Red Hat Summit3장. 코어 서버 구성 참조
이 장에서는 모든 코어(서버 관련) 속성에 대한 알파벳 참조를 제공합니다. 2.2.1.1절. “디렉터리 서버 구성 개요” Red Hat Directory Server 구성 파일에 대한 좋은 개요가 포함되어 있습니다.
3.1. 코어 서버 구성 속성 참조
이 섹션에는 코어 서버 기능과 관련된 구성 속성에 대한 참조 정보가 포함되어 있습니다. 서버 구성 변경에 대한 자세한 내용은 2.2.1.2절. “서버 구성 액세스 및 수정” 을 참조하십시오. 플러그인으로 구현된 서버 기능 목록은 4.1절. “서버 플러그인 기능 참조” 를 참조하십시오. 사용자 지정 서버 기능 구현에 대한 도움말을 보려면 Directory Server 지원에 문의하십시오.
dse.ldif 파일에 저장된 구성 정보는 다음 다이어그램에 표시된 대로 일반 구성 항목 cn=config 아래의 정보 트리로 구성됩니다.
그림 3.1. 구성 데이터 표시 디렉터리 정보 트리
이러한 구성 트리 노드의 대부분은 다음 섹션에서 다룹니다.
cn=plugins 노드는 4장. 플러그인 Implemented Server Functionality 참조 에서 다룹니다. 각 속성에 대한 설명에는 디렉터리 항목의 DN, 기본값, 유효한 값 범위, 사용 예와 같은 세부 정보가 포함되어 있습니다.
이 장에서 설명하는 일부 항목 및 속성은 제품의 향후 릴리스에서 변경될 수 있습니다.
3.1.1. cn=config
일반 구성 항목은 cn=config 항목에 저장됩니다. cn=config 항목은 nsslapdConfig 오브젝트 클래스의 인스턴스이며, 이를 통해 extensibleObject 오브젝트 클래스에서 상속됩니다.
3.1.1.1. nsslapd-accesslog(액세스 로그)
이 속성은 각 LDAP 액세스를 기록하는 데 사용되는 로그의 경로와 파일 이름을 지정합니다. 다음 정보는 기본적으로 로그 파일에 기록됩니다.
- 데이터베이스에 액세스한 클라이언트 시스템의 IP 주소(IPv4 또는 IPv6)입니다.
- 수행됨(예: 검색, 추가 및 수정).
- 액세스 결과(예: 반환된 항목 수 또는 오류 코드)
액세스 로깅을 해제하는 방법에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "서버 및 데이터베이스 활동 모니터링" 장을 참조하십시오.
액세스 로깅을 활성화하려면 이 속성에 유효한 경로 및 매개변수가 있어야 하며 nsslapd-accesslog-logging-enabled 구성 속성을 on 으로 전환해야 합니다. 이 표에는 두 구성 속성에 대해 가능한 네 가지 값 조합을 나열하고 그 결과는 액세스 로깅을 비활성화하거나 활성화하는 것입니다.
| 속성 | 현재의 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | On 빈 문자열 | 비활성화됨 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | On 파일 이름 | 활성화됨 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 빈 문자열 | 비활성화됨 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 파일 이름 | 비활성화됨 |
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 파일 이름입니다. |
| 기본값 | /var/log/dirsrv/slapd-instance/access |
| 구문 | DirectoryString |
| 예 | nsslapd-accesslog: /var/log/dirsrv/slapd-인스턴스/access |
3.1.1.2. nsslapd-accesslog-level (액세스 로그 수준)
이 속성은 액세스 로그에 기록되는 항목을 제어합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 0 - 액세스 로깅 없음 * 4 - 내부 액세스 작업을 위한 로깅 256 - 연결, 작업 및 결과에 대한 로깅 * 512 - 항목 및 추천에 대한 액세스를 위한 로깅
* 이러한 값을 함께 추가하여 정확한 유형의 로깅을 제공할 수 있습니다(예: 내부 액세스 작업, 항목 액세스 및 참조 로깅을 얻기 위해 |
| 기본값 | 256 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list (액세스 로그 파일 목록)
설정할 수 없는 이 읽기 전용 속성은 액세스 로그 교체에 사용되는 액세스 로그 파일 목록을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering (로그 버퍼링)
off 로 설정하면 서버는 모든 액세스 로그 항목을 디스크에 직접 씁니다. 버퍼링을 사용하면 성능에 영향을 주지 않고 부하가 많은 경우에도 서버에서 액세스 로깅을 사용할 수 있습니다. 그러나 디버깅할 때 로그 항목이 파일에 플러시될 때까지 기다리지 않고 작업과 결과를 즉시 확인하기 위해 버퍼링을 비활성화하는 것이 유용할 수 있습니다. 로그 버퍼링을 비활성화하면 고도로 로드된 서버의 성능에 심각한 영향을 미칠 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime (Access Log Expiration Time)
이 속성은 로그 파일이 삭제되기 전에 연결할 수 있는 최대 기간을 지정합니다. 이 속성은 단위 수만 제공합니다. 단위는 nsslapd-accesslog-logexpirationtimeunit 특성에서 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1에서 최대 32 비트 정수 값 (2147483647) 값이 -1 또는 0이면 로그가 만료되지 않습니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit (Access Log Expiration Time Unit)
이 속성은 nsslapd-accesslog-logexpirationtime 속성의 단위를 지정합니다. 서버에서 장치를 알 수 없는 경우 로그가 만료되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 월 | 주 | 일 |
| 기본값 | 월 |
| 구문 | DirectoryString |
| 예 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled (액세스 로그 사용 로깅)
각 데이터베이스 액세스를 기록하는 데 사용되는 로그의 경로 및 매개 변수를 지정하는 nsslapd-accesslog 특성과 함께만 accesslog 로깅을 비활성화하고 활성화합니다.
액세스 로깅을 활성화하려면 이 속성을 on 에서 로 전환해야 하며 nsslapd-accesslog 구성 속성에 유효한 path 및 매개 변수가 있어야 합니다. 이 표에는 두 구성 속성에 대해 가능한 네 가지 값 조합을 나열하고 그 결과는 액세스 로깅을 비활성화하거나 활성화하는 것입니다.
| 속성 | 현재의 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | On 빈 문자열 | 비활성화됨 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | On 파일 이름 | 활성화됨 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 빈 문자열 | 비활성화됨 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 파일 이름 | 비활성화됨 |
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace(액세스 로그 최대 디스크 공간)
이 속성은 액세스 로그가 사용할 수 있는 최대 디스크 공간 크기를 지정합니다. 이 값을 초과하면 가장 오래된 액세스 로그가 삭제됩니다.
최대 디스크 공간을 설정할 때 로그 파일 교체로 인해 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 Directory Server에서 유지 관리하는 세 가지 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 있으며 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 액세스 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32 비트 정수 값 (2147483647) 이 여기서 -1 값은 액세스 로그에 허용되는 디스크 공간이 무제한이라는 것을 의미합니다. |
| 기본값 | 500 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace (Access Log Minimum Free Disk Space)
이 속성은 허용되는 최소 디스크 공간을 메가바이트로 설정합니다. 사용 가능한 디스크 공간의 양이 이 속성에 지정된 값보다 작으면 이 속성을 충족하기 위해 충분한 디스크 공간을 확보할 때까지 가장 오래된 액세스 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled (Access Log Rotation Sync 사용)
이 속성은 액세스 로그 순환을 하루 중 특정 시간과 동기화할지 여부를 설정합니다. 이 방식으로 로그 순환을 동기화하면 매일 자정과 같이 하루 중 지정된 시간에 로그 파일을 생성할 수 있습니다. 이렇게 하면 로그 파일이 캘린더에 직접 매핑되므로 훨씬 쉽게 분석할 수 있습니다.
액세스 로그 순환이 time-of-day와 동기화되려면 nsslapd-accesslog-logrotationsynchour 및 nsslapd-accesslog-logrotationsyncmin 속성 값을 사용하여 이 속성을 활성화해야 합니다.
예를 들어 자정에 매일 로그 파일에 액세스하도록 하려면 해당 값을 on on으로 설정하여 이 속성을 활성화한 다음 nsslapd-accesslog-logrotationsynchour 및 nsslapd-accesslog-logrotationsyncmin 속성 값을 0 으로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-accesslog-logrotationsync-enabled: on |
3.1.1.11. nsslapd-accesslog-logrotationsynchour (Access Log Rotation Sync Hour)
이 속성은 액세스 로그 교체를 위한 요일을 설정합니다. 이 속성은 nsslapd-accesslog-logrotationsync-enabled 및 nsslapd-accesslog-logrotationsyncmin 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 23까지 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin (액세스 로그 순환 동기화 분)
이 속성은 액세스 로그 교체를 위한 1분을 설정합니다. 이 속성은 nsslapd-accesslog-logrotationsync-enabled 및 nsslapd-accesslog-logrotationsynchour 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 59까지 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime (Access Log Rotation Time)
이 속성은 액세스 로그 파일 순환 사이의 시간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(day, week, month 등)는 nsslapd-accesslog-logrotationtimeunit 특성에서 제공합니다.
Directory Server는 로그 크기에 관계없이 구성된 간격이 만료된 후 첫 번째 쓰기 작업에서 로그를 회전합니다.
로그가 무기한 증가하므로 성능상의 이유로 로그 교체를 지정하지 않는 것이 좋지만 두 가지 방법으로 지정할 수 있습니다. nsslapd-accesslog-maxlogsperdir 특성 값을 1 로 설정하거나 nsslapd-accesslog-logrotationtime 속성을 -1 로 설정합니다. 서버는 nsslapd-accesslog-maxlogsperdir 속성을 먼저 확인하고 이 속성 값이 1 보다 큰 경우 서버는 nsslapd-accesslog-logrotationtime 속성을 확인합니다. 자세한 내용은 3.1.1.16절. “nsslapd-accesslog-maxlogsperdir(액세스 로그 최대 로그 수)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)입니다. 여기서 -1 값은 로그 파일 순환 사이의 시간이 무제한이라는 것을 의미합니다. |
| 기본값 | 1 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit (Access Log Rotation Time Unit)
이 속성은 nsslapd-accesslog-logrotationtime 속성의 단위를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 월 | 주 | 일 | 시간 | 분 |
| 기본값 | 일 |
| 구문 | DirectoryString |
| 예 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize (Access Log 최대 로그 크기)
이 속성은 최대 액세스 로그 크기를 메가바이트로 설정합니다. 이 값에 도달하면 액세스 로그가 순환됩니다. 즉, 서버가 새 로그 파일에 로그 정보 쓰기를 시작합니다. nsslapd-accesslog-maxlogsperdir 속성이 1 로 설정된 경우 서버는 이 속성을 무시합니다.
최대 로그 크기를 설정할 때 로그 파일 교체로 인해 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 Directory Server에서 유지 관리하는 세 가지 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 있으며 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 액세스 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 로그 파일의 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir(액세스 로그 최대 로그 수)
이 속성은 액세스 로그가 저장된 디렉터리에 포함될 수 있는 총 액세스 로그 수를 설정합니다. 액세스 로그가 순환될 때마다 새 로그 파일이 생성됩니다. 액세스 로그 디렉터리에 포함된 파일 수가 이 속성에 저장된 값을 초과하면 로그 파일의 가장 오래된 버전이 삭제됩니다. 성능상의 이유로 Red Hat은 서버가 로그를 순환 하지 않고 무기한 증가하므로 이 값을 1 로 설정하지 않는 것이 좋습니다.
이 속성의 값이 1 보다 크면 nsslapd-accesslog-logrotationtime 특성을 확인하여 로그 순환이 지정되었는지 확인합니다. nsslapd-accesslog-logrotationtime 속성 값이 -1 인 경우 로그 교체가 없습니다. 자세한 내용은 3.1.1.13절. “nsslapd-accesslog-logrotationtime (Access Log Rotation Time)”를 참조하십시오.
nsslapd-accesslog-logminfreediskspace 및 nsslapd-accesslog-maxlogsize 에 설정된 값에 따라 실제 로그 수는 nsslapd-accesslog-maxlogsperdir 에서 구성하는 것보다 적을 수 있습니다. 예를 들어 nsslapd-accesslog-maxlogsperdir 이 기본값 (10 개)을 사용하고 nsslapd-accesslog-logminfreediskspace 를 500 MB로 설정하고 nsslapd-accesslog-maxlogsize 를 100 MB로 설정하면 Directory Server는 5 액세스 파일만 유지합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 10 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode (액세스 로그 파일 권한)
이 속성은 액세스 로그 파일을 생성할 액세스 모드 또는 파일 권한을 설정합니다. 유효한 값은 000 에서 777 까지의 모든 조합입니다(숫자 또는 절대 UNIX 파일 권한 미러링). 값은 3자리 숫자여야 하며 0 에서 7 까지의 숫자입니다.
-
0- 없음 -
1- 실행만 -
2- 쓰기 전용 -
3- 쓰기 및 실행 -
4- 읽기 전용 -
5- 읽기 및 실행 -
6- 읽기 및 쓰기 -
7- 읽기, 쓰기 및 실행
3자리 숫자에서 첫 번째 숫자는 소유자의 권한을 나타내며, 두 번째 숫자는 그룹의 권한을 나타내며, 세 번째 숫자는 모든 사람의 권한을 나타냅니다. 기본값을 변경할 때 000 은 로그에 대한 액세스를 허용하지 않으며 모든 사용자에게 쓰기 권한이 허용되면 누구나 로그를 덮어쓰거나 삭제할 수 있습니다.
새로 구성된 액세스 모드는 생성된 새 로그에만 영향을 미칩니다. 모드는 로그가 새 파일로 회전할 때 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 000 - 777 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
사용자가 바인딩 DN 또는 암호를 제공하지 않고 Directory Server에 연결을 시도하는 경우 익명 바인딩 입니다. 익명 바인딩은 사용자가 디렉터리에 먼저 인증할 필요가 없으므로 디렉터리의 전화 번호 또는 이메일 주소를 확인하는 것과 같은 일반적인 검색 및 읽기 작업을 단순화합니다.
그러나 익명 바인딩에는 위험이 있습니다. 중요한 정보에 대한 액세스를 제한하고 수정 및 삭제와 같은 작업을 허용하지 않으려면 적절한 ACI가 있어야 합니다. 또한 익명 바인딩은 서비스 거부 공격이나 악의적인 사용자가 서버에 액세스할 수 있도록 하는 데 사용할 수 있습니다.
익명 바인딩(off)을 비활성화하여 보안을 강화할 수 있습니다. 기본적으로 검색 및 읽기 작업에 (on) 익명 바인딩이 허용됩니다. 이를 통해 사용자 및 그룹 항목과 루트 DSE와 같은 구성 항목을 포함하는 일반 디렉터리 항목에 액세스할 수 있습니다. 세 번째 옵션인 rootdse 는 익명 검색 및 읽기 액세스를 허용하여 루트 DSE 자체를 검색하지만 다른 모든 디렉터리 항목에 대한 액세스 권한을 제한합니다.
필요한 경우 3.1.1.22절. “nsslapd-anonlimitsdn” 에 설명된 대로 nsslapd-anonlimitsdn 특성을 사용하여 익명 바인딩에 리소스 제한을 배치할 수 있습니다.
이 값에 대한 변경 사항은 서버를 다시 시작할 때까지 적용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | on | off | rootdse |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsslapd-allow-anonymous-access: on |
3.1.1.19. nsslapd-allow-hashed-passwords
이 매개변수는 미리 해시된 암호 검사를 비활성화합니다. 기본적으로 디렉터리 서버는 디렉터리 관리자 이외의 사용자가 미리 해시한 암호를 설정할 수 없습니다. Password Administrators 그룹에 추가할 때 다른 사용자에게 이 권한을 위임할 수 있습니다. 그러나 복제 파트너가 이미 미리 해시된 암호 검사를 제어하는 경우와 같이 일부 시나리오에서는 Directory Server에서 이 기능을 비활성화해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
인증되지 않은 바인딩은 사용자가 빈 암호를 제공하는 Directory Server에 대한 연결입니다. 기본 설정을 사용하여 Directory Server는 보안상의 이유로 이 시나리오에서 액세스를 거부합니다.
인증되지 않은 바인딩은 활성화하지 않는 것이 좋습니다. 이 인증 방법을 사용하면 사용자가 Directory Manager를 포함하여 모든 계정으로 암호를 제공하지 않고 바인딩할 수 있습니다. 바인딩 후 사용자는 바인딩에 사용되는 계정의 권한으로 모든 데이터에 액세스할 수 있습니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
기본적으로 루트 DSE는 SASL 라이브러리에서 지원하는 모든 메커니즘을 나열합니다. 그러나 일부 환경에서는 특정 환경만 선호됩니다. nsslapd-allowed-sasl-mechanisms 특성을 사용하면 정의된 일부 SASL 메커니즘만 활성화할 수 있습니다.
메커니즘 이름은 대문자, 숫자, 밑줄로 구성되어야 합니다. 각 메커니즘은 쉼표 또는 공백으로 구분할 수 있습니다.
EXTERNAL 메커니즘은 실제로 SASL 플러그인에서 사용하지 않습니다. 서버 내부에 있으며 주로 TLS 클라이언트 인증에 사용됩니다. 따라서 EXTERNAL 메커니즘을 제한하거나 제어할 수 없습니다. nsslapd-allowed-sasl-mechanisms 속성에 설정된 내용에 관계없이 지원되는 메커니즘 목록에 항상 표시됩니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 SASL 메커니즘 |
| 기본값 | none (모든 SASL 메커니즘 허용) |
| 구문 | DirectoryString |
| 예 | nsslapd-allowed-sasl-mechanisms: GSSAPI,>-<GEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
인증된 바인딩에 리소스 제한을 설정할 수 있습니다. 리소스 제한은 단일 작업에서 검색할 수 있는 항목 수(nsslapd-sizeLimit), 시간 제한(nsslapd-timelimit) 및 검색 가능한 기간(nsslapd-idletimeout) 및 검색할 수 있는 총 항목 수(nsslapd-lookthroughlimit)에 대한 제한을 설정할 수 있습니다. 이러한 리소스 제한을 통해 서비스 거부 공격이 디렉터리 리소스가 연결되고 전체 성능이 향상되는 것을 방지할 수 있습니다.
리소스 제한은 사용자 항목에 설정됩니다. 익명 바인딩에는 분명히 연결된 사용자 항목이 없습니다. 즉, 리소스 제한은 일반적으로 익명 작업에 적용되지 않습니다.
익명 바인딩에 대한 리소스 제한을 설정하려면 적절한 리소스 제한을 사용하여 템플릿 항목을 생성할 수 있습니다. 그러면 이 항목을 가리키는 nsslapd-anonlimitsdn 구성 속성을 추가하고 리소스 제한을 익명 바인딩에 적용할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
이 속성을 사용하면 속성 이름의 비표준 문자를 스키마 정의 속성의 "_"와 같이 이전 서버와 이전 버전과의 호환성을 위해 사용할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog (Audit Log)
이 속성은 각 데이터베이스의 변경 사항을 기록하는 데 사용되는 로그의 경로와 파일 이름을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 파일 이름 |
| 기본값 | /var/log/dirsrv/slapd-instance/audit |
| 구문 | DirectoryString |
| 예 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
감사 로깅을 활성화하려면 이 속성에 유효한 경로 및 매개변수가 있어야 하며 nsslapd-auditlog-logging-enabled 구성 속성을 on 으로 전환해야 합니다. 이 표에는 이러한 두 구성 속성에 대해 가능한 네 가지 값 조합과 감사 로깅 비활성화 또는 활성화와 관련된 결과가 나열되어 있습니다.
| dse.ldif의 속성 | 현재의 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | On 빈 문자열 | 비활성화됨 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | On 파일 이름 | 활성화됨 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 빈 문자열 | 비활성화됨 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 파일 이름 | 비활성화됨 |
3.1.1.25. nsslapd-auditlog-display-attrs
nsslapd-auditlog-display-attrs 특성을 사용하면 Directory Server가 감사 로그에 표시되는 속성을 설정하여 수정되는 항목에 대한 유용한 식별 정보를 제공할 수 있습니다. 감사 로그에 속성을 추가하면 항목에서 특정 속성의 현재 상태와 항목 업데이트 세부 정보를 확인할 수 있습니다.
다음 옵션 중 하나를 선택하여 로그에 속성을 표시할 수 있습니다.
- Directory Server가 수정하는 항목의 특정 속성을 표시하려면 특성 이름을 값으로 제공합니다.
- 둘 이상의 특성을 표시하려면 공백으로 구분된 속성 이름 목록을 값으로 제공합니다.
- 항목의 모든 속성을 표시하려면 별표(*)를 값으로 사용합니다.
Directory Server가 감사 로그에 표시되어야 하는 공백으로 구분된 속성 목록을 제공하거나 별표(*)를 값으로 사용하여 수정되는 항목의 모든 속성을 표시합니다.
예를 들어 감사 로그 출력에 cn 속성을 추가하려고 합니다. nsslapd-auditlog-display-attrs 속성을 cn 으로 설정하면 감사 로그에 다음 출력이 표시됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 특성 이름입니다. 감사 로그에 항목의 모든 속성을 표시하려면 별표(*)를 사용합니다. |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
감사 로그 파일 목록을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime (Audit Log Expiration Time)
이 속성은 로그 파일이 삭제되기 전에 로그 파일을 삭제할 수 있는 최대 기간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(day, week, month 등)는 nsslapd-auditlog-logexpirationtimeunit 특성에서 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1에서 최대 32 비트 정수 값 (2147483647) 값이 -1 또는 0이면 로그가 만료되지 않습니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit (Audit Log Expiration Time Unit)
이 속성은 nsslapd-auditlog-logexpirationtime 속성의 단위를 설정합니다. 서버에서 장치를 알 수 없는 경우 로그가 만료되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 월 | 주 | 일 |
| 기본값 | 주 |
| 구문 | DirectoryString |
| 예 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled (Audit Log Enable Logging)
감사 로깅을 켜거나 끕니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-auditlog-logging-enabled: off |
감사 로깅을 활성화하려면 이 속성에 유효한 경로 및 매개변수가 있어야 하며 nsslapd-auditlog-logging-enabled 구성 속성을 on 으로 전환해야 합니다. 이 표에는 이러한 두 구성 속성에 대해 가능한 네 가지 값 조합과 감사 로깅 비활성화 또는 활성화와 관련된 결과가 나열되어 있습니다.
| 속성 | 현재의 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | On 빈 문자열 | 비활성화됨 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | On 파일 이름 | 활성화됨 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 빈 문자열 | 비활성화됨 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 파일 이름 | 비활성화됨 |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace (Audit Log 최대 디스크 공간)
이 속성은 감사 로그에서 사용할 수 있는 최대 디스크 공간 크기를 설정합니다. 이 값을 초과하면 가장 오래된 감사 로그가 삭제됩니다.
최대 디스크 공간을 설정할 때 로그 파일 교체로 인해 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 Directory Server에서 유지 관리하는 세 가지 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 있으며 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 감사 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)입니다. 여기서 -1 값은 감사 로그에 허용되는 디스크 공간이 크기가 무제한임을 의미합니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreediskspace (Audit Log Minimum Free Disk Space)
이 속성은 최소 허용 가능한 디스크 공간을 메가바이트로 설정합니다. 사용 가능한 디스크 공간의 양이 이 속성에 지정된 값보다 작으면 이 속성을 충족하기 위해 디스크 공간을 확보할 수 있을 때까지 가장 오래된 감사 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1(제한되지 않음) | 1에서 최대 32비트 정수 값(2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled (Audit Log Rotation Sync 사용)
이 속성은 감사 로그 순환을 하루 중 특정 시간과 동기화할지 여부를 설정합니다. 이 방식으로 로그 순환을 동기화하면 매일 자정과 같이 하루 중 지정된 시간에 로그 파일을 생성할 수 있습니다. 이렇게 하면 로그 파일이 캘린더에 직접 매핑되므로 훨씬 쉽게 분석할 수 있습니다.
감사 로그 순환이 time-of-day와 동기화되려면 nsslapd-auditlog-logrotationsynchour 및 nsslapd-auditlog-logrotationsyncmin 속성 값을 사용하여 이 속성을 활성화해야 합니다.
예를 들어 매일 자정에 감사 로그 파일을 교체하려면 값을 on 으로 설정하여 이 속성을 활성화한 다음 nsslapd-auditlog-logrotationsynchour 및 nsslapd-auditlog-logrotationsyncmin 속성 값을 0 으로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-auditlog-logrotationsync-enabled: on |
3.1.1.33. nsslapd-auditlog-logrotationsynchour (Audit Log Rotation Sync Hour)
이 속성은 감사 로그 교체의 시간을 설정합니다. 이 속성은 nsslapd-auditlog-logrotationsync-enabled 및 nsslapd-auditlog-logrotationsyncmin 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 23까지 |
| 기본값 |
none ( |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin (Audit Log Rotation Sync minute)
이 속성은 감사 로그 교체를 위한 1분을 설정합니다. 이 속성은 nsslapd-auditlog-logrotationsync-enabled 및 nsslapd-auditlog-logrotationsynchour 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 59까지 |
| 기본값 |
none ( |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)
이 속성은 감사 로그 파일 교체 사이의 시간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(day, week, month 등)는 nsslapd-auditlog-logrotationtimeunit 특성에서 제공합니다. nsslapd-auditlog-maxlogsperdir 속성이 1 로 설정된 경우 서버는 이 속성을 무시합니다.
Directory Server는 로그 크기에 관계없이 구성된 간격이 만료된 후 첫 번째 쓰기 작업에서 로그를 회전합니다.
로그 교체가 무기한 증가함에 따라 성능상의 이유로 로그 교체를 지정하지 않는 것이 좋지만 두 가지 방법으로 지정할 수 있습니다. nsslapd-auditlog-maxlogsperdir 특성 값을 1 로 설정하거나 nsslapd-auditlog-logrotationtime 속성을 -1 로 설정합니다. 서버는 nsslapd-auditlog-maxlogsperdir 속성을 먼저 확인하고 이 속성 값이 1 보다 큰 경우 서버에서 nsslapd-auditlog-logrotationtime 속성을 확인합니다. 자세한 내용은 3.1.1.38절. “nsslapd-auditlog-maxlogsperdir (Audit Log 최대 로그 파일 수)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)입니다. 여기서 -1 값은 감사 로그 파일 순환 사이의 시간이 무제한이라는 것을 의미합니다. |
| 기본값 | 1 |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit (Audit Log Rotation Time Unit)
이 속성은 nsslapd-auditlog-logrotationtime 속성의 단위를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 월 | 주 | 일 | 시간 | 분 |
| 기본값 | 주 |
| 구문 | DirectoryString |
| 예 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize (Audit Log 최대 로그 크기)
이 속성은 최대 감사 로그 크기를 메가바이트로 설정합니다. 이 값에 도달하면 감사 로그가 순환됩니다. 즉, 서버가 새 로그 파일에 로그 정보 쓰기를 시작합니다. nsslapd-auditlog-maxlogsperdir 이 1 이면 서버는 이 속성을 무시합니다.
최대 로그 크기를 설정할 때 로그 파일 교체로 인해 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 Directory Server에서 유지 관리하는 세 가지 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 있으며 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 감사 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 로그 파일의 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir (Audit Log 최대 로그 파일 수)
이 속성은 감사 로그가 저장된 디렉터리에 포함될 수 있는 총 감사 로그 수를 설정합니다. 감사 로그가 순환될 때마다 새 로그 파일이 생성됩니다. 감사 로그 디렉터리에 포함된 파일 수가 이 속성에 저장된 값을 초과하면 로그 파일의 가장 오래된 버전이 삭제됩니다. 기본값은 1 log입니다. 이 기본값을 수락하면 서버는 로그를 순환하지 않으며 무기한 증가합니다.
이 속성의 값이 1 보다 크면 nsslapd-auditlog-logrotationtime 특성을 확인하여 로그 순환이 지정되었는지 확인합니다. nsslapd-auditlog-logrotationtime 속성 값이 -1 인 경우 로그 교체가 없습니다. 자세한 내용은 3.1.1.35절. “nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 1 |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode (Audit Log File Permission)
이 속성은 감사 로그 파일을 생성하는 액세스 모드 또는 파일 권한을 설정합니다. 유효한 값은 번호가 매겨진 또는 절대 UNIX 파일 권한이 미러되므로 000 에서 777 의 조합입니다. 값은 3자리 숫자의 조합이어야 하며 숫자 0 에서 7 까지 다양합니다.
- 0 - 없음
- 1 - 실행만
- 2 - 쓰기 전용
- 3 - 쓰기 및 실행
- 4 - 읽기 전용
- 5 - 읽기 및 실행
- 6 - 읽기 및 쓰기
- 7 - 읽기, 쓰기 및 실행
3자리 숫자에서 첫 번째 숫자는 소유자의 권한을 나타내며, 두 번째 숫자는 그룹의 권한을 나타내며, 세 번째 숫자는 모든 사람의 권한을 나타냅니다. 기본값을 변경할 때 000 은 로그에 대한 액세스를 허용하지 않으며 모든 사용자에게 쓰기 권한이 허용되면 누구나 로그를 덮어쓰거나 삭제할 수 있습니다.
새로 구성된 액세스 모드는 생성된 새 로그에만 영향을 미칩니다. 모드는 로그가 새 파일로 회전할 때 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 000 - 777 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog (Audit Fail Log)
이 속성은 실패한 LDAP 수정 사항을 기록하는 데 사용되는 로그의 경로와 파일 이름을 설정합니다.
nsslapd-auditfaillog-logging-enabled 가 활성화되고 nsslapd-auditfaillog 가 설정되지 않은 경우 감사 실패 이벤트가 nsslapd-auditlog 에 지정된 파일에 기록됩니다.
nsslapd-auditfaillog 매개변수를 nsslapd-auditlog 와 동일한 경로로 설정하면 둘 다 동일한 파일에 기록됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 파일 이름 |
| 기본값 | /var/log/dirsrv/slapd-instance/audit |
| 구문 | DirectoryString |
| 예 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
감사 실패 로그를 활성화하려면 이 속성에 유효한 경로가 있어야 하며 nsslapd-auditfaillog-logging-enabled 속성을 on으로 설정해야 합니다.
3.1.1.41. nsslapd-auditfaillog-list
감사 실패 로그 파일 목록을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime (Audit Fail Log Expiration Time)
이 속성은 로그 파일의 최대 사용 기간을 제거하기 전에 설정합니다. 단위 수를 제공합니다. nsslapd-auditfaillog-logexpirationtimeunit 속성에서 단위(예: day, week, month 등)를 지정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1에서 최대 32 비트 정수 값 (2147483647) 값이 -1 또는 0이면 로그가 만료되지 않습니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit (Audit Fail Log Expiration Time Unit)
이 속성은 nsslapd-auditfaillog-logexpirationtime 속성 단위를 설정합니다. 서버에서 장치를 알 수 없는 경우 로그가 만료되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 월 | 주 | 일 |
| 기본값 | 주 |
| 구문 | DirectoryString |
| 예 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-logging-enabled (Audit Fail Log Enable Logging)
실패한 LDAP 수정 사항의 로깅을 켜거나 끕니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail 로그 최대 디스크 공간)
이 속성은 감사 실패 로그에서 사용할 수 있는 최대 디스크 공간 크기를 설정합니다. 크기가 제한을 초과하면 감사 실패 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)입니다. 여기서 -1 값은 감사 실패 로그에 허용되는 디스크 공간이 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace (Audit Fail Log Minimum Free Disk Space)
이 속성은 최소 허용 가능한 디스크 공간을 메가바이트로 설정합니다. 디스크 여유 공간이 지정된 값보다 작으면 디스크 공간을 확보할 때까지 가장 오래된 감사 실패 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1(제한되지 않음) | 1에서 최대 32비트 정수 값(2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled (Audit Fail Log Rotation Sync 사용)
이 속성은 감사 실패 로그 순환이 하루 중 특정 시간과 동기화되는지 여부를 설정합니다. 이 방식으로 로그 순환을 동기화하면 매일 자정과 같이 하루 중 지정된 시간에 로그 파일을 생성할 수 있습니다. 이렇게 하면 로그 파일이 캘린더에 직접 매핑되므로 훨씬 쉽게 분석할 수 있습니다.
감사 실패 로그 교체를 time-of-day와 동기화하려면 nsslapd-auditfaillog-logrotationsynchour 및 nsslapd-auditfaillog-logrotationsyncmin 속성 값을 사용하여 이 속성을 활성화해야 합니다.
예를 들어 매일 자정에 감사 실패 로그 파일을 교체하려면 해당 값을 on 으로 설정하여 이 속성을 활성화한 다음 nsslapd-auditfaillog-logrotationsynchour 및 nsslapd-auditfaillog-logrotationsyncmin 속성 값을 0 으로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-auditfaillog-logrotationsync-enabled: on |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour (Audit Fail Log Rotation Time)
이 속성은 감사 실패 로그가 교체되는 날의 시간을 설정합니다. 이 속성은 nsslapd-auditfaillog-logrotationsync-enabled 및 nsslapd-auditfaillog-logrotationsyncmin 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 23까지 |
| 기본값 |
none ( |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin (Audit Fail Log Rotation Sync minute)
이 속성은 감사 실패 로그가 교체되는 시간을 설정합니다. 이 속성은 nsslapd-auditfaillog-logrotationsync-enabled 및 nsslapd-auditfaillog-logrotationsynchour 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 59까지 |
| 기본값 |
none ( |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)
이 속성은 감사 실패 로그 파일 순환 사이의 시간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(day, week, month 등)는 nsslapd-auditfaillog-logrotationtimeunit 특성에서 제공합니다. nsslapd-auditfaillog-maxlogsperdir 속성이 1 로 설정된 경우 서버는 이 속성을 무시합니다.
Directory Server는 로그 크기에 관계없이 구성된 간격이 만료된 후 첫 번째 쓰기 작업에서 로그를 회전합니다.
로그 교체가 무기한 증가함에 따라 성능상의 이유로 로그 교체를 지정하지 않는 것이 좋지만 두 가지 방법으로 지정할 수 있습니다. nsslapd-auditfaillog-maxlogsperdir 특성 값을 1 로 설정하거나 nsslapd-auditfaillog-logrotationtime 속성을 -1 로 설정합니다. 서버는 nsslapd-auditfaillog-maxlogsperdir 속성을 먼저 확인하고, 이 속성 값이 1 보다 큰 경우 서버에서 nsslapd-auditfaillog-logrotationtime 속성을 확인합니다. 자세한 내용은 3.1.1.53절. “nsslapd-auditfaillog-maxlogsperdir (Audit Fail 로그 최대 로그 수)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)입니다. 여기서 -1 값은 감사 실패 로그 파일 순환 사이의 시간을 무제한으로 나타냅니다. |
| 기본값 | 1 |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit (Audit Fail Log Rotation Time Unit)
이 속성은 nsslapd-auditfaillog-logrotationtime 속성의 단위를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 월 | 주 | 일 | 시간 | 분 |
| 기본값 | 주 |
| 구문 | DirectoryString |
| 예 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize (Audit Fail 로그 최대 로그 크기)
이 속성은 최대 감사 실패 로그 크기를 메가바이트로 설정합니다. 이 값에 도달하면 감사 실패 로그가 순환됩니다. 즉, 서버가 새 로그 파일에 로그 정보 쓰기를 시작합니다. nsslapd-auditfaillog-maxlogsperdir 매개변수가 1 로 설정된 경우 서버는 이 속성을 무시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 로그 파일의 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir (Audit Fail 로그 최대 로그 수)
이 속성은 감사 로그가 저장된 디렉터리에 포함될 수 있는 총 감사 실패 로그 수를 설정합니다. 감사 실패 로그가 순환될 때마다 새 로그 파일이 생성됩니다. 감사 로그 디렉터리에 포함된 파일 수가 이 속성에 저장된 값을 초과하면 로그 파일의 가장 오래된 버전이 삭제됩니다. 기본값은 1 log입니다. 이 기본값을 수락하면 서버는 로그를 순환하지 않으며 무기한 증가합니다.
이 속성의 값이 1 보다 크면 nsslapd-auditfaillog-logrotationtime 특성을 확인하여 로그 순환이 지정되었는지 확인합니다. nsslapd-auditfaillog-logrotationtime 속성 값이 -1 인 경우 로그 교체가 없습니다. 자세한 내용은 3.1.1.50절. “nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 1 |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode (Audit Fail Log File Permission)
이 속성은 감사 실패 로그 파일을 생성할 액세스 모드 또는 파일 권한을 설정합니다. 유효한 값은 번호가 매겨진 또는 절대 UNIX 파일 권한이 미러되므로 000 에서 777 의 조합입니다. 값은 3자리 숫자의 조합이어야 하며 숫자 0 에서 7 까지 다양합니다.
- 0 - 없음
- 1 - 실행만
- 2 - 쓰기 전용
- 3 - 쓰기 및 실행
- 4 - 읽기 전용
- 5 - 읽기 및 실행
- 6 - 읽기 및 쓰기
- 7 - 읽기, 쓰기 및 실행
3자리 숫자에서 첫 번째 숫자는 소유자의 권한을 나타내며, 두 번째 숫자는 그룹의 권한을 나타내며, 세 번째 숫자는 모든 사람의 권한을 나타냅니다. 기본값을 변경할 때 000 은 로그에 대한 액세스를 허용하지 않으며 모든 사용자에게 쓰기 권한이 허용되면 누구나 로그를 덮어쓰거나 삭제할 수 있습니다.
