype: modifyreplace: aclEntryaclEntry: group:cn=Dept XYZ,o=IBM:normal:grant:rsc

新しい ACI は以下のようになります。

aclEntry: group:cn=Dept XYZ,o=IBM:normal:grant:rscaclPropagate: true

この置換により、Dept ABC の ACI 値は失われます。

例えば、項目に対して以下の ACI がある場合、

ibm-filterAclEntry: group:cn=Dept ABC,o=IBM:(cn=Manager ABC):normal:grant:rsc

ibm-filterAclInherit: true

以下の変更を実行すると、

dn: cn=some entrychangetype: modifyreplace: ibm-filterAclEntryibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):normal

:grant:rscdn: cn=some entrychangetype: modifyreplace: ibm-filterAclInheritibm-filterAclInherit: false

新しい ACI は以下のようになります。

ibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):normal:grant:rsc

ibm-filterAclInherit: false

この置換により、Dept ABC の ACI 値は失われます。

Modify-addldapmodify-add の実行中に、ACI または entryOwner が存在しない場合は、特定の値を持った ACI または entryOwner が作成されます。ACI またはentryOwner が存在する場合は、指定された値を所定の ACI またはentryOwner に追加します。例えば、以下の ACI に対して、

aclEntry: group:cn=Dept XYZ,o=IBM:normal:grant:rsc

以下の変更を加えると、

dn: cn=some entrychangetype: modifyadd: aclEntryaclEntry: group:cn=Dept ABC,o=IBM:at.attribute1:grant:rsc

以下の複数値の aclEntry が生成されます。

aclEntry: group:cn=Dept XYZ,o=IBM:normal:grant:rscaclEntry: group:cn=Dept ABC,o=IBM:at.attribute1:grant:rsc

例えば、以下の ACI に対して、

Ibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):normal:grant:rsc



dn: cn=some entrychangetype: modifyadd: ibm-filterAclEntryibm-filterAclEntry: group:cn=Dept ABC,o=IBM:(cn=Manager ABC)

:at.attribute1:grant:rsc

以下の複数値の aclEntry が生成されます。

Ibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):normal:grant:rsc

ibm-filterAclEntry: group:cn=Dept ABC,o=IBM:(cn=Manager ABC):at.attribute1:grant:rsc

同じ属性または属性クラスの下の許可は、基本的なビルディング・ブロックと見なされます。また、アクションは、修飾子と見なされます。同じ許可値が複数回追加されている場合は、1 つの値のみが保管されます。同じ許可値が異なるアクション値とともに複数回追加されている場合は、最後のアクション値が使用されます。結果の許可フィールドが空 (″″) の場合、この許可値はヌルに設定され、アクション値は grant に設定されます。


aclEntry: group:cn=Dept XYZ,O=IBM:normal:grant:rsc


dn: cn=some entrychangetype: modifyadd: aclEntryaclEntry: group:cn=Dept XYZ,o=IBM:normal:deny:r:critical:deny::sensitive

:grant:r

以下の aclEntry が生成されます。

aclEntry: group:cn=Dept XYZ,O=IBM:normal:grant:sc:normal:deny:r:critical:grant::sensitive:grant:r


Ibm-filterAclEntry: group:cn=Dept XYZ,O=IBM:(cn=Manager XYZ):normal:grant:rsc


dn: cn=some entrychangetype: modifyadd: ibm-filterAclEntryibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):normal

:deny:r:critical:deny::sensitive:grant:r

以下の aclEntry が生成されます。

ibm-filterAclEntry: group:cn=Dept XYZ,O=IBM:(cn=Manager XYZ):normal:grant:sc:normal:deny:r:critical:grant::sensitive:grant:r

Modify-delete特定の ACI 値を削除するには、通常の ldapmodify-delete 構文を使用します。

以下の ACI では、


aclEntry: group:cn=Dept XYZ,o=IBM:object:grant:adaclEntry: group:cn=Dept XYZ,o=IBM:normal:grant:rwsc

dn: cn = some entrychangetype: modifydelete: aclEntry aclEntry: group:cn=Dept XYZ,o=IBM:object:grant:ad

サーバー上で存続する以下の ACI が生成されます。

aclEntry: group:cn=Dept XYZ,o=IBM:normal:grant:rwsc

以下の ACI では、

ibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):object:grant:ad

ibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):normal:grant:rwsc

dn: cn = some entrychangetype: modifydelete: ibm-filterAclEntryibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):object

:grant:ad

サーバー上で存続する以下の ACI が生成されます。

ibm-filterAclEntry: group:cn=Dept XYZ,o=IBM:(cn=Manager XYZ):normal:grant:rwsc

存在しない ACI 値または entryOwner 値を削除しても、ACI またはentryOwner は変更されません。この場合は、属性値が存在しないことを示す戻りコードが戻されます。

ACI 値/項目の所有者値の削除ldapmodify-delete 操作では、以下のように指定して、entryOwner を削除できます。

dn: cn = some entrychangetype: modifydelete: entryOwner

この場合、項目は、明示的な entryOwner を持たなくなります。ownerPropagate も自動的に除去されます。この項目は、伝搬規則に従って、ディレクトリー・ツリー内の祖先ノードから、その entryOwner を継承するようになります。

aclEntry を完全に削除する場合も、これと同じ方法が使用できます。

dn: cn = some entrychangetype: modifydelete: aclEntry

最後の ACI 値または entryOwner 値を項目から削除することと、ACI またはentryOwner を削除することとは異なります。項目には、値を持たない ACI またはentryOwner を含めることができます。この場合、ACI または entryOwner を照会しても、クライアントには何も戻されません。また、設定は、オーバーライドされるまでは、下層ノードに伝搬されます。いずれのユーザーもアクセスできないような懸垂項目を防止するため、ディレクトリー管理者は、項目にヌルの ACI 値またはentryOwner 値がある場合であっても、その項目への完全なアクセス権を常に所有します。


ACI 値/項目の所有者値の取得有効な ACI または entryOwner の値は、必要とする ACL または entryOwner 属性を検索する際に指定するのみで取得できます。例を以下に示します。

ldapsearch -b "cn=object A, o=ibm" -s base "objectclass=*"aclentry aclpropagate aclsource entryowner ownerpropagate ownersourceibm-filterAclEntry ibm-filterAclInherit ibm-effectiveAcl

object A に対するアクセス評価で使用される ACL または entryOwner 情報がすべて戻されます。戻り値は、最初に定義された形と多少異なる場合があることに注意してください。値は、元の形式と同等です。

ibm-filterAclEntry 属性のみを検索すると、収容項目に特定の値のみが戻されます。

読み取り専用の操作属性 ibm-effectiveAcl は、累算された有効なアクセスを表示するために使用されます。ibm-effectiveAcl の検索要求は、非フィルター ACL またはフィルター ACL が DIT 内にどのように分散されているかによって、非フィルターACL またはフィルター ACL に基づいてターゲット・オブジェクトに適用される有効なアクセスを戻します。

フィルター・ベースの ACL は、複数の祖先ソースから発生することがあるため、aclSource 属性の検索により、関連するソースのリストが作成されます。

サブツリー複製の考慮サブツリー複製に組み込まれる非フィルター・ベースのアクセスでは、すべてのaclEntry 属性が、関連する ibm-replicationContext 項目に存在する必要があります。複製されたサブツリーの上位にある祖先項目から有効なアクセスが伝搬できないため、aclPropagate 属性では、値を true に設定する必要があります。

サブツリー複製に含まれるフィルター・ベースのアクセスでは、ibm-filterAclEntry

属性は、関連する ibm-replicationContext 項目、または項目の下に常駐する必要があります。有効なアクセスは、複製されたサブツリーの上にある祖先項目から累算できないため、ibm-filterAclInherit 属性は、値を false に設定して、関連するibm-replicationContext 項目に常駐する必要があります。



第 16 章グループと役割

グループグループは、名前のリスト、つまり集合です。グループは、アクセスを制御するために aclentry、ibm-fliterAclEntry、および entryowner の各属性で使用したり、メーリング・リストなどのアプリケーション固有の用途で使用したりすることができます。 235ページの『第 15 章アクセス制御リスト』を参照してください。グループは、静的、動的、またはネストとして定義できます。

静的グループ静的グループは、構造化オブジェクト・クラス groupOfNames、groupOfUniqueNames、accessGroup、または accessRole、あるいは、補助オブジェクト・クラス ibm-staticgroup を使用して、各メンバーを個別に定義します。これらのオブジェクト・クラスには、属性 member (groupOfUniqueNames の場合は uniqueMember) が必要です。これらの構造化オブジェクト・クラスを使用する静的グループは、メンバーを少なくとも 1 つ持つ必要があります。空にすることはできません。補助オブジェクト・クラス ibm-staticGroup を使用して静的グループを定義することもできます。この場合メンバー属性は必要ではないため、空にすることもできます。

一般的なグループ項目を以下に示します。

DN: cn=Dev.Staff,ou=Austin,c=USobjectclass: accessGroupcn: Dev.Staffmember: cn=John Doe,o=IBM,c=USmember: cn=Jane Smith,o=IBM,c=USmember: cn=James Smith,o=IBM,c=US

各グループ・オブジェクトには、メンバー DN からなる複数値の属性が含まれます。

アクセス・グループを削除すると、そのアクセス・グループは、適用されているすべての ACL からも削除されます。

動的グループ動的グループは、静的グループとは別の方法でメンバーを定義します。動的グループは、個々にメンバーをリストするのではなく、LDAP 検索を使用してメンバーを定義します。動的グループは、構造化オブジェクト・クラス groupOfURLs (または補助オブジェクト・クラス ibm-dynamicGroup) と属性 memberURL を使用して、簡略 LDAP URL 構文を使った検索を定義します。

ldap:///<base DN of search> ? ? <scope of search> ? <searchfilter>

注: 上記例に示すように、構文にホスト名は指定しないでください。その他のパラメーターは、LDAP の通常の URL 構文と同じように指定します。パラメーターを指定しない場合でも、各パラメーター・フィールドを ? で区切る必要があります。一般に、戻される一連の属性は、基本 DN と検索範囲の間に含まれて


います。このパラメーターは、動的メンバーシップの判別時にサーバーでも使用されないため、省略することができます。しかし、その場合であっても、区切り文字 ? は指定する必要があります。

ここで、

base DN of searchディレクトリー内の検索の開始点です。サフィックスやディレクトリーのルート (ou=Austin など) を指定できます。このパラメーターは必須です。

scope of search検索の範囲を指定します。デフォルトの有効範囲は base です。

base URL に指定された基本 DN についての情報のみを戻します。

one URL に指定された基本 DN の 1 レベル下の項目について情報を戻します。これには、基本項目は含まれません。

sub 基本 DN とその下にあるすべてのレベルの項目について情報を戻します。

searchfilter検索の有効範囲にある項目に適用するフィルターです。searchfilter (検索フィルター) の構文については、 332ページの『ldapsearch フィルター・オプション』を参照してください。デフォルトは objectclass=* です。

動的メンバーの検索は常にサーバー内部で行われます。そのため、完全な ldap URL

を指定する場合とは異なり、ホスト名とポート番号は指定されません。また、プロトコルは常に ldap が使用されます (ldaps ではありません)。memberURL 属性には各種の URL が含まれますが、サーバーは、ldap:/// で始まる memberURL のみを使用して、動的メンバーを判別します。

例スコープが base にデフォルト設定され、フィルターが objectclass=* にデフォルト設定される単一項目の場合:

ldap:///cn=John Doe, cn=Employees, o=Acme, c=US

cn=Employees の 1 レベル下にあり、フィルターが objectclass=* にデフォルト設定されるすべての項目の場合:

ldap:///cn=Employees, o=Acme, c=US??one

o-Acme の下にあり、objectclass=person が指定されているすべての項目の場合:

ldap:///o=Acme, c=US??sub?objectclass=person

ユーザー項目の定義に使用するオブジェクト・クラスにもよりますが、これらの項目には、グループ・メンバーシップの判別に適した属性が含まれない場合があります。補助オブジェクト・クラス ibm-dynamicMember を使用すると、ユーザー項目を拡張して ibm-group 属性を含めることができます。この属性を使用すると、動的グループのフィルターのターゲットとして機能するユーザー項目に任意の値を追加できます。例を以下に示します。

以下の動的グループのメンバーは cn=users,ou=Austin の直下にあり、GROUP1 という ibm-group 属性を持っています。


dn: cn=GROUP1,ou=Austinobjectclass: groupOfURLscn: GROUP1memberURL: ldap:///cn=users,ou=Austin??one?(ibm-group=GROUP1)

Here is an example member of cn=GROUP1,ou=Austin:

dn: cn=Group 1 member, cn=users, ou=austinobjectclass: personobjectclass: ibm-dynamicMembersn: memberuserpassword: memberpasswordibm-group: GROUP1

ネストされたグループグループをネストすると、階層関係を作成できます。階層関係を使用すると、継承されたグループ・メンバーシップを定義できます。ネストされたグループは、子グループ項目として定義されます。この子グループ項目は、親グループ項目内の属性によって参照される DN を持ちます。親グループは、groupOfNames、groupOfUniqueNames、accessGroup、accessRole、または groupOfURLs という構造化オブジェクト・クラスの 1 つを拡張し、ibm-nestedGroup 補助オブジェクト・クラスを追加することで作成されます。ネストされたグループを拡張すると、ゼロ個以上の ibm-memberGroup 属性を追加できます。ibm-memberGroupの値には、ネストされた子グループの DN を設定できます。例を以下に示します。

dn: cn=Group 2, cn=Groups, o=IBM, c=USobjectclass: groupOfNamesobjectclass: ibm-nestedGroupobjectclass: topcn: Group 2description: Group composed of static, and nested members.member: cn=Person 2.1, cn=Dept 2, cn=Employees, o=IBM, c=USmember: cn=Person 2.2, cn=Dept 2, cn=Employees, o=IBM, c=USibm-memberGroup: cn=Group 8, cn=Nested Static, cn=Groups, o=IBM, c=US

ネストされたグループ階層に循環を導入することは許されていません。ネストされたグループ操作によって循環参照が直接的にまたは継承を介して発生したことが確認された場合、それは制約違反と見なされるため、項目は更新されません。

混成グループ本書で説明する構造化グループ・オブジェクト・クラスは、静的、動的、およびネストされたメンバー型の組み合わせでグループ・メンバーシップが記述されるように拡張できます。例を以下に示します。

dn: cn=Group 10, cn=Groups, o=IBM, c=USobjectclass: groupOfURLsobjectclass: ibm-nestedGroupobjectclass: ibm-staticGroupobjectclass: topcn: Group 10description: Group composed of static, dynamic, and nested members.memberURL: ldap:///cn=Austin, cn=Employees, o=IBM, c=US??one?objectClass=personibm-memberGroup: cn=Group 9, cn=Nested Dynamic, cn=Groups, o=IBM, c=USmember: cn=Person 10.1, cn=Dept 2, cn=Employees, o=IBM, c=USmember: cn=Person 10.2, cn=Dept 2, cn=Employees, o=IBM, c=US

第 16 章グループと役割 259

グループ・メンバーシップの判別2 つの操作属性が、集合グループ・メンバーシップの照会に使用できます。ibm-allMembers 操作属性は、特定のグループ項目について、一連の集合グループ・メンバーシップを列挙します (これには、ネストされたグループ階層によって記述された、静的メンバー、動的メンバー、およびネストされたメンバーが含まれます)。 ibm-allGroups 操作属性は、特定のユーザー項目について、一連の集合グループを列挙します (これには、そのユーザーがメンバーシップを持つ上位グループが含まれます)。

要求者は、データに対する ACL の設定に応じて、要求したデータの一部しか受け取れないことがあります。操作属性 ibm-allMembers と ibm-allGroups はいずれのユーザーでも要求できますが、戻されるデータ・セットには、その要求者がアクセス権を持っている LDAP 項目と属性のデータしか含まれません。ibm-allMembers 属性または ibm-allGroups 属性を要求するユーザーの場合、静的メンバーを参照するには、そのグループおよびネストしたグループの member属性値または uniquemember 属性値へのアクセス権を持っている必要があります。また、動的メンバーを参照するには、memberURL 属性値に指定されている検索を実行する権限を持っている必要があります。例を以下に示します。

階層の例

この例の場合、m1 および m2 は、g2 のメンバー属性です。g2 の ACL により、user1 はメンバー属性を読み取ることができますが、user2 はメンバー属性へのアクセス権を持っていません。g2 項目の項目 LDIF を以下に示します。

dn: cn=g2,cn=groups,o=ibm,c=usobjectclass: accessGroupcn: g2member: cn=m1,cn=users,o=ibm,c=us


member: cn=m2,cn=users,o=ibm,c=usaclentry: access-id:cn=user1,cn=users,o=ibm,c=us:normal:rscaclentry: access-id:cn=user2,cn=users,o=ibm,c=us:normal:rsc:at.member:deny:rsc

g4 項目ではデフォルトの aclentry が使用されますが、これにより、user1 とuser2 は g4 のメンバー属性を読み取ることができます。 g4 項目の LDIF を以下に示します。

dn: cn=g4, cn=groups,o=ibm,c=usobjectclass: accessGroupcn: g4member: cn=m5, cn=users,o=ibm,c=us

g5 項目は動的グループであり、2 つのメンバーを memberURL 属性から取得します。 g5 項目の LDIF を以下に示します。

dn: cn=g5, cn=groups,o=ibm,c=usobjectclass: containerobjectclass: ibm-dynamicGroupcn: g5memberURL: ldap:///cn=users,o=ibm,c=us??sub?(|(cn=m3)(cn=m4))

項目 m3 および m4 は、memberURL が一致するので、グループ g5 のメンバーです。m3 項目の ACL により、user1 および user2 はどちらも g5 を検索することができます。m4 項目の ACL は、user2 に対してこの項目の検索を許可していません。 m4 項目の LDIF を以下に示します。

dn: cn=m4, cn=users,o=ibm,c=usobjectclass:personcn: m4sn: fouraclentry: access-id:cn=user1,cn=users,o=ibm,c=us:normal:rscaclentry: access-id:cn=user2,cn=users,o=ibm,c=us

例 1: user1 が、グループ g1 のすべてのメンバーを取得するために、検索を実行します。user1 はすべてのメンバーに対するアクセス権を持っているので、すべてのメンバーが戻ります。

ldapsearch -D cn=user1,cn=users,o=ibm,c=us -w user1pwd -s base -b cn=g1,cn=groups,o=ibm,c=us objectclass=* ibm-allmembers

cn=g1,cn=groups,o=ibm,c=usibm-allmembers: CN=M1,CN=USERS,O=IBM,C=USibm-allmembers: CN=M2,CN=USERS,O=IBM,C=USibm-allmembers: CN=M3,CN=USERS,O=IBM,C=USibm-allmembers: CN=M4,CN=USERS,O=IBM,C=USibm-allmembers: CN=M5,CN=USERS,O=IBM,C=US

例 2: user2 が、グループ g1 のすべてのメンバーを取得するために、検索を実行します。user2 はグループ g2 メンバー属性に対するアクセス権を持っていないので、メンバー m1 および m2 にアクセスできません。user2 は g4のメンバー属性に対するアクセス権を持っているので、メンバー m5 にアクセスすることができます。user2 は、グループ g5 の memberURL で項目m3 に対する検索を実行し、メンバーをリストすることができますが、m4に対する検索を実行することはできません。

ldapsearch -D cn=user2,cn=users,o=ibm,c=us -w user2pwd -s base -b cn=g1,cn=groups,o=ibm,c=us objectclass=* ibm-allmembers


cn=g1,cn=groups,o=ibm,c=usibm-allmembers: CN=M3,CN=USERS,O=IBM,C=USibm-allmembers: CN=M5,CN=USERS,O=IBM,C=US

例 3: user2 が、m3 がグループ g1 のメンバーであるかどうかを確認するために、検索を実行します。user2 はこの検索に対するアクセス権を持っているので、検索では、m3 がグループ g1 のメンバーであることが示されます。

ldapsearch -D cn=user2,cn=users,o=ibm,c=us -w user2pwd -s base -b cn=m3,cn=users,o=ibm,c=us objectclass=* ibm-allgroups

cn=m3,cn=users,o=ibm,c=usibm-allgroups: CN=G1,CN=GROUPS,O=IBM,C=US

例 4: user2 が、m1 がグループ g1 のメンバーであるかどうかを確認するために、検索を実行します。user2 はこのメンバー属性に対するアクセス権を持っていないので、検索では、m1 がグループ g1 のメンバーであることが示されません。

ldapsearch -D cn=user2,cn=users,o=ibm,c=us -w user2pwd -s base -bcn=m1,cn=users,o=ibm,c=us objectclass=* ibm-allgroups

cn=m1,cn=users,o=ibm,c=us

グループ・オブジェクト・クラスibm-dynamicGroup

この補助クラスでは、オプションの属性の memberURL を使用できます。静的メンバーと動的メンバーの両方を持つ混成グループを作成するには、これを groupOfNames などの構造化クラスとともに使用します。

ibm-dynamicMemberこの補助クラスでは、オプションの属性の ibm-group を使用できます。これは、動的グループ用のフィルター属性として使用します。

ibm-nestedGroupこの補助クラスでは、オプションの属性の ibm-memberGroup を使用できます。親グループ内でサブグループをネストできるようにするには、これをgroupOfNames などの構造化クラスとともに使用します。

ibm-staticGroupこの補助クラスでは、オプションの属性の member を使用できます。静的メンバーと動的メンバーの両方を持つ混成グループを作成するには、これをgroupOfURLs などの構造化クラスとともに使用します。

注: ibm-staticGroup は、member がオプションである唯一のクラスです。member を使用するそれ以外のすべてのクラスでは、最低 1 つのメンバーが必要です。

グループ属性タイプibm-allGroups

項目が属しているグループをすべて表示します。項目は、member 属性、uniqueMember 属性、または memberURL 属性によって直接メンバーに


することができます。あるいは、ibm-memberGroup 属性によって間接的にメンバーにすることができます。検索フィルターでは、Read-only 操作属性を使用することはできません。

ibm-allMembersグループのメンバーをすべて表示します。項目は、member 属性、uniqueMember 属性、または memberURL 属性によって直接メンバーにすることができます。あるいは、ibm-memberGroup 属性によって間接的にメンバーにすることができます。検索フィルターでは、Read-only 操作属性を使用することはできません。

ibm-group補助クラス ibm-dynamicMember で使用される属性です。動的グループ内にある項目のメンバーシップを制御する任意の値を定義するには、この属性を使用します。例えば、フィルター ″ibm-group=Bowling Team″ を持つ任意の memberURL に項目を含めるには、値 ″Bowling Team″ を追加します。

ibm-memberGroup補助クラス ibm-nestedGroup で使用される属性です。親グループ項目のサブグループを識別します。このようなサブグループのメンバーは、ACL、または操作属性の ibm-allMembers と ibm-allGroups を処理する際に、親グループのメンバーと見なされます。サブグループ項目それ自体は、メンバーではありません。ネストされたメンバーシップは再帰的です。

役割役割ベースの許可は、グループ・ベースの許可を補完する概念であり、いくつかの場面で役に立ちます。役割のメンバーであるユーザーは、ジョブを完了するために役割で必要とされる作業を実行する権限があります。グループとは異なり、役割では、一連の暗黙的な許可が提供されます。グループのメンバーになることは、得られる (または失われる) 許可についての前提条件はありません。

役割とグループは、ディレクトリー内でオブジェクトにより表現されるという点では同じです。役割には、さらに DN のグループも含まれています。アクセス制御で使用される役割は、オブジェクト・クラス ’AccessRole’ を持っている必要があります。’Accessrole’ オブジェクト・クラスは、’GroupOfNames’ オブジェクト・クラスのサブクラスです。

例えば、’sys admin’ などの DN のコレクションがある場合は、最初にそれが ’sys

admin group’ であると考えるかもしれません (グループとユーザーには、最もなじみのある特権属性タイプであるため)。しかし、’sys admin’ のメンバーとして受け取ることになっている一連の許可があるため、DN のコレクションは、’sys admin

role’ として、より正確に定義することができます。



第 17 章検索制限グループの管理

IBM Tivoli Directory Server では、ユーザーの検索要求によってリソースが過剰に消費され、サーバーのパフォーマンスが低下するのを防ぐために、特定のサーバーに対する要求に検索制限を加えます。管理者は、サーバーを構成するときに、これらの検索制限を検索のサイズや継続時間に設定します。詳細については、 55ページの『検索の設定』を参照してください。

検索制限から除外されるのは、管理者および管理グループのメンバーのみであり、これらの検索制限はその他のすべてのユーザーに適用されます。ただし、必要に応じて一般ユーザーより検索制限が柔軟な検索制限グループを作成できます。検索制限グループに登録された個々のメンバーまたはグループには、検索制限グループで指定された検索制限が与えられます。

ユーザーが検索を開始すると、最初に検索要求の制限が検査されます。ユーザーが検索制限グループのメンバーである場合は、制限が比較されます。検索制限グループの制限値が検索要求の制限値より大きい場合は、検索要求の制限値が使用されます。検索要求の制限値が検索制限グループの制限値より大きい場合は、検索制限グループの制限値が使用されます。検索制限グループの項目が見つからなかった場合は、同じ比較がサーバー検索の制限値に対して実行されます。サーバーの検索制限が設定されていない場合は、デフォルトのサーバー設定との比較が実行されます。使用される制限値は、比較した結果の中で必ず最小の設定値になります。

ユーザーが複数の検索制限グループに属している場合、このユーザーにはその中で最高レベルの検索機能が付与されます。例えば、ユーザーが検索グループ 1 と検索グループ 2 に属しているとします。検索グループ 1 では検索サイズ 2000 項目および検索時間 4000 秒という検索制限が付与され、検索グループ 2 では検索サイズが無制限で検索時間が 3000 秒という検索制限が付与されます。この場合、このユーザーの検索制限は、検索サイズが無制限で検索時間が 4000 秒になります。

検索制限グループは、localhost と IBMpolicies のどちらに格納してもかまいません。 IBMpolicies に格納される検索制限グループは複製されますが、localhost に格納される検索制限グループは複製されません。同一の検索制限グループを localhost

と IBMpolicies の両方に格納できます。これらの DN のいずれかの下に検索制限グループを格納しない場合、サーバーは、グループの検索制限パートを無視し、それを通常のグループとして扱います。

ユーザーが検索を開始すると、localhost に属する検索制限グループの項目が最初に検査されます。ユーザーの検索項目が検出されなかった場合は、IBMpolicies に属する検索制限グループの項目が検索されます。検索項目が localhost で検出された場合は、IBMpolicies に属する検索制限グループの項目は検査されません。 localhost に属する検索制限グループは、IBMpolicies に属する検索制限グループよりも高い優先順位を持っています。


検索制限グループの作成検索制限グループを作成するには、Web 管理ツールまたはコマンド行を使用してグループ項目を作成する必要があります。

Web 管理の使用ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開します。

1. 「項目の追加」または「項目の管理」をクリックし、場所 (cn=ibmPolicies または cn=localhost) を選択して、「追加」をクリックします。

2. 「構造化オブジェクト・クラス」メニューからグループ・オブジェクト・クラスを 1 つ選択します。

v accessGroup

v accessRole

v AIXaccessGroup

v eNTGroup

v groupofNames

v groupofUniqueNames

v groupofURLs

v ibm-nestedGroup

v ibm-proxyGroup

v ibm-staticGroup

v ibm-dynamicGroup


4. 使用する ibm-searchLimits 補助オブジェクト・クラスを「使用可能」メニューから選択し、「追加」をクリックします。追加する補助オブジェクト・クラスごとにこの処理を繰り返します。「選択済み」メニューから補助オブジェクト・クラスを選択し、「除去」をクリックすれば、その補助オブジェクト・クラスを削除することもできます。


6. 追加するグループの相対識別名 (RDN) を「相対 DN」フィールドに入力します(cn=Search Group1 など)。

7. 選択したツリー項目の識別名を「親 DN」フィールドに入力します(cn=localhost など)。「ブラウズ」をクリックして、リストから「親 DN」を選択することもできます。必要な「親 DN」を指定するには、選択項目を選択して、「選択」をクリックします。デフォルトでは、「親 DN」には、ツリー内で選択されている項目が設定されます。



v cn は、前に指定した相対 DN です。


v 「ibm-searchSizeLimit」フィールドで、検索のサイズを定義する項目数を指定します。この数の範囲は、0 から 2,147,483,647 までです。設定値 0

は、「無制限」と同じ意味を持ちます。

v 「ibm-searchTimeLimit」フィールドで、検索の継続時間を定義する秒数を指定します。この数の範囲は、0 から 2,147,483,647 までです。設定値 0

は、「無制限」と同じ意味を持ちます。

v 選択したオブジェクト・クラスに応じて、「Member」フィールドまたは「uniqueMember」フィールドが表示されます。これらは、作成するグループのメンバーです。項目は DN 形式となります (例: cn=Bob

Garcia,ou=austin,o=ibm,c=us)。

9. 特定の属性に複数の値を追加する場合は、「複数値」をクリックしてから、値を 1 つずつ追加します。複数の値を追加したら、「OK」をクリックします。これらの値は、属性のところに表示される展開可能なメニューに追加されます。



12. 「他の属性」タブで、属性の値を必要に応じて入力します。バイナリー値の追加の詳細については、 228ページの『バイナリー属性』を参照してください。



15. 「完了」をクリックすると、項目が作成されます。


ldapmodify -a -D <adminDN> -w<adminPW> -i<filename>


Dn: cn=Search1, cn=localhostCn: Search1member: cn=user1,o=ibmmember: cn=user2,o=ibmibm-searchTimeLimit: 4000ibm-searchSizeLimit: 2000objectclass: topobjectclass: ibm-searchLimitsobjectclass: groupofNames

検索制限グループの変更検索のサイズ/時間制限の変更やグループ・メンバーの追加/削除など、検索制限グループを変更するには、 Web 管理ツールまたはコマンド行を使用します。

第 17 章検索制限グループの管理 267

Web 管理の使用検索制限グループを変更するには、 226ページの『項目の変更』を参照してください。

コマンド行の使用コマンド行を使用して検索制限グループを変更するには、以下のコマンドを発行します。



dn: cn=Search1, cn=localhostnchangetype: modifyreplace: ibm-searchTimeLimitibm-searchTimeLimit: 3000-replace: ibm-searchSizeLimitibm-searchSizeLimit: 0

add: membermember: cn=Bob Garcia,ou=austin,o=ibm,c=us

検索制限グループのコピー同一の検索制限グループを localhost と IBMpolicies の両方に格納する場合は、検索制限グループのコピーが便利です。既存のグループと同様の情報を格納するが、若干の差がある新規のグループを作成する場合にも役立ちます。

サーバー管理の使用検索制限グループをコピーするには、 229ページの『項目のコピー』を参照してください。

コマンド行の使用localhost に格納されている検索グループを表示するには、以下のコマンドを発行します。

ldapsearch -b cn=localhost objectclass=ibm-searchLimits

コピーする検索制限グループを選択します。エディターを使用して該当する情報を変更し、<filename> に対する変更を保管します。以下のコマンドを発行します。

ldapmodify -a -D <adminDN> -w <adminPW> -i <filename>


Dn: cn=NewSearch1, cn=localhostCn: NewSearch1member: cn=user1,o=ibmmember: cn=user2,o=ibmibm-searchTimeLimit: 4000ibm-searchSizeLimit: 2000objectclass: topobjectclass: ibm-searchLimitsobjectclass: groupofNames


検索制限グループの除去検索制限グループを除去するには、Web 管理ツールまたはコマンド行を使用します。

Web 管理の使用検索制限グループを除去するには、 226ページの『項目の削除』を参照してください。

コマンド行の使用コマンド行を使用して検索制限グループを除去するには、以下のコマンドを発行します。

ldapdelete -D <adminDN> -w<adminPW> -i<filename>


#list additional DNs here, one per linecn=Search1, cn=localhost

複数の検索制限グループを除去するには、DN を列挙します。各 DN は別々の行に記述する必要があります。

第 17 章検索制限グループの管理 269


第 18 章プロキシー許可グループの管理

プロキシー許可とは、ある特殊な形式の認証です。このプロキシー許可という仕組みを利用すると、クライアント・アプリケーションは、それ独自の ID を持つディレクトリーとバインドできますが、別のユーザーの代わりに操作を実行して、ターゲット・ディレクトリーにアクセスできます。複数のユーザーの代わりに、1 組の信頼できるアプリケーションまたはユーザーが Directory Server にアクセスできます。

プロキシー許可グループのメンバーは、管理者または管理グループのメンバーを除く認証済み ID を持つものとみなされます。

プロキシー許可グループは、localhost と IBMpolicies のどちらに格納してもかまいません。 IBMpolicies の下のプロキシー許可グループは複製されますが、 localhost

の下のプロキシー許可グループは複製されません。プロキシー許可グループはlocalhost と IBMpolicies の両方に格納できます。これらの DN のいずれかの下にプロキシー・グループを格納しない場合、サーバーは、グループのプロキシー・パートを無視し、それを通常のグループとして扱います。

例えば、クライアント・アプリケーションである client1 は、上位のアクセス許可を持つ Directory Server にバインドできます。許可が制限されている UserA が、このクライアント・アプリケーションに要求を送信します。クライアントがプロキシー許可グループのメンバーで、client1 として Directory Server に要求を渡すのではなく、より制限されたレベルの許可を使用して、UserA として要求を渡すことができます。つまりアプリケーション・サーバーは、client1 として要求を実行するのではなく、特定の情報にのみアクセスできるか、または UserA がアクセスしたり実行したりできるアクションのみを実行できるという意味です。アプリケーション・サーバーは、UserA の代わりに、つまり UserA のプロキシーとして要求を実行します。

注: 属性メンバーは、その値を DN の形式で保持する必要があります。そうしないと、「DN 構文が無効です」というメッセージが戻されます。グループ DN をプロキシー許可グループのメンバーにすることは許可されていません。

管理者および管理グループのメンバーをプロキシー許可グループのメンバーにすることは許可されていません。

監査ログには、バインド DN とプロキシー DN の両方が、プロキシー許可を使用して実行したアクションごとに記録されます。

プロキシー許可グループの作成プロキシー許可グループを作成するには、Web 管理ツールまたはコマンド行を使用してグループ項目を作成する必要があります。

Web 管理の使用ナビゲーション領域の「ディレクトリー管理」カテゴリーがまだ展開されていない場合は、それを展開します。


1. 「項目の追加」または「項目の管理」をクリックし、場所 (cn=ibmPolicies または cn=localhost) を選択して、「追加」をクリックします。

2. 「名前のグループ (groupof Names)」オブジェクト・クラスを「構造化オブジェクト・クラス」メニューから選択します。


4. ibm-proxyGroup 補助オブジェクト・クラスを「使用可能」メニューから選択し、「追加」をクリックします。追加する補助オブジェクト・クラスごとにこの処理を繰り返します。「選択済み」メニューから補助オブジェクト・クラスを選択し、「除去」をクリックすれば、その補助オブジェクト・クラスを削除することもできます。


6. 「相対 DN」フィールドで cn=proxyGroup を入力します。

7. 選択したツリー項目の識別名を「親 DN」フィールドに入力します(cn=localhost など)。「ブラウズ」をクリックして、リストから「親 DN」を選択することもできます。必要な「親 DN」を指定するには、選択項目を選択して、「選択」をクリックします。デフォルトでは、「親 DN」には、ツリー内で選択されている項目が設定されます。



v cn は proxyGroup です。

v Member は DN 形式となります(例: cn=Bob Garcia,ou=austin,o=ibm,c=us)。

バイナリー値の追加の詳細については、 228ページの『バイナリー属性』を参照してください。

9. 特定の属性に複数の値を追加する場合は、「複数値」をクリックしてから、値を 1 つずつ追加します。

注: cn 値に対して複数の値を作成しないでください。プロキシー許可グループには、既知の名前である proxyGroup を指定する必要があります。

複数の値を追加したら、「OK」をクリックします。これらの値は、属性のところに表示される展開可能なメニューに追加されます。



12. 「他の属性」タブで、属性の値を必要に応じて入力します。バイナリー値の追加の詳細については、 228ページの『バイナリー属性』を参照してください。




15. 「完了」をクリックすると、項目が作成されます。

コマンド行の使用初期メンバーでプロキシー許可グループを作成するには、以下のコマンドを発行します。

ldapadd -D <adminDN> -w<adminPW> -i<filename>


dn: cn=proxyGroup,cn=localhostcn: proxyGroupmember: cn=client1, ou=austin, o=ibm, c=usobjectclass: topobjectclass: containerobjectclass: groupOfNamesobjectclass: ibm-proxyGroup

メンバーを追加するには、以下のコマンドを発行します。



dn: cn=proxyGroup,cn=localhostcn: proxyGroupchangetype: modifyadd: membermember: cn=client2, ou=austin, o=ibm, c=us

プロキシー許可グループの変更

サーバー管理の使用グループ・メンバーの追加または削除など、プロキシー許可グループを変更するには、 226ページの『項目の変更』を参照してください。

コマンド行の使用コマンド行を使用してプロキシー許可グループを変更するには、以下のコマンドを発行します。



dn: cn=proxyGroup,cn=IBMpolicieschangetype: modifydelete: membermember: cn=client1, ou=austin, o=ibm, c=us-add: membermember: cn=client2, ou=austin, o=ibm, c=us-add: membermember: cn=client3, ou=austin, o=ibm, c=us

第 18 章プロキシー許可グループの管理 273

プロキシー許可グループのコピー

サーバー管理の使用同一のプロキシー許可グループを localhost と IBMpolicies の両方に格納する場合は、プロキシー許可グループのコピーが便利です。

プロキシー許可グループをコピーするには、 229ページの『項目のコピー』を参照してください。

コマンド行の使用localhost に格納されているプロキシー許可グループを表示するには、以下のコマンドを発行します。

ldapsearch -D <adminDN> -w <adminPW> -b cn=localhost objectclass=ibm-proxyGroup

プロキシー許可グループを選択します。エディターを使用して該当する情報を変更し、<filename> に対する変更を保管します。以下のコマンドを発行します。

ldapmodify -a -D <adminDN> -w <adminPW> -i <filename>


Dn: cn=proxyGroup, cn=ibmpoliciesCn: proxyGroupobjectclass: ibm-proxyGroupobjectclass: groupOfNamesmember: cn=client1, ou=austin, o=ibm, c=usmember: cn=client2, ou=austin, o=ibm, c=usmember: cn=client3, ou=austin, o=ibm, c=us

プロキシー許可グループの除去プロキシー許可グループからメンバーを除去するには、以下のいずれかの方法を使用します。

Web 管理の使用プロキシー許可グループを除去するには、 226ページの『項目の削除』を参照してください。

コマンド行の使用プロキシー許可グループを除去するには、以下のコマンドを発行します。

ldapdelete -D <adminDN> -w <adminpw> -s "cn=ProxyGroup,cn=IBMpolicies"

プロキシー許可グループは Web 管理ツールによって管理できますが、プロキシー許可は、その他の Web 管理ツール機能には認識されていません。プロキシー許可機能を使用するには、プロキシー許可制御機能を LDAP 操作に組み込むか、または-y オプションを指定して LDAP コマンドを使用します。例を以下に示します。

ldapsearch -D "cn=client1,ou=austin,o=ibm,c=us" -w <client1password>-y "cn=userA,o=ibm,c=us" -b "o=ibm,c=us" -s sub ou=austin

client1 は、前述の ldapsearch の指定に基づいて、userA が読み取り許可を持つものはすべてターゲット・ディレクトリーから読み取ることができます。


第 4 部ユーザー関連のタスク



第 19 章レルム、テンプレート、ユーザー、およびグループ

レルムは、ユーザーとグループが属する集合です。例えば、会社、ボーリング・チーム、またはクラブはすべてレルムになります。

レルムは、(cn=localhost, cn=schema、または cn=configuration の下ではなく) ユーザー命名コンテキストの任意の場所にオブジェクト・クラス ″ibm-realm″ の項目を作成することで定義されます。ibm-realm オブジェクトは、レルムの名前 (cn)、レルム管理者のグループ (ibm-realmAdminGroup)、レルム内のユーザーのオブジェクト・クラスと属性を指定するユーザー・テンプレート・オブジェクト(ibm-realmUserTemplate)、およびユーザー項目とグループ項目が保管されるコンテナー項目の場所 (ibm-realmUserContainer および ibm-realmGroupContainer) を定義します。ディレクトリー管理者と管理グループのメンバーは、ユーザー・テンプレート、レルム、およびレルム管理者グループを管理する責任があります。レルムが作成されると、そのレルムの管理者グループのメンバー (レルム管理者) は、そのレルム内のユーザーとグループを管理する責任があります。

レルムの作成Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

1. 「レルムの追加」をクリックします。

v レルムの名前を入力します。例えば、realm1 などです。

v レルムの場所を識別する親 DN を入力します。この項目は、o=ibm,c=us など、サフィックスの形式になります。「ブラウズ」をクリックして、使用するサブツリーの場所を選択することもできます。

2. 「次へ」をクリックして先へ進みます。

3. 情報を確認します。この時点では、レルムは実際には作成されていないため、「ユーザー・テンプレート」および「ユーザー検索フィルター」は無視されます。

4. 「完了」をクリックすると、レルムが作成されます。

レルム管理者の作成レルム管理者を作成するには、まずレルムの管理グループを作成する必要があります。

レルム管理グループの作成Web 管理ツールのナビゲーション領域の「ディレクトリー管理」カテゴリーを展開します。


2. ツリーを展開して、作成したレルム cn=realm1,o=ibm,c=us を選択します。

3. 「ACL の編集」をクリックします。


4. 「所有者」タブをクリックします。

5. 「所有者の伝搬」にチェックマークが付いていることを確認します。

6. レルム cn=realm1,o=ibm,c=us の DN を入力します。

7. 「タイプ」をグループに変更します。



管理者項目の作成管理者のユーザー項目がまだない場合は、それを作成する必要があります。

Web 管理ツールのナビゲーション領域の「ディレクトリー管理」カテゴリーを展開します。


2. 管理者項目を常駐させたい場所のツリーを展開します。

注: 管理者項目はレルムの外側に配置すると、管理者は誤って自分自身を削除することがなくなります。この例では、場所は o=ibm,c=us のように指定できます。


4. 構造化オブジェクト・クラス (inetOrgPerson など) を選択します。


6. 追加する補助オブジェクト・クラスを選択します。


8. 項目の必須属性を入力します。例を以下に示します。

v RDN cn=John Doe

v DN o=ibm,c=us

v cn John Doe

v sn Doe

9. 「その他の属性」タブで、ユーザー・パスワードを割り当て済みであることを確認します。

10. 完了したら、「完了」をクリックします。

管理グループへの管理者の追加Web 管理ツールのナビゲーション領域の「ディレクトリー管理」カテゴリーを展開します。


2. ツリーを展開して、作成したレルム cn=realm1,o=ibm,c=us を選択します。

3. 「属性の編集」をクリックします。

4. 「メンバー」タブをクリックします。

5. 「メンバー」をクリックします。

6. 「メンバー」フィールドに管理者の DN を入力します。この例では、cn=JohnDoe,o=ibm,c=us です。


7. 「追加」をクリックします。「メンバー」リストに DN が表示されます。


9. 「更新」をクリックします。「現在のメンバー」リストに DN が表示されます。


レルム内で項目を管理できる管理者が作成されました。

テンプレートの作成レルムを作成した後、次のステップでは、ユーザー・テンプレートを作成します。テンプレートを使用すると、入力する情報を編成できます。Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

1. 「ユーザー・テンプレートの追加」をクリックします。

v template1 など、テンプレートの名前を入力します。

v テンプレートを常駐させる場所を入力します。複製のために、このテンプレートを使用するレルムのサブツリー内にテンプレートを検索します。例えば、前の操作で作成されたレルムは cn=realm1,o=ibm,c=us です。「ブラウズ」をクリックして、テンプレートの場所として別のサブツリーを選択することもできます。

2. 「次へ」をクリックします。「完了」をクリックすると、空のテンプレートが作成されます。後でテンプレートに情報を追加することができます。 285ページの『テンプレートの編集』を参照してください。

3. 「次へ」をクリックした場合は、inetOrgPerson など、テンプレートの構造化オブジェクト・クラスを選択します。必要に応じて補助オブジェクト・クラスを追加することもできます。


5. テンプレートに「必須」タブが作成されました。このタブに含まれる情報を変更できます。

a. タブ・メニューの「必須」を選択して、「編集」をクリックします。「タブの編集」パネルが表示されます。タブ「必須」の名前と、オブジェクト・クラス inetOrgPerson で必要とされる選択された属性が表示されます。

v *sn - 名字

v *cn - 共通名

注: * は必須情報を示します。

b. このタブに追加情報を追加する場合は、「属性」メニューから属性を選択します。例えば、departmentNumber を選択して、「追加」をクリックします。employeeNumber を選択して、「追加」をクリックします。title を選択して、「追加」をクリックします。「選択された属性」メニューには、以下のものが表示されます。

v title

v employeeNumber

v departmentNumber

v *sn

第 19 章レルム、テンプレート、ユーザー、およびグループ 279

v *cn

c. 選択した属性を強調表示して、「上へ移動」または「下へ移動」をクリックすることで、これらのフィールドがテンプレートにどのように表示されるかを再指定できます。これにより、属性の位置が 1 つずつ変更されます。属性が希望する順序で配列されるまで、この手順を繰り返します。例を以下に示します。

v *sn

v *cn

v title

v employeeNumber

v departmentNumber

d. 選択された各属性を変更することもできます。

1) 「選択された属性」ボックスの属性を強調表示して、「編集」をクリックします。

2) テンプレートで使用されるフィールドの表示名を変更できます。例えば、departmentNumber を Department number として表示する場合は、「表示名」フィールドにそのように入力します。

3) テンプレートの属性フィールドに事前に入力されるデフォルト値を指定することもできます。例えば、入力しようとするユーザーのほとんどが部門789 のメンバーの場合、789 をデフォルト値として入力できます。テンプレートのフィールドに、事前に 789 が入力されます。実際のユーザー情報を追加するときに、値を変更できます。



6. 追加情報用に別のタブ・カテゴリーを作成するには、「追加」をクリックします。

v 新しいタブの名前を入力します。例えば、「住所情報」などです。

v このタブについて、「属性」メニューから属性を選択します。例えば、homePostalAddress を選択して、「追加」をクリックします。postOfficeBox を選択して、「追加」をクリックします。telephoneNumberを選択して、「追加」をクリックします。homePhone を選択して、「追加」をクリックします。facsimileTelephoneNumber を選択して、「追加」をクリックします。「選択された属性」メニューには、以下のものが表示されます。

– homePostalAddress

– postOfficeBox

– telephoneNumber

– homePhone

– facsimileTelephoneNumber

v 選択した属性を強調表示して、「上へ移動」または「下へ移動」をクリックすることで、これらのフィールドがテンプレートにどのように表示されるかを再指定できます。これにより、属性の位置が 1 つずつ変更されます。属性が希望する順序で配列されるまで、この手順を繰り返します。例を以下に示します。



– postOfficeBox

– telephoneNumber


– homePhone


7. 作成するタブの数だけこのプロセスを繰り返します。完了したら、「完了」をクリックすると、テンプレートが作成されます。

レルムへのテンプレートの追加レルムとテンプレートを作成した後に、レルムにテンプレートを追加する必要があります。Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

1. 「レルムの管理」をクリックします。

2. テンプレートを追加するレルム (この例では cn=realm1,o=ibm,c=us) を選択して、「編集」をクリックします。

3. 「ユーザー・テンプレート」にスクロールして、ドロップダウン・メニューを展開します。

4. テンプレート (この例では cn=template1,cn=realm1,o=ibm,c=us) を選択します。


6. 「閉じる」をクリックします。

グループの作成Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。

1. 「グループの追加」をクリックします。

2. 作成するグループの名前を入力します。例えば、group1 などです。

3. ユーザーを追加する対象となるレルムをドロップダウン・メニューから選択します。この場合は realm1 です。

4. 「完了」をクリックすると、グループが作成されます。レルムにすでにユーザーが存在する場合は、「次へ」をクリックして、ユーザーを group1 に追加できます。「完了」をクリックします。

詳細については、 257ページの『グループ』を参照してください。

レルムへのユーザーの追加Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。

1. 「ユーザーの追加」をクリックします。

2. ユーザーを追加する対象となるレルムをドロップダウン・メニューから選択します。この場合は realm1 です。


3. 「次へ」をクリックします。作成したテンプレート template1 が表示されます。アスタリスク (*) で指示された必須フィールドと、タブのその他のフィールドに入力します。レルム内にすでにグループが作成されている場合は、複数のグループにユーザーを追加することもできます。


レルムの管理最初のレルムをセットアップして転送すると、さらにレルムを追加したり、既存のレルムを変更したりできます。

ナビゲーション領域で「レルムとテンプレート」カテゴリーを展開して、「レルムの管理」をクリックします。既存のレルムのリストが表示されます。このパネルから、レルムの追加、編集、除去、またはレルムのアクセス制御リスト (ACL) の編集を実行できます。

