検索

第2章 コアサーバー設定属性

download PDF

このセクションには、コアサーバーの機能に関連する設定属性の参照情報が記載されています。サーバー設定の変更は、セクション 2.2.1.2「サーバー設定へのアクセスおよび変更」を参照してください。プラグインとして実装されるサーバー機能のリストは、セクション 4.1 の「サーバープラグインの機能リファレンス」を参照してください。カスタムサーバー機能の実装に関するヘルプは、Directory Server サポートにお問い合わせください。

dse.ldif ファイルに格納されている設定情報は、一般的な設定エントリー cn=config の下に情報ツリーとして編成されています。

この設定ツリーのノードのほとんどは、以下のセクションで説明されています。

cn=plugins ノードは、第 4 章のプラグイン実装サーバー機能のリファレンスで説明されています。各属性の説明には、ディレクトリーエントリーの DN、デフォルト値、値の有効な範囲、その使用方法などが含まれます。

注記

この章で説明するエントリーおよび属性の一部は、製品の今後のリリースで変更される可能性があります。

2.1. cn=config

Directory Server は、cn=config エントリーに一般的な設定エントリーを保存します。このエントリーは、nsslapdConfig オブジェクトクラスのインスタンスで、extensibleObject オブジェクトクラスを継承します。

2.1.1. nsslapd-accesslog

この属性は、各 LDAP アクセスを記録するために使用されるログのパスおよびファイル名を指定します。ログファイルには、デフォルトで以下の情報を記録します。

  • データベースにアクセスするクライアントマシンの IP アドレス (IPv4 または IPv6)。
  • 実行される操作 (検索、追加、変更など)。
  • アクセス権の結果 (返されるエントリーの数やエラーコードなど)。

アクセスロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-accesslog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表2.1 dse.ldif ファイル属性
属性ロギングの有効化または無効化

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

空の文字列

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

filename

Enabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

空の文字列

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

filename

Disabled

nsslapd-accesslog パラメーターの説明:

パラメーター説明

エントリー DN

cn=config

有効な値

有効なファイル名。

デフォルト値

/var/log/dirsrv/slapd-instance/access

構文

DirectoryString

nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access

2.1.2. nsslapd-accesslog-compress

Directory Server は、デフォルトではアクセスログを圧縮しません。Directory Server がログをローテーションするときにアクセスログの圧縮を有効にするには、nsslapd-accesslog-compresson に設定します。

変更を適用するためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-accesslog-compress: on

2.1.3. nsslapd-accesslog-level

この属性は、アクセスログにログ記録する内容を制御します。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

* 0 - アクセスロギングなし

* 4 - 内部アクセス操作のロギング

* 256 - 接続、操作、および結果の記録

* 512 - エントリーおよび参照情報にアクセスするためのロギング

* これらの値を一緒に追加して、必要なロギングタイプを提供します。たとえば、516 (4 + 512) ) を使用して内部アクセス操作、エントリーアクセス、参照ロギングを取得します。

デフォルト値

256

構文

整数

nsslapd-accesslog-level: 256

2.1.4. nsslapd-accesslog-list

設定できないこの読み取り専用属性は、アクセスログのローテーションで使用されるアクセスログファイルのリストを提供します。

パラメーター説明

エントリー DN

cn=config

有効な値

 

デフォルト値

なし

構文

DirectoryString

nsslapd-accesslog-list: accesslog2,accesslog3

2.1.5. nsslapd-accesslog-logbuffering

off に設定すると、サーバーはすべてのアクセスログエントリーを直接ディスクに書き込みます。バッファーを使用すると、パフォーマンスに影響を与えずに負荷が大きい場合でもサーバーがアクセスロギングを使用できます。ただし、デバッグ時には、操作と、ログエントリーがファイルにフラッシュされるのを待たずに、バッファーを無効にしても、すぐに結果を見えることがあります。ログバッファリングを無効にすると、負荷の高いサーバーのパフォーマンスに深刻な影響を与える可能性があります。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-accesslog-logbuffering: off

