LDAPオブジェクトを環境設定する

eDirectoryのインストール時に、LDAPサーバオブジェクトとLDAPグループオブジェクトが作成されます。LDAPサービスのデフォルト設定は、これらの2つのオブジェクト上のディレクトリにあります。ConsoleOne LDAPスナップインか、Novell iManagerのLDAP管理タスクを使用して、デフォルト設定を変更できます。

LDAPサーバオブジェクトとは、サーバ固有の設定データのことです。

LDAPグループオブジェクトには、複数のLDAPサーバ間で共有できる便利な設定情報が含まれています。このオブジェクトは、共通の設定データとLDAPサーバグループを提供します。サーバは共通データを持っています。

複数のLDAPサーバオブジェクトを、LDAPグループオブジェクトと関連させることができます。関連するすべてのLDAPサーバは、サーバ固有の設定をLDAPサーバオブジェクトから取得しますが、共通する情報や共有情報はLDAPグループオブジェクトから取得します。

デフォルトでは、LDAPグループオブジェクトおよびLDAPサーバオブジェクトが、eDirectoryインストールプログラムによってnldap.nlmまたはnldap.dlmに1つずつインストールされます。その後、複数のLDAPサーバオブジェクトを、1つのLDAPグループオブジェクトに関連付けることができます。

重要:  新しいバージョンのLDAPサーバオブジェクトを古いバージョンのLDAPグループオブジェクトに関連付けることも可能ですが、異なるバージョン間での関連付けはお勧めできません。たとえば、eDirectory 8.5のLDAPグループオブジェクトとeDirectory 8.6のLDAPサーバオブジェクトとの関連付けは避けるようにしてください。

LDAPグループオブジェクトが保持する、共通情報の量は制限されています。属性に含まれるデータはほとんど共通しているため、LDAPは多くの属性を読み込む必要がありません。多くのLDAPサーバは同じデータを使用する必要があります。共通の、または共有グループオブジェクトがない場合は、各LDAPサーバにそのデータを複製する必要があります。

LDAPサーバオブジェクトでは、LDAPグループオブジェクトよりも多くのサーバ固有の設定オプションおよびデータが許可されています。

どちらのオブジェクトも、相互にポイントされたDN構文属性を持っています。

LDAPサーバがその設定データを探せるようにするには、関連付けを追加する必要があります。関連付けは、通常のeDirectory設定データを保持するNCPTMサーバを通じて行われます。この関連付けは、eDirectoryインストールプログラムにより自動で行われます。

各eDirectoryサーバは、NCPサーバオブジェクトを持っています。次の図の「Lundi」というサーバには、このオブジェクトがiManager上と同じように表示されています。


NCPサーバオブジェクトのアイコンの例

このオブジェクトは、特定のホストeDirectoryサーバのLDAPサーバオブジェクトを指すLDAPサーバ属性を持っています。次の図は、この属性を示しています。


LDAPサーバ属性

通常、LDAPサーバオブジェクト、LDAPグループオブジェクト、NCPサーバオブジェクトは同じコンテナ内にあります。eDirectoryのインストールで、サーバおよび管理者コンテキストを指定するときに、このコンテナを指定します。

LDAPサーバオブジェクトを移動するときは、それを書き込み可能なレプリカ上に移動する必要があります。


Linux、Solaris、AIX、HP-UXシステム上で、LDAPサーバオブジェクトおよびLDAPグループオブジェクトを環境設定する

LDAP環境設定ユーティリティはldapconfigです。Linux、Solaris、AIX、HP-UXシステムでLDAPサーバオブジェクトおよびLDAPグループオブジェクトの属性を変更、表示、リフレッシュするには、ldapconfigを使用します。

Linux、Solaris、AIX、HP-UXシステム上でLDAP属性値を表示するには、次の構文を使用します。

ldapconfig get [...] | set 属性値リスト  [-t ツリー名 | -p ホスト名[:ポート]] [-w パスワード] [-a ユーザFDN] [-f]
ldapconfig [-t ツリー名 | -p ホスト名[:ポート]] [-w パスワード] [-a ユーザFDN] [-V] [-R] [-H] [-f] -v 属性,属性2...

Linux、Solaris、AIX、HP-UXシステム上でLDAP属性を変更するには、次の構文を使用します。

ldapconfig [-t ツリー名 | -p ホスト名[:ポート]] [-w パスワード] [-a 管理者FDN] -s 属性=,...
パラメータ 説明

-t ツリー名

コンポーネントのインストール先となるeDirectoryツリーの名前。

-p ホスト名

ホストの名前です。DNS名またはIPアドレスを指定することもできます。

-w

管理権を持つユーザのパスワード。

-a

管理権を持つユーザの完全識別名。例:

cn=user.o=org1

get | -V

すべてのLDAPサーバとLDAPグループの属性を表示します。

get | -v 属性リスト

属性リストにある属性の現在の値を表示します。

set | -s 属性値ペア

属性を指定した値で設定します。

-v

LDAP属性値を表示します。

-s

インストールされたコンポーネントの属性値を設定します。

-R

LDAPサーバをリフレッシュします。

-V

現在のLDAP環境設定を表示します。

-H

使用方法とヘルプを表示します。

-f

フィルタ済みレプリカ上での操作を許可します。

属性

設定可能なLDAPサーバ属性名またはグループ属性名。詳細については、LDAPサーバオブジェクトの属性およびLDAPグループオブジェクトの属性を参照してください。


属性リストの属性の値を表示するには、次のコマンドを入力します。

ldapconfig [-t ツリー名 | -p ホスト名[:ポート]]
[-w パスワード] [-a ユーザFDN] -v "Require TLS for simple binds with password","searchTimeLimit"