새로 구성된 액세스 모드는 생성된 새 로그에만 영향을 미칩니다. 모드는 로그가 새 파일로 회전할 때 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 000 - 777 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir (Default Backup Directory)
이 매개변수는 기본 백업 디렉터리의 경로를 설정합니다. Directory Server 사용자는 구성된 디렉터리에 쓰기 권한이 있어야 합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 로컬 디렉터리 경로입니다. |
| 기본값 | /var/lib/dirsrv/slapd-instance/bak |
| 구문 | DirectoryString |
| 예 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir(인증서 및 키 데이터베이스 디렉터리)
이 매개 변수는 Directory Server가 인스턴스의 NSS(Network Security Services) 데이터베이스를 저장하는 데 사용하는 디렉터리의 전체 경로를 정의합니다. 이 데이터베이스에는 인스턴스의 개인 키와 인증서가 포함되어 있습니다.
대체로 디렉터리 서버는 개인 키와 인증서를 이 디렉터리에 추출합니다. 서버가 개인 네임스페이스의 /tmp/ 디렉터리에 추출할 수 없는 경우입니다. 개인 네임 스페이스에 대한 자세한 내용은 systemd.exec(5) 도움말 페이지의 PrivateTmp 매개변수 설명을 참조하십시오.
nsslapd-certdir 에 지정된 디렉터리는 서버의 사용자 ID가 소유해야 하며 이 사용자 ID만 이 디렉터리에 읽기-쓰기 권한이 있어야 합니다. 보안상의 이유로 다른 사용자는 이 디렉터리를 읽거나 쓸 수 있는 권한이 없어야 합니다.
이 속성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 절대 경로 |
| 기본값 | /etc/dirsrv/slapd-instance_name/ |
| 구문 | DirectoryString |
| 예 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn (Certificate Map Search Base)
이 속성은 /etc/dirsrv/slapd-instance_name/certmap.conf 파일에 구성된 보안 하위 시스템 인증서 매핑의 제한을 방지하기 위해 TLS 인증서를 사용하여 클라이언트 인증을 수행할 때 사용할 수 있습니다. 이 파일의 구성에 따라 루트 DN을 기반으로 하는 디렉터리 하위 트리 검색을 사용하여 인증서 매핑을 수행할 수 있습니다. 검색이 루트 DN을 기반으로 하는 경우 nsslapd-certmap-basedn 속성은 검색을 강제 루트 이외의 항목을 기반으로 할 수 있습니다. 이 속성의 유효한 값은 인증서 매핑에 사용할 접미사 또는 하위 트리의 DN입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
이 읽기 전용 속성은 구성 DN입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 구성 DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
이 매개변수를 사용하면 CN 값 내에서 DN을 활성화할 수 있습니다.
Directory Server DN 노멀라이저는 RFC4514 를 따르고 RDN 속성 유형이 DN 구문을 기반으로 하지 않은 경우 공백을 유지합니다. 그러나 Directory Server의 구성 항목은 cn 특성을 사용하여 DN 값을 저장하는 경우가 있습니다. 예를 들어 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config, cn 은 DN 구문에 따라 정규화해야 합니다.
이 구성이 필요한 경우 nsslapd-cn-uses-dn-syntax-in-dns 매개변수를 활성화합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer
이 속성은 연결 버퍼링 동작을 설정합니다. 가능한 값은 다음과 같습니다.
-
0: 버퍼링을 비활성화합니다. PDU(Single Protocol Data Units)만 한 번에 읽습니다. -
1: 일반 고정 크기LDAP_SOCKET_IO_BUFFER_SIZE가512바이트입니다. -
2: 조정 가능한 버퍼 크기입니다.
값 2 는 클라이언트가 대량의 데이터를 한 번에 보내는 경우 더 나은 성능을 제공합니다. 예를 들어 대규모 추가 및 수정 작업의 경우 또는 복제 중에와 같은 단일 연결을 통해 여러 비동기 요청이 수신되는 경우입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 0 | 1 | 2 |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
이 옵션을 사용하면 SASL NOCANON 플래그를 활성화하거나 비활성화할 수 있습니다. 비활성화는 발신 연결에 대한 DNS 역방향 항목을 찾는 것을 피합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
이 특성은 서버에서 지원하는 총 연결 수를 결정하는 연결 테이블 크기를 설정합니다.
Directory Server가 연결 슬롯이 없기 때문에 연결을 거부하면 이 속성의 값을 늘립니다. 이 경우 Directory Server의 오류 로그 파일은 새 연결을 수신 대기하지 않음 메시지를 기록합니다(다음으로 많은 fd가 열려 있음).
열린 파일 수와 프로세스당 열려 있는 파일의 수에 대한 운영 체제 제한을 늘려야 할 수 있으며 Directory Server를 시작하는 쉘의 열린 파일( ) 수에 대한 ulimit를 늘려야 할 수 있습니다.
ulimit -n
연결 테이블의 크기는 nsslapd-maxdescriptor. 자세한 내용은 3.1.1.119절. “nsslapd-maxdescriptors (최대 파일 설명자)”를 참조하십시오.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 운영 체제에 따라 다릅니다. |
| 기본값 |
Directory Server 프로세스에서 열 수 있는 최대 파일 수입니다. |
| 구문 | 정수 |
| 예제 | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters 특성은 Directory Server 데이터베이스 및 서버 성능 카운터를 활성화하고 비활성화합니다.
더 큰 카운터를 추적하여 성능 영향이 있을 수 있습니다. 64비트 정수를 카운터로 끄면 장기 통계 추적에 부정적인 영향을 미치지만 성능을 최소화할 수 있습니다.
이 매개변수는 기본적으로 활성화되어 있습니다. 카운터를 비활성화하려면 Directory Server를 중지하고, dse.ldif 파일을 직접 편집하고 서버를 다시 시작합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
이 속성은 사용 가능한 경우 변경 시퀀스 번호(CSN)가 액세스 로그에 기록되는지 여부를 설정합니다. 기본적으로 CSN 로깅이 설정되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
이 속성은 구성된 모든 이름 지정 컨텍스트, 기본적으로 검색 기반으로 사용해야 하는 모든 이름 지정 컨텍스트를 제공합니다. 이 값은 기본NamingContext 속성으로 루트 DSE에 복사되므로 클라이언트가 루트 DSE를 쿼리하여 컨텍스트를 가져온 다음 적절한 기준으로 검색을 시작할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 root 접미사 DN |
| 기본값 | 기본 사용자 접미사 |
| 구문 | DN |
| 예제 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
이 속성을 사용하면 10초마다 10초마다 실행되는 스레드를 사용하여 디스크에서 사용 가능한 디스크 공간을 확인하거나 Directory Server 데이터베이스가 실행 중인 위치를 마운트할 수 있습니다. 사용 가능한 디스크 공간이 구성된 임계값 아래로 떨어지면 서버는 로깅 수준을 줄이고 액세스 또는 감사 로그를 비활성화하고 순환된 로그를 삭제합니다. 사용 가능한 공간을 확보하지 않으면 서버는 정상적으로 종료됩니다(Wanring 및 유예 기간 후).
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
3.1.1.70절. “nsslapd-disk-monitoring-threshold” 에 설정된 디스크 공간 제한의 절반에 도달한 후 서버를 종료하기 전에 대기하는 유예 기간을 설정합니다. 이렇게 하면 관리자가 디스크를 정리하고 종료를 방지할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 정수(분 단위 값 설정) |
| 기본값 | 60 |
| 구문 | 정수 |
| 예제 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
로그 디렉터리가 디스크 공간 제한에서 설정된 halfway 포인트를 통과하는 경우 서버 종료 여부를 설정합니다. 3.1.1.70절. “nsslapd-disk-monitoring-threshold”.
이 기능을 활성화하면 서버가 디스크 사용량을 줄이는 방법으로 로깅이 비활성화되고 순환된 로그가 삭제되지 않습니다. 서버는 단순히 종료 프로세스를 진행합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
사용 가능한 디스크 공간이 nsslapd-disk-monitoring-threshold 매개변수에 설정된 값의 절반에 도달하면 Directory Server가 nsslapd-disk-monitoring-grace-period 에 설정된 유예 기간 후에 인스턴스를 종료합니다. 그러나 인스턴스가 다운되기 전에 디스크가 공간이 부족하면 데이터가 손상될 수 있습니다. 이 문제를 방지하려면 nsslapd-disk-monitoring-readonly-on-threshold 매개변수를 활성화하면 Directory Server에서 임계값에 도달하면 인스턴스를 읽기 전용 모드로 설정합니다.
이 설정을 사용하면 사용 가능한 디스크 공간이 nsslapd-disk-monitoring-threshold 에 구성된 임계값의 절반 미만인 경우 Directory Server가 시작되지 않습니다.
이 특성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
서버에 사용 가능한 디스크 공간이 충분한지 여부를 평가하는 데 사용할 임계값(바이트)을 설정합니다. 공간이 이 임계값의 절반에 도달하면 서버는 종료 프로세스를 시작합니다.
예를 들어 임계값이 2MB(기본값)인 경우 사용 가능한 디스크 공간이 1MB에 도달하면 서버가 종료되기 시작합니다.
기본적으로 임계값은 Directory Server 인스턴스에 대한 구성, 트랜잭션 및 데이터베이스 디렉터리에서 사용되는 디스크 공간에 백으로 평가됩니다. 3.1.1.68절. “nsslapd-disk-monitoring-logging-critical” 속성이 활성화된 경우 로그 디렉터리가 평가에 포함됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | * 0 32비트 시스템의 최대 32비트 정수 값 (2147483647) * 64-bit 시스템에서 최대 64비트 정수 값(9223372036854775807)으로 |
| 기본값 | 2000000 (2MB) |
| 구문 | DirectoryString |
| 예제 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
3.1.1.168절. “nsslapd-syntaxcheck” 속성을 사용하면 서버에서 새 또는 수정된 속성 값이 해당 속성의 필수 구문과 일치하는지 확인할 수 있습니다.
그러나 DN의 구문 규칙은 점점 더 엄격하게 증가했습니다. RFC 4514 에서 DN 구문 규칙을 적용하려고 하면 이전 구문 정의를 사용하여 많은 서버가 중단될 수 있습니다. 기본적으로 nsslapd-syntaxcheck 는 RFC 1779 또는 RFC 2253 을 사용하여 DN을 검증합니다.
nsslapd-dn-validate-strict 속성은 RFC 4514 의 섹션 3에 따라 DN에 대해 엄격한 구문 검증을 명시적으로 활성화합니다. 이 속성이 off (기본값)로 설정된 경우 서버는 구문 위반을 확인하기 전에 값을 정규화합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
Directory Server의 4.x 버전과 호환되는 cn=schema 의 스키마를 만듭니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server turbo 모드는 작업자 스레드가 연결에 전용되고 해당 연결에서 들어오는 작업을 지속적으로 읽을 수 있는 기능입니다. 이렇게 하면 활성 연결에서 성능이 향상될 수 있으며 이 기능은 기본적으로 활성화되어 있습니다.
작업자 스레드는 서버에서 수신한 LDAP 작업을 처리하고 있습니다. 작업자 스레드 수는 nsslapd-threadnumber 매개변수에 정의되어 있습니다. 5초마다 각 작업자 스레드는 현재 연결의 활동 수준이 설정된 모든 연결 중에서 가장 높은 수준인지 여부를 평가합니다. Directory Server는 마지막 점검 이후 시작된 작업 수로 활동을 측정하고 현재 연결의 활동이 가장 높은 경우 터보 모드에서 작업자 스레드를 전환합니다.
1초 이상 바인딩 작업에 대한 긴 실행시간(예: 로그 파일의 값)이 발생하면 turbo 모드를 비활성화하면 성능이 향상될 수 있습니다. 그러나 경우에 따라 긴 바인딩 시간은 네트워킹 또는 하드웨어 문제의 증상입니다. 이러한 상황에서는 turbo 모드를 비활성화하면 성능이 향상되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
단순 바인딩 중에 Directory Server는 바인딩 작업 특성으로 인해 일반 텍스트 암호에 액세스할 수 있습니다. nsslapd-enable-upgrade-hash 매개변수가 활성화되어 사용자가 인증되면 Directory Server는 사용자의 userPassword 속성이 passwordStorageScheme 속성에 설정된 해싱 알고리즘 세트를 사용하는지 확인합니다. 알고리즘이 다르면 서버는 passwordStorageScheme 의 알고리즘을 사용하여 일반 텍스트 암호를 해시하고 사용자의 userPassword 특성 값을 업데이트합니다.
예를 들어 약한 알고리즘을 사용하여 해시된 암호를 사용하여 사용자 항목을 가져오는 경우 서버는 기본적으로 PBKDF2_SHA256 인 passwordStorageScheme 에서 알고리즘 세트를 사용하여 사용자의 첫 번째 로그인 시 암호를 다시 확인합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc (Enable Superior Object Class Enquoting)
이 속성은 더 이상 사용되지 않으며 이후 버전의 Directory Server에서 제거됩니다.
이 속성은 cn=schema 항목에 포함된 objectclass 속성의 인용이 인터넷 초안 RFC 2252에 의해 지정된 인용을 준수하는지 여부를 제어합니다. 기본적으로 Directory Server는 이 값을 인용하지 않아야 함을 나타내는 RFC 2252를 따릅니다. 매우 오래된 클라이언트만 이 값을 on 으로 설정해야 하므로 꺼 주십시오.
이 속성을 켜거나 해제해도 Directory Server 콘솔에는 영향을 미치지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global 매개변수는 USN 플러그인이 모든 백엔드 데이터베이스 또는 각 데이터베이스에 개별적으로 고유한 업데이트 시퀀스 번호(USN)를 할당하는지 정의합니다. 모든 백엔드 데이터베이스에 대한 고유 USN의 경우 이 매개 변수를 의 로 설정합니다.
자세한 내용은 6.8절. “entryusn”의 내용을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
항목 업데이트 시퀀스 번호(USN)는 항목을 한 서버에서 내보내거나 복제용 데이터베이스를 초기화할 시기를 포함하여 다른 서버로 가져올 때 유지되지 않습니다. 기본적으로 가져온 항목의 USN 항목은 0으로 설정됩니다.
nsslapd-entryusn-import-initval 을 사용하여 USNs 항목에 대해 다른 초기 값을 구성할 수 있습니다. 이렇게 하면 가져온 모든 항목에 사용되는 시작 USN이 설정됩니다.
nsslapd-entryusn-import-initval 에 대해 가능한 값은 두 가지가 있습니다.
- 가져온 모든 항목에 사용되는 명시적 시작 번호입니다.An integer, which is the explicit start number used for every imported entry.
- 다음. 즉, 가져온 모든 항목은 가져오기 작업 전 서버에 가장 높은 항목 USN 값을 사용하고 하나씩 증가했음을 의미합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 임의의 정수 | 다음 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog (오류 로그)
이 속성은 Directory Server에서 생성된 오류 메시지를 기록하는 데 사용되는 로그의 경로와 파일 이름을 설정합니다. 이러한 메시지에는 오류 조건을 설명할 수 있지만, 다음과 같은 정보 조건이 더 자주 포함됩니다.
- 서버 시작 및 종료 시간.
- 서버에서 사용하는 포트 번호입니다.
이 로그에는 로그 수준 특성의 현재 설정에 따라 다른 양의 정보가 포함되어 있습니다. 자세한 내용은 3.1.1.79절. “nsslapd-errorlog-level (오류 로그 수준)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 파일 이름 |
| 기본값 | /var/log/dirsrv/slapd-instance/errors |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
오류 로깅을 활성화하려면 이 속성에 유효한 경로와 파일 이름이 있어야 하며 nsslapd-errorlog-logging-enabled 구성 속성을 켜야 합니다. 이 표에는 이러한 두 구성 속성에 대한 값의 네 가지 가능한 조합과 오류 로깅을 비활성화하거나 활성화하는 면에서 결과가 나와 있습니다.
| dse.ldif의 속성 | 값 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | On 빈 문자열 | disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | On filename | enabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 빈 문자열 | disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | disabled |
3.1.1.79. nsslapd-errorlog-level (오류 로그 수준)
이 특성은 Directory Server에 대한 로깅 수준을 설정합니다. 로그 수준은 additive입니다. 즉, 값을 3 으로 지정하면 수준 1 과 2 가 모두 포함됩니다.
nsslapd-errorlog-level 의 기본값은 16384 입니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | * 1 - 함수 호출을 추적합니다. 서버가 들어오고 함수를 종료할 때 메시지를 기록합니다. * 2 - 패킷 처리 디버깅. 4 - 대규모 추적 출력 디버깅입니다. * 8 - 연결 관리 * 16 - 전송/받기된 패킷을 인쇄합니다. * 32 - 검색 필터 처리 * 64 - 구성 파일 처리. * 128 - 액세스 제어 목록 처리. 1024 - 쉘 데이터베이스와의 통신 로그입니다. * 2048 - 로그 항목 구문 분석 디버깅입니다. * 4096 - 하우스키핑 스레드 디버깅. * 8192 - 복제 디버깅. 16384 - 중요한 오류 및 오류 로그에 표시되는 기타 메시지에 사용되는 기본 로깅(예: 서버 시작 메시지)입니다. 이 수준의 메시지는 로그 수준 설정과 관계없이 항상 오류 로그에 포함됩니다. *32768 - 데이터베이스 캐시 디버깅.
* 65536 - 서버 플러그인 디버깅. 서버 플러그인에서
* 262144 - 액세스 제어 요약 정보, 레벨 * 524288 - LMDB 데이터베이스 디버깅. |
| 기본값 | 16384 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
이 읽기 전용 속성은 오류 로그 파일 목록을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime (오류 로그 만료 시간)
이 속성은 로그 파일이 삭제되기 전에 도달할 수 있는 최대 기간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(일, 주, 월 등)는 nsslapd-errorlog-logexpirationtimeunit 속성에서 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | - 최대 32 비트 정수 값 (2147483647) 값이 -1 또는 0이면 로그가 만료되지 않습니다.A value of -1 or 0 means that the log never expires. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit (오류 로그 만료 시간 단위)
이 속성은 nsslapd-errorlog-logexpirationtime 속성의 단위를 설정합니다. 서버에서 단위를 알 수 없는 경우 로그가 만료되지 않습니다.If the unit is unknown by the server, then the log never expires.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day |
| 기본값 | month |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled (오류 로깅 활성화)
오류 로깅 및 해제를 켭니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace (오류 로그 최대 디스크 공간)
이 속성은 오류 로그가 사용할 수 있는 최대 디스크 공간(MB)을 설정합니다. 이 값을 초과하면 가장 오래된 오류 로그가 삭제됩니다.
최대 디스크 공간을 설정할 때 로그 파일 순환으로 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 디렉터리 서버에서 유지 관리하는 세 개의 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 오류 로그의 총 디스크 공간 크기와 비교합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 오류 로그에 허용된 디스크 공간이 크기 제한이 없음을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace (오류 로그 최소 자유 디스크 공간)
이 속성은 허용되는 최소 디스크 공간을 메가바이트 단위로 설정합니다. 사용 가능한 디스크 공간의 양이 이 특성에 지정된 값 아래로 떨어지면 이 특성을 충족하기 위해 충분한 디스크 공간을 확보할 때까지 가장 오래된 오류 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1(제한 없음) | 1에서 최대 32비트 정수 값(2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled (오류 Log Rotation Sync Enabled)
이 특성은 오류 로그 순환이 특정 요일과 동기화될지 여부를 설정합니다. 이러한 방식으로 동기화 로그 회전은 매일 자정하는 것과 같이 하루 중 지정된 시간에 로그 파일을 생성할 수 있습니다. 그러면 로그 파일을 달력에 직접 매핑하므로 로그 파일을 훨씬 쉽게 분석할 수 있습니다.
오류 로그 순환을 시간별과 동기화하려면 이 특성을 nsslapd-errorlog-logrotationsynchour 및 nsslapd-errorlog-logrotationsyncmin 속성 값으로 설정해야 합니다.
예를 들어 자정에 오류 로그 파일을 순환하려면 해당 값을 on 으로 설정하여 이 특성을 활성화한 다음 nsslapd-errorlog-logrotationsynchour 및 nsslapd-errorlog-logrotationsyncmin 특성을 0 으로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-logrotationsync-enabled: on |
3.1.1.87. nsslapd-errorlog-logrotationsynchour (오류 로그 로테이션 동기화 시간)
이 속성은 오류 로그를 회전하는 데 하루의 시간을 설정합니다. 이 속성은 nsslapd-errorlog-logrotationsync-enabled 및 nsslapd-errorlog-logrotationsyncmin 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 23까지 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin (오류 로그 순환 동기화 분)
이 속성은 회전 오류 로그의 분을 설정합니다. 이 속성은 nsslapd-errorlog-logrotationsync-enabled 및 nsslapd-errorlog-logrotationsynchour 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 59까지 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime (오류 로그 로테이션 시간)
이 속성은 오류 로그 파일 교체 사이의 시간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(day, week, month 등)는 nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit) 속성에 의해 제공됩니다.
Directory Server는 로그 크기에 관계없이 구성된 간격이 만료된 후 첫 번째 쓰기 작업에서 로그를 회전합니다.
로그 교체가 무기한 증가함에 따라 성능상의 이유로 로그 교체를 지정하지 않는 것이 좋지만 두 가지 방법으로 지정할 수 있습니다. nsslapd-errorlog-maxlogsperdir 특성 값을 1 로 설정하거나 nsslapd-errorlog-logrotationtime 속성을 -1 로 설정합니다. 서버는 nsslapd-errorlog-maxlogsperdir 속성을 먼저 확인하고 이 속성 값이 1 보다 큰 경우 서버는 nsslapd-errorlog-logrotationtime 속성을 확인합니다. 자세한 내용은 3.1.1.92절. “nsslapd-errorlog-maxlogsperdir (최대 오류 로그 파일 수)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32 비트 정수 값 (2147483647) 이 여기서 -1 값은 오류 로그 파일 순환 사이의 시간이 무제한임을 의미합니다. |
| 기본값 | 1 |
| 구문 | 정수 |
| 예 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit (오류 로그 회전 시간 단위)
이 속성은 nsslapd-errorlog-logrotationtime 의 단위를 설정합니다(오류 로그 로테이션 시간). 서버에서 장치를 알 수 없는 경우 로그가 만료되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 월 | 주 | 일 | 시간 | 분 |
| 기본값 | 주 |
| 구문 | DirectoryString |
| 예 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize (최대 오류 로그 크기)
이 속성은 최대 오류 로그 크기를 메가바이트로 설정합니다. 이 값에 도달하면 오류 로그가 교체되고 서버가 새 로그 파일에 로그 정보 쓰기를 시작합니다. nsslapd-errorlog-maxlogsperdir 이 1 로 설정된 경우 서버는 이 속성을 무시합니다.
최대 로그 크기를 설정할 때 로그 파일 교체로 인해 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 Directory Server에서 유지 관리하는 세 가지 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 있으며 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 오류 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32 비트 정수 값 (2147483647) 이 여기서 값 -1은 로그 파일이 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir (최대 오류 로그 파일 수)
이 속성은 오류 로그가 저장되는 디렉터리에 포함될 수 있는 총 오류 로그 수를 설정합니다. 오류 로그가 순환될 때마다 새 로그 파일이 생성됩니다. 오류 로그 디렉터리에 포함된 파일 수가 이 속성에 저장된 값을 초과하면 로그 파일의 가장 오래된 버전이 삭제됩니다. 기본값은 1 log입니다. 이 기본값을 수락하면 서버에서 로그를 순환하지 않고 무기한 증가합니다.
이 속성의 값이 1 보다 크면 nsslapd-errorlog-logrotationtime 특성을 확인하여 로그 순환이 지정되었는지 확인합니다. nsslapd-errorlog-logrotationtime 속성 값이 -1 인 경우 로그 교체가 없습니다. 자세한 내용은 3.1.1.89절. “nsslapd-errorlog-logrotationtime (오류 로그 로테이션 시간)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 1 |
| 구문 | 정수 |
| 예 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode (오류 로그 파일 권한)
이 속성은 오류 로그 파일을 생성하는 액세스 모드 또는 파일 권한을 설정합니다. 유효한 값은 번호가 매겨진 또는 절대 UNIX 파일 권한이 미러되므로 000 에서 777 의 조합입니다. 즉, 값은 3 자리 숫자의 조합이어야 하며 0 에서 7 까지의 숫자입니다.
- 0 - 없음
- 1 - 실행만
- 2 - 쓰기 전용
- 3 - 쓰기 및 실행
- 4 - 읽기 전용
- 5 - 읽기 및 실행
- 6 - 읽기 및 쓰기
- 7 - 읽기, 쓰기 및 실행
3자리 숫자에서 첫 번째 숫자는 소유자의 권한을 나타내며, 두 번째 숫자는 그룹의 권한을 나타내며, 세 번째 숫자는 모든 사람의 권한을 나타냅니다. 기본값을 변경할 때 000 은 로그에 대한 액세스를 허용하지 않으며 모든 사용자에게 쓰기 권한이 허용되면 누구나 로그를 덮어쓰거나 삭제할 수 있습니다.
새로 구성된 액세스 모드는 생성된 새 로그에만 영향을 미칩니다. 모드는 로그가 새 파일로 회전할 때 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 000 - 777 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
TLS 연결을 설정할 때 클라이언트는 먼저 인증서를 보낸 다음 SASL/EXTERNAL 메커니즘을 사용하여 BIND 요청을 발행합니다. SASL/EXTERNAL을 사용하면 Directory Server에서 TLS 핸드셰이크에 대한 인증서의 인증 정보를 사용하도록 지시합니다. 그러나 일부 클라이언트는 BIND 요청을 보낼 때 SASL/EXTERNAL을 사용하지 않으므로 Directory Server는 간단한 인증 요청 또는 익명 요청으로 바인딩을 처리하고 TLS 연결이 실패합니다.
nsslapd-force-sasl-external 속성은 인증서 기반 인증의 클라이언트가 SASL/EXTERNAL 메서드를 사용하여 BIND 요청을 전송하도록 강제 적용합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | 문자열 |
| 예 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
이 속성은 더 이상 사용되지 않으며 기록 목적으로만 설명되어 있습니다.
액세스 제어 플러그인은 nsslapd-groupevalnestlevel 속성에서 지정한 값을 사용하여 액세스 제어에서 그룹 평가를 위해 수행하는 중첩 수준 수를 설정하지 않습니다. 대신 중첩 수준 수가 5 로 하드 코딩됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 5까지 |
| 기본값 | 5 |
| 구문 | 정수 |
| 예 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-haproxy-trusted-ip (HAProxy Trusted IP)
nsslapd-haproxy-trusted-ip 속성은 신뢰할 수 있는 프록시 서버 목록을 구성합니다. nsslapd-haproxy-trusted-ip 를 설정하면 Directory Server는 HAProxy 프로토콜을 사용하여 추가 TCP 헤더를 통해 클라이언트 IP 주소를 수신하여 ACI(액세스 제어 명령)를 올바르게 평가하고 클라이언트 트래픽을 기록합니다.
신뢰할 수 없는 프록시 서버가 bind 요청을 시작하면 Directory Server는 요청을 거부하고 오류 로그 파일에 다음 메시지를 기록합니다.
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | IPv4 또는 IPv6 주소 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-haproxy-trusted-ip: 127.0.0.1 |
3.1.1.97. nsslapd-idletimeout (Default Idle Timeout)
이 속성은 서버에서 유휴 LDAP 클라이언트 연결을 닫은 시간(초)을 설정합니다. 값 0 은 서버가 유휴 연결을 종료하지 않음을 의미합니다. 이 설정은 모든 연결 및 모든 사용자에게 적용됩니다. poll() 가 0을 반환하지 않으면 유휴 시간 제한이 적용됩니다. 따라서 단일 연결이 있는 서버는 유휴 시간 제한을 적용하지 않습니다.
사용자 항목에 추가할 수 있는 nsIdleTimeout 운영 속성을 사용하여 이 속성에 할당된 값을 재정의합니다. 자세한 내용은 Red Hat Directory Server 관리 가이드의 "Bind DN을 기반으로 리소스 제한 설정" 섹션을 참조하십시오.
수백만 개의 항목이 있는 매우 큰 데이터베이스의 경우 이 속성에는 온라인 초기화 프로세스가 완료할 수 있는 충분한 값이 있거나 서버 연결이 시간 초과될 때 복제가 실패할 수 있습니다.For very large databases, with millions of entries, with a high enough value that the online initialization process can complete or replication will fail when the connection to the server times out. 또는 nsIdleTimeout 속성은 공급자 바인딩 DN으로 사용되는 항목의 높은 값으로 설정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 3600 |
| 구문 | 정수 |
| 예 | nsslapd-idletimeout: 3600 |
3.1.1.98. nsslapd-ignore-virtual-attrs
이 매개변수를 사용하면 검색 항목에서 가상 속성 조회를 비활성화할 수 있습니다.
가상 속성이 필요하지 않은 경우 검색 결과에서 가상 속성 조회를 비활성화하여 검색 속도를 높일 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-ignore-virtual-attrs: off |
3.1.1.99. nsslapd-instancedir(인스턴스 디렉터리)
이 속성은 더 이상 사용되지 않습니다. 이제 nsslapd-certdir 및 nsslapd-lockdir 과 같은 인스턴스별 경로에 대한 별도의 구성 매개변수가 있습니다. 설정된 특정 디렉터리 경로는 설명서를 참조하십시오.
3.1.1.100. nsslapd-ioblocktimeout (IO 블록 시간 아웃)
이 속성은 stalled LDAP 클라이언트에 대한 연결이 종료되는 시간(밀리초)을 설정합니다. 읽기 또는 쓰기 작업에 대한 I/O 진행이 이루어지지 않은 경우 LDAP 클라이언트는 정지된 것으로 간주됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 10000 |
| 구문 | 정수 |
| 예 | nsslapd-ioblocktimeout: 10000 |
3.1.1.101. nsslapd-lastmod (추적 수정 시간)
이 속성은 Directory Server에서 creatorsName,createTimestamp,modifiersName, 새로 생성된 항목 또는 업데이트된 항목에 대한 작업 속성을 수정 할지 여부를 설정합니다.
Red Hat은 이러한 속성 추적을 비활성화하지 않는 것이 좋습니다. 비활성화된 경우 항목은 nsUniqueID 속성에 할당된 고유 ID를 가져오지 않으며 복제가 작동하지 않습니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsslapd-lastmod: on |
3.1.1.102. nsslapd-ldapiautobind (Autobind 활성화)
nsslapd-ldapiautobind 는 서버가 LDAPI를 사용하여 사용자가 Directory Server에 자동 바인딩할 수 있는지 여부를 설정합니다. Autobind는 시스템 사용자의 UID 또는 GUID 번호를 Directory Server 사용자에게 매핑하고 해당 인증 정보를 기반으로 사용자를 Directory Server에 자동으로 인증합니다. Directory Server 연결은 UNIX 소켓을 통해 수행됩니다.
자동 바인딩 활성화와 함께 autobind를 구성하려면 매핑 항목을 구성해야 합니다. nsslapd-ldapimaprootdn 은 시스템의 root 사용자를 디렉터리 관리자에 매핑합니다. nsslapd-ldapimaptoentries 는 nsslapd-ldapiuidnumbertype, nsslapd-ldapigidtype , 특성에 정의된 매개변수를 기반으로 일반 사용자를 Directory Server 사용자에게 매핑합니다.
nsslapd-ldap ientrysearchbase
Autobind는 LDAPI가 활성화된 경우에만 활성화할 수 있습니다. 즉 nsslapd-ldapilisten 이 on 이고 nsslapd-ldapifilepath 속성이 LDAPI 소켓으로 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-ldapiautobind: off |
3.1.1.103. nsslapd-ldapientrysearchbase (LDAPI 인증 항목의 검색 기반)
autobind를 사용하면 시스템 사용자의 UID 및 GUID 번호에 따라 시스템 사용자를 Directory Server 사용자 항목에 매핑할 수 있습니다. 이를 위해서는 UID 번호(nsslapd-ldapiuidnumbertype) 및 GUID 번호(nsslapd-ldapigidnumbertype)에 사용할 속성을 설정하고 일치하는 사용자 항목을 검색하는 데 사용할 검색 기반을 설정해야 합니다.
nsslapd-ldapientrysearchbase 는 autobind에 사용할 사용자 항목을 검색할 하위 트리를 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | DN |
| 기본값 |
서버 인스턴스가 생성될 때 생성된 접미사(예: |
| 구문 | DN |
| 예 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
3.1.1.104. nsslapd-ldapifilepath (LDAPI 소켓의 파일 위치)
LDAPI는 TCP 대신 UNIX 소켓을 통해 사용자를 LDAP 서버에 연결합니다. LDAPI를 구성하려면 UNIX 소켓을 통해 통신하도록 서버를 구성해야 합니다. 사용할 UNIX 소켓은 nsslapd-ldapifilepath 특성에 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 디렉터리 경로 |
| 기본값 | /var/run/dirsrv/slapd-example.socket |
| 구문 | case-exact string |
| 예 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.105. nsslapd-ldapigidnumbertype (시스템 GUID 번호의 경우 특성 매핑)
Autobind는 서버에 자동으로 시스템 사용자를 인증하고 UNIX 소켓을 사용하여 서버에 연결할 수 있습니다. 인증을 위해 시스템 사용자를 Directory Server 사용자에게 매핑하려면 시스템 사용자의 UID 및 GUID 번호를 Directory Server 속성으로 매핑해야 합니다. nsslapd-ldapigidtype 속성은 Directory Server 속성을 가리켜 시스템 GUID를 사용자 항목에 매핑합니다.
사용자는 LDAPI가 활성화된 경우에만 autobind 를 사용하여 서버에 연결할 수 있습니다(nsslapd-ldapilisten 및 nsslapd-ldapifilepath), autobind가 활성화됩니다(nsslapd-ldapiautobind), 일반 사용자에 대해 자동 바인딩 매핑이 활성화됩니다(nsslapd-ldapimaptoentries).
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 Directory Server 특성 |
| 기본값 | gidNumber |
| 구문 | DirectoryString |
| 예 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.106. nsslapd-ldapilisten(LDAPI 활성화)
nsslapd-ldapilisten 을 사용하면 LDAPI 연결을 디렉터리 서버에 연결할 수 있습니다. LDAPI를 사용하면 표준 TCP 포트가 아닌 UNIX 소켓을 통해 Directory Server에 연결할 수 있습니다. nsslapd-ldapilisten 을 on on으로 설정하여 LDAPI를 활성화하고 함께 nsslapd-ldapifilepath 속성의 LDAPI에 대한 UNIX 소켓 세트도 있어야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsslapd-ldapilisten: on |
3.1.1.107. nsslapd-ldapimaprootdn (루트 사용자의 경우Autobind Mapping)
자동 바인딩을 사용하면 시스템 사용자가 Directory Server 사용자에게 매핑된 다음 UNIX 소켓을 통해 Directory Server에 자동으로 인증됩니다.
루트 시스템 사용자(UID가 0인 사용자)는 nsslapd-ldapimaprootdn 속성에 지정된 Directory Server 항목에 매핑됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | CN=Directory Manager |
| 구문 | DN |
| 예 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.108. nsslapd-ldapimaptoentries (정규 사용자에 자동 바인딩 매핑 활성화)
자동 바인딩을 사용하면 시스템 사용자가 Directory Server 사용자에게 매핑된 다음 UNIX 소켓을 통해 Directory Server에 자동으로 인증됩니다. 이 매핑은 root 사용자에게 자동이지만 nsslapd-ldapimaptoentries 특성을 통해 일반 시스템 사용자에 대해 활성화해야 합니다. 이 속성을 on 으로 설정하면 일반 시스템 사용자가 Directory Server 항목으로 매핑할 수 있습니다. 이 속성이 활성화되지 않은 경우 root 사용자만 autobind 를 사용하여 Directory Server에 인증할 수 있으며 다른 모든 사용자는 익명성을 연결합니다.
매핑 자체는 디렉터리 서버 속성을 사용자의 UID 및 GUID 번호에 매핑하는 type 속성을 통해 구성됩니다.
nsslapd-ldapiuidnumbertype 및 nsslapd-ldapigid
LDAPI가 활성화된 경우에만 autobind를 사용하여 서버에 연결할 수 있으며(nsslapd-ldapilisten 및 nsslapd-ldapifilepath) autobind가 활성화됩니다(nsslapd-ldapiautobind).
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-ldapimaptoentries: on |
3.1.1.109. nsslapd-ldapiuidnumbertype
Autobind는 서버에 자동으로 시스템 사용자를 인증하고 UNIX 소켓을 사용하여 서버에 연결할 수 있습니다. 인증을 위해 시스템 사용자를 Directory Server 사용자에게 매핑하려면 시스템 사용자의 UID 및 GUID 번호를 Directory Server 특성으로 매핑해야 합니다. nsslapd-ldapiuidnumbertype 속성은 Directory Server 속성을 가리켜 시스템 UID를 사용자 항목에 매핑합니다.
