7.6. メッセージの最大サイズの調整
nsslapd-maxbersize
属性は、受信メッセージまたは LDAP 要求での最大許容サイズをバイト単位で設定します。要求のサイズを制限すると、さまざまな DoS 攻撃を防ぎます。
最大メッセージサイズが小さすぎると、/var/log/dirsrv/slapd-INSTANCE-NAME/errors
の Directory Server エラーログに以下のエラーが表示される可能性があります。
Incoming BER Element was too long, max allowable is 2097152 bytes. Change the nsslapd-maxbersize attribute in cn=config to increase.
この制限の対象は LDAP 要求の合計サイズです。たとえば、エントリーの追加要求で、要求のエントリーがデフォルトの設定値よりも大きい場合に、この追加要求は拒否されます。ただし、この制限はレプリケーションプロセスには適用されません。この属性の変更には細心の注意を払ってください。
デフォルト値 |
|
有効な範囲 |
|
エントリー DN の場所 |
|
前提条件
- LDAP Directory Manager のパスワード
手順
nsslapd-maxbersize
パラメーターの現在の値を取得して、復元する必要がある場合に備え、調整を行う前にこの値をメモします。プロンプトが表示されたら、Directory Manager のパスワードを入力します。[root@server ~]# dsconf -D "cn=Directory Manager" ldap://server.example.com config get nsslapd-maxbersize Enter password for cn=Directory Manager on ldap://server.example.com: nsslapd-maxbersize: 2097152
nsslapd-maxbersize
属性の値を変更します。この例では4194304
(4 MB) に値を増やします。[root@server ~]# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-maxbersize=4194304
Directory Manager として認証し、設定の変更を行います。
Enter password for cn=Directory Manager on ldap://server.example.com: Successfully replaced "nsslapd-maxbersize"
-
IdM ディレクトリーサーバーのパフォーマンスを監視します。希望どおりに変更されなかった場合にはこの手順を繰り返して
nsslapd-maxbersize
を別の値に調整するか、デフォルトの2097152
に戻します。
検証
nsslapd-maxbersize
属性の値を表示し、希望の値に設定されていることを確認します。[root@server ~]# dsconf -D "cn=Directory Manager" ldap://server.example.com config get nsslapd-maxbersize Enter password for cn=Directory Manager on ldap://server.example.com: nsslapd-maxbersize: 4194304
関連情報
- Directory Server 11 ドキュメントの nsslapd-maxbersize (最大メッセージサイズ)