レルムの追加Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

1. 「レルムの追加」をクリックします。

v レルムの名前を入力します。例えば、realm2 などです。

v 例えば realm1 など、既存のレルムがある場合は、レルムを選択して、その設定を作成中のレルムにコピーすることができます。

v レルムの場所を識別する親 DN を入力します。この項目は、o=ibm,c=us など、サフィックスの形式になります。「ブラウズ」をクリックして、使用するサブツリーの場所を選択することもできます。

2. 続行する場合は「次へ」をクリックします。または「完了」をクリックします。

3. 「次へ」をクリックした場合は、情報を検討します。

4. ドロップダウン・メニューから「ユーザー・テンプレート (User template)」を選択します。既存のレルムから設定をコピーした場合、テンプレートのこのフィールドは事前に入力されています。

5. 「ユーザー検索フィルター」を入力します。

6. 「完了」をクリックすると、レルムが作成されます。

レルムの編集Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

v 「レルムの管理」をクリックします。

v 編集するレルムをレルムのリストから選択します。

v 「編集」をクリックします。

– 「ブラウズ」ボタンを使用して、以下のものを変更できます。

- 管理者グループ

- グループ・コンテナー

- ユーザー・コンテナー


– ドロップダウン・メニューから別のテンプレートを選択できます。

– 「ユーザー検索フィルター」を変更するには、「編集」をクリックします。

v 完了したら「OK」をクリックします。

レルムの除去Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

1. 「レルムの管理」をクリックします。

2. 除去するレルムを選択します。


4. 削除を確認するプロンプトが出されたら、「OK」をクリックします。

5. レルムのリストからレルムが除去されます。

レルムの ACL の編集Web 管理ツール・ユーティリティーを使用して ACL プロパティーを表示させたりACL を処理したりするには、 245ページの『ACL の処理』を参照してください。


テンプレートの管理最初のテンプレートを作成すると、さらにテンプレートを追加したり、既存のテンプレートを変更したりすることができます。

ナビゲーション領域で「レルムとテンプレート」カテゴリーを展開して、「ユーザー・テンプレートの管理」をクリックします。既存のテンプレートのリストが表示されます。このパネルから、テンプレートの追加、編集、除去、またはテンプレートのアクセス制御リスト (ACL) の編集を実行できます。

ユーザー・テンプレートの追加Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

1. 「ユーザー・テンプレートの追加」をクリックするか、または「ユーザー・テンプレートの管理」をクリックして、「追加」をクリックします。

v 新しいテンプレートの名前を入力します。例えば、template2 などです。

v 例えば template1 など、既存のテンプレートがある場合は、テンプレートを選択して、その設定を作成中のテンプレートにコピーすることができます。

v テンプレートの場所を識別する親 DN を入力します。この項目は、cn=realm1,o=ibm,c=us など、DN の形式になります。「ブラウズ」をクリックして、使用するサブツリーの場所を選択することもできます。

2. 「次へ」をクリックします。「完了」をクリックすると、空のテンプレートが作成されます。後でテンプレートに情報を追加することができます。 285ページの『テンプレートの編集』を参照してください。


3. 「次へ」をクリックした場合は、inetOrgPerson など、テンプレートの構造化オブジェクト・クラスを選択します。必要に応じて補助オブジェクト・クラスを追加することもできます。


5. 「命名属性」ドロップダウン・メニューから、テンプレートを使用するレルム内の各項目の RDN に使用する属性を選択します。この命名属性 (例:

employeeNumber) には、このテンプレートを使用するレルム内の各メンバーに固有の値を指定する必要があります。この命名属性の値は、ユーザーおよびグループ・タスクのユーザー・リストにおけるユーザー項目の表示名となります。例えば、employeeNumber が命名属性であり 1234abc を入力した場合、該当するユーザー・リストには、項目が 1234abc として表示されます。

6. テンプレートに「必須」タブが作成されました。このタブに含まれる情報を変更できます。

a. タブ・メニューの「必須」を選択して、「編集」をクリックします。「タブの編集」パネルが表示されます。タブ「必須」の名前と、オブジェクト・クラス inetOrgPerson で必要とされる選択された属性が表示されます。

v *sn - 名字

v *cn - 共通名

注: * は必須情報を示します。

b. このタブに追加情報を追加する場合は、「属性」メニューから属性を選択します。例えば、departmentNumber を選択して、「追加」をクリックします。employeeNumber を選択して、「追加」をクリックします。title を選択して、「追加」をクリックします。「選択された属性」メニューには、以下のものが表示されます。

v title

v employeeNumber

v departmentNumber

v *sn

v *cn

c. 選択した属性を強調表示して、「上へ移動」または「下へ移動」をクリックすることで、これらのフィールドがテンプレートにどのように表示されるかを再指定できます。これにより、属性の位置が 1 つずつ変更されます。属性が希望する順序で配列されるまで、この手順を繰り返します。例を以下に示します。

v *sn

v *cn

v title

v employeeNumber

v departmentNumber

d. 選択された各属性を変更することもできます。

1) 「選択された属性」ボックスの属性を強調表示して、「編集」をクリックします。


2) テンプレートで使用されるフィールドの表示名を変更できます。例えば、departmentNumber を Department number として表示する場合は、「表示名」フィールドにそのように入力します。

3) テンプレートの属性フィールドに事前に入力されるデフォルト値を指定することもできます。例えば、入力しようとするユーザーのほとんどが部門789 のメンバーの場合、789 をデフォルト値として入力できます。テンプレートのフィールドに、事前に 789 が入力されます。実際のユーザー情報を追加するときに、値を変更できます。



7. 追加用に別のタブ・カテゴリーを作成するには、「追加」をクリックします。

v 新しいタブの名前を入力します。例えば、「住所情報」などです。

v このタブについて、「属性」メニューから属性を選択します。例えば、homePostalAddress を選択して、「追加」をクリックします。postOfficeBox を選択して、「追加」をクリックします。telephoneNumberを選択して、「追加」をクリックします。homePhone を選択して、「追加」をクリックします。facsimileTelephoneNumber を選択して、「追加」をクリックします。「選択された属性」メニューには、以下のものが表示されます。


– postOfficeBox

– telephoneNumber

– homePhone


v 選択した属性を強調表示して、「上へ移動」または「下へ移動」をクリックすることで、これらのフィールドがテンプレートにどのように表示されるかを再指定できます。これにより、属性の位置が 1 つずつ変更されます。属性が希望する順序で配列されるまで、この手順を繰り返します。例を以下に示します。


– postOfficeBox

– telephoneNumber


– homePhone


8. 作成するタブの数だけこのプロセスを繰り返します。完了したら、「完了」をクリックすると、テンプレートが作成されます。

テンプレートの編集Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

v 「ユーザー・テンプレートの管理」をクリックします。

v 編集するレルムをレルムのリストから選択します。


v 「編集」をクリックします。

v 例えば template1 など、既存のテンプレートがある場合は、テンプレートを選択して、その設定を編集中のテンプレートにコピーすることができます。

v 「次へ」をクリックします。

– ドロップダウン・メニューを使用して、テンプレートの構造化オブジェクト・クラスを変更できます。

– 補助オブジェクト・クラスを追加または除去できます。

v 「次へ」をクリックします。

v テンプレートに含まれるタブと属性を変更できます。タブの変更の詳細については、ステップ 6 (284ページ) を参照してください。

v 完了したら、「完了」をクリックします。

テンプレートの除去Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

1. 「ユーザー・テンプレートの管理」をクリックします。

2. 除去するテンプレートを選択します。



5. テンプレートのリストからテンプレートが除去されます。

テンプレートの ACL の編集Web 管理ツールのナビゲーション領域で「レルムとテンプレート」カテゴリーを展開します。

1. 「ユーザー・テンプレートの管理」をクリックします。

2. ACL を編集する対象となるテンプレートを選択します。

3. 「ACL の編集」をクリックします。

Web 管理ツール・ユーティリティーを使用して ACL プロパティーを表示させたりACL を処理したりするには、 245ページの『ACL の処理』を参照してください。


ユーザーの管理レルムとテンプレートをセットアップすると、ユーザーとともに転送できます。

ユーザーの追加Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。

1. 「ユーザーの追加」をクリックするか、または「ユーザーの管理」をクリックして、「追加」をクリックします。


2. ユーザーを追加する対象となるレルムをドロップダウン・メニューから選択します。

3. 「次へ」をクリックします。そのレルムに関連付けられたテンプレートが表示されます。アスタリスク (*) で指示された必須フィールドと、タブのその他のフィールドに入力します。レルム内にすでにグループが作成されている場合は、複数のグループにユーザーを追加することもできます。


レルム内のユーザーの検索Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。

1. 「ユーザーの検索」をクリックするか、または「ユーザーの管理」をクリックして、「検索」をクリックします。

2. 「レルムの選択」フィールドから、検索するレルムを選択します。

3. 「命名属性」フィールドに検索ストリングを入力します。ワイルドカードがサポートされています。例えば、*smith と入力すると、smith の命名属性を持つすべての項目が表示されます。

4. 選択されたユーザーについて、以下の操作を実行できます。

v 編集 - 『ユーザー情報の編集』を参照してください。

v コピー - 『ユーザーのコピー』を参照してください。

v 削除 - 288ページの『ユーザーの除去』を参照してください。


ユーザー情報の編集Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。

1. 「ユーザーの管理」をクリックします。

2. ドロップダウン・メニューからレルムを選択します。「ユーザー」ボックスにユーザーがまだ表示されていない場合は、「ユーザーの表示」をクリックします。

3. 編集するユーザーを選択して、「編集」をクリックします。

4. タブの情報を変更して、グループ・メンバーシップを変更します。


ユーザーのコピーほとんど同じ情報を持つ多数のユーザーを作成する必要がある場合は、最初のユーザーをコピーして、その情報を変更することで、追加のユーザーを作成できます。

Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。



3. コピーするユーザーを選択して、「コピー」をクリックします。


4. 特定のユーザー (sn または cn など) を識別する必須情報など、新しいユーザーの該当する情報を変更します。両方のユーザーに共通する情報を変更する必要はありません。


ユーザーの除去Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。



3. 除去するユーザーを選択して、「削除」をクリックします。


5. ユーザーのリストからユーザーが除去されます。

グループの管理レルムとテンプレートをセットアップすると、グループを作成できます。

グループの追加Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。

1. 「グループの追加」をクリックするか、または「グループの管理」をクリックして、「追加」をクリックします。

2. 作成するグループの名前を入力します。

3. ユーザーを追加する対象となるレルムをドロップダウン・メニューから選択します。

4. 「完了」をクリックすると、グループが作成されます。レルムにすでにユーザーが存在する場合は、「次へ」をクリックして、ユーザーをグループに追加できます。「完了」をクリックします。

詳細については、 257ページの『グループ』を参照してください。

レルム内のグループの検索Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。

1. 「グループの検索」をクリックするか、または「グループの管理」をクリックして、「検索」をクリックします。

2. 「レルムの選択」フィールドから、検索するレルムを選択します。

3. 「命名属性」フィールドに検索ストリングを入力します。ワイルドカードがサポートされています。例えば、*club と入力すると、読書クラブ、チェス・クラブ、ガーデン・クラブなど、クラブの命名属性を持つすべてのグループが表示されます。

4. 選択されたグループについて、以下の操作を実行できます。


v 編集 - 『グループ情報の編集』を参照してください。

v コピー - 『グループのコピー』を参照してください

v 削除 - 『グループの除去』を参照してください。

5. 完了したら、「閉じる」をクリックします。

グループ情報の編集Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。

1. 「グループの管理」をクリックします。

2. ドロップダウン・メニューからレルムを選択します。「グループ」ボックスにグループがまだ表示されていない場合は、「グループの表示」をクリックします。

3. 編集するグループを選択して、「編集」をクリックします。

4. 「フィルター」をクリックすると、「使用可能なユーザー」の数を制限できます。例えば、「名字」フィールドに *smith と入力すると、使用可能なユーザーが、Ann Smith、Bob Smith、Joe Goldsmith など、名前が smith で終わるユーザーに制限されます。

5. グループにユーザーを追加したり、グループからユーザーを除去することができます。


グループのコピーほとんど同じメンバーを持つ多数のグループを作成する必要がある場合は、最初のグループをコピーして、その情報を変更することで、追加のグループを作成できます。

Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。


2. ドロップダウン・メニューからレルムを選択します。「グループ」ボックスにユーザーがまだ表示されていない場合は、「グループの表示」をクリックします。

3. コピーするグループを選択して、「コピー」をクリックします。

4. 「グループ名」フィールドのグループ名を変更します。新しいグループのメンバーは、元のグループのメンバーと同じになります。

5. グループ・メンバーを変更できます。

6. 完了したら、「OK」をクリックします。新しいグループが作成され、コピー中に行った追加または除去により、元のグループと同じメンバーが含まれます。

グループの除去Web 管理ツールのナビゲーション領域で「ユーザーとグループ」カテゴリーを展開します。


2. ドロップダウン・メニューからレルムを選択します。「グループ」ボックスにグループがまだ表示されていない場合は、「グループの表示」をクリックします。


3. 除去するグループを選択して、「削除」をクリックします。


5. グループのリストからグループが除去されます。


第 5 部コマンド行ユーティリティー

IBM Tivoli Directory Server を管理するもう 1 つの方法として、これらのユーティリティーを使用します。



第 20 章コマンド行ユーティリティー

この章では、コマンド・プロンプトから実行するユーティリティーについて説明します。

クライアント・ユーティリティー

v 294ページの『ldapchangepwd』

v 298ページの『ldapdelete』

v 303ページの『ldapexop』

v 313ページの『ldapmodify、ldapadd』

v 321ページの『ldapmodrdn』

v 326ページの『ldapsearch』

サーバー・ユーティリティー

v 336ページの『bulkload ユーティリティー』

v 341ページの『dbback』

v 341ページの『dbrestore』

v 342ページの『db2ldif ユーティリティー』

v 343ページの『ibmdiradm』

v 344ページの『ibmdirctl』

v 345ページの『ldapdiff』

v 353ページの『ldaptrace』

v 357ページの『ldif ユーティリティー』

v 358ページの『ldif2db ユーティリティー』

v 358ページの『runstats』

クライアント・ユーティリティーは、常に ldap_sasl_bind API を使用します。バインドが呼び出されると、結果がいくつか戻されることがあります。以下は、ユーザー ID とパスワードの各種組み合わせを使用したバインドの結果です。

v 管理者 DN を指定する場合は、パスワードを正しく指定する必要があります。パスワードが正しくないと、バインドが失敗します。

v ヌル DN、すなわち長さが 0 の DN を指定すると、Kerberos などの外部バインド (SASL) を使用していない場合、認証されていないアクセスを受け取ります。

v ヌル以外の DN を指定する場合は、パスワードも指定する必要があります。パスワードを指定しないと、エラーが戻されます。

v DN とパスワードを指定したが、それらがディレクトリー内のサフィックスに含まれていない場合、参照が戻されます。

v 正しい DN およびパスワードを指定した場合、ユーザーはその ID でバインドされます。

v DN とパスワードを指定したが DN が存在しない場合は、認証されていないアクセスが与えられます。


v DN とパスワードを指定した場合、DN が存在してもオブジェクトがユーザー・パスワードを持っていないと、エラー・メッセージが戻されます。

クライアント・ユーティリティーここでは、クライアント・ユーティリティーについて説明します。これらのユーティリティーについては、「IBM Tivoli Directory Server Version 5.2: Client SDK

Programming Reference」の『Chapter 2. Ldap Utilities』にも記載されています。

ldapchangepwdこれは、LDAP パスワード変更ツールです。

形式ldapchangepwd -D binddn -w passwd | ? -n newpassword | ?[-C charset] [-d debuglevel][-G realm][-h ldaphost][-K keyfile] [-m mechanism] [-M] [-N certificatename][-O maxhops] [-p ldapport] [-P keyfilepw] [-R][-U username] [-v] [-V version] [-y proxydn] [-Y] [-Z] [-?]

説明LDAP サーバーにパスワードの変更要求を送信します。

オプション

-C charset

ldapchangepwd ユーティリティーへの入力として提供される DN を、charset で指定されたローカル文字セットで表現することを指定します。デフォルトをオーバーライドするには、-C charset を指定します (デフォルトでは、ストリングを UTF-8 で指定する必要があります)。各オペレーティング・システム・プラットフォームでサポートされる特定の charset の値については、 394ページの『プラットフォームでサポートされている IANA 文字セット』を参照してください。charset でサポートされる値は、charset タグでサポートされる値と同じです (charset タグは、バージョン 1 LDIF ファイル内で必要に応じて定義されます)。

-d debuglevel

LDAP のデバッグ・レベルを debuglevel に設定します。デバッグ・レベルの詳細については、 372ページの『サーバー・デバッグ・モード』を参照してください。

-D binddn

binddn は、LDAP ディレクトリーにバインドする際に使用します。binddn は、ストリングで表現される DN です。-m DIGEST-MD5 と組み合わせて使用した場合は、許可 ID が指定されます。これは、DN にすることも、先頭の文字が ″u:″ または″dn:″ の authzId ストリングにすることもできます。

-G realm

レルムの名前を指定します。-m DIGEST-MD5 と組み合わせて使用すると、この値はバインド時にサーバーに渡されます。

-h ldaphost

LDAP サーバーを実行する代替ホストを指定します。


-K keyfile

デフォルト拡張子 kdb が付いている SSL または TLS 鍵データベース・ファイルの名前を指定します。鍵データベース・ファイルが現行ディレクトリーに入っていない場合は、完全修飾鍵データベース・ファイル名を指定してください。鍵データベース・ファイル名を指定しないと、このユーティリティーはまず、関連するファイル名が指定された SSL_KEYRING 環境変数がないかどうかを探します。SSL_KEYRING 環境変数が定義されていない場合は、デフォルトの鍵リング・ファイル (存在する場合) が使用されます。

デフォルトの鍵リング・ファイル (ldapkey.kdb)、および関連付けられたパスワード stash ファイル (ldapkey.sth)は、LDAPHOME の下の /lib ディレクトリーにインストールされています (LDAPHOME は、インストールされたLDAP サポートへのパスです)。LDAPHOME は、オペレーティング・システム・プラットフォームによって異なります。

v AIX オペレーティング・システム: /usr/ldap

v HP-UX オペレーティング・システム: /usr/IBMldap

v Linux オペレーティング・システム: /usr/ldap

v Solaris オペレーティング・システム: /opt/IBMldapc

v Windows オペレーティング・システム: c:¥Program Files¥IBM¥LDAP

注: これらは、デフォルトのインストール・ディレクトリーです。実際のLDAPHOME は、インストール時に決定されます。

デフォルトの鍵データベース・ファイル、およびデフォルト認証局 (CA) の詳細については、IBM Directory C-Client SDK Programming Reference を参照してください。

鍵リング・データベース・ファイルが見つからない場合は、「ハードコーディング」された一連のデフォルト・トラステッド認証局ルートが使用されます。一般に、鍵データベース・ファイルには、クライアントが信用する認証局 (CA) の証明書が 1 つ以上含まれています。そうした種類の X.509 証明書は、トラステッド・ルートとしても知られています。 SSL または TLS

鍵データベースの管理の詳細については、 87ページの『gsk7ikm の使用』を参照してください。また、SSL と証明書については、 297ページの『SSL

および TLS に関する注意事項』および 80ページの『セキュア・ソケット・レイヤー』を参照してください。

このパラメーターを指定すると、-Z スイッチが事実上有効になります。

-m mechanism

mechanism は、サーバーにバインドする際に使用する SASL メカニズムを指定します。ldap_sasl_bind_s() API が使用されます。-V 2 が設定されている場合、-m パラメーターは無視されます。-m を指定しない場合は、単純認証が使用されます。

-M 参照オブジェクトを通常の項目として管理します。

-n newpassword | ?新しいパスワードを指定します。パスワード・プロンプトを生成する場合は? を使用します。パスワード・プロンプトを使用すると、ps コマンドを実行しても、パスワードが表示されません。

第 20 章コマンド行ユーティリティー 295

-N certificatename

鍵データベース・ファイル内のクライアント証明書に関連付けられているラベルを指定します。LDAP サーバーがサーバー認証のみを実行するように構成されている場合、クライアント証明書は必要ありません。LDAP サーバーがクライアントおよびサーバー認証を実行するように構成されている場合は、クライアント証明書が必要です。デフォルト証明書/秘密鍵ペアがデフォルトとして指定されている場合、certificatename は必要ありません。同様に、指定された鍵データベース・ファイル内に単一の証明書/秘密鍵ペアが含まれている場合も、certificatename は必要ありません。-Z も -K も指定されていない場合、このパラメーターは無視されます。

-O maxhops

maxhops は、追跡参照時にクライアント・ライブラリーが取得するホップの最大数を指定します。デフォルトの hopcount は、10 です。

-p ldapport

LDAP サーバーが listen する代替 TCP ポートを指定します。デフォルトのLDAP ポートは、389 です。-p ではなく -Z を指定すると、デフォルトLDAP SSL ポート 636 が使用されます。

-P keyfilepw

鍵データベースのパスワードを指定します。このパスワードは、鍵データベース・ファイル内の暗号化された情報にアクセスする際に必要となります(一般に、鍵データベース・ファイルには、1 つ以上の秘密鍵が含まれます)。パスワード stash ファイルと鍵データベース・ファイルが関連付けられている場合は、パスワード stash ファイルからパスワードが取得されるので、-P パラメーターは必要ありません。-Z も -K も指定されていない場合、このパラメーターは無視されます。

-R 参照に自動的に従わないことを指定します。

-U username

ユーザー名を指定します。このオプションは、-m DIGEST-MD5 と組み合わせた場合は必須です。それ以外の機構を指定した場合は無視されます。値 username は、サーバーを構成して使用する属性の種類によって異なります。この値は、項目を検索するために使用する UID などの値である場合があります。

-v 冗長モードを使用します。標準出力には多数の診断結果が書き込まれます。

-V version

LDAP サーバーへのバインド時に ldapdchangepwd が使用する LDAP バージョンを指定します。デフォルトでは、LDAP V3 接続が確立されます。LDAP V3 を明示的に選択するには、-V 3 と指定します。LDAP V2 アプリケーションとして実行するには、-V 2 と指定します。ldapdchangepwdなどのアプリケーションでは、ldap_open の代わりに ldap_init を使用して、LDAP V3 が優先プロトコルとして選択されます。

-w passwd | ?passwd は、認証用のパスワードとして使用されます。パスワード・プロンプトを生成する場合は ? を使用します。パスワード・プロンプトを使用すると、ps コマンドを実行しても、パスワードが表示されません。


-y proxydn

DN をプロキシー許可のために使用することを指定します。

-Y セキュア TLS 接続を使用して LDAP サーバーと通信します。-Y オプションは、IBM の GSKit がインストールされている場合にのみサポートされます。

-Z セキュア SSL 接続を使用して LDAP サーバーと通信します。IBM のGSKit で提供される SSL コンポーネント項目がインストールされていないと、-Z オプションはサポートされません。

-? ldapchangepwd の構文ヘルプを表示します。

例以下のコマンド

ldapchangepwd -D cn=John Doe -w a1b2c3d4 -n wxyz9876

は、共通名 ″John Doe″ で指定された項目のパスワードを a1b2c3d4 から wxyz9876

に変更します。

SSL および TLS に関する注意事項このユーティリティーの SSL または TLS 関連の機能を使用するには、SSL またはTLS のライブラリーとツールをインストールする必要があります。SSL または TLS

のライブラリーとツールは、 IBM のグローバル・セキュリティー・キット (GSKit)

で提供されます (GSKit には、 RSA Security Inc. によって開発されたセキュリティー・ソフトウェアが含まれます)。

注: LDAP アプリケーション (LDAP サンプル・プログラムも含む) で 128 ビットの Triple-DES 暗号化を使用する場合は、IBM Directory C-Client SDK

Programming Reference の『LDAP_SSL』の項を参照してください。この項には、強力な暗号化アルゴリズムを備えた SSL を使用するサンプル・プログラムやアプリケーションを作成するために必要な手順が記載されています。

128 ビットの Triple-DES 暗号化アルゴリズムを利用するように LDAP アプリケーションをリンクする方法については、サンプル・プログラムに関連付けられているMAKE ファイルを参照してください。

クライアントの鍵データベース・ファイルの内容は、gsk7ikm ユーティリティーで管理されます。この Java ユーティリティーの詳細については、 87ページの『gsk7ikm の使用』を参照してください。 gsk7ikm ユーティリティーは、クライアントが信用する一連のトラステッド認証局 (CA) を定義するために使用されます。トラステッド CA から証明書を取得し、それを鍵データベース・ファイルに保管して、「トラステッド」とマーク付けすることにより、ユーザーは、トラステッドCA の 1 つから発行されたトラステッド証明書を使用する LDAP サーバーと、信用のある関係を確立できます。 gsk7ikm ユーティリティーを使用すると、クライアントおよびサーバー認証を実行するために必要なクライアント証明書を取得することもできます。

クライアントがアクセスする LDAP サーバーで、サーバー認証しか使用されない場合は、鍵データベース・ファイルに 1 つ以上のトラステッド・ルート証明書を定義するだけで構いません。サーバー認証を使用すると、トラステッド CA の 1 つからターゲット LDAP サーバーに証明書が発行されたことが保証されます。また、サ


ーバーとの SSL または TLS 接続上で送信される LDAP トランザクションは、ldap_bind または ldap_simple_bind_s で指定される LDAP 信任状を含めて、すべて暗号化されます。例えば、LDAP サーバーが VeriSign という高保証の証明書を使用している場合は、VeriSign から CA 証明書を取得し、それを鍵データベース・ファイルにインポートして、トラステッドとマーク付けします。LDAP サーバーが自己署名サーバー証明書を使用している場合、LDAP サーバーの管理者は、サーバーの証明書要求ファイルのコピーをユーザーに提供することができます。証明書要求ファイルは、鍵データベース・ファイルにインポートし、トラステッドとマーク付けします。

クライアントがアクセスする LDAP サーバーで、クライアントおよびサーバー認証が使用される場合は、以下を行う必要があります。

v 1 つ以上のトラステッド・ルート証明書を鍵データベース・ファイルに定義します。これにより、トラステッド CA の 1 つからターゲット LDAP サーバーに証明書が発行されたことが保証されます。また、サーバーとの SSL または TLS 接続上で送信される LDAP トランザクションは、ldap_bind またはldap_simple_bind_s で指定される LDAP 信任状を含めて、すべて暗号化されます。

v gsk7ikm を使用して鍵ペアを作成し、CA からのクライアント証明書を要求します。CA から署名付き証明書を受け取ったら、それをクライアントの鍵データベース・ファイルに保管します。

診断エラーがない場合、終了ステータスは 0 となります。エラーがあると、終了ステータスは 0 以外となり、診断メッセージが標準エラーに書き込まれます。

参照項目ldapadd、ldapdelete、ldapexop、ldapmodify、ldapmodrdn、ldapsearch

ldapdeleteこれは、LDAP 項目削除ツールです。

形式ldapdelete [-c] [-C charset] [-d debuglevel][-D binddn] [-f file][-G realm] [-h ldaphost] [-i file] [-k] [-K keyfile] [-m mechanism][-M] [-n] [-N certificatename] [-O maxops] [-p ldapport][-P keyfilepw] [-R] [-s][-U username} [-v] [-V version][-w passwd | ?] [-y proxydn][-Y] [-Z] [dn]...

説明ldapdelete は、ldap_delete ライブラリー呼び出しへのコマンド行インターフェースです。

ldapdelete は、LDAP サーバーへの接続を開き、1 つ以上の項目にバインドし、削除します。1 つ以上の識別名 (DN) 引き数を指定すると、これらの DN を持つ項目が削除されます。各 DN は、ストリングで表現される DN です。DN 引き数が指定されていない場合、DN のリストは、標準入力から (-i フラグが指定されている場合はファイルから) 読み取られます。

ldapdelete の構文ヘルプを表示するには、以下のように入力します。


ldapdelete -?

.

オプション

-c 連続稼働モード。エラーが報告されても、ldapdelete は変更を継続します。-c を指定しない場合、デフォルト・アクションとして ldapmodrdn は、エラーが報告されると終了します。

-C charset

ldapdelete ユーティリティーへの入力として提供される DN を、charset

で指定されたローカル文字セットで表現することを指定します。デフォルトをオーバーライドするには、-C charset を指定します (デフォルトでは、ストリングを UTF-8 で指定する必要があります)。各オペレーティング・システム・プラットフォームでサポートされる特定の charset の値については、394ページの『プラットフォームでサポートされている IANA 文字セット』を参照してください。charset でサポートされる値は、charset タグでサポートされる値と同じです (charset タグは、バージョン 1 LDIF ファイル内で必要に応じて定義されます)。

-d debuglevel


-D binddn


-f file ファイルから一連の行を読み取り、ファイル内の各行ごとに LDAP 削除を1 回実行します。ファイル内の各行には、1 つの識別名が入っていなければなりません。

-G realm


-h ldaphost


-i file ファイルから一連の行を読み取り、ファイル内の各行ごとに LDAP 削除を1 回実行します。ファイル内の各行には、1 つの識別名が入っていなければなりません。

-k サーバー管理制御を使用することを指定します。

-K keyfile

デフォルト拡張子 kdb が付いている SSL または TLS 鍵データベース・ファイルの名前を指定します。鍵データベース・ファイルが現行ディレクトリーに入っていない場合は、完全修飾鍵データベース・ファイル名を指定してください。鍵データベース・ファイル名を指定しないと、このユーティリ


ティーはまず、関連するファイル名が指定された SSL_KEYRING 環境変数がないかどうかを探します。SSL_KEYRING 環境変数が定義されていない場合は、デフォルトの鍵リング・ファイル (存在する場合) が使用されます。













-m mechanism



-n 実行された場合にどうなるかを示しますが、実際に項目は変更されません。これは、-v とともに指定してデバッグを行う場合に便利なオプションです。

-N certificatename

鍵データベース・ファイル内のクライアント証明書に関連付けられているラベルを指定します。LDAP サーバーがサーバー認証のみを実行するように構成されている場合、クライアント証明書は必要ありません。LDAP サーバーがクライアントおよびサーバー認証を実行するように構成されている場合


は、クライアント証明書が必要です。デフォルト証明書/秘密鍵ペアがデフォルトとして指定されている場合、certificatename は必要ありません。同様に、指定された鍵データベース・ファイル内に単一の証明書/秘密鍵ペアが含まれている場合も、certificatename は必要ありません。-Z も -K も指定されていない場合、このパラメーターは無視されます。

-O maxhops


-p ldapport


-P keyfilepw



-s このオプションを使用して、指定した項目をルートとするサブツリーを削除します。

-U username



-V LDAP サーバーへのバインド時に ldapdelete が使用する LDAP バージョンを指定します。デフォルトでは、LDAP V3 接続が確立されます。LDAP

V3 を明示的に選択するには、-V 3 と指定します。LDAP V2 アプリケーションとして実行するには、-V 2 と指定します。ldapdelete などのアプリケーションでは、ldap_open の代わりに ldap_init を使用して、LDAP V3 が優先プロトコルとして選択されます。


-y proxydn





-dn 1 つ以上の DN 引き数を指定します。各 DN は、ストリングで表現されるDN でなければなりません。


ldapdelete "cn=Delete Me, o=University of Life, c=US"

は、University of Life organizational 項目の直下の共通名 ″Delete Me″ で指定された項目を削除しようとします。一般に、削除を許可するには、binddn と passwd を指定する必要があります (詳細については、-D オプションと -w オプションを参照してください)。

注DN 引き数が指定されていない場合、ldapdelete コマンドは、標準入力から DN

のリストを読み取るために待機します。待機を終了するには、Ctrl+C または Ctrl+D

を使用します。







クライアントの鍵データベース・ファイルの内容は、gsk7ikm ユーティリティーで管理されます。この Java ユーティリティーの詳細については、 87ページの『gsk7ikm の使用』を参照してください。 gsk7ikm ユーティリティーは、クライアントが信用する一連のトラステッド認証局 (CA) を定義するために使用されます。トラステッド CA から証明書を取得し、それを鍵データベース・ファイルに保管して、「トラステッド」とマーク付けすることにより、ユーザーは、トラステッドCA の 1 つから発行されたトラステッド証明書を使用する LDAP サーバーと、信


用のある関係を確立できます。 gsk7ikm ユーティリティーを使用すると、クライアントおよびサーバー認証を実行するために必要なクライアント証明書を取得することもできます。

クライアントがアクセスする LDAP サーバーで、サーバー認証しか使用されない場合は、鍵データベース・ファイルに 1 つ以上のトラステッド・ルート証明書を定義するだけで構いません。サーバー認証を使用すると、トラステッド CA の 1 つからターゲット LDAP サーバーに証明書が発行されたことが保証されます。また、サーバーとの SSL または TLS 接続上で送信される LDAP トランザクションは、ldap_bind または ldap_simple_bind_s で指定される LDAP 信任状を含めて、すべて暗号化されます。例えば、LDAP サーバーが VeriSign という高保証の証明書を使用している場合は、VeriSign から CA 証明書を取得し、それを鍵データベース・ファイルにインポートして、トラステッドとマーク付けします。LDAP サーバーが自己署名サーバー証明書を使用している場合、LDAP サーバーの管理者は、サーバーの証明書要求ファイルのコピーをユーザーに提供することができます。証明書要求ファイルは、鍵データベース・ファイルにインポートし、トラステッドとマーク付けします。





参照項目ldapadd、ldapchangepwd、ldapexop、ldapmodify、ldapmodrdn、ldapsearch

ldapexopこれは、LDAP 拡張操作ツールです。

形式ldapexop [-C charset] [-d debuglevel][-D binddn][-e] [-G realm][-h ldaphost] [-help][-K keyfile] [-m mechanism] [-N certificatename][-p ldapport] [-P keyfilepw] [-?] [-U username] [-v] [-w passwd | ?][-Y] [-Z]-op {cascrepl | clearlog | controlqueue | controlrepl | getAttributes |getlogsize | getusertype | quiesce | readconfig | readlog | stopserver |unbind | uniqueattr }


説明ldapexop ユーティリティーは、ディレクトリーにバインドして、拡張操作値を構成するデータを使用して単一の拡張操作を実行する機能を提供する、コマンド行インターフェースです。

ldapexop ユーティリティーは、すべての LDAP クライアント・ユーティリティーで使用される標準のホスト、ポート、SSL、TLS、および認証オプションをサポートしています。さらに、実行される操作と、各拡張操作の引き数を指定するための一連のオプションも定義されます。

ldapexop の構文ヘルプを表示するには、以下のように入力します。

ldapexop -?

または

ldapexop -help

オプションldapexop コマンドのオプションは、以下の 2 つのカテゴリーに分けられます。

1. ディレクトリー・サーバーに接続する方法を指定する一般オプション。一般オプションは、操作固有のオプションの前に指定する必要があります。

2. 実行される拡張操作を識別する拡張操作オプション。

一般オプション: 一般オプションは、サーバーに接続する方法を指定し、-op オプションの前に指定する必要があります。

-C charset

ldapexop ユーティリティーへの入力として提供される DN を、charset で指定されたローカル文字セットで表現することを指定します。デフォルトをオーバーライドするには、-C charset を指定します (デフォルトでは、ストリングを UTF-8 で指定する必要があります)。各オペレーティング・システム・プラットフォームでサポートされる特定の charset の値については、394ページの『プラットフォームでサポートされている IANA 文字セット』を参照してください。charset でサポートされる値は、charset タグでサポートされる値と同じです (charset タグは、バージョン 1 LDIF ファイル内で必要に応じて定義されます)。

-d debuglevel


-D binddn


-e ldap ライブラリーのバージョン情報を表示して、終了します。


-G realm


-h ldaphost


-help 使用法を表示します。

-K keyfile














-m mechanism

mechanism は、サーバーにバインドする際に使用する SASL メカニズム


を指定します。ldap_sasl_bind_s() API が使用されます。-V 2 が設定されている場合、-m パラメーターは無視されます。-m を指定しない場合は、単純認証が使用されます。

-N certificatename


-p ldapport


-P keyfilepw


-? 使用法を表示します。

-U username







拡張操作オプション: -op 拡張操作オプションは、実行される拡張操作を識別します。拡張操作には、以下のいずれかの値を指定できます。

v cascrepl -action<actionvalue> -rc<contextDN> [options]: 複製のカスケード制御の拡張操作です。要求された処理は指定したサーバーに適用され、特定のサブツリーの全レプリカにも渡されます。これらが転送レプリカの場合、拡張操作をそのレプリカに渡します。操作は、複製トポロジー全体をカスケードします。

-action {quiesce | unquiesce | replnow | wait}これは、実行される処理を指定する必須属性です。

静止 (quiesce)複製による場合を除いて、更新は許可されません。

unquiesce通常の操作を再開し、クライアント更新を受け入れます。

replnowスケジュールに関係なく、キューに入れられたすべての変更を、できるだけ早くすべてのレプリカ・サーバーに複製します。

wait すべての更新がすべてのレプリカに複製されるのを待機します。

-rc contextDn

これは、サブツリーのルートを指定する必須属性です。

オプション

-timeout secs

これは、存在する場合にタイムアウト期間を秒単位で指定するオプションの属性です。存在しないか、または 0 の場合、操作は無期限に待機します。

例:

ldapexop -op cascrepl -action -quiesce -rc "o=acme,c=us" -timeout 60

v clearlog -log<logname>: ログ・ファイルのクリア拡張操作

-log {audit | bulkload | cli | slapd | ibmdiradm | adminDaemon | debug}これは、クリアされるログ・ファイルを指定する必須属性です。

例:

ldapexop -op clearlog -log audit

v controlqueue -skip<skipvalue> -ra<agreementDN>: キュー制御の拡張操作

-skip {all | change-id}これは必須属性です。

– all は、この合意の保留中の変更をすべてスキップすることを示します。

– change-id は、スキップされる単一の変更を識別します。サーバーが現在この変更を複製していない場合、要求は失敗します。

-ra agreementDN

これは、複製合意の DN を指定する必須属性です。

例:


ldapexop -op controlqueue -skip all -ra "cn=server3,ibm-replicaSubentry=master1-id,ibm-replicaGroup=default,o=acme,c=us"

ldapexop -op controlqueue -skip 2185 -ra "cn=server3,ibm-replicaSubentry=master1-id,ibm-replicaGroup=default,o=acme,c=us"

v controlrepl -action<actionvalue> {-rc<contextDN> | -ra<agreementDN>}: 複製制御の拡張操作

-action {suspend | resume | replnow}これは、実行される処理を指定する必須属性です。

-rc contextDn | -ra agreementDn

-rc contextDn は、複製コンテキストの DN です。処理は、このコンテキストのすべての合意に対して実行されます。-ra agreementDn は、複製合意の DN です。処理は、指定した複製合意に対して実行されます。

例:

ldapexop -op controlrepl -action suspend -ra "cn=server3,ibm-replicaSubentry=master1-id,ibm-replicaGroup=default,o=acme,c=us"

v getattributes -attrType<type> -matches bool <value>

-attrType {operational | language_tag | attribute_cache | unique |configuration}

これは、要求する属性のタイプを指定する必須属性です。

-matchess bool {true | false}戻される属性のリストを、-attrType< オプションで指定した属性タイプと同じにするかどうかを指定します。

例:

ldapexop -op getattributes -attrType unique -matches bool true

固有属性として指定されたすべての属性のリストを戻します。

ldapexop -op getattributes -attrType unique -matches bool false

固有属性として指定されなかったすべての属性のリストを戻します。

v getlogsize -log<logname>: ログ・ファイル・サイズの要求の拡張操作

-log {audit | bulkload | cli | slapd | ibmdiradm | adminDaemon | debug}これは、照会されるログ・ファイルを指定する必須属性です。ログ・ファイルのサイズは、行単位で標準出力に書き込まれます。

例:

ldapexop -op getlogsize -log slapd2000 lines

v getusertype: ユーザー・タイプ要求の拡張操作

この拡張操作では、バインド済み DN に基づいてユーザー・タイプが戻されます。

例:

ldapexop - D <AdminDN> -w <Adminpw> -op getusertype


戻り値:

User : root_administratorRole(s) : server_config_administrator directory_administrator

詳細については、 312ページの『拡張操作のユーザー・タイプとユーザー役割』を参照してください。

v quiesce -rc <contextDN>[options]: サブツリーの静止または静止解除の拡張操作

-rc contextDN

これは、静止または静止解除される複製コンテキスト (サブツリー) のDN を指定する必須属性です。

オプション

-end これは、存在する場合にサブツリーの静止解除を指定するオプションの属性です。指定しないと、デフォルトはサブツリーの静止に設定されます。

例:

ldapexop -op quiesce -rc "o=acme,c=us"

ldapexop -op quiesce -end -rc "o=ibm,c=us"

v readconfig -scope<scopevalue>: 構成ファイルの再読み取り拡張操作

-scope {entire | single<entry DN><attribute> | entry <entry DN> | subtree<entry DN>}

これは必須属性です。

– entire は、構成ファイル全体を再読み取りすることを示します。

– single entry DN><attribute は、指定した 1 つの項目および属性を読み取るという意味です。

– entry <entry DN> は、指定した項目を読み取るという意味です。

– subtree <entry DN> とは、指定の項目とその下位にあるサブツリー全体を読み取るという意味です。

例:

ldapexop -op readconfig -scope entire

ldapexop -op readconfig -scope single "cn=configuration" ibm-slapdAdminPW

v readlog -log <logname> -lines <value>: ログ・ファイル行の要求の拡張操作

-log audit | bulkload | cli | slapd | ibmdiradm | debugこれは、照会されるログ・ファイルを指定する必須属性です。

-lines {<first><last> | all}これは、ファイルから読み込まれる最初の行と最後の行、またはすべての行を指定する必須属性です。行には 0 から始まる番号が付けられます。指定された行が標準出力に書き込まれます。

例:

ldapexop -op readlog -log audit -lines 10 20

ldapexop -op readlog -log slapd -lines all

v stopserver: IBM Tivoli Directory Server を停止します。


例:

ldapexop -op stopserver

v unbind {-dn<specificDN> | -ip<sourceIP> | -dn<specificDN> -ip<sourceIP> | all}:

DN、IP、DN/IP に基づいて接続を切断するか、またはすべての接続を切断します。操作が実行されていないすべての接続と操作が作業キューにあるすべての接続が即時に終了します。作業者が現在接続の処理をしている場合は、作業者がその 1 つの操作を完了しだい終了します。

-dn<specificDN>指定した DN バインドされている接続のみを終了するよう要求を出します。この要求が実行されると、指定の DN にバインドされているすべての接続がパージされます。

-ip<sourceIP>指定した IP からの接続を終了するよう要求を出します。この要求が実行されると、指定の IP ソースからのすべての接続がパージされます。

-dn<specificDN> -ip<sourceIP>DN/IP ペアによって指定される接続を終了するよう要求を出します。この要求が実行されると、指定の DN にバインドされているすべての接続、および指定の IP ソースからのすべての接続がパージされます。

-all すべての接続を終了するよう要求を出します。この要求が実行されると、この要求の発信元の接続を除くすべての接続がパージされます。この属性は -DN や IP 属性と組み合わせて使用することはできません。

例:

ldapexop -op unbind -dn cn=john

ldapexop -op unbind -ip 9.182.173.43

ldapexop -op unbind -dn cn=john -ip 9.182.173.43

ldapexop -op unbind -all

v uniqueattr -a <attributeType>: 特定の属性についてすべての非固有値を識別します。

-a <attribute>すべての競合値を列挙する対象となる属性を指定します。

注: 重複するバイナリー値、操作値、構成属性値、および objectclass 属性値は表示されません。これらの属性は、固有属性に対してサポートされる拡張操作ではありません。

例:

ldapexop -op uniqueattr -a "uid"

構成ファイルのこの拡張操作の ″cn=Directory,cn=RDBM Backends,cn=IBM

Directory,cn=s

v Schema,cn=Configuration″ 項目の下に、行

ibm-slapdPlugin:extendedop /bin/libback-rdbm.dll initUniqueAttr

が追加されます。


注DN 引き数が指定されていない場合、ldapdexop コマンドは、標準入力から DN

のリストを読み取るために待機します。待機を終了するには、Ctrl+C または Ctrl+D

を使用します。





Programming Reference の『LDAP_SSL』の項を参照してください。この項には、強力な暗号化アルゴリズムを備えた SSL または TLS を使用するサンプル・プログラムやアプリケーションを作成するために必要な手順が記載されています。









拡張操作のユーザー・タイプとユーザー役割以下に、拡張操作のユーザーとユーザーの役割を示します。

ルート管理者: cn=Configuration 項目の下位に格納された簡易バインド信任状および External with SSL または TLS バインド信任状の所有者である管理ユーザー。このユーザーの Kerberos バインド信任状 (オプション) は、cn=Kerberos,cn=Configuration 項目の下位に格納されます。このユーザーのDigest-MD5 バインド信任状 (オプション) は、cn=Digest,cn=Configuration 項目の下位に格納されます。さらに、この種のユーザーは管理デーモンにバインドできます。

役割:

サーバー構成管理者このユーザーは、構成バックエンドにあるすべての情報に対する無制限のアクセス権を保有しており、サーバーの始動および停止が可能です。このユーザーは動的構成変更を発行できます。

ディレクトリー管理者このユーザーは、構成バックエンド (スキーマおよび RDBM バックエンド)

外部のディレクトリー・データに対する無制限のアクセス権を保有しています。このユーザーは、構成バックエンドで 1 つまたは 2 つの属性を検索できます。このユーザーには、操作に固有のバックエンド (OS/400 システム・プロジェクション・バックエンド、 z/OS RACF® SDBM) に対する権限がない可能性があります。

管理グループ・メンバー: サブツリー cn=Admingroup,cn=Configuration にある項目の下位に格納された簡易、External with SSL または TLS、 Kerberos (オプション)、Digest-MD5 (オプション) の各信任状の所有者である管理ユーザー。さらに、この種のユーザーは管理デーモンにバインドできます。

役割:

サーバー構成グループのメンバーこのユーザーには、管理者と管理グループの信任状を除くすべての構成情報へのアクセス権があります。このユーザーは、サーバーを始動および停止できます。このユーザーは、管理グループに対してメンバーを追加または


除去することはできません。このユーザーは、cn=AdminGroup,cn=Configuration の下位に置かれている管理グループ・メンバー項目の DN、パスワード、Kerberos ID、Digest-MD5 ID を変更することはできません。このユーザーが管理グループのメンバーである場合、このユーザーは自分のパスワードを変更することはできますが、自分のDN、Kerberos ID、Digest-MD5 ID を変更することはできません。このユーザーは、他の管理グループ・メンバーや IBM Tivoli Directory Server 管理者のパスワードを参照することもできません。さらに、このユーザーは監査ログの設定(cn=Audit,cn=Configuration 項目全体) の追加、削除、変更を実行することも、監査ログを消去することもできません。このユーザーはcn=Kerberos,cn=Configuration 項目や cn=Digest,cn=Configuration 項目の追加または削除をすることはできませんが、これらの項目の下位にあるすべての属性を検索することはできます。このユーザーはこれらの項目の下位にあるすべての属性を変更できます。ただし、Kerberos および Digest-MD5 のルート管理者バインド属性は除きます。これらのユーザーは、cn=Configuration 項目の下位にあるibm-slapdAdminDN、ibm-slapdAdminGroupEnabled、ibm-slapdAdminPW の各属性を検索または変更することはできません。このユーザーは動的構成変更を発行できます。

ディレクトリー管理者このユーザーは、構成バックエンド (スキーマおよび RDBM バックエンド)

外部のディレクトリー・データに対する無制限のアクセス権を保有しています。このユーザーは、構成バックエンドで 1 つまたは 2 つの属性を検索できます。このユーザーには、操作に固有のバックエンド (OS/400 システム・プロジェクション・バックエンド、 z/OS RACF SDBM) に対する権限がない可能性があります。

LDAP ユーザーの種類: 所有している信任状が LDAP サーバーの DIT に格納されている正規の LDAP ユーザー。このユーザーの簡易バインド DN およびExternal with SSL または TLS バインド DN は、DIT の項目の DN です。このユーザーのパスワードは、この項目の userpassword 属性に格納されています。

役割:

LDAP ユーザーの役割構成バックエンドに対するアクセス権がほとんどないユーザー。このユーザーは、構成バックエンドで 1 つまたは 2 つの属性を検索できます。このユーザーのディレクトリー・データ (スキーマおよび RDBM バックエンド)

に対するアクセス権は、ACL によって制御されます。

参照項目ldapadd、ldapchangepwd、ldapdelete、ldapmodify、ldapmodrdn、ldapsearch

ldapmodify、ldapaddこれは、LDAP 項目変更ツールと LDAP 項目追加ツールです。


形式ldapmodify [-a] [-b] [-c] [-C charset] [-d debuglevel][-D binddn][-g][-G realm] [-h ldaphost] [-i file] [-k] [-K keyfile] [-m mechanism] [-M][-N certificatename] [-O maxhops] [-p ldapport] [-P keyfilepw] [-r] [-R][-U username] [-v] [-V] [-w passwd | ?] [-y proxydn] [-Y] [-Z]

ldapadd [-a] [-b] [-c] [-C charset] [-d debuglevel][-D binddn][-g][-G realm] [-h ldaphost] [-i file] [-k] [-K keyfile] [-m mechanism] [-M][-N certificatename] [-O maxhops] [-p ldapport] [-P keyfilepw] [-r] [-R][-U username] [-v] [-V] [-w passwd | ?] [-y proxydn] [-Y] [-Z]

説明ldapmodify は、ldap_modify および ldap_add ライブラリー呼び出しへのコマンド行インターフェースです。ldapadd は、ldapmodify の名前を変更したものとしてインプリメントされています。ldapadd として始動されると、-a (新規項目の追加) フラグが自動的にオンになります。

ldapmodify は、LDAP サーバーへの接続をオープンし、サーバーにバインドします。 ldapmodify を使用すると、項目を変更または追加できます。項目情報は、標準入力 (-i オプションを使用した場合はファイル) から読み取られます。

ldapmodify または ldapadd の構文ヘルプを表示するには、以下のように入力します。

ldapmodify -?