사용자는 LDAPI가 활성화된 경우에만 autobind 를 사용하여 서버에 연결할 수 있습니다(nsslapd-ldapilisten 및 nsslapd-ldapifilepath), autobind가 활성화됩니다(nsslapd-ldapiautobind), 일반 사용자에 대해 자동 바인딩 매핑이 활성화됩니다(nsslapd-ldapimaptoentries).
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 Directory Server 특성 |
| 기본값 | uidNumber |
| 구문 | DirectoryString |
| 예 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.110. nsslapd-ldifdir
Directory Server는 db2ldif 또는 db2ldif.pl 을 사용할 때 LDIF(LDAP 데이터 상호 교환 형식) 형식의 파일을 이 매개변수에 설정된 디렉터리로 내보냅니다. 디렉터리는 Directory Server 사용자 및 그룹이 소유해야 합니다. 이 사용자 및 그룹만 이 디렉터리에서 읽기 및 쓰기 액세스 권한이 있어야 합니다.
이 속성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | Directory Server 사용자가 쓸 수 있는 모든 디렉터리 |
| 기본값 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 구문 | DirectoryString |
| 예 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.111. nsslapd-listen-backlog-size
이 속성은 소켓 연결 백로그의 최대값을 설정합니다. listen 서비스는 들어오는 연결을 수신하는 데 사용할 수 있는 소켓 수를 설정합니다. 백로그 설정은 연결을 거부하기 전에 소켓의 큐(sockfd)가 증가할 수 있는 기간에 대한 최대 길이를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 최대 64비트 정수 값(9223372036854775807) |
| 기본값 | 128 |
| 구문 | 정수 |
| 예 | nsslapd-listen-backlog-size: 128 |
3.1.1.112. nsslapd-listenhost (IP 주소 목록)
이 속성을 사용하면 여러 Directory Server 인스턴스를 다중 홈 시스템에서 실행할 수 있습니다(또는 multihomed 머신의 하나의 인터페이스로 청취를 제한할 수 있음). 단일 hos tname과 연결된 여러 IP 주소가 있을 수 있으며 이러한 IP 주소는 IPv4 및 IPv6 모두 혼합될 수 있습니다. 이 매개 변수를 사용하여 Directory Server 인스턴스를 단일 IP 인터페이스로 제한할 수 있습니다.
호스트 이름이 nsslapd-listenhost 값으로 지정되면 디렉터리 서버는 호스트 이름과 연결된 모든 인터페이스에 대한 요청에 응답합니다. 단일 IP 인터페이스(IPv4 또는 IPv6)가 nsslapd-listenhost 값으로 제공되는 경우 디렉터리 서버는 해당 특정 인터페이스에 전송된 요청에만 응답합니다. IPv4 또는 IPv6 주소를 사용할 수 있습니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 로컬 호스트 이름, IPv4 또는 IPv6 주소 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-listenhost: ldap.example.com |
3.1.1.113. nsslapd-localhost (로컬 호스트)
이 속성은 Directory Server가 실행되는 호스트 시스템을 지정합니다. 이 속성은 MMR 프로토콜의 일부를 구성하는 추천 URL을 생성합니다. 장애 조치 노드가 있는 고가용성 구성에서 해당 추천은 로컬 호스트 이름이 아닌 클러스터의 가상 이름을 가리켜야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 정규화된 호스트 이름입니다. |
| 기본값 | 설치된 시스템의 호스트 이름입니다. |
| 구문 | DirectoryString |
| 예 | nsslapd-localhost: phonebook.example.com |
3.1.1.114. nsslapd-localuser (로컬 사용자)
이 속성은 사용자를 Directory Server가 실행되는 것으로 설정합니다. 사용자가 실행하는 그룹은 사용자의 기본 그룹을 검사하여 이 특성에서 파생됩니다. 사용자가 변경되는 경우 chown 과 같은 도구를 사용하여 이 인스턴스의 모든 인스턴스별 파일 및 디렉터리를 새 사용자가 소유하도록 변경해야 합니다.
서버 인스턴스가 구성되면 nsslapd-localuser 의 값이 처음에 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 사용자 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-localuser: dirsrv |
3.1.1.115. nsslapd-lockdir (Server Lock File Directory)
이는 서버가 잠금 파일에 사용하는 디렉터리의 전체 경로입니다. 기본값은 /var/lock/dirsrv/slapd-인스턴스입니다. 이 값에 대한 변경 사항은 서버를 다시 시작할 때까지 적용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 서버 ID에 대한 쓰기 액세스 권한이 있는 서버 사용자 ID가 소유한 디렉터리의 절대 경로 |
| 기본값 | /var/lock/dirsrv/slapd-instance |
| 구문 | DirectoryString |
| 예 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
3.1.1.116. nsslapd-localssf
nsslapd-localssf 매개변수는 LDAPI 연결의 SSF(Security strength factor)를 설정합니다. Directory Server는 nsslapd-localssf 에 설정된 값이 nsslapd-minssf 매개변수에 설정된 값보다 크거나 같은 경우에만 LDAPI 연결을 허용합니다. 따라서 LDAPI 연결은 nsslapd-minssf 에 설정된 최소 SSF를 충족합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 0에서 최대 32비트 정수 값(2147483647) |
| 기본값 | 71 |
| 구문 | 정수 |
| 예 | nsslapd-localssf: 71 |
3.1.1.117. nsslapd-logging-hr-timestamps-enabled (고해 해상도 로그 타임스탬프 활성화 또는 비활성화)
로그가 나노초 정밀도와 함께 높은 해상도 타임스탬프를 사용할지 아니면 1초의 정확도로 표준 해상도 타임스탬프를 사용할지 여부를 제어합니다. 기본적으로 활성화되어 있습니다. 로그 타임스탬프를 1초로 되돌리려면 이 옵션을 off 로 설정합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 |
|
| 기본값 |
|
| 구문 | DirectoryString |
| 예 | nsslapd-logging-hr-timestamps-enabled: on |
3.1.1.118. nsslapd-maxbersize (최대 메시지 크기)
들어오는 메시지에 허용되는 최대 크기(바이트)를 정의합니다. 이렇게 하면 Directory Server에서 처리할 수 있는 LDAP 요청의 크기가 제한됩니다. 요청 크기를 제한하면 서비스 거부 공격이 발생하지 않습니다.
제한은 LDAP 요청의 총 크기에 적용됩니다. 예를 들어, 항목을 추가하라는 요청이고 요청의 항목이 구성된 값 또는 기본값보다 크면 추가 요청이 거부됩니다. 그러나 이 제한은 복제 프로세스에 적용되지 않습니다. 이 속성을 변경하기 전에 주의하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0 - 2 기가바이트 (2,147,483,647 바이트)
|
| 기본값 | 2097152 |
| 구문 | 정수 |
| 예 | nsslapd-maxbersize: 2097152 |
3.1.1.119. nsslapd-maxdescriptors (최대 파일 설명자)
이 속성은 Directory Server에서 사용하려는 파일 설명자의 최대 플랫폼 종속 수를 설정합니다. 클라이언트가 서버에 연결할 때마다 파일 설명자가 사용됩니다. 파일 설명자는 액세스 로그, 오류 로그, 감사 로그, 데이터베이스 파일(인덱스 및 트랜잭션 로그) 및 복제 및 체인을 위해 다른 서버에 대한 발신 연결에 대한 소켓에도 사용됩니다.
TCP/IP가 클라이언트 연결을 제공하는 데 사용할 수 있는 설명자 수는 nsslapd-conntablesize 특성에 따라 결정됩니다. 이 속성의 기본값은 파일 설명자 소프트 제한으로 설정되며 기본값은 1024입니다. 그러나 이 속성을 수동으로 구성하는 경우 서버는 프로세스 파일 설명자 소프트 제한을 일치하도록 업데이트합니다.
이 값을 너무 높게 설정하면 Directory Server에서 운영 체제를 최대 허용 값으로 쿼리한 다음 해당 값을 사용합니다. 오류 로그에 정보 메시지도 발행합니다. 이 값이 Directory Server Console 또는 ldapmodify 를 사용하여 원격으로 잘못된 값으로 설정된 경우 서버는 새 값을 거부하고 이전 값을 유지하고 오류와 함께 응답합니다.
일부 운영 체제를 사용하면 사용자가 프로세스에 사용할 수 있는 파일 설명자 수를 구성할 수 있습니다. 파일 설명자 제한 및 구성에 대한 자세한 내용은 운영 체제 설명서를 참조하십시오. vCenter tune 프로그램( Red Hat Directory Server 설치 가이드에설명됨)을 사용하여 시스템 커널 또는 TCP/IP 튜닝 속성에 대한 변경 사항을 제안하는 데 사용할 수 있습니다(필요한 경우 파일 설명자 수 증가 포함). Directory Server가 파일 설명자가 없기 때문에 연결을 거부하는 경우 이 속성의 값이 증가했습니다. 이 경우 Directory Server의 오류 로그 파일에 다음 메시지가 기록됩니다.
Not listening for new connections -- too many fds open
Not listening for new connections -- too many fds open들어오는 연결 수를 늘리는 방법에 대한 자세한 내용은 3.1.1.62절. “nsslapd-conntablesize” 을 참조하십시오.
UNIX 쉘에는 일반적으로 파일 설명자 수에 대한 구성 가능한 제한이 있습니다. 이러한 제한으로 인해 종종 문제가 발생할 수 있으므로 제한 및 ulimit 에 대한 자세한 내용은 운영 체제 설명서를 참조하십시오.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 65535 |
| 기본값 | 4096 |
| 구문 | 정수 |
| 예 | nsslapd-maxdescriptors: 4096 |
3.1.1.120. nsslapd-maxsasliosize (Maximum SASL Packet Size)
사용자가 SASL GSS-API를 통해 Directory Server에 인증되면 서버는 클라이언트가 요청하는 메모리 양에 따라 LDAP 작업을 수행하도록 클라이언트에 특정 양의 메모리를 할당해야 합니다. 공격자는 디렉터리 서버에 충돌하거나 서비스 거부 공격의 일부로 무기한으로 연결하는 대규모 패킷 크기를 보낼 수 있습니다.
Directory Server에서 SASL 클라이언트를 허용하는 패킷 크기는 nsslapd-maxsasliosize 특성을 사용하여 제한할 수 있습니다. 이 속성은 서버에서 허용할 최대 허용된 SASL IO 패킷 크기를 설정합니다.
들어오는 SASL IO 패킷이 nsslapd-maxsasliosize 제한보다 크면 서버는 클라이언트의 연결을 즉시 끊고 메시지를 오류 로그에 기록하므로 관리자는 필요에 따라 설정을 조정할 수 있습니다.
이 속성 값은 바이트 단위로 지정됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | * -1 (unlimited) to the maximum 32-bit integer value (2147483647) * -1 (비제한) 최대 64 비트 정수 값 (64 비트 시스템의9223372036854775807) |
| 기본값 | 2097152 (2MB) |
| 구문 | 정수 |
| 예 | nsslapd-maxsasliosize: 2097152 |
3.1.1.121. nsslapd-maxthreadsperconn (연결당 최대 스레드 수)
연결이 사용해야 하는 최대 스레드 수를 정의합니다. 바인딩 해제 전에 클라이언트가 바인딩하고 하나 또는 두 작업만 수행하는 일반 작업의 경우 기본값을 사용합니다. 클라이언트가 바인딩하고 동시에 많은 요청을 발행하는 경우 이 값을 늘리면 각 연결에 모든 작업을 수행할 수 있는 충분한 리소스가 허용됩니다. 이 속성은 서버 콘솔에서 사용할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 최대 스레드 수 |
| 기본값 | 5 |
| 구문 | 정수 |
| 예 | nsslapd-maxthreadsperconn: 5 |
3.1.1.122. nsslapd-minssf
보안 강도 요인은 주요 강도에 따라 연결이 얼마나 강력한지를 상대적인 측정입니다. SSF는 TLS 또는 SASL 연결이 얼마나 안전한지를 결정합니다. nsslapd-minssf 속성은 서버에 대한 모든 연결에 대한 최소 SSF 요구 사항을 설정합니다. 최소 SSF보다 약한 모든 연결 시도는 거부됩니다.
디렉터리 서버 연결에 TLS 및 SASL 연결을 혼합할 수 있습니다. 이러한 연결에는 일반적으로 다른 SSF가 있습니다. 두 SSF 중 더 높은 것은 최소 SSF 요구 사항과 비교하는 데 사용됩니다.
SSF 값을 0으로 설정하면 최소 설정이 없음을 의미합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 양의 정수 |
| 기본값 | 0 (off) |
| 구문 | DirectoryString |
| 예 | nsslapd-minssf: 128 |
3.1.1.123. nsslapd-minssf-exclude-rootdse
보안 강도 요인은 주요 강도에 따라 연결이 얼마나 강력한지를 상대적인 측정입니다. SSF는 TLS 또는 SASL 연결이 얼마나 안전한지를 결정합니다.
nsslapd-minssf-exclude-rootdse 속성은 루트 DSE에 대한 쿼리를 제외하고 서버에 대한 연결에 대한 최소 SSF 요구 사항을 설정합니다. 이렇게 하면 대부분의 연결에 적절한 SSF 값이 적용되지만 클라이언트가 먼저 보안 연결을 설정하지 않고도 루트 DSE에서 서버 구성에 대한 필수 정보를 얻을 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 양의 정수 |
| 기본값 | 0 (off) |
| 구문 | DirectoryString |
| 예 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.124. nsslapd-moddn-aci
이 매개 변수는 디렉터리 항목이 한 하위 트리에서 다른 하위 트리로 이동하고 moddn 작업의 소스 및 대상 제한을 사용하는 경우 ACI 검사를 제어합니다. 이전 버전과의 호환성을 위해 ACI 검사를 비활성화할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsslapd-moddn-aci: on |
3.1.1.125. nsslapd-malloc-mmap-threshold
Directory Server 인스턴스가 systemctl 유틸리티를 사용하여 서비스로 시작되면 /etc/sysconfig/dirsrv 또는 /etc/ 파일에 설정하지 않으면 환경 변수가 서버에 전달되지 않습니다. 자세한 내용은 systemd.exec(3) 도움말 페이지를 참조하십시오.
sysconfig/dirsrv -instance_name
서비스 파일을 수동으로 편집하여 M_MMAP_THRESHOLD 환경 변수를 설정하는 대신 nsslapd-malloc-mmap-mmap-threshold 매개변수를 사용하면 Directory Server 구성에서 값을 설정할 수 있습니다. 자세한 내용은 mallopt(3) 도움말 페이지의 M_MMAP_THRESHOLD 매개변수 설명을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0 - 33554432 |
| 기본값 |
mallopt(3) 도움말 페이지의 |
| 구문 | 정수 |
| 예 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.126. nsslapd-malloc-mxfast
Directory Server 인스턴스가 systemctl 유틸리티를 사용하여 서비스로 시작되면 /etc/sysconfig/dirsrv 또는 /etc/ 파일에 설정하지 않으면 환경 변수가 서버에 전달되지 않습니다. 자세한 내용은 systemd.exec(3) 도움말 페이지를 참조하십시오.
sysconfig/dirsrv -instance_name
서비스 파일을 수동으로 편집하여 M_MXFAST 환경 변수를 설정하는 대신 nsslapd-malloc-mxfast 매개변수를 사용하면 Directory Server 구성에서 값을 설정할 수 있습니다. 자세한 내용은 mallopt(3) 도움말 페이지의 M_MXFAST 매개변수 설명을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0 - 80 * (size_t) / 4) |
| 기본값 |
mallopt(3) 도움말 페이지의 |
| 구문 | 정수 |
| 예 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.127. nsslapd-malloc-trim-threshold
Directory Server 인스턴스가 systemctl 유틸리티를 사용하여 서비스로 시작되면 /etc/sysconfig/dirsrv 또는 /etc/ 파일에 설정하지 않으면 환경 변수가 서버에 전달되지 않습니다. 자세한 내용은 systemd.exec(3) 도움말 페이지를 참조하십시오.
sysconfig/dirsrv -instance_name
서비스 파일을 수동으로 편집하여 M_TRIM_THRESHOLD 환경 변수를 설정하는 대신 nsslapd-malloc-trim-threshold 매개변수를 사용하면 Directory Server 구성에서 값을 설정할 수 있습니다. 자세한 내용은 mallopt(3) 도움말 페이지의 M_TRIM_THRESHOLD 매개변수 설명을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 2^31-1 |
| 기본값 |
mallopt(3) 도움말 페이지의 |
| 구문 | 정수 |
| 예 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.128. nsslapd-nagle
이 속성의 값이 꺼져 있으면 LDAP 응답(예: 항목 또는 결과 메시지)이 클라이언트에 즉시 전송되도록 TCP_NODELAY 옵션이 설정됩니다. 속성이 켜지면 기본 TCP 동작이 적용됩니다. 특히 데이터 전송은 지연되어 추가 데이터를 기본 네트워크 MTU 크기의 하나의 패킷으로 그룹화할 수 있습니다. 일반적으로 이더넷을 위한 1500바이트입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-nagle: off |
3.1.1.129. nsslapd-ndn-cache-enabled
고유 이름(DN)을 정규화하는 작업은 리소스 집약적 작업입니다. nsslapd-ndn-cache-enabled 매개변수가 활성화된 경우 Directory Server는 메모리에 정규화된 DN을 캐시합니다. nsslapd-ndn-cache-max-size 매개변수를 업데이트하여 이 캐시의 최대 크기를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsslapd-ndn-cache-enabled: on |
3.1.1.130. nsslapd-ndn-cache-max-size
고유 이름(DN)을 정규화하는 작업은 리소스 집약적 작업입니다. nsslapd-ndn-cache-enabled 매개변수가 활성화된 경우 Directory Server는 메모리에 정규화된 DN을 캐시합니다. nsslapd-ndn-cache-max-size 매개변수는 이 캐시의 최대 크기를 설정합니다.
요청된 DN이 이미 캐시되지 않은 경우 정규화되고 추가됩니다. 캐시 크기 제한이 초과되면 Directory Server는 캐시에서 최근 사용된 10,000 DN을 제거합니다. 그러나 최소 10,000개의 DN은 항상 캐시됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 0에서 최대 32비트 정수 값(2147483647) |
| 기본값 | 20971520 |
| 구문 | 정수 |
| 예 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.131. nsslapd-outbound-ldap-io-timeout
이 속성은 모든 아웃바운드 LDAP 연결의 I/O 대기 시간을 제한합니다. 기본값은 300000 밀리초(5분)입니다. 값 0 은 서버가 I/O 대기 시간에 제한을 적용하지 않음을 의미합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 최대 32비트 정수 값(2147483647) |
| 기본값 | 300000 |
| 구문 | DirectoryString |
| 예 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.132. nsslapd-pagedsizelimit (Simple Paged Results 검색의 크기 제한)
이 속성은 특히 간단한 페이지가 지정된 결과 컨트롤을 사용하는 검색 작업에서 반환할 최대 항목 수를 설정합니다. 이렇게 하면 paged 검색에 대한 nsslapd-sizelimit 속성이 재정의됩니다.
이 값을 0으로 설정하면 페이지링된 검색 및 페이지가 없는 검색에 nsslapd-sizelimit 특성이 사용됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsslapd-pagedsizelimit: 10000 |
3.1.1.133. nsslapd-plug-in
이 읽기 전용 속성에는 서버에서 로드한 구문 및 일치하는 규칙 플러그인에 대한 플러그인 항목의 DN이 나열됩니다.
3.1.1.134. nsslapd-plugin-binddn-tracking
서버 플러그인에 의해 작업 자체를 시작한 경우에도 작업에 사용되는 바인딩 DN을 항목의 수정자로 설정합니다. 작업을 수행한 특정 플러그인은 별도의 작동 속성 internalModifiersname 에 나열됩니다.
한 가지 변경으로 디렉터리 트리에서 다른 변경 사항을 자동으로 트리거할 수 있습니다. 예를 들어 사용자가 삭제되면 해당 사용자는 Referential Integrity Plug-in에 속하는 모든 그룹에서 자동으로 제거됩니다. 사용자의 초기 삭제는 서버에 바인딩되는 사용자 계정이 무엇이든 수행되지만 (기본적으로) 그룹에 대한 업데이트는 플러그인에 의해 수행되는 것으로 표시되고 해당 업데이트를 시작한 사용자에 대한 정보는 없습니다. nsslapd-plugin-bindd-tracking 속성을 사용하면 서버에서 업데이트 작업을 시작한 사용자와 실제로 수행한 내부 플러그인을 추적할 수 있습니다. 예를 들면 다음과 같습니다.
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
dn: cn=my_group,ou=groups,dc=example,dc=com
modifiersname: uid=jsmith,ou=people,dc=example,dc=com
internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config이 속성은 기본적으로 비활성화되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-plugin-binddn-tracking: on |
3.1.1.135. nsslapd-plugin-logging
기본적으로 액세스 로깅이 내부 작업을 기록하도록 설정되어 있어도 플러그인 내부 작업이 액세스 로그 파일에 기록되지 않습니다. 각 플러그인 구성에서 로깅을 활성화하는 대신 이 매개변수를 사용하여 전역적으로 제어할 수 있습니다.
활성화하면 플러그인은 이 글로벌 설정을 사용하고 활성화된 경우 이 글로벌 액세스 및 감사 이벤트를 기록합니다.
nsslapd-plugin-logging 이 활성화되고 nsslapd-accesslog-level 이 내부 작업을 기록하도록 설정된 경우 인덱싱되지 않은 검색 및 기타 내부 작업이 액세스 로그 파일에 기록됩니다.
nsslapd-plugin-logging 이 설정되지 않은 경우 플러그인에서 인덱싱되지 않은 검색은 여전히 Directory Server 오류 로그에 기록됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-plugin-logging: off |
3.1.1.136. nsslapd-port(포트 번호)
이 속성은 표준 LDAP 통신에 사용되는 TCP/IP 포트 번호를 제공합니다. 이 포트를 통해 TLS를 실행하려면 Start TLS 확장 작업을 사용합니다. 이 선택한 포트는 호스트 시스템에서 고유해야 합니다. 다른 애플리케이션에서 동일한 포트 번호를 사용하지 않도록 합니다. 1024 미만의 포트 번호를 지정하면 디렉터리 서버를 root 로 시작해야 합니다.
서버는 시작 후 uid 를 nsslapd-localuser 값으로 설정합니다. 구성 디렉터리의 포트 번호를 변경할 때 구성 디렉터리의 해당 서버 인스턴스 항목을 업데이트해야 합니다.
포트 번호 변경을 고려하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 65535 |
| 기본값 | 389 |
| 구문 | 정수 |
| 예 | nsslapd-port: 389 |
LDAPS 포트가 활성화된 경우 포트 번호를0(0)으로 설정하여 LDAP 포트를 비활성화합니다.
3.1.1.137. nsslapd-privatenamespaces
이 읽기 전용 속성에는 개인 이름 지정 컨텍스트 cn=config,cn=schema 및 cn=monitor 목록이 포함되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | CN=config, cn=schema, cn=monitor |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-privatenamespaces: cn=config |
3.1.1.138. nsslapd-pwpolicy-inherit-global (Inherit Global Password Syntax)
세분화된 암호 구문이 설정되지 않은 경우 글로벌 암호 구문이 구성된 경우에도 새 또는 업데이트된 암호를 확인하지 않습니다. 글로벌 세분화된 암호 구문을 상속하려면 이 속성을 의 로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-pwpolicy-inherit-global: off |
3.1.1.139. nsslapd-pwpolicy-local ( Subtree- 및 사용자 수준 암호 정책 사용)
및 off의 세분화된(하위 트리 및 사용자 수준) 암호 정책을 설정합니다.
이 속성의 값이 off 인 경우 디렉터리의 모든 항목( cn=Directory Manager제외)에 글로벌 암호 정책이 적용됩니다. 서버는 정의된 하위 트리/사용자 수준 암호 정책을 무시합니다.
이 속성에 값이 있는 경우 서버는 하위 트리 및 사용자 수준에서 암호 정책을 확인하고 해당 정책을 적용합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-pwpolicy-local: off |
3.1.1.140. nsslapd-readonly (읽기 전용)
이 속성은 전체 서버가 읽기 전용 모드인지 여부를 설정합니다. 즉, 데이터베이스 및 구성 정보의 데이터가 모두 수정할 수 없습니다. 읽기 전용 모드로 데이터베이스를 수정하려고 하면 서버가 작업을 수행할 수 없음을 나타내는 오류가 반환됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-readonly: off |
3.1.1.141. nsslapd-referral (Referral)
이 다중 값 속성은 서버가 로컬 트리에 속하지 않는 항목에 대한 요청을 수신할 때 접미사로 반환할 LDAP URL을 지정합니다. 즉 접미사가 접미사 특성에 지정된 값과 일치하지 않는 항목입니다. 예를 들어 서버에 항목만 포함되어 있다고 가정합니다.
ou=People,dc=example,dc=com
ou=People,dc=example,dc=com그러나 요청은 다음 항목에 대한 것입니다.
ou=Groups,dc=example,dc=com
ou=Groups,dc=example,dc=com이 경우 LDAP 클라이언트가 요청된 항목이 포함된 서버를 찾을 수 있도록 추천이 클라이언트에 다시 전달됩니다. Directory Server 인스턴스당 하나의 추천만 허용되지만 이 추천에는 여러 값이 있을 수 있습니다.
TLS 통신을 사용하려면 참조 속성은 ldaps://server-location 이어야 합니다.
TLS 시작에서는 추천을 지원하지 않습니다.
추천 관리에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 " 디렉터리 데이터베이스 구성" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 LDAP URL |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.142. nsslapd-referralmode (Referral Mode)
설정하는 경우 이 속성은 접미사의 모든 요청에 대한 추천을 다시 보냅니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 LDAP URL |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.143. nsslapd-require-secure-binds
이 매개변수를 사용하려면 일반 연결이 아닌 TLS, StartTLS 또는 SASL과 같은 보호된 연결을 통해 디렉터리에 인증해야 합니다.
이는 인증된 바인딩에만 적용됩니다. nsslapd-require-secure-binds 가 설정되어 있어도 익명 바인딩 및 인증되지 않은 바인딩은 표준 채널을 통해 계속 완료할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-require-secure-binds: on |
3.1.1.144. nsslapd-requiresrestart
이 매개변수는 수정 후 서버를 다시 시작해야 하는 기타 핵심 구성 속성을 나열합니다. 즉, nsslapd-requiresrestart 에 나열된 속성이 변경되면 서버가 재시작될 때까지 새 설정이 적용되지 않습니다. 특성 목록은 ldapsearch 에서 반환할 수 있습니다.
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart이 속성은 다중 값입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 코어 서버 구성 속성 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-requiresrestart: nsslapd-cachesize |
3.1.1.145. nsslapd-reservedescriptors(예약된 파일 설명자)
이 속성은 Directory Server에서 인덱스 관리 및 복제 관리와 같은 비클라이언트 연결을 관리하기 위해 예약하는 파일 설명자 수를 지정합니다. 이를 위해 서버에서 예약하는 파일 설명자 수가 LDAP 클라이언트 연결 서비스에 사용 가능한 총 파일 설명자 수에서 차감됩니다( 3.1.1.119절. “nsslapd-maxdescriptors (최대 파일 설명자)”참조).
대부분의 Directory Server 설치는 이 속성을 변경할 필요가 없습니다. 그러나 다음 사항이 모두 true인 경우 이 속성의 값을 늘리는 것이 좋습니다.
- 서버가 많은 수의 소비자 서버(10개 이상)를 복제하거나 서버가 많은 수의 인덱스 파일을 유지 관리하고 있습니다(30개 이상).
- 서버는 많은 수의 LDAP 연결을 제공하고 있습니다.
- 서버가 파일 설명자를 열 수 없다는 오류 메시지가 있습니다(실제 오류 메시지는 서버에서 수행하려고 하는 작업에 따라 다릅니다) 그러나 이러한 오류 메시지는 클라이언트 LDAP 연결 관리와 관련이 없습니다.
이 속성의 값을 늘리면 LDAP 클라이언트가 디렉터리에 액세스할 수 없게 될 수 있습니다. 따라서 이 속성의 값이 증가하여 nsslapd-maxdescriptors 속성의 값도 늘립니다. 서버가 운영 체제에서 사용할 수 있는 최대 파일 설명자 수를 이미 사용하고 있는 경우 nsslapd-maxdescriptors 값을 늘릴 수 없습니다. 자세한 내용은 운영 체제 설명서를 참조하십시오. 이 경우 LDAP 클라이언트가 대체 디렉터리 복제본을 검색하도록 하여 서버의 부하를 줄입니다. 들어오는 연결의 파일 설명자 사용에 대한 자세한 내용은 3.1.1.62절. “nsslapd-conntablesize” 을 참조하십시오.
이 속성에 설정된 파일 설명자 수를 계산할 수 있도록 하려면 다음 공식을 사용합니다.
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex +
ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors- NldbmBackends 는 ldbm 데이터베이스 수입니다.
- NglobalIndex 는 시스템 인덱스를 포함하여 모든 데이터베이스에 대해 구성된 총 인덱스 수입니다. (기본적으로 8개의 시스템 인덱스와 데이터베이스당 17개의 추가 인덱스가 있습니다).
- ReplicationDescriptor 는 8 (8)와 공급자 또는 허브(NSupplierReplica) 역할을 할 수 있는 서버의 복제본 수와 함께 사용됩니다.
-
ChainingBackendDescriptors 는 nsOperationConnectionsLimit (기본적으로 체인 또는 데이터베이스 링크 구성 속성)의 NchainingBackend times입니다.
-
PTADescriptors 는 PTA가 구성된 경우
3이고 PTA가 구성되지 않은 경우0입니다. -
SSLDescriptors 는
5개의 파일(TLS가 구성된 경우 + 1 listensocket)이며 TLS가 구성되지 않은 경우0입니다.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 65535 |
| 기본값 | 64 |
| 구문 | 정수 |
| 예제 | nsslapd-reservedescriptors: 64 |
3.1.1.146. nsslapd-return-exact-case (Return Exact Case)
클라이언트에서 요청한 대로 특성 유형 이름의 정확한 대소문자를 반환합니다. LDAPv3 호환 클라이언트는 특성 이름의 대소문자를 무시해야 하지만 일부 클라이언트 애플리케이션은 검색 또는 수정 작업의 결과로 Directory Server에서 속성을 반환하는 경우 스키마에 나열된 속성 이름과 정확히 일치하도록 특성 이름이 필요합니다. 그러나 대부분의 클라이언트 애플리케이션은 속성의 대소문자를 무시합니다. 따라서 기본적으로 이 특성은 비활성화됩니다. 서버에서 반환된 결과에서 특성 이름의 대소문자를 확인할 수 있는 레거시 클라이언트가 없으면 수정하지 마십시오.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-return-exact-case: off |
3.1.1.147. nsslapd-rewrite-rfc1274
이 속성은 더 이상 사용되지 않으며 이후 버전에서 제거됩니다.
이 속성은 RFC 1274 이름과 함께 특성 유형을 반환해야 하는 LDAPv2 클라이언트에만 사용됩니다. 해당 클라이언트에 값을 on 으로 설정합니다. 기본값은 OFF 입니다.
3.1.1.148. nsslapd-rootdn (Manager DN)
이 속성은 액세스 제어 제한, 디렉터리 작업의 관리 제한, 일반적으로 리소스 제한의 영향을 받지 않는 항목의 고유 이름(DN)을 설정합니다. 이 DN에 해당하는 항목이 있을 필요는 없으며 기본적으로 이 DN에 대한 항목이 없으므로 cn=Directory Manager 와 같은 값을 사용할 수 있습니다.
루트 DN 변경에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "디렉토리 항목 생성" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 고유 이름 |
| 기본값 | |
| 구문 | DN |
| 예제 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.149. nsslapd-rootpw (Root Password)
이 속성은 Manager DN과 연결된 암호를 설정합니다. 루트 암호가 제공되면 nsslapd-rootpwstoragescheme 속성에 대해 선택된 암호화 방법에 따라 암호화됩니다. 서버 콘솔에서 볼 때 이 속성은 * 값을 표시합니다. dse.ldif 파일에서 볼 때 이 특성은 암호화 방법과 암호의 암호화된 문자열을 표시합니다. 이 예제에서는 실제 암호가 아닌 dse.ldif 파일에 표시된 암호를 보여줍니다.
서버 설정에서 루트 DN을 구성할 때 루트 암호가 필요합니다. 그러나 파일을 직접 편집하여 루트 암호를 dse.ldif 에서 삭제할 수 있습니다. 이 경우 root DN은 익명 액세스를 위해 디렉터리에 대한 동일한 액세스 권한만 얻을 수 있습니다. 데이터베이스에 루트 DN이 구성된 경우 항상 루트 암호 dse.ldif 에 정의되어 있는지 확인합니다. pwdhash 명령줄 유틸리티는 새 루트 암호를 만들 수 있습니다. 자세한 내용은 9.6절. “pwdhash”의 내용을 참조하십시오.
명령줄에서 Directory Manager의 암호를 재설정 할 때 암호에서 curly braces({})를 사용하지 마십시오. 루트 암호는 {password-storage-scheme}hashed_password 형식으로 저장됩니다. curly braces의 모든 문자는 서버에서 루트 암호의 암호 스토리지 체계로 해석됩니다. 해당 텍스트가 유효한 스토리지 스키마가 아니거나 다음 암호를 올바르게 해시하지 않으면 Directory Manager가 서버에 바인딩할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 4.1.43절. “암호 스토리지 스키마” 에 설명된 암호화 방법 중 하나로 암호화된 유효한 암호입니다. |
| 기본값 | |
| 구문 | DirectoryString {encryption_method }encrypted_Password |
| 예제 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
3.1.1.150. nsslapd-rootpwstoragescheme (Root Password Storage Scheme)
이 특성은 nsslapd-rootpw 특성에 저장된 Directory Server의 관리자 암호를 암호화하는 데 사용되는 메서드를 설정합니다. 권장되는 강력한 암호 스토리지 체계와 같은 자세한 내용은 4.1.43절. “암호 스토리지 스키마” 을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 4.1.43절. “암호 스토리지 스키마” 을 참조하십시오. |
| 기본값 | PBKDF2_SHA256 |
| 구문 | DirectoryString |
| 예제 | nsslapd-rootpwstoragescheme: PBKDF2_SHA256 |
3.1.1.151. nsslapd-rundir
이 매개 변수는 디렉터리 서버가 PID 파일과 같은 런타임 정보를 저장하는 디렉터리의 절대 경로를 설정합니다. 디렉터리는 Directory Server 사용자 및 그룹이 소유해야 합니다. 이 사용자 및 그룹만 이 디렉토리에 읽기 및 쓰기 액세스 권한이 있어야 합니다.
이 특성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | Directory Server 사용자가 쓸 수 있는 모든 디렉터리 |
| 기본값 | /var/run/dirsrv/ |
| 구문 | DirectoryString |
| 예제 | nsslapd-rundir: /var/run/dirsrv/ |
3.1.1.152. nsslapd-sasl-mapping-fallback
기본적으로 처음 일치하는 SASL 매핑만 확인합니다. 이 매핑이 실패하면 작동했을 수 있는 다른 일치 매핑이 있는 경우에도 bind 작업이 실패합니다. SASL 매핑 대체는 일치하는 모든 매핑을 계속 확인합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-sasl-mapping-fallback: off |
3.1.1.153. nsslapd-sasl-max-buffer-size
이 속성은 최대 SASL 버퍼 크기를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 67108864 (64 킬로바이트) |
| 구문 | 정수 |
| 예제 | nsslapd-sasl-max-buffer-size: 67108864 |
3.1.1.154. nsslapd-saslpath
Cyrus-SASL SASL2 플러그인이 포함된 디렉토리의 절대 경로를 설정합니다. 이 속성을 설정하면 서버에서 사용자 지정 또는 비표준 SASL 플러그인 라이브러리를 사용할 수 있습니다. 일반적으로 설치 중에 올바르게 설정되어 있으며 이 속성을 변경하지 않는 것이 좋습니다. 속성이 없거나 값이 비어 있으면 Directory Server에서 올바른 버전인 SASL 플러그인 라이브러리가 제공된 시스템을 사용하고 있음을 의미합니다.
이 매개 변수가 설정되면 서버는 SASL 플러그인을 로드하는 데 지정된 경로를 사용합니다. 이 매개 변수가 설정되지 않은 경우 서버는 SASL_PATH 환경 변수를 사용합니다. nsslapd-saslpath 또는 SASL_PATH 가 모두 설정되어 있지 않으면 서버는 기본 위치 /usr/lib/sasl2 에서 SASL 플러그인을 로드하려고 합니다.