2.1.6. nsslapd-accesslog-logexpirationtime

この属性は、削除前にログファイルに到達できる最大期間を指定します。この属性はユニット数のみを提供します。ユニットは、nsslapd-accesslog-logexpirationtimeunit 属性で指定されます。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 から最大 32 ビットの整数値 (2147483647)

-1 または 0 の値は、ログが期限切れになることはありません。

デフォルト値

-1

構文

整数

nsslapd-accesslog-logexpirationtime: 2

2.1.7. nsslapd-accesslog-logexpirationtimeunit

この属性は、nsslapd-accesslog-logexpirationtime 属性の単位を指定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day

デフォルト値

month

構文

DirectoryString

nsslapd-accesslog-logexpirationtimeunit: week

2.1.8. nsslapd-accesslog-logging-enabled

accesslog ロギングを無効にして有効にしますが、各データベースへのアクセスを記録するのに使用されるログのパスおよびパラメーターを指定する nsslapd-accesslog 属性と併せてのみ有効です。

アクセスロギングを有効にするには、この属性を on に切り替え、nsslapd-accesslog 設定属性に有効なパスとパラメーターが必要です。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表2.2 dse.ldif Attributes
属性ログの有効化または無効化

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

空の文字列

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

filename

Enabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

空の文字列

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

filename

Disabled

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-accesslog-logging-enabled: off

2.1.9. nsslapd-accesslog-logmaxdiskspace

この属性は、アクセスログが消費できる最大ディスク容量 (メガバイト単位) を指定します。この値を超えると、最も古いアクセスログが削除されます。

最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログに許可されるディスク領域のサイズが無制限であることを意味します。

デフォルト値

500

構文

整数

nsslapd-accesslog-logmaxdiskspace: 500

2.1.10. nsslapd-accesslog-logminfreediskspace

この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

-1

構文

整数

nsslapd-accesslog-logminfreediskspace: -1

2.1.11. nsslapd-accesslog-logrotationsync-enabled

この属性は、アクセスログのローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。

アクセスログのローテーションを時刻で同期するには、この属性を nsslapd-accesslog-logrotationsynchour 属性値および nsslapd-accesslog-logrotationsyncmin 属性値をログファイルのローテーションの時間と分に設定して、この属性を有効にする必要があります。

たとえば、アクセスログファイルを毎日真夜中にローテーションするには、この属性の値を on に設定して有効にし、nsslapd-accesslog-logrotationsynchour 属性および nsslapd-accesslog-logrotationsyncmin 属性の値を 0 に設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-accesslog-logrotationsync-enabled: on

2.1.12. nsslapd-accesslog-logrotationsynchour

この属性は、アクセスログをローテーションする時刻を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsyncmin 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

Valid Range

0 - 23

デフォルト値

0

構文

整数

nsslapd-accesslog-logrotationsynchour: 23

2.1.13. nsslapd-accesslog-logrotationsyncmin

この属性は、アクセスログをローテーションする日数を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsynchour 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

Valid Range

0 - 59

デフォルト値

0

構文

整数

nsslapd-accesslog-logrotationsyncmin: 30

2.1.14. nsslapd-accesslog-logrotationtime

この属性は、アクセスログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-accesslog-logrotationtimeunit 属性で指定します。

Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。

パフォーマンス上の理由から、ログローテーションを指定しないことは推奨していませんが、ログが無期限に増大するため、これを指定する方法は 2 つあります。nsslapd-accesslog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-accesslog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-accesslog-maxlogsperdir 属性をチェックして、この属性の値が 1 を超える場合、サーバーは nsslapd-accesslog-logrotationtime 属性をチェックします。詳細は、「nsslapd-accesslog-maxlogsperdir」 を参照してください。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログファイルのローテーションの間隔が無制限になります。