または

ldapadd -?

オプション

-a 新規項目を追加します。ldapmodify のデフォルトのアクションは、既存の項目を変更することです。ldapadd として呼び出された場合は、必ずこのフラグが設定されます。

-b ’/’ で始まる値はすべてバイナリー値であると想定されます。また、値の代わりにパスが指定されており、実際の値はそのパスで指定されたファイル内にあると想定されます。

-c 連続稼働モード。エラーが報告されても、ldapmodify は変更を継続します。デフォルトでは、エラーを報告した後、終了します。

-C charset

ldapmodify ユーティリティーおよび ldapadd ユーティリティーの入力として提供されるストリングは charset で指定されたローカル文字セットで表現されており、これを UTF-8 に変換する必要があることを指定します。標準入力から ldapmodify および ldapadd 用のレコードを受け取ると、指定された charset の値を使用して、ストリングとして指定された属性値が変換されます。すなわち、属性タイプの後ろには、コロンが 1 つ付けられます。charset タグを含む LDIF ファイルからレコードを受け取ると、そのcharset タグによって、コマンド行で指定された charset の値がオーバーライドされます。各オペレーティング・システム・プラットフォームでサポートされる特定の charset の値については、 394ページの『プラットフォームで


サポートされている IANA 文字セット』を参照してください。charset でサポートされる値は、charset タグでサポートされる値と同じです (charset タグは、バージョン 1 LDIF ファイル内で必要に応じて定義されます)。

-d debuglevel


-D binddn


注: -D binddn -w passwd は、superuser DN のバインド機能を呼び出しません。

-g 属性値の末尾のスペースを除去しないことを指定します。

-G realm


-h ldaphost


-i file 標準入力からではなく、LDIF ファイルから項目の変更情報を読み取ります。LDIF ファイルが指定されていない場合は、標準入力を使用して LDIF

形式の更新レコードを指定する必要があります。


-K keyfile



v AIX、Linux オペレーティング・システム: /usr/ldap






デフォルトの鍵データベース・ファイルおよびデフォルトの認証局 (CA) については、IBM Directory C-Client SDK Programming Reference を参照してください。





-m mechanism



-N certificatename


-O maxhops


-p ldapport


-P keyfilepw

鍵データベースのパスワードを指定します。このパスワードは、鍵データベース・ファイル内の暗号化された情報にアクセスする際に必要となります(一般に、鍵データベース・ファイルには、1 つ以上の秘密鍵が含まれます)。パスワード stash ファイルと鍵データベース・ファイルが関連付けられている場合は、パスワード stash ファイルからパスワードが取得されるの


で、-P パラメーターは必要ありません。-Z も -K も指定されていない場合、このパラメーターは無視されます。

-r デフォルトで既存の値を置換します。


-U username



-V LDAP サーバーへのバインド時に ldapmodify が使用する LDAP バージョンを指定します。デフォルトでは、LDAP V3 接続が確立されます。LDAP

V3 を明示的に選択するには、-V 3 と指定します。LDAP V2 アプリケーションとして実行するには、-V 2 と指定します。ldapmodify などのアプリケーションでは、ldap_open の代わりに ldap_init を使用して、LDAP V3 が優先プロトコルとして選択されます。


-y proxydn




入力フォーマットファイルの内容 (または、-i フラグが指定されていない場合は標準入力)は、LDIF

形式に準拠している必要があります。

代替入力フォーマット古いバージョンの ldapmodify との互換性を確保するため、代替入力フォーマットがサポートされています。このフォーマットは、ブランク行で分離された 1 つ以上の項目からなります。各項目は、以下のように指定します。

Distinguished Name (DN)

attr=value

[attr=value ...]

ここでは、attr は属性名で、value はその値です。


デフォルトでは、値が追加されます。-r コマンド行フラグを指定した場合は、デフォルトで、現在の値が新しい値で置き換えられます。特定の属性を複数指定することが許されているため、例えば、1 つの属性に複数の値を追加することもできます。また、’¥¥’ を末尾に付けると、複数行に渡って値を続けることができ、値内の改行を保持できます。

値を除去するには、attr の前に - を付けます。属性を完全に除去するには、= とvalue を省略します。

-r フラグが指定されている場合、値を追加するには、attr の前に + を付けます。

例以下の内容を持つ、ファイル /tmp/entrymods が存在すると想定します。

dn: cn=Modify Me, o=University of Higher Learning, c=US

changetype: modify

replace: mail

mail: [email protected]

-

add: title

title: Grand Poobah

-

add: jpegPhoto

jpegPhoto: /tmp/modme.jpeg

-

delete: description

-

以下のコマンド

ldapmodify -b -r -i /tmp/entrymods

は、Modify Me 項目の mail 属性の内容を値 [email protected] で置き換え、Grand Poobah というタイトルを追加し、ファイル /tmp/modme.jpeg の内容をjpegPhoto として追加し、description 属性を完全に除去します。これと同じ変更は、古い ldapmodify の入力フォーマットを使用して行うこともできます。例を以下に示します。

cn=Modify Me, o=University of Higher Learning, c=US

[email protected]

+title=Grand Poobah

+jpegPhoto=/tmp/modme.jpeg

-description


以下のコマンドを使用します。

ldapmodify -b -r -i /tmp/entrymods

以下の内容を持つ、ファイル /tmp/newentry が存在すると想定します。

dn: cn=John Doe, o=University of Higher Learning, c=US

objectClass: person

cn: John Doe

cn: Johnny

sn: Doe

title: the world’s most famous mythical person

mail: [email protected]

uid: jdoe


ldapadd -i /tmp/entrymods

は、ファイル /tmp/newentry からの値を使用して、John Doe の新しい項目を追加します。

以下の内容を持つ、ファイル /tmp/newentry が存在すると想定します。

dn: cn=John Doe, o=University of Higher Learning, c=US

changetype: delete


ldapmodify -i /tmp/entrymods

は、John Doe の項目を除去します。

注-i オプションを指定してもファイルから項目の情報が得られない場合、ldapmodifyコマンドは、標準入力から項目を読み取るために待機します。待機を終了するには、Ctrl+C または Ctrl+D を使用します。





Programming Reference の『LDAP_SSL』の項を参照してください。この項には、強力な暗号化アルゴリズムを備えた SSL または TLS を使用するサンプル・プログラムやアプリケーションを作成するために必要な手順が記載されて


います。128 ビットの Triple-DES 暗号化アルゴリズムを利用するように LDAP アプリケーションをリンクする方法については、サンプル・プログラムに関連付けられているMAKE ファイルを参照してください。







参照項目ldapchangepwd、ldapdelete、ldapexop、ldapmodrdn、ldapsearch


ldapmodrdnこれは、LDAP 項目変更 RDN ツールです。

形式ldapmodrdn [-c] [-C charset] [-d debuglevel][-D binddn][-G realm] [-h ldaphost] [-i file] [-k] [-K keyfile][-m mechanism] [-M] [-n] [-N certificatename] [-O hopcount][-p ldapport] [-P keyfilepw] [-r] [-R] [-U username] [-v] [-V][-w passwd | ?] [-y proxydn] [-Y] [-Z] [dn newrdn | [-i file]]

説明ldapmodrdn は、ldap_modrdn ライブラリー呼び出しへのコマンド行インターフェースです。

ldapmodrdn は、LDAP サーバーへの接続をオープンし、項目の RDN にバインドし、変更します。項目情報は、標準入力、ファイル (- f オプションを指定した場合)、またはコマンド行の dn と rdn の対から読み取られます。

RDN (相対識別名) および DN (識別名) については、LDAP 識別名の説明を参照してください。

ldapmodrdn の構文ヘルプを表示するには、以下のように入力します。

ldapmodrdn -?

オプション

-c 連続稼働モード。エラーが報告されても、ldapmodrdn は変更を継続します。-c を指定しない場合、デフォルト・アクションとして ldapmodrdn は、エラーが報告されると終了します。

-C charset

ldapmodrdn ユーティリティーの入力として提供されるストリングを、charset で指定されたローカル文字セットで表現することを指定します。デフォルトをオーバーライドするには、-C charset を指定します (デフォルトでは、ストリングを UTF-8 で指定する必要があります)。各オペレーティング・システム・プラットフォームでサポートされる特定の charset の値については、 394ページの『プラットフォームでサポートされている IANA 文字セット』を参照してください。charset でサポートされる値は、charset タグでサポートされる値と同じです (charset タグは、バージョン 1 LDIF ファイル内で必要に応じて定義されます)。

-d debuglevel


-D binddn



-G realm


-h ldaphost


-i file 標準入力またはコマンド行からではなく、ファイルから項目の変更情報を読み取ります (rdn と newrdn を指定して)。標準入力は、ファイルから提供することもできます (″< file″ を指定することにより)。


-K keyfile

SSL または TLS 鍵データベース・ファイル (デフォルト拡張子 ″kdb″ が付いている) の名前を指定します。鍵データベース・ファイルが現行ディレクトリーに入っていない場合は、完全修飾鍵データベース・ファイル名を指定してください。鍵データベース・ファイル名を指定しないと、このユーティリティーはまず、関連するファイル名が指定された SSL_KEYRING 環境変数がないかどうかを探します。SSL_KEYRING 環境変数が定義されていない場合は、デフォルトの鍵リング・ファイル (存在する場合) が使用されます。

デフォルトの鍵リング・ファイル (ldapkey.kdb)、および関連付けられたパスワード stash ファイル (ldapkey.sth) は、LDAPHOME の下の /lib ディレクトリーにインストールされています (LDAPHOME は、インストールされたLDAP サポートへのパスです)。LDAPHOME は、オペレーティング・システム・プラットフォームによって異なります。




v Windows オペレーティング・システム: c:¥Program Files¥IBM¥LDAP (注:

これは、デフォルトのインストール・ディレクトリーです。実際のLDAPHOME は、インストール時に決定されます。)






-m mechanism

mechanism は、サーバーにバインドする際に使用する SASL メカニズム


を指定します。ldap_sasl_bind_s() API が使用されます。-V 2 が設定されている場合、-m パラメーターは無視されます。-m を指定しない場合は、単純認証が使用されます。



-N certificatename


-O hopcount

hopcount は、追跡参照時にクライアント・ライブラリーが取得するホップの最大数を指定します。デフォルトの hopcount は、10 です。

-p ldapport


-P keyfilepw


-r 項目から古い RDN 値を除去します。デフォルト・アクションでは、古い値が保持されます。


-U username



-V LDAP サーバーへのバインド時に ldapmodrdn が使用する LDAP バージョンを指定します。デフォルトでは、LDAP V3 接続が確立されます。


LDAP V3 を明示的に選択するには、-V 3 と指定します。LDAP V2 アプリケーションとして実行するには、-V 2 と指定します。ldapmodrdn などのアプリケーションでは、ldap_open の代わりに ldap_init を使用して、LDAP V3 が優先プロトコルとして選択されます。


-y proxydn




dn newrdn詳細については、以下の『dn newrdn の入力フォーマット』を参照してください。

dn newrdn の入力フォーマットコマンド行引き数の dn と newrdn を指定すると、newrdn は、DN (dn) で指定された RDN 項目に取って代わります。それ以外の場合、ファイルの内容 (または、- iフラグが指定されていない場合は標準入力) は、1 つ以上の項目からなります。


Relative Distinguished Name (RDN)

DN と RDN のペアを分離するには、1 つ以上のブランク行を使用します。

例以下の内容を持つ、ファイル /tmp/entrymods が存在すると想定します。

cn=Modify Me, o=University of Life, c=UScn=The New Me


ldapmodrdn -r -i /tmp/entrymods

は、Modify Me 項目の RDN を Modify Me から The New Me に変更し、古い cn のModify Me を除去します。

注-i オプションを指定してもファイルから項目の情報が得られない場合 (または、コマンド行ペアの dn と rdn から項目の情報が得られない場合)、ldapmodrdn コマンドは、標準入力から項目を読み取るために待機します。待機を終了するには、Ctrl+C または Ctrl+D を使用します。








クライアントの鍵データベース・ファイルの内容は、gsk7ikm ユーティリティーで管理されます。この Java ユーティリティーの詳細については、 87ページの『gsk7ikm の使用』を参照してください。 gsk7ikm ユーティリティーは、クライアントが信用する一連のトラステッド認証局 (CA) を定義するために使用されます。トラステッド CA から証明書を取得し、それを鍵データベース・ファイルに保管して、「トラステッド」とマーク付けすることにより、ユーザーは、トラステッドCA の 1 つから発行された証明書を使用する LDAP サーバーと、信用のある関係を確立できます。 gsk7ikm ユーティリティーを使用すると、クライアントおよびサーバー認証を実行するために必要なクライアント証明書を取得することもできます。







参照項目ldapadd、ldapchangepwd、ldapdelete、ldapexop、ldapmodify、ldapsearch

ldapsearchこれは、LDAP 検索ツールおよびサンプル・プログラムです。

形式ldapsearch [-a deref] [-A] [-b searchbase] [-B] [-C charset] [-d debuglevel][-D binddn] [-F sep] [-G realm] [-h ldaphost] [-i file] [-K keyfile][-l timelimit] [-L] [-m mechanism] [-M] [-n] [-N certificatename][-o attr_type] [-O maxhops] [-p ldapport] [-P keyfilepw] [-q pagesize][-R] [-s scope ] [-t] [-T seconds] [-U username] [-v] [-V version][-w passwd | ?] [-z sizelimit] [-y proxydn] [-Y] [-Z]filter [-9 p] [-9 s] [attrs...]

説明ldapsearch は、ldap_search ライブラリー呼び出しへのコマンド行インターフェースです。

ldapsearch は、LDAP サーバーへの接続をオープンし、フィルターを使用した検索にバインドし実行します。フィルターは、LDAP フィルターのストリング表記に準拠するようにします (フィルターについては、IBM Tivoli Directory Server Version

5.2 C-Client SDK Programming Reference の『ldap_search』を参照してください)。

ldapsearch が、1 つ以上の項目を見つけると、attrs によって指定された属性が検索され、その項目と値が標準出力に出力されます。attrs が指定されていないときは、すべての属性が戻されます。

ldapsearch の構文ヘルプを表示するには、ldapsearch -? と入力します。

オプション

-a deref別名の参照解除の方法を指定します。deref には、never、always、search、または find のいずれかを設定し、別名を参照解除しない、常に参照解除する、検索時に参照解除する、または検索に基本オブジェクトを発見したときにのみ参照解除することを指定します。デフォルトでは、別名は参照解除されません。

-A (値ではなく) 属性のみを検索します。これは、特定の値には関心がなく、項目に属性があるかどうかのみを知りたい場合に便利です。

-b searchbase検索の開始点として、デフォルトではなく検索ベースを使用します。-b を指定しないと、このユーティリティーは、LDAP_BASEDN 環境変数に検索


ベース定義がないかどうかを検査します。どちらも設定しなかった場合は、デフォルトのベースは ″″、つまりヌル検索が設定されます。ヌル検索を実行すると、ディレクトリー情報ツリー (DIT) 全体の中の項目がすべて戻されます。この検索では、-s サブツリー・オプションの指定が必要です。そうしなければ、エラー・メッセージが表示されます。ヌル・ベースの検索要求では大量のリソースが消費されることに注意してください。

-B 非 ASCII 値の表示を抑止しないときに指定します。これは、ISO-8859.1 などの代替文字セットで表示される値を扱う場合に便利です。このオプションは、-L オプションによって、暗黙指定されます。

-C charsetldapsearch ユーティリティーへの入力として提供されるストリングを、charset で指定されたローカル文字セットで表現することを指定します。ストリング入力には、フィルター、バインド DN、および基本 DN が含まれます。同様に、データを表示する場合、ldapsearch は、LDAP サーバーから受け取ったデータを指定された文字セットに変換します。デフォルトをオーバーライドするには、″-C charset″ を指定します (デフォルトでは、ストリングを UTF-8 で指定する必要があります)。また、-C オプションと -Lオプションの両方を指定すると、入力は指定された文字セット内のものであることが想定されますが、ldapsearch からの出力は常に UTF-8 表記 (非印刷可能文字が検出された場合は base-64 エンコードによるデータ表記) で保持されます。これは、標準 LDIF ファイルには、UTF-8 (または base-64

エンコードによる UTF-8) 表記のストリング・データしか含まれないためです。各オペレーティング・システム・プラットフォームでサポートされる特定の charset の値については、 394ページの『プラットフォームでサポートされている IANA 文字セット』を参照してください。charset でサポートされる値は、charset タグでサポートされる値と同じです (charset タグは、バージョン 1 LDIF ファイル内で必要に応じて定義されます)。

-d debuglevelLDAP のデバッグ・レベルを debuglevel に設定します。デバッグ・レベルの詳細については、 372ページの『サーバー・デバッグ・モード』を参照してください。

-D binddn


-e LDAP ライブラリーのバージョン情報を表示して、終了します。

-F sepsep を属性名と値の間のフィールド区切り文字として使用します。-L フラグが指定されていない場合、デフォルトの区切り文字は ’=’ となります。-Lフラグが指定されている場合、このオプションは無視されます。

-G realm



-h ldaphostLDAP サーバーを実行する代替ホストを指定します。

-i file ファイルから一連の行を読み取り、各行ごとに LDAP 検索を 1 回実行します。この場合、コマンド行で指定されたフィルターは、% の最初のオカレンスがファイルからの行で置換されるパターンとして扱われます。ファイルが単一の ″-″ 文字の場合は、標準入力から行が読み取られます。

例えば、ldapsearch -V3 -v -b ″o=ibm,c=us″ -D ″cn=admin″ -w ldap -ifilter.input %s dn というコマンドでは、filter.input ファイルに次のようなフィルター情報が記述されているとします。

(cn=*Z)(cn=*Z*)(cn=Z*)(cn=*Z*)(cn~=A)(cn>=A)(cn<=B)

注: 各フィルターは別々の行に指定する必要があります。

このコマンドでは、cn=*Z で始まるフィルターごとにサブツリーo=ibm,c=us の検索が実行されます。この検索が完了すると、次のフィルター cn=*Z* の検索が開始されます。以下最後のフィルター cn<=B が完了するまで、同様の手順で検索が続行されます。

注: -i < file> オプションは、-f< file> オプションを置き換えたものです。-f オプションは引き続きサポートされていますが、このオプションの使用は推奨できません。

-K keyfileSSL または TLS 鍵データベース・ファイル (デフォルト拡張子 ″kdb″ が付いている) の名前を指定します。鍵データベース・ファイルが現行ディレクトリーに入っていない場合は、完全修飾鍵データベース・ファイル名を指定してください。鍵データベース・ファイル名を指定しないと、このユーティリティーはまず、関連するファイル名が指定された SSL_KEYRING 環境変数がないかどうかを探します。SSL_KEYRING 環境変数が定義されていない場合は、デフォルトの鍵リング・ファイル (存在する場合) が使用されます。

デフォルトの鍵リング・ファイル (ldapkey.kdb)、および関連付けられたパスワード stash ファイル (ldapkey.sth) は、LDAPHOME の下の /lib ディレクトリーにインストールされています (LDAPHOME は、インストールされたLDAP サポートへのパスです)。LDAPHOME は、オペレーティング・システム・プラットフォームによって異なります。




v Windows オペレーティング・システム: c:¥Program Files¥IBM¥LDAP (注:

これは、デフォルトのインストール・ディレクトリーです。実際のLDAPHOME は、インストール時に決定されます。)


デフォルトの鍵データベース・ファイル、およびデフォルト認証局 (CA) の詳細については、IBM C-Client SDK Programming Reference の LDAP_SSL

API で説明されている『Default Keyring and Password (デフォルトの鍵リングおよびパスワード)』セクションを参照してください。


鍵データベースの管理の詳細については、 87ページの『gsk7ikm の使用』を参照してください。また、SSL と証明書の詳細については、 335ページの『SSL および TLS に関する注意事項』と LDAP SSL または TLS のAPI の説明を参照してください。


-l timelimit検索の完了までに費やせる最大時間 (秒) を指定します。

-L 検索結果を LDIF 形式で表示します。このオプションを指定すると、-B オプションもオンになり、-F オプションは無視されます。

-m mechanismmechanism は、サーバーにバインドする際に使用する SASL メカニズムを指定します。ldap_sasl_bind_s() API が使用されます。 -V 2 が設定されている場合、-m パラメーターは無視されます。-m を指定しない場合は、単純認証が使用されます。



-N certificatename鍵データベース・ファイル内のクライアント証明書に関連付けられているラベルを指定します。

注: LDAP サーバーがサーバー認証のみを実行するように構成されている場合、クライアント証明書は必要ありません。LDAP サーバーがクライアントおよびサーバー認証を実行するように構成されている場合は、クライアント証明書が必要です。デフォルト証明書/秘密鍵ペアがデフォルトとして指定されている場合、certificatename は必要ありません。同様に、指定された鍵データベース・ファイル内に単一の証明書/秘密鍵ペアが含まれている場合も、certificatename は必要ありません。-Z も -K も指定されていない場合、このパラメーターは無視されます。

-o attr_type

検索結果のソート基準に使用する属性を指定するには、-o (order) パラメーターを使用します。-o パラメーターを複数使用すると、ソート順序をさらに定義できます。以下の例の場合、検索結果は最初に名字 (sn) でソートされ、次に名前 (givenname) でソートされます。名前 (givenname) は、先頭に負符号 (-) が付いているので、逆順 (降順) でソートされます。


-o sn -o -givenname

したがって、ソート・パラメーターの構文は、以下のようになります。

[-]<attribute name>[:<matching rule OID>]

ここで、

v attribute name は、ソート基準にする属性名です。

v matching rule OID は、ソートに使用する突き合わせ規則のオプショナルOID です。

v 負符号 (-) は、結果を逆順でソートすることを指定します。

v criticality は常にクリティカルです。

デフォルトの ldapsearch 操作では、戻された結果はソートされません。

-O maxhopsmaxhops は、追跡参照時にクライアント・ライブラリーが取得するホップの最大数を指定します。デフォルトの hopcount は、10 です。

-p ldapportLDAP サーバーが listen する代替 TCP ポートを指定します。デフォルトのLDAP ポートは、389 です。-p ではなく -Z を指定すると、デフォルトLDAP SSL ポート 636 が使用されます。

-P keyfilepw鍵データベースのパスワードを指定します。このパスワードは、鍵データベース・ファイル内の暗号化された情報にアクセスする際に必要となります(一般に、鍵データベース・ファイルには、1 つ以上の秘密鍵が含まれます)。パスワード stash ファイルと鍵データベース・ファイルが関連付けられている場合は、パスワード stash ファイルからパスワードが取得されるので、-P パラメーターは必要ありません。-Z も -K も指定されていない場合、このパラメーターは無視されます。

-q pagesize

検索結果のページングを指定するには、-q (照会ページ・サイズ) および -T

(検索間隔 (秒)) を使用します (これらは、新しいパラメーターです)。以下の例では、検索の結果がすべて戻されるまでの間、15 秒ごとに 1 ページ(25 項目) ずつが戻されます。検索操作の実行中、ldapsearch クライアントは、結果のページング要求ごとに、接続の連結をすべて処理します。

-q 25 -T 15

-v (冗長) パラメーターを指定すると、サーバーから戻された項目からなる各ページの後に、これまでに戻された項目の数が示されます (例えば、「合計で 30 項目が戻されました。(30 total entries have been returned.)£のように示されます)。

-q パラメーターは複数使用できるため、単一の検索操作の実行中に各種のページ・サイズを指定できます。以下の例では、先頭のページが 15 項目、2 番目のページが 20 項目となります。3 番目のパラメーターにより、結果/検索操作のページングが終了されます。

-q 15 -q 20 -q 0


以下の例では、先頭のページが 15 項目、残りすべてのページが 20 項目となります。最後に指定した -q の値は、検索操作が完了するまで持続されます。

-q 15 -q 20

デフォルトの ldapsearch 操作では、1 回の要求ですべての項目が戻されるため、ページングは行われません。


-s scope検索範囲を指定します。scope には、base、one、または sub のいずれかを設定し、基本オブジェクト、1 レベル、またはサブツリー検索を指定します。デフォルトは sub です。

注: -b オプションを指定しないか、または -b ″″ を指定することによってヌル検索を指定する場合は、-s オプションを指定する必要があります。ヌル検索では、デフォルトのスコープは、使用不可になっています。

-t 検索した値を一連の一時ファイルに書き込みます。これは、jpegPhoto やaudio など、非 ASCII の値を扱う場合に便利です。

-T seconds

検索間隔 (秒)。-T オプションは、-q オプションを指定した場合にのみサポートされます。

-U username



-V LDAP サーバーへのバインド時に ldapmodify が使用する LDAP バージョンを指定します。デフォルトでは、LDAP V3 接続が確立されます。LDAP

V3 を明示的に選択するには、″-V 3″ と指定します。LDAP V2 アプリケーションとして実行するには、″-V 2″ と指定します。ldapmodify などのアプリケーションでは、ldap_open の代わりに ldap_init を使用して、LDAP V3

が優先プロトコルとして選択されます。


-y proxydn




-z sizelimit検索結果の項目数の最大値に制限します。これにより、検索操作で戻される項目の数に上限を設定できます。


-9 p ページングの重要度を false に設定します。検索はページングなしで処理されます。

-9 s ソートの重要度を false に設定します。検索はソートなしで処理されます。

filter 検索で使用するフィルターのストリング表記を指定します。簡単なフィルターは、attributetype=attributevalue のように指定できます。より複雑なフィルターは、以下のバッカス正規形式 (BNF) に従って、接頭表記法で指定します。

<filter> ::=’(’<filtercomp>’)’<filtercomp> ::= <and>|<or>|<not>|<simple><and> ::= ’&’ <filterlist><or> ::= ’|’ <filterlist><not> ::= ’!’ <filter><filterlist> ::= <filter>|<filter><filtertype><simple> ::= <attributetype><filtertype><attributevalue><filtertype> ::= ’=’|’~=’|’<=’|’>=’

’~=’ 構成体は、近似一致を指定するために使用します。<attributetype> および <attributevalue> の表記については、″RFC 2252, LDAP V3 Attribute

Syntax Definitions″で説明されています。 <attributevalue> に単一の * を指定すると、属性が存在するかどうかを確認できます。また、テキストとアスタリスク ( * ) を組み合わせて指定すると、サブストリングの一致を確認できます。

例えば、フィルター ″mail=*″ を指定すると、mail 属性を持つ項目がすべて検出されます。フィルター ″mail=*@student.of.life.edu″ を指定すると、@student.of.life.edu で終わる mail 属性を持つ項目がすべて検出されます。フィルターに括弧を挿入する場合は、バックスラッシュまたは円記号 (¥) で括弧をエスケープします。

注: IBM Directory では、フィルター "cn=Bob *" のように、Bob とアスタリスク ( * ) の間にスペースを入れると、″Bob Carter″ は検出されても、″Bobby Carter″ は検出されません。″Bob″ と、ワイルドカード文字( * ) の間にスペースがあるかないかで、フィルター検索の結果は異なります。

使用可能なフィルターの詳細については、「RFC 2254, A String

Representation of LDAP Search Filters」を参照してください。

出力フォーマット1 つ以上の項目が見つかった場合、各項目は、以下の形式で標準出力に書き込まれます。







attributename=value

attributename=value

attributename=value

...

項目が複数ある場合は、単一のブランク行で分離されます。-F オプションで区切り文字を指定している場合は、その文字が `=’ 文字の代わりに使用されます。 -t オプションを指定している場合は、実際の値の代わりに、一時ファイルの名前が使用されます。 -A オプションを指定している場合は、″attributename″ の部分のみが書き込まれます。


ldapsearch "cn=john doe" cn telephoneNumber

は、共通名 ″john doe″ を持つ項目に対して、サブツリー検索を実行します (デフォルトの検索ベースを使用)。共通名と telephoneNumber の値は、検索され、標準出力に表示されます。この 2 つの項目が見つかった場合は、以下の例のように表示されます。

cn=John E Doe, ou="College of Literature, Science, and the Arts",ou=Students, ou=People, o=University of Higher Learning, c=US

cn=John Doe

cn=John Edward Doe

cn=John E Doe 1

cn=John E Doe

telephoneNumber=+1 313 555-5432

cn=John B Doe, ou=Information Technology Division,ou=Faculty and Staff, ou=People, o=University of Higher Learning, c=US

cn=John Doe

cn=John B Doe 1

cn=John B Doe

telephoneNumber=+1 313 555-1111


ldapsearch -t "uid=jed" jpegPhoto audio

は、デフォルトの検索ベースを使用して、ユーザー ID ″jed″ を持つ項目にサブツリー検索を実行します。jpegPhoto と audio の値は、検索され、一時ファイルに書き込まれます。要求された 2 つの属性のそれぞれについて 1 つの値を持つ項目が 1 つ見つかった場合は、以下の例のように表示されます。


cn=John E Doe, ou=Information Technology Division,

ou=Faculty and Staff,

ou=People, o=University of Higher Learning, c=US

audio=/tmp/ldapsearch-audio-a19924

jpegPhoto=/tmp/ldapsearch-jpegPhoto-a19924

次のコマンド

ldapsearch -L -s one -b "c=US" "o=university*" o description

は、組織名が university で始まるすべての組織に対して、c=US レベルで 1 レベル検索を実行します。検索結果は、LDIF 形式で表示されます (LDAP データ交換フォーマットの説明を参照してください)。組織名と記述属性値は、検索され、標準出力に表示されます。表示例を以下に示します。

dn: o=University of Alaska Fairbanks, c=US

o: University of Alaska Fairbanks

description: Preparing Alaska for a brave new tomorrow

description: leaf node only

dn: o=University of Colorado at Boulder, c=US

o: University of Colorado at Boulder

description: No personnel information

description: Institution of education and research

dn: o=University of Colorado at Denver, c=US

o: University of Colorado at Denver

o: UCD

o: CU/Denver

o: CU-Denver

description: Institute for Higher Learning and Research

dn: o=University of Florida, c=US

o: University of Florida

o: UFl

description: Shaper of young minds

...


次のコマンド

ldapsearch -b "c=US" -o ibm-slapdDN "objectclass=person" ibm-slapdDN

は、すべての person に対して c=US レベルでサブツリー・レベルの検索を実行します。この特殊な属性をソート検索に使用すると、検索結果は識別名(DN) のストリング表記でソートされます。出力は、以下の例のように表示されます。

cn=Al Edwards,ou=Widget Division,ou=Austin,o=IBM,c=US

cn=Al Garcia,ou=Home Entertainment,ou=Austin,o=IBM,c=US

cn=Amy Nguyen,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Arthur Edwards,ou=Widget Division,ou=Austin,o=IBM,c=US

cn=Becky Garcia,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Ben Catu,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Ben Garcia Jr,ou=Home Entertainment,ou=Austin,o=IBM,c=US

cn=Bill Keller Jr.,ou=In Flight Systems,ou=Austin,o=IBM,c=US

cn=Bob Campbell,ou=In Flight Systems,ou=Austin,o=IBM,c=US




注: LDAP アプリケーション (LDAP サンプル・プログラムも含む) で 128 ビットの Triple-DES 暗号化を使用する場合は、 SSL または TLS の使用上の注意に関する説明を参照してください。この項には、強力な暗号化アルゴリズムを備えた SSL または TLS を使用するサンプル・プログラム (およびアプリケーション) を作成するために必要な手順が記載されています。


クライアントの鍵データベース・ファイルの内容は、gsk7ikm ユーティリティーで管理されます。この Java ユーティリティーの詳細については、 87ページの『gsk7ikm の使用』を参照してください。 gsk7ikm ユーティリティーは、クライアントが信用する一連のトラステッド認証局 (CA) を定義するために使用されます。トラステッド CA から証明書を取得し、それを鍵データベース・ファイルに保管してトラステッドとマーク付けすることにより、ユーザーは、CA の 1 つから発行されたトラステッドとしてマーク付けされている証明書を使用する LDAP サーバーと、信用のある関係を確立できます。 gsk7ikm ユーティリティーを使用すると、クライアントおよびサーバー認証を実行するために必要なクライアント証明書を取得することもできます。

クライアントがアクセスする LDAP サーバーで、サーバー認証しか使用されない場合は、鍵データベース・ファイルに 1 つ以上のトラステッド・ルート証明書を定義するだけで構いません。サーバー認証を使用すると、トラステッド CA の 1 つか


らターゲット LDAP サーバーに証明書が発行されたことが保証されます。また、サーバーとの SSL または TLS 接続上で送信される LDAP トランザクションは、ldap_bind または ldap_simple_bind_s で指定される LDAP 信任状を含めて、すべて暗号化されます (LDAP_Bind API の説明を参照してください)。

例えば、LDAP サーバーが VeriSign という高保証の証明書を使用している場合は、VeriSign から CA 証明書を取得し、それを鍵データベース・ファイルにインポートして、トラステッドとマーク付けします。LDAP サーバーが自己署名サーバー証明書を使用している場合、LDAP サーバーの管理者は、サーバーの証明書要求ファイルのコピーをユーザーに提供することができます。証明書要求ファイルは、鍵データベース・ファイルにインポートし、トラステッドとマーク付けします。


v 1 つ以上のトラステッド・ルート証明書を鍵データベース・ファイルに定義します。これにより、トラステッド CA の 1 つからターゲット LDAP サーバーに証明書が発行されたことが保証されます。また、サーバーとの SSL または TLS 接続上で送信される LDAP トランザクションは、 ldap_bind またはldap_simple_bind_s で指定される LDAP 信任状を含めて、すべて暗号化されます(LDAP_Bind API の説明を参照してください)。



参照項目ldapadd、ldapchangepwd、ldapdelete、ldapexop、ldapmodify、ldapmodrdn

サーバー・ユーティリティーこのセクションでは、サーバー・ユーティリティーについて説明します。

注:

1. ldif および db2ldif 以外は、サーバー・ユーティリティーを使用する場合は、事前にサーバーを停止しておく必要があります。

2. ディレクトリー・データベースに接続されているアプリケーションがないことを確認してください。アプリケーションがディレクトリー・データベースに接続されていると、サーバー・ユーティリティーが実行されません。

bulkload ユーティリティーbulkload ユーティリティーは、LDIF ファイルからディレクトリー・データをロードするために使用されます。このユーティリティーは ldif2db を高速化したもので、LDIF 形式の多量のデータのバルク・ロードに使用されます。


注:

1. サーバー・インポート・ユーティリティーを使用する場合は、事前にサーバーを停止しておく必要があります。


3. IBM Tivoli Directory Server バージョン 5.2 では、bulkload の環境変数を使用すべきではありません。環境変数の ACLCHECK、ACTION、LDAPIMPORT、SCHEMACHECK、および STRING_DELIMITER は、コマンド行オプションの-A、-a、-L、-S、-s にそれぞれ置き換えられました。コマンド行スイッチは、大文字小文字が区別されるようになりました。

4. bulkload ユーティリティーを実行するには、dbadm 特権または sysadm 特権が必要です。Windows システムをご使用の場合は、DB2 コマンド行インタープリター (CLI) 内で bulkload ユーティリティーを実行する必要があります。 DB2 CLI

を開始するには、「スタート」->「ファイル名を指定して実行」をクリックし、db2cmd を入力して、「OK」をクリックします。

5. DB2 のアーカイブ・ログ機能が使用可能になっていると、bulkload ユーティリティーは実行に失敗します。bulkload ユーティリティーを使用する場合は、事前にアーカイブ・ログ機能を使用不可にしておく必要があります。

update database configuration for ldapdb2 using LOGRETAIN OFF USEREXIT OFF

6. 固有属性を含むデータをロードする場合、変更される属性に対する DB2 固有の制約は除去されます。 DB2 固有の制約は、固有の制約が除去された属性、および入力ファイルの固有属性項目にリストされた新しい固有属性に対して、データのロード後に作成されます。

注: 固有属性として指定した属性にロードされた値が重複するものであった場合、その属性には DB2 固有の制約は作成されません。この情報は、bulkload.log ファイルに記録されます。

形式: bulkload -i <ldiffile>[-a <parse_and_load|parseonly|loadonly>] [-A <yes|no>] [-c

| -C<yes|no>] [-d <number>] [-E <number>] [-f <configurationfile>] [-g] [-I

<yes|no>] [-L <path>] [-n | -N] [-?][-p | -P <yes|no>] [-s <character>] [-R

<yes|no>] [-S <yes|no|only>] [-v] [-x|-X <yes|no>]

コマンド行オプション:

-i <ldiffile>ディレクトリーにロードする LDIF データが入った入力ファイルの名前を指定します。パスを含める場合もあります。ファイル/usr/ldap/examples/sample.ldif には、正しい形式のサンプル・データがいくつか含まれています。

-a <parse_and_load|parseonly|loadonly>ロード・アクション・モードを指定します。

-A <yes|no>LDIF ファイルに含まれる ACL 情報を処理するかどうかを指定します。デフォルトは yes です。no を指定すると、デフォルトのACL がロードされます。


-c | -C <yes|no>索引の再作成をスキップします。例えば、bulkload を連続して実行する場合に、ロードとロードの間での再作成をスキップするときは、最後に bulkload を実行するときまで、索引の作成を延期できます。最後の bulkload は -c yes を指定して実行します。

-d <number>-d を指定すると、デバッグ・マスクのレベルを設定してデバッグをオンにできます。このオプションを指定すると、問題があったり、構文解析エラーが起きる可能性のあるデータ・レコードを見つけることができます。デバッグ・レベルの詳細については、 372ページの『サーバー・デバッグ・モード』を参照してください。

注: -d オプションを指定する場合は、事前に ldtrc ユーティリティーをオンにしておく必要があります。ldtrc ユーティリティーをオンにしておかないと、メッセージが表示されません。ldtrc ユーティリティーをオンにするには、コマンド ldtrc on を発行します。

-E <number>報告される構文解析エラーの数の上限を指定します。エラー数が制限に達すると、bulkload コマンドは終了します。デフォルトは、無制限です。

-f <configurationfile>slapd 構成ファイルを指定する場合は、このオプションを使用します。


-I <yes|no>ロードの前に索引を除去するかどうかを指定します。デフォルトはno です。

-L <path>一時データの保管に使用するディレクトリーを指定します。この一時記憶域のデフォルト・パスは、以下のようになっています。

v AIX オペレーティング・システム /tmp/ldapimport

v Windows オペレーティング・システム c:¥tmp¥ldapimport

v Linux、Solaris、および HP オペレーティング・システム/var/ldap/ldapimport

-n | -Nロードを回復不能にするときに指定します。

-? bulkload の構文に関するヘルプ・メッセージを要求します。

-p | -P <yes|no>属性 userpassword を含む項目のパスワード・ポリシー属性を生成するかどうかを指定します。

-R <yes|no>一時データに使用されたディレクトリーを除去するかどうかを指定


します。このディレクトリーは、デフォルト・ディレクトリー、または -L パラメーターによって指定されたディレクトリーです。デフォルトは yes です。

注: デフォルトは yes ですが、例外が 2 つあります。Bulkload の終了時の状態が良くない (エラー状態) 場合、一時ファイルは回復に必要なため、エラー発生時には削除されません。または、ユーザーが -a parseonly オプションを選択した場合、一時ファイルはロード段階に必要になるため削除されません。

-s <character>インポートで使用するストリング区切り文字を指定します。

注: bulkload は、特定の UTF-8 文字を含む LDIF ファイルのロードに失敗することがあります。これは、bulkload のデフォルト・ストリング区切り文字である、マルチバイト文字セットの縦線 ( | ) を構文解析するときの、DB2 LOAD ツールの問題が原因です。ストリング区切り文字には $ を再割り当てしてください。

bulkload -i <ldiffile> -s $

-S <yes|no|only>構成ファイルのオブジェクト・クラス定義と属性タイプ定義に基づいて、個々のディレクトリー項目が有効であるかどうかを検査します。

スキーマの検査では、(1) オブジェクト・クラスと属性がすべて定義されているかどうか、(2) 各項目に指定されたすべての属性がオブジェクト・クラス定義の ″required″ 属性と ″allowed″ 属性のリストに従っているかどうか、(3) バイナリー属性値が正しい 64 ビット・エンコード形式になっているかどうかが検証されます。

yes データをディレクトリーに追加する前に、スキーマ検査を実施します。

no データをディレクトリーに追加する前に、スキーマ検査を実施しません。これにより、パフォーマンスが大幅に向上します。このオプションでは、入力ファイル内のデータが有効であることを前提としています。これは、デフォルトのオプションです。

only データに対してスキーマ検査は実施されますが、そのデータはディレクトリーに追加されません。このオプションでは、フィードバックおよびエラー報告書が最も多く提供されます。

推奨される方法は、最初のみ -S only オプションを使用してデータを検査し、それ以降は、ディレクトリーにデータをロードするときはデフォルトの -S no を使用するという方法です。

-v 冗長モードを指定します。このオプションを指定すると、最も詳細な情報が得られます。


-x|-X <yes|no>項目データをデータベース・コード・ページに変換するかどうかを指定します。デフォルトは no です。

注: このパラメーターは、非 UTF-8 データベースを使用している場合のみ必要です。

パフォーマンスを上げるため、bulkload ツールでは、入力ファイル内のデータが正しいこと、または、以前のロードでデータが検査されていることを前提としています。ただし、bulkload ツールでは、入力データに対していくつかの基本的な検査を行うことができます。

ディレクトリー・サーバー (slapd) の実行中は、bulkload ユーティリティーを実行することはできません。

bulkload ツールでは、ローカル・データベース・ディレクトリー内のデータを記憶するために必要なディスク・スペースのほかに、データベースにデータを挿入する前に使用する、データ操作用の一時記憶域が必要です。この一時記憶域のデフォルト・パスは、プラットフォームごとに異なります。パス名については、-L オプションの説明を参照してください。-L オプションを使用すると、パスを変更できます。

bulkload -i <ldiffile> -L /newpath

ユーザーは、このディレクトリーに対する書き込み許可を持っている必要があります。ldapimport ディレクトリーで使用できる LDIF ファイルの少なくとも 2.5 倍のサイズの一時記憶域が必要です。データによっては、さらに追加の一時記憶域が必要になる場合があります。

以下のようなエラーが表示された場合、

SQL3508N Error in accessing a file of type "SORTDIRECTORY" during loador load query. Reason code: "2". Path: "/u/ldapdb2/sqllib/tmp/".

環境変数 DB2SORTTMP には、bulkload の実行中に、より多くのスペースを利用できるファイルシステム内のディレクトリーを 1 つ以上指定する必要があります。ディレクトリーを複数指定する場合は、以下のように、コンマ ( , ) で区切ります。

export DB2SORTTMP=/sortdir1,/sortdir2

bulkload を実行するときは、出力メッセージを注意深く検査してください。実行中にエラーが発生すると、不完全な形でディレクトリーにデータが取り込まれることがあります。LDAP 表をすべて除去するか、データベースを除去 (空のデータベースを再作成) してやり直すことが必要な場合もあります。その場合、ディレクトリーにはデータが追加されていないため、bulkload を再度試行する必要があります。また、LDAP 表をすべて除去すると、データが消失することがあります。

ファイル /usr/ldap/examples/sample.ldif には、サンプル・データが入っています。bulkload ツールによるディレクトリーへのデータの取り込みを試行するためにファイル内のデータを使用したり、ldif2db コマンド行ユーティリティーを使用したりすることができます。ただし、大量のデータを処理する場合、ldif2db ユーティリティーは bulkload ユーティリティーに比べてかなり遅い可能性があります。


パフォーマンス上の理由から、bulkload ツールでは、項目の重複は検査されません。入力 LDIF ファイルに重複する項目が含まれていないことを確認してください。重複する項目があった場合は、その項目を除去してください。

bulkload が DB2 ロード段階で処理に失敗した場合は、db2load.log ファイルを見て、その原因を調べてください。このログ・ファイルは、Windows オペレーティング・システムの場合は c:¥tmp¥ldapimport、AIX オペレーティング・システムの場合は /tmp/ldapimport、Linux、Solaris、および HP オペレーティング・システムの場合は /var/ldap/ldapimport にあります(-L オプションが指定されている場合は、-L オプションで定義されたディレクトリー内にそのファイルはあります。)問題を訂正したら、bulkload を再実行します。bulkload は、最後に成功したロード整合性ポイントから、ファイルを再ロードします。

bulkload が失敗した場合は、<installation directory>/etc/bulkload_status にリカバリー情報が保管されます。このファイルは、すべてのデータが正常にロードされるまでは、除去されません。これにより、ディレクトリーのデータ保全性が保証されます。データベースを再構成して、作業をやり直す場合は、bulkload_status ファイルを手動で除去する必要があります。そうしないと、bulkload は引き続き、最後に成功したロード・ポイントから回復しようとします。

dbbackdbback コマンドは、サーバーがオフラインになったときにデータベースをバックアップするために使用します。このコマンドを使用する場合は、先にサーバーを停止する必要があります。

形式:dbback [-?] [-d <backupdir>] [-w <filename>]

オプション:

-? 構文フォーマットを表示します。

-d <backupdir>データベースのバックアップに使用するディレクトリーを指定します。

-w <filename>出力がリダイレクトされるファイルの絶対パス名を指定します。

dbrestoredbrestore コマンドは、サーバーがオフラインになったときにデータベースを復元するために使用します。このコマンドを使用する場合は、先にサーバーを停止する必要があります。

形式:dbrestore [-?] [-d <backupdir> [-n]] [-w <filename>]

オプション:

-? 構文フォーマットを表示します。

-d <backupdir>データベースが復元される元のディレクトリーを指定します。


-n ibmslapd.conf ファイルを復元しないことを指定します。サーバーのibmslapd.conf ファイルを上書きせずにレプリカ・データを再同期する場合に、このオプションを使用します。

-w <filename>出力がリダイレクトされるファイルの絶対パス名を指定します。

db2ldif ユーティリティーこのプログラムは、リレーショナル・データベースに保管されているディレクトリーの項目を LDAP ディレクトリー交換フォーマット (LDIF) 形式のテキスト・ファイルにダンプするために使用されます。

注: このユーティリティーは随時実行できます。サーバーを停止する必要はありません。

形式:db2ldif -o <outputfile> [-f <configfile>] [[-s <subtree DN>[-x]]

| [-p on|off] [-l]] [-j] | [-?]