이 속성의 변경 내용은 서버를 다시 시작할 때까지 적용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 플러그인 디렉터리의 경로입니다. |
| 기본값 | 플랫폼 종속 |
| 구문 | DirectoryString |
| 예제 | nsslapd-saslpath: /usr/lib/sasl2 |
3.1.1.155. nsslapd-schema-ignore-trailing-spaces (Object Class Name에서 Trailing Spaces 무시)
오브젝트 클래스 이름의 후행 공백을 무시합니다. 기본적으로 이 속성은 해제되어 있습니다.By default, the attribute is turned off. 디렉터리에 하나 이상의 공백으로 끝나는 개체 클래스 값이 포함된 항목이 있는 경우 이 특성을 켭니다. LDAP 표준에서 허용하지 않으므로 후행 공백을 제거하는 것이 좋습니다.
성능상의 이유로 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
후행 공백을 포함하는 개체 클래스가 항목에 추가되면 기본적으로 오류가 반환됩니다.An error is returned by default when object classes that include trailing spaces are added to an entry. 또한 add, modify, and import와 같은 작업 중 (오브젝트 클래스가 확장되고 누락된 경우) 필요에 따라 후행 공백은 무시됩니다. 즉, nsslapd-schema-ignore-trailing-spaces 가 에 도 불구하고 top 과 같은 값은 top 이 이미 있는 경우 추가되지 않습니다. 개체 클래스를 찾을 수 없고 후행 공백이 포함된 경우 오류 메시지가 기록되고 클라이언트에 반환됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-schema-ignore-trailing-spaces: on |
3.1.1.156. nsslapd-schemacheck (Schema Checking)
이 특성은 항목이 추가되거나 수정될 때 데이터베이스 스키마가 적용되는지 여부를 설정합니다. 이 속성이 에 값이 있는 경우 Directory Server는 수정될 때까지 기존 항목의 스키마를 확인하지 않습니다. 데이터베이스 스키마는 데이터베이스에 허용되는 정보의 유형을 정의합니다. 기본 스키마는 개체 클래스 및 특성 유형을 사용하여 확장할 수 있습니다. Directory Server Console을 사용하여 스키마를 확장하는 방법에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "Directory Schema 종료" 장을 참조하십시오.
Red Hat은 스키마 검사를 끊는 것을 강력히 권장하지 않습니다. 이로 인해 심각한 상호 운용성 문제가 발생할 수 있습니다. 일반적으로 디렉터리 서버로 가져와야 하는 매우 오래되거나 비표준 LDAP 데이터에 사용됩니다. 이 문제가 있는 항목이 많지 않은 경우 해당 항목에서 extensibleObject 개체 클래스를 사용하여 항목별로 스키마 검사를 사용하지 않도록 설정합니다.If there are not a lot of entries that have this problem, consider using the extensibleObject object class in those entries to disable schema checking on a per entry basis.
스키마 검사는 ldapmodify 와 같은 LDAP 클라이언트를 사용하거나 ldif2db 를 사용하여 LDIF에서 데이터베이스를 가져올 때 기본적으로 데이터베이스 수정 작업을 수행합니다. 스키마 검사를 해제한 경우 스키마를 준수하는지 확인하기 위해 모든 항목을 수동으로 확인해야 합니다. 스키마 확인이 설정되어 있으면 서버에서 스키마와 일치하지 않는 항목이 나열되는 오류 메시지를 보냅니다. LDIF 문에서 생성된 속성 및 개체 클래스가 모두 올바르게 지정되고 dse.ldif 에서 식별되는지 확인합니다. 스키마 디렉터리에 LDIF 파일을 생성하거나 요소를 99user.ldif 에 추가합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-schemacheck: on |
3.1.1.157. nsslapd-schemadir
Directory Server 인스턴스별 스키마 파일이 포함된 디렉터리의 절대 경로입니다. 서버가 시작되면 이 디렉터리에서 스키마 파일을 읽고 스키마가 LDAP 도구를 통해 수정되면 이 디렉터리의 스키마 파일이 업데이트됩니다. 이 디렉터리는 서버 사용자 ID가 소유해야 하며 해당 사용자는 디렉터리에 대한 읽기 및 쓰기 권한이 있어야 합니다.
이 속성의 변경 내용은 서버를 다시 시작할 때까지 적용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 유효한 경로 |
| 기본값 | /etc/dirsrv/instance_name/schema |
| 구문 | DirectoryString |
| 예제 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
3.1.1.158. nsslapd-schemamod
온라인 스키마를 수정하려면 성능에 영향을 미치는 잠금 보호가 필요합니다. 스키마 수정을 사용하지 않도록 설정하면 이 매개변수를 off 로 설정하면 성능이 향상될 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-schemamod: on |
3.1.1.159. nsslapd-schemareplace
cn=schema 항목에서 특성 값을 교체할 수 있는 수정 작업을 결정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off | 복제 전용 |
| 기본값 | 복제 전용 |
| 구문 | DirectoryString |
| 예제 | nsslapd-schemareplace: replication-only |
3.1.1.160. nsslapd-search-return-original-type-switch
특성 목록에 다른 문자가 뒤에 오는 공백이 포함된 경우 동일한 문자열이 클라이언트에 반환됩니다. 예를 들면 다음과 같습니다.
ldapsearch -b <basedn> "(filter)" "sn someothertext"
# ldapsearch -b <basedn> "(filter)" "sn someothertext"
dn: <matched dn>
sn someothertext: <sn>이 동작은 기본적으로 비활성화되어 있지만 이 구성 매개변수를 사용하여 활성화할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-search-return-type-switch: off |
3.1.1.161. nsslapd-securelistenhost
이 속성을 사용하면 여러 Directory Server 인스턴스를 다중 홈 시스템에서 실행할 수 있습니다(또는 다중 홈 시스템의 하나의 인터페이스로 수신 대기를 제한할 수 있음). 단일 호스트 이름과 연결된 IP 주소가 여러 개 있을 수 있으며 이러한 IP 주소는 IPv4와 IPv6을 혼합할 수 있습니다. 이 매개 변수는 Directory Server 인스턴스를 단일 IP 인터페이스로 제한하는 데 사용할 수 있습니다. 이 매개 변수는 일반 LDAP 연결 대신 TLS 트래픽에 사용할 인터페이스를 구체적으로 설정합니다.
호스트 이름이 nsslapd-securelistenhost 값으로 지정되면 Directory Server는 호스트 이름과 연결된 모든 인터페이스에 대한 요청에 응답합니다. 단일 IP 인터페이스(IPv4 또는 IPv6)가 nsslapd-securelistenhost 값으로 지정되면 Directory Server는 해당 특정 인터페이스에 전송된 요청에만 응답합니다. IPv4 또는 IPv6 주소를 사용할 수 있습니다.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 보안 호스트 이름, IPv4 또는 IPv6 주소 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-securelistenhost: ldaps.example.com |
3.1.1.162. nsslapd-securePort (Encrypted Port Number)
이 특성은 TLS 통신에 사용되는 TCP/IP 포트 번호를 설정합니다. 이 선택된 포트는 호스트 시스템에서 고유해야 합니다. 다른 애플리케이션에서 동일한 포트 번호를 사용하려고 시도하지 않아야 합니다. 포트 번호를 1024 미만의 경우 디렉터리 서버를 root 로 시작해야 합니다. 시작 후 서버는 uid 를 nsslapd-localuser 값으로 설정합니다.
서버는 개인 키 및 인증서로 구성된 경우에만 이 포트를 수신 대기하고, nsslapd-security 가 .의 로 설정됩니다. 그렇지 않으면 이 포트에서 수신 대기하지 않습니다.
포트 번호를 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 65535 |
| 기본값 | 636 |
| 구문 | 정수 |
| 예 | nsslapd-securePort: 636 |
3.1.1.163. nsslapd-security(보안)
이 속성은 Directory Server가 암호화된 포트에서 TLS 통신을 수락할지 여부를 설정합니다. 보안 연결을 위해 이 속성을 on 으로 설정해야 합니다. 에서 보안으로 실행하려면 다른 TLS 구성 외에도 개인 키 및 서버 인증서를 사용하여 서버를 구성해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nsslapd-security: off |
3.1.1.164. nsslapd-sizelimit (Size Limit)
이 속성은 검색 작업에서 반환할 최대 항목 수를 설정합니다. 이 제한에 도달한 경우 ns-slapd 는 검색 요청과 일치하는 항목이 있는 모든 항목과 초과된 크기 제한 오류를 반환합니다.
제한이 설정되지 않은 경우 ns-slapd 는 찾은 수에 관계없이 일치하는 모든 항목을 클라이언트에 반환합니다. Directory Server에서 검색이 완료될 때까지 무기한 대기할 제한 값을 설정하려면 dse.ldif 파일에서 이 속성에 대해 -1 값을 지정합니다.
이 제한은 조직에 관계없이 모든 사용자에게 적용됩니다.
dse.ldif 파일의 이 속성의 -1 값은 서버 콘솔에 속성을 비워 두는 것과 동일하므로 제한이 사용되지 않습니다. dse.ldif 파일에는 유효한 정수가 아니므로 null 값이 있을 수 없습니다. 모든 검색에 대해 크기 제한을 초과하 는 값을 반환하는 0 으로 설정할 수 있습니다.
해당 사용자 수준 속성은 nsSizeLimit 입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 2000 |
| 구문 | 정수 |
| 예 | nsslapd-sizelimit: 2000 |
3.1.1.165. nsslapd-snmp-index
이 매개 변수는 Directory Server 인스턴스의 SNMP 인덱스 번호를 제어합니다.
포트 389에서 모두 수신 대기하는 동일한 호스트에 여러 Directory Server 인스턴스가 있지만 다른 네트워크 인터페이스에서 있는 경우 이 매개변수를 사용하면 각 인스턴스에 대해 다른 SNMP 인덱스 번호를 설정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsslapd-snmp-index: 0 |
3.1.1.166. nsslapd-SSLclientAuth
nsslapd-SSLclientAuth 매개변수는 향후 릴리스에서 더 이상 사용되지 않으며 현재 이전 버전과의 호환성을 위해 유지됩니다. 대신 cn=encryption,cn=config 에 저장된 새 매개변수 nsSSLClientAuth 를 사용합니다. 3.1.4.5절. “nsSSLClientAuth”을 참조하십시오.
3.1.1.167. nsslapd-ssl-check-hostname (Outbound 연결의 호스트 이름 확인)
이 속성은 TLS 사용 디렉터리 서버가 제공되는 인증서의 제목 이름(subjectDN 필드)에 할당된 값과 호스트 이름을 일치시켜 요청의 진위 여부를 설정합니다. 기본적으로 속성은 on 으로 설정됩니다. 호스트 이름이 켜져 있고 호스트 이름이 인증서의 cn 속성과 일치하지 않으면 적절한 오류 및 감사 메시지가 기록됩니다.
예를 들어 복제 환경에서 다음과 유사한 메시지는 피어 서버의 호스트 이름이 인증서에 지정된 이름과 일치하지 않는 경우 공급자 서버의 로그 파일에 기록됩니다.
Red Hat은 중간(MITM) 공격에 대해 Directory Server의 아웃바운드 TLS 연결을 보호하기 위해 이 속성을 활성화하는 것이 좋습니다.
DNS 및 역방향 DNS가 제대로 작동하려면 올바르게 설정해야 합니다. 그렇지 않으면 서버에서 인증서의 제목 DN의 호스트 이름으로 피어 IP 주소를 확인할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsslapd-ssl-check-hostname: on |
3.1.1.168. nsslapd-syntaxcheck
이 속성은 항목 속성에 대한 모든 수정 사항을 검증하여 새 값 또는 변경된 값이 해당 특성 유형에 필요한 구문을 준수하는지 확인합니다. 이 속성이 활성화되면 적절한 구문을 준수하지 않는 변경 사항이 거부됩니다. 모든 속성 값은 RFC 4514 의 구문 정의에 대해 검증됩니다.
기본적으로 이 설정은 설정되어 있습니다.
구문 검증은 새 속성 또는 수정된 특성에 대해서만 실행됩니다. 기존 특성 값의 구문은 확인하지 않습니다. 구문 검증은 추가 및 수정과 같은 LDAP 작업에 대해 트리거됩니다. 특성 구문의 유효성은 원래 공급업체에서 확인되어야 하므로 복제와 같은 작업 후에는 발생하지 않습니다.
이렇게 하면 정의된 필수 형식이 없는 바이너리 구문(확인할 수 없음) 및 비표준 구문을 제외하고 Directory Server에 대해 지원되는 모든 특성 유형을 검증합니다. 검증되지 않은 구문은 다음과 같습니다.
- Fax(이진)
- OctetString(이진)
- jpeg (binary)
- 바이너리 (Non-standard)
- Space Insensitive String (non-standard)
- URI (Non-standard)
nsslapd-syntaxcheck 속성은 특성 수정을 검증하고 거부할지 여부를 설정합니다. 이를 3.1.1.169절. “nsslapd-syntaxlogging” 속성과 함께 사용하여 잘못된 속성 값에 대한 경고 메시지를 오류 로그에 쓸 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nnsslapd-syntaxcheck: on |
3.1.1.169. nsslapd-syntaxlogging
이 속성은 오류 로그에 대해 구문 검증 실패를 로깅할지 여부를 설정합니다. 기본적으로 이 설정은 꺼져 있습니다.
3.1.1.168절. “nsslapd-syntaxcheck” 속성이 활성화되어 있고 nsslapd-syntaxlogging 속성도 활성화된 경우 유효하지 않은 속성 변경이 거부되고 오류 로그에 기록됩니다. nsslapd-syntaxlogging 만 활성화되고 nsslapd-syntaxcheck 가 비활성화된 경우 잘못된 변경이 허용되지만 오류 로그에 경고 메시지가 기록됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | nnsslapd-syntaxlogging: off |
3.1.1.170. nsslapd-threadnumber (Thread Number)
이 성능 튜닝 관련 값은 시작 시 디렉터리 서버가 생성하는 스레드 수를 설정합니다. 값을 -1 (기본값)으로 설정하면 Directory Server에서 사용 가능한 하드웨어를 기반으로 최적화된 자동 튜닝을 활성화합니다. auto-tuning이 활성화된 경우 nsslapd-threadnumber 에는 Directory Server가 실행되는 동안 자동으로 생성되는 스레드 수가 표시됩니다.
최적화된 성능을 위해 자동 튜닝 설정을 사용하는 것이 좋습니다.
자세한 내용은 Red Hat Directory Server 성능 튜닝 가이드의 해당 섹션을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 시스템의 스레드 및 프로세서에서 지원하는 최대 스레드 수입니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsslapd-threadnumber: -1 |
3.1.1.171. nsslapd-timelimit (시간 제한)
이 속성은 검색 요청에 할당된 최대 시간(초)을 설정합니다. 이 제한에 도달하면 Directory Server는 검색 요청과 일치하는 항목이 있는 모든 항목과 초과된 시간 제한 오류를 반환합니다.
제한을 설정하지 않으면 ns-slapd 는 필요한 시간에 관계없이 클라이언트에 일치하는 모든 항목을 반환합니다. Directory Server에서 검색이 완료될 때까지 무기한 대기할 제한 값을 설정하려면 dse.ldif 파일에서 이 속성에 대해 -1 값을 지정합니다. 값이0(0)이면 검색에 시간이 허용되지 않습니다. 최소 시간 제한은 1초입니다.
dse.ldif 의 이 속성의 -1 은 의 서버 콘솔에 속성을 비워 두는 것과 동일하므로 제한이 사용되지 않습니다. 그러나 음수 정수는 서버 콘솔의 이 필드에 설정할 수 없으며 dse.ldif 항목에서는 유효한 정수가 아니므로 null 값을 사용할 수 없습니다.
해당 사용자 수준 속성은 nsTimeLimit 입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | -1에서 최대 32 비트 정수 값 (2147483647)(초) |
| 기본값 | 3600 |
| 구문 | 정수 |
| 예 | nsslapd-timelimit: 3600 |
3.1.1.172. nsslapd-tmpdir
이는 서버가 임시 파일에 사용하는 디렉토리의 절대 경로입니다. 디렉터리는 서버 사용자 ID가 소유해야 하며 사용자는 읽기 및 쓰기 액세스 권한이 있어야 합니다. 다른 사용자 ID는 디렉터리에 대한 참조를 읽거나 쓸 수 없습니다. 기본값은 /tmp 입니다.
이 속성의 변경 사항은 서버를 다시 시작할 때까지 적용되지 않습니다.
3.1.1.173. nsslapd-unhashed-pw-switch
userPassword 속성을 업데이트하면 Directory Server는 암호를 암호화하여 userPassword 에 저장합니다. 그러나 예를 들어 암호를 AD(Active Directory)와 동기화할 때 특정 상황에서는 디렉터리 서버가 암호화되지 않은 암호를 플러그인에 전달해야 합니다. 이 경우 서버는 암호화되지 않은 암호를 임시 해시되지 않은#user#password 특성에 저장하여 so-called 항목 확장 및 시나리오에 따라 변경 로그에도 저장합니다.In this case, the server stores the unencrypted password in the temporary unhashed#user#user#password attribute in the so-called entry extension and, depending on the scenario, also in the changelog. Directory Server는 임시 해시되지 않은#user#password 속성을 서버의 하드 디스크에 저장하지 않습니다.
nsslapd-unhashed-pw-switch 매개변수는 Directory Server가 암호화되지 않은 암호를 저장하는지 여부와 방법을 제어합니다. 예를 들어 디렉터리 서버의 암호를 Active Directory로 동기화하려면 nsslapd-unhashed-pw-switch 를 on 으로 설정해야 합니다.
매개변수를 다음 값 중 하나로 설정할 수 있습니다.
-
off: Directory Server는 암호화되지 않은 암호를 항목 확장이나 변경 로그에 저장하지 않습니다. AD와 암호 동기화를 사용하지 않거나 암호화되지 않은 암호에 액세스해야 하는 플러그인을 사용하지 않는 경우 이 값을 설정합니다. -
On: Directory Server는 항목 확장 및 변경 로그에 암호화되지 않은 암호를 저장합니다. AD로 암호 동기화를 구성하는 경우 이 값을 설정합니다. -
nolog: Directory Server는 암호화되지 않은 암호를 항목 확장에만 저장하지만 변경 로그에는 저장되지 않습니다. 로컬 Directory Server 플러그인에 암호화되지 않은 암호에 액세스해야 하지만 AD와 암호 동기화가 구성되어 있지 않은 경우 이 값을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | off | on | nolog |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-unhashed-pw-switch: off |
3.1.1.174. nsslapd-validate-cert
Directory Server가 TLS에서 실행되도록 구성되어 있고 해당 인증서가 만료되면 Directory Server를 시작할 수 없습니다. nsslapd-validate-cert 매개변수는 만료된 인증서로 시작하려고 할 때 Directory Server가 응답해야 하는 방법을 설정합니다.
-
warn을 사용하면 Directory Server가 만료된 인증서로 시작할 수 있지만 인증서가 만료된 경고 메시지를 보냅니다. 이 설정은 기본 설정입니다. -
에서인증서의 유효성을 검사하고 인증서가 만료된 경우 서버가 다시 시작되지 않습니다. 이렇게 하면 만료된 인증서에 대한 하드 오류가 설정됩니다. -
off는 모든 인증서 만료 검증을 비활성화하므로 경고를 기록하지 않고 서버가 만료된 인증서로 시작할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | warn | on | off |
| 기본값 | warn |
| 구문 | DirectoryString |
| 예제 | nsslapd-validate-cert: warn |
3.1.1.175. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema 매개변수는 Directory Server가 스키마에 지정되지 않은 속성으로 검색 필터를 확인하는 방법을 정의합니다.
nsslapd-verify-filter-schema 를 다음 옵션 중 하나로 설정할 수 있습니다.
-
reject-invalid: Directory Server는 알 수 없는 요소가 포함된 경우 오류와 함께 필터를 거부합니다. process-safe: Directory Server는 알 수 없는 구성 요소를 빈 세트로 교체하고/var/log/dirsrv/slapd-instance_name/access로그 파일에 있는notes=F플래그로 경고를 기록합니다.nsslapd-verify-filter-schema를warn-invalid또는off에서process-safe로 전환하기 전에 액세스 로그를 모니터링하고notes=F플래그를 사용하여 로그 항목을 생성하는 애플리케이션의 쿼리를 수정합니다. 그렇지 않으면 작업 결과가 변경되고 Directory Server에서 일치하는 항목이 모두 반환되지 않을 수 있습니다.-
warn-invalid: Directory Server는/var/log/dirsrv/slapd-instance_name/access로그 파일에notes=F플래그를 사용하여 경고를 기록하고 전체 데이터베이스를 계속 스캔합니다. -
해제: Directory Server는 필터를 확인하지 않습니다.
예를 들어 nsslapd-verify-filter-schema 를 warn-invalid 또는 off 로 설정하면 (&(non_exististent_attribute=example)(uid=user_name)) 와 같은 필터는 uid=user_name 항목을 평가하고 non_exististent_attribute=example 을 포함하는 경우에만 반환합니다. nsslapd-verify-filter-schema 를 프로세스 안전 으로 설정하면 Directory Server는 해당 항목을 평가하지 않고 반환합니다.
nsslapd-verify-filter-schema 를 reject-invalid 또는 process-safe 로 설정하면 인덱싱되지 않은 검색으로 인해 스키마에 지정되지 않은 특성을 검색할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | reject-invalid, process-safe, warn-invalid, off |
| 기본값 | warn-invalid |
| 구문 | DirectoryString |
| 예 | nsslapd-verify-filter-schema: warn-invalid |
3.1.1.176. nsslapd-versionstring
이 속성은 서버 버전 번호를 설정합니다. version 문자열이 표시되면 빌드 데이터가 자동으로 추가됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 유효한 서버 버전 번호입니다. |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-versionstring: Red Hat-Directory/11.3 |
3.1.1.177. nsslapd-workingdir
이는 시작 후 서버가 현재 작업 디렉터리로 사용하는 디렉터리의 절대 경로입니다. 이는 서버가 getcwd() 함수의 값으로 반환하는 값과 시스템 프로세스 테이블이 현재 작업 디렉터리로 표시하는 값입니다. 이 디렉터리는 코어 파일이 생성된 디렉터리입니다. 서버 사용자 ID는 디렉터리에 대한 읽기 및 쓰기 액세스 권한이 있어야 하며 다른 사용자 ID에는 읽기 또는 쓰기 액세스 권한이 없어야 합니다. 이 속성의 기본값은 오류 로그를 포함하는 디렉터리이며 일반적으로 /var/log/dirsrv/slapd-인스턴스입니다.
이 속성의 변경 사항은 서버를 다시 시작할 때까지 적용되지 않습니다.
3.1.1.178. passwordAllowChangeTime
이 속성은 사용자가 암호를 변경하기 전에 경과해야 하는 시간을 지정합니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 정수 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | passwordAllowChangeTime: 5h |
3.1.1.179. passwordChange(암호 변경)
사용자가 암호를 변경할 수 있는지 여부를 나타냅니다.
이는 pwdAllowUserChange 로 축약될 수 있습니다.
암호 정책에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | 암호 변경: on |
3.1.1.180. passwordCheckSyntax (Check Password Syntax)
이 속성은 암호가 저장되기 전에 암호 구문을 확인할지 여부를 설정합니다. 암호 구문 검사 메커니즘은 암호가 암호 최소 길이 요구 사항을 충족하거나 초과하는지 확인하며 문자열에는 사용자 이름 또는 사용자 ID 또는 uid,cn, sn ,sn,givenName,ou 또는 메일 속성과 같은 간단한 단어가 포함되어 있지 않습니다.
암호 구문에는 다음과 같은 몇 가지 범주가 포함되어 있습니다.
- 암호에서 간단한 단어를 확인할 때 비교할 문자열 또는 토큰의 길이(예: 토큰 길이가 3인 경우 사용자 UID, 이름, 이메일 주소 또는 기타 매개변수에서 3개의 순차적 문자 문자열을 암호에 사용할 수 없음)
- 최소 문자 수(0-9)
- 대문자 ASCII 알파벳 문자 최소 수
- 소문자 ASCII 알파벳 문자 최소 수
-
최소 특수 ASCII 문자 수 (예:
!@#$) - 최소 8비트 문자 수
- 암호별로 필요한 최소 문자 범주 수입니다. 범주는 대문자 또는 소문자, 특수 문자, 숫자 또는 8비트 문자일 수 있습니다.
이는 pwdCheckSyntax 로 축약될 수 있습니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | passwordCheckSyntax: off |
3.1.1.181. passwordDictCheck
에서 로 설정하면 passwordDictCheck 매개변수가 CrackLib 사전에 대해 암호를 확인합니다. 새 암호에 사전 단어가 포함된 경우 Directory Server는 암호를 거부합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | passwordDictCheck: off |
3.1.1.182. passwordExp (암호 만료)
사용자 암호가 지정된 시간(초) 후에 만료되는지 여부를 나타냅니다. 기본적으로 사용자 암호는 만료되지 않습니다. 암호 만료가 활성화되면 passwordMaxAge 특성을 사용하여 암호가 만료되는 시간(초)을 설정합니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 계정 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | passwordExp: on |
3.1.1.183. passwordExpirationTime
이 속성은 사용자의 암호가 만료되기 전에 통과하는 시간을 지정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 날짜, 정수로 |
| 기본값 | none |
| 구문 | GeneralizedTime |
| 예 | passwordExpirationTime: 202009011953 |
3.1.1.184. passwordExpWarned
이 속성은 암호 만료 경고가 사용자에게 전송되었음을 나타냅니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | true | false |
| 기본값 | none |
| 구문 | DirectoryString |
| 예 | passwordExpWarned: true |
3.1.1.185. passwordGraceLimit (암호 만료)
이 속성은 암호 만료가 활성화된 경우에만 적용됩니다. 사용자의 암호가 만료되면 서버에서 사용자가 암호를 변경하기 위해 연결할 수 있습니다. 이를 유예 로그인 이라고 합니다. 서버는 사용자를 완전히 잠그기 전에 특정 횟수의 시도만 허용합니다. 이 속성은 허용된 유예 로그인 수입니다. 값 0 은 서버가 유예 로그인을 허용하지 않음을 의미합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 0 (off) 모든 합리적인 정수 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordGraceLimit: 3 |
3.1.1.186. PasswordHistory (암호 내역)
암호 기록을 활성화합니다. 암호 기록은 사용자가 암호를 재사용할 수 있는지 여부를 나타냅니다. 기본적으로 암호 기록은 비활성화되어 있으며 사용자는 암호를 다시 사용할 수 있습니다. 이 속성이 on 에 설정된 경우 디렉터리는 지정된 수의 이전 암호를 저장하고 사용자가 저장된 암호를 재사용하지 못하도록 합니다. passwordInHistory 특성을 사용하여 Directory Server에서 저장하는 이전 암호 수를 설정합니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | passwordHistory: on |
3.1.1.187. passwordInHistory(기억할 암호 수)
Directory Server가 기록에 저장하는 암호 수를 나타냅니다. 기록에 저장된 암호는 사용자가 재사용할 수 없습니다. 기본적으로 암호 기록 기능은 비활성화되어 있습니다. 즉, Directory Server는 이전 암호를 저장하지 않으므로 사용자가 암호를 재사용할 수 있습니다. passwordHistory 특성을 사용하여 암호 기록을 활성화합니다.
사용자가 추적되는 암호 수를 빠르게 순환하지 못하도록 passwordMinAge 특성을 사용합니다.
이는 pwdInHistory 로 축약될 수 있습니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1~24개의 암호 |
| 기본값 | 6 |
| 구문 | 정수 |
| 예 | passwordInHistory: 7 |
3.1.1.188. passwordIsGlobalPolicy (암호 정책 및 복제)
이 속성은 암호 정책 속성이 복제되는지 여부를 제어합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | passwordIsGlobalPolicy: off |
3.1.1.189. passwordLegacyPolicy
레거시 암호 동작을 활성화합니다. 이전 LDAP 클라이언트에는 최대 실패 제한이 초과되면 사용자 계정을 잠그는 오류가 발생할 것으로 예상 되었습니다. 예를 들어 제한이 세 개의 실패인 경우 네 번째 실패한 시도에서 계정이 잠겼습니다. 그러나 최신 클라이언트는 실패 제한에 도달하면 오류 메시지가 표시될 것으로 예상됩니다. 예를 들어 제한이 세 개의 실패인 경우 세 번째 실패한 시도에서 계정을 잠급니다.
실패 제한을 초과할 때 계정을 잠그는 것이 이전 동작이므로 기존 동작으로 간주됩니다. 기본적으로 활성화되어 있지만 새 LDAP 클라이언트가 예상 시간에 오류를 수신할 수 있도록 비활성화할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | passwordLegacyPolicy: on |
3.1.1.190. PasswordLockout (Account Lockout)
지정된 수의 바인딩 시도 실패 후 사용자가 디렉터리에서 잠겼는지 여부를 나타냅니다. 기본적으로 사용자는 일련의 바인딩 시도에 실패한 후 디렉토리에서 잠길 수 없습니다. 계정 잠금이 활성화된 경우 passwordMaxFailure 특성을 사용하여 사용자가 잠긴 후 실패한 바인딩 시도 수를 설정합니다.
이는 pwdLockOut 에 축약될 수 있습니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | passwordLockout: off |
3.1.1.191. passwordLockoutDuration (Lockout Duration)
계정 잠금 후 사용자가 디렉터리에서 잠긴 시간(초)을 나타냅니다. 계정 잠금 기능은 사용자 암호를 반복적으로 추측하여 디렉토리에 침입하려고 시도하는 해커로부터 보호합니다. passwordLockout 특성을 사용하여 계정 잠금 기능을 활성화하고 비활성화합니다.
이는 pwdLockoutDuration 으로 축약될 수 있습니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647)(초) |
| 기본값 | 3600 |
| 구문 | 정수 |
| 예 | passwordLockoutDuration: 3600 |
3.1.1.192. PasswordMaxAge (암호 최대 기간)
사용자 암호가 만료되는 시간(초)을 나타냅니다. 이 속성을 사용하려면 passwordExp 특성을 사용하여 암호 만료를 활성화해야 합니다.
이는 pwdMaxAge 로 축약될 수 있습니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647)(초) |
| 기본값 | 8640000 (100일) |
| 구문 | 정수 |
| 예 | passwordMaxAge: 100 |
3.1.1.193. passwordBadWords
passwordBadWords 매개변수는 사용자가 암호에서 사용할 수 없는 쉼표로 구분된 문자열 목록을 정의합니다.
Directory Server는 문자열을 대소문자를 구분하지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | "" |
| 구문 | DirectoryString |
| 예 | passwordBadWords: example |
3.1.1.194. passwordMaxClassChars
passwordMaxClassChars 매개변수를 0 보다 높은 값으로 설정하면 Directory Server는 매개변수에 설정된 값보다 동일한 범주에서 더 연속 문자가 있는 암호를 설정하지 않습니다. 활성화된 경우 Directory Server는 다음 카테고리의 연속 문자를 확인합니다.
- 숫자
- 알파 문자
- 소문자
- 대문자
예를 들어 passwordMaxClassChars 를 3 으로 설정하면 포함된 암호(예: jdif 또는 1947 )는 허용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0 (disabled) 최대 32 비트 정수 (2147483647) |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordMaxClassChars: 0 |
3.1.1.195. passwordMaxFailure (최대 암호 실패)
사용자가 디렉터리에서 잠긴 후 실패한 바인딩 시도 수를 나타냅니다. 기본적으로 계정 잠금은 비활성화되어 있습니다. passwordLockout 속성을 수정하여 계정 잠금을 활성화합니다.
이는 pwdMaxFailure 로 축약될 수 있습니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 1에서 최대 정수 바인딩 실패 |
| 기본값 | 3 |
| 구문 | 정수 |
| 예 | passwordMaxFailure: 3 |
3.1.1.196. PasswordMax repeats (암호 구문)
동일한 문자가 암호에 순차적으로 표시될 수 있는 최대 횟수입니다. 0(0)은 꺼져 있습니다. 정수 값은 그 수보다 많은 문자를 사용하는 암호를 거부합니다. 예를 들어 1 은 한 번 이상 사용되는 문자를 거부하고 2 는 두 번 이상 사용되는 문자를 거부합니다(aaa).
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 64로 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordMaxRepeats: 1 |
3.1.1.197. passwordMaxSeqSets
passwordMaxSeqSets 매개변수를 0 보다 큰 값으로 설정하면 Directory Server는 매개변수에 설정된 길이를 초과하는 중복 단조 시퀀스가 있는 암호를 거부합니다. 예를 들어 passwordMaxSeqSets 를 2 로 설정하면 XYZ가 암호에 두 번 표시되므로 암호를 azXYZ_ 로 설정할 수 없습니다.
XYZ -g
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0 (비활성화됨) 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordMaxSeqSets: 0 |
3.1.1.198. passwordMaxSequence
매개변수를 passwordMaxSequence 0 보다 큰 값으로 설정하면 Directory Server는 passwordMaxSequence에 설정된 값보다 긴 단조 시퀀스가 있는 새 암호를 거부합니다. 예를 들어 매개변수를 3 으로 설정하면 Directory Server는 1234 또는 dcba 와 같은 문자열이 포함된 암호를 거부합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0 (비활성화됨) 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordMaxSequence: 0 |
3.1.1.199. passwordMin8#159 (암호 구문)
암호에 포함되어야 하는 최소 8비트 문자 수가 설정됩니다.
이 기능을 사용하려면 userPassword 에 대한 7비트 검사를 비활성화해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 64로 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordMin8Bit: 0 |
3.1.1.200. 암호MinAge (암호 최소 기간)
사용자가 암호를 변경하기 전에 경과해야 하는 시간(초)을 나타냅니다. 사용자가 이전 암호를 다시 사용할 수 있도록 암호를 빠르게 순환하지 못하도록 passwordInHistory (암호 수)와 함께 이 속성을 사용합니다. 값이0(0)이면 사용자가 즉시 암호를 변경할 수 있습니다.
이는 pwdMaxFailure 로 축약될 수 있습니다.
암호 정책에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 유효한 최대 정수 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordMinAge: 150 |
3.1.1.201. passwordMinAlphas(암호 구문)
이 속성은 포함되어야 하는 최소 알파벳 문자 수를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 64로 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordMinAlphas: 4 |
3.1.1.202. passwordMinCategories(암호 구문)
암호에 표시되는 최소 문자 범주 수를 설정합니다. 카테고리는 다음과 같습니다.
- 소문자 영문자
- 대문자 영문자
- 숫자
- $ 및 punctuation 표시와 같은 특수 ASCII 문자 문자
- 8비트 문자
예를 들어 이 속성의 값이 2 로 설정되고 사용자가 암호를 aaaaa 로 변경하려고 하면 소문자만 포함하므로 서버는 암호를 거부하므로 한 카테고리의 문자만 포함됩니다. 대문자와 소문자라는 두 가지 범주의 문자가 포함되어 있기 때문에 aA aaA의 암호가 전달됩니다.
기본값은 3 입니다. 즉, 암호 구문 확인이 활성화된 경우 유효한 암호에는 세 가지 범주의 문자가 있어야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 범위 | 0에서 5까지 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | passwordMinCategories: 2 |
3.1.1.203. PasswordMinDigits (Password Syntax)
이 값은 암호에 포함해야 하는 최소 자리 수를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0~64 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예제 | passwordMinDigits: 3 |
3.1.1.204. passwordMinLength(최소 길이)
이 속성은 Directory Server 사용자 암호 특성에 사용해야 하는 최소 문자 수를 지정합니다. 일반적으로 짧은 암호는 균열하기가 더 쉽습니다. Directory Server는 최소 8자 암호를 적용합니다. 이는 균열하기 어려울 정도로 길지만 사용자가 그것을 작성하지 않고 비밀번호를 기억할 수 있을 정도로 짧다.
이는 pwdMinLength 로 축약될 수 있습니다.
암호 정책에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 2~ 512자 |
| 기본값 | 8 |
| 구문 | 정수 |
| 예제 | passwordMinLength: 8 |
3.1.1.205. PasswordMinLowers (Password Syntax)
이 속성은 최소 대문자 암호에 포함해야 하는 최소 수를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0~64 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예제 | passwordMinLowers: 1 |
3.1.1.206. PasswordMinSpecials (Password Syntax)
이 속성은 암호에 포함해야 하는 문자 의 최소 수 또는 영숫자 수를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0~64 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예제 | passwordMinSpecials: 1 |
3.1.1.207. PasswordMinTokenLength(Password Syntax)
이 특성은 간단한 단어 확인에 사용되는 최소 특성 값 길이를 설정합니다. 예를 들어 PasswordMinTokenLength 가 3 으로 설정된 경우, DJ 의 givenName 은 암호에서 DJ 를 거부하는 정책이 발생하지 않지만 정책은 givenName 의 지정된Name을 병합하는 암호를 거부합니다.
Directory Server는 다음 속성의 값에 대한 최소 토큰 길이를 확인합니다.
-
uid -
cn -
sn -
givenName -
mail -
ou
Directory Server에서 추가 속성을 확인해야 하는 경우 passwordUserAttributes 매개변수에서 설정할 수 있습니다. 자세한 내용은 3.1.1.212절. “passwordUserAttributes”의 내용을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 64 |
| 기본값 | 3 |
| 구문 | 정수 |
| 예제 | passwordMinTokenLength: 3 |
3.1.1.208. PasswordMinUppers (Password Syntax)
이렇게 하면 다음이 포함되어야 하는 최소 대문자 암호 수가 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0~64 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예제 | passwordMinUppers: 2 |
3.1.1.209. passwordMustChange(암호 변경 사항)
Directory Server에 처음 바인딩할 때 사용자가 암호를 변경해야 하는지 또는 Manager DN에서 암호를 재설정했는지 여부를 나타냅니다.