LDAP TCPポート番号と検索サイズの制限を1000に設定するには、次のコマンドを入力します。

ldapconfig [-t ツリー名 | -p ホスト名[:ポート]]
[-w パスワード] [-a 管理者FDN] -s "LDAP TCP Port=389","searchSizeLimit=1000"


LDAPサーバオブジェクトの属性

Novell LDAPサーバプロパティを設定および管理するために、LDAPサーバオブジェクトを使用します。

次の表に、LDAPサーバ属性の説明を示します。

属性 説明

LDAP Server

eDirectoryのLDAPサーバオブジェクトの完全識別名。

LDAP Host Server

LDAPサーバの実行場所となるホストeDirectoryサーバの完全識別名。

LDAP Group

eDirectoryの中で、このLDAPサーバがメンバーとして属するLDAPグループオブジェクト。

LDAP Server Bind Limit

LDAPサーバに同時にバインドできるクライアントの数。0を指定すると、無制限になります。

LDAP Server Idle Timeout

あるクライアントとLDAPサーバの間で、ここで指定した期間無活動状態が継続すると、このクライアントとLDAPサーバの接続が切断されます。0を指定すると、無制限になります。

LDAP Enable TCP

このLDAPサーバに対して(TLSではなく)TCP接続が有効であるかどうかを示します。

値は1(はい)または0(いいえ)です。

LDAP Enable TLS

このLDAPサーバに対してTLS接続が有効であるかどうかを示します。

値は1(はい)または0(いいえ)です。

LDAP TCP Port

(SSLでなく)TCP接続でLDAPサーバが受信待機するポート番号。

範囲は0〜65535です。

LDAP TLS Port

TLS接続でLDAPサーバが受信待機するポート番号。

範囲は0〜65535です。これはLDAPサーバに許可されている最大接続数です。

keyMaterialName

このLDAPサーバに関連付けられた、SSL LDAP接続に使用するeDirectoryの証明書オブジェクトの名前。

searchSizeLimit

LDAPサーバが検索要求への応答としてLDAPクライアントに返すエントリの最大数。0を指定すると、無制限になります。

searchTimeLimit

LDAPサーバによるLDAP検索がタイムアウトになるまでの最大秒数。0を指定すると、無制限になります。

filteredReplicaUsage

LDAPサーバがLDAP検索のために、フィルタ処理されたレプリカを使用するかどうかを指定します。

値は1(フィルタ済みレプリカを使用)か0(フィルタ済みレプリカ不使用)です。

sslEnableMutualAuthentication

LDAPサーバにおいて、SSLベースの相互認証(証明書に基づくクライアント認証)を有効にするかどうかを指定します。

ldapTLSVerifyClientCertificate

LDAPによるTLS操作のクライアント認証の確認を有効または無効にします。

ldapNonStdAllUserAttrsMode

非標準のすべてのユーザとオペレーショナル属性を有効または無効にします。

ldapBindRestrictions

LDAPクライアント接続でLDAPのバインド制限を設定します。LDAPクライアントから匿名バインドを許可または禁止することができます。

値は0か1です。

0を指定すると、クライアントからの匿名バインドが許可されます。1を指定すると、クライアントの匿名バインドが制限されます。

ldapEnablePSearch

LDAPサーバで持続的検索機能を有効にするかどうかを指定します。

値はTRUEかFALSEです。

ldapMaximumPSearchOperations

同時に実行できる持続的検索操作の数を制限するための整数値です。0を指定すると、検索操作は無制限になります。

ldapIgnorePSearchLimitsForEvents

持続的検索要求によって最初の結果が返された後で、サイズと時間の制限を無視するかどうかを指定します。

値はTRUEかFALSEです。

この属性がFALSEに設定されている場合、すべての持続的検索操作は検索制限の制約を受けます。サイズと時間のいずれかの制限に達した場合、検索操作は失敗し、該当するエラーメッセージが返されます。


LDAPグループオブジェクトの属性

LDAPクライアントのNovell LDAPサーバに対するアクセス方法とサーバ上の情報の使用方法を設定および管理するには、LDAPグループオブジェクトを使用します。

単純バインドにTLSが必要な場合は、パスワードとの単純バインドにTLSを要求するを参照してください。この属性は、LDAPサーバがLDAPクライアントからパスワードをクリアテキストで送信することを許可するかどうかを指定します。値は1(はい)または0(いいえ)です。

デフォルトの参照およびLDAPサーバによるLDAP参照の処理方法を指定するには、参照を使用するを参照してください。