オプション:オプションにはすべて、大文字小文字の区別があります。

-f <configfile>

slapd 構成ファイルを指定する場合は、このオプションを使用します。

-l cn=localhost サブツリーの他に、cn=pwdpolicy サフィックスを除くすべてのサフィックスをエクスポートします。このオプションは、-s オプションとともに使用することはできません。

-j 4 つの操作属性 createTimestamp、creatorsName、modifiersName、およびmodifyTimestamp を LDIF ファイルにエクスポートしないことを指定します。

-o <outputfile>LDIF 形式のディレクトリー項目を入れる LDIF 出力ファイルを指定します。指定されたサブツリーからの項目はすべて、LDIF 形式で出力ファイルに書き込まれます。これは、必須オプションです。ファイルが現行ディレクトリーに入っていない場合は、絶対パスとファイル名を指定する必要があります。

-p on|offcn=pwdpolicy サフィックスの他に、cn=localhost サブツリーを除くすべてのサフィックスをエクスポートします。デフォルトの設定は off です。このオプションは、-s オプションとともに使用することはできません。

-? コマンドの使用法を表示します。

-s <subtree DN> [-x]subtree DN には、LDIF 出力ファイルにダンプされるサブツリーの先頭項目を指定します。この項目と、その下にあるディレクトリー階層内のすべての項目が書き出されます。このオプションを指定しないと、構成ファイルに指定されたサフィックスに基づいて、データベースに保管されているディレクトリー項目がすべて、出力ファイルに書き込まれます。-x オプションを指


定すると、-s オプションで指定されたサブツリーが除外されます。このオプションは、-l または -p オプションとともに使用することはできません。

これ以外のすべてのコマンド行入力を実行すると、構文エラーのメッセージが表示され、それに続いて正しい構文が示されます。

ibmdiradm管理デーモンを始動するには、ibmdiradm コマンドを使用します。

形式ibmdiradm [-h debug_mask] [-f path_to_configuration_file] [-s ssl_port][-p nonssl_port] [-i servicename | -u servicename]

説明管理デーモンを始動します。

オプション

-h debug_mask

このオプションを指定すると、ibmdiradm によって管理デーモンのデバッグ出力が標準出力に出力されます。debug_mask はビット・マスクであり、65535 以下の値を使用して、生成する出力を制御します。このパラメーターは、IBM サービス技術員が使用するためのものです。デバッグ・レベルの詳細については、 372ページの『サーバー・デバッグ・モード』を参照してください。

-f path_to_configuration_file

管理デーモン・サーバーの始動時に使用する構成ファイルの場所を指定します。このパラメーターは、カスタマイズした構成ファイルを使用する場合に使用してください。このパラメーターを指定しないと、ibmdiradm では、プラットフォームごとの構成ファイルのインストール先にデフォルトで指定されます。

-s ssl_port

SSL ポートを指定します。

-p nonssl_port

非 SSL ポートを指定します。以下の 2 つのパラメーターは、Windowsシステム専用です。

-i servicename管理デーモンを Windows サービスとして追加します。

-u servicename管理デーモンを Windows サービスとして除去します。

管理デーモンを停止するには、以下のコマンドを発行します。

v UNIX ベースのシステムでは、以下のコマンドを実行します。

ps -ef |grep ibmdiradmkill -p pid_obtained_by_previous_commnand


1. 「コントロールパネル」の「サービス」ウィンドウを開きます。


2. 「Directory Admin Daemon」をクリックします。

3. 「アクション」->「停止」をクリックします。

ibmdirctlこれは、管理デーモン制御プログラムです。管理デーモン (ibmdiradm) を実行しておく必要があります。 13ページの『ディレクトリー管理デーモンの始動』および343ページの『ibmdiradm』を参照してください。

注: 管理者のみがこのユーティリティーを使用します。

形式ibmdirctl [-D adminDN] [-h hostname] [-K keyfile] [ -N key_name ]

[-p port] [-v] [-w adminPW | ?] [-Z] [-?]command -- [ibmslapd options]

command は {start|stop|restart|status|admstop} です。

説明管理デーモン制御プログラム ibmdirctl は、IBM Tivoli Directory Server を開始、停止、再開、またはサーバーのステータスを照会するために使用されます。管理デーモンを停止する目的にも使用できます。 ibmslapd オプションが要求される場合は、前に -- を付ける必要があります。

ibmdirctl の構文ヘルプを表示するには、ibmdirctl -? と入力します。

オプション

-D adminDNadminDN は、LDAP ディレクトリーにバインドする際に使用します。adminDN は、ストリングで表現された DN です (LDAP 識別名の説明を参照してください)。

-h hostnameLDAP サーバーと管理デーモンを実行する代替ホストを指定します。

-K keyfile鍵に使用するファイルを指定します。

-N key_name鍵ファイルで使用する秘密鍵の名前を指定します。

-p port管理デーモンが listen する代替 TCP ポートを指定します。デフォルトのLDAP ポートは、3538 です。

-v 冗長モードで実行することを指定します。

-w adminPW | ?adminPW は、認証用のパスワードとして使用されます。パスワード・プロンプトを生成する場合は ? を使用します。パスワード・プロンプトを使用すると、ps コマンドを実行しても、パスワードが表示されません。

-? ヘルプ画面を表示します。

command


v start - サーバーを始動します。

v stop - サーバーを停止します。

v restart - サーバーを停止してから始動します。

v status - サーバーのステータスを照会します。

v admstop - IBM Tivoli Directory Server 管理デーモンを停止します。

注: stop コマンドは、LDAP サーバーに直接発行されることがあります。

-- ibmslapd オプションibmslapd オプションは、ibmslapd プロセスが始動時に使用するオプションです。通常は以下のいずれかです。

v -a | -A: サーバーを構成専用モードで始動します。

v -n | -N: データベース・バックエンドを使用してサーバーを始動できない(構成専用モードではない) 場合は、サーバーを始動しません。

注:

1. ibmslapd オプションが要求される場合は、前に -- を付ける必要があります。

2. stop コマンドが発行される場合、ibmslapd オプションは無視されます。

例サーバーを構成専用モードで始動するには、以下のコマンドを発行します。

ibmdirctl -h mymachine -D myDN -w mypassword -p 3538 start -- -a

サーバーを停止するには、以下のコマンドを発行します。

ibmdirctl -h mymachine -D myDN -w mypassword -p 3538 stop

ldapdiffこれは、LDAP レプリカ同期ツールです。

形式ldapdiff -b baseDN -sh host -ch host [-a] [-C countnumber][-cD dn] [-cK keyStore] [-cw password] -[cN keyStoreType][-cp port] [-cP keyStorePwd] [-ct trustStoreType] [-cT trustStore][-cY trustStorePwd] [-cZ] [-F] [-j] [-L filename] [-sD dn][-sK keyStore] [-sw password] -[sN keyStoreType] [-sp port][-sP keyStorePwd] [-st trustStoreType] [-sT trustStore][-sY trustStorePwd] [-sZ] [-v]

または

ldapdiff -S -sh host -ch host [-a] [-C countnumber][-cD dn][-cK keyStore] [-cw password] -[cN keyStoreType] [-cp port][-cP keyStorePwd] [-ct trustStoreType] [-cT trustStore][-cY trustStorePwd] [-cZ] [-j][-L filename] [-sD dn][-sK keyStore] [-sw password] [-sN keyStoreType] [-sp port][-sP keyStorePwd] [-st trustStoreType] [-sT trustStore][-sY trustStorePwd] [-sZ] [-v]


説明このツールは、レプリカ・サーバーをマスターと同期します。ldapdiff の構文ヘルプを表示するには、以下のように入力します。

ldapdiff -?

オプション以下のオプションが ldapdiff コマンドに適用されます。サプライヤー・サーバーまたはコンシューマー・サーバーのいずれかに限定して適用される、2 つのサブグループがあります。

-a 読み取り専用レプリカへの書き込みにサーバー管理制御を使用することを指定します。

-b baseDN

検索の開始点として、デフォルトではなく検索ベースを使用します。-b を指定しないと、このユーティリティーは、LDAP_BASEDN 環境変数に検索ベース定義がないかどうかを検査します。

-C countnumber

修正する項目の数を数えます。指定した数を超える不一致が見つかった場合、ツールは終了します。

-F これは、修正オプションです。指定すると、コンシューマー・レプリカの内容がサプライヤー・サーバーの内容と一致するように変更されます。-S も指定されている場合には、これを使用することはできません。

-j LDIF ファイル内の操作属性を無視する場合に指定します。

-L -F オプションが指定されていない場合は、このオプションを使用して出力用の LDIF ファイルを生成します。コンシューマーを更新して差異を除去するために、LDIF ファイルを使用することができます。

-S 両方のサーバーでスキーマを比較することを指定します。


複製サプライヤーのオプション: 以下のオプションは複製サプライヤーに適用され、オプション名の最初の ’s’ で表されます。

-sD dn

dn は、LDAP ディレクトリーにバインドする際に使用します。dn は、ストリングで表現される DN です。

-sh host

ホスト名を指定します。

-sK keyStore

デフォルト拡張子 kdb が付いている SSL 鍵データベース・ファイルの名前を指定します。鍵データベース・ファイルが現行ディレクトリーに入っていない場合は、完全修飾鍵データベース・ファイル名を指定してください。鍵データベース・ファイル名を指定しないと、このユーティリティーはまず、関連するファイル名が指定された SSL_KEYRING 環境変数がないかどうかを探します。SSL_KEYRING 環境変数が定義されていない場合は、デフォルトの鍵リング・ファイル (存在する場合) が使用されます。






v Solaris オペレーティング・システム: /opt/IBMldaps




鍵リング・データベース・ファイルが見つからない場合は、「ハードコーディング」された一連のデフォルト・トラステッド認証局ルートが使用されます。一般に、鍵データベース・ファイルには、クライアントが信用する認証局 (CA) の証明書が 1 つ以上含まれています。そうした種類の X.509 証明書は、トラステッド・ルートとしても知られています。SSL 鍵データベースの管理の詳細については、 87ページの『gsk7ikm の使用』を参照してください。また、SSL と証明書については、 352ページの『SSL および TLS

に関する注意事項』および 80ページの『セキュア・ソケット・レイヤー』を参照してください。

このパラメーターを指定すると、-sZ スイッチが事実上有効になります。

-sN keyStoreType

鍵データベース・ファイル内のクライアント証明書に関連付けられているラベルを指定します。LDAP サーバーがサーバー認証のみを実行するように構成されている場合、クライアント証明書は必要ありません。LDAP サーバーがクライアントおよびサーバー認証を実行するように構成されている場合は、クライアント証明書が必要です。デフォルト証明書/秘密鍵ペアがデフォルトとして指定されている場合、keyStoreType は必要ありません。同様に、指定された鍵データベース・ファイル内に単一の証明書/秘密鍵ペアが含まれている場合も、keyStoreType は必要ありません。-sZ も -sK も指定されていない場合、このパラメーターは無視されます。

-sp ldapport

LDAP サーバーが listen する代替 TCP ポートを指定します。デフォルトのLDAP ポートは、389 です。-sp ではなく -sZ を指定すると、デフォルトLDAP SSL ポート 636 が使用されます。

-sP keyStorePwd

鍵データベースのパスワードを指定します。このパスワードは、鍵データベース・ファイル内の暗号化された情報にアクセスする際に必要となります(一般に、鍵データベース・ファイルには、1 つ以上の秘密鍵が含まれます)。パスワード stash ファイルと鍵データベース・ファイルが関連付けら


れている場合は、パスワード stash ファイルからパスワードが取得されるので、-sP パラメーターは必要ありません。-sZ も -sK も指定されていない場合、このパラメーターは無視されます。

-st trustStoreType

trust データベース・ファイル内のクライアント証明書に関連付けられているラベルを指定します。LDAP サーバーがサーバー認証のみを実行するように構成されている場合、クライアント証明書は必要ありません。LDAP サーバーがクライアントおよびサーバー認証を実行するように構成されている場合は、クライアント証明書が必要です。デフォルト証明書/秘密鍵ペアがデフォルトとして指定されている場合、trustStoreType は必要ありません。同様に、指定された鍵データベース・ファイル内に単一の証明書/秘密鍵ペアが含まれている場合も、trustStoreType は必要ありません。-sZ も -sTも指定されていない場合、このパラメーターは無視されます。

-sT trustStore

デフォルト拡張子 tdb が付いている SSL trust データベース・ファイルの名前を指定します。trust データベース・ファイルが現行ディレクトリーに入っていない場合は、完全修飾 trust データベース・ファイル名を指定してください。trust データベース・ファイル名を指定しないと、このユーティリティーはまず、関連するファイル名が指定された SSL_KEYRING 環境変数がないかどうかを探します。SSL_KEYRING 環境変数が定義されていない場合は、デフォルトの鍵リング・ファイル (存在する場合) が使用されます。

デフォルトの鍵リング・ファイル (ldapkey.tdb)、および関連付けられたパスワード stash ファイル (ldapkey.sth) は、LDAPHOME の下の /lib ディレクトリーにインストールされています (LDAPHOME は、インストールされたLDAP サポートへのパスです)。LDAPHOME は、オペレーティング・システム・プラットフォームによって異なります。








鍵リング・データベース・ファイルが見つからない場合は、「ハードコーディング」された一連のデフォルト・トラステッド認証局ルートが使用されます。一般に、鍵データベース・ファイルには、クライアントが信用する認証局 (CA) の証明書が 1 つ以上含まれています。そうした種類の X.509 証明書は、トラステッド・ルートとしても知られています。SSL 鍵データベースの管理の詳細については、 87ページの『gsk7ikm の使用』を参照してく


ださい。また、SSL と証明書については、 352ページの『SSL および TLS


このパラメーターを指定すると、-sZ スイッチが事実上有効になります。

-sw password | ?password は、認証用のパスワードとして使用されます。パスワード・プロンプトを生成する場合は ? を使用します。パスワード・プロンプトを使用すると、ps コマンドを実行しても、パスワードが表示されません。

-sY これは、トラステッド・データベースのパスワードです。

-sZ セキュア SSL 接続を使用して LDAP サーバーと通信します。IBM のGSKit で提供される SSL コンポーネント項目がインストールされていないと、-Z オプションはサポートされません。

複製コンシューマーのオプション: 以下のオプションはコンシューマー・サーバーに適用され、オプション名の最初の ’c’ で表されます。

-cD dn

dn は、LDAP ディレクトリーにバインドする際に使用します。dn は、ストリングで表現される DN です。

-ch host

ホスト名を指定します。

-cK keyStore

デフォルト拡張子 kdb が付いている SSL 鍵データベース・ファイルの名前を指定します。鍵データベース・ファイルが現行ディレクトリーに入っていない場合は、完全修飾鍵データベース・ファイル名を指定してください。鍵データベース・ファイル名を指定しないと、このユーティリティーはまず、関連するファイル名が指定された SSL_KEYRING 環境変数がないかどうかを探します。SSL_KEYRING 環境変数が定義されていない場合は、デフォルトの鍵リング・ファイル (存在する場合) が使用されます。












このパラメーターを指定すると、-cZ スイッチが事実上有効になります。

-cN keyStoreType

鍵データベース・ファイル内のクライアント証明書に関連付けられているラベルを指定します。LDAP サーバーがサーバー認証のみを実行するように構成されている場合、クライアント証明書は必要ありません。LDAP サーバーがクライアントおよびサーバー認証を実行するように構成されている場合は、クライアント証明書が必要です。デフォルト証明書/秘密鍵ペアがデフォルトとして指定されている場合、keyStoreType は必要ありません。同様に、指定された鍵データベース・ファイル内に単一の証明書/秘密鍵ペアが含まれている場合も、keyStoreType は必要ありません。-cZ も -cK も指定されていない場合、このパラメーターは無視されます。

-cp ldapport

LDAP サーバーが listen する代替 TCP ポートを指定します。デフォルトのLDAP ポートは、389 です。-cp ではなく -cZ を指定すると、デフォルトLDAP SSL ポート 636 が使用されます。

-cP keyStorePwd

鍵データベースのパスワードを指定します。このパスワードは、鍵データベース・ファイル内の暗号化された情報にアクセスする際に必要となります(一般に、鍵データベース・ファイルには、1 つ以上の秘密鍵が含まれます)。パスワード stash ファイルと鍵データベース・ファイルが関連付けられている場合は、パスワード stash ファイルからパスワードが取得されるので、-cP パラメーターは必要ありません。-cZ も -cK も指定されていない場合、このパラメーターは無視されます。

-ct trustStoreType

trust データベース・ファイル内のクライアント証明書に関連付けられているラベルを指定します。LDAP サーバーがサーバー認証のみを実行するように構成されている場合、クライアント証明書は必要ありません。LDAP サーバーがクライアントおよびサーバー認証を実行するように構成されている場合は、クライアント証明書が必要です。デフォルト証明書/秘密鍵ペアがデフォルトとして指定されている場合、trustStoreType は必要ありません。同様に、指定された鍵データベース・ファイル内に単一の証明書/秘密鍵ペアが含まれている場合も、trustStoreType は必要ありません。-cZ も -cTも指定されていない場合、このパラメーターは無視されます。

-cT trustStore

デフォルト拡張子 tdb が付いている SSL trust データベース・ファイルの名前を指定します。trust データベース・ファイルが現行ディレクトリーに入っていない場合は、完全修飾 trust データベース・ファイル名を指定して


ください。trust データベース・ファイル名を指定しないと、このユーティリティーはまず、関連するファイル名が指定された SSL_KEYRING 環境変数がないかどうかを探します。SSL_KEYRING 環境変数が定義されていない場合は、デフォルトの鍵リング・ファイル (存在する場合) が使用されます。

デフォルトの鍵リング・ファイル (ldapkey.tdb)、および関連付けられたパスワード stash ファイル (ldapkey.sth) は、LDAPHOME の下の /lib ディレクトリーにインストールされています (LDAPHOME は、インストールされたLDAP サポートへのパスです)。LDAPHOME は、オペレーティング・システム・プラットフォームによって異なります。










このパラメーターを指定すると、-cZ スイッチが事実上有効になります。

-cw password | ?password は、認証用のパスワードとして使用されます。パスワード・プロンプトを生成する場合は ? を使用します。パスワード・プロンプトを使用すると、ps コマンドを実行しても、パスワードが表示されません。

-cY これは、トラステッド・データベースのパスワードです。

-cZ セキュア SSL 接続を使用して LDAP サーバーと通信します。IBM のGSKit で提供される SSL コンポーネント項目がインストールされていないと、-cZ オプションはサポートされません。

例ldapdiff -b <baseDN> -sh <supplierhostname> -ch <consumerhostname> [options]

または

ldapdiff -S -sh <supplierhostname> -ch <consumerhostname> [options]


注DN 引き数が指定されていない場合、ldapdiff コマンドは、標準入力から DN のリストを読み取るために待機します。待機を終了するには、Ctrl+C または Ctrl+D を使用します。














ldaptrace管理トレース・ユーティリティー

注:

1. 管理者または管理グループのメンバーのみがこのユーティリティーを使用できます。

2. ldaptrace を使用すると、リソースが消費され、サーバーのパフォーマンスに影響が及びます。

形式ldaptrace -a port -l [on|off|clr|chg|info|dump] --[ldtrc options] -D adminDn

-h hostname -K keyfile -m debugLevel -N key_name -o debugFile-p port -P key_pw -t [start|stop] -v -w adminPW -Z -?

説明管理トレース・ユーティリティーである ldaptrace は、 Directory Server のトレース機能を動的に活動化または非活動化するときに使用します。この拡張操作は、メッセージ・レベルを設定したり、出力の書き込み先にするファイルの名前を指定するときにも使用できます。 LDAP トレース機能 (ldtrc) オプションを要求する場合は、この拡張操作の前に -- を付ける必要があります。

ldaptrace の構文ヘルプを表示するには、ldaptrace -? と入力します。

注: ldaptrace ユーティリティーは SSL または TLS と組み合わせて使用できますが、サポートされているのは簡易バインド機構のみです。

オプション

-a port

Directory Server ではなく、 IBM 管理デーモン (ibmdiradm) が listen する代替 TCP ポートを指定します。デフォルトのポートは、3538 です。このオプションを指定しないで -Z を指定すると、デフォルトの SSL ポートである3539 が使用されます。

-l [on|off|clr|chg|info|dump] -[ldtrc options]


on トレース機能をオンにします。以下のいずれかの ldtrc オプションを指定するには、前に、もう一つ - を追加します。

v [-m <mask>] ここで、<mask> =

<products>.<events>.<components>.<classes>.<functions> です。

v [-p <pid>[.<tid>]] 指定したプロセスまたはスレッドのみをトレースします。

v [-c <cpid>] 指定したコンパニオン・プロセスのみをトレースします。

v [-e <maxSeverErrors>] サーバー・エラーの数が最大値(maxSevereErrors) に到達したらトレースを停止します。

v [-s | -f <fileName>] 出力を共用メモリーまたはファイルに送信します。

v [-l [<bufferSize>] | -i [<bufferSize>]] 最新の記録または最初の記録を保持することを指定します。デフォルトのバッファーは 1M です。

v [-this <thisPointer>] 指定したオブジェクトのみをトレースします。

注: トレース機能は、トレースするサーバー・データに対してオンにする必要があります。

off トレース機能をオフにします。

clr 既存のトレース・バッファーをクリアします。

chg chg オプションを使用して以下の ldtrc オプションの値を変更するには、あらかじめトレースを活動化しておく必要があります。

v [-m <mask>] ここで、<mask> =

<products>.<events>.<components>.<classes>.<functions> です。

v [-p <pid>[.<tid>]] 指定したプロセスまたはスレッドのみをトレースします。

v [-c <cpid>] 指定したコンパニオン・プロセスのみをトレースします。

v [-e <maxSeverErrors>] サーバー・エラーの数が最大値(maxSevereErrors) に到達したらトレースを停止します。

v [-this <thisPointer>] 指定したオブジェクトのみをトレースします。

info トレースに関する情報を取得します。バイナリー・トレース・ファイルであるかトレース・バッファーであるかにかかわらずソース・ファイルと宛先ファイルを指定する必要があります。以下に示すのは、info パラメーターによって得られる情報の例です。

C:¥>ldtrc infoTrace Version : 1.00Op. System : NTOp. Sys. Version : 4.0H/W Platform : 80x86

Mask : *.*.*.*.*.*pid.tid to trace : all


cpid to trace : allthis pointer to trace : allTreat this rc as sys err: noneMax severe errors : 1Max record size : 32768 bytesTrace destination : shared memoryRecords to keep : lastTrace buffer size : 1048576 bytesTrace data pointer check: no

dump トレース情報をファイルにダンプします。この情報には、プロセス・フロー・データとサーバー・デバッグ・メッセージが含まれます。トレースのダンプ先にする宛先ファイルの名前を指定できます。デフォルトの宛先ファイルは、以下のとおりです。

UNIX ベースのシステムの場合:/var/ldap/ibmslapd.drace.dump.

Windows ベースのシステムの場合:<installationpath>¥var¥ibmslapd.trace.dump

注: このファイルには、ldtrc format コマンドでフォーマットする必要があるバイナリーの ldtrc データが含まれます。

-h ldaphost

Directory Server と管理デーモンを実行する代替ホストを指定します。

-K keyfile















-m debuglevel

サーバーのデバッグ・メッセージに対してマスクのデバッグ・レベルを設定します。デバッグ・レベルの詳細については、 372ページの『サーバー・デバッグ・モード』を参照してください。

-N certificatename


-o debugfile

サーバーのデバッグ・メッセージ用の出力ファイルの名前を指定します。

-p port


-P keyfilepw


-t [start|stop]

start サーバー・トレース・データの収集を開始します。

stop サーバー・トレース・データの収集を停止します。

-v 冗長モードで実行することを指定します。

-w adminPW | ?

adminPW は、認証用のパスワードとして使用されます。パスワード・プロ


ンプトを生成する場合は ? を使用します。パスワード・プロンプトを使用すると、ps コマンドを実行しても、パスワードが表示されません。

-? ヘルプ画面を表示します。

例ldtrc 機能をオンにし、2M トレース・バッファーを使用してサーバー・トレースを開始するには、以下のコマンドを発行します。

ldaptrace -h <hostname> -D <adminDN> -w <adminpw> -l on -t start -- -| 2000000

サーバー・トレースを停止するには、以下のコマンドを発行します。

ldaptrace -h <hostname> -D <adminDN> -w <adminpw> -t stop

ldtrc 機能をオフにするには、以下のコマンドを発行します。

ldaptrace -h <hostname> -D <adminDN> -w <adminpw> -l off

ldif ユーティリティーLDAP データ交換フォーマット (LDIF) ツール ldif は、任意のデータ値を LDIF に変換するシェル・アクセス可能ユーティリティーです。標準入力から入力値を読み取って、LDIF ファイルで使用するのに適したレコードを生成します。

形式: ldif [-b ]<attrname>

コマンド行オプション:オプションにはすべて、大文字小文字の区別があります。

-b 入力は、単一のロー・バイナリー値です。出力は、base64 エンコード値です。

<attrname>値が変換される属性の名前。-b オプションを指定しないと、ldifは、標準入力の各行を単独の属性値と見なします。

LDIF の詳細については、 391ページの『付録 E. LDAP データ交換フォーマット(LDIF)』を参照してください。

例値が smith の属性 sn (名字) の LDIF 形式を検索するには、コマンド行で以下のように入力します。

1. ldif sn と入力します。

2. smith と入力します。

3. これは、sn: smith を戻します。

4. 終了するには Ctrl+C を押します。

-b オプションは、以下のように使用します。

1. ldif -b sn と入力します。

2. smith と入力します。

3. 処理するには Ctrl+C と押します。

4. これは、sn:: c21pdGgNCg== を戻します。


ldif2db ユーティリティーこのプログラムは、リレーショナル・データベースに保管されているディレクトリーに、テキスト LDAP ディレクトリー交換フォーマット (LDIF) で指定された項目をロードするために使用します。データベースは、事前に用意しておく必要があります。ldif2db を使用すると、空のディレクトリー・データベース、またはすでに項目が入っているデータベースに対して、項目を追加することができます。

注:

1. サーバー・インポート・ユーティリティーを使用する場合は、事前にサーバーを停止しておく必要があります。


3. 5.1 または 4.1 サーバーの上に 5.2 サーバーをインストールした場合は、ldif2db ユーティリティーを使用する前に、まずサーバーをスタートする必要があります。こうすることにより、一回だけ移行処理が行なわれ、完了します。

形式: ldif2db -i <inputfile> [-f <configurationfile>] [-g] [-r yes|no] | -?

コマンド行オプション:いずれのオプションにも、大文字小文字の区別はありません。

-i <inputfile>LDIF 形式でディレクトリー項目を含む LDIF 入力ファイルの名前を指定します。これは、必須オプションです。ファイルが現行ディレクトリーに入っていない場合は、絶対パスとファイル名を指定する必要があります。

-f <configurationfile>slapd 構成ファイルを指定する場合は、このオプションを使用します。


-r [yes|no]複製するかどうかを指定します。デフォルトは yes です。これは、項目が変更表に入れられ、サーバーの再始動時に複製されることを示します。

-? コマンドの使用法を表示します。

これ以外のコマンド行入力を実行すると、構文エラーのメッセージが表示され、それに続いて正しい構文が示されます。

注: ldif2db を使用してレコードを追加した場合は、すぐにマスター・サーバーを停止して再始動する必要があります。

runstats形式: runstats [-f configfile]

コマンド行オプション:


-f configfileslapd 構成ファイルを指定する場合は、このオプションを使用します。



第 6 部付録



付録 A. トラブルシューティング

GSKit 証明書エラーEntrust などの外部の認証局 (CA) から署名者または個人の証明書をインポートしようとすると、GSKIT は異常終了して以下のエラー・メッセージが表示されます。

An error occurred while receiving the certificate from the given file.

この問題は、Entrust から戻された証明書がルート証明書ではなく、チェーン証明書である可能性があります。証明書チェーンを開始するには、ルート証明書が必要です。チェーン証明書では、証明書チェーンを開始できません。

ルート証明書をまだ取得していない場合は、以下の取得方法があります。

ルート証明書の例は、GTE Cybertrust です。これは Internet Explorer (IE) 5.5 に組み込まれていますが、GSKit kdb データベースには、デフォルトでは組み込まれていません。この証明書を取得するには、以下の手順を実行する必要があります。

1. IE から Base64 エンコード済みの状態で GTE Cybertrust 証明書のいずれか (3

種類あり) をエクスポートします。

2. この証明書をトラステッド・ルート証明書として追加します。

注: GSKit オプションを使用して証明書をトラステッド・ルートとして設定するには、証明書に自己署名が必要です。

3. チェーン CA 証明書を Entrust から追加します。

4. SSL 証明書を Entrust から受信します。

ファイル許可UNIX ベースのシステム・ファイルでは、鍵データベース・ファイルをコピーまたは編集する処理を行なうと、許可が不注意に変更されてしまうことがよくあります。これは、これらの処理が通常はユーザー ID root として実行され、また、許可がユーザー root に設定されるためです。Directory Server がこのファイルを利用するためには、ユーザー ID ldap で読み取り可能になるようにファイル許可を変更する必要があります。それ以外の場合、Directory Server の始動は失敗します。

chown ldap:ldap <mykeyring>.*

Kerberos

Kerberos サービス名の変更IBM Directory Server 4.1 以前では、LDAP サーバーは Kerberos サービス名としてLDAP (LDAP/ldaphost.austin.ibm.com、ldaphost は LDAP サーバーが置かれているマシンのホスト名です) を使用して、クライアントおよび Kerberos KDC と通信します。バージョン 4.1 以上では、小文字のサービス名(ldap/ldapname.austin.ibm.com) が使用されます。この変更により、Server 3.x か


ら移行した後に、Server 4.1、5.1、または 5.2 を始動できないことがあります。これは、Server 4.1、5.1、または 5.2 が keytab ファイルに ldap があるかどうかを探しているためです。keytab ファイルには前の Server 3.x で使用されていた LDAPサービス名があります。この状態を訂正するには、以下のいずれかを実行します。

v 小文字の LDAP Kerberos サービス名を追加することで、keytab ファイルを生成し、新しい keytab ファイルを使用して通信を開始します。

v サーバーを始動する前に、環境変数 LDAP_KRB_SERVICE_NAME を LDAP に設定します。この環境変数により、LDAP サーバーは keytab ファイルで大文字の LDAP サーバー・サービス名の使用を続行し、LDAP サーバーのクライアントと通信します。後者の場合、大文字の LDAP サーバー・サービス名の使用を続行してサーバーと通信するために、クライアント側でもこの環境変数を設定する必要があります。

Windows で発生する「slapd.cat を開くときにエラー (Error openingslapd.cat)」

Windows システムでは、以下の行を含むエラー・メッセージが表示される場合があります。

Error opening slapd.catPlugin of type DATABASE is successfully loaded from C:/Program Files/IBM/LDAP/bin/libback-config.dll.Error opening rdbm.cat

これが表示される場合は、NLSPATH 環境変数を確認してください。インストール・プログラムにより、NLSPATH 環境変数はシステム環境変数として設定されています。ただし、システムが NLSPATH 変数をユーザー環境変数としても設定すると、ユーザーの NLSPATH 環境変数によりシステム設定がオーバーライドされます。

これを訂正するには、システム環境変数の NLSPATH 情報をユーザー環境変数内の情報に付加します。

Web 管理

Web 管理ツールで入力したデータの文字化けWeb 管理ツールで英語以外の言語で入力したデータが文字化けした場合は、次のようにしてください。

WebSphere Application Server の組み込みバージョン (Express) の場合次のディレクトリー内の server.xml ファイルを編集します。

WAS_home/appsrv/config/cells/DefaultNode/nodes/DefaultNode/servers/server1

以下のように、太字で示されたテキストをスタンザに追加します。

<processDefinition xmi:type="processexec:JavaProcessDef"xmi:id="JavaProcessDef_1"executableName="${JAVA_HOME}/bin/java"executableTarget="com.ibm.ws.runtime.WsServer"executableTargetKind="JAVA_CLASS"workingDirectory="${USER_INSTALL_ROOT}">

<execution xmi:id="ProcessExecution_1" processPriority="20" runAsUser=""


runAsGroup=""/><monitoringPolicy xmi:id="MonitoringPolicy_1" pingInterval="60"

maximumStartupAttempts="3" pingTimeout="300" autoRestart="true"nodeRestartState="STOPPED" />

<ioRedirect xmi:id="OutputRedirect_1"stdoutFilename="${SERVER_LOG_ROOT}/native_stdout.log"stderrFilename="${SERVER_LOG_ROOT}/native_stderr.log"/>

<jvmEntries xmi:id="JavaVirtualMachine_1" classpath="" bootClasspath=""verboseModeClass="false" verboseModeGarbageCollection="false"verboseModeJNI="false" initialHeapSize="0"maximumHeapSize="256" runHProf="false" hprofArguments=""debugMode="false" debugArgs="-Djava.compiler=NONE -Xdebug -Xnoagent-Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=7777"genericJvmArguments="">

<systemProperties xmi:id="Property_10"name="client.encoding.override" value="UTF-8" required="false"/>

</jvmEntries>

WebSphere Application Server の場合WebSphere Administrative Console ツリーで、以下の操作を行ってください。

v 「Servers」を選択します。

v 「Application Server」を選択します。

v 目的のサーバー (例えば server1) を選択します。

v 「プロセス定義 (Process Definition)」をクリックします。

v 「Java 仮想マシン (Java Virtual Machine)」をクリックします。

v 「カスタム・プロパティー (Custom Properties)」をクリックします。

v 新しいプロパティーを作成するための適切なボタンをクリックします。

v 「名前 (Name)」フィールドに「client.encoding.override」と入力します。

v 「値 (Value)」列に「UTF-8」と入力します。

v 「適用 (Apply)」をクリックします。

v WebSphere Application Server を停止し、再始動します。

別のログイン・パネルを開くことができないWeb 管理ツールを使用しているときは、ブラウザーの「ファイル」オプションから別のログイン・パネルを開かないでください。単一のブラウザー・インスタンスで機能する Web 管理のインスタンスは 1 つだけです。同じ cookies を共有することはできません。別のログイン・パネルは、ブラウザーの新しいインスタンスから開く必要があります。

UNIX ベースのシステムの場合:& オプションを使用してコマンド行から新しいウィンドウを起動します。例を以下に示します。

mozilla &

Windows ベースのシステムの場合:

v Internet Explorer - 「スタート」ウィンドウ、またはデスクトップのInternet Explorer ショートカットを使用して、別の Internet Explorer ウィンドウを開きます。

付録 A. トラブルシューティング 365

v Mozilla - Mozilla Web ブラウザーでは、 Windows 上での複数の Web

管理ツール・セッションはサポートされません。

注: 現在 Netscape ブラウザーはサポートされていません。

ldapmodify コマンドを実行すると Web 管理が矛盾した状態になる

Web 管理ツールにログインし、コマンド行 (ldapmodify) を使用してパスワードを変更すると、Web 管理ツールはサーバーの状況を停止に変更します。これは、Web

管理ツールがタスクを起動するたびにサーバーへの新しい接続を開くことが原因です。 Web 管理ツールは、パスワードが変更されたことを知らないため、古いパスワードを使用してサーバーに接続しようとします。その結果、接続は失敗することになります。ユーザーは一度ログアウトして、新しいパスワードで再度ログインする必要があります。

こうした状況を避けるには、Web 管理ツールの操作中に「ユーザー・プロパティー」->「パスワードの変更」オプションを使用して、ユーザー・パスワードを変更します (これを行うには、相当するアクセス権限が必要です)。

Windows 2003 プラットフォームで Web 管理 GUI コンソールを使用して検出される問題

Web 管理エラーは、以下の条件がすべて満たされた場合に発生します。

v Web 管理がローカルにインストールされている

v Web 管理がローカルにインストールされた Microsoft® Internet Explorer 上で動作する

v Web 管理がローカルにインストールされた組み込みバージョンの WebSphere

Application Server (Express) バージョン 5.0 を使用する

v IP アドレスまたはホスト名が、Web 管理にアクセスするときに使用する URL

の一部になっている。

上記のエラーを回避するには、以下の作業を実行します。

1. 組み込みバージョンの WebSphere Application Server (Express) バージョン 5.0

をローカルで実行している場合は、http://localhost を信頼済みサイトのリストに追加します。

2. 組み込みバージョンの WebSphere Application Server (Express) バージョン 5.0

をリモート・マシンで実行している場合は、Web アプリケーション・サーバーを実行しているマシンの IP アドレスまたはホスト名を信頼済みサイトのリストに追加します。http://<IP アドレス> または http://<ホスト名>

Web アドレスを信頼済みサイトのリストに追加するには、以下の手順を実行します。

1. 「ツール」->「インターネットオプション」->「セキュリティ」->「信頼済みサイト」->「サイト」をクリックします。

2. 「Web サイト」フィールドに Web アドレスを入力します。




ローカル・マシン上にある Web 管理ツールにログオンするには、Internet Explorer

Web ブラウザーを開いて、「アドレス」フィールドに次の URL を入力します。

http://localhost:9080/IDSWebApp/IDSjsp/Login.jsp

リモート・マシン上にある Web 管理ツールにログオンするには、Internet Explorer

Web ブラウザーを開いて、「アドレス」フィールドに次の URL を入力します。

http://<IP address> or <hostname>:9080/IDSWebApp/IDSjsp/Login.jsp

AIX 上での Websphere Application Server (Express)AIX 上でIBM Websphere Application Server の組み込みバージョン (Express)(WAS) (startServer.sh server1) を始動すると、ポート (9090) がすでに使用されているために機能しないことがあります。実際のログ・ファイルについては、WAS_install_path/logs/server1 ディレクトリーを参照してください。通常はSystemErr.log および SystemOut.log が最も役に立ちますが、他のログにも役に立つ情報が含まれていることがあります。

IBM Websphere Application Server の組み込みバージョン (Express) のポート番号を 9090 から 9091 (AIX マシンで使用されるポート) に変更するには、WAS_install_path/config/cells/DefaultNode/virtualhosts.xml ファイルを編集して、9090 を 9091 に変更します。同様に、

WAS_install_path/config/cells/DefaultNode/nodes/DefaultNode/servers/server1/server.xml

ファイルでも実行します。

注: このパスには、DefaultNode と呼ばれるサブディレクトリーが 2 つあります。この 2 つのファイルのそれぞれで変更を行うことで、合計 2 つの変更を行います。

HP-UX 上の Web 管理ツールの接続が切断されるHP-UX オペレーティング・システム上で Web 管理ツールを使用する場合は、以下の環境変数を設定する必要があります。そうしないと、カーネルがスレッドを十分に割り振ることができず、システム・メモリーが不足します。

以下の表は、Web 管理ツールのインストール前に設定する必要のあるパラメーターと値を示しています。

表 19. HP-UX オペレーティング・システムのカーネル構成パラメーター

カーネル・パラメーター値 256MB + 物理メモリー

max_thread_proc 1024

maxusers 256

nproc 2068(+)

nkthread 3635(+)

注: パラメーター max_thread_proc および maxusers を更新したら、 nproc パラメーターに 2068 以上、nkthread パラメーターに 3635 以上を設定する必要があります。


カーネル構成パラメーターを設定するには、以下の手順を実行します。

1. コマンド・プロンプトで sam を入力します。

System Administration Manager が開きます。

2. 「カーネル構成 (Kernel Configuration)」をダブルクリックします。

3. 「構成可能パラメーター (Configurable Parameters)」をダブルクリックします。

4. 編集するパラメーターをダブルクリックし、「新しい公式/値の入力 (Enter NewFormula/Value)」フィールドで新しい値を指定します。「OK」をクリックします。

5. 設定する必要のあるパラメーターごとに、ステップ 4を繰り返します。

6. 「アクション (Actions)」-->「新規カーネルの処理 (Process New Kernel)」をクリックします。

7. 変更を処理するには、「はい」をクリックします。

8. 「カーネルを所定の場所に移動し、今すぐシャットダウン/リブートする (MoveKernel Into Place and Shutdown/Reboot Now)」を選択し、「OK」をクリックします。

パラメーター設定の詳細については、 IBM Directory Server インストールと構成のガイドバージョン 5.1 を参照してください。

Web 管理のタブ、表ヘッダー、および静的リスト・ボックスが正しくない言語で表示される

これは、HP-UX および AIX オペレーティング・システムで発生する問題ですが、その他の UNIX ベースのシステムでも同じ問題が発生する可能性があります。

環境変数 LC_ALL および LANG には、 Java でサポートされるネイティブ・ロケール (例: en_US.iso88591) を設定する必要があります。これらの環境変数に POSIX

または C を指定することはできません。

export LC_ALL=<new language>export LANG=<new language>

タブ、表ヘッダー、および静的リスト・ボックスの翻訳は、Web 管理ツール・アプリケーションに最初にログインしたときに、アプリケーション・サーバーが最初に使用した言語で保管されます。マシンのロケールを変更すると、以下のような例外が発生する場合があります。

java.lang.InternalError: Can’t connect to X11 window server using ’:0.0’as the value of the DISPLAY variable.

at sun.awt.X11GraphicsEnvironment.initDisplay(Native Method)at sun.awt.X11GraphicsEnvironment.<clinit>

(X11GraphicsEnvironment.java:58)at java.lang.Class.forName0(Native Method)at java.lang.Class.forName(Unknown Source)at java.awt.GraphicsEnvironment.getLocalGraphicsEnvironment

(GraphicsEnvironment.java:53)at sun.awt.motif.MToolkit.<clinit>(MToolkit.java:63)at java.lang.Class.forName0(Native Method)at java.lang.Class.forName(Unknown Source)at java.awt.Toolkit$2.run(Toolkit.java:507)at java.security.AccessController.doPrivileged(Native Method)at java.awt.Toolkit.getDefaultToolkit(Toolkit.java:498)at java.awt.Toolkit.getEventQueue(Toolkit.java:1171)


at java.awt.EventQueue.invokeLater(EventQueue.java:506)at javax.swing.SwingUtilities.invokeLater(SwingUtilities.java:1086)at javax.swing.Timer.post(Timer.java:337)at javax.swing.TimerQueue.postExpiredTimers(TimerQueue.java:190)at javax.swing.TimerQueue.run(TimerQueue.java:226)at java.lang.Thread.run(Unknown Source)

この例外を訂正するには、DISPLAY 変数をエクスポートし、それが有効なマシン(例: アプリケーション・サーバーを実行するマシン) になるようにする必要があります。次に、アプリケーション・サーバー・マシン上で xhost + を実行します。

DISPLAY をエクスポートしたいマシン上で、以下のコマンドを発行します。

export DISPLAY=<valid machine name>:0

<valid machine name> 上で、以下のコマンドを発行します。

xhost +

HTML の特殊文字が正しく表示されないサーバーから送られてくる読み取り専用データ内の特殊文字は HTML ページ内で正しく表示されません。これは、Web ブラウザーによる HTML の表示方法が原因です。「a b」のように複数のスペースを含むストリングは「a b」のように表示され、特殊文字「<」を含むストリングは切り捨てられます (例:「abc<abc」は「abc」と表示されます)。このため、ラベル、ドロップダウン・ボックス、表、表題などのフィールドに影響が及びます。

ドミノ・™ サーバー上で Web 管理を使用するには IBM JDK が必要

Web 管理ツールをドミノ・サーバーとともに使用するには、 IBM 1.3.1 JDK を使用する必要があります。 Sun の JDK を使用すると、通信に関する例外が発生します。

ドミノ・サーバーの制限を以下に示します。

v スキーマの管理機能が使用できません。

v ドミノではユーザー定義のサフィックスがサポートされません。

注: ドミノ・サーバーの標準のサフィックスはブランクです。したがって、項目を表示するには、隣に正符号 (+) が付いているラジオ・ボタンを選択し、「展開」をクリックします。

デバッグ

構成のためのデバッグ出力構成中に、IBM Directory 構成プログラムに問題が発生する場合があります。お客様および IBM サポート・チームが問題の原因を判別する際に役立つ、追加のデバッグ・ステップがあります。

IBM Directory 製品には、3 種類の構成プログラムが用意されています。このうちの2 つはコマンド行から実行するプログラムであり、1 つは GUI ベースのプログラムです。以下の 3 つの構成プログラムがあります。


v ldapcfg - 管理者 DN およびデータベースを構成するためのコマンド行プログラムです。

v ldapucfg - データベースの構成を解除するためのコマンド行プログラムです。

v ldapxcfg - 管理者 DN とデータベースを構成し、その他のさまざまな操作を実行するための GUI プログラムです。

これらのユーティリティーの詳細については、IBM Tivoli Directory Server インストールと構成のガイドバージョン 5.1 を参照してください。

これらの構成プログラムは、以下に示す 2 つの主要な機能をサポートしています。

v 管理者 DN およびパスワードを設定します。

v IBM Directory で使用されるデータベースの構成または構成解除 (あるいは両方)

を実行します。

管理者 DN の構成は、非常に単純です。一般に、管理者 DN の構成が失敗するのは、IBM Directory 構成ファイル (<install dir>/etc/ibmslapd.conf) のアクセス権が不意に変更されてしまった場合や、ユーザーが無効な DN を入力した場合のみです。

データベースの構成データベースの構成と構成解除という、最も問題の多いオプションが残っています。構成中に多数の変数が作用するので、エラーが発生する場合があります。このオプションに影響を与える要因としては、以下のものがあります。

v ユーザーが使用しているプラットフォームのタイプおよびオペレーティング・システムのバージョン

v DB2 のバージョンと、インストールされている DB2 の修正パッケージ

注: DB2 には、パーソナル・エディション、エンタープライズ・エディション、エンタープライズ拡張エディションなど、さまざまなパッケージが用意されています。これらの大部分は、複数のバージョンの DB2 (7.1、7.2) でサポートされており、さらに、バージョンごとにいくつかの修正パックが用意されています。

v 影響を受けるドライブおよびパーティションで使用可能なディスク・スペースの量

v 共用されている環境変数を変更するサード・パーティー製ソフトウェア

データベースの構成が失敗した場合、ユーザーは専門家に対して「何が失敗したのか、失敗をどのように修復すればいいか」という質問をします。以下では、構成上の問題をデバッグする際に使用できる情報源について説明します。

出力の一般的な情報源ユーザーが入手できる「一般的な」情報源 (出力) としては、以下のものがあります。

v 画面上の出力

すべての構成プログラムは、コンソールのコマンド行プロンプト (ldapcfg、ldapucfg) から、またはバックグラウンド・コンソール (ldapxcfg) を開いて始動されます。データベースの構成の進行に応じて、ステータス・メッセージ (および一部のエラー・メッセージ) が関連するコンソール・ウィンドウに表示されま


す。問題が発生した場合は、サポート・チームに提出できるように、これらのメッセージをシステムのクリップボードにコピーしてファイルに保管してください。

v DB2 のログ・ファイル

DB2 で直接発生したエラーの場合は、多くの場合、DB2 によってメッセージ・ファイルまたはエラー・ファイルが /tmp ディレクトリーに作成されます (UNIX

プラットフォームの場合)。UNIX システムでデータベースの構成エラーが発生した場合は、構成試行中に /tmp ディレクトリーに作成されたすべてのファイルを調べる必要があります。Windows システムの場合は、構成しようとしていたインスタンス用に指定したディレクトリー配下の DB2 インストール・ディレクトリー内に作成された DB2 エラー・ログをすべて調べてください。例えば、デフォルトの ldapdb2 インスタンスおよびデータベースを作成しようとしていた場合、DB2 が D:¥sqllib にインストールされたときは、D:¥sqllib¥ldadb2 ディレクトリー内のファイルを調べる必要があります (D:¥sqllib¥ldadb2 ディレクトリーが存在する場合)。特に、このディレクトリーにある db2diag.log ファイルを調べてください。

v IBM Directory のログ

IBM Directory では、構成エラーの大部分は ldacfg.out ファイルに記録されます。UNIX プラットフォームの場合、このファイルは /tmp ディレクトリーにあります。Windows プラットフォームの場合、このファイルは構成を実行したドライブのルート・ディレクトリーに作成されます。

拡張デバッグ出力の作成構成上の問題をデバッグする際に使用できる情報源は、もう 2 つあります。この 2

つは、構成を実行する前に環境変数を設定することで、開始されます。どちらのデバッグ・オプションの場合も、画面に表示しきれないメッセージを後で確認できるように、コンソール・ウィンドウをスクロール可能に設定してください。

JAVA_DEBUGこの環境変数は、空の値以外に設定します。例えば、以下のように設定します。

JAVA_DEBUG=1

UNIX プラットフォームの場合は、export JAVA_DEBUG=1 を使用してください。この設定により、Java のデバッグ情報の一部がコードに組み込まれて、標準出力 (コンソール) に表示されます。

LDAP_DBGこの環境変数は、空の値以外に設定します。例えば、以下のように設定します。

LDAP_DBG =1

UNIX プラットフォームの場合は、export LDAP_DBG=1 を使用してください。この設定により、IBM サポート・チームおよび開発チーム向けのデバッグ・ファイルが作成されます。作成されるファイルの名前は dbg.log です。


Windows NT および Windows 2000 プラットフォームでは、<ldapinstalldir>¥var ディレクトリーに dbg.log が作成されます。UNIX プラットフォームでは、/var/ldap ディレクトリーに dbg.log が作成されます。

注: このデバッグ・ログ・ファイルには、お客様のご使用のためではなく、IBM 開発チームが使用するためのコード固有の情報が含まれています。このファイルは、その他のデバッグ情報とともに、IBM サポート・チームに提出してください。

ibmslapd コマンドのパラメーターibmslapd コマンドには、UNIX システムの場合は 2 つのパラメーターがあり、Windows システムの場合にはさらに 2 つの追加パラメーターがあります。

-h <debug_mask>ibmslapd では、デバッグ出力を標準出力に生成します。debug_mask はビット・マスクであり、65535 以下の値を使用して、生成する出力を制御します。このパラメーターは、IBM サービス技術員が使用するためのものです。

-f <path_to_configuration_file>サーバーの始動時に使用する構成ファイルの場所を指定します。このパラメーターは、カスタマイズした構成ファイルを使用する場合に使用してください。このパラメーターが指定されなかった場合、ibmslapd では、構成ファイルが置かれている、プラットフォーム依存の場所にデフォルトで設定されます。

追加のパラメーター (Windowsシステムの場合)