이는 pwdMustChange 로 축약될 수 있습니다.
암호 정책에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | passwordMustChange: off |
3.1.1.210. passwordPalindrome
passwordPalindrome 매개변수를 활성화하면 Directory Server에서 새 암호에 palindrome이 포함된 경우 암호를 거부합니다.
palindrome은 abc11cba 와 같이 이전 버전과 동일한 앞으로 읽는 문자열입니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | passwordPalindrome: off |
3.1.1.211. passwordResetFailureCount (암호 실패 수 조정 후)
암호 실패 카운터가 재설정된 후 시간(초)을 나타냅니다. 잘못된 암호가 사용자 계정에서 전송될 때마다 암호 실패 카운터가 증가합니다. passwordLockout 특성이 on 으로 설정된 경우 카운터가 passwordMaxFailure 특성(기본적으로 600 초)으로 지정된 실패 수에 도달하면 사용자가 디렉터리 외부에서 잠깁니다. passwordLockoutDuration 속성에서 지정한 시간이 지난 후 실패 카운터가0( 0)으로 재설정됩니다.
이는 pwdFailureCountInterval 로 축약될 수 있습니다.
암호 정책에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647)으로 초 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예제 | passwordResetFailureCount: 600 |
3.1.1.212. passwordUserAttributes
기본적으로 passwordMinTokenLength 매개변수에 최소 토큰 길이를 설정하면 Directory Server에서 특정 속성에 대해서만 토큰을 확인합니다. 자세한 내용은 3.1.1.207절. “PasswordMinTokenLength(Password Syntax)”의 내용을 참조하십시오.
passwordUserAttributes 매개변수를 사용하면 Directory Server에서 확인해야 하는 쉼표로 구분된 추가 속성 목록을 설정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | "" |
| 구문 | DirectoryString |
| 예제 | passwordUserAttributes: phoneNumber, l |
3.1.1.213. passwordSendExpiringTime
클라이언트가 암호 만료 제어를 요청하면 Directory Server는 암호가 경고 기간 내에 있는 경우에만 "시간 만료" 값을 반환합니다. 암호 만료 시간이 경고 기간 내에 있는지 여부에 관계없이 항상 이 값을 예상하는 기존 클라이언트와의 호환성을 제공하려면 passwordSendExpiringTime 매개 변수를 의 로 설정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | passwordSendExpiringTime: off |
3.1.1.214. passwordStorageScheme (Password Storage Scheme)
이 속성은 userPassword 특성에 저장된 사용자 암호를 암호화하는 데 사용되는 메서드를 설정합니다. 권장되는 강력한 암호 스토리지 체계와 같은 자세한 내용은 4.1.43절. “암호 스토리지 스키마” 을 참조하십시오.
Red Hat은 이 속성을 설정하지 않는 것이 좋습니다. 값이 설정되지 않았습니다. Directory Server는 사용 가능한 가장 강력한 암호 스토리지 체계를 자동으로 사용합니다. 향후 Directory Server 업데이트에서 보안을 강화하기 위해 기본값을 변경하면 사용자가 암호를 설정한 경우 새 스토리지 구성표를 사용하여 암호가 자동으로 암호화됩니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 4.1.43절. “암호 스토리지 스키마” 을 참조하십시오. |
| 기본값 | PBKDF2_SHA256 |
| 구문 | DirectoryString |
| 예제 | passwordStorageScheme: PBKDF2_SHA256 |
3.1.1.215. passwordTPRDelayExpireAt
passwordTPRDelayExpireAt 속성은 암호 정책의 일부입니다. 관리자가 임시 암호를 사용자 계정으로 설정한 후 passwordTPRDelayExpireAt 는 임시 암호가 만료되기 전에 시간(초)을 정의합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | -1(비활성화됨)을 최대 32비트 정수 값(2147483647)으로 설정합니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | passwordTPRDelayExpireAt: 3600 |
3.1.1.216. passwordTPRDelayValidFrom
passwordTPRDelayValidFrom 속성은 암호 정책의 일부입니다. 관리자가 임시 암호를 사용자 계정으로 설정한 후 passwordTPRDelayValidFrom 은 임시 암호를 사용하기 전에 시간(초)을 정의합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | -1(비활성화됨)을 최대 32비트 정수 값(2147483647)으로 설정합니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | passwordTPRDelayValidFrom: 60 |
3.1.1.217. passwordTPRMaxUse
passwordTPRMaxUse 특성은 암호 정책의 일부입니다. 속성은 사용자가 임시 암호가 만료되기 전에 성공할 수 있거나 인증할 수 없는 횟수를 설정합니다. 인증이 성공하면 Directory Server에서는 사용자가 다른 작업을 수행하기 전에 암호만 변경할 수 있습니다. 사용자가 암호를 변경하지 않으면 작업이 종료됩니다. 인증에 성공했는지 여부에 관계없이 인증 시도 수가 증가합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | -1(비활성화됨)을 최대 32비트 정수 값(2147483647)으로 설정합니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | passwordTPRMaxUse: 5 |
3.1.1.218. passwordTrackUpdateTime
항목의 암호가 마지막으로 변경된 기간 동안 별도의 타임스탬프를 기록할지 여부를 설정합니다. 이 기능을 활성화하면 사용자 계정 항목에 pwdUpdateTime 운영 속성을 추가합니다(예: modifyTime과 같은 다른 업데이트 시간과 비교).
이 타임스탬프를 사용하면 Active Directory와 같은 다양한 LDAP 저장소 간에 암호 변경을 보다 쉽게 동기화할 수 있습니다.
암호 정책에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | passwordtrackUpdateTime: off |
3.1.1.219. passwordUnlock(잠금 해제 계정)
지정된 시간 동안 사용자가 디렉터리의 잠금을 해제했는지 또는 관리자가 계정 잠금 해제 후 암호를 재설정할 때까지 디렉터리를 잠길지 여부를 나타냅니다. 계정 잠금 기능은 사용자의 암호를 반복적으로 추측하여 디렉토리에 침입하려는 해커로부터 보호합니다. 이 passwordUnlock 특성이 off 로 설정되고 운영 속성 accountUnlockTime 의 값이 0 이면 계정이 무기한 잠길 수 있습니다.
암호 정책에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | passwordUnlock: off |
3.1.1.220. passwordWarning (Send Warning)
사용자가 다음 LDAP 작업에 대한 암호 만료 경고 제어가 만료될 때까지의 시간(초)을 나타냅니다. LDAP 클라이언트에 따라 경고가 전송될 때 사용자에게 암호를 변경하라는 메시지가 표시될 수도 있습니다.
이는 pwdExpireWarning 으로 축약될 수 있습니다.
암호 정책에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "사용자 인증 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647)으로 초 |
| 기본값 | 86400(1일) |
| 구문 | 정수 |
| 예제 | passwordWarning: 86400 |
3.1.1.221. passwordAdminSkipInfoUpdate
cn=config 항목 아래에 새 passwordAdminSkipInfoUpdate: on/off 설정을 추가하여 암호 관리자가 수행하는 암호 업데이트를 세밀하게 제어할 수 있습니다. 이 설정을 on on으로 설정하면 암호가 변경되고 사용자 항목의 암호 상태 속성만 업데이트되지 않습니다. 이러한 속성은 passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset 및, passwordExpWarned 입니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | passwordAdminSkipInfoUpdate: on |
암호 관리자는 암호 구문 검사를 우회할 수 있을 뿐만 아니라 글로벌 및 로컬 암호 정책에 구성된 암호 만료 설정 및 만료 타임스탬프 (passwordExpirationTime)를 사용하고' .
passwordAdminSkipInfoUpdate: on/off를 사용하여 암호(pwdMustChange) 속성을 변경해야 합니다
3.1.1.222. retryCountResetTime
retryCountResetTime 속성에는 암호RetryCount 속성이 0 으로 재설정되는 UTC 형식의 날짜 및 시간이 포함됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | UTC 형식의 유효한 타임스탬프 |
| 기본값 | none |
| 구문 | 일반 시간 |
| 예제 | retryCountResetTime: 20190618094419Z |
3.1.2. cn=changelog5,cn=config
멀티 제공 상태 복제 변경 로그 구성 항목은 cn=changelog5 항목에 저장됩니다. cn=changelog5,cn=config 항목은 extensibleObject 개체 클래스의 인스턴스입니다.
cn=changelog5 항목에는 다음 오브젝트 클래스가 포함되어야 합니다.
-
top -
extensibleObject
Directory Server에 의해 두 가지 유형의 변경 로그가 유지 관리됩니다. 여기에 저장되고 변경 로그라고 하는 첫 번째 유형은 다중 제공 복제에서 사용됩니다. 두 번째 변경 로그는 플러그인이며 소위 변경 로그라고도 하는 두 번째 변경 사항은 일부 레거시 애플리케이션과의 호환성을 위해 사용됩니다. Retro Changelog Plug-in에 대한 자세한 내용은 4.1.48절. “Retro Changelog 플러그인” 를 참조하십시오.
3.1.2.1. cn
이 필수 특성은 변경 로그 항목의 상대 고유 이름(RDN)을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=changelog5,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | changelog5 |
| 구문 | DirectoryString |
| 예제 | cn=changelog5 |
3.1.2.2. nsslapd-changelogcompactdb-interval
Berkeley 데이터베이스는 데이터베이스가 명시적으로 압축되지 않는 한 무료 페이지를 재사용하지 않습니다. 컴팩트한 작업은 사용되지 않은 페이지를 파일 시스템으로 반환하고 데이터베이스 파일 크기가 축소됩니다. changelog 데이터베이스를 압축하는 경우 간격(초)을 정의합니다. 데이터베이스를 압축하는 것은 리소스 집약적이므로 자주 수행하지 않아야 합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=changelog5,cn=config |
| 유효한 값 | 0 (복사 없음) ~ 2147483647초 |
| 기본값 | 2592000 (30일) |
| 구문 | 정수 |
| 예제 | nsslapd-changelogcompactdb-interval: 2592000 |
3.1.2.3. nsslapd-changelogdir
이 required 속성은 변경 로그 항목이 생성되는 디렉터리의 이름을 지정합니다. 변경 로그 구성 항목을 만들 때마다 유효한 디렉터리가 포함되어야 합니다. 그렇지 않으면 작업이 거부됩니다. GUI는 이 항목을 기본적으로 /var/lib/dirsrv/slapd-인스턴스/changelogdb/ 에 저장한다고 제안합니다.
cn=changelog5 항목이 제거되면 하위 디렉터리를 포함한 nsslapd-changelogdir 매개변수에 지정된 디렉터리가 모두 제거됩니다.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=changelog5,cn=config |
| 유효한 값 | 변경 로그를 저장하는 디렉터리에 대한 유효한 경로 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb/ |
3.1.2.4. nsslapd-changelogmaxage (Max Changelog Age)
소비자와 동기화할 때 Directory Server는 변경 로그에 타임 스탬프와 각 업데이트를 저장합니다. nsslapd-changelogmaxage 매개변수는 변경 로그에 저장된 레코드의 최대 사용 기간을 설정합니다. 모든 복제본으로 성공적으로 전송된 이전 레코드는 자동으로 제거됩니다. 기본적으로 Directory Server는 7일이 지난 레코드를 제거합니다. 그러나 nsslapd-changelogmaxage 및 nsslapd-changelogmaxentries 매개변수를 비활성화하면 Directory Server는 모든 레코드를 changelog에 유지하고 changelog 파일이 과도하게 증가할 수 있습니다.
Retro changelog에는 섹션 Retro changelog nsslapd-changelogmaxage 에 설명된 자체 nsslapd-changelogmaxage 속성이 있습니다.
trim 작업은 nsslapd-changelogtrim-interval 매개변수에 설정된 간격으로 실행됩니다.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=changelog5,cn=config |
| 유효한 범위 | 0 (상세에 따라 항목이 제거되지 않음) 최대 32 비트 정수 (2147483647) |
| 기본값 | 7d |
| 구문 |
AgeID 가 초 단위인 DirectoryString IntegerAgeID |
| 예 | nsslapd-changelogmaxage: 4w |
3.1.2.5. nsslapd-changelogmaxentries(최대 변경 로그 레코드)
소비자와 동기화할 때 Directory Server는 각 업데이트를 변경 로그에 저장합니다. nsslapd-changelogmaxentries 매개변수는 변경 로그에 저장된 최대 레코드 수를 설정합니다. 모든 복제본으로 성공적으로 전송된 가장 오래된 레코드 수가 nsslapd-changelogmaxentries 값을 초과하면 Directory Server가 변경 로그에서 자동으로 제거합니다. nsslapd-changelogmaxentries 및 nsslapd-changelogmaxage 매개변수를 비활성화한 경우 Directory Server는 changelog에 모든 레코드를 보관하고 변경 로그 파일이 과도하게 증가할 수 있습니다.
nsslapd-changelogmaxentries 매개변수에서 더 낮은 값을 설정하는 경우 Directory Server는 복제 변경 로그의 파일 크기를 자동으로 단축 하지 않습니다. 자세한 내용은 Red Hat 디렉터리 관리 가이드의 해당 섹션을 참조하십시오.
Directory Server는 nsslapd-changelogtrim-interval 매개변수에 설정된 트리트 작업을 실행합니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=changelog5,cn=config |
| 유효한 범위 | 0 (최대 제한은 디스크 크기)에서 최대 32 비트 정수 (2147483647) |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsslapd-changelogmaxentries: 5000 |
3.1.2.6. nsslapd-changelogtrim-interval (변경 로그 트림 간격 제거)
Directory Server는 변경 로그에서 트리밍 프로세스를 반복적으로 실행합니다. 두 실행 사이의 시간을 변경하려면 nsslapd-changelogtrim-interval 매개변수를 업데이트하고 간격을 초 단위로 설정합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=changelog5,cn=config |
| 유효한 범위 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 300 (5분) |
| 구문 | DirectoryString |
| 예 | nsslapd-changelogtrim-interval: 300 |
3.1.2.7. nsslapd-encryptionalgorithm (암호화 알고리즘)
이 속성은 변경 로그를 암호화하는 데 사용되는 암호화 알고리즘을 지정합니다. 변경 로그 암호화를 활성화하려면 디렉터리 서버에 서버 인증서를 설치해야 합니다. 변경 로그에 대한 자세한 내용은 3.1.2.3절. “nsslapd-changelogdir” 을 참조하십시오.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=changelog5,cn=config |
| 유효한 범위 | AES 또는 3DES |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | nsslapd-encryptionalgorithm: AES |
3.1.2.8. nsSymmetricKey
이 속성은 내부적으로 생성된 대칭 키를 저장합니다. 변경 로그에 대한 자세한 내용은 3.1.2.3절. “nsslapd-changelogdir” 을 참조하십시오.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=changelog5,cn=config |
| 유효한 범위 | 기본 64로 인코딩된 키 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | 없음 |
3.1.3. 변경 로그 속성
변경 로그 속성에는 변경 로그에 기록된 변경 사항이 포함되어 있습니다.
3.1.3.1. 변경 사항
이 속성에는 LDIF 형식의 추가 및 수정 항목에 대한 변경 사항이 포함되어 있습니다.
| OID | 2.16.840.1.113730.3.1.8 |
| 구문 | 바이너리 |
| 다중 또는 단일 값 | 다중 값 |
| 에 정의됨 | <Changelog Internet Draft> |
3.1.3.2. changeLog
이 속성에는 서버의 변경 로그를 포함하는 항목 세트가 포함된 항목의 고유 이름이 포함됩니다.
| OID | 2.16.840.1.113730.3.1.35 |
| 구문 | DN |
| multi- 또는 Single-Valued | multi-valued |
| 에 정의되어 있음 | changelog Internet Draft |
3.1.3.3. changeNumber
이 속성은 항상 존재합니다. 디렉터리 항목의 각 변경 내용을 고유하게 식별하는 정수를 포함합니다.It contains an integer which uniquely identifies each change made to a directory entry. 이 번호는 변경이 발생한 순서와 관련이 있습니다. 숫자가 클수록 변경 사항이 됩니다.
| OID | 2.16.840.1.113730.3.1.5 |
| 구문 | 정수 |
| multi- 또는 Single-Valued | multi-valued |
| 에 정의되어 있음 | changelog Internet Draft |
3.1.3.4. changeTime
이 속성은 항목이 추가될 때 YYMMDDHHMMSS 형식으로 시간을 정의합니다.
| OID | 2.16.840.1.113730.3.1.77 |
| 구문 | DirectoryString |
| multi- 또는 Single-Valued | multi-valued |
| 에 정의되어 있음 | 디렉터리 서버 |
3.1.3.5. changeType
이 속성은 LDAP 작업의 유형을 지정하고, 추가,삭제,수정, 또는 modrdn 을 지정합니다. 예를 들면 다음과 같습니다.
changeType: modify
changeType: modify| OID | 2.16.840.1.113730.3.1.7 |
| 구문 | DirectoryString |
| multi- 또는 Single-Valued | multi-valued |
| 에 정의되어 있음 | changelog Internet Draft |
3.1.3.6. deleteOldRdn
modrdn 작업의 경우 이 속성은 이전 RDN이 삭제되었는지 여부를 지정합니다.
값0( 0)은 이전 RDN을 삭제합니다. 0이 아닌 다른 값은 이전 RDN을 유지합니다. 0이 아닌 값은 음수 또는 양의 정수일 수 있습니다.(non-zero values can be negative or positive integers.)
| OID | 2.16.840.1.113730.3.1.10 |
| 구문 | 부울 |
| multi- 또는 Single-Valued | multi-valued |
| 에 정의되어 있음 | changelog Internet Draft |
3.1.3.7. filterInfo
이는 변경 로그에서 복제를 처리하는 데 사용됩니다.
| OID | 2.16.840.1.113730.3.1.206 |
| 구문 | DirectoryString |
| multi- 또는 Single-Valued | multi-valued |
| 에 정의되어 있음 | 디렉터리 서버 |
3.1.3.8. newRdn
modrdn 작업의 경우 이 속성은 항목의 새 RDN을 지정합니다.
| OID | 2.16.840.1.113730.3.1.9 |
| 구문 | DN |
| 다중 또는 단일 값 | 다중 값 |
| 에 정의됨 | <Changelog Internet Draft> |
3.1.3.9. newSuperior
modrdn 작업의 경우 이 속성은 이동된 항목에 대한 새 상위(superior) 항목을 지정합니다.
| OID | 2.16.840.1.113730.3.1.11 |
| 구문 | DN |
| 다중 또는 단일 값 | 다중 값 |
| 에 정의됨 | <Changelog Internet Draft> |
3.1.3.10. targetDn
이 속성에는 LDAP 작업의 영향을 받는 항목의 DN이 포함되어 있습니다. modrdn 작업의 경우 targetDn 속성에는 수정 또는 이동되기 전에 항목의 DN이 포함됩니다.
| OID | 2.16.840.1.113730.3.1.6 |
| 구문 | DN |
| 다중 또는 단일 값 | 다중 값 |
| 에 정의됨 | <Changelog Internet Draft> |
3.1.4. cn=encryption
암호화 관련 속성은 cn=encryption,cn=config 항목 아래에 저장됩니다. cn=encryption,cn=config 항목은 nsslapdEncryptionConfig 오브젝트 클래스의 인스턴스입니다.
3.1.4.1. allowWeakCipher
이 속성은 약한 암호가 허용되거나 거부되는지 여부를 제어합니다. 기본값은 nsSSL3Ciphers 매개변수에 설정된 값에 따라 다릅니다.
다음과 같은 경우 암호화는 약한 것으로 간주됩니다.
exportable 합니다.
내보내기 가능한 암호는 암호 이름으로
EXPORT로 레이블이 지정됩니다. 예를 들어TLS_RSA_EXPORT_WITH_RC4_40_MD5에서 .이는 대칭이고 3DES 알고리즘보다 약합니다.
대칭 암호는 암호화 및 암호 해독 모두에 동일한 암호화 키를 사용합니다.
- 키 길이는 128비트보다 짧습니다.
이 속성을 변경하려면 서버를 다시 시작해야 합니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 |
의 에서는 |
| 구문 | DirectoryString |
| 예 | allowWeakCipher: |
3.1.4.2. allowWeakDHParam
Directory Server와 연결된 NSS(네트워크 보안 서비스) 라이브러리에는 최소 2048비트 Diffie-Hellman(DH) 매개변수가 필요합니다. 그러나 Java 1.6 및 1.7 클라이언트와 같은 Directory Server에 연결하는 일부 클라이언트는 1024비트 DH 매개변수만 지원합니다. allowWeakDHParam 매개변수를 사용하면 Directory Server에서 약한 1024비트 DH 매개변수를 지원할 수 있습니다.
이 속성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | allowWeakDHParam: off |
3.1.4.3. nsSSL3Ciphers
이 속성은 암호화된 통신 중에 사용하는 TLS 암호화 암호 디렉터리 서버 집합을 지정합니다.
이 매개 변수에 설정된 값은 allowWeakCipher 매개변수의 기본값에 영향을 미칩니다. 자세한 내용은 3.1.4.1절. “allowWeakCipher”의 내용을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | NSS에서 지원되는 암호의 쉼표로 구분된 목록입니다. 또한 다음 매개변수를 사용할 수 있습니다. * default: 약한 암호를 제외하고 NSS에서 알리는 기본 암호를 활성화합니다. 자세한 내용은 SSL 연결에 지원되는 암호화 제품군 목록을 참조하십시오.
* +all: 모든 암호가 활성화됩니다. * -all: 모든 암호가 비활성화되어 있습니다. |
| 기본값 | default |
| 구문 | DirectoryString
더하기(
|
| 예 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
지원되는 모든 암호를 나열하는 방법에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 해당 섹션을 참조하십시오.
3.1.4.4. nsSSLActivation
이 속성은 지정된 보안 모듈에 TLS 암호화 제품군이 활성화되어 있는지 여부를 보여줍니다.
| 입력 DN | cn=encryptionType,cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsSSL 활성화: on |
3.1.4.5. nsSSLClientAuth
이 속성은 Directory Server가 클라이언트 인증을 적용하는 방법을 보여줍니다. 다음 값을 허용합니다.
-
off- Directory Server에서 클라이언트 인증을 허용하지 않음 -
허용(기본값) - Directory Server는 클라이언트 인증을 허용하지만 필수는 아닙니다. 필수- 모든 클라이언트가 클라이언트 인증을 사용해야 합니다.중요Directory Server Console은 클라이언트 인증을 지원하지 않습니다. 따라서
nsSSLClientAuth속성이required로 설정된 경우 인스턴스를 관리하는 데 콘솔을 사용할 수 없습니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | off | allowed | required |
| 기본값 | 허용됨 |
| 구문 | DirectoryString |
| 예 | nsSSLClientAuth: allowed |
3.1.4.6. nsSSLEnabledCiphers
Directory Server는 다중 값 nsSSLEnabledCiphers 속성을 자동으로 생성합니다. 속성은 읽기 전용이며 현재 사용하는 암호 디렉터리 서버를 표시합니다. 이 목록은 nsSSL3Ciphers 속성에서 설정한 것과 동일하지 않을 수 있습니다. 예를 들어 nsSSL3Ciphers 속성에 약한 암호를 설정했지만 allowWeakCipher s가 비활성화된 경우 nsSSLEnabledCiphers 속성에 약한 암호가 나열되지도 Directory Server도 사용하지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 이 속성의 값은 자동으로 생성되며 읽기 전용입니다. |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.7. nsSSLPersonalitySSL
이 속성에는 SSL에 사용할 인증서 이름이 포함되어 있습니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | 인증서 닉네임 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제: | nsSSLPersonalitySSL: Server-Cert |
3.1.4.8. nsSSLSessionTimeout
이 속성은 TLS 연결의 수명 기간을 설정합니다. 최소 시간 제한 값은 5 초입니다. 더 작은 값이 설정되면 자동으로 5 초로 대체됩니다. 아래 유효한 범위의 최대값보다 큰 값은 범위의 최대값으로 교체됩니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 범위 | 5초에서 24시간 |
| 기본값 | 0은 위의 유효한 범위에서 최대값을 사용한다는 것을 의미합니다. |
| 구문 | 정수 |
| 예 | nsSSLSessionTimeout: 5 |
3.1.4.9. nsSSLSupportedCiphers
이 속성에는 서버에 지원되는 암호가 포함되어 있습니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | 특정 제품군, 암호 및 강도 문자열 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제: | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.10. nsSSLToken
이 속성에는 서버에서 사용하는 토큰(보안 모듈)의 이름이 포함되어 있습니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | 모듈 이름 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제: | nsSSLToken: internal(소프트웨어) |
3.1.4.11. nsTLS1
TLS 버전 1을 활성화합니다. TLS와 함께 사용되는 암호는 nsSSL3Ciphers 특성에 정의됩니다.
sslVersionMin 및 sslVersionMax 매개변수가 nsTLS1 과 함께 설정된 경우 Directory Server는 이러한 매개변수에서 가장 안전한 설정을 선택합니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsTLS1: on |
3.1.4.12. nsTLSAllowClientRenegotiation
Directory Server는 SSL_ ENABLE_RENGOTIATION 옵션과 함께 네트워크 보안 서비스(NSS) 기능을 사용하여 NSS의 TLS 재협상 동작을 제어합니다.
SSL_ OptionSet()
nsTLSAllowClientRenegotiation 속성은 Directory Server가 SSL_ENABLE_ RENGOTIATION 옵션에 전달하는 값을 제어합니다.
-
nsTLSAllowClientRenegotiation:을 설정하는 경우 Directory Server는SSL_RENEGOTIATE_REQUIRES_XTN을SSL_ENABLE_RENGOTIATION 옵션으로 전달합니다. 이 경우 NSS는 RFC 5746 을 사용하여 보안 재협상 시도를 허용합니다. -
nsTLSAllowClientRenegotiation: off를 설정하면 Directory Server는SSL_RENGOTIATE_NEVER를SSL_ENABLE_RENGOTIATION 옵션으로 전달합니다. 이 경우 NSS는 모든 재협상 시도를 거부하며 보안 시도도 거부합니다.
NSS TLS 재협상 동작에 대한 자세한 내용은 TLS 재협상 MITM 공격 (CVE-2009-3555)의 영향을 받는 Is Red Hat의 NSS(Network Security Services)의 RFC 5746 구현 섹션을 참조하십시오.
이 속성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsTLSAllowClientRenegotiation: on |
3.1.4.13. sslVersionMin
sslVersionMin 매개변수는 TLS 프로토콜 디렉터리 서버의 최소 버전을 설정합니다. 그러나 기본적으로 Directory Server는 시스템 전체 암호화 정책에 따라 이 매개변수를 자동으로 설정합니다. /etc/crypto-policies/config 파일에서 crypto 정책 프로필을 다음과 같이 설정하는 경우:
-
DEFAULT,FUTURE또는FIPS, Directory Server는sslVersionMin을TLS1.2로 설정합니다. -
LEGACY, Directory Server는sslVersionMin을TLS1.0으로 설정합니다.
또는 sslVersionMin 을 crypto 정책에 정의된 값보다 높은 값으로 수동으로 설정할 수 있습니다.
이 속성을 변경하려면 서비스를 다시 시작해야 합니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 |
|
| 기본값 | 설정한 시스템 전체 암호화 정책 프로필에 따라 다릅니다. |
| 구문 | DirectoryString |
| 예제: | sslVersionMin: TLS1.2 |
3.1.4.14. sslVersionMax
사용할 TLS 프로토콜의 최대 버전을 설정합니다. 기본적으로 이 값은 시스템에 설치된 NSS 라이브러리에서 사용 가능한 최신 프로토콜 버전으로 설정됩니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
sslVersionMin 및 sslVersionMax 매개변수가 nsTLS1 과 함께 설정된 경우 Directory Server는 이러한 매개변수에서 가장 안전한 설정을 선택합니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 |
|
| 기본값 | 시스템에 설치된 NSS 라이브러리에서 최신 프로토콜 버전 |
| 구문 | DirectoryString |
| 예제: | sslVersionMax: TLS1.2 |
3.1.5. CN=features
cn=features 항목 자체에는 속성이 없습니다. 이 항목은 nsContainer 오브젝트 클래스가 있는 상위 컨테이너 항목으로만 사용됩니다.
하위 항목에는 기능 및 directoryServerFeature 오브젝트 클래스를 식별하는 oid 속성과 특정 ACL과 같은 기능에 대한 선택적 식별 정보가 포함되어 있습니다. 예를 들면 다음과 같습니다.
3.1.5.1. OID
oid 속성에는 디렉터리 서비스 기능에 할당된 오브젝트 식별자가 포함되어 있습니다. O ID는 이러한 디렉터리 기능의 이름 지정 속성으로 사용됩니다.
| OID | 2.16.840.1.113730.3.1.215 |
| 구문 | DirectoryString |
| 다중 또는 단일 값 | 다중 값 |
| 에 정의됨 | 디렉터리 서버 |
3.1.6. CN=mapping 트리
접미사, 복제 및 Windows 동기화에 대한 구성 속성은
cn=mapping 트리,cn=config아래에 저장됩니다. 접미사와 관련된 구성 속성은 접미사 하위 항목cn=suffix,cn=mapping tree,cn=config아래에 있습니다.예를 들어 접미사 는 디렉터리 트리의 루트 항목(예:
dc=example,dc=com)입니다.-
복제 구성 속성은
cn=replica,cn=접미사,cn=mapping 트리,cn=config아래에 저장됩니다. -
복제 계약 속성은
cn=replicationAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config아래에 저장됩니다. -
Windows 동기화 계약 속성은
cn=syncAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config아래에 저장됩니다.
3.1.7. cn=suffix_DN 아래의 접미사 구성 속성
접미사 구성은 cn="suffix_DN",cn=mapping 트리,cn=config 항목 아래에 저장됩니다. 이러한 항목은 nsMappingTree 오브젝트 클래스의 인스턴스입니다. extensibleObject 개체 클래스를 사용하면 해당 개체에 속하는 항목이 모든 사용자 특성을 보유할 수 있습니다. 서버에서 접미사 구성 속성을 고려하려면 최상위 오브젝트 클래스 외에도 이러한 오브젝트 클래스가 항목에 있어야 합니다.
기호(=), 쉼표(,), 공백 문자와 같은 문자가 포함되어 있으므로 접미사 DN을 따옴표로 작성해야 합니다. 따옴표를 사용하면 DN이 다른 DN의 값으로 올바르게 표시됩니다. 예: cn="dc=example,dc=com",cn=mapping 트리,cn=config
자세한 내용은 Directory Server 관리 가이드의 해당 섹션을 참조하십시오.
3.1.7.1. CN
이 필수 속성은 새 접미사의 상대 고유 이름(RDN)을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 유효한 LDAP DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | cn: dn=example,dc=com |
3.1.7.2. nsslapd-backend
이 매개 변수는 요청을 처리하는 데 사용되는 데이터베이스 또는 데이터베이스 링크의 이름을 설정합니다. 값당 하나의 데이터베이스 또는 데이터베이스 링크가 있는 다중 값입니다. nsslapd-state 속성 값이 backend 로 설정되거나 업데이트 시 추천할 때 이 속성이 필요합니다.
cn=ldbm 데이터베이스,cn=plugins,cn=config 아래의 백엔드 데이터베이스 항목 인스턴스의 이름으로 값을 설정합니다. 예: o=userroot,cn=ldbm 데이터베이스,cn=plugins,cn=config
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 유효한 파티션 이름 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-backend: userRoot |
3.1.7.3. nsslapd-distribution-function
nssldap-distribution-function 매개 변수는 사용자 정의 배포 함수의 이름을 설정합니다. nsslapd-backend 특성에 둘 이상의 데이터베이스를 설정할 때 이 속성을 설정해야 합니다.
사용자 지정 배포 기능에 대한 자세한 내용은 Directory Server 관리 가이드의 해당 섹션을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 유효한 배포 함수 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-distribution-plugin: distribution_function_name |
3.1.7.4. nsslapd-distribution-plugin
nssldap-distribution-plugin 은 사용자 정의 배포 함수와 함께 사용할 공유 라이브러리를 설정합니다. nsslapd-backend 특성에 둘 이상의 데이터베이스를 설정할 때 이 속성을 설정해야 합니다.
사용자 지정 배포 기능에 대한 자세한 내용은 Directory Server 관리 가이드의 해당 섹션을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 유효한 배포 플러그인 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-distribution-plugin: /path/to/shared/library |
3.1.7.5. nsslapd-parent
하위 접미사를 생성하려면 nsslapd-parent 특성을 사용하여 상위 접미사를 정의합니다.
속성을 설정하지 않으면 새 접미사가 루트 접미사로 생성됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 유효한 파티션 이름 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd-parent-suffix: dc=example,dc=com |
3.1.7.6. nsslapd-referral
이 속성은 접미사가 반환하는 추천의 LDAP URL을 설정합니다. nssldap-referral 속성을 여러 번 추가하여 여러 추천 URL을 설정할 수 있습니다.
nsslapd-state 매개변수를 추천 또는 업데이트 하도록 설정하는 경우 이 속성을 설정해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 유효한 LDAP URL |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nssldap-referral: ldap://example.com/ |
3.1.7.7. nsslapd-state
이 매개변수는 접미사가 작업을 처리하는 방법을 결정합니다. 속성은 다음 값을 사용합니다.
-
backend: 백엔드 데이터베이스는 모든 작업을 처리합니다. -
사용
안 함: 데이터베이스를 처리 작업에 사용할 수 없습니다.Disabled - The database is not available for processing operations. 서버는 클라이언트 애플리케이션에서 만든 요청에 대한 응답으로No such search object오류를 반환합니다. -
추천: Directory Server는 이 접미사에 대한 요청에 대한 추천 URL을 반환합니다. -
업데이트 시 참조: 데이터베이스가 모든 작업에 사용됩니다. 업데이트 요청에 대해서만 전송되는 추천입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 백엔드 | 비활성화 | 추천 | 업데이트 참조 |
| 기본값 | 백엔드 |
| 구문 | DirectoryString |
| 예 | nsslapd-state: backend |
3.1.8. cn=replica,cn=suffixDN,cn=mapping 트리,cn=config 아래의 복제 속성
복제 구성 속성은 cn=replica,cn=접미사,cn=mapping 트리,cn=config 아래에 저장됩니다. cn=replica 항목은 nsDS5Replica 개체 클래스의 인스턴스입니다. 서버에서 복제 구성 속성을 고려하려면 이 오브젝트 클래스( 상위 오브젝트 클래스에 추가)가 항목에 있어야 합니다. 복제에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "복제 관리" 장을 참조하십시오.
cn=replica,cn=suffix,cn=mapping tree,cn=config 항목에 다음 오브젝트 클래스가 포함되어야 합니다.
-
top -
extensibleObject -
nsds5replica
3.1.8.1. CN
복제본의 naming 속성을 설정합니다. cn 속성은 replica 로 설정해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 |
값은 |
| 기본값 | replica |
| 구문 | DirectoryString |
| 예 | cn=replica |
3.1.8.2. nsds5DebugReplicaTimeout
이 속성은 복제가 디버그 로깅과 함께 실행될 때 사용할 대체 시간 초과 기간을 제공합니다. 시간 또는 시간 및 디버그 수준만 설정할 수 있습니다.
nsds5debugreplicatimeout: seconds[:debuglevel]
nsds5debugreplicatimeout: seconds[:debuglevel]| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 숫자 문자열 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsds5debugreplicatimeout: 60:8192 |
3.1.8.3. nsDS5Flags
이 속성은 이전에 플래그로 정의된 복제본 속성을 설정합니다. 현재 하나의 플래그만 존재하는데 로그가 변경되는지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 0 | 1 * 0: 복제본이 변경 로그에 기록되지 않습니다. 이는 소비자의 기본값입니다. 1: 복제본은 변경 로그에 씁니다. 이는 허브 및 공급 업체의 기본값입니다. |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsDS5Flags: 0 |
3.1.8.4. nsDS5ReplConflict
이 속성은 cn=replica 항목에 없지만 복제와 함께 사용됩니다. 이 다중 값 속성은 동기화 프로세스에서 자동으로 해결할 수 없는 변경 충돌이 있는 항목에 포함됩니다. 관리자 개입이 필요한 복제 충돌을 확인하려면 LDAP 검색을 수행합니다(nsDS5ReplConflict=*). 예를 들면 다음과 같습니다.
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID
검색 필터 "(objectclass=nsTombstone)" 를 사용하면 tombstone(deleted) 항목이 표시됩니다. nsDS5ReplConflict 값에는 일반적으로 nsUniqueID 가 있는 항목에 대한 자세한 정보가 포함되어 있습니다. nsUniqueID 로 tombstone 항목을 검색할 수 있습니다. 예를 들면 다음과 같습니다.