デフォルト値

1

構文

整数

nsslapd-accesslog-logrotationtime: 100

2.1.15. nsslapd-accesslog-logrotationtimeunit

この属性は、nsslapd-accesslog-logrotationtime 属性の単位を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

day

構文

DirectoryString

nsslapd-accesslog-logrotationtimeunit: week

2.1.16. nsslapd-accesslog-maxlogsize

この属性は、最大アクセスログサイズをメガバイト単位で設定します。この値に達すると、アクセスログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-accesslog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。

最大ログサイズを設定するときは、次の点を考慮してください。

  • ログファイルのローテーションにより作成できるログファイルの総数。
  • Directory Server は、アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログの 5 つの異なるログファイルを維持します。各ログファイルはディスク領域を消費します。

これらの考慮事項を、アクセスログ用に設定するディスク領域の合計と比較してください。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。

デフォルト値

100

構文

整数

nsslapd-accesslog-maxlogsize: 100

2.1.17. nsslapd-accesslog-maxlogsperdir

この属性は、アクセスログが保存されるディレクトリーに格納できるアクセスログの合計数を設定します。アクセスログがローテーションされるたびに、新しいログファイルが作成されます。アクセスログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンが削除されます。パフォーマンス上の理由から、この値は 1 に設定しないでください。サーバーがログをローテーションせず、ログが無制限に増大するためです。

この属性の値が 1 よりも大きい場合は、nsslapd-accesslog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-accesslog-logrotationtime 属性の値が -1 の場合、ログローテーションは行われません。詳細は、「nsslapd-accesslog-logrotationtime」 を参照してください。

nsslapd-accesslog-logminfreediskspace および nsslapd-accesslog-maxlogsize に設定した値によっては、実際のログ数は nsslapd-accesslog-maxlogsperdir で設定する数よりも少なくなる可能性があります。たとえば、nsslapd-accesslog-maxlogsperdir がデフォルト (10 ファイル) を使用し、nsslapd-accesslog-logminfreediskspace を 500 MB に、nsslapd-accesslog-maxlogsize を 100 MB に設定すると、Directory Server は 5 つのアクセスログファイルのみを保持します。

パラメーター説明

エントリー DN

cn=config

Valid Range

1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

10

構文

整数

nsslapd-accesslog-maxlogsperdir: 10

2.1.18. nsslapd-accesslog-mode

この属性は、アクセスログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、000 から 777 の組み合わせ (番号または絶対 UNIX ファイルのパーミッション) です。値は、3 桁の数字である必要があります。数字は 0 から 7 の間で変わります。

  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行

3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。

新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。

パラメーター説明

エントリー DN

cn=config

Valid Range

000 から 777 まで

デフォルト値

600

構文

整数

nsslapd-accesslog-mode: 600

2.1.19. nsslapd-allow-anonymous-access

バインド DN またはパスワードを指定せずに Directory Server への接続を試みると、これは 匿名バインド になります。匿名バインドは、ユーザーが最初にディレクトリーに対して認証を行う必要がないため、電話番号や電子メールアドレスをディレクトリーで確認するような、一般的な検索および読み取り操作を簡素化します。

ただし、匿名バインドにはリスクがあります。機密情報へのアクセスを制限したり、変更や削除などのアクションを許可しないように、適切な ACI を導入する必要があります。さらに、匿名バインドは、サービス拒否攻撃や、悪意のあるユーザーがサーバーへのアクセスを取得するのに使用できます。

匿名バインドを無効にしてセキュリティーを強化できます (オフ)。デフォルトでは、匿名バインドは検索操作および読み取り操作に対して許可 (on) されます。これにより、ユーザーおよびグループのエントリーに加えて、root DSE などの設定エントリーを含む 通常のディレクトリーエントリー にアクセスすることができます。3 つ目のオプション rootdse により、匿名検索および root DSE 自体への読み取りアクセスが許可されますが、他のすべてのディレクトリーエントリーへのアクセスを制限します。

必要に応じて、「nsslapd-anonlimitsdn」 で説明されているように nsslapd-anonlimitsdn 属性を使用して、リソース制限を匿名バインドに配置できます。