-i <servicename>IBM Directory をサーバー上のサービスとしてインストールします。

-u <servicename>サーバーからのサービスとして IBM Directory を除去します。

サーバー・デバッグ・モードエラー・ログを参照しても問題解決のための情報が十分に得られない場合は、特別なデバッグ・モードで IBM Tivoli Directory Server を実行します。このモードでDirectory Server を実行すると、非常に詳細な情報が得られます。デバッグ出力をオンにするには、サーバーの実行ファイル ibmslapd をコマンド・プロンプトから実行する必要があります。構文は以下のようになります。

ldtrc onibmslapd -h bitmask

生成されるデバッグ出力のカテゴリーは、指定した bitmask の値で決まります。

表 20. デバッグ・カテゴリー

16 進数 10 進数値説明

0x0001 1 LDAP_DEBUG_TRACE ルーチンの開始と終了

0x0002 2 LDAP_DEBUG_PACKETS パケット・アクティビティー

0x0004 4 LDAP_DEBUG_ARGS 要求からのデータ引き数


表 20. デバッグ・カテゴリー (続き)

16 進数 10 進数値説明

0x0008 8 LDAP_DEBUG_CONNS 接続アクティビティー

0x0010 16 LDAP_DEBUG_BER データのエンコードとデコード

0x0020 32 LDAP_DEBUG_FILTER 検索フィルター

0x0040 64 LDAP_DEBUG_MESSAGE メッセージング・サブシステムのアクティビティーとイベント

0x0080 128 LDAP_DEBUG_ACL アクセス制御リスト・アクティビティー

0x0100 256 LDAP_DEBUG_STATS 操作統計

0x0200 512 LDAP_DEBUG_THREAD スレッド化統計

0x0400 1024 LDAP_DEBUG_REPL 複製統計

0x0800 2048 LDAP_DEBUG_PARSE 構文解析アクティビティー

0x1000 4096 LDAP_DEBUG_PERFORMANCE リレーショナル・バックエンドのパフォーマンス統計

0x1000 8192 LDAP_DEBUG_RDBM リレーショナル・バックエンド・アクティビティー (RDBM)

0x4000 16384 LDAP_DEBUG_REFERRAL 参照アクティビティー

0x8000 32768 LDAP_DEBUG_ERROR エラー状態

0xffff 65535 LDAP_DEBUG_ANY すべてのレベルのデバッグ

例えば、bitmask の値に ″65535″ を指定すると、フル・デバッグ出力がオンになり、最も詳細な情報が生成されます。

作業が完了したら、コマンド・プロンプトで以下のコマンドを発行します。

ldtrc off

デバッグ出力の解釈や問題の解決などでサポートが必要な場合は、IBM サービス部門にご相談ください。

複製コマンド行インターフェースのエラー (Windows プラットフォームのみ)

Windows 2000 または Windows NT を使用していて、複製を実行するためにマスター・サーバーが構成されている場合、更新時に ibmslapd エラー・ログに以下のようなエラーが表示されることがあります。

[IBM][CLI Driver] CLI0157E Error opening a file. SQLSTATE=S1507

この問題は、¥sqllib¥db2cli.ini ファイルに以下の項目を追加することで解決できます。

[COMMON]TempDir=x:¥<your directory>

x:¥<your directory> は、使用可能なスペースがあるドライブ上の既存のディレクトリーを指定します。DB2 データベースは、このディレクトリーに一時ファイルを


書き込みます。必要なスペースの量は、追加または更新するディレクトリー項目のサイズによって異なりますが、通常は更新する最大の項目のサイズよりも多くのスペースを必要とします。


付録 B. IBM UUID

IBM Tivoli Directory Server では、UID などの LDAP 属性に対して固有値を実行するように DB2 を構成できます。これには、いくつかの要件があります。

属性の値はすべて、その属性の値が作成または更新される各 LDAP サーバー上に保管する必要があります。つまり、その属性の値を含む他のサーバーを指し示すディレクトリー・ツリーを参照することはできません。属性の値が更新可能な複数のマスター (ピア・サーバー) がある場合は、ディレクトリー管理者とアプリケーションが、これらのサーバーの 1 つでのみ属性を更新するようにしてください。2 台のピア・サーバーで UID 属性の同じ値を持つアプリケーションがまったく同時に作成された場合、複製の競合が発生することがあります。

UID に対して固有値を実行するために使用できる、簡単な手順を以下に示します。この手順では SQL 文を発行して、UID 属性を含む表に DB2 制約を設定します。DB2 は、属性値が固有であることを確実にします。これを機能させるためには、SQL 文のパラメーターを設定する方法を知っておく必要があります。この手順の最初の 2 ステップでは、これらの SQL 文パラメーターを決定します。3番目のステップでは、SQL 制約を作成します。

1. ディレクトリー項目で固有値を必要とする属性を決定します。属性が非固有値をまだ持っていないことを確認してください。この例では、UID 属性が使用されます。データベースはこの UID に対して値を持つことができますが、値を持った場合は、それぞれの値が固有でなければなりません。現在、データベース内のUID に重複する値がある場合は、非固有値を削除するか、値が固有になるように変更しない限り、ステップ 3 で制約を設定することはできません。

2. 属性値を保管する DB2 表と、固有値を強制する DB2 制約を設定する DB2 表の列を決定します。列の固有値を効率的に実行するために、DB2 は索引を作成する必要があります。255 文字を上回る値を含む列には、索引は作成されません。したがって、以下のようになります。

v LDAP スキーマの属性に指定された長さが 255 文字以下の場合、固有性制約のために索引付けされる属性の値を含む DB2 表の列は、デフォルトではその属性とまったく同じ値を持ちます。

v 属性の長さが 255 文字を超える場合、DB2 はこの列に索引を作成することを許可しません。LDAP サーバーはこのことを認識しているため、その属性と同じ名前を持つ別の列を作成しますが、文字 ″_T″ が後ろに付けられます。この列には、255 文字のみに切り捨てられた属性の値が含まれます。DB2 はこの列に索引を作成できるため、これは、固有値の制約を追加する必要がある列になります。

例えば Web 管理ツールなどを使用して、LDAP スキーマの属性の定義を参照することで、属性の最大値を調べることができます。UID 属性の場合、IBM Tivoli

Directory Server に実装されているスキーマのデフォルトの長さは 256 です。したがって、2 番目の点はこの属性に当てはまります。この例では、列 ″UID_T″に固有性制約を設定する必要があります。″UID″ 列で固有性制約を設定しようとすると、必要な索引を作成できないため、SQL コマンドが失敗します。


3. DB2 が固有値を強制する表と列を決定したら、SQL ALTER TABLE 文を発行して、UID に固有値のみを許可するように DB2 に通知します。

a. DB2 コマンド・プロンプトに移動します。

v Windows では、 Windows コマンド・プロンプトで db2cmd と入力します。これにより、DB2 コマンド・ウィンドウが開きます。

v UNIX プラットフォームでは、root としてログオンしているときに su

ldapdb2 と入力します。これにより、適切な DB2 環境が設定されます。

b. Windows で set db2instance=ldapdb2 と入力します (このステップは、UNIX プラットフォームでは必要ありません)。

c. ldapdb2 に接続します。これにより、以下の alter table SQL コマンドに使用するための、LDAP サーバーのデータベースへの DB2 接続が確立されます。

d. 以下のコマンドを入力します。

db2 alter table "ldapdb2.uid" add CONSTRAINT const1 UNIQUE (uid_t)

この SQL 文によって制約が設定されます。UID 属性が 255 文字より長い場合があるため、UNIQUE パラメーター値は uid_t になることに注意してください。これ以降、最初の 255 文字がローカル・データベース内で固有でない場合、DB2 は値の指定を許可しません。この例では、制約には const1 という名前が付けられますが、希望する名前を付けることもできます。制約を除去して、非固有値を再び許可する場合のために、制約名を覚えておいてください。固有値制約を除去するには、以下の SQL コマンドを発行します。

alter table "ldapdb2.uid" drop constraint const1

アプリケーションが、既存のディレクトリー項目と重複する UID 属性の値を持つ項目をディレクトリーに追加しようとすると、LDAP サーバーから結果コードが 20

のエラーが戻されます。例を以下に示します。

LDAP: error code 20 - Attribute or Value Exists


付録 C. エラー・コード

LDAP エラー・コードの可能な値を以下のテーブルに示します。

表 21. 一般的な戻りコード

10進値

値 16進値

要旨詳細記述

00 LDAP_SUCCESS 00 成功要求は成功しました。

00 LDAP_OPERATIONS_ERROR 01 操作エラー操作エラーが発生しました。

02 LDAP_PROTOCOL_ERROR 02 プロトコル・エラープロトコル違反が検出されました。

03 LDAP_TIMELIMIT_EXCEEDED 03 時間制限を超えました LDAP 時間制限を超えました。

04 LDAP_SIZELIMIT_EXCEEDED 04 サイズ制限を超えました LDAP サイズ制限を超えました。

05 LDAP_COMPARE_FALSE 05 比較は false です比較操作が false を戻しました。

06 LDAP_COMPARE_TRUE 06 比較は true です比較操作が true を戻しました。

07 LDAP_STRONG_AUTH_NOT_SUPPORTED 07 強力な認証はサポートされていません

LDAP サーバーは強力な認証をサポートしていません。

08 LDAP_STRONG_AUTH_REQUIRED 08 強力な認証が必要です操作には強力な認証が必要です。

09 LDAP_PARTIAL_RESULTS 09 部分的結果と参照を受信しました

部分的結果のみが戻されました。

10 LDAP_REFERRAL 0A 参照が戻されました参照が戻されました。

11 LDAP_ADMIN_LIMIT_EXCEEDED 0B 管理制限を超えました管理制限を超えました。

12 LDAP_UNAVAILABLE_CRITICAL_EXTENSION 0C 限界の拡張はサポートされていません

限界の拡張はサポートされていません。

13 LDAP_CONFIDENTIALITY_REQUIRED 0D 機密性が必要です機密性が必要です。

14 LDAP_SASLBIND_IN_PROGRESS 0E SASL バインドが進行中です

SASL バインドが進行中です。

16 LDAP_NO_SUCH_ATTRIBUTE 10 そのような属性はありません

指定した属性タイプは項目に存在しません。

17 LDAP_UNDEFINED_TYPE 11 属性タイプが未定義です指定した属性タイプは有効ではありません。

18 LDAP_INAPPROPRIATE_MATCHING 12 不適切な突き合わせフィルター・タイプは、指定した属性でサポートされていません。


表 21. 一般的な戻りコード (続き)

10進値

値 16進値

要旨詳細記述

19 LDAP_CONSTRAINT_VIOLATION 13 制約違反指定した属性値は、制約に違反しています (住所の行が多すぎる、1 行が長すぎるなど)。

20 LDAP_TYPE_OR_VALUE_EXISTS 14 タイプまたは値が存在します

指定した属性タイプまたは属性値は、項目にすでに存在します。

21 LDAP_INVALID_SYNTAX 15 構文が無効です有効ではない属性値が指定されました。

32 LDAP_NO_SUCH_OBJECT 20 そのようなオブジェクトはありません

指定したオブジェクトはディレクトリーに存在しません。

33 LDAP_ALIAS_PROBLEM 21 別名の問題ディレクトリー内の別名が存在しない項目を指しています。

34 LDAP_INVALID_DN_SYNTAX 22 DN 構文が無効です構文が無効な DN が指定されました。

35 LDAP_IS_LEAF 23 オブジェクトはリーフです

指定したオブジェクトはリーフです。

36 LDAP_ALIAS_DEREF_PROBLEM 24 別名の参照解除の問題別名を参照解除するときに問題が発生しました。

48 LDAP_INAPPROPRIATE_AUTH 30 不適切な認証不適切な認証が指定されました (例えば、LDAP_AUTH_SIMPLE が指定され、項目にuserPassword 属性がありません)。

49 LDAP_INVALID_CREDENTIALS 31 信任状が無効です無効な信任状が示されました (例えばパスワードの間違いなど)。

50 LDAP_INSUFFICIENT_ACCESS 32 不十分なアクセス権ユーザーが操作を実行するためのアクセス権が不十分です。

51 LDAP_BUSY 33 DSA は使用中です DSA は使用中です

52 LDAP_UNAVAILABLE 34 DSA は使用不可です DSA は使用不可です。

53 LDAP_UNWILLING_TO_PERFORM 35 DSA は実行を望んでいません

DSA は操作の実行を望んでいません。

54 LDAP_LOOP_DETECT 36 ループが検出されましたループが検出されました。

64 LDAP_NAMING_VIOLATION 40 命名違反命名違反が発生しました。



10進値

値 16進値

要旨詳細記述

65 LDAP_OBJECT_CLASS_VIOLATION 41 オブジェクト・クラス違反

オブジェクト・クラス違反が発生しました (例えば、″required″ 属性が項目から抜けています)。

66 LDAP_NOT_ALLOWED_ON_NONLEAF 42 非リーフでの操作は許されません

非リーフ・オブジェクトでの操作は許されません。

67 LDAP_NOT_ALLOWED_ON_RDN 43 RDN での操作は許されません

RDN での操作は許されません。

68 LDAP_ALREADY_EXISTS 44 すでに存在しています項目はすでに存在しています。

69 LDAP_NO_OBJECT_CLASS_MODS 45 オブジェクト・クラスを変更できません

オブジェクト・クラスの変更は許されません。

70 LDAP_RESULTS_TOO_LARGE 46 結果が大きすぎます結果が大きすぎます。

71 LDAP_AFFECTS_MULTIPLE_DSAS 47 複数の DSA に影響を与えます

複数の DSA に影響を与えます。

80 LDAP_OTHER 50 不明なエラーです不明なエラーが発生しました。

81 LDAP_SERVER_DOWN 51 LDAP サーバーに接続できません

LDAP ライブラリーはLDAP サーバーに接続できません。

82 LDAP_LOCAL_ERROR 52 ローカル・エラーローカル・エラーが発生しました。これは通常、メモリー割り振りの失敗です。

83 LDAP_ENCODING_ERROR 53 エンコード・エラー LDAP サーバーに送信するパラメーターのエンコード中にエラーが発生しました。

84 LDAP_DECODING_ERROR 54 デコード・エラー LDAP サーバーの結果のデコード中にエラーが発生しました。

85 LDAP_TIMEOUT 55 タイムアウト結果の待機中に時間制限を超えました。

86 LDAP_AUTH_UNKNOWN 56 不明な認証方式バインド操作で指定された認証方法が不明です。

87 LDAP_FILTER_ERROR 57 誤った検索フィルター ldap_search に無効なフィルターが指定されました(例えば、括弧が対になっていないなど)。

88 LDAP_USER_CANCELLED 58 ユーザーが操作を取り消しました

ユーザーが操作を取り消しました。

付録 C. エラー・コード 379


10進値

値 16進値

要旨詳細記述

89 LDAP_PARAM_ERROR 59 LDAP ルーチンに対する誤ったパラメーター

誤ったパラメーターを使用して LDAP ルーチンが呼び出されました (例えばヌル LD ポインターなど)。

90 LDAP_NO_MEMORY 5A メモリー不足 LDAP ライブラリー・ルーチンでメモリー割り振り (malloc など) 呼び出しが失敗しました。

91 LDAP_CONNECT_ERROR 5B 接続エラー接続エラーです。

92 LDAP_NOT_SUPPORTED 5C サポートされていませんサポートされていません。

93 LDAP_CONTROL_NOT_FOUND 5D 制御が見つかりません制御が見つかりません。

94 LDAP_NO_RESULTS_RETURNED 5E 結果は戻されません結果は戻されません。

95 LDAP_MORE_RESULTS_TO_RETURN 5F さらに結果が戻されますさらに結果が戻されます。

96 LDAP_URL_ERR_NOTLDAP 60 URL が ldap:// で始まっていません

URL が ldap:// で始まっていません。

97 LDAP_URL_ERR_NODN 61 URL に DN がありません (必須)

URL に DN がありません (必須)。

98 LDAP_URL_ERR_BADSCOPE 62 URL の有効範囲ストリングが無効です

URL の有効範囲ストリングが無効です。

99 LDAP_URL_ERR_MEM 63 メモリー・スペースの割り当てができません

メモリー・スペースの割り当てができません。

100 LDAP_CLIENT_LOOP 64 クライアント・ループクライアント・ループです。

101 LDAP_REFERRAL_LIMIT_EXCEEDED 65 参照制限を超えました参照制限を超えました。

112 LDAP_SSL_ALREADY_INITIALIZED 70 ldap_ssl_client_init は、前にこのプロセスで正常に呼び出されました

ldap_ssl_client_init は、前にこのプロセスで正常に呼び出されました。

113 LDAP_SSL_INITIALIZE_FAILED 71 初期化呼び出しが失敗しました

SSL 初期化呼び出しが失敗しました。

114 LDAP_SSL_CLIENT_INIT_NOT_CALLED 72 SSL 接続を使用する前に ldap_ssl_client_init を呼び出す必要があります

SSL 接続を使用する前にldap_ssl_client_init を呼び出す必要があります。

115 LDAP_SSL_PARAM_ERROR 73 前に指定した SSL パラメーターが無効です

有効ではない SSL パラメーターが前に指定されました。

116 LDAP_SSL_HANDSHAKE_FAILED 74 SSL サーバーへの接続に失敗しました

SSL サーバーへの接続に失敗しました。

117 LDAP_SSL_GET_CIPHER_FAILED 75 使用されていません使用すべきではありません。



10進値

値 16進値

要旨詳細記述

118 LDAP_SSL_NOT_AVAILABLE 76 SSL ライブラリーが見つかりません

GSKit がインストールされていることを確認してください。

128 LDAP_NO_EXPLICIT_OWNER 80 明示的な所有者が見つかりません

明示的な所有者が見つかりませんでした。

129 LDAP_NO_LOCK 81 ロックを取得できませんでした

クライアント・ライブラリーは、必要なリソースをロックできませんでした。

さらに、ldap.h ファイルでは以下の DNS 関連のエラー・コードが定義されています。

表 22. DNS 関連の戻りコード

10進値

値 16進値

詳細記述

133 LDAP_DNS_NO_SERVERS 85 LDAP サーバーが見つかりません

134 LDAP_DNS_TRUNCATED 86 警告: DNS 結果が切り捨てられました

135 LDAP_DNS_INVALID_DATA 87 DNS データが無効です

136 LDAP_DNS_RESOLVE_ERROR 88 システム・ドメインまたはネーム・サーバーを解決できません

137 LDAP_DNS_CONF_FILE_ERROR 89 DNS 構成ファイル・エラー

ldap.h ファイルでは、以下の UTF8 関連のエラー・コードが定義されています。

表 23. UTF8 関連の戻りコード

10進値

値 16進値

詳細記述

160 LDAP_XLATE_E2BIG A0 出力バッファーのオーバーフロー

161 LDAP_XLATE_EINVAL A1 入力バッファーが切り捨てられました

162 LDAP_XLATE_EILSEQ A2 入力文字が使用不可能です

163 LDAP_XLATE_NO_ENTRY A3 マップ先を指しているコード・セットがありません

付録 C. エラー・コード 381


付録 D. ルート DSE 内部のオブジェクト ID (OID) および属性

IBM Tivoli Directory Server 5.2 では、以下のセクションに示す OID および属性が使用されます。これらの OID および属性は、ルート DSE の内部にあります。ルート DSE 項目には、サーバー自体の情報が格納されています。

IBM Tivoli Directory Server では、LDAP サーバー自体の情報を提供するためにLDAP サーバーが提供するルート DSE 項目を定義します。例えば、LDAP がサポートしているバージョンを確認する場合などがこれに該当します。

ルート DSE 内部の OID や属性を表示するには、以下のコマンドを実行します。

ldapsearch -D <AdminDN> -w <Adminpw> -s base-b "" objectclass=* * ibm-supportedcapabilitiesibm-enabledcapabilities

詳細については、IBM Tivoli Directory Server Version 5.2 C-Client SDK


ルート DSE 内の属性以下の属性はルート DSE の内部に存在します。

namingcontextsサーバー内に保持されている命名コンテキスト。

この属性の値は、このサーバーがマスターまたはシャドーを生成する命名コンテキストに対応します。サーバーがマスターまたはシャドーを生成しない場合 (例えば、サーバーが共通の X.500 ディレクトリーへの LDAP ゲートウェイの場合)、この属性は存在しません。サーバーにディレクトリー全体が格納されていると想定される場合、属性の値は 1 つになり、この値は空ストリングになります (ルートがヌル DN であることを示しています)。この属性を使用すると、クライアントはサーバーと通信したときに、検索に適した基本オブジェクト (ユーザーが構成データに定義する一連の最上位サフィックス) を選択できます。

ibm-configurationnamingcontextサーバーの構成項目が保管されるサフィックス。バージョン 5.2 では、cn=configuration となります。

subschemasubentry

この属性の値はサブスキーマ項目の名前です。この項目内では、スキーマを指定している属性をサーバーが有効にしています。この属性は cn=schema

に設定されます。

securityサーバーが listen するセキュア SSL ポート (例: 636)。これは、サーバーで SSL が使用可能になっている場合にのみ提供されます。

port サーバーが listen する非セキュア・ポート (例: 389)。これは、サーバーでセキュア・ポートが使用可能になっていない場合にのみ提供されます。


supportedsaslmechanismsサポートされている一連の SASL セキュリティー機能。

この属性の値は、サーバーがサポートしている SASL 機構の名前です。サーバーがいずれの機構もサポートしていない場合、この属性は存在しません。この属性には、サーバーに登録されている SASL 機構が含まれています。

supportedldapversion現在のサーバーによってインプリメントされている LDAP バージョン。

この属性の値は、サーバーがインプリメントしている LDAP プロトコルのバージョンです。値は、2 および 3 です。

ibmdirectoryversionこのサーバーにインストールされている IBM Tivoli Directory Server のバージョン。現在のバージョンは 5.2 です。

ibm-enabledcapabilities現在サーバーで使用可能になっているサーバー機能をリストします。値については、 385ページの『サポートされ、使用可能になっている機能のOID』を参照してください。

ibm-ldapservicenameサーバーのホスト名を指定します。 Kerberos レルムが定義されている場合、形式は hostname@realmname のようになります。

ibm-serverIdサーバーを最初に始動したときにサーバーに割り当てられる固有の ID。この ID は、サーバーの役割を判別するために複製トポロジーで使用されます。

vendornameLDAP のこのバージョンのサプライヤー。 IBM Tivoli Directory Server では、この属性は International Business Machines (IBM) に設定されます。

vendorversionIBM Tivoli Directory Server 5.2 では、ベンダーのバージョンは 5.2 に設定されます。

ibm-sslciphersサーバーでサポートされる暗号化方式のリストを指定します。このリストは、英数字のペアの形式で指定します。

ibm-slapdSizeLimit管理者以外のユーザーが開始した検索で戻される項目の数を制限します。

ibm-slapdTimeLimit管理者以外のユーザーが開始した検索要求の処理にサーバーが費やす時間の最大値 (秒) を指定します。

ibm-slapdDerefAliases参照解除を処理するためにサーバーをどのように構成するのかを記述します。


ibm-supportedAuditVersionサポートされる監査のバージョン。例えば、バージョン 5.2 では、拡張操作の監査が可能である監査バージョン 2 がサーバーでサポートされます。

ibm-supportedACIMechanismsサーバーがサポートする ACL モデルをリストします。値については、 387

ページの『ACI 機構の OID』を参照してください。

ibm-supportedcapabilities現在サーバーでサポートされているサーバー機能をリストします。値については、『サポートされ、使用可能になっている機能の OID』を参照してください。

ibm-supportedcontrolsサーバーが認識するコントロールをリストします。値については、 389ページの『コントロールの OID』を参照してください。

ibm-supportedextensionsfte サーバーがサポートする拡張操作をリストします。値については、 387

ページの『拡張操作の OID』を参照してください。

サポートされ、使用可能になっている機能の OID以下の表には、サポートされ、使用可能になっている機能の OID を示します。これらの OID を使用すると、特定のサーバーがこれらの機能をサポートしているかどうかを確認できます。

表 24. サポートされ、使用可能になっている機能の OID

短縮名説明割り当てられている OID

拡張複製モデル IBM Directory Server V5.1 で導入された、サブツリーやカスケード複製などの複製モデルを示します。

1.3.18.0.2.32.1

項目チェックサムこのサーバーが ibm-entrychecksum 機能およびibm-entrychecksumop 機能をサポートすることを示します。

1.3.18.0.2.32.2

項目 UUID この値は、ibm-entryuuid 属性をサポートしているサフィックスの ibm-capabilities サブエントリーに表示されます。

1.3.18.0.2.32.3

ACL のフィルター操作このサーバーが IBM フィルター ACL モデルをサポートすることを示します。

1.3.18.0.2.32.4

パスワード・ポリシーこのサーバーがパスワード・ポリシーをサポートすることを示します。

1.3.18.0.2.32.5

DN を基準にしたソート通常の属性に加えて DN でソートされる検索を使用可能にします。

1.3.18.0.2.32.6

管理グループの委任サーバーは、構成バックエンドに指定されている管理者グループに対するサーバー管理の委任をサポートしています。

1.3.18.0.2.32.8

サービス妨害の防止サーバーは、読み取り/書き込みタイムアウトや緊急スレッドなどのサービス妨害防止機能をサポートしています。

1.3.18.0.2.32.9

付録 D. ルート DSE 内部のオブジェクト ID (OID) および属性 385

表 24. サポートされ、使用可能になっている機能の OID (続き)


別名の参照解除オプションサーバーは、デフォルトでは別名の参照解除を実行しないオプションをサポートしています。

1.3.18.0.2.32.10

管理デーモンの監査ログサーバーは管理デーモンの監査機能をサポートしています。

1.3.18.0.2.32.11

検索フィルター解決用の属性キャッシュ

サーバーは、検索フィルター解決用の属性キャッシュをサポートしています。

1.3.18.0.2.32.13

動的トレースサーバーは、LDAP 拡張操作によるサーバーのアクティブ・トレースをサポートしています。

1.3.18.0.2.32.14

項目とサブツリーの動的更新サーバーは、項目とサブツリーの動的構成の更新をサポートしています。

1.3.18.0.2.32.15

グローバルな固有属性サーバーは、グローバルな固有属性値を適用する機能を備えています。

1.3.18.0.2.32.16

グループ固有の検索制限グループの拡張検索制限をサポートしています。 1.3.18.0.2.32.17

IBMpolicies 複製サブツリーサーバーは cn=IBMpolicies サブツリーの複製をサポートしています。

1.3.18.0.2.32.18

最大存続期間の変更ログ項目サーバーが変更ログ項目の保存期間を存続期間を基準にできることを指定します。

1.3.18.0.2.32.19

ロギング・カウントのモニターサーバーは、サーバー、コマンド行インターフェース、および監査ログ・ファイルに追加されたメッセージのロギング・カウントのモニター機能を提供します。

1.3.18.0.2.32.20

アクティブ・ワーカーのモニター情報

サーバーは、アクティブ・ワーカーのモニター情報 (cn=workers,cn=monitor) を提供します。

1.3.18.0.2.32.21

接続タイプ・カウントのモニター

サーバーは、SSL 接続および TLS 接続の接続タイプ・カウントをモニターする機能を提供します。

1.3.18.0.2.32.22

接続情報のモニターサーバーは、接続 ID (cn=connections,

cn=monitor) ではなく IP アドレス別に接続のモニター情報を提供します。

1.3.18.0.2.32.23

操作カウントのモニターサーバーは、開始操作タイプと完了操作タイプの操作カウントを新たにモニターする機能を提供します。

1.3.18.0.2.32.24

トレース情報のモニターサーバーは、現在使用中のトレース・オプションの情報をモニターする機能を提供します。

1.3.18.0.2.32.25

ヌル・ベースのサブツリー検索サーバーでは、サーバーで定義された DIT 全体を検索するヌル・ベースのサブツリー検索が可能です。

1.3.18.0.2.32.26

プロキシー許可サーバーは、ユーザー・グループのプロキシー許可をサポートしています。

1.3.18.0.2.32.27

TLS 機能サーバーが実際に TLS を実行できることを指定します。

1.3.18.0.2.32.28


表 24. サポートされ、使用可能になっている機能の OID (続き)


非ブロッキング複製サーバーは、コンシューマー (レプリカ) から受信したいくつかのエラーを無視する機能を備えています。このエラーは、通常、正常な結果コードを受信するまで更新情報が定期的に再送信されるというものです。

1.3.18.0.2.32.29

Kerberos 機能サーバーが Kerberos を使用できることを指定します。

1.3.18.0.2.32.30

ibm-allMembers 操作属性およびibm-allGroups 操作属性

バックエンドが ibm-allGroups 操作属性およびibm-allMembers 操作属性をに関する検索をサポートするかどうかを指定します。

1.3.18.0.2.32.31

言語タグサーバーが言語タグをサポートします。 1.3.6.1.4.1.4203.1.5.4

GSKit 用の FIPS モード ICC FIPS 認証ライブラリーからの暗号化アルゴリズムをサーバーが使用できるようになります。

1.3.18.0.2.32.32

ACI 機構の OID以下の表には、ACI 機構の OID を示します。

表 25. ACI 機構の OID


IBM SecureWay V3.2 ACL モデル LDAP サーバーが IBM SecureWay

V3.2 ACL モデルをサポートすることを示します。

1.3.18.0.2.26.2

IBM フィルター・ベースの ACL 機構

LDAP サーバーが IBM Directory

Server V5.1 のフィルター・ベースのACL をサポートしていることを示します。

1.3.18.0.2.26.3

System 属性と Restricted 属性の ACL

サポートサーバーは、system 属性とrestricted

属性に関する ACL の指定および評価をサポートしています。

1.3.18.0.2.32.7

拡張操作の OID以下の表には、拡張操作の OID を示します。

表 26. 拡張操作の OID


イベント登録要求 SecureWay V3.2 のイベント・サポートでイベントの登録を要求します。

1.3.18.0.2.12.1

イベント登録抹消要求イベント登録要求を使用して登録したイベントの登録を抹消します。

1.3.18.0.2.12.3

トランザクションの開始 SecureWay V3.2 のトランザクション・コンテキストを開始します。

1.3.18.0.2.12.5


表 26. 拡張操作の OID (続き)


トランザクションの終了 SecureWay V3.2 のトランザクション・コンテキストを終了 (コミット/ロールバック) します。

1.3.18.0.2.12.6

カスケード制御の複製この操作では、要求されたアクションを発行先のサーバー上で実行し、この呼び出しを複製トポロジーでこの操作の下位に置かれているすべてのコンシューマーに継続的に転送します。

1.3.18.0.2.12.15

複製の制御この操作は、サプライヤーによる即時の複製、複製の中断、複製の再開のいずれかを適用するときに使用します。この操作は、複製の合意に対する更新をクライアントが許可されている場合にのみ許可されます。

1.3.18.0.2.12.16

複製キューの制御この操作では、指定の合意の項目に「複製済み」とマークが付けられます。この操作は、複製の合意に対する更新をクライアントが許可されている場合にのみ許可されます。

1.3.18.0.2.12.17

サーバーの静止または静止解除

この操作では、クライアントの更新を受け入れない (またはこの状態を終了する) 状態にサブツリーが書き込まれます。ただし、サーバー管理制御が存在する、ディレクトリー管理者として認証されたクライアントからの更新は除きます。

1.3.18.0.2.12.19

ログのクリア要求ログ・ファイルのクリアを要求します。 1.3.18.0.2.12.20

行の取り込み要求ログ・ファイルからの行の取り込みを要求します。

1.3.18.0.2.12.22

行数の要求ログ・ファイル行数を要求します。 1.3.18.0.2.12.24

サーバーの始動、停止要求 LDAP サーバーの始動、停止、または再始動を要求します。

1.3.18.0.2.12.26

構成の更新要求 IBM Directory Server のサーバー構成の更新を要求します。

1.3.18.0.2.12.28

DN の正規化要求 1 つの DN または一連の DN の正規化を要求します。

1.3.18.0.2.12.30

接続の強制終了要求サーバーの接続の強制終了を要求します。この要求は、すべての接続を強制終了するものでも、バインド済み DN、IP、特定の IP からバインドされた DN のいずれかによる接続を強制終了するものでもかまいません。

1.3.18.0.2.12.35

ユーザー・タイプの要求バインドされているユーザーのユーザー・タイプの取得を要求します。

1.3.18.0.2.12.37

サーバー・トレースの制御 IBM Directory Server でのトレースを活動化または非活動化します。

1.3.18.0.2.12.40

TLS の始動 Transport Layer Security の始動を要求します。 1.3.6.1.4.1.1466.20037

固有属性属性に固有性を与える機能。 1.3.18.0.2.6.574

属性タイプの拡張操作操作、言語タグ、属性キャッシュ、固有、または構成などのサポートされる機能により属性を検索します。

1.3.18.0.2.12.46


コントロールの OID以下の表には、コントロールの OID を示します。

表 27. コントロールの OID


トランザクションのコンテキスト

対象の操作に対して、SecureWay V3.2 のトランザクション・コンテキストの一部というマークを付けます。

1.3.18.0.2.10.5

サーバー管理通常は操作が拒否される条件下 (サーバーが静止状態、読み取り専用レプリカなど) で、管理者による更新操作を許可します。

1.3.18.0.2.10.15

複製サプライヤーのバインド・コントロール

サプライヤーがゲートウェイ・サーバーの場合、このコントロールはサプライヤーによって追加されます。

1.3.18.0.2.10.18

ソート検索このコントロールを使用すると、クライアントは、一連の基準でソートした検索結果を受け取ることができます。この場合、各基準はソート・キーを表しています。

1.2.840.113556.1.4.319

ページ検索結果このコントロールを使用すると、検索要求から戻されるデータの量を管理できます。

1.2.840.113556.1.4.473

ツリー削除コントロールこのコントロールは削除要求に接続して、指定の項目およびすべての下位項目を削除することを示します。

1.2.840.113556.1.4.805

パスワード・ポリシーパスワード・ポリシー要求または応答 1.3.6.1.4.1.42.2.27.8.5.1

DSAIT の管理「ref」属性を持つ項目が通常の項目として処理され、クライアントはこれらの項目を読み取ったり変更したりできるようになります。

2.16.840.1.113730.3.4.2



付録 E. LDAP データ交換フォーマット (LDIF)

この付録では、ldapmodify、ldapsearch、および ldapadd ユーティリティーで使用される LDAP データ交換フォーマット (LDIF) について説明します。ここで記述するLDIF は、IBM Directory で提供されるサーバー・ユーティリティーにおいてもサポートされます。

LDIF は、LDAP 項目をテキスト形式で表現するために使用します。LDIF 項目の基本形式を以下に示します。

dn: <distinguished name><attrtype> : <attrvalue><attrtype> : <attrvalue>...

行を続けるには、次の行を単一のスペースまたはタブ文字で始めます。例を以下に示します。

dn: cn=John E Doe, o=University of HigherLearning, c=US

複数の属性値は、別々の行に指定します。例を以下に示します。

cn: John E Doecn: John Doe

<attrvalue> に非 US-ASCII 文字が含まれている場合、または <attrvalue> がスペースやコロン ’:’ で始まっている場合は、<attrtype> の後ろに二重コロンが続き、その値が base-64 表記でエンコードされます。例えば、スペースで始まる値は、以下のようにエンコードされます。

cn:: IGJlZ2lucyB3aXRoIGEgc3BhY2U=

同じ LDIF ファイル内に複数の項目がある場合は、ブランク行で区切ります。ブランク行を複数指定すると、論理的なファイルの終わりと見なされます。

LDIF の例ここでは、3 つの項目を含む LDIF ファイルの例を示します。

dn: cn=John E Doe, o=University of Higher Learning, c=UScn: John E Doecn: John Doeobjectclass: personsn: Doe

dn: cn=Bjorn L Doe, o=University of Higher Learning, c=UScn: Bjorn L Doecn: Bjorn Doeobjectclass: personsn: Doe

dn: cn=Jennifer K. Doe, o=University of Higher Learning, c=UScn: Jennifer K. Doe


cn: Jennifer Doeobjectclass: personsn: DoejpegPhoto:: /9j/4AAQSkZJRgABAAAAAQABAAD/2wBDABALDA4MChAODQ4SERATGCgaGBYWGDEjJR0oOjM9PDkzODdASFxOQERXRTc4UG1RV19iZ2hnPk1xeXBkeFxlZ2P/2wBDARESEhgVG...

Jennifer Jensen の項目の jpegPhoto は、base-64 を使用してエンコードされます。base-64 フォーマットでは、テキスト属性値も指定できます。ただし、その場合は、プロトコルのワイヤー・フォーマットのコード・ページの範囲内で base-64 エンコードを行う必要があります (つまり、LDAP V2 の場合は IA5 文字セット、LDAP

V3 の場合は UTF-8 エンコードになります)。

バージョン 1 LDIF サポートクライアント・ユーティリティーの ldapmodify と ldapadd が、最新バージョンのLDIF を認識するように拡張されました (最新バージョンの LDIF は、ファイルの先頭に ″version: 1″ タグが付いています)。非常に制限された US-ASCII しかサポートされない最初のバージョンの LDIF とは異なり、新しいバージョンの LDIF では、UTF-8 表記の属性値がサポートされます。

ただし、UTF-8 の値を含む LDIF ファイルを手作業で作成するのは困難です。この作業を簡素化するために、LDIF 形式を拡張した charset がサポートされています。この拡張機能では、IANA 文字セット名を LDIF ファイルのヘッダーに (バージョン番号とともに) 指定することができます。一連の IANA 文字セットは、制限付きでサポートされます。各オペレーティング・システム・プラットフォームでサポートされる特定の charset の値については、 394ページの『プラットフォームでサポートされている IANA 文字セット』を参照してください。

バージョン 1 LDIF 形式では、ファイル URL もサポートされます。これにより、ファイル指定をより柔軟に定義できます。ファイル URL は、以下の形式で指定します。

attribute:< file:///path (path 構文はプラットフォームによって異なります)

有効なファイル Web アドレスの例を以下に示します。

jpegphoto:< file:///d:¥temp¥photos¥myphoto.jpg (DOS/Windows スタイルのパス)jpegphoto:< file:///etc/temp/photos/myphoto.jpg (UNIX style paths)

注: IBM Directory ユーティリティーでは、バージョンの指定にかかわらず、新しいファイル URL 指定と古いスタイル (″jpegphoto: /etc/temp/myphoto″ など) の両方がサポートされます。つまり、LDIF ファイルにバージョン・タグを追加しなくても、新しいファイル URL フォーマットを使用できます。

バージョン 1 LDIF の例以下の例に示すように、オプションの charset タグを使用すると、ユーティリティーによって、指定された文字セットから UTF-8 に自動的に変換されます。

version: 1charset: ISO-8859-1

dn: cn=Juan Griego, o=University of New Mexico, c=US


cn: Juan Griegosn: Griegodescription:: V2hhdCBhIGNhcmVmdWwgcmVhZGVyIHlvdtitle: Associate Deantitle: [title in Spanish]jpegPhoto:> file:///usr/local/photos/jgriego.jpg

この例では、属性名と単一コロンに続く値はすべて、ISO-8859-1 文字セットからUTF-8 に変換されます。属性名と二重コロンの後に続く値 (description::

V2hhdCBhIGNhcm... など) は、base-64 でエンコードされている必要があります。この値は、バイナリーまたは UTF-8 文字ストリングに変換されます。ファイルから読み取られる値 (例えば、上記の例の Web アドレスで指定された jpegPhoto 属性)

も、バイナリーか UTF-8 に変換されます。これらの値に関しては、指定されたcharset から UTF-8 への変換は行われません。

以下に示す、charset タグを持たない LDIF ファイルの例では、内容は、UTF-8、base-64 エンコード UTF-8、または base-64 エンコード・バイナリー・データの形式に変換されます。

# IBM Directorysample LDIF file## The suffix "o=IBM, c=US" should be defined before attempting to load# this data.

version: 1

dn: o=IBM, c=USobjectclass: topobjectclass: organizationo: IBM

dn: ou=Austin, o=IBM, c=USou: Austinobjectclass: organizationalUnitseealso: cn=Linda Carlesberg, ou=Austin, o=IBM, c=US

以前のリリースの IBM Directory の場合のように、「version: 1」ヘッダー情報を付けないで、これと同じファイルを使用することもできます。

# IBM Directorysample LDIF file## The suffix "o=IBM, c=US" should be defined before attempting to load# this data.

dn: o=IBM, c=USobjectclass: topobjectclass: organizationo: IBM

dn: ou=Austin, o=IBM, c=USou: Austinobjectclass: organizationalUnitseealso: cn=Linda Carlesberg, ou=Austin, o=IBM, c=US

注: base-64 フォーマットでは、テキスト属性値を指定できます。

付録 E. LDAP データ交換フォーマット (LDIF) 393

プラットフォームでサポートされている IANA 文字セット以下のテーブルは、バージョン 1 LDIF ファイルの charset タグに指定可能な一連の IANA 定義文字セットをプラットフォーム別に示しています。一番左の列の値は、charset タグに指定可能なテキスト・ストリングを示しています。″X″ は、指定した charset から UTF-8 への変換が該当するプラットフォームでサポートされ、LDIF ファイルのストリングの内容がすべてその charset で表現されることを示します。 ″N/A″ は、そのプラットフォームで変換がサポートされないことを示します。

ストリングの内容は、属性名と単一コロンに続くものはすべて属性値であるものとして定義されます。

IANA に登録された文字セットの詳細については、『IANA 文字セット』を参照してください。

表 28.

文字ロケール DB2 コード・ページ

セット名 HP-UX Linux、Linux_390

NT AIX Solaris UNIX NT

ISO-8859-1 X X X X X 819 1252

ISO-8859-2 X X X X X 912 1250

ISO-8859-5 X X X X X 915 1251

ISO-8859-6 X X X X X 1089 1256

ISO-8859-7 X X X X X 813 1253

ISO-8859-8 X X X X X 916 1255

ISO-8859-9 X X X X X 920 1254

ISO-8859-15 X 適用外 X X X

IBM437 適用外適用外 X 適用外適用外 437 437

IBM850 適用外適用外 X X 適用外 850 850







IBM1250 適用外適用外 X 適用外適用外






TIS-620 適用外適用外 X X 適用外 874 874

EUC-JP X X 適用外

X X 954 適用外


http://www.iana.org/assignments/character-sets

表 28. (続き)

EUC-KR 適用外適用外適用外

X X* 970 適用外

EUC-CN 適用外適用外適用外

X X 1383 適用外

EUC-TW X 適用外適用外

X X 964 適用外

Shift-JIS 適用外 X X X X 932 943

KSC 適用外適用外 X 適用外適用外適用外 949

GBK 適用外適用外 X X 適用外 1386 1386

Big5 X 適用外 X X X 950 950

GB18030 適用外 X X X X

HP15CN X (非GB18030

の場合)

* Solaris 7 ではサポートされています。

注:

1. 新しい中国語の文字セット規格 (GB18030) は、www.sun.com およびwww.microsoft.com で入手できる該当のパッチを使用することによってサポートされます。

2. Windows 2000 オペレーティング・システムでは、環境変数zhCNGB18030=TRUE を設定する必要があります。

付録 E. LDAP データ交換フォーマット (LDIF) 395


付録 F. IPv6 サポート

インターネット・プロトコル・バージョン 6 (IPv6) は、現行バージョンのインターネット・プロトコルである IP バージョン 4 (IPv4) を置き換えるために IETF によって設計されたプロトコルです。 IPv6 では、使用可能な IPv4 アドレスの数が限られているなど、IPv4 に存在する多くの問題を解決しました。 IPv6 では、IPv4 と比較してアドレスの桁数が多い (128 ビット対 32 ビット) ため、TCP アプリケーション・レベルで影響があります。ルーティングやネットワークの自動構成の領域にも改良点があります。 IPv6 は、徐々に IPv4 を置き換えていくものと予想されています。

AIX での IPv6 サポートAIX のクライアントとサーバーの両方で IPv6 がサポートされます。IPv4

および IPv6 の LDAP URL のフォーマットは、以下のとおりです。

v URL にリテラル IPv4 アドレスを使用する場合、フォーマットはx.x.x.x:port となります。 URL での LDAP サーバー名の例は、ldap://9.53.90.21:80 となります。

v RFC 2732 に準拠するには、URL でのリテラル IPv6 アドレスを [ および ] という記号で囲む必要があります。URL における LDAP サーバー名の例は、以下のとおりです。

– ldap://[107:0:0:0:200:7051]:80

– ldap://[::ffff:9.53.96.21]



付録 G. IBM Tivoli Directory Server 5.2 必須属性の定義attributetypes=( 1.3.18.0.2.4.285NAME ’aclEntry’DESC ’Holds the access controls for entries in an IBM eNetwork LDAPdirectory’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.285DBNAME( ’aclEntry’ ’aclEntry’ )ACCESS-CLASS restrictedLENGTH 32700 )

attributetypes=( 1.3.18.0.2.4.286NAME ’aclPropagate’DESC ’Indicates whether the ACL applies on entry or subtree.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.286DBNAME( ’aclPropagate’ ’aclPropagate’ )ACCESS-CLASS restrictedLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.287NAME ’aclSource’DESC ’Indicates whether the ACL applies on entry or subtree.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.287DBNAME( ’aclSource’ ’aclSource’ )ACCESS-CLASS systemLENGTH 1000 )

attributetypes=( 2.5.4.1NAME ( ’aliasedObjectName’ ’aliasedentryname’ )DESC ’Represents the pointed to entry that is specified within analias entry.’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 2.5.4.1DBNAME( ’aliasedObject’ ’aliasedObject’ )ACCESS-CLASS normalLENGTH 1000EQUALITY )

attributetypes=( 1.3.6.1.4.1.1466.101.120.6NAME ’altServer’DESC ’The values of this attribute are URLs of other servers whichmay be contacted when this server becomes unavailable.’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26USAGE dSAOperation )IBMAttributetypes=( 1.3.6.1.4.1.1466.101.120.6DBNAME( ’altServer’ ’altServer’ )ACCESS-CLASS normalLENGTH 2048 )

attributetypes=( 2.5.21.5NAME ’attributeTypes’DESC ’This attribute is typically located in the subschema entry


and is used to store all attributes known to the server andobjectClasses.’EQUALITY 2.5.13.30SYNTAX 1.3.6.1.4.1.1466.115.121.1.3USAGE directoryOperation )IBMAttributetypes=( 2.5.21.5DBNAME( ’attributeTypes’ ’attributeTypes’ )ACCESS-CLASS systemLENGTH 30EQUALITY )

attributetypes=( 2.5.4.15NAME ’businessCategory’DESC ’This attribute describes the kind of business performed by anorganization.’EQUALITY 2.5.13.2SUBSTR 2.5.13.4SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE userApplications )IBMAttributetypes=( 2.5.4.15DBNAME( ’businessCategory’ ’businessCategory’ )ACCESS-CLASS normalLENGTH 128EQUALITYSUBSTR)

)attributetypes=( 2.16.840.1.113730.3.1.5NAME ’changeNumber’DESC ’Contains the change number of the entry as assigned by thesupplier server.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUENO-USER-MODIFICATIONUSAGE userApplications )IBMAttributetypes=( 2.16.840.1.113730.3.1.5DBNAME( ’changeNumber’ ’changeNumber’ )ACCESS-CLASS normalLENGTH 11EQUALITY APPROX )

attributetypes=( 2.16.840.1.113730.3.1.8NAME ’changes’DESC ’Defines changes made to a directory server. These changes arein LDIF format.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUENO-USER-MODIFICATIONUSAGE userApplications )IBMAttributetypes=( 2.16.840.1.113730.3.1.8DBNAME( ’changes’ ’changes’ )ACCESS-CLASS sensitive )

attributetypes=( 2.16.840.1.113730.3.1.77NAME ’changeTime’DESC ’Time last changed.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUENO-USER-MODIFICATIONUSAGE userApplications )IBMAttributetypes=( 2.16.840.1.113730.3.1.77DBNAME( ’changeTime’ ’changeTime’ )ACCESS-CLASS normalLENGTH 30 )

attributetypes=( 2.16.840.1.113730.3.1.7NAME ’changeType’