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"3.1.8.5. nsDS5ReplicaAutoReferral
이 속성은 Directory Server가 데이터베이스에 대한 구성된 추천을 따르는지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | On | off |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaAutoReferral: on |
3.1.8.6. nsState
이 속성은 시계 상태에 대한 정보를 저장합니다. 이는 서버가 이전 클럭 오류를 감지하는 데 필요한 기존의 변경 시퀀스 번호(csn)를 생성할 수 없도록 내부 용도로만 설계되었습니다.
3.1.8.7. nsDS5ReplicaAbortCleanRUV
이 읽기 전용 속성은 더 이상 사용되지 않거나 누락된 공급업체에 대한 이전 RUV 항목을 제거하는 백그라운드 작업이 중단되는지 여부를 지정합니다. 이 작업에 대한 자세한 내용은 3.1.16.13절. “cn=abort cleanallruv” 을 참조하십시오. 값이 0 이면 작업이 비활성 상태이고 1 값은 작업이 활성 상태임을 나타냅니다.
이 속성은 서버를 다시 시작한 후 중단 작업을 다시 시작할 수 있도록 하기 위해 존재합니다. 작업이 완료되면 속성이 삭제됩니다.
이 값이 수동으로 설정된 경우 서버는 수정 요청을 무시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping 트리,cn=config |
| 유효한 값 | 0 | 1 |
| 기본값 | 없음 |
| 구문 | 정수 |
| 예 | nsDS5ReplicaAbortCleanRUV: 1 |
3.1.8.8. nsds5ReplicaBackoffMin 및 nsds5ReplicaBackoffMax
이러한 속성은 복제 트래픽이 많은 환경에서 사용되며 업데이트를 최대한 빨리 보내야 합니다.
기본적으로 원격 복제본이 사용 중인 경우 복제 프로토콜은 "백오프" 상태로 전환되고 백오프 타이머의 다음 간격으로 업데이트를 보냅니다. 기본적으로 타이머는 3초 후에 시작하고 최대 대기 기간은 5분입니다. 이러한 기본 설정은 특정 상황에서 충분하지 않을 수 있으므로 nsds5ReplicaBackoffMin 및 nsds5ReplicaBackoffMax 를 사용하여 최소 및 최대 대기 시간을 구성할 수 있습니다.
구성 설정은 서버가 온라인 상태인 동안 적용할 수 있으며 서버를 다시 시작할 필요가 없습니다. 잘못된 설정을 사용하면 기본값이 대신 사용됩니다. CLI 툴을 통해 구성을 처리해야 합니다.
3.1.8.9. nsDS5ReplicaBindDN
이 다중 값 속성은 바인딩 시 사용할 DN을 지정합니다. 이 cn=replica 항목에 값이 두 개 이상 있을 수 있지만 복제 계약당 하나의 공급업체 바인딩 DN만 있을 수 있습니다. 각 값은 소비자 서버에서 로컬 항목의 DN이어야 합니다. 복제 공급자가 클라이언트 인증서 기반 인증을 사용하여 소비자에 연결하는 경우 인증서의 subjectDN 을 로컬 항목에 매핑하도록 소비자의 인증서 매핑을 구성합니다.
보안상의 이유로 이 속성을 cn=Directory Manager 로 설정하지 마십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.8.10. nsDS5ReplicaBindDNGroup
nsDS5ReplicaBindDNGroup 속성은 그룹 DN을 지정합니다. 그런 다음 이 그룹은 확장되고 하위 그룹의 멤버를 포함하여 해당 멤버가 시작 시 또는 복제본 개체가 수정될 때 replicaBindDNs 속성에 추가됩니다. 이는 nsDS5ReplicaBindDN 속성에서 제공하는 현재 기능을 확장하므로 그룹 DN을 설정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 그룹 DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaBindDNGroup: cn=sample_group,ou=groups,dc=example,dc=com |
3.1.8.11. nsDS5ReplicaBindDNGroupCheckInterval
Directory Server는 nsDS5ReplicaBindDNGroup 특성에 지정된 그룹의 변경 사항을 확인하고 그에 따라 replicaBindDN 매개 변수에 대한 목록을 자동으로 다시 작성합니다. 이러한 작업은 성능에 부정적인 영향을 미치므로 nsDS5ReplicaBindDNGroupCheckInterval 속성에서 지정된 간격 세트에서만 수행됩니다.
이 속성은 다음 값을 허용합니다.
-
런타임에 동적 검사를 비활성화합니다.
nsDS5ReplicaBindDNGroup속성이 변경되면 관리자가 인스턴스를 다시 시작해야 합니다. -
0: Directory Server는 그룹을 변경한 직후 목록을 다시 작성합니다. - 모든 양의 32비트 정수 값: 마지막 다시 빌드 이후 전달하는 데 필요한 최소 시간(초)입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | -1에서 최대 32비트 정수(2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예 | nsDS5ReplicaBindDNGroupCheckInterval: 0 |
3.1.8.12. nsDS5ReplicaChangeCount
이 읽기 전용 속성은 변경 로그의 총 항목 수와 여전히 복제할 수 있는지 여부를 표시합니다. 변경 로그를 제거해도 복제할 항목만 유지됩니다.
제거 작업 속성에 대한 자세한 내용은 3.1.8.18절. “nsDS5ReplicaPurgeDelay” 및 3.1.8.23절. “nsDS5ReplicaTombstonePurgeInterval” 을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | -1에서 최대 32비트 정수(2147483647) |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsDS5ReplicaChangeCount: 675 |
3.1.8.13. nsDS5ReplicaCleanRUV
이 읽기 전용 속성은 사용되지 않거나 누락된 공급업체의 이전 RUV 항목을 제거하는 백그라운드 작업이 활성 상태인지 여부를 지정합니다. 이 작업에 대한 자세한 내용은 3.1.16.12절. “cn=cleanallruv” 을 참조하십시오. 값이 0 이면 작업이 비활성 상태이고 1 값은 작업이 활성 상태임을 나타냅니다.
이 속성은 서버를 다시 시작한 후 정리 작업을 다시 시작할 수 있도록 허용하기 위해 존재합니다. 작업이 완료되면 속성이 삭제됩니다.
이 값이 수동으로 설정된 경우 서버는 수정 요청을 무시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping 트리,cn=config |
| 유효한 값 | 0 | 1 |
| 기본값 | 없음 |
| 구문 | 정수 |
| 예 | nsDS5ReplicaCleanRUV: 0 |
3.1.8.14. nsDS5ReplicaId
이 속성은 지정된 복제 환경에서 공급자의 고유 ID를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 |
공급 업체의 경우:
소비자 및 허브의 경우: |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsDS5ReplicaId: 1 |
3.1.8.15. nsDS5ReplicaLegacyConsumer
이 속성이 없거나 값이 false 인 경우 복제본은 레거시 소비자가 아닙니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | true | false |
| 기본값 | false |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaLegacyConsumer: false |
3.1.8.16. nsDS5ReplicaName
이 속성은 내부 작업의 고유 식별자가 있는 복제본의 이름을 지정합니다. 지정하지 않으면 복제본이 생성될 때 서버에서 이 고유 식별자가 할당됩니다.
서버가 이 이름을 생성할 수 있도록 허용하는 것이 좋습니다. 그러나 특정 상황에서는 복제본 역할 변경( hub etc.로 제공)에서 이 값을 지정해야 합니다. 그렇지 않으면 서버에서 올바른 변경 로그 데이터베이스를 사용하지 않고 복제가 실패합니다.
이 속성은 내부 용도로만 사용됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | |
| 기본값 | |
| 구문 | DirectoryString( UID가 복제본을 식별) |
| 예 | nsDS5ReplicaName: 66a2b699-1dd211b2-807fa9c3-a58714648 |
3.1.8.17. nsds5ReplicaProtocolTimeout
서버를 중지하거나 복제 계약을 비활성화하거나 복제 계약을 제거하는 경우 서버가 로드될 때 복제를 중지하기 전에 대기해야 하는 기간에 대한 시간 초과가 있습니다. nsds5ReplicaProtocolTimeout 속성을 사용하여 이 시간 초과를 구성할 수 있으며 기본값은 120초입니다.
2 분의 시간 초과가 너무 길거나 충분하지 않은 시나리오가 있을 수 있습니다. 예를 들어, 특정 복제 계약에는 종료 중에 복제 세션을 종료하기 전에 더 많은 시간이 필요할 수 있습니다.
이 속성은 백엔드의 기본 복제 구성 항목에 추가할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping 트리,cn=config |
| 유효한 범위 | 0에서 최대 32비트 정수(2147483647)(초 단위) |
| 기본값 | 120 |
| 구문 | 정수 |
| 예 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 속성을 복제 계약에 추가할 수도 있습니다. 복제 계약 프로토콜 시간 초과는 기본 복제본 구성 항목에 설정된 타임아웃을 재정의합니다. 이렇게 하면 복제 계약에 따라 다른 시간 초과가 허용됩니다. 복제 세션이 진행 중인 경우 새 시간 초과가 해당 세션을 중단하고 서버가 종료되도록 허용합니다.
3.1.8.18. nsDS5ReplicaPurgeDelay
이 속성은 삭제된 항목(tombstone 항목) 및 상태 정보의 최대 사용 기간을 제어합니다.
Directory Server는 tombstone 항목 및 상태 정보를 저장하여 다중 공급 복제 프로세스에서 충돌이 발생할 때 서버는 변경 순서 번호에 저장된 타임스탬프 및 복제본 ID를 기반으로 충돌을 해결합니다.
내부 Directory Server 하우스키핑 작업은 이 속성의 값(초)보다 오래된 tombstone 항목을 주기적으로 제거합니다. nsDS5ReplicaPurgeDelay 값보다 오래된 상태 정보는 상태 정보가 포함된 항목이 수정되면 제거됩니다.
다중 제공 복제가 있는 서버가 속성 값보다 오래된 경우에도 기본 복제에 대한 최신 업데이트의 소수를 유지해야 하므로 모든 tombstone 및 상태 정보가 제거될 수 있습니다.
이 속성은 항목에서 내부 제거 작업을 수행하기 위한 간격(초)을 지정합니다. 이 특성을 설정할 때 제거 지연이 복제 정책에서 가장 긴 복제 주기보다 길도록 하여 복제 충돌을 해결하기 위한 충분한 정보를 유지하고 다른 서버에 저장된 데이터의 복사본이 분산되지 않도록 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | 0 (영구 유지) ~ 최대 32 비트 정수 (2147483647) |
| 기본값 | 604800 [1 week (60x60x24x7)] |
| 구문 | 정수 |
| 예 | nsDS5ReplicaPurgeDelay: 604800 |
3.1.8.19. nsDS5ReplicaReapActive
이 읽기 전용 속성은 데이터베이스에서 이전 tombstones (삭제된 항목)를 제거하는 백그라운드 작업이 활성화되어 있는지 여부를 지정합니다. 이 작업에 대한 자세한 내용은 3.1.8.23절. “nsDS5ReplicaTombstonePurgeInterval” 을 참조하십시오. 값이 0 이면 작업이 비활성 상태이고 1 값은 작업이 활성 상태임을 나타냅니다. 이 값이 수동으로 설정된 경우 서버는 수정 요청을 무시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping 트리,cn=config |
| 유효한 값 | 0 | 1 |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsDS5ReplicaReapActive: 0 |
3.1.8.20. nsDS5ReplicaReferral
이 다중 값 속성은 사용자 정의 추천을 지정합니다. 이는 소비자에만 정의되어야 합니다. 사용자 추천은 클라이언트가 읽기 전용 소비자에서 데이터를 수정하려고 할 때만 반환됩니다. 이 선택적 추천은 복제 프로토콜에 의해 소비자가 자동으로 구성하는 추천을 재정의합니다.
URL은 IPv4 또는 IPv6 주소와 함께 ldap[s]://host_name:port 형식을 사용할 수 있습니다.
_number 또는 ldap[s]://IP_address:port_number
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 LDAP URL |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaReferral: ldap://server.example.com:389 |
3.1.8.21. nsDS5ReplicaReleaseTimeout
이 속성은 여러 공급 업체 시나리오에서 공급업체와 허브에 사용될 때 공급자가 복제본을 출시한 후 시간 초과 기간(초)을 결정합니다. 이는 네트워크 연결 속도가 느린 문제로 인해 한 공급업체가 복제본에 대한 액세스를 확보하고 장기간 보관하여 다른 모든 공급자가 해당 서비스에 액세스하지 못하도록 하는 경우에 유용합니다. 이 속성이 설정된 경우 지정된 기간 후에 공급자가 복제본이 릴리스되므로 복제 성능이 향상됩니다.
이 속성을 0 으로 설정하면 시간 초과가 비활성화됩니다. 다른 값은 시간 초과의 길이를 초 단위로 결정합니다.
이 속성을 1 에서 30 사이의 값으로 설정하지 마십시오. 대부분의 시나리오에서는 짧은 시간 초과가 복제 성능을 저하시킵니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 0에서 최대 32비트 정수(2147483647)(초 단위) |
| 기본값 | 60 |
| 구문 | 정수 |
| 예 | nsDS5ReplicaReleaseTimeout: 60 |
3.1.8.22. nsDS5ReplicaRoot
이 속성은 복제 영역의 루트에 있는 DN을 설정합니다. 이 속성은 복제 중인 데이터베이스의 접미사와 동일해야 하며 수정할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 복제 중인 데이터베이스의 접미사로, 접미사 DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.8.23. nsDS5ReplicaTombstonePurgeInterval
이 속성은 제거 작업 사이클 사이의 시간 간격(초)을 지정합니다.
서버는 주기적으로 내부 하우스키핑 작업을 실행하여 변경 로그 및 기본 데이터베이스에서 이전 업데이트 및 상태 정보를 제거합니다. 3.1.8.18절. “nsDS5ReplicaPurgeDelay”을 참조하십시오.
이 속성을 설정할 때 특히 서버가 클라이언트 및 공급 업체의 많은 삭제 작업을 처리하는 경우 제거 작업이 시간이 오래 걸립니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | 0에서 최대 32비트 정수(2147483647)(초 단위) |
| 기본값 | 86400 (1일) |
| 구문 | 정수 |
| 예 | nsDS5ReplicaTombstonePurgeInterval: 86400 |
3.1.8.24. nsDS5ReplicaType
이 복제본과 다른 복제본 사이에 존재하는 복제 관계 유형을 정의합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 0 | 1 | 2 | 3 * 0 은 알 수 없음을 의미합니다. * 1 은 기본(아직 사용되지 않음)을 의미합니다. * 2 는 소비자를 의미합니다 (읽기 전용) * 3 소비자/supplier (업데이트 가능) |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsDS5ReplicaType: 2 |
3.1.8.25. nsds5Task
이 속성은 데이터베이스 콘텐츠를 LDIF 파일에 덤프하거나 복제 토폴로지에서 더 이상 사용되지 않는 공급업체 제거와 같은 복제 작업을 시작합니다.
nsds5Task 속성을 다음 값 중 하나로 설정할 수 있습니다.
-
cl2ldif:/var/lib/dirsrv/slapd-instance_name/changelogdb/디렉터리의 LDIF 파일로 변경 로그를 내보냅니다. -
ldif2cl:/var/lib/dirsrv/slapd-instance_name/changelogdb/디렉터리에 저장된 LDIF 파일에서 변경 로그를 가져옵니다. -
cleanruv: 작업을 실행하는 공급자에서 RUV(Replica Update Vector)를 제거합니다. -
cleanallruv: 복제 토폴로지의 모든 서버에서 RUV를 제거합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 |
*
*
*
* |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsds5Task: cleanallruv |
복제 계약에 관련된 복제 속성은 cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config 아래에 저장됩니다. cn=ReplicationAgreementName 항목은 nsDS5ReplicationAgreement 오브젝트 클래스의 인스턴스입니다. 복제 계약은 공급자 복제본에서만 구성됩니다.
3.1.9.1. CN
이 속성은 이름 지정에 사용됩니다. 이 속성을 설정한 후에는 수정할 수 없습니다. 이 속성은 복제 계약을 설정하는 데 필요합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 |
유효한 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | cn: SupplierAtoSupplierB |
3.1.9.2. description
복제 계약에 대한 자유 양식 텍스트 설명입니다. 이 속성은 수정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | 설명: 서버 A와 서버 B 간의 복제 계약. |
3.1.9.3. nsDS5ReplicaBindDN
이 속성은 복제 중에 소비자에 바인딩할 때 사용할 DN을 설정합니다. 이 속성의 값은 소비자 복제본의 cn=replica 에 있는 값과 동일해야 합니다. 인증서 기반 인증을 사용하는 경우 사용된 DN이 인증서의 제목 DN이고 소비자에 적절한 클라이언트 인증서 매핑이 활성화되어 있어야 하는 경우 비어 있을 수 있습니다. 이 경우에도 수정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 DN(클라이언트 인증서를 사용하는 경우 비어 있을 수 있음) |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.9.4. nsDS5ReplicaBindMethod
이 속성은 서버가 소비자 서버에 바인딩하는 데 사용할 메서드를 설정합니다.
nsDS5ReplicaBindMethod 는 다음 값을 지원합니다.
-
empty 또는
ScanSettingPLE: 서버는 암호 기반 인증을 사용합니다. 또한 이 bind 메서드를 사용하는 경우nsds5ReplicaBindDN및nsds5ReplicaCredentials매개변수를 설정하여 사용자 이름과 암호를 제공합니다. -
SSLCLIENTAUTH: 공급업체와 소비자 간에 인증서 기반 인증을 활성화합니다. 이를 위해 소비자 서버에 공급자의 인증서를 복제 관리자 항목에 매핑하도록 구성된 인증서 매핑이 있어야 합니다. SASL/GSSAPI: SASL을 사용하여 Kerberos 인증을 활성화합니다. 이를 위해서는 공급자 서버에 Kerberos keytab이 있어야 하며 소비자 서버는 공급자의 Kerberos 주체를 복제 관리자 항목에 매핑하도록 구성된 SASL 매핑 항목입니다.자세한 내용은 Red Hat Directory Server 관리 가이드 의 다음 섹션을 참조하십시오.
-
SASL/DIGEST-MD5: vmwareGEST-MD5메커니즘과 함께 SASL을 사용하여 암호 기반 인증을 활성화합니다. 또한 이 bind 메서드를 사용하는 경우nsds5ReplicaBindDN및nsds5ReplicaCredentials매개변수를 설정하여 사용자 이름과 암호를 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
| 기본값 | SIMPLE |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaBindMethod: SIMPLE |
3.1.9.5. nsds5ReplicaBootstrapBindDN
nsds5ReplicaBootstrapBindDN 매개변수는 LDAP_INVALID_CREDENTIALS(err=49), LDAP_undercloudPPROPPROP PROPRIATE_AUTH(err=48) 또는 을 설정합니다.
LDAP_NO_SUCH_OBT 오류(err=48) 로 인해 공급업체가 소비자에 바인딩하지 못하는 경우 사용하는 fall-back bind 고유 이름(DN)
이 경우 Directory Server는 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, nsds5ReplicaBootstrapTransportInfo 매개변수의 정보를 사용하여 연결을 설정합니다. 서버가 이러한 부트스트랩 설정을 사용하여 연결을 설정하지 않으면 서버가 연결을 중지합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsds5ReplicaBootstrapBindDN: cn=replication manager,cn=config |
3.1.9.6. nsds5ReplicaBootstrapBindMethod
nsds5ReplicaBootstrapBindMethod 매개변수는 LDAP_INVALID_CREDENTIALS (err=49), LDAP_#187PPROP PROPRIATE_AUTH(err=48) 또는 8)로 인해 공급업체가 소비자에 바인딩하지 못하는 경우 Directory Server에서 사용하는 폴백 로그인 메커니즘의 암호를 설정합니다.
LDAP_NO_SUCH_ OBTEC 오류(err=
이 경우 Directory Server는 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, nsds5ReplicaBootstrapTransportInfo 매개변수의 정보를 사용하여 연결을 설정합니다. 서버가 이러한 부트스트랩 설정을 사용하여 연결을 설정하지 않으면 서버가 연결을 중지합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsds5ReplicaBootstrapBindMethod: SIMPLE |
3.1.9.7. nsds5ReplicaBootstrapCredentials
nsds5ReplicaBootstrapCredentials 매개변수는 LDAP_INVALID_CREDENTIALS (err=49), LDAP_ CryostatPPROPPROP PROPRIATE_AUTH (err=48) 또는 LDAP_NOSUCH_AUTH(err=48) 또는 의 암호를 설정합니다.
LDAP_NOSUCH_OECT=OECT 오류(DECT) 오류(DECT)에서 사용하는 DN( fall-back bind distinguished name)
이 경우 Directory Server는 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, nsds5ReplicaBootstrapTransportInfo 매개변수의 정보를 사용하여 연결을 설정합니다. 서버가 이러한 부트스트랩 설정을 사용하여 연결을 설정하지 않으면 서버가 연결을 중지합니다.
Directory Server는 매개 변수를 일반 텍스트로 설정할 때 AES 역방향 암호 암호화 알고리즘을 사용하여 암호를 자동으로 해시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 문자열입니다. |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsds5ReplicaBootstrapCredentials: password |
3.1.9.8. nsds5ReplicaBootstrapTransportInfo
nsds5ReplicaBootstrapTransportInfo 매개변수는 LDAP_INVALID_CREDENTIALS (err=49), LDAP_#187PPROP PROPRIATE_AUTH(err=48) 또는 LDAP_NOS_UCH_AUTH(err=48) 또는 로 인해 공급자가 소비자에 바인딩하지 못할 때 사용하는 복제본과의 연결에 대한 암호화 방법을 설정합니다.
LDAP_NOSCHT_OECT 오류(Elast_NOSCHT) 오류(err=48)
이 경우 Directory Server는 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, nsds5ReplicaBootstrapTransportInfo 매개변수의 정보를 사용하여 연결을 설정합니다. 서버가 이러한 부트스트랩 설정을 사용하여 연결을 설정하지 않으면 서버가 연결을 중지합니다.
속성은 다음 값을 사용합니다.
-
TLS: 연결은StartTLS명령을 사용하여 암호화를 시작합니다. -
SSL: 연결은 TLS 암호화와 함께 LDAPS를 사용합니다. -
LDAP: 연결이 암호화되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | TLS | SSL | LDAP |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsds5ReplicaBootstrapTransportInfo: SSL |
3.1.9.9. nsDS5ReplicaBusyWaitTime
이 속성은 소비자가 액세스 권한을 얻기 위해 다른 시도를 수행하기 전에 사용자가 바쁘게 응답을 보낸 후 기다려야 하는 시간(초)을 설정합니다. 기본값은 3초입니다. 속성이 음수 값으로 설정된 경우 Directory Server는 클라이언트에 메시지 및 LDAP_UNWILLING_TO_PERFORM 오류 코드를 보냅니다.
nsDS5ReplicaBusyWaitTime 속성은 nsDS5ReplicaSessionPauseTime 속성과 함께 작동합니다. 두 속성은 nsDS5ReplicaSessionPauseTime 간격이 nsDS5ReplicaBusyWaitTime 에 지정된 간격보다 항상 1초 이상 길도록 설계되었습니다. 더 긴 간격은 대기 공급자에게 이전 공급자가 소비자에 다시 액세스할 수 있기 전에 더 나은 기회를 제공합니다.
changetype:modify 를 대체 작업으로 사용하여 언제든지 nsDS5ReplicaBusyWaitTime 속성을 설정합니다. 변경 사항은 이미 진행 중인 경우 다음 업데이트 세션에 적용됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 정수 |
| 기본값 | 3 |
| 구문 | 정수 |
| 예 | nsDS5ReplicaBusyWaitTime: 3 |
3.1.9.10. nsDS5ReplicaChangesSentSinceStartup
이 읽기 전용 속성은 서버가 시작된 이후 이 복제본으로 전송된 변경 사항 수를 보여줍니다. 특성의 실제 값은 바이너리 Blob으로 저장됩니다. Directory Server Console에서 이 값은 ratio이며 replica_id:changes_sent/changes_skipped. 예를 들어 100개의 변경 사항이 전송되고 복제본 7에서 건너뛰는 변경 사항이 없는 경우 특성 값이 콘솔에 7:100/0으로 표시됩니다.
명령줄에서 특성 값은 바이너리 형식으로 표시됩니다. 예를 들면 다음과 같습니다.
nsds5replicaChangesSentSinceStartup:: MToxLzAg
nsds5replicaChangesSentSinceStartup:: MToxLzAg| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | 0에서 최대 32비트 정수(2147483647) |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsds5replicaChangesSentSinceStartup:: MToxLzAg |
3.1.9.11. nsDS5ReplicaCredentials
이 속성은 nsDS5ReplicaBindDN 속성에 지정된 바인딩 DN의 인증 정보를 설정합니다. Directory Server는 이 암호를 사용하여 소비자에 연결합니다.
아래 예제에서는 실제 암호가 아닌 /etc/dirsrv/slapd-instance_name/dse.ldif 파일에 저장된 대로 암호화된 값을 보여줍니다. 값을 설정하려면 일반 텍스트로 설정합니다(예: nsDS5ReplicaCredentials: password ). 그런 다음 디렉터리 서버는 값을 저장할 때 AES 변환 가능한 암호 암호화 스키마를 사용하여 암호를 암호화합니다.
인증서 기반 인증을 사용하면 이 속성에 값이 설정되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 암호 |
| 기본값 | |
| 구문 | DirectoryString {AES-Base64-algorithm-id}encoded_password |
| 예 | nsDS5ReplicaCredentials: {AES-TUhNR0NT…}VoglUB8G5A… |
3.1.9.12. nsds5ReplicaEnabled
이 속성은 복제 계약이 활성 상태인지 여부를 나타내며, 이는 해당 계약에 따라 복제가 수행되는지 여부를 나타냅니다. 기본값은 on 이므로 복제가 활성화됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsds5ReplicaEnabled: off |
3.1.9.13. nsds5ReplicaFlowControlPause
이 매개변수는 항목 수에 도달하고 nsds5ReplicaFlowControlWindow 매개변수에 설정된 업데이트에 도달한 후 일시 중지하도록 시간(밀리초)을 설정합니다. nsds5ReplicaFlowControlWindow 및 nsds5ReplicaFlowControlPause 매개변수를 모두 업데이트하면 복제 처리량을 미세 조정할 수 있습니다. 자세한 내용은 3.1.9.14절. “nsds5ReplicaFlowControlWindow”의 내용을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 0에서 최대 64비트 길이 |
| 기본값 | 2000 |
| 구문 | 정수 |
| 예 | nsds5ReplicaFlowControlPause: 2000 |
3.1.9.14. nsds5ReplicaFlowControlWindow
이 속성은 소비자가 승인하지 않는 공급자에서 보낸 최대 항목 및 업데이트 수를 설정합니다. 한도에 도달하면 공급자는 nsds5ReplicaFlowControlPause 매개변수에 설정된 시간에 대한 복제 계약을 일시 중지합니다. nsds5ReplicaFlowControlWindow 및 nsds5ReplicaFlowControlPause 매개변수를 모두 업데이트하면 복제 처리량을 미세 조정할 수 있습니다.
공급자가 소비자가 가져오거나 업데이트할 수 있는 것보다 빠르게 항목 및 업데이트를 전송하고 데이터를 승인하는 경우 이 설정을 업데이트합니다. 이 경우 다음 메시지가 공급자의 오류 로그 파일에 기록됩니다.
Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy]) If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration
Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy])
If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping 트리,cn=config |
| 유효한 값 | 0에서 최대 64비트 길이 |
| 기본값 | 1000 |
| 구문 | 정수 |
| 예 | nsds5ReplicaFlowControlWindow: 1000 |
3.1.9.15. nsDS5ReplicaHost
이 속성은 소비자 복제본을 포함하는 원격 서버의 호스트 이름을 설정합니다. 이 속성을 설정한 후에는 수정할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 호스트 서버 이름 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaHost: ldap2.example.com |
3.1.9.16. nsDS5ReplicaLastInitEnd
이 선택적 읽기 전용 속성은 소비자 복제본 초기화가 종료될 때 상태를 표시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 |
YYYYMMDDhhmmssZ 는 연결이 열린 일반화된 시간 형식의 날짜/시간입니다. 이 값은 Greenwich Mean Time과 관련하여 시간을 제공합니다. 시간은 24시간제로 설정됩니다. 끝에 있는 |
| 기본값 | |
| 구문 | GeneralizedTime |
| 예 | nsDS5ReplicaLastInitEnd: 20200504121603Z |
3.1.9.17. nsDS5ReplicaLastInitStart
이 선택적 읽기 전용 속성은 소비자 복제본 초기화가 시작될 때 상태를 표시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 |
YYYYMMDDhhmmssZ 는 연결이 열린 일반화된 시간 형식의 날짜/시간입니다. 이 값은 Greenwich Mean Time과 관련하여 시간을 제공합니다. 시간은 24시간제로 설정됩니다. 끝에 있는 |
| 기본값 | |
| 구문 | GeneralizedTime |
| 예 | nsDS5ReplicaLastInitStart: 20200503030405 |
3.1.9.18. nsDS5ReplicaLastInitStatus
이 선택적 읽기 전용 속성은 소비자 초기화에 대한 상태를 제공합니다. 일반적으로 숫자 코드 다음에 상태를 설명하는 짧은 문자열이 있습니다. 0(0)은 성공을 의미합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 0 (Consumer Initialization Succeeded)과 다른 상태 메시지가 표시됩니다. |
| 기본값 | |
| 구문 | 문자열 |
| 예 | nsDS5ReplicaLastInitStatus: 0 Consumer Initialization Succeeded |
3.1.9.19. nsDS5ReplicaLastUpdateEnd
이 읽기 전용 속성은 최신 복제 일정 업데이트가 종료된 경우 상태를 표시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 |
YYYYMMDDhhmmssZ 는 연결이 열린 일반화된 시간 형식의 날짜/시간입니다. 이 값은 Greenwich Mean Time과 관련하여 시간을 제공합니다. 시간은 24시간제로 설정됩니다. 끝에 있는 |
| 기본값 | |
| 구문 | GeneralizedTime |
| 예 | nsDS5ReplicaLastUpdateEnd: 20200502175801Z |
3.1.9.20. nsDS5ReplicaLastUpdateStart
이 읽기 전용 속성은 최신 복제 일정 업데이트가 시작된 경우 상태를 표시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 |
YYYYMMDDhhmmssZ 는 연결이 열린 일반화된 시간 형식의 날짜/시간입니다. 이 값은 Greenwich Mean Time과 관련하여 시간을 제공합니다. 시간은 24시간제로 설정됩니다. 끝에 있는 |
| 기본값 | |
| 구문 | GeneralizedTime |
| 예 | nsDS5ReplicaLastUpdateStart: 20200504122055Z |
3.1.9.21. nsds5replicaLastUpdateStatus
각 복제 계약의 읽기 전용 nsds5replicaLastUpdateStatus 속성에서 Directory Server는 계약의 최신 상태를 표시합니다. 상태 목록은 부록 B. 복제 계약 상태 을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 부록 B. 복제 계약 상태을 참조하십시오. |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsds5replicaLastUpdateStatus: Error (0) Replica acquired successfully: Incremental update succeeded |
3.1.9.22. nsDS5ReplicaPort
이 속성은 복제본을 포함하는 원격 서버의 포트 번호를 설정합니다. 이 속성을 설정한 후에는 수정할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 복제본을 포함하는 원격 서버의 포트 번호 |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsDS5ReplicaPort:389 |
3.1.9.23. nsDS5ReplicaReapActive
이 읽기 전용 속성은 데이터베이스에서 이전 tombstones (삭제된 항목)를 제거하는 백그라운드 작업이 활성화되어 있는지 여부를 지정합니다. 이 작업에 대한 자세한 내용은 3.1.8.23절. “nsDS5ReplicaTombstonePurgeInterval” 을 참조하십시오. 값이0(0)이면 작업이 비활성 상태이고 1 값은 작업이 활성 상태임을 나타냅니다. 이 값을 수동으로 설정하면 서버는 수정 요청을 무시합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 0 | 1 |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsDS5ReplicaReapActive: 0 |
3.1.9.24. nsDS5BeginReplicaRefresh
복제본을 초기화합니다. 이 속성은 기본적으로 없습니다. 그러나 이 속성이 start 값을 사용하여 추가되면 서버는 복제본을 초기화하고 특성 값을 제거합니다. 초기화 절차의 상태를 모니터링하려면 이 속성을 폴링합니다. 초기화가 완료되면 특성이 항목에서 제거되고 기타 모니터링 속성을 자세한 상태 조회에 사용할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | stop | start |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5BeginReplicaRefresh: start |
3.1.9.25. nsDS5ReplicaRoot
이 속성은 복제 영역의 루트에 있는 DN을 설정합니다. 이 속성은 복제 중인 데이터베이스의 접미사와 동일해야 하며 수정할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 복제되는 데이터베이스 접미사 - 위의 suffixDN과 동일합니다. |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.9.26. nsDS5ReplicaSessionPauseTime
이 속성은 공급자가 업데이트 세션 사이에 대기해야 하는 시간(초)을 설정합니다. 기본값은 0입니다. 속성이 음수 값으로 설정된 경우 Directory Server는 클라이언트에 메시지 및 LDAP_UNWILLING_TO_PERFORM 오류 코드를 보냅니다.
nsDS5ReplicaSessionPauseTime 속성은 nsDS5ReplicaBusyWaitTime 속성과 함께 작동합니다. 두 속성은 nsDS5ReplicaSessionPauseTime 간격이 nsDS5ReplicaBusyWaitTime 에 지정된 간격보다 항상 1초 이상 길도록 설계되었습니다. 더 긴 간격은 대기 공급자에게 이전 공급자가 소비자에 다시 액세스할 수 있기 전에 더 나은 기회를 제공합니다.
-
두 속성 중 하나가 지정되지만 둘 다 지정되지 않은 경우
nsDS5ReplicaSessionPauseTime은nsDS5ReplicaBusyWaitTime보다1초로 자동으로 설정됩니다. -
두 속성이 모두 지정되지만
nsDS5ReplicaSessionPauseTime이nsDS5ReplicaBusyWaitTime보다 작거나 같은 경우nsDS5ReplicaSessionPauseTime은nsDS5ReplicaBusyWaitTime보다1초로 자동으로 설정됩니다.
값을 설정할 때 nsDS5ReplicaSessionPauseTime 간격이 nsDS5ReplicaBusyWaitTime 에 지정된 간격보다 1 초 이상 길어야 합니다. 공급업체 간 소비자 액세스 허용이 있을 때까지 필요에 따라 간격을 늘립니다.
대체 작업과 함께 changetype:modify 를 사용하여 언제든지 nsDS5ReplicaSessionPauseTime 속성을 설정합니다. 변경 사항은 이미 진행 중인 경우 다음 업데이트 세션에 적용됩니다.
Directory Server가 nsDS5ReplicaSessionPauseTime 값을 자동으로 재설정해야 하는 경우 값은 내부적으로만 변경됩니다. 변경 사항은 클라이언트에 표시되지 않으며 구성 파일에 저장되지 않습니다. 외부 관점에서는 특성 값이 원래 설정된 것으로 표시됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 정수 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsDS5ReplicaSessionPauseTime: 0 |
3.1.9.27. nsds5ReplicaStripAttrs
소수 복제를 사용하면 복제 업데이트에서 제거된 속성 목록(nsDS5ReplicatedAttributeList)을 사용할 수 있습니다. 그러나 제외된 속성을 변경하면 수정 이벤트가 계속 트리거되고 빈 복제 업데이트가 생성됩니다.
nsds5ReplicaStripAttrs 속성은 빈 복제 이벤트에서 보낼 수 없고 업데이트 순서에서 제거되는 속성 목록을 추가합니다. 이 논리에는 modifiersName 과 같은 작동 attribtes가 포함됩니다.
복제 이벤트가 비어 있지 않으면 제거된 특성이 복제 됩니다. 이러한 속성은 이벤트가 emtpy인 경우에만 업데이트에서 제거됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | 지원되는 디렉터리 속성의 공백으로 구분된 목록 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsds5ReplicaStripAttrs: modifiersname modifytimestamp |
3.1.9.28. nsDS5ReplicatedAttributeList
이 허용되는 속성은 소비자 서버에 복제 되지 않는 모든 특성을 지정합니다. 부분 복제를 사용하면 느린 연결이나 덜 안전한 소비자를 통해 데이터베이스를 복제할 수 있으며 중요한 정보를 계속 보호할 수 있습니다. 기본적으로 모든 속성은 복제되며 이 속성은 존재하지 않습니다. 소수 복제에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "복제 관리" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountlockout memberof |
3.1.9.29. nsDS5ReplicatedAttributeListTotal
이 허용되는 속성은 총 업데이트 중에 소비자 서버에 복제 되지 않는 모든 속성을 지정합니다.
부분 복제는 지정된 특성만 복제합니다. 이렇게 하면 전체 네트워크 성능이 향상됩니다. 그러나 관리자가 증분 업데이트 중에 소수 복제를 사용하여 일부 특성을 제한하려고 하지만 전체 업데이트 중에 해당 속성을 복제할 수 있습니다(또는 그 반대의 경우도 마찬가지임).