この値の変更は、サーバーが再起動するまで反映されません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off | rootdse

デフォルト値

on

構文

DirectoryString

nsslapd-allow-anonymous-access: on

2.1.20. nsslapd-allowed-sasl-mechanisms

デフォルトでは、ルート DSE は SASL ライブラリーがサポートするすべてのメカニズムをリスト表示します。ただし、一部の環境では、特定の環境だけが優先されます。nsslapd-allowed-sasl-mechanisms 属性を使用すると、定義した SASL メカニズムのみを有効にできます。

メカニズム名は大文字、数字、およびアンダースコアで構成される必要があります。各メカニズムはコンマまたはスペースで区切ることができます。

注記

EXTERNAL メカニズムは SASL プラグインによって実際に使用されません。これはサーバーの内部であり、主に TLS クライアント認証に使用されます。したがって、EXTERNAL メカニズムは制限または制御できません。nsslapd-allowed-sasl-mechanisms 属性に設定されているかどうかに関わらず、常にサポートされているメカニズムリストに表示されます。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

有効な SASL メカニズム

デフォルト値

None(すべての SASL メカニズムが許可される)

構文

DirectoryString

nsslapd-allowed-sasl-mechanisms: GSSAPI、DIGEST-MD5、OTP

2.1.21. nsslapd-allow-hashed-passwords

このパラメーターは、事前にハッシュ化されたパスワードチェックを無効にします。デフォルトでは、Directory Server では、事前にハッシュ化されたパスワードは Directory Manager 以外のユーザーによって設定できません。この権限を Password Administrators グループに追加すると、他のユーザーに委任できます。ただし、レプリケーションパートナーが、事前にハッシュ化されたパスワードチェックをすでに制御している場合など、この機能は Directory Server で無効にする必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-allow-hashed-passwords: off

2.1.22. nsslapd-allow-unauthenticated-binds

認証されていないバインドは、ユーザーが空のパスワードを提供する Directory Server への接続です。Directory Server では、デフォルト設定を使用すると、セキュリティー上の理由から、このシナリオのアクセスを拒否します。

警告

Red Hat は、認証されていないバインドを有効にしないことを推奨します。この認証方法により、Directory Manager を含むアカウントとしてパスワードを指定せずにユーザーがバインドできます。バインド後、ユーザーはバインドに使用されるアカウントのパーミッションを持つすべてのデータにアクセスできます。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-allow-unauthenticated-binds: off

2.1.23. nsslapd-anonlimitsdn

リソース制限は、認証されたバインドに設定できます。リソース制限では、検索の単一の操作 (nsslapd-sizeLimit)、時間制限 (nsslapd-timelimit)、およびタイムアウト期間 (nsslapd-idletimeout)、ならびに検索可能なエントリーの合計数 (nsslapd-lookthroughlimit) で検索可能なエントリー数の上限を設定できます。このリソース制限により、サービス拒否攻撃がディレクトリーリソースを結合し、全体的なパフォーマンスを向上させることができます。

リソース制限はユーザーエントリーに設定されます。匿名のバインディングは、当然ながら、ユーザーエントリーとは関係ありません。これは、通常、リソース制限が匿名操作には適用されません。

匿名バインドにリソース制限を設定するには、適切なリソース制限でテンプレートエントリーを作成できます。nsslapd-anonlimitsdn 設定属性を追加して、このエントリーを指定し、リソース制限を匿名バインドに適用できます。

パラメーター説明

エントリー DN

cn=config

有効な値

任意の DN

デフォルト値

なし

構文

DirectoryString

nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com

2.1.24. nsslapd-attribute-name-exceptions

この属性を使用すると、属性名の標準以外の文字を、スキーマ定義属性の "_" など、古いサーバーと後方互換性に使用できます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-attribute-name-exceptions: on