DESC ’Describes the type of change performed on an entry. Acceptedvalues include: add, delete, modify, modrdn.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUENO-USER-MODIFICATIONUSAGE userApplications )IBMAttributetypes=( 2.16.840.1.113730.3.1.7DBNAME( ’changeType’ ’changeType’ )ACCESS-CLASS normalLENGTH 250EQUALITY )

attributetypes=( 2.5.4.3NAME ( ’cn’ ’commonName’ )DESC ’This is the X.500 commonName attribute, which contains a name of an object.If the object corresponds to a person, it is typically the personsfull name.’SUP 2.5.4.41EQUALITY 2.5.13.2ORDERING 2.5.13.3SUBSTR 2.5.13.4USAGE userApplications )IBMAttributetypes=( 2.5.4.3DBNAME( ’cn’ ’cn’ )ACCESS-CLASS normalLENGTH 256EQUALITYORDERINGSUBSTRAPPROX )

attributetypes=( 2.5.18.1NAME ’createTimestamp’DESC ’Contains the time that the directory entry was created.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 2.5.18.1DBNAME( ’ldap_entry’ ’create_Timestamp’ )ACCESS-CLASS systemLENGTH 26 )

attributetypes=( 2.5.18.3NAME ’creatorsName’DESC ’Contains the creator of a directory entry.’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 2.5.18.3DBNAME( ’ldap_entry’ ’creator’ )ACCESS-CLASS systemLENGTH 1000EQUALITY )

attributetypes=( 2.16.840.1.113730.3.1.10NAME ’deleteOldRdn’DESC ’a flag which indicates if the old RDN should be retained asan attribute of the entry’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUENO-USER-MODIFICATIONUSAGE userApplications )IBMAttributetypes=( 2.16.840.1.113730.3.1.10

付録 G. IBM Tivoli Directory Server 5.2 必須属性の定義 401

DBNAME( ’deleteOldRdn’ ’deleteOldRdn’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 2.5.4.13NAME ’description’DESC ’Attribute commonto CIM and LDAP schema to provide lengthy description of adirectory object entry.’EQUALITY 2.5.13.2SUBSTR 2.5.13.4SYNTAX1.3.6.1.4.1.1466.115.121.1.15USAGE userApplications )IBMAttributetypes=( 2.5.4.13DBNAME( ’description’ ’description’ )ACCESS-CLASS normalLENGTH 1024EQUALITYSUBSTR )

attributetypes=( 2.5.21.2NAME ’ditContentRules’DESC ’Refer to RFC 2252.’EQUALITY 2.5.13.30SYNTAX 1.3.6.1.4.1.1466.115.121.1.16USAGE directoryOperation )IBMAttributetypes=( 2.5.21.2DBNAME( ’ditContentRules’ ’ditContentRules’ )ACCESS-CLASS systemLENGTH 256EQUALITY )

attributetypes=( 2.5.21.1NAME ’ditStructureRules’DESC ’Refer to RFC 2252.’EQUALITY 2.5.13.29SYNTAX 1.3.6.1.4.1.1466.115.121.1.17USAGE directoryOperation )IBMAttributetypes=( 2.5.21.1DBNAME( ’ditStructureRules’ ’ditStructureRules’ )ACCESS-CLASS systemLENGTH 256EQUALITY )

attributetypes=( 2.5.4.49NAME ( ’dn’ ’distinguishedName’ )DESC ’This attribute type is not used as the name of the object itself,but it is instead a base type from which attributes with DN syntaxinherit. It is unlikely that values of this type itself will occurin an entry.’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12USAGE userApplications )IBMAttributetypes=( 2.5.4.49DBNAME( ’dn’ ’dn’ )ACCESS-CLASS normalLENGTH 1000EQUALITY )

attributetypes=( 1.3.18.0.2.4.288NAME ’entryOwner’DESC ’Indicates the distinguished name noted as the owner of theentry’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )


IBMAttributetypes=( 1.3.18.0.2.4.288DBNAME( ’entryOwner’ ’entryOwner’ )ACCESS-CLASS restrictedLENGTH 1000 )

attributetypes=( 2.5.18.9NAME ’hasSubordinates’DESC ’Indicates whether any subordinate entries exist below theentry holding this attribute.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 2.5.18.9DBNAME( ’hasSubordinates’ ’hasSubordinates’ )ACCESS-CLASS systemLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2244NAME ’ibm-allGroups’DESC ’All groups to which an entry belongs. An entry may be a memberdirectly via member, uniqueMember or memberURL attributes, orindirectly via ibm-memberGroup attributes. Read-only operationalattribute (not allowed in filter).’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2244DBNAME( ’allGroups’ ’allGroups’ )ACCESS-CLASS normalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.2243NAME ’ibm-allMembers’DESC ’All members of a group. An entry may be a member directly viamember, uniqueMember or memberURL attributes, or indirectly viaibm-memberGroup attributes. Read-only operational attribute (notallowed in filter).’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2243DBNAME( ’ibmallMembers’ ’ibmallMembers’ )ACCESS-CLASS normalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.1077NAME ’ibm-audit’DESC ’TRUE or FALSE. Enable or disable the audit service. Defaultis FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1077DBNAME( ’audit’ ’audit’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1073NAME ’ibm-auditAdd’DESC ’TRUE or FALSE. Indicate whether to log the Add operation.Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1073DBNAME( ’auditAdd’ ’auditAdd’ )


ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1070NAME ’ibm-auditBind’DESC ’TRUE or FALSE. Indicate whether to log the Bind operation.Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1070DBNAME( ’auditBind’ ’auditBind’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1071NAME ’ibm-auditDelete’DESC ’TRUE or FALSE. Indicate whether to log the Delete operation.Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1071DBNAME( ’auditDelete’ ’auditDelete’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1069NAME ’ibm-auditExtOpEvent’DESC ’TRUE or FALSE. Indicate whether to log LDAP v3 EventNotification extended operations. Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1069DBNAME( ’auditExtOpEvent’ ’auditExtOpEvent’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1078NAME ’ibm-auditFailedOpOnly’DESC ’TRUE or FALSE. Indicate whether to only log failed operations.Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1078DBNAME( ’auditFailedOpOnly’ ’auditFailedOpOnly’ )ACCESS-CLASScritical LENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1079NAME ’ibm-auditLog’DESC ’Specifies the pathname for the audit log.’EQUALITY 2.5.13.5 SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1079DBNAME( ’auditLog’ ’auditLog’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.1072NAME ’ibm-auditModify’DESC ’TRUE or FALSE. Indicate whether to log the Modify operation.Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7


SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1072DBNAME( ’auditModify’ ’auditModify’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1075NAME ’ibm-auditModifyDN’DESC ’TRUE or FALSE. Indicate whether to log the ModifyRDNoperation. Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1075DBNAME( ’auditModifyDN’ ’auditModifyDN’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1074NAME ’ibm-auditSearch’DESC ’TRUE or FALSE. Indicate whether to log the Search operation.Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1074DBNAME( ’auditSearch’ ’auditSearch’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.1076NAME ’ibm-auditUnbind’DESC ’TRUE or FALSE. Indicate whether to log the Unbind operation.Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1076DBNAME( ’auditUnbind’ ’auditUnbind’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.2483NAME ’ibm-capabilitiessubentry’DESC ’Names the ibm-capabilitiessubentry object listing thecapabilities of the naming context containing this object.’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 SINGLE-VALUENO-USER-MODIFICATIONUSAGE dSAOperation )IBMAttributetypes=( 1.3.18.0.2.4.2483DBNAME( ’ibmcapsubentry’ ’ibmcapsubentry’ )ACCESS-CLASS systemLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.2444NAME ’ibm-effectiveAcl’DESC ’An operational attribute that contains the accumulated filterbased effective access for entries in an IBM LDAP directory.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2444DBNAME( ’effectiveAcl’ ’effectiveAcl’ )ACCESS-CLASS restrictedLENGTH 32700 )


attributetypes=( 1.3.18.0.2.4.2331NAME ’ibm-effectiveReplicationModel’DESC ’Advertises in the Root DSE the OID of the replication model inuse by the server’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26SINGLE-VALUE NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2331DBNAME( ’effectiveReplicat’ ’effectiveReplicat’ )ACCESS-CLASS systemLENGTH 240 )

attributetypes=( 1.3.18.0.2.4.2482NAME ’ibm-enabledCapabilities’DESC ’Lists capabilities that are enabled for use on this server.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15NO-USER-MODIFICATIONUSAGE dSAOperation )IBMAttributetypes=( 1.3.18.0.2.4.2482DBNAME( ’ibmenabledcap’ ’ibmenabledcap’ )ACCESS-CLASS systemLENGTH 100 )

attributetypes=( 1.3.18.0.2.4.2325NAME ’ibm-entryChecksum’DESC ’A checksum of the user attributes for the entry containingthis attribute.’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2325DBNAME( ’entryChecksum’ ’entryChecksum’ )ACCESS-CLASS systemLENGTH 100 )

attributetypes=( 1.3.18.0.2.4.2326NAME ’ibm-entryChecksumOp’DESC ’A checksum of the replicated operational attributes for theentry containing this attribute.’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26SINGLE-VALUE NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2326DBNAME( ’entryChecksumOp’ ’entryChecksumOp’ )ACCESS-CLASS systemLENGTH 100 )

attributetypes=( 1.3.18.0.2.4.1780NAME ’ibm-entryUuid’DESC ’Uniquely identifies a directory entry throughout its life.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.1780DBNAME( ’ibmEntryUuid’ ’ibmEntryUuid’ )ACCESS-CLASS systemLENGTH 36EQUALITY )


attributetypes=( 1.3.18.0.2.4.2443NAME ’ibm-filterAclEntry’DESC ’Contains filter based access controls for entries in an IBMLDAP directory.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2443DBNAME( ’filterAclEntry’ ’filterAclEntry’ )ACCESS-CLASS restrictedLENGTH 32700 )

attributetypes=( 1.3.18.0.2.4.2445NAME ’ibm-filterAclInherit’DESC ’Indicates whether filter based ACLs should accumulate up theancestor tree.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2445DBNAME( ’filterAclInherit’ ’filterAclInherit’ )ACCESS-CLASS restrictedLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2330NAME ’ibm-replicationChangeLDIF’DESC ’Provides LDIF representation of the last failing operation’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2330DBNAME( ’replicationChange’ ’replicationChange’ )ACCESS-CLASS system )

attributetypes=( 1.3.18.0.2.4.2498NAME ’ibm-replicationIsQuiesced’DESC ’Indicates whether the replicated subtree containing thisattribute is quiesced on this server.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUENO-USER-MODIFICATIONUSAGE dSAOperation )IBMAttributetypes=( 1.3.18.0.2.4.2498DBNAME( ’replIsQuiesced’ ’replIsQuiesced’ )ACCESS-CLASS systemLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2338NAME ’ibm-replicationLastActivationTime’DESC ’Indicates the last time the replication thread was activated’SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2338DBNAME( ’replicationLastAc’ ’replicationLastAc’ )ACCESS-CLASS systemLENGTH 32 )

attributetypes=( 1.3.18.0.2.4.2334NAME ’ibm-replicationLastChangeId’DESC ’Indicates last change id successfully replicated for areplication agreement’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUENO-USER-MODIFICATION


USAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2334DBNAME( ’replicationLastCh’ ’replicationLastCh’ )ACCESS-CLASS systemLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2335NAME ’ibm-replicationLastFinishTime’DESC ’Indicates the last time the replication thread completedsending all of the pending entries.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2335DBNAME( ’replicationLastFi’ ’replicationLastFi’ )ACCESS-CLASS systemLENGTH 30 )

attributetypes=( 1.3.18.0.2.4.2448NAME ’ibm-replicationLastGlobalChangeId’DESC ’Indicates the ID of the last global (applies to the entireDIT, such as schema) change successfully replicated.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2448DBNAME( ’replicationLastGl’ ’replicationLastGl’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2340NAME ’ibm-replicationLastResult’DESC ’Result of last attempted replication in the form:<time><change id><resultcode> <entry-dn> ’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2340DBNAME( ’replicationLastRe’ ’replicationLastRe’ )ACCESS-CLASS systemLENGTH 2048 )

attributetypes=( 1.3.18.0.2.4.2332NAME ’ibm-replicationLastResultAdditional’DESC ’Provides any additional error information returned by theconsuming server in the message component of the LDAP result’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2332BNAME( ’replicationLastAd’ ’replicationLastAd’ )ACCESS-CLASS systemLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2339NAME ’ibm-replicationNextTime’DESC ’Indicates next scheduled time for replication’SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2339DBNAME( ’replicationNextTi’ ’replicationNextTi’ )ACCESS-CLASS system


LENGTH 30 )

attributetypes=( 1.3.18.0.2.4.2333NAME ’ibm-replicationPendingChangeCount’DESC ’Indicates the total number of pending unreplicated changes forthis replication agreement’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2333DBNAME( ’replicationPendin’ ’replicationPendin’ )ACCESS-CLASS systemLENGTH 12 )

attributetypes=( 1.3.18.0.2.4.2337NAME ’ibm-replicationPendingChanges’DESC ’Unreplicated change in the form<change id><operation> <dn>where operation is ADD, DELETE, MODIFY, MODIFYDN’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2337DBNAME( ’replicationPendch’ ’replicationPendch’ )ACCESS-CLASS systemLENGTH 1100 )

attributetypes=( 1.3.18.0.2.4.2336NAME ’ibm-replicationState’DESC ’Indicates the state of the replication thread:active,ready,waiting,suspended, or full; if full, the value willindicate the amount of progress’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2336DBNAME( ’replicationState’ ’replicationState’ )ACCESS-CLASS systemLENGTH 240 )

attributetypes=( 1.3.18.0.2.4.2495NAME ’ibm-replicationThisServerIsMaster’DESC ’Indicates whether the server returning this attribute is amaster server for the subtree containing this entry.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUE NO-USER-MODIFICATIONUSAGE dSAOperation )IBMAttributetypes=( 1.3.18.0.2.4.2495DBNAME( ’replThisSvrMast’ ’replThisSvrMast’ )ACCESS-CLASS systemLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2328NAME ’ibm-serverId’DESC ’Advertises in the Root DSE the ibm-slapdServerId configurationsetting’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26SINGLE-VALUENO-USER-MODIFICATIONUSAGE dSAOperation )IBMAttributetypes=( 1.3.18.0.2.4.2328DBNAME( ’serverId’ ’serverId’ )


ACCESS-CLASS systemLENGTH 240 )

attributetypes=( 1.3.18.0.2.4.2374NAME ’ibm-slapdACLCache’DESC ’Controls whether or not the server caches ACL information’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2374DBNAME( ’ACLCache’ ’ACLCache’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2373NAME ’ibm-slapdACLCacheSize’DESC ’Maximum number of entries to keep in the ACL Cache’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SSINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2373DBNAME( ’slapdACLCacheSize’ ’slapdACLCacheSize’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2428NAME ’ibm-slapdAdminDN’DESC ’Bind DN for ibmslapd administrator, e.g.: cn=root’EQUALITY 2.5.13.1ORDERING 1.3.18.0.2.4.405SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2428DBNAME( ’slapdAdminDN’ ’slapdAdminDN’ )ACCESS-CLASS criticalLENGTH 1000EQUALITY ORDERING )

attributetypes=( 1.3.18.0.2.4.2425NAME ’ibm-slapdAdminPW’DESC ’Bind password for ibmslapd administrator.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUESAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2425DBNAME( ’slapdAdminPW’ ’slapdAdminPW’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.2366NAME ’ibm-slapdAuthIntegration’DESC ’Specifies integration of LDAP administrator access with localOS users. Legal values are : 0 - do not map local OS users to LDAPadministrator, 1 - map local OS users with proper authority to LDAPadministrator. This is supported only on OS/400.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2366DBNAME( ’slapdAuthIntegrat’ ’slapdAuthIntegrat’ )ACCESS-CLASS systemLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2432NAME ’ibm-slapdCLIErrors’


DESC ’File path or device on ibmslapd host machine to which DB2 CLIerror messages will be written. On Windows, forward slashes areallowed, and a leading slash not preceded by a drive letter isassumed to be rooted at the install directory (i.e.: /tmp/cli.errors= D:¥Program Files¥IBM¥ldap¥tmp¥cli.errors).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2432DBNAME( ’slapdCLIErrors’ ’slapdCLIErrors’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2369NAME ’ibm-slapdDB2CP’DESC ’Specifies the Code Page of the directory database. 1208 isthe code page for UTF-8 databases.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2369DBNAME( ’slapdDB2CP’ ’slapdDB2CP’ )ACCESS-CLASS normal LENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2431NAME ’ibm-slapdDBAlias’DESC ’The DB2 database alias.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2431DBNAME( ’slapdDBAlias’ ’slapdDBAlias’ )ACCESS-CLASS normal LLENGTH 8 )

attributetypes=( 1.3.18.0.2.4.2417NAME ’ibm-slapdDbConnections’DESC ’Specify the number of DB2 connections the server will dedicateto the DB2 backend. The value must be between 5 & 50 (inclusive).The ODBCCONS environment variable overrides this value. Ifibm-slapdDbConnections (or ODBCCONS) is less than 5 or greater than50, the server will use 5 or 50 respectively. Additional connectionsmay be created for replication and change log.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2417DBNAME( ’DbConnections’ ’DbConnections’ )ACCESS-CLASS criticalLENGTH 2 )

attributetypes=( 1.3.18.0.2.4.2418NAME ’ibm-slapdDbInstance’DESC ’The DB2 database instance for this backend.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2418DBNAME( ’slapdDbInstance’ ’slapdDbInstance’ )ACCESS-CLASS criticalLENGTH 8 )

attributetypes=( 1.3.18.0.2.4.2382


NAME ’ibm-slapdDbLocation’DESC ’The file system path where the backend database is located. OnUNIX this is usually the home directory of the DB2INSTANCE owner(e.g.: /home/ldapdb2). On windows its just a drive specifier (e.g.: D:)’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2382DBNAME( ’slapdDbLocation’ ’slapdDbLocation’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2426NAME ’ibm-slapdDbName’DESC ’The DB2 database name for this backend.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2426DBNAME( ’slapdDbName’ ’slapdDbName’ )ACCESS-CLASS criticalLENGTH 8 )

attributetypes=( 1.3.18.0.2.4.2422NAME ’ibm-slapdDbUserID’DESC ’The user name with which to connect to the DB2 database forthis backend.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2422DBNAME( ’slapdDbUserID’ ’slapdDbUserID’ )ACCESS-CLASS criticalLENGTH 8 )

attributetypes=( 1.3.18.0.2.4.2423NAME ’ibm-slapdDbUserPW’DESC ’The userpassword with which to connect to the DB2 databasefor this backend.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2423DBNAME( ’slapdDbUserPW’ ’slapdDbUserPW’ )ACCESS-CLASS critical )

attributetypes=( OID TBDNAME ’ibm-slapdDerefAliases’DESC ’Maximum alias dereferencing level on search requests, regardless ofany derefAliases that may have been specified on the client requests. Allowedvalues are "never", "find", "search" and "always".’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3054DBNAME( ’DerefAliases’ ’DerefAliases’ )ACCESS-CLASS criticalLENGTH 6)

attributetypes=( 1.3.18.0.2.4.2449NAME ’ibm-slapdDN’ DESC ’This attribute is used to sort searchresults by the entry DN (LDAP_ENTRY.DN column in the LDAPDB2database).’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12


SINGLE-VALUE NO-USER-MODIFICATIONUSAGE dSAOperation )IBMAttributetypes=( 1.3.18.0.2.4.2449DBNAME( ’LDAP_ENTRY’ ’DN’ )ACCESS-CLASS systemLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.2481NAME ’ibm-supportedCapabilities’DESC ’Lists capabilities supported, but necessarily enabled, by thisserver.’QUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15NO-USER-MODIFICATIONUSAGE dSAOperation )IBMAttributetypes=( 1.3.18.0.2.4.2481DBNAME( ’ibmsupportedCap’ ’ibmsupportedCap’ )ACCESS-CLASS systemLENGTH 100 )

attributetypes=( 1.3.18.0.2.4.2421NAME ’ibm-slapdEnableEventNotification’DESC ’If set to FALSE, the server will reject all extendedoperation requests to register for event notification with theextended result LDAP_UNWILLING_TO_PERFORM.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2421 DBNAME( ’enableEvntNotify’ ’enableEvntNotify’)ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2372NAME ’ibm-slapdEntryCacheSize’DESC ’Maximum number of entries to keep in the entry cache’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=(1.3.18.0.2.4.2372DBNAME( ’slapdRDBMCacheSiz’ ’slapdRDBMCacheSiz’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2424NAME ’ibm-slapdErrorLog’DESC ’File path or device on the ibmslapd host machineto which error messages will be written. On Windows, forwardslashes are allowed, and a leading slash not preceded by a driveletter is assumed to be rooted at the install directory (i.e.:/tmp/slapd.errors = D:¥Program Files¥IBM¥ldap¥tmp¥slapd.errors).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2424DBNAME( ’slapdErrorLog’ ’slapdErrorLog’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2371NAME ’ibm-slapdFilterCacheBypassLimit’DESC ’Search filters that match more than this number of entrieswill not be added to the Search Filter cache. Because the list ofentry ids that matched the filter are included in this cache, thissetting helps to limit memory use. A value of 0 indicates no


limit.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=(1.3.18.0.2.4.2371DBNAME( ’slapdRDBMCacheByp’ ’slapdRDBMCacheByp’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2370NAME ’ibm-slapdFilterCacheSize’DESC ’Specifies the maximum number of entries to keep in the SearchFilter Cache.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2370DBNAME(’slapdFilterCacheS’ ’slapdFilterCacheS’ )ACCESS-CLASS normalLENGTH 11)

attributetypes=( 1.3.18.0.2.4.2378NAME ’ibm-slapdIdleTimeOut’DESC ’Reserved for future use.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2378DBNAME(’SlapdIdleTimeOut’ ’SlapdIdleTimeOut’ )ACCESS-CLASS criticalLENGTH 11)

attributetypes=( 1.3.18.0.2.4.2364NAME ’ibm-slapdIncludeSchema’DESC ’File path on the ibmslapd host machine containing schemadefinitions used by the LDCF backend. Standard values are:/etc/V3.system.at /etc/V3.system.oc/etc/V3.ibm.at /etc/V3.ibm.oc /etc/V3.user.at /etc/V3.user.oc/etc/V3.ldapsyntaxes /etc/V3.matchingrules /etc/V3.modifiedschemaOn Windows,forward slashes are allowed, and a leading slash notpreceded by a drive letter is assumed to be rooted at the installdirectory (i.e.: /etc/V3.system.at =D:¥Program Files¥IBM¥ldap¥etc¥V3.system.at).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=(1.3.18.0.2.4.2364DBNAME( ’slapdIncldeSchema’ ’slapdIncldeSchema’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2365NAME ’ibm-slapdIpAddress’DESC ’Specifies IP addresses the server will listen on. These canbe IPv4 or IPv6 addresses. If the attribute is not specified, theserver uses all IP addresses assigned to the host machine. This issupported on OS/400 only.’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2365DBNAME(’slapdIpAddress’ ’slapdIpAddress’ )ACCESS-CLASS systemLENGTH 32 )

attributetypes=(1.3.18.0.2.4.2420


NAME ’ibm-slapdKrbAdminDN’DESC ’Specifies the kerberos ID of the LDAP administrator (e.g.ibm-kn=name@realm). Used when kerberos authentication is used toauthenticate the administrator when logged onto the Web Admininterface. This is specified instead of adminDN and adminPW.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2420DBNAME( ’slapdKrbAdminDN’ ’slapdKrbAdminDN’ )ACCESS-CLASS criticalLENGTH 512 )

attributetypes=( 1.3.18.0.2.4.2394NAME ’ibm-slapdKrbEnable’DESC ’Must be one of { TRUE | FALSE }. Specifies whether theserver supports kerberos authentication.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7USAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2394DBNAME( ’slapdKrbEnable’ ’slapdKrbEnable’)ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2419NAME ’ibm-slapdKrbIdentityMap’DESC ’If set to TRUE, when a client is authenticated with akerberos ID, the server will search for a local user with matchingkerberos credentials, and add that user DN to the connectionsbind credentials. This allows ACLs based on LDAP user DNs to stillbe usable with kerberos authentication.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2419DBNAME(’KrbIdentityMap’ ’KrbIdentityMap’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=(1.3.18.0.2.4.2416NAME ’ibm-slapdKrbKeyTab’DESC ’Specifies the LDAP servers keytab file. This file contains theLDAP servers private key, as associated with its kerberos account.This file should be protected (like the servers SSL key databasefile).On Windows, forward slashes are allowed, and a leading slash notpreceded by a drive letter (D:) is assumed to be rooted at theinstall directory (i.e.: /tmp/slapd.errors =D:¥Program Files¥IBM¥ldap¥tmp¥slapd.errors).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2416DBNAME( ’slapdKrbKeyTab’ ’slapdKrbKeyTab’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2400NAME ’ibm-slapdKrbRealm’DESC ’Specifies the LDAP servers kerberos realm. Used to publishthe ldapservicename attribute in the root DSE. Note that an LDAPserver can serve as the repository of account information formultiple KDCs (and realms), but the LDAP server, as a kerberosserver, can only be a member of a single realm.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15


SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2400DBNAME( ’slapdKrbRealm’ ’slapdKrbRealm’ )ACCESS-CLASS criticalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.2415NAME ’ibm-slapdLdapCrlHost’DESC ’Specify the hostname of the LDAP server that contains theCertificate Revocation Lists (CRLs) for validating client x.509v3certificates. This parameter is needed whenibm-slapdSslAuth=serverclientauth AND the client certificateshave been issued for CRL validation’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2415DBNAME( ’LdapCrlHost’ ’LdapCrlHost’ )ACCESS-CLASS criticalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.2407NAME ’ibm-slapdLdapCrlPassword’DESC ’Specify the password that server-side SSL will use to bind tothe LDAP server that contains the Certificate Revocation Lists(CRLs) for validating client x.509v3 certificates. This parametermay be needed when ibm-slapdSslAuth=serverclientauth AND the clientcertificates have been issued for CRL validation. Note: If theLDAP server holding the CRLs permits unauthenticatedaccess to the CRLs (i.e. anonymous access), thenibm-slapdLdapCrlPassword is not required.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2407DBNAME( ’CrlPassword’ ’CrlPassword’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.2404NAME ’ibm-slapdLdapCrlPort’DESC ’Specify the LDAP ibm-slapdPort used by the LDAP server thatcontains the Certificate Revocation Lists (CRLs) for validatingclient x.509v3 certificates. This parameter is needed whenibm-slapdSslAuth=serverclientauth AND the client certificates havebeen issued for CRL validation. (IP ports are unsigned, 16-bitintegers in the range 1 - 65535)’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )BMAttributetypes=( 1.3.18.0.2.4.2404DBNAME( ’LdapCrlPort’ ’LdapCrlPort’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2403NAME ’ibm-slapdLdapCrlUser’DESC ’Specify the bindDN that server-side SSL will use to bind tothe LDAP server that contains the Certificate Revocation Lists(CRLs) for validating client x.509v3 certificates. This parametermay be needed when ibm-slapdSslAuth=serverclientauth AND the clientcertificates have been issued for CRL validation.Note:If the LDAP server holding the CRLs permits unauthenticated accessto the CRLs (i.e. anonymous access), then ibm-slapdLdapCrlUser isnot required.’


SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2403DBNAME( ’LdapCrlUser’ ’LdapCrlUser’ )ACCESS-CLASS criticalLENGTH 1000)

attributetypes=( 1.3.18.0.2.4.2409NAME ’ibm-slapdMasterDN’DESC ’Bind DN used by a replication supplier server. The value hasto match the replicaBindDN in the credentials object associatedwith the replication agreement defined between the servers.When kerberos is used to authenticate to the replica,ibm-slapdMasterDN must specify the DN representation of thekerberos ID (e.g. ibm-kn=freddy@realm1). When kerberos is used,MasterServerPW is ignored.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2409DBNAME( ’MasterDN’ ’MasterDN’ )ACCESS-CLASS criticalLENGTH 1000 )

attributetypes=(1.3.18.0.2.4.2411NAME ’ibm-slapdMasterPW’DESC ’Bind password used by a replication supplier. The value has tomatch the replicaBindPW in the credentials object associated withthe replication agreement defined between the servers. When kerberosis used, MasterServerPW is ignored.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2411DBNAME( ’MasterPW’ ’MasterPW’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.2401NAME ’ibm-slapdMasterReferral’DESC ’URL of a master replica server (e.g.:ldaps://master.us.ibm.com:636)’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE USAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2401DBNAME( ’MasterReferral’ ’MasterReferral’)ACCESS-CLASS criticalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.2412NAME ’ibm-slapdMaxEventsPerConnection’DESC ’Maximum number of event notifications which can be registeredper connection. Minimum = 0 (unlimited) Maximum = 2,147,483,647’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGEdirectoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2412DBNAME( ’EventsPerCon’ ’EventsPerCon’ )ACCESS-CLASS criticalLENGTH 11)

attributetypes=( 1.3.18.0.2.4.2405NAME ’ibm-slapdMaxEventsTotal’DESC ’Maximum total number of event notifications which can beregistered for all connections. Minimum = 0 (unlimited) Maximum =


2,147,483,647’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2405DBNAME( ’MaxEventsTotal’ ’MaxEventsTotal’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2439NAME ’ibm-slapdMaxNumOfTransactions’DESC ’Maximum number of transactions active at one time. 0 = unlimited’EQUALITY 2.5.13.29SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2439DBNAME( ’MaxNumOfTrans’ ’MaxNumOfTrans’ )ACCESS-CLASS criticalLENGTH 11EQUALITY ORDERING SUBSTR APPROX )

attributetypes=( 1.3.18.0.2.4.2385NAME ’ibm-slapdMaxOpPerTransaction’DESC ’Maximum number of operations per transaction. 0 = unlimited’EQUALITY 2.5.13.29SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2385DBNAME( ’MaxOpPerTrans’ ’MaxOpPerTrans’ )ACCESS-CLASS criticalLENGTH 11EQUALITY ORDERING APPROX )

attributetypes=( 1.3.18.0.2.4.2386NAME ’ibm-slapdMaxTimeLimitOfTransactions’DESC ’The maximum timeout value of a pending transaction inseconds. 0 = unlimited’EQUALITY 2.5.13.29SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2386DBNAME(’MaxTimeOfTrans’ ’MaxTimeOfTrans’ )ACCESS-CLASS criticalLENGTH 11EQUALITY ORDERING APPROX )

attributetypes=( 1.3.18.0.2.4.2500NAME ’ibm-slapdMigrationInfo’DESC ’Information used to control migration of a component.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=(1.3.18.0.2.4.2500DBNAME( ’slapdMigrationInf’ ’slapdMigrationInf’ )ACCESS-CLASS criticalLENGTH 2048 )

attributetypes=( 1.3.18.0.2.4.2376NAME ’ibm-slapdPagedResAllowNonAdmin’DESC ’Whether or not the server should allow non-Administratorbind for paged results requests on a search request. If the valueread from the ibmslapd.conf file is TRUE, the server will processany client request,including those submitted by a user bindinganonymously. If the value read from the ibmslapd.conf file isFALSE, the server will process only those client requests submitted


by a user with Administrator authority. If a client requests pagedresults with a criticality of TRUE or FALSE for a search operation,does not have Administrator authority, and the value read from theibmslapd.conf file for this attribute is FALSE, the server willreturn to the client with return code insufficientAccessRights - nosearching or paging will be performed. ’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2376DBNAME( ’SlapdPagedNonAdmn’ ’SlapdPagedNonAdmn’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2380NAME ’ibm-slapdPagedResLmt’DESC ’Maximum number of outstanding paged results search requestsallowed active simultaneously. Range = 0.... If a client requestsa paged results operation, and a maximum number of outstanding pagedresults are currently active, then the server will return to theclient with return code of busy - no searching or paging will beperformed.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2380DBNAME( ’SlapdPagedResLmt’ ’SlapdPagedResLmt’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2379NAME ’ibm-slapdPageSizeLmt’DESC ’Maximum number of entries to return from search for anindividual page when paged results control is specified, regardlessif any pagesize that may have been specified on the client searchrequest. Range = 0.... If a client has passed a page size, then thesmaller value of the client value and the value read fromibmslapd.conf will be used.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2379DBNAME( ’SlapdPageSizeLmt’ ’SlapdPageSizeLmt’)ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2406NAME ’ibm-slapdPlugin’DESC ’A plugin is a dynamically loaded library which extends thecapabilities of the server. An ibm-slapdPlugin attribute specifiesto the server how to load and initialize a plugin library. Thesyntax is: keyword filename init_function [args...]. The syntaxwill be slightly different for each platform due to librarynaming conventions.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2406DBNAME( ’slapdPlugin’ ’slapdPlugin’)ACCESS-CLASS criticalLENGTH 2000 )

attributetypes=( 1.3.18.0.2.4.2408NAME ’ibm-slapdPort’DESC ’TCP/IP ibm-slapdPort used for non-SSL connections.Can not have the same value as ibm-slapdSecurePort. (IP ports areunsigned, 16-bit integers in the range 1 - 65535)’


SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2408DBNAME( ’slapdPort’ ’slapdPort’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2402NAME ’ibm-slapdPwEncryption’DESC ’Must be one of { none | imask | crypt | sha}. Specify theencoding mechanism for the user passwords before they arestored in the directory. Defaults to none if unspecified. If thevalue is set other than none, SASL digest-md5 bind will fail.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=(1.3.18.0.2.4.2402DBNAME( ’PwEncryption’ ’PwEncryption’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2413NAME ’ibm-slapdReadOnly’DESC ’Must be one of { TRUE | FALSE }. Specifies whetherthe backend can be written to. Defaults to FALSE if unspecified. Ifsetto TRUE, the server will return LDAP_UNWILLING_TO_PERFORM (0x35)in response to any client request which would change data in thereadOnly database.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2413DBNAME( ’ReadOnly’ ’ReadOnly’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2487NAME ’ibm-slapdReferral’DESC ’Specify the referral LDAP URL to pass back when the localsuffixes do not match the request. Used for superior referral(i.e. ibm-slapdSuffix is not within the servers naming context).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2487DBNAME( ’Referral’ ’Referral’ )ACCESS-CLASS criticalLENGTH 32700)

attributetypes=( 1.3.18.0.2.4.2437NAME ’ibm-slapdSchemaAdditions’DESC ’File path on the ibmslapd host machine containing additionalschema definitions used by the LDCF backend. Standard values are:/etc/V3.modifiedschema On Windows, forward slashes are allowed,and a leading slash not preceded by a drive letter is assumed to berooted at the install directory (i.e.: /etc/V3.system.at=D:¥Program Files¥IBM¥ldap¥etc¥V3.system.at).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2437DBNAME( ’slapdSchemaAdditi’ ’slapdSchemaAdditi’)ACCESS-CLASS normalLENGTH 1024)


attributetypes=( 1.3.18.0.2.4.2363NAME ’ibm-slapdSchemaCheck’DESC ’Must be one of { V2 | V3 | V3_lenient}. Specifies schemachecking mechanism for add/modify operation. V2 = perform LDAP v2checking. V3 = perform LDAP v3 checking. V3_lenient = not ALLparent object classes are required. Only the immediate object classis needed when adding entries.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2363DBNAME( ’SchemaCheck’ ’SchemaCheck’ )ACCESS-CLASS criticalLENGTH 10)

attributetypes=( 1.3.18.0.2.4.2398NAME ’ibm-slapdSecurePort’DESC ’TCP/IP port used for SSL connections. Can not have the samevalue as ibm-slapdPort. (IP ports are unsigned, 16-bit integers inthe range 1 - 65535)’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2398DBNAME( ’SecurePort’ ’SecurePort’ )ACCESS-CLASS criticalLENGTH 5)

attributetypes=( 1.3.18.0.2.4.2399NAME ’ibm-slapdSecurity’DESC ’Must be one of { none | SSL | SSLOnly }. Specifies types ofconnections accepted by the server. none - server listens onnon-ssl port only. ssl - server listens on both ssl and non-sslports. sslonly - server listens on ssl port only.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2399DBNAME( ’Security’ ’Security’ )ACCESS-CLASS criticalLENGTH 7)

attributetypes=( 1.3.18.0.2.4.2397NAME ’ibm-slapdSetenv’DESC ’Server executes putenv() for all values of ibm-slapdSetenvat startup to modify its own runtime environment. Shell variables(%PATH% or ¥24LANG) will not be expanded. The only current use forthis attribute is to set DB2CODEPAGE=1208, which is required ifusing UCS-2 (Unicode) databases.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2397DBNAME( ’slapdSetenv’ ’slapdSetenv’)ACCESS-CLASS criticalLENGTH 2000)

attributetypes=( 1.3.18.0.2.4.2396NAME ’ibm-slapdSizeLimit’DESC ’Maximum number of entries to return from search, regardless ofany sizelimit that may have been specified on the client searchrequest. Range = 0.... If a client has passed a limit, then thesmaller value of the client value and the value read fromibmslapd.conf will be used. If a client has not passed a limit andhas bound as admin DN, then the limit will be considered unlimited.


If the client has not passed a limit and has not bound as admin DN,then the limit will be that which was read from ibmslapd.conf file.0 = unlimited.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2396DBNAME( ’SizeLimit’ ’SizeLimit’ )ACCESS-CLASS criticalLENGTH 11)

attributetypes=(1.3.18.0.2.4.2381NAME ’ibm-slapdSortKeyLimit’DESC ’Maximum number of sort conditions (keys) that can be specifiedon a single search request. Range = 0.... If a client has passed asearch request with more sort keys than the limit allows, and thesorted search control criticality is FALSE, then the server willhonor the value read from ibmslapd.conf and ignore any sort keysencountered after the limit has been reached - searching andsorting will be performed. If a client has passed a search requestwith more keys than the limit allows, and the sorted search controlcriticality is TRUE, then the server will return to the client withreturn code of adminLimitExceeded - no searching or sortingwill be performed.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2381DBNAME( ’SlapdSortKeyLimit’ ’SlapdSortKeyLimit’ )ACCESS-CLASS criticalLENGTH 11)

attributetypes=(1.3.18.0.2.4.2377NAME ’ibm-slapdSortSrchAllowNonAdmin’DESC ’Whether or not the server should allow non-Administrator bindfor sort on a search request. If the value read from theibmslapd.conf file is TRUE, the server will process any clientrequest, including those submitted by a user binding anonymously.If the value read from the ibmslapd.conf file is FALSE, the serverwill process only those client requests submitted by a user withAdministrator authority. If a client requests sort with acriticality of TRUE for a search operation, does not haveAdministrator authority, and the value read from the ibmslapd.conffile for this attribute is FALSE, the server will return to theclient with return code insufficientAccessRights - no searching orsorting will be performed.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2377BNAME( ’SlapdSortNonAdmin’ ’SlapdSortNonAdmin’)ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2395NAME ’ibm-slapdSslAuth’DESC ’Must be one of { serverauth | serverclientauth}. Specifyauthentication type for ssl connection. serverauth - supportsserver authentication at the client. serverclientauth - supportsboth server and client authentication.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2395DBNAME( ’slapdSslAuth’ ’slapdSslAuth’)ACCESS-CLASS criticalLENGTH 16)


attributetypes=( 1.3.18.0.2.4.2389NAME ’ibm-slapdSslCertificate’DESC ’Specify the label that identifies the servers PersonalCertificate in the key database file. This label is specifiedwhen the servers private key and certificate are created with theikmgui application. If ibm-slapdSslCertificate is not defined, thedefault private key, as defined in the key database file, is used bythe LDAP server for SSL connections.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2389DBNAME( ’SslCertificate’ ’SslCertificate’ )ACCESS-CLASS criticalLENGTH 128 )

attributetypes=(1.3.18.0.2.4.2429NAME ’ibm-slapdSslCipherSpec’ESC ’SSL Cipher Spec Value must be set to DES-56, RC2-40-MD5,RC4-128-MD5, RC4-128-SHA, RC4-40-MD5,TripleDES-168, or AES. Itidentifies the allowable encryption/decryption methods forestablishing a SSL connection between LDAP clients and the server.’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26USAGE directoryOperation )IBMAttributetypes=(1.3.18.0.2.4.2429DBNAME( ’slapdSslCipherSpe’ ’slapdSslCipherSpe’ )ACCESS-CLASS normalLENGTH 30)

attributetypes=( 1.3.18.0.2.4.2362NAME ’ibm-slapdSslCipherSpecs’DESC ’This attribute is depricated in favor ofibm-slapdSslCipherSpec. Specifies a decimal number which identifiesthe allowable encryption/decryption methods for establishing a SSLconnection between LDAP client(s) and the server. This numberrepresents the availability of the encryption/decryption methodssupported by the LDAP server. The pre-defined Cipher values andtheir descriptions are: SLAPD_SSL_TRIPLE_DES_SHA_US 0x0A Triple DESencryption with a 168-bit key and a SHA-1 MAC LAPD_SSL_DES_SHA_US0x09DES encryption with a 56-bit key and a SHA-1 MACSLAPD_SSL_RC4_SHA_US 0x05 RC4 encryption with a 128-bit key and aSHA-1 MAC SLAPD_SSL_RC4_MD5_US 0x04 RC4 encryption with a 128-bitkey and a MD5 MAC SLAPD_SSL_RC4_MD5_EXPORT 0x03 RC4 encryptionwith a 40-bit key and a MD5 MAC SLAPD_SSL_RC2_MD5_EXPORT 0x06 RC2encryption with a 40-bit key and a MD5 MAC’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2362DBNAME( ’SslCipherSpecs’ ’SslCipherSpecs’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2375NAME ’ibm-slapdSSLKeyDatabase’DESC ’File path to the LDAP servers SSL key database file. This keydatabase file is used for handling SSL connections from LDAPclients, as well as for creating secure SSL connections to replicaLDAP servers. On Windows, forward slashes are allowed, and aleading slash not preceeded by a drive specifier (D:) is assumed tobe rooted at the install directory (i.e.: /etc/key.kdb = D:¥ProgramFiles¥IBM¥ldap¥etc¥key.kdb).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE


USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2375DBNAME( ’slapdSSLKeyDataba’ ’slapdSSLKeyDataba’ )ACCESS-CLASS criticalLENGTH 1024)

attributetypes=(1.3.18.0.2.4.2438NAME ’ibm-slapdSSLKeyDatabasePW’DESC ’Specify the password associated with the LDAP servers SSL keydatabase file, as specified on the ibm-slapdSslKeyDatabaseparameter. If the LDAP servers key database file has an associatedpassword stash file, then the ibm-slapdSslKeyDatabasePW parametercan be ommitted, or set to ibm-slapdSslKeyDatabasePW = none.Note:The password stash file must be located in the samedirectory as the key database file and it must have the same filename as the key database file, but with an extension of .sth,instead of .kdb’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2438DBNAME( ’slapdSSLKeyDPW’ ’slapdSSLKeyDPW’ )ACCESS-CLASS normal )

attributetypes=(1.3.18.0.2.4.2392NAME ’ibm-slapdSslKeyRingFile’DESC ’file path to the LDAP servers SSL key database file. This keydatabase file is used for handling SSL connections from LDAPclients, as well as for creating secure SSL connections to replicaLDAP servers. On Windows, forward slashes are allowed, and aleading slash not preceeded by a drive specifier (D:) is assumed tobe rooted at the install directory (i.e.: /etc/key.kdb =D:¥Program Files¥IBM¥ldap¥etc¥key.kdb).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2392DBNAME( ’SslKeyRingFile’ ’SslKeyRingFile’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2390NAME ’ibm-slapdSslKeyRingFilePW’DESC ’Specify the password associated with the LDAP servers SSL keydatabase file, as specified on the ibm-slapdSslKeyRingFileparameter. If the LDAP servers key database file has an associatedpassword stash file, then the ibm-slapdSslKeyRingFilePW parametercan be ommitted, or set to ibm-slapdSslKeyRingFilePW = none.Note:The password stash file must be located in the samedirectory as the key database file and it must have the same filename as the key database file, but with an extension of .sth,instead of .kdb.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2390DBNAME( ’SslKeyRingFilePW’ ’SslKeyRingFilePW’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.2388NAME ’ibm-slapdSuffix’DESC ’Specifies a naming context to be stored in this backend.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12USAGE directoryOperation )IBMAttributetypes=(1.3.18.0.2.4.2388


DBNAME( ’slapdSuffix’ ’slapdSuffix’ )ACCESS-CLASS criticalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.2480NAME ’ibm-slapdSupportedWebAdmVersion’DESC ’This attribute defines the earliest version of the webadministration console that supports configuration of this server.’EQUALITY 2.5.13.2ORDERING 2.5.13.3SUBSTR 2.5.13.4SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2480DBNAME( ’slapdSupWebAdmVer’ ’slapdSupWebAdmVer’)ACCESS-CLASS normalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.2393NAME ’ibm-slapdSysLogLevel’DESC ’Must be one of { l | m | h }. Level at which debugging andoperation statistics are logged in ibmslapd.log file. h - high(verbose), m - medium, l - low (terse).’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=(1.3.18.0.2.4.2393DBNAME( ’SysLogLevel’ ’SysLogLevel’ )ACCESS-CLASS criticalLENGTH 1 )

attributetypes=( 1.3.18.0.2.4.2391NAME’ibm-slapdTimeLimit’DESC ’Maximum number of number of seconds to spend on searchrequest, regardless of any timelimit that may have been specifiedon the client request. Range = 0.... If a client has passed alimit, then the smaller value of the client value and the valueread from ibmslapd.conf will be used. If a client has not passed alimit and has bound as admin DN, then the limit will be consideredunlimited. If the client has not passed a limit and has not bound asadmin DN, then the limit will be that which was read fromibmslapd.conf file. 0 = unlimited.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation)IBMAttributetypes=( 1.3.18.0.2.4.2391DBNAME( ’TimeLimit’ ’TimeLimit’)ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( ibm-slapdStartupTraceEnabled-oidNAME ’ibm-slapdTraceEnabled’DESC ’Must be one of { TRUE | FALSE }. Specifies whether trace information is to becollected at server startup’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( ibm-slapdStartupTraceEnabled-oidACCESS-CLASS normalLENGTH 5 )

attributetypes=( ibm-slapdTraceMessageLevel-oidNAME ’ibm-slapdTraceMessageLevel’DESC ’any value that would be accepable after the command line -h option, setsDebug message level’


SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( ibm-slapdTraceMessageLevel-oidACCESS-CLASS normalLENGTH 16 )

attributetypes=( ibm-slapdTraceMessageLog-oidNAME ’ibm-slapdTraceMessageLog’DESC ’File path or device on ibmslapd host machine to whichLDAP C API and Debug macro messages will be written.On Windows, forward slashes are allowed, and a leadingslash not preceded by a drive letter is assumed to be rooted atthe install directory(i.e., /tmp/tracemsg.log = C:¥Program Files¥IBM¥ldap¥tmp¥tracemsg.log).’SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( ibm-slapdTraceMessageLog-oidACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2384NAME ’ibm-slapdTransactionEnable’DESC ’If FALSE, globally disables transaction support; the serverwill reject all StartTransaction requests with the responseLDAP_UNWILLING_TO_PERFORM.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2384DBNAME(’TransactionEnable’ ’TransactionEnable’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2499NAME ’ibm-slapdUseProcessIdPW’DESC ’If set to true the server will use the user login idassociated with the ibmslapd process to connect to the database. Ifset to false the server will use the ibm-slapdDbUserID andibm-slapdDbUserPW values to connect to the database.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2499DBNAME( ’useprocidpw’ ’useprocidpw’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2436NAME ’ibm-slapdVersion’DESC ’IBM Slapd version Number’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2436DBNAME( ’slapdVersion’ ’slapdVersion’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2327NAME ’ibm-supportedReplicationModels’DESC ’Advertises in the Root DSE the OIDs of replication modelssupported by the server’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26