기본적으로 모든 속성은 복제됩니다. nsDS5ReplicatedAttributeList 는 증분 복제 목록을 설정합니다. nsDS5ReplicatedAttributeList 만 설정된 경우 이 목록이 총 업데이트에 적용됩니다.
nsDS5ReplicatedAttributeListTotal 은 총 업데이트에서만 제외할 속성 목록을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicatedAttributeListTotal: (objectclass=*) $ EXCLUDE accountlockout |
3.1.9.30. nsDS5ReplicaTimeout
이 allowed 속성은 시간 초과 및 실패 전에 원격 복제본의 응답을 기다리는 시간(초)을 지정합니다. 서버가 오류 로그 파일에 Warning: timed out waiting 메시지를 쓰는 경우 이 속성의 값을 늘립니다.
원격 시스템에서 액세스 로그를 검사하여 작업이 실제로 지속되는 시간을 확인한 다음 그에 따라 성능을 최적화하도록 nsDS5ReplicaTimeout 속성을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | 0에서 최대 32 비트 정수 값 (2147483647)(초) |
| 기본값 | 120 |
| 구문 | 정수 |
| 예 | nsDS5ReplicaTimeout: 120 |
3.1.9.31. nsDS5ReplicaTransportInfo
이 속성은 복제본 간에 데이터를 전송하는 데 사용되는 전송 유형을 설정합니다. 이 속성은 설정된 후에는 수정할 수 없습니다.
속성은 다음 값을 사용합니다.
-
StartTLS: 연결은StartTLS명령을 사용하여 암호화를 사용합니다. -
LDAPS: 연결은 TLS 암호화를 사용합니다. -
LDAP: 연결에서 암호화되지 않은 LDAP 프로토콜을 사용합니다.nsDS5ReplicaTransportInfo속성이 설정되지 않은 경우에도 이 값이 사용됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | StartTLS | LDAPS | LDAP |
| 기본값 | absent |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaTransportInfo: StartTLS |
3.1.9.32. nsDS5ReplicaUpdateInProgress
이 읽기 전용 속성은 복제 업데이트가 진행 중인지 여부를 나타냅니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | true | false |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS5ReplicaUpdateInProgress: true |
3.1.9.33. nsDS5ReplicaUpdateSchedule
이 다중 값 속성은 복제 일정을 지정하고 수정할 수 있습니다. 이 속성의 변경 사항은 즉시 적용됩니다. 이 값을 수정하면 복제를 일시 중지하고 나중에 다시 시작하는 데 유용할 수 있습니다. 예를 들어 이 값이 0000-0001 0 인 경우 실제로 이로 인해 서버가 이 복제 계약에 대한 업데이트 전송을 중지합니다. 서버는 나중에 재생하기 위해 계속 저장합니다. 나중에 값이 0000-2359 0123456 로 변경된 경우 복제가 즉시 다시 시작되고 보류 중인 모든 변경 사항을 보냅니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | XXXX-YYY 0123456 로 표시된 시간 스케줄입니다. 여기서 XXXX 는 시작 시간, YYYY 는 완료 시간, 숫자 0123456 은 일요일부터 시작하는 요일입니다. |
| 기본값 | 0000-2359 0123456 (모든 시간) |
| 구문 | 정수 |
| 예 | nsDS5ReplicaUpdateSchedule: 0000-2359 0123456 |
3.1.9.34. nsDS5ReplicaWaitForAsyncResults
복제 환경에서 nsDS5ReplicaWaitForAsyncResults 매개변수는 소비자가 데이터를 다시 보내기 전에 준비되지 않은 경우 공급자가 대기하는 시간(밀리초)을 설정합니다.
매개변수를 0 으로 설정하면 기본값이 사용됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 범위 | 0에서 최대 32비트 정수(2147483647) |
| 기본값 | 100 |
| 구문 | 정수 |
| 예 | nsDS5ReplicaWaitForAsyncResults: 100 |
3.1.9.35. nsDS50ruv
이 속성은 이 복제 계약의 소비자로부터 읽은 마지막 복제본 업데이트 벡터(RUV)를 저장합니다. 항상 존재하며 변경할 수 없습니다.
3.1.9.36. nsruvReplicaLastModified
이 속성에는 복제본의 항목이 수정된 최신 시간이 포함되어 있으며 변경 로그가 업데이트되었습니다.
3.1.9.37. nsds5ReplicaProtocolTimeout
서버를 중지하거나 복제 계약을 비활성화하거나 복제 계약을 제거하는 경우 서버가 로드될 때 복제를 중지하기 전에 대기해야 하는 기간에 대한 시간 초과가 있습니다. nsds5ReplicaProtocolTimeout 속성을 사용하여 이 시간 초과를 구성할 수 있으며 기본값은 120초입니다.
2 분의 시간 초과가 너무 길거나 충분하지 않은 시나리오가 있을 수 있습니다. 예를 들어, 특정 복제 계약에는 종료 중에 복제 세션을 종료하기 전에 더 많은 시간이 필요할 수 있습니다.
이 속성은 백엔드의 기본 복제 구성 항목에 추가할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping 트리,cn=config |
| 유효한 범위 | 0에서 최대 32비트 정수(2147483647)(초 단위) |
| 기본값 | 120 |
| 구문 | 정수 |
| 예 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 속성을 복제 계약에 추가할 수도 있습니다. 복제 계약 프로토콜 시간 초과는 기본 복제본 구성 항목에 설정된 타임아웃을 재정의합니다. 이렇게 하면 복제 계약에 따라 다른 시간 초과가 허용됩니다. 복제 세션이 진행 중인 경우 새 시간 초과가 해당 세션을 중단하고 서버가 종료되도록 허용합니다.
동기화 계약에 관련된 동기화 속성은 cn=syncAgreementName,cn=WindowsReplica,cn=suffixDN,cn=mapping tree,cn=config 아래에 저장됩니다. cn=syncAgreementName 항목은 nsDSWindowsReplicationAgreement 오브젝트 클래스의 인스턴스입니다. 서버에서 동기화 계약 구성 속성을 고려하려면 이 오브젝트 클래스( 상위 오브젝트 클래스에 추가)가 항목에 있어야 합니다. 동기화 계약은 Windows Active Directory 서버와 동기화할 수 있는 데이터베이스에서만 구성됩니다.
| CN | nsDS5ReplicaLastUpdateEnd |
| description | nsDS5ReplicaLastUpdateStart |
| nsDS5ReplicaBindDN (Windows 동기화 관리자 ID) | nsDS5ReplicaLastUpdateStatus |
| nsDS5ReplicaBindMethod | nsDS5ReplicaPort |
| nsDS5ReplicaBusyWaitTime | nsDS5ReplicaRoot |
| nsDS5ReplicaChangesSentSinceStartup | nsDS5ReplicaSessionPauseTime |
| nsDS5ReplicaCredentials (Windows 동기화 관리자 암호) | nsDS5ReplicaTimeout |
| nsDS5ReplicaHost (Windows 호스트) | nsDS5ReplicaTransportInfo |
| nsDS5ReplicaLastInitEnd | nsDS5ReplicaUpdateInProgress |
| nsDS5ReplicaLastInitStart | nsDS5ReplicaUpdateSchedule |
| nsDS5ReplicaLastInitStatus | nsDS50ruv |
| winSyncMoveAction | winSyncInterval |
| nsds5ReplicaStripAttrs |
3.1.10.1. nsds7DirectoryReplicaSubtree
동기화 중인 Directory Server 하위 트리의 접미사 또는 DN입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 접미사 또는 subsuffix |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS7DirectoryReplicaSubtree: ou=People,dc=example,dc=com |
3.1.10.2. nsds7DirsyncCookie
이 문자열은 Active Directory DirSync에 의해 생성되며 마지막 동기화 시 Active Directory Server의 상태를 제공합니다. 이전 쿠키는 각 Directory Server 업데이트를 통해 Active Directory로 전송됩니다. 새 쿠키는 Windows 디렉터리 데이터와 함께 반환됩니다. 즉, 마지막 동기화 이후 변경된 항목만 검색됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS7DirsyncCookie::khDKJFBZsjBDSCkjsdhIU74DJJVBXDhfvjmfvbhzxj |
3.1.10.3. nsds7NewWinGroupSyncEnabled
이 속성은 Windows 동기화 피어에서 생성된 새 그룹이 디렉터리 서버에 새 그룹을 만들어 자동으로 동기화되는지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | On | off |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS7NewWinGroupSyncEnabled: on |
3.1.10.4. nsds7NewWinUserSyncEnabled
이 속성은 Windows 동기화 피어에서 생성된 새 항목이 디렉터리 서버에 새 항목을 만들어 자동으로 동기화되는지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | On | off |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS7NewWinUserSyncEnabled: on |
3.1.10.5. nsds7WindowsDomain
이 속성은 Windows 동기화 피어가 속한 Windows 도메인의 이름을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 도메인 이름 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS7WinndowsDomain: DOMAINWORLD |
3.1.10.6. nsds7WindowsReplicaSubtree
동기화 중인 Windows 하위 트리의 접미사 또는 DN입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 유효한 접미사 또는 subsuffix |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsDS7WindowsReplicaSubtree: cn=Users,dc=domain,dc=com |
3.1.10.7. oneWaySync
이 속성은 동기화를 수행할 방향을 설정합니다. Active Directory 서버에서 디렉터리 서버로 또는 디렉터리 서버에서 Active Directory 서버로의 이 작업을 수행할 수 있습니다.
이 속성이 없는 경우(기본값) 동기화 계약이 양방향 이므로 두 도메인에서 변경한 내용이 동기화됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | toWindows | fromWindows | null |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | oneWaySync: fromWindows |
3.1.10.8. winSyncInterval
이 속성은 Directory Server에서 Windows 동기화 피어를 폴링하여 Active Directory 항목의 변경 사항을 찾는 빈도(초)를 설정합니다. 이 항목을 설정하지 않으면 Directory Server에서 5분마다 Windows 서버를 확인합니다. 즉, 기본값은 300 초(300초)입니다.
Active Directory 변경 사항을 Directory Server에 더 빠르게 쓰거나 디렉터리 검색 시간이 너무 오래 걸리는 경우 이 값을 더 낮게 설정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | 1에서 최대 32비트 정수 값(2147483647) |
| 기본값 | 300 |
| 구문 | 정수 |
| 예 | winSyncInterval: 600 |
3.1.10.9. winSyncMoveAction
동기화 프로세스는 루트 DN에서 시작하여 동기화 항목의 평가를 시작합니다. 항목은 Active Directory의 samAccount 및 Directory Server의 uid 특성에 따라 상관 관계가 있습니다. 동기화 플러그인은 이전에 동기화된 항목( samAccount/uid 관계에 기반)이 삭제되거나 이동되기 때문에 동기화된 하위 트리에서 제거되면 동기화 플러그인이 더 이상 항목이 동기화되지 않음을 인식합니다.
동기화 계약의 winSync CryostatAction 속성은 이러한 이동 된 항목을 처리하는 방법에 대한 지침을 설정합니다.
-
none은 작업을 수행하지 않으므로 동기화된 Directory Server 항목이 있는 경우 범위 내에 Active Directory 항목을 동기화하거나 만들 수 있습니다. 동기화된 Directory Server 항목이 없으면 아무 일도 발생하지 않습니다(기본 동작). unsync는 Directory Server 항목에서 동기화 관련 속성(ntUser또는ntGroup)을 제거하지만 그렇지 않으면 Directory Server 항목이 그대로 유지됩니다. Active Directory 및 Directory Server 항목은 tandem에 있습니다.중요나중에 Active Directory 항목이 삭제될 수 있는 동기화되지 않은 항목이 있을 때 위험이 있으며 Directory Server 항목은 그대로 유지됩니다. 이렇게 하면 특히 Directory Server 항목이 나중에 Active Directory 측에서 항목을 다시 생성하는 데 사용되는 경우 데이터 불일치 문제가 발생할 수 있습니다.
Delete는 Active Directory와 동기화되었는지 여부에 관계없이 Directory Server 측에서 해당 항목을
삭제합니다(이는 9.0의 기본 동작임).중요해당 Active Directory 항목을 삭제하지 않고 Directory Server 항목을 삭제하지 않는 경우가 거의 없습니다. 이 옵션은 Directory Server 9.0 시스템과의 호환성에서만 사용할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 유효한 값 | none | delete | unsync |
| 기본값 | none |
| 구문 | DirectoryString |
| 예 | winSyncMoveAction: unsync |
3.1.11. cn=monitor
서버를 모니터링하는 데 사용되는 정보는 cn=monitor 아래에 저장됩니다. 이 항목과 하위 항목은 읽기 전용입니다. 클라이언트는 직접 수정할 수 없습니다. 서버는 이 정보를 자동으로 업데이트합니다. 이 섹션에서는 cn=monitor 특성에 대해 설명합니다. 액세스 제어를 설정하기 위해 사용자가 변경할 수 있는 유일한 속성은 aci 속성입니다.
cn=config 의 nsslapd-counters 속성이 on (기본 설정)으로 설정된 경우(기본 설정) 32비트 시스템에서도 또는 32비트 버전의 Directory Server를 사용하여 Directory Server 인스턴스에서 보관하는 모든 카운터는 64비트 정수를 사용하여 증가합니다. cn=monitor 항목의 경우 64비트 정수는 opsinitiated,opscompleted,entriessent 및 bytessent 카운터와 함께 사용됩니다.
nsslapd-counters 속성은 이러한 특정 데이터베이스 및 서버 카운터에 대한 64비트 지원을 활성화합니다. 64비트 정수를 사용하는 카운터는 구성할 수 없습니다. 64비트 정수는 허용되는 모든 카운터에 대해 활성화되거나 허용된 모든 카운터에 대해 비활성화되어 있습니다.
연결
이 속성은 열린 연결 및 관련 상태 및 성능 관련 정보와 값을 나열합니다. 이러한 형식은 다음과 같습니다.
connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address
connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address예를 들면 다음과 같습니다.
connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1
connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1-
A 는 연결 번호입니다. 이 연결과 연결된 연결 테이블의 슬롯 수입니다. 이 연결이 열려 있을 때 액세스 로그 메시지에
slot=A 로 기록되는 수이며 일반적으로 연결과 연결된 파일 설명자에 해당합니다.dTableSize속성은 연결 테이블의 총 크기를 표시합니다. - YYYYMMDDhhmmssZ 는 연결이 열린 GeneralizedTime 형식의 날짜와 시간입니다. 이 값은 Greenwich Mean Time과 관련하여 시간을 제공합니다.
- b는 이 연결에서 수신된 작업 수입니다.
- C 는 완료된 작업의 수입니다.
-
D 는 서버가 네트워크에서 BER를 읽는 프로세스에 있는 경우, 그렇지 않으면 비어 있습니다.
이 값은 일반적으로 비어 있습니다(예:). -
바인딩 DN입니다. 이 값은 비어 있거나 익명 연결에 대한
NULLDN값이 있을 수 있습니다. -
f는 연결 최대 스레드 상태입니다.
1은 max 스레드이고,0은 그렇지 않습니다. - G 는 이 스레드가 최대 스레드 값에 도달한 횟수입니다.
- H 는 최대 스레드 수에 의해 차단된 시도된 작업 수입니다.
-
로그에
conn=connection_ID로 보고된 연결 ID입니다. - IP_AD DRESS는 LDAP 클라이언트의 IP 주소입니다.
시작 및 완료된 작업의 경우 B 및 C는 이상적으로 같아야 합니다.
currentConnections
이 속성은 현재 열려 있는 Active Directory Server 연결 수를 보여줍니다.
totalConnections
이 속성은 총 Directory Server 연결 수를 보여줍니다. 이 숫자에는 서버가 현재Connections 외에 마지막으로 시작된 이후 열고 닫은 연결이 포함됩니다.
dTableSize
이 속성은 Directory Server 연결 테이블의 크기를 보여줍니다. 각 연결은 이 테이블의 슬롯과 연결되며 일반적으로 이 연결에서 사용하는 파일 설명자에 해당합니다. 자세한 내용은 3.1.1.62절. “nsslapd-conntablesize”를 참조하십시오.
readWaiters
이 속성은 일부 요청이 보류 중이고 현재 Directory Server의 스레드에 의해 서비스되지 않는 연결 수를 보여줍니다.
opsInitiated
이 속성은 시작된 Directory Server 작업 수를 보여줍니다.
opsCompleted
이 속성은 완료된 Directory Server 작업 수를 보여줍니다.
entriesSent
이 속성은 Directory Server에서 보낸 항목 수를 보여줍니다.
bytesSent
이 속성은 Directory Server에서 보낸 바이트 수를 보여줍니다.
currentTime
이 속성은 Greenwich Mean Time에서 제공되는 현재 시간을 표시합니다( 일반화된 시간 구문 Z 표기법으로 표시됨(예: 20200202131102Z).
startTime
이 속성은 일반 ized 시간 구문 Z 표기법으로 표시된 Greenwich Mean Time에서 지정된 Directory Server 시작 시간을 보여줍니다. 예를 들면 20200202131102Z 입니다.
version
이 속성은 Directory Server 벤더, 버전 및 빌드 번호를 보여줍니다. 예를 들면 Red Hat/11.3.1 B2020.274.08 입니다.
스레드
이 속성은 Directory Server에서 사용하는 스레드 수를 보여줍니다. 이는 cn=config 의 nsslapd-threadnumber 에 해당합니다.
nbackEnds
이 속성은 Directory Server 데이터베이스 백엔드 수를 보여줍니다.
backendMonitorDN
이 속성은 각 Directory Server 데이터베이스 백엔드의 DN을 보여줍니다. 데이터베이스 모니터링에 대한 자세한 내용은 다음 섹션을 참조하십시오.
3.1.12. CN=replication
이 항목에는 속성이 없습니다. 레거시 복제를 구성할 때 해당 항목은 자리 표시자 역할을 하는 이 cn=replication 노드에 저장됩니다.
3.1.13. cn=sasl
SASL 매핑 구성이 포함된 항목은 cn=mapping,cn=sasl,cn=config 아래에 저장됩니다. cn=sasl 항목은 nsContainer 오브젝트 클래스의 인스턴스입니다. 아래 각 매핑은 nsSaslMapping 개체 클래스의 인스턴스입니다.
3.1.13.1. nsSaslMapBaseDNTemplate
이 속성에는 SASL ID 매핑에 사용되는 검색 기본 DN 템플릿이 포함되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 유효한 값 | 유효한 DN |
| 기본값 | |
| 구문 | IA5String |
| 예 | nsSaslMapBaseDNTemplate: ou=People,dc=example,dc=com |
3.1.13.2. nsSaslMapFilterTemplate
이 속성에는 SASL ID 매핑에 사용되는 검색 필터 템플릿이 포함되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | IA5String |
| 예 | nsSaslMapFilterTemplate: (cn=\1) |
3.1.13.3. nsSaslMapPriority
Directory Server를 사용하면 SASL(Simple Authentication and security layer) 매핑을 여러 개 설정할 수 있습니다. nsslapd-sasl-mapping-fallback 매개변수에서 SASL 대체를 활성화하면 nsSaslMapPriority 속성을 설정하여 개별 SASL 매핑의 우선 순위를 지정할 수 있습니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 유효한 값 | 1 (최고 우선 순위) - 100 (최고 우선 순위) |
| 기본값 | 100 |
| 구문 | 정수 |
| 예 | nsSaslMapPriority: 100 |
3.1.13.4. nsSaslMapRegexString
이 속성에는 SASL ID 문자열을 매핑하는 데 사용되는 정규식이 포함되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 유효한 값 | 유효한 정규식 |
| 기본값 | |
| 구문 | IA5String |
| 예 | nsSaslMapRegexString: \(.*\) |
3.1.14. cn=SNMP
SNMP 구성 속성은 cn=SNMP,cn=config 아래에 저장됩니다. cn=SNMP 항목은 nsSNMP 오브젝트 클래스의 인스턴스입니다.
3.1.14.1. nssnmpenabled
이 속성은 SNMP가 활성화되어 있는지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=SNMP,cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nssnmpenabled: off |
3.1.14.2. nssnmporganization
이 속성은 Directory Server가 속한 조직을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=SNMP,cn=config |
| 유효한 값 | 조직 이름 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nssnmporganization: Red Hat, Inc. |
3.1.14.3. nssnmplocation
이 속성은 Directory Server가 있는 회사 또는 조직 내의 위치를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=SNMP,cn=config |
| 유효한 값 | 위치 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nssnmplocation: B14 |
3.1.14.4. nssnmpcontact
이 속성은 Directory Server 유지 관리를 담당하는 사람의 이메일 주소를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=SNMP,cn=config |
| 유효한 값 | 연락처 이메일 주소 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nssnmpcontact: jerome@example.com |
3.1.14.5. nssnmpdescription
Directory Server 인스턴스에 대한 고유한 설명을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=SNMP,cn=config |
| 유효한 값 | 설명 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nssnmpdescription: employee 디렉터리 인스턴스 |
3.1.14.6. nssnmpmasterhost
nssnmpmasterhost 는 더 이상 사용되지 않습니다. 이 속성은 net-snmp 를 도입하여 더 이상 사용되지 않습니다. 속성은 dse.ldif 에 계속 표시되지만 기본값이 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=SNMP,cn=config |
| 유효한 값 | 시스템 호스트 이름 또는 localhost |
| 기본값 | <blank> |
| 구문 | DirectoryString |
| 예 | nssnmpmasterhost: localhost |
3.1.14.7. nssnmpmasterport
net- snmpmasterport 는 net-snmp 를 도입하여 더 이상 사용되지 않습니다. 속성은 dse.ldif 에 계속 표시되지만 기본값이 없습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=SNMP,cn=config |
| 유효한 값 | 운영 체제 종속 포트 번호. 자세한 내용은 운영 체제 설명서를 참조하십시오. |
| 기본값 | <blank> |
| 구문 | 정수 |
| 예 | nssnmpmasterport: 199 |
3.1.15. SNMP 통계 속성
표 3.7. “SNMP 통계 속성” LDAP 및 SNMP 클라이언트에서 사용할 수 있는 통계를 나열하는 읽기 전용 속성이 포함되어 있습니다. 달리 명시되지 않는 한 지정된 속성 값은 시작 이후 서버에서 반환한 요청 수 또는 서버에서 반환한 요청 수입니다. 이러한 속성 중 일부는 Directory Server에서 사용되지 않거나 디렉토리 서버에 적용되지 않지만 SNMP 클라이언트에서 계속 있어야 합니다.
cn=config 의 nsslapd-counters 속성이 on (기본 설정)으로 설정된 경우(기본 설정) 32비트 시스템에서도 또는 32비트 버전의 Directory Server를 사용하여 Directory Server 인스턴스에서 보관하는 모든 카운터는 64비트 정수를 사용하여 증가합니다. 모든 SNMP 통계 속성은 구성된 경우 64비트 정수를 사용합니다.
nsslapd-counters 속성은 이러한 특정 데이터베이스 및 서버 카운터에 대해 64비트 정수를 활성화합니다. 64비트 정수를 사용하는 카운터는 구성할 수 없습니다. 64비트 정수는 허용되는 모든 카운터에 대해 활성화되거나 허용되는 모든 카운터에 대해 비활성화되어 있습니다.
| 속성 | 설명 |
|---|---|
| 익명 바인딩 | 이는 익명 바인딩 요청 수를 나타냅니다. |
| UnAuthBinds | 인증되지 않은(익명) 바인딩 수를 표시합니다. |
| SimpleAuthBinds | 여기에는 LDAP 간단한 바인딩 요청(DN 및 암호) 수가 표시됩니다. |
| StrongAuthBinds | 여기에는 모든 SASL 메커니즘에 대한 LDAP SASL 바인딩 요청 수가 표시됩니다. |
| BindSecurityErrors | 바인딩 요청에 유효하지 않은 암호가 지정된 횟수가 표시됩니다. |
| InOps | 서버에서 수신한 모든 요청의 총 수를 표시합니다. |
| ReadOps |
사용되지 않음. 이 값은 항상 |
| 비교 | LDAP 비교 요청 수가 표시됩니다. |
| AddEntryOps | LDAP 추가 요청 수가 표시됩니다. |
| RemoveEntryOps | LDAP 삭제 요청 수가 표시됩니다. |
| ModifyEntryOps | LDAP 수정 요청 수가 표시됩니다. |
| ModifyRDNOps | LDAP 수정 RDN(modrdn) 요청 수가 표시됩니다. |
| ListOps |
사용되지 않음. 이 값은 항상 |
| SearchOps | 여기에는 LDAP 검색 요청 수가 표시됩니다. |
| OneLevelSearchOps | 이는 한 수준 검색 작업 수를 표시합니다. |
| WholeSubtreeSearchOps | 하위 트리 수준 검색 작업 수를 표시합니다. |
| 추천 | 그러면 반환된 LDAP 참조 수가 표시됩니다. |
| 연결 |
사용되지 않음. 이 값은 항상 |
| SecurityErrors | 잘못된 암호, 알 수 없거나 유효하지 않은 인증 방법과 같이 보안 관련 오류 수를 표시합니다. |
| 오류 | 반환된 오류 수를 표시합니다. |
| 연결 | 현재 열려 있는 연결 수를 표시합니다. |
| ConnectionSeq | 현재 열려 있는 연결 및 닫히는 연결을 모두 포함하여 열려 있는 총 연결 수가 표시됩니다. |
| BytesRecv | 이는 수신된 바이트 수를 나타냅니다. |
| BytesSent | 이는 전송된 바이트 수를 나타냅니다. |
| Entries returnsed | 검색 결과로 반환되는 항목 수를 표시합니다. |
| Referrals returnsed | 이는 검색 결과(지속 참조)로 반환된 추천에 대한 정보를 제공합니다. |
| MasterEntries |
사용되지 않음. 이 값은 항상 |
| CopyEntries |
사용되지 않음. 이 값은 항상 |
| CacheEntries[a] |
서버에 데이터베이스 백엔드가 하나만 있는 경우 이 항목은 항목 캐시에 캐시된 항목 수입니다. 서버에 두 개 이상의 데이터베이스 백엔드가 있는 경우 이 값은 |
| CacheHits |
서버에 데이터베이스 백엔드가 하나만 있는 경우 검색 결과를 위해 데이터베이스에서 아니라 항목 캐시에서 반환된 항목 수입니다. 서버에 두 개 이상의 데이터베이스 백엔드가 있는 경우 이 값은 |
| SlaveHits |
사용되지 않음. 이 값은 항상 |
[a]
CacheEntries 및 CacheHits 는 10 초마다 업데이트됩니다. Red Hat은 이 및 기타 데이터베이스 정보에 대해 데이터베이스 백엔드 특정 모니터 항목을 사용하는 것이 좋습니다.
| |
3.1.16. cn=tasks
일부 핵심 디렉터리 서버 작업은 LDAP 도구를 사용하여 디렉터리 항목을 편집하여 시작할 수 있습니다. 이러한 작업 항목은 cn=tasks 에 포함됩니다. 각 작업은 다음과 같은 항목을 업데이트하여 호출할 수 있습니다.
dn: cn=task_id,cn=task_type,cn=tasks,cn=config ...
dn: cn=task_id,cn=task_type,cn=tasks,cn=config
...
Directory Server 8.0 이전의 Red Hat Directory Server 배포에서 많은 Directory Server 작업이 관리 서버에서 관리되었습니다. 이러한 작업은 버전 8.0의 코어 디렉터리 서버 구성으로 이동되었으며 cn=tasks 항목에서 Directory Server에 의해 호출되고 시행됩니다.
cn=tasks 항목에서 다음 작업을 관리합니다.
- 3.1.16.2절. “cn=import”
- 3.1.16.3절. “cn=export”
- 3.1.16.4절. “cn=backup”
- 3.1.16.5절. “CN=restore”
- 3.1.16.6절. “cn=index”
- 3.1.16.7절. “CN=schema 다시 로드 작업”
- 3.1.16.8절. “CN=memberof 작업”
- 3.1.16.9절. “CN=fixup 연결 속성”
- 3.1.16.10절. “CN=구문 유효성 검사”
- 3.1.16.11절. “CN=USN tombstone 정리 작업”
- 3.1.16.12절. “cn=cleanallruv”
- 3.1.16.13절. “cn=abort cleanallruv”
- 3.1.16.14절. “CN=automember 다시 멤버십”
- 3.1.16.15절. “CN=automember 내보내기 업데이트”
- 3.1.16.16절. “CN=automember 맵 업데이트”
이러한 작업의 공통 속성은 3.1.16.1절. “cn=tasks 아래의 Entries에 대한 Task Invocation Attributes” 에 나열됩니다.
cn=tasks 항목 자체에는 속성이 없으며 개별 작업 항목에 대한 상위 및 컨테이너 항목으로 사용됩니다.
작업 항목은 영구 구성 항목이 아닙니다. 작업 작업이 실행되는 동안 또는 ttl 기간이 만료될 때까지 구성 파일에만 존재합니다. 그러면 서버에서 해당 항목이 자동으로 삭제됩니다.
3.1.16.1. cn=tasks 아래의 Entries에 대한 Task Invocation Attributes
Directory Server 인스턴스를 관리하는 5개의 작업에는 개별 작업을 시작하고 식별하는 구성 항목이 있습니다. 이러한 작업 항목은 동일한 개체 클래스의 인스턴스이며 , Directory Server 작업의 상태 및 동작을 설명하는 특정 공통 특성을 갖습니다. 작업 유형은 가져오기, 내보내기, 백업, 복원, 인덱스, 스키마 다시 로드 및 멤버일 수 있습니다.
CN
cn 속성은 시작할 새 작업 작업을 식별합니다. cn 속성 값은 새 작업을 정의하는 한 모든 값이 될 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | Cn: 예제 작업 항목 이름 |
nsTaskStatus
이 속성에는 누적 통계 또는 현재 출력 메시지와 같은 작업 상태에 대한 정보가 포함되어 있습니다. 속성의 전체 내용은 프로세스가 실행되는 동안 주기적으로 업데이트될 수 있습니다.
이 속성 값은 서버에서 설정하며 편집 해서는 안 됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | case-exact string |
| 예 | nsTaskStatus: 항목 로드…. |
nsTaskLog
이 항목에는 경고 및 정보 메시지를 모두 포함하여 작업에 대한 모든 로그 메시지가 포함되어 있습니다. 새 메시지가 항목 값 끝에 추가되므로 이 속성 값은 기본적으로 원래 콘텐츠를 삭제하지 않고 커집니다.
nsTaskExitCode 가 0 인 성공적인 작업 작업은 nsTaskLog 특성에만 기록됩니다. 오류를 나타내는 0이 아닌 응답은 오류 로그에 오류 로그에 기록될 수 있지만 오류 메시지는 nsTaskLog 특성에만 기록됩니다. 이러한 이유로 nsTaskLog 속성의 정보를 사용하여 실제 발생한 오류를 확인합니다.
이 속성 값은 서버에서 설정하며 편집 해서는 안 됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | case-exact string |
| 예 | nsTaskLog: example… |
nsTaskExitCode
이 속성에는 작업의 종료 코드가 포함되어 있습니다. 이 속성은 작업이 완료된 후에만 존재하며 작업이 완료된 경우에만 모든 값이 유효합니다. 결과 코드는 7.4절. “LDAP 결과 코드” 에 나열된 모든 LDAP 종료 코드일 수 있지만 0 값은 성공과 동일합니다. 다른 결과 코드는 오류입니다.
이 속성 값은 서버에서 설정하며 편집 해서는 안 됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 유효한 값 | 0 (success) ~ 97[a] |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsTaskExitCode: 0 |
[a]
0 이외의 모든 응답은 오류입니다.
| |
nsTaskCurrentItem
이 속성은 작업을 하위 작업으로 나눌 수 있다고 가정하면 작업 작업이 완료된 하위 작업 수를 표시합니다. 작업이 하나만 있는 경우 nsTask CurrentItem 은 작업이 실행되는 동안 0 이고 작업이 완료되면 1 입니다. 이렇게 하면 속성은 진행률 표시줄과 유사합니다. nsTaskCurrentItem 속성에 nsTaskTotalItems 와 동일한 값이 있으면 작업이 완료됩니다.
이 속성 값은 서버에서 설정하며 편집 해서는 안 됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 유효한 값 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsTaskCurrentItem: 148 |
nsTaskTotalItems
이 속성은 작업 작업에 완료해야 하는 총 하위 작업 수를 표시합니다. nsTaskCurrentItem 속성에 nsTaskTotalItems 와 동일한 값이 있으면 작업이 완료됩니다.
이 속성 값은 서버에서 설정하며 편집 해서는 안 됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 유효한 값 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | |
| 구문 | 정수 |
| 예 | nsTaskTotalItems: 152 |
nsTaskCancel
이 속성을 사용하면 진행 중인 동안 작업을 중단할 수 있습니다. 이 속성은 사용자가 수정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 유효한 값 | true | false |
| 기본값 | |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsTaskCancel: true |
ttl
이 속성은 작업이 완료되거나 중단된 후에도 작업 항목이 DSE에 남아 있는 시간(초)을 설정합니다. ttl 특성을 설정하면 종료 코드를 누락하지 않고 작업 항목을 새 상태 정보에 대해 폴링할 수 있습니다. ttl 속성을 0 으로 설정하면 항목이 캐시되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 유효한 값 | 0 (캐시할 수 없음) 최대 32 비트 정수 값 (2147483647) |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | TTL: 120 |
3.1.16.2. cn=import
LDIF 파일 또는 여러 LDIF 파일은 작업 매개 변수를 정의하고 작업을 시작하는 특수 작업 항목을 생성하여 명령줄을 통해 가져올 수 있습니다. 작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=import 항목은 가져오기 작업을 위한 컨테이너 항목입니다. 항목 자체에는 속성이 없지만 cn=task_ID, cn=import ,cn=import ,cn=taskscn=config 와 같은 이 항목 내의 각 작업 항목은 다음 특성을 사용하여 가져오기 작업을 정의합니다.
cn=import 아래의 가져오기 작업 항목에는 가져올 LDIF 파일( nsFilename 속성에서)과 파일을 가져올 인스턴스의 이름( nsInstance 속성의 경우)이 포함되어야 합니다. 또한 작업을 식별하려면 고유한 cn 을 포함해야 합니다. 예를 들면 다음과 같습니다.
dn: cn=example import,cn=import,cn=tasks,cn=config objectclass: extensibleObject cn: example import nsFilename: /home/files/example.ldif nsInstance: userRoot
dn: cn=example import,cn=import,cn=tasks,cn=config
objectclass: extensibleObject
cn: example import
nsFilename: /home/files/example.ldif
nsInstance: userRoot가져오기 작업이 실행되면 작업 항목에 3.1.16.1절. “cn=tasks 아래의 Entries에 대한 Task Invocation Attributes” 에 나열된 모든 서버 생성 작업 속성이 포함됩니다.
ldif2db 및 ldif2db.pl 스크립트의 옵션과 유사하게 가져오기 작업을 구체화하는 데 사용할 수 있는 몇 가지 선택적 속성이 있습니다.
-
nsIncludeSuffix.
s 옵션과 유사하여가져올 접미사를 지정합니다. -
nsExcludeSuffix가져오기에서 제외할 접미사 또는 하위 트리를 지정하는
-x옵션과 유사합니다. -
nsImportChunkSize.
c옵션과 유사하게 가져오기 중 새 패스 시작을 재정의하고 청크를 병합합니다. - nsImportIndexAttrs속성 인덱스를 가져올지 여부를 설정합니다(스크립트 옵션에서 공동 등록 없음)
-
nsUniqueIdGenerator항목을 위한 고유 ID 번호를 생성하는
-g옵션과 유사합니다. -
nsUniqueIdGeneratorNamespace항목을 위한 고유 이름 기반 ID를 생성하는
-G옵션과 유사합니다.
nsFilename
nsFilename 속성에는 Directory Server 인스턴스로 가져올 LDIF 파일의 경로와 파일 이름이 포함되어 있습니다. 여러 파일을 가져오려면 이 속성의 여러 인스턴스를 추가합니다. 예를 들면 다음과 같습니다.
nsFilename: file1.ldif nsFilename: file2.ldif
nsFilename: file1.ldif
nsFilename: file2.ldif| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | case-exact string, multi-valued |
| 예 | nsFilename: /home/jsmith/example.ldif |
nsInstance
이 속성은 userRoot 또는 slapd-example 과 같은 파일을 가져올 데이터베이스 인스턴스의 이름을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 유효한 값 | Directory Server 인스턴스 데이터베이스의 이름(모든 문자열) |
| 기본값 | |
| 구문 | case-exact string |
| 예 | nsInstance: userRoot |
nsIncludeSuffix
이 속성은 LDIF 파일에서 가져올 특정 접미사 또는 하위 트리를 식별합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | |
| 구문 | DN, 다중 값 |
| 예 | nsIncludeSuffix: ou=people,dc=example,dc=com |
nsExcludeSuffix
이 속성은 가져오기에서 제외할 LDIF 파일의 접미사 또는 하위 트리를 식별합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | |
| 구문 | DN, 다중 값 |
| 예 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsImportChunkSize
이 속성은 가져오기 작업 중에 보유할 청크 수를 정의합니다. 이 경우 새 패스를 시작하고 청크를 병합하는 동안 서버의 탐지를 덮어씁니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 유효한 값 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 0 |
| 구문 | 정수 |
| 예 | nsImportChunkSize: 10 |
nsImportIndexAttrs
이 속성은 데이터베이스 인스턴스로 가져온 특성을 인덱싱할지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 유효한 값 | true | false |
| 기본값 | true |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsImportIndexAttrs: true |
nsUniqueIdGenerator
이렇게 하면 가져온 항목에 대한 고유 ID를 생성할지 여부를 설정합니다. 기본적으로 이 속성은 시간 기반 ID를 생성합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 유효한 값 | none (Unique ID 없음) | 비어있는 (시간 기반 ID) | 결정적 네임스페이스 (이름 기반 ID) |
| 기본값 | 빈 |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsUniqueIdGenerator: |
nsUniqueIdGeneratorNamespace
이 속성은 이름 기반 ID를 생성하는 방법을 정의합니다. 속성은 ID를 생성하는 데 사용할 네임스페이스를 설정합니다. 이 옵션은 항목에 동일한 ID가 있어야 하는 경우 동일한 LDIF 파일을 두 개의 Directory Server 인스턴스로 가져오는 데 유용합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsUniqueIdGeneratorNamespace: example |
3.1.16.3. cn=export
작업 매개 변수를 정의하고 작업을 시작하는 특수 작업 항목을 생성하여 명령줄을 통해 데이터베이스 또는 여러 데이터베이스를 내보낼 수 있습니다. 작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=export,cn=tasks,cn=config 항목은 내보내기 작업용 컨테이너입니다. 이러한 작업은 이 컨테이너 내에 저장되고 cn=task_name,cn=export,cn=tasks,cn=config.