2.1.25. nsslapd-auditfaillog

この属性は、失敗した LDAP の変更を記録するために使用されるログのパスおよびファイル名を設定します。

nsslapd-auditfaillog-logging-enabled が有効にされており、nsslapd-auditfaillog が設定されていない場合、監査の失敗イベントは nsslapd-auditlog で指定されたファイルに記録されます。

nsslapd-auditfaillog パラメーターを nsslapd-auditlog と同じパスに設定すると、いずれも同じファイルに記録されます。

パラメーター説明

エントリー DN

cn=config

有効な値

有効なファイル名

デフォルト値

/var/log/dirsrv/slapd-instance/audit

構文

DirectoryString

nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit

監査の失敗ログを有効にするには、この属性に有効なパスが必要で、nsslapd-auditfaillog-logging-enabled 属性を on に設定する必要があります。

2.1.26. nsslapd-auditfaillog-compress

Directory Server は、デフォルトでは監査失敗ログを圧縮しません。Directory Server がログをローテーションするときに監査失敗ログの圧縮を有効にするには、nsslapd-auditfaillog-compresson に設定します。

変更を適用するためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditfaillog-compress: on

2.1.27. nsslapd-auditfaillog-list

監査失敗のログファイルのリストを提供します。

パラメーター説明

エントリー DN

cn=config

有効な値

 

デフォルト値

なし

構文

DirectoryString

nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3

2.1.28. nsslapd-auditfaillog-logexpirationtime

この属性は、削除前のログファイルの最大期間を設定します。ユニット数に提供されます。nsslapd-auditfaillog-logexpirationtimeunit 属性の day、week、month など、単位を指定します。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 から最大 32 ビットの整数値 (2147483647)

-1 または 0 の値は、ログが期限切れになることはありません。

デフォルト値

-1

構文

整数

nsslapd-auditfaillog-logexpirationtime: 1

2.1.29. nsslapd-auditfaillog-logexpirationtimeunit

この属性は、nsslapd-auditfaillog-logexpirationtime 属性に単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day

デフォルト値

構文

DirectoryString

nsslapd-auditfaillog-logexpirationtimeunit: day

2.1.30. nsslapd-auditfaillog-logging-enabled

失敗した LDAP 変更のロギングをオンまたはオフにします。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditfaillog-logging-enabled: off

2.1.31. nsslapd-auditfaillog-logmaxdiskspace

この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。サイズが制限を超えると、最も古い監査ログが削除されます。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。

デフォルト値

100

構文

整数

nsslapd-auditfaillog-logmaxdiskspace: 10000

2.1.32. nsslapd-auditfaillog-logminfreediskspace

この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量が指定された値よりも小さい場合、十分なディスク領域が解放されるまで最も古い監査ログが削除されます。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 (無制限) | 1 から 32 ビットの整数値 (2147483647)

デフォルト値

-1

構文

整数

nsslapd-auditfaillog-logminfreediskspace: -1

2.1.33. nsslapd-auditfaillog-logrotationsync-enabled

この属性は、監査失敗のログローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。

監査失敗ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditfaillog-logrotationsynchour 属性値および nsslapd-auditfaillog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。

たとえば、毎日深夜に監査失敗ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-auditfaillog-logrotationsynchour 属性および nsslapd-auditfaillog-logrotationsyncmin 属性の値を 0 に設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditfaillog-logrotationsync-enabled: on

2.1.34. nsslapd-auditfaillog-logrotationsynchour

この属性は、監査ログがローテーションされる時刻を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsyncmin 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

Valid Range

0 - 23

デフォルト値

なし (nsslapd-auditfaillog-logrotationsync-enabled がオフであるため)

構文

整数

nsslapd-auditfaillog-logrotationsynchour: 23

2.1.35. nsslapd-auditfaillog-logrotationsyncmin

この属性は、監査ログがローテーションされる分を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsynchour 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

Valid Range

0 - 59

デフォルト値

なし (nsslapd-auditfaillog-logrotationsync-enabled がオフであるため)

構文

整数

nsslapd-auditfaillog-logrotationsyncmin: 30

2.1.36. nsslapd-auditfaillog-logrotationtime

この属性は、監査失敗ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditfaillog-logrotationtimeunit 属性で指定します。nsslapd-auditfaillog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。

Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。

パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditfaillog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-auditfaillog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditfaillog-maxlogsperdir 属性をチェックして、この属性の値が 1 を超える場合は、サーバーでは nsslapd-auditfaillog-logrotationtime 属性を確認します。詳細は、「nsslapd-auditfaillog」 を参照してください。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査失敗ログファイルのローテーションの間隔が無制限になります。

デフォルト値

1

構文

整数

nsslapd-auditfaillog-logrotationtime: 100

2.1.37. nsslapd-auditfaillog-logrotationtimeunit

この属性は、nsslapd-auditfaillog-logrotationtime 属性の単位を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

構文

DirectoryString

nsslapd-auditfaillog-logrotationtimeunit: day

2.1.38. nsslapd-auditfaillog-maxlogsize

この属性は、最大監査失敗ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditfaillog-maxlogsperdir パラメーターが 1 に設定されている場合、サーバーはこの属性を無視します。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。

デフォルト値

100

構文

整数

nsslapd-auditfaillog-maxlogsize: 50

2.1.39. nsslapd-auditfaillog-maxlogsperdir

この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査失敗のログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。

この属性の値が 1 よりも大きい場合は、nsslapd-auditfaillog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを設定します。nsslapd-auditfaillog-logrotationtime 属性の値が -1 の場合は、ログローテーションがありません。詳細は、「nsslapd-auditfaillog-logexpirationtime」 を参照してください。

パラメーター説明

エントリー DN

cn=config

Valid Range

1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

1

構文

整数

nsslapd-auditfaillog-maxlogsperdir: 10

2.1.40. nsslapd-auditfaillog-mode

この属性は、監査失敗ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。

  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行

3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。

新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。

パラメーター説明

エントリー DN

cn=config

Valid Range

000 から 777 まで

デフォルト値

600

構文

整数

nsslapd-auditfaillog-mode: 600

2.1.41. nsslapd-auditlog

この属性は、各データベースに加えられた変更を記録するために使用されるログのパスおよびファイル名を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

有効なファイル名

デフォルト値

/var/log/dirsrv/slapd-instance/audit

構文

DirectoryString

nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit

監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表2.3 nsslapd-auditlog の可能な組み合わせ
dse.ldif の属性ロギングの有効化または無効化

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

空の文字列

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

filename

Enabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

空の文字列

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

filename

Disabled

2.1.42. nsslapd-auditlog-display-attrs

nsslapd-auditlog-display-attrs 属性を使用すると、Directory Server が監査ログに表示する属性を設定して、変更されるエントリーに関する有用な識別情報を提供できます。監査ログに属性を追加すると、エントリー内の特定の属性の現在の状態とエントリーの更新の詳細を確認できます。

次のオプションのいずれかを選択して、ログ内の属性を表示できます。

  • Directory Server が変更するエントリーの特定の属性を表示するには、属性名を値として指定します。
  • 複数の属性を表示するには、スペースで区切られた属性名のリストを値として指定します。
  • エントリーのすべての属性を表示するには、値としてアスタリスク (*) を使用します。

Directory Server が監査ログに表示する必要がある属性のスペース区切りのリストを指定するか、値としてアスタリスク (*) を使用して、変更されるエントリーのすべての属性を表示します。

たとえば、監査ログ出力に cn 属性を追加するには、nsslapd-auditlog-display-attrs 属性を cn に設定します。監査ログには、次のようなエントリーが含まれます。

time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: John Smith
result: 0
changetype: modify
...
パラメーター説明

エントリー DN

cn=config

有効な値

任意の有効な属性名とアスタリスク (*)

デフォルト値

なし

構文

DirectoryString

nsslapd-auditlog-display-attrs: cn ou

2.1.43. nsslapd-auditlog-compress

Directory Server は、デフォルトでは監査ログを圧縮しません。Directory Server がログをローテーションするときに監査ログの圧縮を有効にするには、nsslapd-auditlog-compresson に設定します。