NO-USER-MODIFICATIONUSAGE dSAOperation )IBMAttributetypes=( 1.3.18.0.2.4.2327DBNAME( ’supportedReplicat’ ’supportedReplicat’ )ACCESS-CLASS systemLENGTH 240 )

attributetypes=( 1.3.18.0.2.4.470NAME ’IBMAttributeTypes’DESC ’ ’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.470DBNAME( ’IBMAttributeTypes’ ’IBMAttributeTypes’ )ACCESS-CLASS normalLENGTH 256 )

attributetypes=( 1.3.6.1.4.1.1466.101.120.16NAME ’ldapSyntaxes’DESC ’Servers MAY use this attribute to list the syntaxes which areimplemented. Each value corresponds to one syntax.’EQUALITY 2.5.13.30SYNTAX 1.3.6.1.4.1.1466.115.121.1.54USAGE directoryOperation )IBMAttributetypes=( 1.3.6.1.4.1.1466.101.120.16DBNAME( ’ldapSyntaxes’ ’ldapSyntaxes’ )ACCESS-CLASS systemLENGTH 256 EQUALITY )

attributetypes=( 2.5.21.4NAME ’matchingRules’DESC ’This attribute is typically located in the subschema entry.’EQUALITY 2.5.13.30SYNTAX 1.3.6.1.4.1.1466.115.121.1.30USAGE directoryOperation )IBMAttributetypes=( 2.5.21.4DBNAME( ’matchingRules’ ’matchingRules’ )ACCESS-CLASS systemLENGTH 256EQUALITY )

attributetypes=( 2.5.21.8NAME ’matchingRuleUse’DESC ’This attribute is typically located in the subschema entry.’EQUALITY 2.5.13.30SYNTAX 1.3.6.1.4.1.1466.115.121.1.31USAGE directoryOperation )IBMAttributetypes=( 2.5.21.8DBNAME( ’matchingRuleUse’ ’matchingRuleUse’ )ACCESS-CLASS systemLENGTH 256EQUALITY )

attributetypes=( 2.5.4.31NAME ’member’DESC ’Identifies the distinguished names for each member of the group.’SUP 2.5.4.49EQUALITY 2.5.13.1USAGE userApplications )IBMAttributetypes=( 2.5.4.31DBNAME( ’member’ ’member’ )ACCESS-CLASS normalLENGTH 1000EQUALITY )

attributetypes=( 2.5.18.4


NAME ’modifiersName’DESC ’Contains the last modifier of a directory entry.’EQUALITY 2.5.13.1 SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 2.5.18.4DBNAME( ’ldap_entry’ ’modifier’ )ACCESS-CLASS systemLENGTH 1000EQUALITY )

attributetypes=( 2.5.18.2NAME ’modifyTimestamp’DESC ’Contains the time of the last modification of the directoryentry.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 2.5.18.2DBNAME( ’ldap_entry’ ’modify_Timestamp’ )ACCESS-CLASS systemLENGTH 26 )

attributetypes=( 2.5.4.41NAME ’name’ DESC ’The name attribute typeis the attribute supertype from which string attribute typestypically used for naming may be formed. It is unlikely that valuesof this type itself will occur in an entry.’EQUALITY 1.3.6.1.4.1.1466.109.114.2SUBSTR 2.5.13.4SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE userApplications )IBMAttributetypes=( 2.5.4.41DBNAME( ’name’ ’name’ )ACCESS-CLASS normalLENGTH 32700EQUALITYSUBSTR )

attributetypes=( 2.5.21.7NAME ’nameForms’DESC ’This attribute is typically located in the subschema entry.’EQUALITY 2.5.13.30SYNTAX 1.3.6.1.4.1.1466.115.121.1.35USAGE directoryOperation )IBMAttributetypes=( 2.5.21.7DBNAME( ’nameForms’ ’nameForms’ )ACCESS-CLASS normalLENGTH 256EQUALITY )

attributetypes=( 1.3.6.1.4.1.1466.101.120.5NAME ’namingContexts’DESC ’The values of this attribute correspond to naming contextswhich this server masters or shadows.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12USAGE dSAOperation )IBMAttributetypes=( 1.3.6.1.4.1.1466.101.120.5DBNAME( ’namingContexts’ ’namingContexts’ )ACCESS-CLASS normalLENGTH 1000 )

attributetypes=( 2.16.840.1.113730.3.1.11NAME ’newSuperior’DESC ’Specifies the name of the entry that will become the


immediate superior of the existing entry, when processing a modDNoperation.’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUENO-USER-MODIFICATIONUSAGE userApplications )IBMAttributetypes=( 2.16.840.1.113730.3.1.11DBNAME( ’newSuperior’ ’newSuperior’ )ACCESS-CLASS normalLENGTH 1000EQUALITY APPROX )

attributetypes=( 2.5.4.10NAME ( ’o’ ’organizationName’ ’organization’ )DESC ’This attribute contains the name of an organization (organizationName).’SUP 2.5.4.41EQUALITY 1.3.6.1.4.1.1466.109.114.2SUBSTR 2.5.13.4USAGE userApplications )IBMAttributetypes=( 2.5.4.10DBNAME( ’o’ ’o’ )ACCESS-CLASS normalLENGTH 128 )

attributetypes=( 2.5.4.0NAME ’objectClass’DESC ’The values of the objectClass attribute describe the kind ofobject which an entry represents.’EQUALITY 2.5.13.0SYNTAX 1.3.6.1.4.1.1466.115.121.1.38USAGE userApplications )IBMAttributetypes=( 2.5.4.0DBNAME( ’objectClass’ ’objectClass’ )ACCESS-CLASS normalLENGTH 128EQUALITY )

attributetypes=( 2.5.21.6NAME ’objectClasses’DESC ’This attribute is typically located in the subschema entry.’EQUALITY 2.5.13.30SYNTAX 1.3.6.1.4.1.1466.115.121.1.37USAGE directoryOperation )IBMAttributetypes=( 2.5.21.6DBNAME( ’objectClasses’ ’objectClasses’ )ACCESS-CLASS systemLENGTH 256EQUALITY )

attributetypes=( 1.3.18.0.2.4.289NAME ’ownerPropagate’DESC ’Indicates whether the entryOwner applies on entry or subtree.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.289DBNAME( ’ownerPropagate’ ’ownerPropagate’ )ACCESS-CLASS restrictedLENGTH 5 )

attributetypes=( 2.5.4.11NAME ( ’ou’ ’organizationalUnit’ ’organizationalUnitName’ )DESC ’This attribute contains the name of an organization (organizationName).’SUP 2.5.4.41EQUALITY 1.3.6.1.4.1.1466.109.114.2SUBSTR 2.5.13.4USAGE userApplications )


IBMAttributetypes=( 2.5.4.11DBNAME( ’ou’ ’ou’ )ACCESS-CLASS normalLENGTH 128 )

attributetypes=( 2.5.4.32NAME ’owner’DESC ’Identifies the distinguished name (DN) of the person responsiblefor the entry.’SUP 2.5.4.49EQUALITY 2.5.13.1USAGE userApplications )IBMAttributetypes=( 2.5.4.32DBNAME( ’owner’ ’owner’ )ACCESS-CLASS normalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.290NAME ’ownerSource’DESC ’Indicates the distinguished name of the entry whose entryOwnervalue is being applied to the entry.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.290DBNAME( ’ownerSource’ ’ownerSource’ )ACCESS-CLASS systemLENGTH 1000 )

attributetypes=( 1.3.6.1.4.1.42.2.27.8.1.17NAME ’pwdAccountLockedTime’DESC ’Specifies the time that the users account was locked’EQUALITY 2.5.13.27ORDERING 2.5.13.28SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.6.1.4.1.42.2.27.8.1.17DBNAME( ’pwdAccLockTime’ ’pwdAccLockTime’ )ACCESS-CLASS criticalLENGTH 30 )

attributetypes=( 1.3.6.1.4.1.42.2.27.8.1.16NAME ’pwdChangedTime’DESC ’Specifies the last time the entrys password was changed’EQUALITY 2.5.13.27ORDERING 2.5.13.28SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.6.1.4.1.42.2.27.8.1.16DBNAME( ’pwdChangedTime’ ’pwdChangedTime’ )ACCESS-CLASS criticalLENGTH 30 )

attributetypes=( 1.3.6.1.4.1.42.2.27.8.1.18NAME ’pwdExpirationWarned’DESC ’The time the user was first warned about the coming expirationof the password’EQUALITY 2.5.13.27ORDERING 2.5.13.28SYNTAX 1.3.6.1.4.1.1466.115.121.1.24SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.6.1.4.1.42.2.27.8.1.18DBNAME( ’pwdExpireWarned’ ’pwdExpireWarned’ )ACCESS-CLASS critical


LENGTH 30)

attributetypes=( 1.3.6.1.4.1.42.2.27.8.1.19NAME ’pwdFailureTime’DESC ’The timestamps of the last consecutive authenticationfailures’EQUALITY 2.5.13.27ORDERING 2.5.13.28SYNTAX 1.3.6.1.4.1.1466.115.121.1.24USAGE directoryOperation )IBMAttributetypes=( 1.3.6.1.4.1.42.2.27.8.1.19DBNAME( ’pwdFailureTime’ ’pwdFailureTime’ )ACCESS-CLASS criticalLENGTH 30 )

attributetypes=( 1.3.6.1.4.1.42.2.27.8.1.21NAME ’pwdGraceUseTime’DESC ’The timestamps of the grace login once the password hasexpired’EQUALITY 2.5.13.27SYNTAX 1.3.6.1.4.1.1466.115.121.1.24USAGE directoryOperation )IBMAttributetypes=( 1.3.6.1.4.1.42.2.27.8.1.21DBNAME( ’pwdGraceUseTime’ ’pwdGraceUseTime’ )ACCESS-CLASS criticalLENGTH 30)

attributetypes=( 1.3.6.1.4.1.42.2.27.8.1.20NAME ’pwdHistory’DESC ’The history of users passwords’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.6.1.4.1.42.2.27.8.1.20DBNAME( ’pwdHistory’ ’pwdHistory’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.6.1.4.1.42.2.27.8.1.22NAME ’pwdReset’DESC ’Indicates that the password has been reset.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.6.1.4.1.42.2.27.8.1.22DBNAME( ’pwdReset’ ’pwdReset’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.299NAME ’replicaBindDN’DESC ’Distinguished name to use on LDAP bind to the remote replica’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.299DBNAME( ’replicaBindDN’ ’replicaBindDN’ )ACCESS-CLASS criticalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.302NAME ’replicaBindMethod’DESC ’LDAP bind type to use on LDAP bind to replica.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.302DBNAME( ’replicaBindMethod’ ’replicaBindMethod’ )


ACCESS-CLASS normalLENGTH 100 )

attributetypes=( 1.3.18.0.2.4.300NAME ( ’replicaCredentials’ ’replicaBindCredentials’ )DESC ’Credentials to use on LDAP bind to the remote replica’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.300DBNAME( ’replicaCred’ ’replicaCred’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.298NAME ’replicaHost’DESC ’Hostname of the remote replica’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.298DBNAME( ’replicaHost’ ’replicaHost’ )ACCESS-CLASS normalLENGTH 100 )

attributetypes=( 1.3.18.0.2.4.301NAME ’replicaPort’DESC ’TCP/IP port that the replica server is listening on.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.301DBNAME( ’replicaPort’ ’replicaPort’ )ACCESS-CLASS normalLENGTH 10 )

attributetypes=( 1.3.18.0.2.4.304NAME ’replicaUpdateTimeInterval’DESC ’Specifies the time between replica update transmissions frommaster to slave replica.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.304DBNAME( ’replicaUpdateInt’ ’replicaUpdateInt’ )ACCESS-CLASS normalLENGTH 20 )

attributetypes=( 1.3.18.0.2.4.303NAME ’replicaUseSSL’DESC ’Signifies whether replication flows should be protected usingSSL communications.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.303DBNAME( ’replicaUseSSL’ ’replicaUseSSL’ )ACCESS-CLASS normalLENGTH 10 )

attributetypes=( 2.16.840.1.113730.3.1.34NAME ’ref’DESC ’standard Attribute’EQUALITY 2.5.13.5


SYNTAX 1.3.6.1.4.1.1466.115.121.1.26USAGE userApplications )IBMAttributetypes=( 2.16.840.1.113730.3.1.34DBNAME( ’ref’ ’ref’ )ACCESS-CLASS normalLENGTH 100 )

attributetypes=( 2.5.4.34NAME ’seeAlso’DESC ’Identifies anotherdirectory server entry that may contain informationrelated to this entry.’SUP 2.5.4.49EQUALITY 2.5.13.1USAGE userApplications )IBMAttributetypes=( 2.5.4.34DBNAME( ’seeAlso’ ’seeAlso’ )ACCESS-CLASS normalLENGTH 1000 )

attributetypes=( 2.5.18.10NAME ’subschemaSubentry’DESC ’The value of this attribute is the name of a subschema entryin which the server makes available attributes specifying theschema.’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 2.5.18.10DBNAME( ’subschemaSubent’ ’subschemaSubent’ )ACCESS-CLASS systemLENGTH 1000EQUALITY )

attributetypes=( 1.3.18.0.2.4.819NAME ’subtreeSpecification’DESC ’Identifies a collection of entries that are located at thevertices of a single subtree.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.819DBNAME( ’subtreeSpec’ ’subtreeSpec’ )ACCESS-CLASS systemLENGTH 2024 )

attributetypes=( 1.3.6.1.4.1.1466.101.120.7NAME ’supportedExtension’DESC ’The values of this attribute are OBJECT IDENTIFIERsidentifying the supported extended operations which the serversupports.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.38USAGE dSAOperation )IBMAttributetypes=( 1.3.6.1.4.1.1466.101.120.7DBNAME( ’supportedExtensio’ ’supportedExtensio’ )ACCESS-CLASS normalLENGTH 256 )

attributetypes=( 1.3.6.1.4.1.1466.101.120.15NAME ’supportedLDAPVersion’DESC ’The values of this attribute are the versions of the LDAPprotocol which the server implements.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27USAGE dSAOperation )IBMAttributetypes=( 1.3.6.1.4.1.1466.101.120.15DBNAME( ’supportedLDAPVers’ ’supportedLDAPVers’ )


ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.6.1.4.1.1466.101.120.14NAME ’supportedSASLMechanisms’DESC ’The values of this attribute are the names of supported SASLmechanisms which the server supports.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE dSAOperation )IBMAttributetypes=( 1.3.6.1.4.1.1466.101.120.14DBNAME( ’supportedSASLMech’ ’supportedSASLMech’ )ACCESS-CLASS normal LENGTH 2048)

attributetypes=( 2.16.840.1.113730.3.1.6NAME ’targetDN’DESC ’Defines the distinguished name of an entry that was added,modified, or deleted on a supplier server. In the case of a modrdnoperation, the targetDn contains the distinguished name of theentry before it was modified.’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUENO-USER-MODIFICATIONUSAGE userApplications )IBMAttributetypes=( 2.16.840.1.113730.3.1.6DBNAME( ’targetDN’ ’targetDN’ )ACCESS-CLASS normalLENGTH 1000EQUALITY APPROX)


付録 H. IBM Tivoli Directory Server 5.2 構成スキーマのオブジェクト・クラスおよび属性

以下に、IBM Tivoli Directory Server バージョン 5.2 に組み込まれている構成オブジェクト・クラスと属性を示します。これらのオブジェクト・クラスと属性は、etcディレクトリーの V3config.oc ファイルおよび V3.config.at ファイルにあります。ibmslapd.conf ファイルに表示されるオブジェクトを定義します。

構成オブジェクト・クラス以下に、IBM Tivoli Directory Server バージョン 5.2 に組み込まれているスキーマ・オブジェクト・クラスを示します。

# File generated at 4:07:24 PM on 8/4/2003 from IBM LDAP schema version 1.5

objectclasses=( 1.3.18.0.2.6.489NAME ’ibm-slapdAdmin’DESC ’Global configuration settings for IBM Admin Daemon’SUP ( ibm-slapdConfigEntry $ top )STRUCTURALMUST ( cn $ ibm-slapdErrorLog $ ibm-slapdPort )MAY ( ibm-slapdSecurePort ) )

objectclasses=( 1.3.18.0.2.6.556NAME ’ibm-slapdAdminGroupMember’DESC ’A User belonging to the IBM Directory Server Administration Group.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( ibm-slapdAdminDN $ ibm-slapdAdminPW )MAY ( ibm-slapdKrbAdminDN $ ibm-slapdDigestAdminUser ) )

objectclasses=( 1.3.18.0.2.6.490NAME ’ibm-slapdConfigBackend’DESC ’Config backend configuration for IBM Directory’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdPlugin $ ibm-slapdSuffix )MAY ( ibm-slapdReadOnly ) )

objectclasses=( 1.3.18.0.2.6.486NAME ’ibm-slapdConfigEntry’DESC ’ibm slapd config entry’SUP ’top’ABSTRACTMUST ( cn )MAY ( ibm-slapdInvalidLine ) )

objectclasses=( 1.3.18.0.2.6.560NAME ’ibm-slapdConnectionManagement’DESC ’Global connection settings for IBM Directory Server.’SUP ( ibm-slapdConfigEntry $ top )STRUCTURALMUST ( cn )MAY ( ibm-slapdAllowAnon $ ibm-slapdAllReapingThreshold$ ibm-slapdAnonReapingThreshold $ ibm-slapdBoundReapingThreshold$ ibm-slapdESizeThreshold $ ibm-slapdEThreadActivate$ ibm-slapdEThreadEnable $ ibm-slapdETimeThreshold$ ibm-slapdWriteTimeout $ ibm-slapdIdleTimeOut ) )


objectclasses=( 1.3.18.0.2.6.493NAME ’ibm-slapdCRL’DESC ’Certificate revocation list settings for IBM Directory.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdLdapCrlHost $ ibm-slapdLdapCrlPort )MAY ( ibm-slapdLdapCrlPassword $ ibm-slapdLdapCrlUser ) )

objectclasses=( 1.3.18.0.2.6.575NAME ’ibm-slapdDigest’DESC ’Global configuration entries for the DIGEST-MD5 SASL bindmechanism for IBMDirectory.’SUP ’ibm-slapdConfigEntry’STRUCTURALMAY ( ibm-slapdDigestAdminUser $ ibm-slapdDigestAttr$ ibm-slapdDigestRealm ) )

objectclasses=( 1.3.18.0.2.6.500NAME ’ibm-slapdEventNotification’DESC ’Global event notification settings for IBM Directory.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdEnableEventNotification )MAY ( ibm-slapdMaxEventsPerConnection $ ibm-slapdMaxEventsTotal ) )

objectclasses=( 1.3.18.0.2.6.501NAME ’ibm-slapdFrontEnd’DESC ’Global front-end settings which the server will load at startup.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn )MAY ( ibm-slapdPlugin $ ibm-slapdSetenv $ ibm-slapdIdleTimeOut $ ibm-slapdACLCache$ ibm-slapdACLCacheSize $ ibm-slapdFilterCacheSize $ ibm-slapdFilterCacheBypassLimit$ ibm-slapdEntryCacheSize $ ibm-slapdDB2CP ) )

objectclasses=( 1.3.18.0.2.6.494NAME ’ibm-slapdKerberos’DESC ’Global kerberos authentication settings for IBM Directory.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdKrbAdminDN $ ibm-slapdKrbEnable $ ibm-slapdKrbIdentityMap$ ibm-slapdKrbKeyTab $ ibm-slapdKrbRealm ) )

objectclasses=( 1.3.18.0.2.6.495NAME ’ibm-slapdLdcfBackend’DESC ’LDCF backend configuration for IBM Directory.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn )MAY ( ibm-slapdSuffix $ ibm-slapdPlugin ) )

objectclasses=( 1.3.18.0.2.6.526NAME ’ibm-slapdPendingMigration’DESC ’Indicates that a server component requires migration.’SUP ’top’AUXILIARYMAY ( ibm-slapdMigrationInfo ) )

objectclasses=( 1.3.18.0.2.6.497NAME ’ibm-slapdRdbmBackend’DESC ’DB2 database backend configuration for IBM Directory.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdDbName $ ibm-slapdDbInstance $ ibm-slapdDbUserID $ibm-slapdDbUserPW )


MAY ( ibm-slapdPlugin $ ibm-slapdSuffix $ ibm-slapdReadOnly$ ibm-slapdChangeLogMaxEntries $ ibm-slapdPagedResAllowNonAdmin$ ibm-slapdPagedResLmt $ ibm-slapdPageSizeLmt $ ibm-slapdSortKeyLimit$ ibm-slapdSortSrchAllowNonAdmin $ ibm-slapdDbConnections $ ibm-slapdDbLocation$ ibm-slapdDB2CP $ ibm-slapdReplDbConns $ ibm-slapdCLIErrors$ ibm-slapdBulkloadErrors $ ibm-slapdDBAlias $ ibm-slapdUseProcessIdPW ) )

objectclasses=( 1.3.18.0.2.6.485NAME ’ibm-slapdReferral’DESC ’Global superior referrals for IBM Directory.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdReferral ) )

objectclasses=( 1.3.18.0.2.6.496NAME ’ibm-slapdReplication’DESC ’Contains the default bind credentials and master server referral URL.This is used when the server contains one or more replication contexts thatare replicated to it by other servers. This server may be acting asone of several masters or as a read only replica. If the MasterDN isspecified without the Master PW attribute, kerberos authentication is used.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn )MAY ( ibm-slapdMasterDN $ ibm-slapdMasterPW $ ibm-slapdMasterReferral ) )

objectclasses=( 1.3.18.0.2.6.499NAME ’ibm-slapdSchema’DESC ’Global schema settings for IBM Directory.Multiple schemas are not currently supported, but if they were then therewould be one ibm-slapdSchema entry per schema.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdSchemaCheck $ ibm-slapdIncludeSchema )MAY ( ibm-slapdSchemaAdditions ) )

objectclasses=( 1.3.18.0.2.6.492NAME ’ibm-slapdSSL’DESC ’Global SSL connection settings for IBM Directory.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdSecurity $ ibm-slapdSecurePort $ ibm-slapdSslAuth )MAY ( ibm-slapdSslCertificate $ ibm-slapdSslCipherSpec$ ibm-slapdSslCipherSpecs $ ibm-slapdSSLKeyDatabase$ ibm-slapdSSLKeyDatabasePW $ ibm-slapdSslKeyRingFilePW ) )

objectclasses=( 1.3.18.0.2.6.488NAME ’ibm-slapdSupplier’DESC ’Contains bind credentials used by a replication supplier server toupdate the specified subtree on this consumer server. Use of theis objectclass overrides the default bind credentials specified in an ibm-slapdReplicationobject’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdReplicaSubtree $ ibm-slapdMasterDN )MAY ( ibm-slapdMasterPW ) )

objectclasses=( 1.3.18.0.2.6.498NAME ’ibm-slapdTop’DESC ’Global configuration settings for IBM Tivoli Directory Server.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdAdminDN $ ibm-slapdAdminPW $ ibm-slapdErrorLog$ ibm-slapdPort $ ibm-slapdPwEncryption $ ibm-slapdSizeLimit$ ibm-slapdSysLogLevel $ ibm-slapdTimeLimit ) MAY ( ibm-slapdServerId$ ibm-slapdVersion $ ibm-slapdMaxPendingChangesDisplayed$ ibm-slapdSupportedWebAdmVersion ) )

付録 H. IBM Tivoli Directory Server 5.2 構成スキーマのオブジェクト・クラスおよび属性 437

objectclasses=( 1.3.18.0.2.6.491NAME ’ibm-slapdTransaction’DESC ’Global transaction support settings for IBM Directory.’SUP ( top $ ibm-slapdConfigEntry )STRUCTURALMUST ( cn $ ibm-slapdMaxNumOfTransactions $ ibm-slapdMaxOpPerTransaction$ ibm-slapdMaxTimeLimitOfTransactions $ ibm-slapdTransactionEnable ) )

構成属性以下に、IBM Tivoli Directory Server バージョン 5.2 に組み込まれている構成属性を示します。構文 OID に合わせた記述名については、etc ディレクトリーにあるV3.ldapsyntaxes ファイルを参照してください。

# File generated at 4:07:00 PM on 8/4/2003 from IBM LDAP schema version 1.5attributetypes=( 1.3.18.0.2.4.3056NAME ’ibm-auditExtOp’DESC ’TRUE or FALSE Indicate whether to log the Extended operation.Default is FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3056DBNAME( ’auditExOp’ ’auditExOp’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.3055NAME ’ibm-auditVersion’DESC ’Specifies which version of auditing to use.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3055DBNAME( ’auditVersion’ ’auditVersion’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.3075NAME ’ibm-replicationignorederrorcount’DESC ’Number of updates sent to a replica that returned a result otherthan LDAP_SUCCESS that were assumed to have already been applied’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE NO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3075DBNAME( ’replicationignore’ ’replicationignore’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.3076NAME ’ibm-replicationskippederrorcount’DESC ’Number of updates sent to a replica that returned a result otherthan LDAP_SUCCESS that were skipped to allow replication to continue’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUENO-USER-MODIFICATIONUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3076DBNAME( ’replicationskippe’ ’replicationskippe’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2485NAME ’ibm-slapdACLAccess’


DESC ’If set to true anyone that can read an entry can alsoread the entrys ACL attributes. If set to false only the entryowner or the administrator can read ACL attributes.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE userApplications )IBMAttributetypes=( 1.3.18.0.2.4.2485DBNAME( ’slapdACLAccess’ ’slapdACLAccess’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2374NAME ’ibm-slapdACLCache’DESC ’Controls whether or not the server caches ACL information’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2374DBNAME( ’ACLCache’ ’ACLCache’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2373NAME ’ibm-slapdACLCacheSize’DESC ’Maximum number of entries to keep in the ACL Cache’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2373DBNAME( ’slapdACLCacheSize’ ’slapdACLCacheSize’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2428NAME ’ibm-slapdAdminDN’DESC ’Bind DN for the directory administrator, e.g.: cn=root’EQUALITY 2.5.13.1ORDERING 1.3.18.0.2.4.405SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2428DBNAME( ’slapdAdminDN’ ’slapdAdminDN’ )ACCESS-CLASS criticalLENGTH 1000EQUALITY ORDERING )

attributetypes=( 1.3.18.0.2.4.3013NAME ’ibm-slapdAdminGroupEnabled’DESC ’Must be one of { TRUE | FALSE }. Specifies whether the AdministrativeGroup is currently enabled. Defaults to FALSE if unspecified. If set toTRUE, the server will allow users in the administrative group to login.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3013DBNAME( ’AdmGroupEnabled’ ’AdmGroupEnabled’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2425NAME ’ibm-slapdAdminPW’DESC ’Bind password for the directory administrator’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )


IBMAttributetypes=( 1.3.18.0.2.4.2425DBNAME( ’slapdAdminPW’ ’slapdAdminPW’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.3021NAME ’ibm-slapdAllowAnon’DESC ’Specifies if anonymous binds are allowed.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3021DBNAME( ’slapdAllowAnon’ ’slapdAllowAnon’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.3024NAME ’ibm-slapdAllReapingThreshold’DESC ’Specifies a number of connections to maintain in the serverbefore connection management is activated.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3024DBNAME( ’slapdAllReapingTh’ ’slapdAllReapingTh’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.3022NAME ’ibm-slapdAnonReapingThreshold’DESC ’Specifies a number of connections to maintain in the serverbefore connection management of anonymous connections is activated.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3022DBNAME( ’slapdAnonReapingT’ ’slapdAnonReapingT’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2366NAME ’ibm-slapdAuthIntegration’DESC ’Specifies integration of LDAP administrator access withlocal OS users. Legal values are : 0 - do not map local OSusers to LDAP administrator, 1 - map local OS users with properauthority to LDAP administrator. This is supportedonly on OS/400.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2366DBNAME( ’slapdAuthIntegrat’ ’slapdAuthIntegrat’ )ACCESS-CLASS systemLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.3023NAME ’ibm-slapdBoundReapingThreshold’DESC ’Specifies a number of connections to maintain in the serverbefore connection management of anonymous and bound connectionsis activated.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3023DBNAME( ’slapdBoundReaping’ ’slapdBoundReaping’ )ACCESS-CLASS normalLENGTH 11 )


attributetypes=( 1.3.18.0.2.4.2368NAME ’ibm-slapdBulkloadErrors’DESC ’File path or device on ibmslapd host machine to which bulkloaderror messages will be written. On Windows, forward slashes areallowed, and a leading slash not preceded by a drive letter isassumed to be rooted at the install directory(i.e.: /tmp/bulkload.errors = D:¥Program Files¥IBM¥ldap¥tmp¥bulkload.errors).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE userApplications )IBMAttributetypes=( 1.3.18.0.2.4.2368DBNAME( ’slapdBulkloadErro’ ’slapdBulkloadErro’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.3069NAME ’ibm-slapdCachedAttribute’DESC ’Contains the names of the attributes to be cached in theattribute cache, one attribute name per value.’EQUALITY 1.3.6.1.4.1.1466.109.114.2ORDERING 2.5.13.3SUBSTR 2.5.13.4SYNTAX 1.3.6.1.4.1.1466.115.121.1.26USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3069DBNAME( ’slapdCachedAttr’ ’slapdCachedAttr’ )ACCESS-CLASS normalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.3068NAME ’ibm-slapdCachedAttributeSize’DESC ’Amount of memory, in bytes, that can be used by the attributecache. A value of 0 indicates not use an attribute cache.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3068DBNAME( ’slapdAttrCacheSz’ ’slapdAttrCacheSz’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.3012NAME ’ibm-slapdChangeLogMaxAge’DESC ’Specifies the maximum age, in hours, of changelog entries allowedin the associated backend. Each changelog backend has its ownibm-slapdChangeLogMaxAge attribute. If the attribute is undefinedor out of range (negative), it defaults to 0. Min: 0 (unlimited)Max: 2,147,483,647 (32-bit, signed integer)’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE USAGE userApplications )IBMAttributetypes=( 1.3.18.0.2.4.3012DBNAME( ’chgLogMaxAge’ ’chgLogMaxAge’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2427NAME ’ibm-slapdChangeLogMaxEntries’DESC ’Specifies the maximum number of changelog entries allowedin the associated backend. Each changelog backend has its ownibm-slapdChangeLogMaxEntries attribute. If the attributeis undefined or out of range (negative), it defaults to 0.Min: 0 (unlimited) Max: 2,147,483,647 (32-bit, signed integer)’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE userApplications )


IBMAttributetypes=( 1.3.18.0.2.4.2427DBNAME( ’chgLogMaxEntries’ ’chgLogMaxEntries’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2432NAME ’ibm-slapdCLIErrors’DESC ’File path or device on ibmslapd host machine to which DB2 CLI errormessages will be written. On Windows, forward slashes are allowed,and a leading slash not preceded by a drive letter isassumed to be rooted at the install directory(i.e.: /tmp/cli.errors = D:¥Program Files¥IBM¥ldap¥tmp¥cli.errors).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2432DBNAME( ’slapdCLIErrors’ ’slapdCLIErrors’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2369NAME ’ibm-slapdDB2CP’DESC ’Specifies the Code Page of the directory database.1208 is the code page for UTF-8 databases.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2369DBNAME( ’slapdDB2CP’ ’slapdDB2CP’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2431NAME ’ibm-slapdDBAlias’DESC ’The DB2 database alias.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2431DBNAME( ’slapdDBAlias’ ’slapdDBAlias’ )ACCESS-CLASS normalLENGTH 8 )

attributetypes=( 1.3.18.0.2.4.2417NAME ’ibm-slapdDbConnections’DESC ’Specify the number of DB2 connections the serverwill dedicate to the DB2 backend. The value must be5 or greater. Additional connections may be created forreplication and change log.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2417DBNAME( ’DbConnections’ ’DbConnections’ )ACCESS-CLASS criticalLENGTH 2 )

attributetypes=( 1.3.18.0.2.4.2418NAME ’ibm-slapdDbInstance’DESC ’The DB2 database instance for this backend.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )


IBMAttributetypes=( 1.3.18.0.2.4.2418DBNAME( ’slapdDbInstance’ ’slapdDbInstance’ )ACCESS-CLASS criticalLENGTH 8 )

attributetypes=( 1.3.18.0.2.4.2382NAME ’ibm-slapdDbLocation’DESC ’The file system path where the backend database islocated. On UNIX this is usually the home directory of theDB2INSTANCE owner (e.g.: /home/ldapdb2). On windows its justa drive specifier (e.g.: D:)’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2382DBNAME( ’slapdDbLocation’ ’slapdDbLocation’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2426NAME ’ibm-slapdDbName’DESC ’The DB2 database name for this backend.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2426DBNAME( ’slapdDbName’ ’slapdDbName’ )ACCESS-CLASS criticalLENGTH 8 )

attributetypes=( 1.3.18.0.2.4.2422NAME ’ibm-slapdDbUserID’DESC ’The user name with which to connect to the DB2 databasefor this backend.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2422DBNAME( ’slapdDbUserID’ ’slapdDbUserID’ )ACCESS-CLASS criticalLENGTH 8 )

attributetypes=( 1.3.18.0.2.4.2423NAME ’ibm-slapdDbUserPW’DESC ’The user password with which to connect to the DB2 databasefor this backend.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2423DBNAME( ’slapdDbUserPW’ ’slapdDbUserPW’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.3054NAME ’ibm-slapdDerefAliases’DESC ’Maximum alias dereferencing level on search requests,regardless of any derefAliases that may have been specifiedon the client requests. Allowed values are never, find, searchand always.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3054


DBNAME( ’slapdDerefAliases’ ’slapdDerefAliases’ )ACCESS-CLASS normalLENGTH 6 )

attributetypes=( 1.3.18.0.2.4.3032NAME ’ibm-slapdDigestAdminUser’DESC ’Specifies the Digest MD5 User Name of the LDAP administratoror administrative group member. Used when MD5 Digest authenticationis used to authenticate an administrator.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3032DBNAME( ’DigestAdminUser’ ’DigestAdminUser’ )ACCESS-CLASS criticalLENGTH 512 )

attributetypes=( 1.3.18.0.2.4.3082NAME ’ibm-slapdDigestAttr’DESC ’Overrides the default DIGEST-MD5 username attribute. The nameof the attribute to use for DIGEST-MD5 SASL bind username lookup.If the value is not specified, the server uses uid.’EQUALITY 2.5.13.0SYNTAX 1.3.6.1.4.1.1466.115.121.1.38USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3082DBNAME( ’slapdDigestAttr’ ’slapdDigestAttr’ )ACCESS-CLASS criticalLENGTH 128 )

attributetypes=( 1.3.18.0.2.4.3083NAME ’ibm-slapdDigestRealm’DESC ’Overrides the default DIGEST-MD5 realm. A string whichcan enable users to know which username and password to use,in case they might have different ones for different servers.Conceptually, it is the name of a collection of accounts thatmight include the users account. This string should contain atleast the name of the host performing the authentication andmight additionally indicate the collection of users who mighthave access. An example might be [email protected] the attribute is not specified, the server uses the fullyqualified hostname of the server.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3083DBNAME( ’slapdDigestRealm’ ’slapdDigestRealm’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2421NAME ’ibm-slapdEnableEventNotification’DESC ’If set to FALSE, the server will reject all extendedoperation requests to register for event notification withthe extended result LDAP_UNWILLING_TO_PERFORM.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2421DBNAME( ’enableEvntNotify’ ’enableEvntNotify’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2372NAME ’ibm-slapdEntryCacheSize’DESC ’Maximum number of entries to keep in the entry cache’


EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2372DBNAME( ’slapdRDBMCacheSiz’ ’slapdRDBMCacheSiz’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2424NAME ’ibm-slapdErrorLog’DESC ’File path or device on the ibmslapd host machine to which errormessages will be written. On Windows, forward slashes areallowed, and a leading slash not preceded by a drive letteris assumed to be rooted at the install directory(i.e.: /tmp/slapd.errors = D:¥Program Files¥IBM¥ldap¥tmp¥slapd.errors).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2424DBNAME( ’slapdErrorLog’ ’slapdErrorLog’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.3028NAME ’ibm-slapdESizeThreshold’DESC ’Specifies the number of work items on the work queue before theEmergency thread is activated.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3028DBNAME( ’slapdESizeThresho’ ’slapdESizeThresho’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.3030NAME ’ibm-slapdEThreadActivate’DESC ’Specifies which conditions will activate the Emergency Thread.Must be set to one of the following values: S - size only,T - time only, SOT - size or time, SAT - size and time.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3030DBNAME( ’slapdEThreadActiv’ ’slapdEThreadActiv’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.3031NAME ’ibm-slapdEThreadEnable’DESC ’Specifies if the Emergency Thread can be activated.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3031DBNAME( ’slapdEThreadEnabl’ ’slapdEThreadEnabl’ )ACCESS-CLASS normal LENGTH 5 )

attributetypes=( 1.3.18.0.2.4.3029NAME ’ibm-slapdETimeThreshold’DESC ’Specifies the amount of time in minutes between items removedfrom the work queue before the Emergency thread is activated.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE


USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3029DBNAME( ’slapdETimeThresho’ ’slapdETimeThresho’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2371NAME ’ibm-slapdFilterCacheBypassLimit’DESC ’Search filters that match more than this number of entrieswill not be added to the Search Filter cache. Because the listof entry ids that matched the filter are included in this cache,this setting helps to limit memory use. A value of 0 indicatesno limit.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2371DBNAME( ’slapdRDBMCacheByp’ ’slapdRDBMCacheByp’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2370NAME ’ibm-slapdFilterCacheSize’DESC ’Specifies the maximum number of entries to keep inthe Search Filter Cache.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2370DBNAME( ’slapdFilterCacheS’ ’slapdFilterCacheS’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2378NAME ’ibm-slapdIdleTimeOut’DESC ’Reserved for future use.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2378DBNAME( ’SlapdIdleTimeOut’ ’SlapdIdleTimeOut’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2364NAME ’ibm-slapdIncludeSchema’DESC ’File path on the ibmslapd host machine containing schemadefinitions used by the LDCF backend. Standard values are:/etc/V3.system.at /etc/V3.system.oc /etc/V3.ibm.at/etc/V3.ibm.oc /etc/V3.user.at /etc/V3.user.oc/etc/V3.ldapsyntaxes /etc/V3.matchingrules/etc/V3.modifiedschema On Windows, forward slashes are allowed,and a leading slash not preceded by a drive letter is assumed tobe rooted at the install directory(i.e.: /etc/V3.system.at = D:¥Program Files¥IBM¥ldap¥etc¥V3.system.at).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2364DBNAME( ’slapdIncldeSchema’ ’slapdIncldeSchema’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2430NAME ’ibm-slapdInvalidLine’


DESC ’This attribute will be prepended to the beginning of anyconfiguration attribute for which the value is invalid. This allowsinvalid configuration settings to be identified with a simple searchfor "ibm-slapdInvalidLine=*".’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE userApplications )IBMAttributetypes=( 1.3.18.0.2.4.2430DBNAME( ’slapdInvalidLine’ ’slapdInvalidLine’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2365NAME ’ibm-slapdIpAddress’DESC ’Specifies IP addresses the server will listen on.These can be IPv4 or IPv6 addresses. If the attribute isnot specified, the server uses all IP addresses assignedto the host machine. This is supported on OS/400 only.’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2365DBNAME( ’slapdIpAddress’ ’slapdIpAddress’ )ACCESS-CLASS systemLENGTH 32 )

attributetypes=( 1.3.18.0.2.4.2420NAME ’ibm-slapdKrbAdminDN’DESC ’Specifies the kerberos ID of the LDAP administrator(e.g. ibm-kn=name@realm). Used when kerberos authenticationis used to authenticate the administrator when logged onto theWeb Admin interface. This is specified instead of adminDN and adminPW.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2420DBNAME( ’slapdKrbAdminDN’ ’slapdKrbAdminDN’ )ACCESS-CLASS criticalLENGTH 512 )

attributetypes=( 1.3.18.0.2.4.2394NAME ’ibm-slapdKrbEnable’DESC ’Must be one of { TRUE | FALSE }. Specifies whether theserver supports kerberos authentication.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2394DBNAME( ’slapdKrbEnable’ ’slapdKrbEnable’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2419NAME ’ibm-slapdKrbIdentityMap’DESC ’If set to TRUE, when a client is authenticated witha kerberos ID, the server will search for a local userwith matching kerberos credentials, and add that userDN to the connections bind credentials. This allows ACLsbased on LDAP user DNs to still be usable with kerberosauthentication.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2419DBNAME( ’KrbIdentityMap’ ’KrbIdentityMap’ )ACCESS-CLASS criticalLENGTH 5 )


attributetypes=( 1.3.18.0.2.4.2416NAME ’ibm-slapdKrbKeyTab’DESC ’Specifies the LDAP servers keytab file. This filecontains the LDAP servers private key, as associated withits kerberos account. This file should be protected (like theservers SSL key database file). On Windows, forward slashesare allowed, and a leading slash not preceded by a driveletter (D:) is assumed to be rooted at the install directory(i.e.: /tmp/slapd.errors = D:¥Program Files¥IBM¥ldap¥tmp¥slapd.errors).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2416DBNAME( ’slapdKrbKeyTab’ ’slapdKrbKeyTab’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2400NAME ’ibm-slapdKrbRealm’DESC ’Specifies the LDAP servers kerberos realm. Used topublish the ldapservicename attribute in the root DSE. Notethat an LDAP server can serve as the repository ofaccount information for multiple KDCs (and realms), but theLDAP server, as a kerberos server, can only be a memberof a single realm.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2400DBNAME( ’slapdKrbRealm’ ’slapdKrbRealm’ )ACCESS-CLASS criticalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.3074NAME ’ibm-slapdLanguageTagsEnabled’DESC ’Specifies whether or not the directory server will allowLanguage Tags as part of an attribute description. Possible valuesinclude TRUE and FALSE.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3074DBNAME( ’slapdLanguageTags’ ’slapdLanguageTags’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2415NAME ’ibm-slapdLdapCrlHost’DESC ’Specify the hostname of the LDAP server thatcontains the Certificate Revocation Lists (CRLs) forvalidating client x.509v3 certificates. This parameteris needed when ibm-slapdSslAuth=serverclientauth AND theclient certificates have been issued for CRL validation’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2415DBNAME( ’LdapCrlHost’ ’LdapCrlHost’ )ACCESS-CLASS criticalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.2407NAME ’ibm-slapdLdapCrlPassword’


DESC ’Specify the password that server-side SSL will useto bind to the LDAP server that contains the CertificateRevocation Lists (CRLs) for validating client x.509v3certificates. This parameter may be needed whenibm-slapdSslAuth=serverclientauth AND the client certificateshave been issued for CRL validation. Note: If the LDAPserver holding the CRLs permits unauthenticated access tothe CRLs (i.e. anonymous access), then ibm-slapdLdapCrlPasswordis not required.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2407DBNAME( ’CrlPassword’ ’CrlPassword’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.2404NAME ’ibm-slapdLdapCrlPort’DESC ’Specify the LDAP ibm-slapdPort used by the LDAP serverthat contains the Certificate Revocation Lists (CRLs) for validatingclient x.509v3 certificates. This parameter is needed whenibm-slapdSslAuth=serverclientauth AND the client certificateshave been issued for CRL validation. (IP ports are unsigned,16-bit integers in the range 1 - 65535)’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2404DBNAME( ’LdapCrlPort’ ’LdapCrlPort’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2403NAME ’ibm-slapdLdapCrlUser’DESC ’Specify the bindDN that server-side SSL will use to bindto the LDAP server that contains the Certificate Revocation Lists (CRLs)for validating client x.509v3 certificates. This parameter may be neededwhen ibm-slapdSslAuth=serverclientauth AND the client certificates havebeen issued for CRL validation. Note: If the LDAP server holding theCRLs permits unauthenticated access to the CRLs (i.e. anonymousaccess), then ibm-slapdLdapCrlUser is not required.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2403DBNAME( ’LdapCrlUser’ ’LdapCrlUser’ )ACCESS-CLASS criticalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.2409NAME ’ibm-slapdMasterDN’DESC ’Bind DN used by a replication supplier server. The value has to matchthe replicaBindDN in the credentials object associated with the replicationagreement defined between the servers.When kerberos is used to authenticate to the replica, ibm-slapdMasterDNmust specify the DN representation of the kerberos ID(e.g. ibm-kn=freddy@realm1). When kerberos is used, MasterServerPW is ignored.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2409DBNAME( ’MasterDN’ ’MasterDN’ )ACCESS-CLASS criticalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.2411NAME ’ibm-slapdMasterPW’


DESC ’Bind password used by a replication supplier. The value has tomatch the replicaBindPW in the credentials object associated with the replicationagreement defined between the servers. When kerberos is used, MasterServerPWis ignored.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2411DBNAME( ’MasterPW’ ’MasterPW’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.2401NAME ’ibm-slapdMasterReferral’DESC ’URL of a master replica server (e.g.: ldaps://master.us.ibm.com:636)’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2401DBNAME( ’MasterReferral’ ’MasterReferral’ )ACCESS-CLASS criticalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.2412NAME ’ibm-slapdMaxEventsPerConnection’DESC ’Maximum number of event notifications which can be registeredper connection. Minimum = 0 (unlimited) Maximum = 2,147,483,647’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2412DBNAME( ’EventsPerCon’ ’EventsPerCon’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2405NAME ’ibm-slapdMaxEventsTotal’DESC ’Maximum total number of event notifications which canbe registered for all connections. Minimum = 0 (unlimited)Maximum = 2,147,483,647’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2405DBNAME( ’MaxEventsTotal’ ’MaxEventsTotal’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2439NAME ’ibm-slapdMaxNumOfTransactions’DESC ’Maximum number of transactions active at one time.0 = unlimited’EQUALITY 2.5.13.29SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2439DBNAME( ’MaxNumOfTrans’ ’MaxNumOfTrans’ )ACCESS-CLASS criticalLENGTH 11EQUALITYORDERINGSUBSTRAPPROX )

attributetypes=( 1.3.18.0.2.4.2385NAME ’ibm-slapdMaxOpPerTransaction’


DESC ’Maximum number of operations per transaction.0 = unlimited’EQUALITY 2.5.13.29SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2385DBNAME( ’MaxOpPerTrans’ ’MaxOpPerTrans’ )ACCESS-CLASS criticalLENGTH 11EQUALITYORDERINGAPPROX )

attributetypes=( 1.3.18.0.2.4.2486NAME ’ibm-slapdMaxPendingChangesDisplayed’DESC ’Maximum number of pending replication updates to bedisplayed for any given replication agreement on a supplierserver.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27USAGE userApplications )IBMAttributetypes=( 1.3.18.0.2.4.2486DBNAME( ’slapdMaxPendingCh’ ’slapdMaxPendingCh’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2386NAME ’ibm-slapdMaxTimeLimitOfTransactions’DESC ’The maximum timeout value of a pending transaction inseconds. 0 = unlimited’EQUALITY 2.5.13.29SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2386DBNAME( ’MaxTimeOfTrans’ ’MaxTimeOfTrans’ )ACCESS-CLASS criticalLENGTH 11EQUALITYORDERINGAPPROX )

attributetypes=( 1.3.18.0.2.4.2500NAME ’ibm-slapdMigrationInfo’DESC ’Information used to control migration of a component.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2500DBNAME( ’slapdMigrationInf’ ’slapdMigrationInf’ )ACCESS-CLASS criticalLENGTH 2048 )

attributetypes=( 1.3.18.0.2.4.2376NAME ’ibm-slapdPagedResAllowNonAdmin’DESC ’Whether or not the server should allow non-Administratorbind for paged results requests on a search request. If thevalue read from the ibmslapd.conf file is TRUE, the server willprocess any client request, including those submitted by a userbinding anonymously. If the value read from the ibmslapd.conffile is FALSE, the server will process only those client requestssubmitted by a user with Administrator authority. If a clientrequests paged results with a criticality of TRUE or FALSE for asearch operation, does not have Administrator authority, and thevalue read from the ibmslapd.conf file for this attribute is FALSE,the server will return to the client with return codeinsufficientAccessRights - no searching or paging will be performed. ’


SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2376DBNAME( ’SlapdPagedNonAdmn’ ’SlapdPagedNonAdmn’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2380NAME ’ibm-slapdPagedResLmt’DESC ’Maximum number of outstanding paged results search requestsallowed active simultaneously. Range = 0.... If a client requestsa paged results operation, and a maximum number of outstanding pagedresults are currently active, then the server will return to theclient with return code of busy - no searching or pagingwill be performed.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2380DBNAME( ’SlapdPagedResLmt’ ’SlapdPagedResLmt’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2406NAME ’ibm-slapdPlugin’DESC ’A plugin is a dynamically loaded library which extends thecapabilities of the server. An ibm-slapdPlugin attribute specifiesto the server how to load and initialize a plugin library.The syntax is: keyword filename init_function [args...]The syntax will be slightly different for each platformdue to library naming conventions.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2406DBNAME( ’slapdPlugin’ ’slapdPlugin’ )ACCESS-CLASS criticalLENGTH 2000 )

attributetypes=( 1.3.18.0.2.4.2408NAME ’ibm-slapdPort’DESC ’TCP/IP ibm-slapdPort used for non-SSL connections. Can nothave the same value as ibm-slapdSecurePort. (IP ports are unsigned,16-bit integers in the range 1 - 65535)’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2408DBNAME( ’slapdPort’ ’slapdPort’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2402NAME ’ibm-slapdPwEncryption’DESC ’Must be one of { none | imask | crypt | sha }. Specify theencoding mechanism for the user passwords before they are stored inthe directory. Defaults to none if unspecified. If the value is setother than none, SASL digest-md5 bind will fail.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2402DBNAME( ’PwEncryption’ ’PwEncryption’ )ACCESS-CLASS criticalLENGTH 5 )


attributetypes=( 1.3.18.0.2.4.2413NAME ’ibm-slapdReadOnly’DESC ’Must be one of { TRUE | FALSE }. Specifies whetherthe backend can be written to. Defaults to FALSE if unspecified.If set to TRUE, the server will return LDAP_UNWILLING_TO_PERFORM (0x35)in response to any client request which would change data in thereadOnly database.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2413DBNAME( ’ReadOnly’ ’ReadOnly’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2487NAME ’ibm-slapdReferral’DESC ’Specify the referral LDAP URL to pass back when thelocal suffixes do not match the request. Used for superior referral(i.e. ibm-slapdSuffix is not within the servers naming context).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2487DBNAME( ’Referral’ ’Referral’ )ACCESS-CLASS critical LENGTH 32700 )

attributetypes=( 1.3.18.0.2.4.2434NAME ’ibm-slapdReplDbConns’DESC ’Number of database connections for use by replication’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE userApplications )IBMAttributetypes=( 1.3.18.0.2.4.2434DBNAME( ’slapdReplDbConns’ ’slapdReplDbConns’ )ACCESS-CLASS normalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2367NAME ’ibm-slapdReplicaSubtree’DESC ’A DN identifying the top of a replicated subtree.’EQUALITY 2.5.13.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.12USAGE userApplications )IBMAttributetypes=( 1.3.18.0.2.4.2367DBNAME( ’slapdReplicaSubtr’ ’slapdReplicaSubtr’ )ACCESS-CLASS normalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.2437NAME ’ibm-slapdSchemaAdditions’DESC ’File path on the ibmslapd host machine containing additionalschema definitions used by the LDCF backend. Standard valuesare: /etc/V3.modifiedschema On Windows, forward slashes areallowed, and a leading slash not preceded by a drive letteris assumed to be rooted at the install directory(i.e.: /etc/V3.system.at = D:¥Program Files¥IBM¥ldap¥etc¥V3.system.at).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2437DBNAME( ’slapdSchemaAdditi’ ’slapdSchemaAdditi’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2363


NAME ’ibm-slapdSchemaCheck’DESC ’Must be one of { V2 | V3 | V3_lenient }.Specifies schema checking mechanism for add/modify operation.V2 = perform LDAP v2 checking.V3 = perform LDAP v3 checking.V3_lenient = not ALL parent object classes are required. Only the immediateobject class is needed when adding entries.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2363DBNAME( ’SchemaCheck’ ’SchemaCheck’ )ACCESS-CLASS criticalLENGTH 10 )

attributetypes=( 1.3.18.0.2.4.2398NAME ’ibm-slapdSecurePort’DESC ’TCP/IP port used for SSL connections. Can not have the samevalue as ibm-slapdPort. (IP ports are unsigned, 16-bit integers inthe range 1 - 65535)’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2398DBNAME( ’SecurePort’ ’SecurePort’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2399NAME ’ibm-slapdSecurity’DESC ’Must be one of { none | SSL | SSLOnly }. Specifies types of connectionsaccepted by the server.none - server listens on non-ssl port only. ssl - server listens onboth ssl and non-ssl ports. sslonly - server listens on ssl port only.’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2399DBNAME( ’Security’ ’Security’ )ACCESS-CLASS criticalLENGTH 7 )

attributetypes=( 1.3.18.0.2.4.2433NAME ’ibm-slapdServerId’DESC ’Identifies the server for use in replication’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26SINGLE-VALUEUSAGE userApplications )IBMAttributetypes=( 1.3.18.0.2.4.2433DBNAME( ’slapdServerId’ ’slapdServerId’ )ACCESS-CLASS normalLENGTH 240 )

attributetypes=( 1.3.18.0.2.4.2397NAME ’ibm-slapdSetenv’DESC ’Server executes putenv() for all values of ibm-slapdSetenv at startupto modify its own runtime environment. Shell variables (%PATH% or ¥24LANG)will not be expanded. The only current use for this attribute is to setDB2CODEPAGE=1208, which is required if using UCS-2 (Unicode) databases.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2397DBNAME( ’slapdSetenv’ ’slapdSetenv’ )


ACCESS-CLASS criticalLENGTH 2000 )

attributetypes=( 1.3.18.0.2.4.2396NAME ’ibm-slapdSizeLimit’DESC ’Maximum number of entries to return from search, regardless of anysizelimit that may have been specified on the client search request.Range = 0.... If a client has passed a limit, then the smaller value ofthe client value and the value read from ibmslapd.conf will be used. If aclient has not passed a limit and has bound as admin DN, then the limitwill be considered unlimited. If the client has not passed a limit andhas not bound as admin DN, then the limit will be that which was readfrom ibmslapd.conf file. 0 = unlimited.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2396DBNAME( ’SizeLimit’ ’SizeLimit’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2381NAME ’ibm-slapdSortKeyLimit’DESC ’Maximum number of sort conditions (keys) that can be specified on asingle search request. Range = 0.... If a client has passed a search requestwith more sort keys than the limit allows, and the sorted search controlcriticality is FALSE, then the server will honor the value read fromibmslapd.conf and ignore any sort keys encountered after the limit hasbeen reached - searching and sorting will be performed. If a client haspassed a search request with more keys than the limit allows, and thesorted search control criticality is TRUE, then the server will return tothe client with return code of adminLimitExceeded - no searching or sortingwill be performed.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2381DBNAME( ’SlapdSortKeyLimit’ ’SlapdSortKeyLimit’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.2377NAME ’ibm-slapdSortSrchAllowNonAdmin’DESC ’Whether or not the server should allow non-Administrator bind forsort on a search request. If the value read from the ibmslapd.conf fileis TRUE, the server will process any client request, including thosesubmitted by a user binding anonymously. If the value read from theibmslapd.conf file is FALSE, the server will process only those clientrequests submitted by a user with Administrator authority. If a clientrequests sort with a criticality of TRUE for a search operation, does nothave Administrator authority, and the value read from the ibmslapd.conf filefor this attribute is FALSE, the server will return to the client with returncode insufficientAccessRights - no searching or sorting will be performed.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2377DBNAME( ’SlapdSortNonAdmin’ ’SlapdSortNonAdmin’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2395NAME ’ibm-slapdSslAuth’DESC ’Must be one of { serverauth | serverclientauth }. Specify authenticationtype for ssl connection. serverauth - supports server authentication at theclient. serverclientauth - supports both server and client authentication.’EQUALITY 2.5.13.2


SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2395DBNAME( ’slapdSslAuth’ ’slapdSslAuth’ )ACCESS-CLASS criticalLENGTH 16 )

attributetypes=( 1.3.18.0.2.4.2389NAME ’ibm-slapdSslCertificate’DESC ’Specify the label that identifies the servers Personal Certificatein the key database file. This label is specified when the servers privatekey and certificate are created with the ikmgui application. Ifibm-slapdSslCertificate is not defined, the default private key, as definedin the key database file, is used by the LDAP server for SSL connections.’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2389DBNAME( ’SslCertificate’ ’SslCertificate’ )ACCESS-CLASS criticalLENGTH 128 )

attributetypes=( 1.3.18.0.2.4.2429NAME ’ibm-slapdSslCipherSpec’DESC ’SSL Cipher Spec Value must be set to DES-56, RC2-40-MD5, RC4-128-MD5,RC4-128-SHA, RC4-40-MD5, TripleDES-168, or AES. It identifies theallowable encryption/decryption methods for establishing a SSL connectionbetween LDAP clients and the server.’EQUALITY 1.3.6.1.4.1.1466.109.114.1SYNTAX 1.3.6.1.4.1.1466.115.121.1.26USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2429DBNAME( ’slapdSslCipherSpe’ ’slapdSslCipherSpe’ )ACCESS-CLASS normalLENGTH 30 )

attributetypes=( 1.3.18.0.2.4.2362NAME ’ibm-slapdSslCipherSpecs’DESC ’This attribute is depricated in favor of ibm-slapdSslCipherSpec.Specifies a decimal number which identifies the allowableencryption/decryption methods for establishing a SSL connectionbetween LDAP client(s) and the server. This number represents the availabilityof the encryption/decryption methods supported by the LDAP server.The pre-defined Cipher values and their descriptions are:SLAPD_SSL_TRIPLE_DES_SHA_US 0x0A Triple DES encryption with a 168-bit keyand a SHA-1 MACSLAPD_SSL_DES_SHA_US 0x09DES encryption with a 56-bit key and a SHA-1 MACSLAPD_SSL_RC4_SHA_US 0x05 RC4 encryption with a 128-bit key and a SHA-1 MACSLAPD_SSL_RC4_MD5_US 0x04 RC4 encryption with a 128-bit key and a MD5 MACSLAPD_SSL_RC4_MD5_EXPORT 0x03 RC4 encryption with a 40-bit key and a MD5 MACSLAPD_SSL_RC2_MD5_EXPORT 0x06 RC2 encryption with a 40-bit key and a MD5 MAC’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2362DBNAME( ’SslCipherSpecs’ ’SslCipherSpecs’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( 1.3.18.0.2.4.3088NAME ’ibm-slapdSslFIPsModeEnabled’DESC ’Specifies server will use ICC version of GSKit if TRUE,BSAFE version if false.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )


IBMAttributetypes=( 1.3.18.0.2.4.3088DBNAME( ’slapdSslFIPsModeE’ ’slapdSslFIPsModeE’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2375NAME ’ibm-slapdSSLKeyDatabase’DESC ’File path to the LDAP servers SSL key database file. This key databasefile is used for handling SSL connections from LDAP clients, as well as forcreating secure SSL connections to replica LDAP servers. On Windows, forwardslashes are allowed, and a leading slash not preceeded by a drivespecifier (D:) is assumed to be rooted at the install directory(i.e.: /etc/key.kdb = D:¥Program Files¥IBM¥ldap¥etc¥key.kdb).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2375DBNAME( ’slapdSSLKeyDataba’ ’slapdSSLKeyDataba’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2438NAME ’ibm-slapdSSLKeyDatabasePW’DESC ’Specify the password associated with the LDAP servers SSL key database file,as specified on the ibm-slapdSslKeyDatabase parameter. If the LDAP servers keydatabase file has an associated password stash file, then theibm-slapdSslKeyDatabasePW parameter can be ommitted, or set toibm-slapdSslKeyDatabasePW = none. Note that the password stash file mustbe located in the same directory as the key database file and it must havethe same file name as the key database file, but with an extension of .sth,instead of .kdb’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2438DBNAME( ’slapdSSLKeyDPW’ ’slapdSSLKeyDPW’ )ACCESS-CLASS normal )

attributetypes=( 1.3.18.0.2.4.2392NAME ’ibm-slapdSslKeyRingFile’DESC ’file path to the LDAP servers SSL key database file. This key databasefile is used for handling SSL connections from LDAP clients, as well as forcreating secure SSL connections to replica LDAP servers. On Windows, forwardslashes are allowed, and a leading slash not preceeded by a drivespecifier (D:) is assumed to be rooted at the install directory(i.e.: /etc/key.kdb = D:¥Program Files¥IBM¥ldap¥etc¥key.kdb).’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2392DBNAME( ’SslKeyRingFile’ ’SslKeyRingFile’ )ACCESS-CLASS criticalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2390NAME ’ibm-slapdSslKeyRingFilePW’DESC ’Specify the password associated with the LDAP servers SSL key databasefile, as specified on the ibm-slapdSslKeyRingFile parameter. If the LDAP serverskey database file has an associated password stash file, then theibm-slapdSslKeyRingFilePW parameter can be ommitted, or set toibm-slapdSslKeyRingFilePW = none. Note that the password stash file must belocated in the same directory as the key database file and it must have thesame file name as the key database file, but with an extension of .sth,instead of .kdb.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.5


SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2390DBNAME( ’SslKeyRingFilePW’ ’SslKeyRingFilePW’ )ACCESS-CLASS critical )

attributetypes=( 1.3.18.0.2.4.3058NAME ’ibm-slapdStartupTraceEnabled’DESC ’Must be one of [TRUE|FALSE]. Specifies whether traceinformation is to be collected at server startup.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3058DBNAME( ’slapdStartupTrace’ ’slapdStartupTrace’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2388NAME ’ibm-slapdSuffix’DESC ’Specifies a naming context to be stored in this backend.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.12USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2388DBNAME( ’slapdSuffix’ ’slapdSuffix’ )ACCESS-CLASS criticalLENGTH 1000 )

attributetypes=( 1.3.18.0.2.4.2480NAME ’ibm-slapdSupportedWebAdmVersion’DESC ’This attribute defines the earliest version of the web administrationconsole that supports configuration of this server.’EQUALITY 2.5.13.2ORDERING 2.5.13.3SUBSTR 2.5.13.4SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2480DBNAME( ’slapdSupWebAdmVer’ ’slapdSupWebAdmVer’ )ACCESS-CLASS normalLENGTH 256 )

attributetypes=( 1.3.18.0.2.4.2393NAME ’ibm-slapdSysLogLevel’DESC ’Must be one of { l | m | h }. Level at which debuggingand operation statistics are logged in ibmslapd.log file.h - high (verbose), m - medium, l - low (terse).’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2393DBNAME( ’SysLogLevel’ ’SysLogLevel’ )ACCESS-CLASS criticalLENGTH 1 )

attributetypes=( 1.3.18.0.2.4.2391NAME ’ibm-slapdTimeLimit’DESC ’Maximum number of number of seconds to spend on searchrequest, regardless of any timelimit that may have been specifiedon the client request. Range = 0.... If a client has passed a limit,then the smaller value of the client value and the value read fromibmslapd.conf will be used. If a client has not passed a limit and hasbound as admin DN, then the limit will be considered unlimited. Ifthe client has not passed a limit and has not bound as admin DN,then the limit will be that which was read from


ibmslapd.conf file. 0 = unlimited.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2391DBNAME( ’TimeLimit’ ’TimeLimit’ )ACCESS-CLASS criticalLENGTH 11 )

attributetypes=( ibm-slapdStartupTraceEnabled-oidNAME ’ibm-slapdTraceEnabled’DESC ’Must be one of { TRUE | FALSE }. Specifies whether traceinformation is to be collected at server startup’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( ibm-slapdStartupTraceEnabled-oidACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.3060NAME ’ibm-slapdTraceMessageLevel’DESC ’Any value that would be acceptable after the ibmslapd -hcommand line option, sets the Debug message level’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3060DBNAME( ’slapdTraceLevel’ ’slapdTraceLevel’ )ACCESS-CLASS normalLENGTH 6 )

attributetypes=( 1.3.18.0.2.4.3059NAME ’ibm-slapdTraceMessageLog’DESC ’File path or device on server host machine to which LDAPCAPI and Debug macro messages will be written. On Windows forwardslashes are allowed and a leading slash not preceded by a driveletter is assumed to be rooted at the install directory(i.e., /tmp/tracemsg.log = C:¥Program Files¥IBM¥LDAP¥tmp¥tracemsg.log).’EQUALITY 2.5.13.2SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUE USAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3059DBNAME( ’slapdTraceMessage’ ’slapdTraceMessage’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.2384NAME ’ibm-slapdTransactionEnable’DESC ’If FALSE, globally disables transaction support; the serverwill reject all StartTransaction requests with the responseLDAP_UNWILLING_TO_PERFORM.’SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2384DBNAME( ’TransactionEnable’ ’TransactionEnable’ )ACCESS-CLASS criticalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2499NAME ’ibm-slapdUseProcessIdPW’DESC ’If set to true the server will use the user login id associatedwith the ibmslapd process to connect to the database. If set to falsethe server will use the ibm-slapdDbUserID and ibm-slapdDbUserPWvalues to connect to the database.’


SYNTAX 1.3.6.1.4.1.1466.115.121.1.7SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2499DBNAME( ’useprocidpw’ ’useprocidpw’ )ACCESS-CLASS normalLENGTH 5 )

attributetypes=( 1.3.18.0.2.4.2436NAME ’ibm-slapdVersion’DESC ’IBM Slapd version Number’EQUALITY 2.5.13.5SYNTAX 1.3.6.1.4.1.1466.115.121.1.15SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.2436DBNAME( ’slapdVersion’ ’slapdVersion’ )ACCESS-CLASS normalLENGTH 1024 )

attributetypes=( 1.3.18.0.2.4.3026NAME ’ibm-slapdWriteTimeout’DESC ’Specifies a time-out value for blocked writes. When thetime limit is reached the connection will be dropped.’EQUALITY 2.5.13.14SYNTAX 1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUEUSAGE directoryOperation )IBMAttributetypes=( 1.3.18.0.2.4.3026DBNAME( ’slapdWriteTimeout’ ’slapdWriteTimeout’ )ACCESS-CLASS normalLENGTH 11 )

動的に変更される属性以下に、動的に変更することが可能な属性のリストを示します。これらの変更を有効にするために、サーバーを再始動する必要はありません。

Cn=Configuration

v ibm-slapdadmindn

v ibm-slapdadminpw

v ibm-slapderrorlog

v ibm-slapdpwencryption

v ibm-slapdsizelimit

v ibm-slapdsysloglevel

v ibm-slapdtimelimit

cn=Front End, cn=Configuration

v ibm-slapdaclcache

v ibm-slapdaclcachesize

v ibm-slapdentrycachesize

v ibm-slapdfiltercachebypasslimit

v ibm-slapdfiltercachesize

v ibm-slapdidletimeout

cn=Event Notification, cn=Configuration

v ibm-slapdmaxeventsperconnection


v ibm-slapdmaxeventstotal

cn=Transaction, cn=Configuration

v ibm-slapdmaxnumoftransactions

v ibm-slapdmaxoppertransaction

v ibm-slapdmaxtimelimitoftransactions

cn=ConfigDB, cn=Config Backends, cn=IBM Directory, cn=Schemas,cn=Configuration

v ibm-slapdreadonly

cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas,cn=Configuration

v ibm-slapdbulkloaderrors

v ibm-slapdclierrors

v ibm-slapdpagedresallownonadmin

v ibm-slapdpagedreslmt

v ibm-slapdpagesizelmt

v ibm-slapdreadonly

v ibm-slapdsortkeylimit

v ibm-slapdsortsrchallownonadmin

v ibm-slapdsuffix



付録 I. 特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権（特許出願中のものを含む）を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒106-0032

東京都港区六本木 3-2-31

IBM World Trade Asia Corporation

Licensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。 IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。


IBM CorporationDepartment LZKS11400 Burnet RoadAustin, TX 78758U.S.A.

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、 IBM より提供されます。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

表示されている IBM の価格は IBM が小売り価格として提示しているもので、現行価格であり、通知なしに変更されるものです。卸価格は、異なる場合があります。

商標以下は、IBM Corporation の商標です。

v AIX

v DB2

v IBM

v OS/400

v SecureWay

v Tivoli

v WebSphere

v World Registry

v z/OS

Java は、Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。


Microsoft、Windows および Windows NT は、Microsoft Corporation の米国およびその他の国における商標です。

UNIX は、The Open Group の米国およびその他の国における登録商標です。

他の会社名、製品名およびサービス名などはそれぞれ各社の商標または登録商標です。

付録 I. 特記事項 465


用語集IBM Directory 製品に関連する用語の定義については、この項を参照してください。

アクセス権 (access permissions)アクセス権には、2 つのタイプがあります。

v オブジェクト全体に適用されるアクセス権。

v 属性アクセス・クラスまたは個別の属性に適用されるアクセス権。

アクセス制御グループ (access control groups)アクセスを制御するために使用するグループ。各グループには、メンバー DN からなる複数値の属性が含まれます。アクセス制御グループには、’AccessGroup’ のオブジェクト・クラスがあります。

アクセス制御リスト (access control lists(ACL))

アクセス制御リスト (ACL) は、LDAP ディレクトリーに保管された情報を保護するための手段です。管理者は ACL を使用して、ディレクトリーのさまざまな部分へのアクセスや、特定のディレクトリー項目へのアクセスを制限します。LDAP のディレクトリー項目は、階層ツリー構造によって相互に関連しています。各ディレクトリー項目 (またはオブジェクト) には、一連の属性やそれに対応する値のみではなく、オブジェクトの識別名も含まれています。

オブジェクト・クラス・タイプ (object classtypes) オブジェクト・クラスには、構造クラス

(person など)、抽象クラス (top など)、および補助クラス (ePerson など) があります。

オブジェクト・クラス定義 (object classdefinitions)

すべての項目には objectClass 属性が含まれています。項目に含まれている情報のタイプは、objectClass 属性によって識別されます。オブジェクト・クラスは、他のどの属性を項目内に提供するのかを指示します。ディレクトリー・スキーマには、ディ

レクトリー内に表示する有効な属性タイプとオブジェクト・クラスを定義します。属性タイプ定義には、その値の最大長と構文を定義します。オブジェクト・クラス定義には、そのクラスのオブジェクト内に提供する必要のある属性と、提供することのできる属性を指定します。

カスケード複製 (cascading replication)カスケード複製は、複数のサーバー層がある複製トポロジーです。ピア/マスター・サーバーは、小規模の読み取り専用サーバーのセットに複製された後、他のサーバーに複製されます。このようなトポロジーにより、マスター・サーバーからの複製作業の負荷が軽減されます。

グループ (groups)グループには 2 つのタイプがあります。

v 一般グループ

v アクセスを制御するために使用するグループ

一般グループは、オブジェクト・クラスとして’GroupOfNames’、’GroupOfUniqueNames’、またはユーザー定義グループを持ちます。アクセス制御グループには、’AccessGroup’

のオブジェクト・クラスがあります。

各グループ・オブジェクトには、メンバーDN からなる複数値の属性が含まれます。グループには、グループ DN を含めることはできません。

ゲートウェイ・サーバーすべての複製トラフィックを、ゲートウェイ・サーバーが存在するローカル複製サイトから、複製ネットワークに存在する他のゲートウェイ・サーバーへ転送するサーバー。複製ネットワーク内にある他のゲートウェイ・サーバーからの複製トラフィックも受信します。このトラフィックは、ゲートウェイ・サーバーによってローカル複製サイト上にあるすべてのサーバーに転送されます。


ゲートウェイ・サーバーはマスター (書き込み可能) にする必要があります。

構文 (syntax)構文とは、データに対して必要とされる形式を意味します。サポートされる構文は、以下のとおりです。

IBM Attribute Type DescriptionMatching Rule DescriptionName Form DescriptionAttribute Type DescriptionObject Class DescriptionDIT Structure Rule DescriptionDIT Content Rule DescriptionLDAP Syntax DescriptionOIDMatching Rule Use DescriptionBoolean - TRUE/FALSEBinary - octet stringINTEGER - integral numberGeneralized TimeIA5 String - case-sensitive stringDirectory String - case-insensitive

stringUTC timeTelephone NumberDN - distinguished name

コンシューマー・サーバー (consumer server)コンシューマー・サーバーは、他の (サプライヤー) サーバーからの複製を介して変更を受信するサーバーです。

索引付け規則 (indexing rules)属性に索引規則を付加すると、情報をより早く検索できます。IBM Tivoli Directory

Server では、以下の索引付け規則が提供されます。

v 同等性

v ほぼ等しい


v 反転

136ページの『索引付け規則』を参照してください。

サフィックス (suffixes)サフィックスは、ローカルで保持されているディレクトリー階層の先頭の項目を識別する DN です。LDAP では相対命名方式が使用されているため、この DN は、そのディレクトリー階層内のその他すべての項目のサフィックスでもあります。ディレクトリー・サーバーは、複数のサフィックスを持つことが可能です。各サフィックス

は、ローカルで保持されているディレクトリー階層を識別します。

サプライヤー・サーバー (supplier server)サプライヤー・サーバーは、変更を別の [

コンシューマー] サーバーに送信するサーバーです。

参照 (referrals)参照を使用すると、サーバーはクライアントに対して、追加のディレクトリー・サーバーを参照するように指示することができます。参照を使用すると、以下のことができます。

v 複数のサーバーにネーム・スペース情報を配布する。

v 相互に関係のある一連のサーバー内のデータ位置情報を提供する。

v 該当するサーバーにクライアント要求を発送する。

参照の一般的な形式は、ldap[s]://hostname:port です。一般に、非セキュア・サーバーへの参照の形式はldap://hostname:389 となり、セキュアSSL サーバーへの参照の形式はldaps://hostname:636 となります。詳細については、 68ページの『参照の作成および除去』を参照してください。

識別名 (distinguished names (DN))ディレクトリー内のすべての項目には、識別名 (DN) が付いています。DN は、ディレクトリー内の項目を一意に識別するための名前です。例えば、DN はattribute=value の組をコンマで区切ったものから構成されます。

cn=Ben Gray,ou=editing,o=New YorkTimes,c=US

cn=Lucille White,ou=editing,o=NewYork Times,c=US

cn=Tom Brown,ou=reporting,o=NewYork Times,c=US

LDAP DN は、最も特定的な属性 (通常、ある種の名前) から始まります。その後属性は徐々に広範になり、最後は一般に国属性で終わります。DN の先頭のコンポーネントは、相対識別名 (RDN) と呼ばれます。RDN は項目を、同じ親を持つ他の項目と明確に区別します。


静止 (quiesce)管理者および複製管理制御によって行われる場合を除いて、サーバーを、クライアント更新を受け入れない状態にします。

セキュア・ソケット・レイヤー (Secure SocketsLayer (SSL))

IBM Tivoli Directory Server では、セキュア・ソケット・レイヤーのセキュリティーを使用して、LDAP によるアクセスを保護することができます。SSL を使用してIBM Tivoli Directory Server との LDAP

通信を保護する場合、External と呼ばれるSASL 認証機構を使用して、X.509 証明書に基づきサーバーまたはサーバーとクライアントを認証します。

相対識別名 (relative distinguished name(RDN))

相対識別名 (RDN) は、識別名 (DN) の最初の部分です。例えば、項目 DN がcn=John Doe,ou=Test,o=IBM,c=US の場合、RDN は cn=John Doe となります。

属性アクセス・クラス (attribute accessclasses)

同じアクセス権が必要な属性は、クラスにグループ化されます。属性は、スキーマ・ファイル内のアクセス・クラスに割り当てられます。ユーザーが変更できるアクセス・クラスには、以下の 3 つがあります。

v Normal

v Sensitive

v Critical

ソート検索 (sorted search)ソート済み検索制御を使用すると、クライアントは、基準のリストに基づいてソートされた検索結果を受け取ることができます(基準のリストでは、各基準がソート・キーを示しています)。この機能を使用すると、ソートの実行責任がクライアント・アプリケーションからサーバーに移動するため、より効率的にソートを実行できます。例えば、従業員のリストを名字、共通名、および電話番号でソートする場合があります。この機能では、ソートを実行するための検索リストが 2 回は作成されません(つまり、サーバー上と、結果がすべて戻

された後のクライアント上で、リストは 2

回は作成されません)。検索リストは 1 回のみ作成されます。検索リストが作成されてソートが実行されると、その結果がクライアント・アプリケーションに戻されます。

突き合わせ規則 (matching rules)突き合わせ規則には、比較の実行方法を記述します。サポートされる突き合わせ規則は、以下のとおりです。

caseExactIA5MatchcaseExactMatchcaseExactOrderingMatchcaseExactSubstringsMatchcaseIgnoreIA5MatchcaseIgnoreMatchcaseIgnoreOrderingMatchcaseIgnoreSubstringsMatchdistinguishedNameMatchdistinguishedNameOrderingMatchgeneralizedTimeMatchgeneralizedTimeOrderingMatchintegerFirstComponentMatchintegerMatchobjectIdentifierFirstComponentMatchobjectIdentifierMatchoctetStringMatchtelephoneNumberMatchtelephoneNumberSubstringsMatchuTCTimeMatch

ディレクトリー・スキーマ (directory schema)ディレクトリーの項目は、属性とそれに関連する値のコレクションで構成されます。属性は、1 つ以上の値を持ちます。項目内の特定の値を識別するため、属性タイプ名は、″cn=John Doe″ のように、値とともに指定します。これは、属性と値のペアと呼ばれます。すべての項目には objectClass

属性が含まれています。項目に含まれている情報のタイプは、objectClass 属性によって識別されます。つまり、オブジェクト・クラスは、他のどの属性を項目内に提供するのかを指示します。ディレクトリー・スキーマには、ディレクトリー内に表示する有効な属性タイプとオブジェクト・クラスを定義します。属性タイプ定義には、その値の最大長と構文を定義します。オブジェクト・クラス定義には、そのクラスのオブジェクト内に提供する必要のある属性と、提供することのできる属性を指定します。

転送サーバー送信されたすべての変更を複製する読み取

用語集 469

り専用サーバー。これは、読み取り専用であり、ピアを持つことができないという点で、ピア/マスター・サーバーと対照的です。

動的グループ (dynamic groups)動的グループは、検索式を使用して定義されるグループです。ディレクトリー項目に属性を追加すると、検索式との突き合わせが行われ、その項目は自動的にグループのメンバーになります。また、クライアントで以下のタスクを行うための、簡潔で効率的な方法も提供されています。

v 特定の項目が特定のグループのメンバーであるかどうかのテスト

v 特定のグループのメンバーの全表示

v 特定の項目が属しているグループの全表示

検索式は、他のグループ属性と組み合わせて使用できます。

これらのグループは、アクセス制御に使用できます。

ネストされたグループ (nested groups)グループをネストすると、階層関係を作成できます。階層関係を使用すると、継承されたグループ・メンバーシップを定義できます。ネストされたグループは、子グループ項目として定義されます。この子グループ項目は、親グループ項目内の属性によって参照される DN を持ちます。ネストされたグループと通常のメンバーを明確に区別するために、新しい属性が定義されました。

ネストされたサブツリー (Nested subtree)ネストされたサブツリーは、ディレクトリーの別のサブツリー内にあるサブツリーです。

ピア・サーバーある特定のサブツリーに複数のマスターがある場合にマスター・サーバーに対して使用する用語。ピア・サーバーは、別のピア・サーバーから送られてきた変更を複製しません。最初にそのピア・サーバーで行われた変更のみを複製します。

複数値 (multiple values)複数値は、属性に複数の値を割り当てるた

めに使用します。属性は複数の値を所有できます (例えば、結婚前と結婚後の姓に対応できます)。属性に複数の値を追加するには、「複数値」をクリックし、行ごとに値を 1 つずつ追加します。属性に複数の値が含まれる場合は、ドロップダウン・リスト形式でフィールドが表示されます。

複製合意 (replication agreement)複製合意は、2 つのサーバー間の「接続」または「複製パス」を定義するディレクトリー内にある情報です。一方のサーバーはサプライヤー (変更を送信する側)、もう一方のサーバーはコンシューマー (変更を受信する側) と呼ばれます。合意には、サプライヤーからコンシューマーに接続して、複製を計画するために必要な情報がすべて含まれます。

複製コンテキスト (replication context)複製サブツリーのルートを示します。ibm-replicationContext 補助オブジェクト・クラスを項目に追加し、複製領域のルートとしてマークできます。複製に関連する構成情報は、複製コンテキストの下に作成された一連の項目に保持されます。

複製サイト (replication site)ゲートウェイ・サーバーおよび組み合わせて複製するよう構成された任意のマスター・サーバー、ピア・サーバー、またはレプリカ・サーバー。

複製されたサブツリー (replicated subtree)複製されたサブツリーは、あるサーバーから別のサーバーに複製される DIT の一部です。この設計では、特定のサブツリーを一部のサーバーにのみ複製できます。サブツリーは特定のサーバーでは書き込み可能ですが、他のサブツリーは読み取り専用の場合があります。

複製ネットワーク接続されている複製サイトを含むネットワーク。

別名 (aliases)LDAP 内で別名を使用して、ディレクトリー・ツリー内の任意の場所にある項目を参照することができます。別名は、別のディレクトリー・オブジェクトを指すポインターにすぎません。


別名オブジェクトは、’objectclass=aliasObject’ のように指定されます。このクラスの必須属性’aliasedObjectName’ には、別のディレクトリー・オブジェクトの完全な DN が含まれています (別名が参照する DN)。

C API の場合、デフォルトでは、検索操作時に別名オブジェクトは参照解除されません。コマンド行でフラグを指定すれば、クライアントは参照解除を要求できます。検索のベース項目が見つかれば、別名を参照解除することができます。ベースとして指定されているオブジェクトが別名オブジェクトの場合、そのオブジェクトは、検索を開始する前に参照解除されます。

例えば、オブジェクトの DN が″cn=personOfTheWeek, o=Corporation,

c=US″ で、その属性が aliasedObjectName:

″cn=personA, o=Corporation,c=US″ であるとします。’deref finding’ セットでは、検索ベースの ″cn=personOfTheWeek,

o=Corporation, c=US″ が、″cn=personA,

o=Corporation,c=US″ に参照解除されます。今度は、これが検索のベースになります。

このほかに、検索中に別名が参照解除される場合があります。この場合、ベースとして使用される DN はクライアントが指定するものですが、検索中に検出された別名項目は参照解除されます。

この場合の例として、ベースに″o=Corporation, c=US″ を指定した″cn=*week*″ の検索を取り上げます。検索されるノードは ″cn=personOfTheWeek,

o=Corporation, c=US″ ですが、このオブジェクトは参照解除され、項目 ″cn=personA,

o=Corporation,c=US″ が検索結果として戻されます。

「すべて」の参照解除も使用できます。これは、検索ベースの検索時、および検索操作時にオブジェクトが見つかったときの両方で、別名項目が参照解除されることを意味します。

レプリカ (replicas)レプリカは、ディレクトリーのコピーを実行するサーバーです。この複製されたサー

バーは、ディレクトリー全体をコピーして保持したり、あるいはディレクトリー・ツリーを 1 つのみコピーして保持することもできます。レプリカ・サーバーに対する更新は、すべてマスター・サーバーに反映されます。マスター・サーバーに障害が発生しても、ユーザーは、レプリカ・サーバー上にあるディレクトリー・ツリーのコピーを利用できます。レプリカ・サーバーを使用すると、応答時間を短縮することもできます。

ロール (roles)ロールはグループと似ていますが、ロールには、管理者によって与えられた特別な許可が含まれています。

aclEntryaclEntry は複数値の属性です。項目オブジェクトとその各属性に許可されたアクセス権に関連する情報が含まれています。aclEntry は、以下のタイプの情報をリストします。

v エンティティー・オブジェクトへのアクセス権を持っているユーザー (保護の有効範囲)。

v ユーザーがアクセス権を持っている属性または属性のクラス (属性アクセス・クラス)。

v ユーザーまたはグループが持っている権限 (アクセス権)。

aclPropagateACL は、ツリー内の任意のオブジェクトに設定できます。階層ファイルシステムでは一般的なことですが、LDAP アクセス制御リストは、ディレクトリー階層の下方に伝搬できます。これらの ACL (伝搬するACL と呼ばれる) は、aclPropagate 属性がtrue になっています。これにより、このオブジェクトの子はすべて、その点の ACL

セットを継承します。親と異なる ACL を指定するには、その新しい ACL を明示的に設定する必要があります。

aclSource各オブジェクトは、関連する aclSource 属性を持っています。この属性には、ACL

が定義されている項目の DN が含まれて

用語集 471

います。この属性はサーバーが保持していますが、管理上の目的で、取り出すことができます。

bulkloadLDIF 形式の多量のデータの大量ロードに使用されるコマンド行ユーティリティーです。

entryOwner各オブジェクトは、関連する entryOwner

属性を持っています。entryOwner 属性には、aclEntry で許可されている規則と同様、ユーザーまたはグループを指定できます。ただし、entryOwner サブジェクトは、オブジェクトに対して特定の特権を持っています。項目の所有者は、本質的には、特定のオブジェクトの管理者です。項目の所有者は、管理者 DN と同様に、その特定のオブジェクトに対する完全なアクセス権を持っています。管理者は、データベース内のオブジェクトに対して、完全なアクセス権を持っています。

gsk7ikmgsk7ikm ユーティリティーでは、公開鍵と秘密鍵のペアの作成、認証要求の作成、認証要求の鍵データベースへの取り込み、および鍵データベース内の鍵の管理を行うことができます。 gsk7ikm は、グラフィカル・ユーザー・インターフェースを使用しています。また、IKMGUI は、タスクを実行するのに必要な情報を提供します。エラーがあった場合、IKMGUI はメッセージを表示し、もう一度情報を入力するように求めてきます。

ldapaddLDAP 項目変更および LDAP 項目追加ツール ldapmodify は、ldap_modify およびldap_add ライブラリー呼び出しへのシェル・アクセス可能インターフェースです。ldapadd は、ldapmodify の名前を変更したものとしてインプリメントされています。ldapadd として始動されると、-a (新規項目の追加) フラグが自動的にオンになります。

ldapdeleteLDAP 項目削除ツール ldapdelete は、ldap_delete ライブラリー呼び出しへのシェ

ル・アクセス可能インターフェースです。ldapdelete は、LDAP サーバーへの接続を開き、1 つ以上の項目をバインドおよび削除します。1 つ以上の識別名 (DN) 引き数を指定すると、これらの DN を持つ項目は削除されます。各 DN は、ストリングで表現される DN でなければなりません。

ldapmodifyLDAP 項目変更および LDAP 項目追加ツール ldapmodify は、ldap_modify およびldap_add ライブラリー呼び出しへのシェル・アクセス可能インターフェースです。ldapadd は、ldapmodify の名前を変更したものとしてインプリメントされています。ldapadd として始動されると、-a (新規項目の追加) フラグが自動的にオンになります。

ldapmodrdnLDAP 項目変更 RDN ツール ldapmodrdn

は、ldap_modrdn ライブラリー呼び出しへのシェル・アクセス可能インターフェースです。ldapmodrdn は、LDAP サーバーへの接続を開き、項目の RDN をバインドおよび変更します。項目情報は、標準入力、ファイル (-f オプションを指定した場合)、またはコマンド行の DN と RDN のペアから読み取られます。

ldapsearchLDAP 検索ツール ldapsearch は、ldap_search ライブラリー呼び出しへのシェル・アクセス可能インターフェースです。ldapsearch は、LDAP サーバーへの接続を開き、フィルターを使用した検索を実行およびバインドします。フィルターは、LDAP フィルターのストリング表記に準拠している必要があります。

LDIF ldapmodify、ldapadd、およびldapsearch の各コマンド行ユーティリティーで使用される LDAP データ交換フォーマット (LDIF) は、標準の移植可能なテキスト形式で LDAP 項目を表すために使用されます。

LDIF ツール ldif は、任意のデータ値をLDIF に変換するシェル・アクセス可能ユ


ーティリティーです。標準入力から入力値を読み取って、LDIF レコードを生成します。

ldif2dbこのプログラムは、リレーショナル・データベースに保管されているディレクトリーに、テキスト LDAP ディレクトリー交換フォーマット (LDIF) で指定された項目をロードするために使用します。データベースは、事前に用意しておく必要があります。ldif2db を使用すると、空のディレクトリー・データベース、またはすでに項目が入っているデータベースに対して、項目を追加することができます。

ownerPropagate所有者の伝搬は、ACL の伝搬とまったく同様に実行されます。デフォルトでは、所有者は階層ツリーの下方に継承され、その所有者伝搬属性は true に設定されます。所有者伝搬属性が false に設定されていると、デフォルトの所有者は変更され、このオブジェクトのみに該当する所有者となります。

ownerSource各オブジェクトは、関連する ownerSource

属性も持っています。ownerSource 属性には、所有者値が定義されている項目の DN

が含まれます。この属性はサーバーが保持していますが、管理上の目的で、取り出すことができます。

用語集 473


索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アクセス権 240

LDAP 操作 240

アクセス制御動的スキーマ 139

アクセス制御リスト 235

アクセス評価結合規則 244

特定規則 243

アプリケーション・サーバートラブルシューティング 367

Apache Tomcat 17

IBM WebSphere Application Server の組み込みバージョン (Express) 17

暗号化片方向エンコード

crypt 100

SHA-1 100

レベル 98

2 方法エンコードimask 100

SSL 98

イベント通知 64

使用可能化 64

使用不可 64

インポート鍵 94

エクスポート鍵 93

エスケープ規則 8

エラーldap 377

エラー番号 377

エラー・コード 377

オブジェクト ID 119

オブジェクト・クラス 119

グループ 262

補助 229

IBMAttributeTypes 133

IBMsubschema 138

［カ行］鍵インポート 94

エクスポート 93

既存の鍵の認証要求 96

公開 87

削除 91

自己署名 92

情報の表示 90

データベース・パスワードの変更 90

デフォルト 91

トラステッド・ルート 94

トラステッド・ルートの除去 95

秘密 87

鍵ペア 87

鍵リング・ファイルマイグレーション 96

拡張操作 303

監査エラー・ログ 205

監査エラー・ログ 205

管理名前 25

パスワード 25

管理グループ 42

管理者管理者グループ 42

レルム 277

管理デーモン 13

エラー・ログ 213, 214

監査ログ 214

管理デーモン監査ログ 214

管理デーモン・エラー・ログ 213, 214

関連付けサーバーと参照との 70

疑似 DN 238

規則索引付け 136

キュー複製 196

許可されない変更スキーマ 140

共通のスキーマ 119

クライアント認証 85

クライアント・ユーティリティーldapadd 294, 313

ldapchangepwd 294

ldapdelete 298

ldapdiff 345

ldapexop 303

クライアント・ユーティリティー (続き)

ldapmodify 294, 313

ldapmodrdn 321

ldapsearch 326

グループ 257


管理 288

検索制限 265

混成 259

静的 257

動的 257

ネストされた 259

プロキシー許可 271

メンバーシップ 231

グローバル・セキュリティー 87

継承オブジェクト・クラス 120

検査項目 147

言語タグ使用可能化 52

使用不可 52

検索拡張 232

拡張された制御 57

簡易 231

項目 231

サイズ制限 55, 265

時間制限 55, 265

手動 233

設定 55

ソート 55

ページ付け結果 59

ページ分割 55

検索、項目 326

検索制限グループ 265

検索フィルター・エレメント数 53

合意複製 157

構成専用モード 15

要件 15

構文識別名 7

特殊文字 8

属性 137

バッカス正規形式 (BNF) 7

ACL 236

項目 221

検索 326


項目 (続き)

削除 298

パスワードの変更 294

変更 321

項目の検査スキーマを照合する 147

項目の変更の 321

コマンド 293

bulkload 336

db2ldif 342

dbback 341

dbrestore 341

ibmdirctl 294, 344

ldapadd 294, 313

ldapchangepwd 294

ldapdelete 298

ldapdiff 345

ldapexop 294, 303

ldapmodify 294, 313

ldapmodrdn 321

ldapsearch 326

ldaptrace 294, 353

ldif 357

ldif2db 358

runstats 358

コマンド行 51

固有属性 47

混成グループ 259

コンソール 19

サーバーの除去 22

サーバーの追加 21

パスワードの変更 21

プロパティーの変更 22

ログインの変更 21

ログオフ 19

ログオン 18

［サ行］サーバー始動 26

停止 26

サーバーおよびクライアントの認証 78

サーバー状況 27

サーバー証明書 82

サーバー認証 78

サーバーの始動 26

構成専用モード 15

サーバーの停止 26

サーバー・パフォーマンス設定 53

サーバー・ユーティリティーbulkload 336

db2ldif 342

dbback 341

dbrestore 341

サーバー・ユーティリティー (続き)

ibmdirctl 344

ldaptrace 353

ldif 357

ldif2db 358

runstats 358

削除鍵 91

削除、項目の 294, 298

サフィックス 66

サブクラス化 120

サブスキーマ項目 138

サブツリー比較 345

サブツリー比較 345

サプライヤー情報 164

参照 68

項目 70

サーバーの関連付け 70

デフォルト定義 69

ネーム・スペースの分散 71

識別名 7

疑似 238

時刻標準 149

UTC 149

自己署名鍵 92

使用、コマンド行の 51

照会スキーマ 138

状況サーバー 27

接続 38

証明書 87

証明書要求 92

スキーマオブジェクト・クラス 119

共通 119

サポート 119

検査 146

サブスキーマ項目 138

照会 138

属性 127

属性タイプ 117

動的変更 138

ファイル属性タイプ 117

changes

許可されない 140

IBM Tivoli Directory Server バージョン 5.2 435

スケジュール週次 195

日次 195

静的グループ 257

セキュア・ソケット・レイヤー 77

セキュリティー 87

パスワード・ポリシー 102

Kerberos 108

SSL 77

接続 38

サービス妨害の防止 39

プロパティー 39

ソート、検索の 58, 329

ldapsearch 329

操作拡張 303

属性 127

キャッシュ 74

構文 137

固有 47

動的に変更される 460

バイナリー 228

MAY 148

MUST 147

属性キャッシュ 74

属性タイプスキーマ・ファイル 117

［タ行］チェーン証明書トラブルシューティング

GSKit 363

通知イベント 64

突き合わせ規則 135

データ交換フォーマット 391

データベースバックアップ 341

復元 341

データベース接続数 53

データベースの復元 341

ディレクトリー・サーバーエラー・ログ 203

ディレクトリー・サーバー・エラー・ログ203

ディレクトリー・ツリーのブラウズ 221

デバッグ拡張出力 371

構成 369

コマンド・パラメーター 372

サーバー 372

データベースの構成 370

トラブルシューティング 369

レベル 372

伝搬ACL 241

テンプレート 279


テンプレート (続き)

管理 283

動的changes

スキーマ 138

動的グループ 257

動的スキーマアクセス制御 139

突き合わせ規則 135

複製 139

changes 138

動的に変更される属性 460

トポロジー複製 153

トラステッド・ルート 94

トラブルシューティングアプリケーション・サーバー 367

チェーン証明書GSKit 363

デバッグ 369

ファイル許可 363

複製コマンド行インターフェース 373

IBM Websphere Application Server の組み込みバージョン (Express) 367

Kerberos サービス名 363

トランザクション設定 62

トランザクション・レイヤー・セキュリティー 77

［ナ行］認証クライアント 85

サーバー 78

サーバーおよびクライアント 78

認証局 87

識別名 94

ネーム・スペース 71

ネストされたグループ 259

［ハ行］バイナリー属性 228

パスワード管理 25

管理者 25

構文の要件 107

コンソール管理者 21

セキュリティー 102

変更 294

パスワード・ポリシー 102

パフォーマンス 53

ピアツーピア複製 172

必要な許可 240

標準時 149

ファイル許可トラブルシューティング 363

フィルターに処理された ACL 236, 248

フィルターに処理されてない ACL 246

複製キュー 196

サーバーの役割 155

サブツリーの 158

サプライヤー情報 164

スケジュール 195

動的スキーマ 139

マスター・サーバー 158

用語 153

レプリカ 162

複製コマンド行インターフェーストラブルシューティング 373

複製トポロジー手順の例 171

プロキシー許可グループ 271

変更、ポートの 52

［マ行］マイグレーション鍵リング・ファイル 96

メッセージエラー 377

メンバーシップ 231

モードデバッグ 372

モニターサービス・ステータス 33

［ヤ行］役割 263

ユーザー管理 286

ユーティリティークライアント 294

コマンド行 293

bulkload 336

db2ldif 342

dbback 341

dbrestore 341

ibmdirctl 344

ldapadd 294, 313

ldapchangepwd 294

ldapdelete 298

ldapdiff 345

ldapexop 303

ldapmodify 294, 313

ユーティリティー (続き)

コマンド行 (続き)

ldapmodrdn 321

ldapsearch 326

ldaptrace 353

ldif 357

ldif2db 358

runstats 358

サーバー 336

ldapadd 294, 313

ldapchangepwd 294

ldapdelete 298

ldapdiff 345

ldapexop 303

ldapmodify 294, 313

ldapmodrdn 321

ldapsearch 326

［ラ行］ランゲージ・サポート 394

例LDIF 391

バージョン 1 392

レプリカサーバーの作成 153

レルム 277

管理 282

管理者 277

ログ 203

エラー監査 205

管理デーモン 213, 214

ディレクトリー・サーバー 203

bulkload 211

DB2 210

監査管理デーモン 214

［ワ行］ワーカーサーバー状況 37

AACL 235

構文 236

伝搬 241

フィルターに処理された 248

フィルターに処理されていない 246

フィルター・ベース 236

ACL キャッシュ・サイズ 53

索引 477

Bbulkload 336

エラー・ログ 211

bulkload エラー・ログ 211

DDB2

エラー・ログ 210

DB2 エラー・ログ 210

db2ldif 342

dbback 341

dbrestore 341

DEN 148

Directory-Enabled Network

スキーマ・サポート 148

DN 7

疑似 238

DN エスケープ文字 8

GGSKit 87

チェーン証明書トラブルシューティング 363

IIANA 文字セット 394

IBM Websphere Application Server の組み込みバージョン (Express)

始動の問題 367

IBMAttributeTypes 133

ibmdirctl 294, 344

ibmslapd オプション 16

ibmslapd.conf 66

IBMsubschema 138

ID マッピングKerberos 111

iPlanet

互換性 149

文法 149

KKerberos 108

Kerberos サービス名トラブルシューティング 363

Lldapadd 294, 313

ldapchangepwd 294

ldapdelete 298

ldapdiff 345

ldapexop 294, 303

ldapmodify 51, 294, 313

ldapmodrdn 321

ldapsearch 326

ldaptrace 294, 353

LDIF 391

ldif 357

ldif2db 358

OOID 119

Rrdn 321

ref 属性 70

referral


ref 属性 70

runstats 358

SSSL 77

TTLS 77

UUTC 時刻 149

UTF-8 394

UUID 375

WWeb 管理コンソール 19

ログ 203

Web 管理ツールログオン 25

Web 管理デーモン 13


��

Printed in Japan

SC88-9780-00

Documents

IBM Tivoli Directory Server 管理ガイドpublib.boulder.ibm.com/tividd/td/IBMDS/IDSadmin52/ja_JA/...目次 まえがきix 本書の対象読者 ix 資料 ix IBM Tivoli Directory

IBM Tivoli Directory Server 管理ガイドpublib.boulder.ibm.com/tividd/td/IBMDS/IDSadmin52/ja_JA/...目次まえがきix 本書の対象読者 ix 資料 ix IBM Tivoli Directory