変更を適用するためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditlog-compress: on

2.1.44. nsslapd-auditlog-list

監査ログファイルのリストを提供します。

パラメーター説明

エントリー DN

cn=config

有効な値

 

デフォルト値

なし

構文

DirectoryString

nsslapd-auditlog-list: auditlog2,auditlog3

2.1.45. nsslapd-auditlog-logexpirationtime

この属性は、ログファイルが削除される前に許可される最大期間を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logexpirationtimeunit 属性で指定します。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 から最大 32 ビットの整数値 (2147483647)

-1 または 0 の値は、ログが期限切れになることはありません。

デフォルト値

-1

構文

整数

nsslapd-auditlog-logexpirationtime: 1

2.1.46. nsslapd-auditlog-logexpirationtimeunit

この属性は、nsslapd-auditlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day

デフォルト値

構文

DirectoryString

nsslapd-auditlog-logexpirationtimeunit: day

2.1.47. nsslapd-auditlog-logging-enabled

監査ロギングをオンおよびオフにします。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditlog-logging-enabled: off

監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表2.4 nsslapd-auditlog と nsslapd-auditlog-logging-enabled の組み合わせ
属性ロギングの有効化または無効化

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

空の文字列

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

filename

Enabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

空の文字列

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

filename

Disabled

2.1.48. nsslapd-auditlog-logmaxdiskspace

この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古い監査ログが削除されます。

最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。

デフォルト値

-1

構文

整数

nsslapd-auditlog-logmaxdiskspace: 10000

2.1.49. nsslapd-auditlog-logminfreediskspace

この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性によって指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古い監査ログが削除されます。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 (無制限) | 1 から 32 ビットの整数値 (2147483647)

デフォルト値

-1

構文

整数

nsslapd-auditlog-logminfreediskspace: -1

2.1.50. nsslapd-auditlog-logrotationsync-enabled

この属性は、監査ログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。

監査ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditlog-logrotationsynchour 属性値および nsslapd-auditlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。

たとえば、毎日深夜に監査ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-auditlog-logrotationsynchour 属性および nsslapd-auditlog-logrotationsyncmin 属性の値を 0 に設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditlog-logrotationsync-enabled: on

2.1.51. nsslapd-auditlog-logrotationsynchour

この属性は、監査ログのローテーションを行う時刻を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsyncmin 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

Valid Range

0 - 23

デフォルト値

なし (nsslapd-auditlog-logrotationsync-enabled がオフであるため)

構文

整数

nsslapd-auditlog-logrotationsynchour: 23

2.1.52. nsslapd-auditlog-logrotationsyncmin

この属性は、監査ログのローテーションに使用する日数を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsynchour 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

Valid Range

0 - 59

デフォルト値

なし (nsslapd-auditlog-logrotationsync-enabled がオフであるため)

構文

整数

nsslapd-auditlog-logrotationsyncmin: 30

2.1.53. nsslapd-auditlog-logrotationtime

この属性は、監査ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logrotationtimeunit 属性で指定します。nsslapd-auditlog-maxlogsperdir 属性が 1 に設定されていると、サーバーはこの属性を無視します。

Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。

パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditlog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-auditlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-auditlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-auditfaillog-maxlogsperdir」 を参照してください。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログファイルのローテーションの間隔が無制限になります。

デフォルト値

1

構文

整数

nsslapd-auditlog-logrotationtime: 100

2.1.54. nsslapd-auditlog-logrotationtimeunit

この属性は、nsslapd-auditlog-logrotationtime 属性の単位を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

構文

DirectoryString

nsslapd-auditlog-logrotationtimeunit: day

2.1.55. nsslapd-auditlog-maxlogsize

この属性は、最大監査ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditlog-maxlogsperdir1 にすると、サーバーはこの属性を無視します。

最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server は 5 つの異なるログファイル (アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログ) を維持しており、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

Valid Range

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。

デフォルト値

100

構文