내보내기 작업이 실행 중인 동안 작업 항목에는 3.1.16.1절. “cn=tasks 아래의 Entries에 대한 Task Invocation Attributes” 에 나열된 모든 서버 생성 작업 속성이 포함되어 있습니다.
내보내기 작업을 수동으로 생성하거나 db2ldif.pl 명령을 사용할 수 있습니다. 다음 표에는 db2ldif.pl 명령줄 옵션 및 해당 속성이 표시되어 있습니다.
db2ldif.pl 옵션 | 작업 특성 | 설명 |
|---|---|---|
|
|
| 내보낸 LDIF 파일의 경로를 설정합니다. |
|
|
| 활성화된 경우 기본 데이터베이스 파일만 사용합니다. |
|
|
| 활성화된 경우 출력을 여러 파일에 저장합니다. |
|
|
| 데이터베이스 이름을 설정합니다. |
|
|
| 시퀀스 번호 출력을 억제할 수 있습니다. |
|
|
| 설정된 경우 내보내기에는 복제본을 초기화하는 속성이 포함됩니다. |
|
|
| 내보낸 파일에 포함할 접미사를 설정합니다. |
|
|
| 고유 ID를 내보내지 않도록 합니다. |
|
|
| 설정된 경우 긴 행이 래핑되지 않습니다. |
|
|
| 내보낸 파일에서 제외할 접미사를 설정합니다. |
nsFilename
nsFilename 속성에는 Directory Server 인스턴스 데이터베이스를 내보낼 LDIF 파일의 경로와 파일 이름이 포함되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | case-exact string, multi-valued |
| 예 | nsFilename: /home/jsmith/example.ldif |
nsInstance
이 속성은 userRoot 또는 userRoot 와 같이 데이터베이스를 내보낼 데이터베이스 인스턴스의 이름을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | Directory Server 인스턴스의 이름(모든 문자열) |
| 기본값 | |
| 구문 | case-exact string, multi-valued |
| 예 | nsInstance: userRoot |
nsIncludeSuffix
이 속성은 LDIF 파일로 내보낼 특정 접미사 또는 하위 트리를 식별합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | |
| 구문 | DN, 다중 값 |
| 예 | nsIncludeSuffix: ou=people,dc=example,dc=com |
nsExcludeSuffix
이 속성은 내보낸 LDIF 파일에서 제외할 데이터베이스의 접미사 또는 하위 트리를 식별합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | |
| 구문 | DN, 다중 값 |
| 예 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsUseOneFile
이 속성은 모든 Directory Server 인스턴스를 단일 LDIF 파일 또는 별도의 LDIF 파일로 내보낼지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | true | false |
| 기본값 | true |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsUseOneFile: true |
nsExportReplica
이 속성은 내보낸 데이터베이스가 복제에 사용되는지 여부를 식별합니다. 복제본의 경우 복제본을 자동으로 초기화하는 항목에 적절한 속성 및 설정이 포함됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | true | false |
| 기본값 | false |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsExportReplica: true |
nsPrintKey
이 속성은 항목을 내보내기 작업에서 처리할 때 항목 ID 번호를 출력할지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | true | false |
| 기본값 | true |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsPrintKey: false |
nsUseId2Entry
nsUseId2Entry 속성은 기본 데이터베이스 인덱스인 id2entry 을 사용하여 내보낸 LDIF 항목을 정의합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | true | false |
| 기본값 | false |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsUseId2Entry: true |
nsNoWrap
이 속성은 LDIF 파일에서 긴 행을 래핑할지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | true | false |
| 기본값 | false |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsNoWrap: false |
nsDumpUniqId
이 속성은 내보낸 항목의 고유 ID가 내보내지지 않도록 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 유효한 값 | true | false |
| 기본값 | true |
| 구문 | 대소문자를 구분하지 않는 문자열 |
| 예 | nsDumpUniqId: true |
3.1.16.4. cn=backup
명령줄을 통해 데이터베이스는 작업의 매개 변수를 정의하고 작업을 시작하는 특수 작업 항목을 생성하여 백업할 수 있습니다. 작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=backup 항목은 백업 작업 작업을 위한 컨테이너 항목입니다. cn=backup 항목 자체는 속성이 없지만 이 항목 내의 각 작업 항목(예: cn=task_ID,cn=backup,cn=tasks,cn=config )은 다음 특성을 사용하여 백업 작업을 정의합니다.
cn=backup 아래의 백업 작업 항목에는 아카이브 복사본을 복사할 디렉터리 위치( nsArchiveDir 속성에서)와 백업할 데이터베이스 유형( nsDatabaseType 속성)이 포함되어야 합니다. 또한 작업을 식별하려면 고유한 cn 을 포함해야 합니다. 예를 들면 다음과 같습니다.
dn: cn=example backup,cn=backup,cn=tasks,cn=config objectclass: extensibleObject cn: example backup nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
dn: cn=example backup,cn=backup,cn=tasks,cn=config
objectclass: extensibleObject
cn: example backup
nsArchiveDir: /export/backups/
nsDatabaseType: ldbm database백업 작업이 실행되면 작업 항목에 3.1.16.1절. “cn=tasks 아래의 Entries에 대한 Task Invocation Attributes” 에 나열된 모든 서버 생성 작업 속성이 포함됩니다.
nsArchiveDir
이 속성은 백업을 작성할 디렉터리의 위치를 제공합니다.
여기에서 백업 디렉터리는 일반적으로 nsslapd-bakdir 속성에 구성된 디렉터리와 동일해야 합니다.
이 속성이 cn=backup 작업에 포함되지 않은 경우 LDAP 오브젝트 클래스 위반 오류 (65)와 함께 작업이 실패합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 유효한 값 | 모든 로컬 디렉터리 위치 |
| 기본값 | |
| 구문 | case-exact string |
| 예 | nsArchiveDir: /export/backups |
nsDatabaseType
이 속성은 보관 중인 데이터베이스의 종류를 제공합니다. 데이터베이스 유형을 설정하면 Directory Server에서 데이터베이스를 아카이브하는 데 사용해야 하는 백업 플러그인의 종류가 신호입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 유효한 값 | ldbm 데이터베이스 |
| 기본값 | ldbm 데이터베이스 |
| 구문 | case-exact string |
| 예 | nsDatabaseType: ldbm 데이터베이스 |
3.1.16.5. CN=restore
명령줄을 통해 데이터베이스는 작업의 매개 변수를 정의하고 작업을 시작하는 특수 작업 항목을 생성하여 복원할 수 있습니다. 작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=restore 항목은 작업 작업에서 데이터베이스를 복원하기 위한 컨테이너 항목입니다. 항목 자체는 속성이 없지만 cn=task_ID, cn=restore ,cn=restore ,cn=taskscn=config 와 같은 이 항목 내의 각 작업 항목은 다음 특성을 사용하여 복원 작업을 정의합니다.
cn=restore 아래의 복원 작업 항목에는 아카이브 복사본을 검색할 디렉터리 위치( nsArchiveDir 속성에서)와 복원할 데이터베이스 유형( nsDatabaseType 속성)이 포함되어야 합니다. 또한 작업을 식별하려면 고유한 cn 을 포함해야 합니다. 예를 들면 다음과 같습니다.
dn: cn=example restore,cn=restore,cn=tasks,cn=config objectclass: extensibleObject cn: example restore nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
dn: cn=example restore,cn=restore,cn=tasks,cn=config
objectclass: extensibleObject
cn: example restore
nsArchiveDir: /export/backups/
nsDatabaseType: ldbm database복원 작업이 실행되면 작업 항목에 3.1.16.1절. “cn=tasks 아래의 Entries에 대한 Task Invocation Attributes” 에 나열된 모든 서버 생성 작업 속성이 포함됩니다.
nsArchiveDir
이 속성은 백업을 작성할 디렉터리의 위치를 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 유효한 값 | 모든 로컬 디렉터리 위치 |
| 기본값 | |
| 구문 | case-exact string |
| 예 | nsArchiveDir: /export/backups |
nsDatabaseType
이 속성은 보관 중인 데이터베이스의 종류를 제공합니다. 데이터베이스 유형을 설정하면 Directory Server에서 데이터베이스를 아카이브하는 데 사용해야 하는 백업 플러그인의 종류가 신호입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 유효한 값 | ldbm 데이터베이스 |
| 기본값 | ldbm 데이터베이스 |
| 구문 | case-exact string |
| 예 | nsDatabaseType: ldbm 데이터베이스 |
3.1.16.6. cn=index
작업 매개 변수를 정의하고 작업을 시작하는 특수 작업 항목을 생성하여 명령줄에 디렉터리 속성을 인덱싱할 수 있습니다. 작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=index 항목은 인덱스 작업 작업을 위한 컨테이너 항목입니다. cn=index 항목 자체는 속성이 없지만 이 항목 내의 각 작업 항목(예: cn=task_ID,cn=index,cn=tasks,cn=config )은 다음 특성을 사용하여 백업 작업을 정의합니다.
cn=index 아래의 인덱스 작업 항목은 인덱싱할 속성과 생성할 인덱스 유형을 식별하여 표준 인덱스를 생성할 수 있으며 둘 다 nsIndexAttribute 속성에 정의되어 있습니다.
또는 인덱스 작업을 사용하여 nsIndexVLVAttribute 특성을 사용하여 속성에 대한 VLV(가상 목록 보기) 인덱스를 생성할 수 있습니다. vlvindex 스크립트를 실행하는 것과 동일합니다.
예를 들면 다음과 같습니다.
인덱스 작업이 실행되면 작업 항목에 3.1.16.1절. “cn=tasks 아래의 Entries에 대한 Task Invocation Attributes” 에 나열된 모든 서버 생성 작업 속성이 포함됩니다.
nsIndexAttribute
이 속성은 인덱스의 속성 이름과 적용할 인덱스 유형을 제공합니다. 특성 값 형식은 큰따옴표로 묶은 인덱스 유형의 쉼표로 구분된 속성 이름 및 쉼표로 구분된 목록입니다. 예를 들면 다음과 같습니다.
nsIndexAttribute: attribute:index1,index2
nsIndexAttribute: attribute:index1,index2| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 유효한 값 | * 모든 속성
* 이전 ( |
| 기본값 | |
| 구문 | 대소문자를 구분하지 않는 문자열, 다중 값 문자열 |
| 예 | * nsIndexAttribute: cn:pres,eq * nsIndexAttribute: description:sub |
nsIndexVLVAttribute
이 속성은 VLV 인덱스의 대상 항목의 이름을 제공합니다. 가상 목록 뷰는 가상 목록 기본 DN, 범위 및 필터를 정의하는 검색 인덱스 항목( 관리 가이드)을 기반으로 합니다. nsIndexVLVAttribute 값은 검색 인덱스 항목이며 VLV 생성 작업은 검색 인덱스 항목 매개변수에 따라 실행됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 유효한 값 | VLV 항목 정의의 하위 항목 RDN |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsIndexVLVAttribute:"검색 인덱스 정렬 식별자 |
3.1.16.7. CN=schema 다시 로드 작업
디렉터리 인스턴스가 시작되거나 다시 시작되면 디렉터리 스키마가 로드됩니다. 사용자 지정 스키마 요소 추가를 포함하여 디렉터리 스키마에 대한 변경 사항은 자동으로 로드되지 않으며 서버를 다시 시작하거나 스키마 다시 로드 작업을 시작하여 인스턴스에 사용할 수 있습니다.
Directory Server 인스턴스를 다시 시작할 필요 없이 사용자 지정 스키마 변경 사항을 동적으로 다시 로드할 수 있습니다. 이 작업은 cn=tasks 항목 아래에 새 작업 항목을 생성하여 스키마 다시 로드 작업을 시작하여 수행됩니다.
사용자 지정 스키마 파일은 모든 디렉터리에 있을 수 있습니다. schemadir 속성으로 지정하지 않으면 서버는 기본 /etc/dirsrv/slapd-인스턴스/schema 디렉터리에서 스키마 를 다시 로드합니다.
다른 디렉터리에서 로드된 모든 스키마를 스키마 디렉터리에 복사하거나 서버가 스키마를 손실해야 합니다.
schemd 재로드 작업은 작업의 매개 변수를 정의하고 작업을 시작하는 특수 작업 항목을 생성하여 명령줄을 통해 시작됩니다. 작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다. 예를 들면 다음과 같습니다.
dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config objectclass: extensibleObject cn:example schema reload schemadir: /export/schema
dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example schema reload
schemadir: /export/schema
cn=schema 다시 로드 작업 항목은 스키마 다시 로드 작업을 위한 컨테이너 항목입니다. cn=schema 다시 로드 작업 항목 자체는 속성이 없지만 이 항목 내의 각 작업 항목(예: cn=task_ID,cn=schema 다시 로드 작업,cn=tasks,cn=config )을 사용하여 스키마 재로드 특성을 사용하여 개별 다시 로드 작업을 정의합니다.
CN
cn 속성은 시작할 새 작업 작업을 식별합니다. cn 속성 값은 새 작업을 정의하는 한 모든 값이 될 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 유효한 값 | 모든 문자열 |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | cn: 다시 로드 작업 ID 예 |
schemadir
여기에는 사용자 지정 스키마 파일이 포함된 디렉터리의 전체 경로가 포함됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 유효한 값 | 모든 로컬 디렉터리 경로 |
| 기본값 | /etc/dirsrv/schema |
| 구문 | DirectoryString |
| 예 | schemadir: /export/schema/ |
3.1.16.8. CN=memberof 작업
memberOf 속성은 디렉터리 서버에서 자동으로 생성 및 관리하여 멤버의 사용자 항목에 대한 그룹 멤버십을 표시합니다. 그룹 항목의 멤버 속성이 변경되면 해당 특성으로 멤버의 연결된 디렉터리 항목이 모두 자동으로 업데이트됩니다.
member Of
cn=memberof 작업 (및 관련 fixup-memberof.pl 스크립트)은 디렉터리의 멤버 사용자 항목에 초기 memberOf 속성을 생성하는 데 사용됩니다. memberOf 속성이 생성되면 MemberOf 플러그인에서 memberOf 속성을 자동으로 관리합니다.
memberOf 업데이트 작업에서는 업데이트 작업을 실행할 항목 또는 하위 트리의 DN을 제공해야 합니다( basedn 속성에 설정). 선택적으로 작업에 업데이트할 멤버의 사용자 항목을 식별하는 필터가 포함될 수 있습니다( filter 속성에 설정). 예를 들면 다음과 같습니다.
dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config objectclass: extensibleObject cn:example memberOf basedn: ou=people,dc=example,dc=com filter: (objectclass=groupofnames)
dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example memberOf
basedn: ou=people,dc=example,dc=com
filter: (objectclass=groupofnames)작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=memberof 작업 항목은 memberOf 업데이트 작업의 컨테이너 항목입니다. cn=memberof 작업 항목 자체에는 속성이 없지만 cn=task_ID, cn=memberof 작업 등 이 항목 아래에 있는 각 작업 항목은 해당 속성을 사용하여 개별 업데이트 작업을 정의합니다.
,cn=taskscn= config
basedn
이 속성은 memberOf 특성을 업데이트하기 위해 사용자 항목을 검색하는 데 사용할 기본 DN을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | |
| 구문 | DN |
| 예 | baseDN: ou=people,dc=example,dc=com |
filter
이 속성은 memberOf 특성을 업데이트할 사용자 항목을 선택하는 데 사용할 선택적 LDAP 필터를 제공합니다. 그룹의 각 멤버에는 디렉터리에 해당 사용자 항목이 있습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
| 유효한 값 | 모든 LDAP 필터 |
| 기본값 | (objectclass=*) |
| 구문 | DirectoryString |
| 예 | filter: (l=Sunnyvale) |
3.1.16.9. CN=fixup 연결 속성
Directory Server에는 한 특성을 사용하여 한 항목에서 설정한 다른 항목의 다른 특성을 자동으로 업데이트할 수 있는 Linked Attributes Plug-in이 있습니다. 두 항목 모두 값에 대한 DN이 있습니다. 첫 번째 항목의 DN 값은 플러그인에서 업데이트할 항목을 가리킵니다. 두 번째 항목의 속성에는 첫 번째 항목의 DN 백 포인터가 포함됩니다.
이는 MemberOf Plug-in이 그룹 항목의 member 속성을 사용하여 사용자 항목에서 memberOf 특성을 설정하는 방식과 유사합니다. 연결된 속성을 사용하면 모든 속성을 "링크"로 정의할 수 있으며 영향을 받는 항목에서 다른 속성이 "관리"됩니다.
cn=fixup 연결 속성 (및 관련 fixup-linkedattrs.pl 스크립트)은 연결 플러그인 인스턴스가 생성되면 사용자 항목에서 데이터베이스에 이미 존재하는 링크 속성을 기반으로 관리 속성을 생성합니다. 링크된 속성 및 관리 특성이 설정되면 사용자가 링크 속성을 변경할 때 Linked Attributes 플러그인에서 관리되는 속성을 동적으로 유지 관리합니다.
연결된 속성 업데이트 작업에서는 업데이트할 연결된 속성 플러그인을 지정하고 선택적 linkdn 속성에 설정할 수 있습니다. 이 속성이 작업 항목에 설정되지 않은 경우 구성된 모든 연결된 특성이 업데이트됩니다.
dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config objectclass: extensibleObject cn:example linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config
dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=fixup 연결된 특성 항목은 모든 연결된 특성 업데이트 작업의 컨테이너 항목입니다. cn=fixup 링크된 속성 자체에는 개별 작업과 관련된 특성이 없지만 이 항목 아래의 각 작업 항목(예: cn=task_ID,cn=fixup 연결 속성,cn=tasks,cn=config )은 해당 속성을 사용하여 개별 업데이트 작업을 정의합니다.
linkdn
각 linked-managed 특성 쌍은 연결된 특성 플러그인 인스턴스에서 구성됩니다. linkdn 속성은 플러그인 인스턴스 DN을 지정하여 항목을 업데이트하는 데 사용되는 특정 연결된 특성 플러그인을 설정합니다. 예를 들면 다음과 같습니다.
linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config
linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config플러그인 인스턴스가 제공되지 않으면 모든 연결된 특성이 업데이트됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=fixup linked attributes,cn=tasks,cn=config |
| 유효한 값 | DN(연결된 속성 플러그인의 경우) |
| 기본값 | 없음 |
| 구문 | DN |
| 예 | linkdn: cn=Manager Links,cn=Linked Attributes,cn=plugins,cn=config |
3.1.16.10. CN=구문 유효성 검사
구문 검증에서는 속성에 대한 모든 수정을 검사하여 새 값에 해당 특성 유형에 필요한 구문이 있는지 확인합니다. 속성 구문은 RFC 4514 의 정의에 대해 검증됩니다.
구문 검증은 기본적으로 활성화되어 있습니다. 그러나 구문 검증은 특성이 추가되거나 수정되는 경우와 같이 속성 값에 대한 변경 사항 만 감사합니다. 기존 특성 값의 구문은 확인하지 않습니다.
기존 구문의 검증은 구문 검증 작업을 사용하여 수행할 수 있습니다. 이 작업에서는 지정된 하위 트리 아래에 있는 항목( basedn 속성) 및 필요한 경우 지정된 필터와 일치하는 항목만 확인합니다( filter 속성의 경우).
dn: cn=example,cn=syntax validate,cn=tasks,cn=config objectclass: extensibleObject cn:example basedn: ou=people,dc=example,dc=com filter: "(objectclass=inetorgperson)"
dn: cn=example,cn=syntax validate,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
basedn: ou=people,dc=example,dc=com
filter: "(objectclass=inetorgperson)"작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
구문 유효성 검사가 비활성화되거나 서버가 마이그레이션된 경우 특성 구문 요구 사항을 준수하지 않는 서버에 데이터가 있을 수 있습니다. 구문 검증 작업을 실행하여 구문 검증을 활성화하기 전에 기존 속성 값을 평가할 수 있습니다.
cn=syntax validate 항목은 구문 검증 작업에 대한 컨테이너 항목입니다. cn=syntax validate 항목 자체에는 작업과 관련된 특성이 없습니다. 이 항목 아래의 각 작업 항목(예: cn=task_ID,cn=syntax validate,cn=tasks,cn=config )은 특성을 사용하여 개별 업데이트 작업을 정의합니다.
basedn
구문 검증 작업을 실행할 하위 트리를 제공합니다. 예를 들면 다음과 같습니다.
basedn: ou=people,dc=example,dc=com
basedn: ou=people,dc=example,dc=com| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | 없음 |
| 구문 | DN |
| 예 | baseDN: dc=example,dc=com |
filter
구문 검증 작업을 실행하는 데 지정된 기반 아래의 특정 항목을 식별하는 데 사용할 수 있는 선택적 LDAP 필터가 포함되어 있습니다. 이 속성이 작업에 설정되지 않은 경우 basedn 내의 모든 항목이 감사됩니다. 예를 들면 다음과 같습니다.
filter: "(objectclass=person)"
filter: "(objectclass=person)"| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 유효한 값 | 모든 LDAP 필터 |
| 기본값 | "(objectclass=*)" |
| 구문 | DirectoryString |
| 예 | filter: "(objectclass=*)" |
3.1.16.11. CN=USN tombstone 정리 작업
USN 플러그인을 활성화하면 해당 항목에서 추가 또는 수정과 같은 디렉토리 쓰기 작업이 발생할 때마다 모든 항목에 대해 업데이트 시퀀스 번호 (USN)가 설정됩니다. 이는 entryUSN operational 속성에 반영됩니다. 이 USN은 항목이 삭제되는 경우에도 설정되며, mbstone 항목은 Directory Server 인스턴스에서 유지 관리됩니다.
cn=USN tombstone 정리 작업 (및 관련 usn-tombstone-cleanup.pl 스크립트)은 백엔드 데이터베이스( 백엔드 속성의) 또는 접미사( 접미사 속성)에 따라 인스턴스에서 유지 관리하는 tombstone 항목을 삭제합니다. 선택적으로 가장 최근의 tombstone 항목을 유지하는 최대 USN( max_usn_to_delete 속성에서)을 지정하여 tombstone 항목의 하위 집합만 삭제할 수 있습니다.
dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config objectclass: extensibleObject cn:example backend: userroot max_usn_to_delete: 500
dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
backend: userroot
max_usn_to_delete: 500이 작업은 복제가 활성화되지 않은 경우에만 시작할 수 있습니다. 복제는 자체 tombstone 저장소를 유지하며, 이러한 tombstone 항목은 USN 플러그인에서 삭제할 수 없으며 복제 프로세스에서 유지 관리해야 합니다. 따라서 Directory Server는 사용자가 복제된 데이터베이스에 대한 정리 작업을 실행하지 못하도록 합니다.
복제된 백엔드에 대한 이 작업 항목을 생성하려고 하면 명령줄에서 이 오류가 반환됩니다.
ldap_add: DSA is unwilling to perform
ldap_add: DSA is unwilling to perform오류 로그에는 접미사가 복제되므로 tombstone을 제거할 수 없다는 더 명시적 메시지가 있습니다.
[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.
[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=USN tombstone cleanup 작업 항목은 모든 USN tombstone 삭제 작업의 컨테이너 항목입니다. cn=USN tombstone 정리 작업 항목 자체에는 개별 작업과 관련된 특성이 없지만 cn=task_ID, cn=USN tombstone cleanup 작업, 와 같은 이 항목 아래의 각 작업 항목은 해당 속성을 사용하여 개별 업데이트 작업을 정의합니다.
cn=tasks,cn= config
백엔드
그러면 Directory Server 인스턴스 백엔드 또는 데이터베이스가 제공되어 정리 작업을 실행합니다. 백엔드를 지정하지 않으면 접미사를 지정해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=USN tombstone cleanup 작업,cn=tasks,cn=config |
| 유효한 값 | 데이터베이스 이름 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | backend: userroot |
max_usn_to_delete
이렇게 하면 tombstone 항목을 제거할 때 삭제할 가장 높은 USN 값이 제공됩니다. 해당 번호를 포함한 모든 tombstone 항목이 삭제됩니다. USN 값이 높은 tombstone 항목은 (더 최근 항목을 의미) 삭제되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=USN tombstone cleanup 작업,cn=tasks,cn=config |
| 유효한 값 | 모든 정수 |
| 기본값 | 없음 |
| 구문 | 정수 |
| 예 | max_usn_to_delete: 500 |
접미사
그러면 Directory Server에서 접미사 또는 하위 트리가 제공되어 정리 작업을 실행할 수 있습니다. 접미사를 지정하지 않으면 백엔드를 제공해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=USN tombstone cleanup 작업,cn=tasks,cn=config |
| 유효한 값 | 모든 하위 트리 DN |
| 기본값 | 없음 |
| 구문 | DN |
| 예 | 접미사: dc=example,dc=com |
3.1.16.12. cn=cleanallruv
복제 토폴로지에 대한 정보 - 동일한 복제 그룹 내의 서로 및 기타 복제본에 업데이트를 제공하는 모든 공급업체는 RUV(복제 업데이트 벡터) 라는 메타데이터 세트에 포함됩니다. RUV에는 공급자의 ID 및 URL, 로컬 서버에서 변경한 변경의 최신 변경 상태 번호, 첫 번째 변경 사항에 대한 CSN이 포함되어 있습니다. 공급업체와 소비자 모두 RUV 정보를 저장하고 복제 업데이트를 제어하는 데 사용합니다.
한 공급업체가 복제 토폴로지에서 제거되면 다른 복제본의 RUV에 남아 있을 수 있습니다. 다른 복제본이 다시 시작되면 복제 플러그인이 (제거됨) 공급자를 인식하지 못하는 오류를 로그에 기록할 수 있습니다.
공급 업체가 토폴로지에서 영구적으로 제거되면 해당 공급 업체에 대한 모든 언어 메타데이터는 다른 모든 공급 업체의 RUV 항목에서 제거해야합니다.
cn=cleanallruv 작업은 복제 토폴로지의 모든 서버를 통해 전파되고 지정된 누락되거나 더 이상 사용되지 않는 공급업체와 관련된 RUV 항목을 제거합니다.
작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=cleanallruv 항목은 모든 정리 RUV 작업의 컨테이너 항목입니다. 항목 자체는 개별 작업과 관련된 특성이 없지만 이 항목 아래의 각 작업 항목(예: cn=cleanallruv cn=task_ID, cn=cleanallruv ,cn=tasks,cn=config )은 해당 속성을 사용하여 개별 업데이트 작업을 정의합니다.
각 정리 RUV 작업은 제거할 복제본 RUV 항목의 복제본 ID 번호, 복제된 데이터베이스의 기반 DN 및 RUV 데이터를 제거하기 전에 누락된 공급자의 나머지 업데이트를 적용해야 하는지 여부를 지정해야 합니다.
replica-base-dn
그러면 복제된 데이터베이스와 연결된 Directory Server 기본 DN이 제공됩니다. 복제된 접미사의 기본 DN입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 유효한 값 | 디렉터리 접미사 DN |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | replica-base-dn: dc=example,dc=com |
replica-id
복제 토폴로지에서 제거할 복제본의 복제본 ID(복제 구성 항목에 대해 nsDS5ReplicaId 속성에 정의됨)가 제공됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 유효한 값 | 0에서 65534 |
| 기본값 | 없음 |
| 구문 | 정수 |
| 예 | replica-id: 55 |
replica-force-cleaning
이렇게 하면 제거할 복제본의 미해결 업데이트를 적용해야 하는지(아니오) 또는 정리 RUV 작업이 강제 진행되어야 하고 나머지 업데이트(예)가 손실되어야 하는지 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 유효한 값 | 아니요 | 예 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | replica-force-cleaning: no |
3.1.16.13. cn=abort cleanallruv
3.1.16.12절. “cn=cleanallruv” 작업은 모든 업데이트를 먼저 처리하는 경우에도 복제 토폴로지의 모든 서버 간에 전파하는 데 몇 분이 걸릴 수 있습니다. 성능 또는 기타 유지 관리 고려 사항의 경우 정리 RUV 작업을 종료할 수 있으며 복제 토폴로지의 모든 서버에도 종료가 전파됩니다.
종료 작업은 cn=abort cleanallruv 항목의 중단입니다.
작업이 완료되면 작업 항목이 디렉터리에서 제거됩니다.
cn=abort cleanallruv 항목은 모든 정리 RUV 작업의 컨테이너 항목입니다. cn=abort cleanallruv 항목 자체에는 개별 작업과 관련된 특성이 없지만 이 항목 아래에 있는 각 작업 항목(예: cn=task_ID,cn=abort cleanallruv,cn=tasks,cn=config )을 사용하여 개별 업데이트 작업을 정의합니다.
각 정리 RUV 작업은 현재 제거 중인 복제본 RUV 항목의 복제본 ID 번호, 복제된 데이터베이스의 기반 DN 및 토폴로지의 모든 서버에서 완료된 경우 종료 작업이 완료되어야 하는지 또는 로컬로 지정해야 합니다.
replica-base-dn
그러면 복제된 데이터베이스와 연결된 Directory Server 기본 DN이 제공됩니다. 복제된 접미사의 기본 DN입니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 유효한 값 | 디렉터리 접미사 DN |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | replica-base-dn: dc=example,dc=com |
replica-id
복제 토폴로지에서 제거되는 프로세스의 복제본 ID(복제 구성 항목에 대한 nsDS5ReplicaId 속성에 정의됨 )가 제공됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 유효한 값 | 0에서 65534 |
| 기본값 | 없음 |
| 구문 | 정수 |
| 예 | replica-id: 55 |
replica-certify-all
이렇게 하면 작업을 로컬로 완료하기 전에 복제 토폴로지의 모든 서버에서 작업이 성공적으로 완료되어야 하는지 또는 로컬에서 완료되는 즉시 작업이 완료되어야 하는지(예) 완료 여부를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 유효한 값 | 아니요 | 예 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | replica-certify-all: yes |
3.1.16.14. CN=automember 다시 멤버십
자동 멤버 플러그인은 새 항목이 디렉터리에 추가된 경우에만 실행됩니다. 플러그인은 자동 멤버 규칙과 일치하도록 편집된 기존 항목 또는 항목을 무시합니다.
cn=automember rebuild membership 작업은 기존 항목에 대해 현재 automembership 규칙을 실행하여 그룹 멤버십을 업데이트하거나 다시 빌드합니다. 구성된 모든 자동 구성원 규칙은 식별된 항목에 대해 실행됩니다(모든 규칙이 지정된 항목에 적용되지는 않을 수 있음).
basedn
그러면 사용자 항목을 검색하는 데 사용할 Directory Server 기본 DN이 제공됩니다. 그런 다음 지정된 DN의 항목은 자동 멤버 규칙에 따라 업데이트됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 유효한 값 | 디렉터리 접미사 DN |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | baseDN: dc=example,dc=com |
filter
이 속성은 구성된 자동 구성원 규칙에 따라 업데이트할 사용자 항목을 식별하는 데 사용할 LDAP 필터를 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 유효한 값 | 모든 LDAP 필터 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | 필터: (uid=*) |
scope
이 속성은 지정된 기본 DN을 검색할 때 사용할 LDAP 검색 범위를 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 유효한 값 | sub | base | one |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | 범위: sub |
3.1.16.15. CN=automember 내보내기 업데이트
이 작업은 디렉터리의 기존 항목에 대해 실행되며 규칙에 따라 어떤 사용자가 추가되었는지의 결과를 내보냅니다. 기존 사용자에 대한 기존 규칙을 테스트하여 실제 배포의 수행 방식을 확인하는 데 유용합니다.
automembership 관련 변경 사항은 실행되지 않습니다. 제안된 변경 사항은 지정된 LDIF 파일에 작성됩니다.
basedn
그러면 사용자 항목을 검색하는 데 사용할 Directory Server 기본 DN이 제공됩니다. automembership 규칙의 테스트는 식별된 항목에 대해 실행됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember 내보내기 업데이트,cn=tasks,cn=config |
| 유효한 값 | 디렉터리 접미사 DN |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | baseDN: dc=example,dc=com |
filter
이 속성은 자동 구성원 규칙을 테스트할 사용자 항목을 식별하는 데 사용할 LDAP 필터를 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember 내보내기 업데이트,cn=tasks,cn=config |
| 유효한 값 | 모든 LDAP 필터 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | 필터: (uid=*) |
scope
이 속성은 지정된 기본 DN을 검색할 때 사용할 LDAP 검색 범위를 제공합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember 내보내기 업데이트,cn=tasks,cn=config |
| 유효한 값 | sub | base | one |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | 범위: sub |
ldif
이 속성은 자동 멤버 규칙의 테스트 실행에서 제안된 변경 사항을 작성하는 LDIF 파일의 전체 경로와 파일 이름을 설정합니다. 이 파일은 작업이 시작되는 시스템의 로컬이어야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember 내보내기 업데이트,cn=tasks,cn=config |
| 유효한 값 | 로컬 경로 및 파일 이름 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | ldif: /tmp/automember-results.ldif |
3.1.16.16. CN=automember 맵 업데이트
이 작업은 LDIF 파일(새 항목 또는 잠재적으로 테스트 항목) 내의 항목에 대해 실행한 다음 제안된 변경 사항을 해당 사용자 항목에 LDIF 파일에 씁니다. 이는 새 사용자 항목 또는 기존 사용자 항목에 적용하기 전에 새 규칙을 테스트하는 데 매우 유용할 수 있습니다.
automembership 관련 변경 사항은 실행되지 않습니다. 제안된 변경 사항은 지정된 LDIF 파일에 작성됩니다.
ldif_in
이 속성은 구성된 자동 멤버 규칙으로 테스트할 항목을 가져올 LDIF 파일의 전체 경로와 파일 이름을 설정합니다. 이러한 항목은 디렉터리로 가져오지 않으며 변경 사항은 수행되지 않습니다. 이 항목은 test-run에서만 로드되고 사용됩니다.
이 파일은 작업이 시작되는 시스템의 로컬이어야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember map updates,cn=tasks,cn=config |
| 유효한 값 | 로컬 경로 및 파일 이름 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | ldif_in: /tmp/automember-test-users.ldif |
ldif_out
이 속성은 자동 멤버 규칙의 테스트 실행에서 제안된 변경 사항을 작성하는 LDIF 파일의 전체 경로와 파일 이름을 설정합니다. 이 파일은 작업이 시작되는 시스템의 로컬이어야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | CN=task_name,cn=automember map updates,cn=tasks,cn=config |
| 유효한 값 | 로컬 경로 및 파일 이름 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | ldif_out: /tmp/automember-results.ldif |
3.1.16.17. cn=des2aes
이 작업은 오래된 DES 암호를 사용하여 인코딩되는 지정된 사용자 데이터베이스에서 이전 가능한 모든 암호 항목을 검색하고 더 안전한 AES 암호로 변환합니다.
이전에는 이 작업이 Directory Server를 시작하는 동안 모든 접미사에서 자동으로 수행되었습니다. 그러나 DES 암호를 검색하면 일반적으로 인덱싱되지 않았기 때문에 많은 양의 항목이 포함된 접미사에서 수행하는 데 시간이 오래 걸릴 수 있었습니다. 이로 인해 Directory Server가 시간 초과되고 시작되지 않을 수 있었습니다. 따라서 이제 검색은 cn=config 에서만 수행되지만 다른 데이터베이스의 암호를 변환하려면 이 작업을 수동으로 실행해야 합니다.
접미사
이 다중 값 속성은 DES 암호를 확인하고 AES로 변환하는 접미사를 지정합니다. 이 속성이 생략되면 모든 백엔드/suffixes가 선택됩니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=task_name,cn=des2aes,cn=tasks,cn=config |
| 유효한 값 | 디렉터리 접미사 DN |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예 | 접미사: dc=example,dc=com |
3.1.17. cn=uniqueid generator
고유 ID 생성기 구성 속성은 cn=uniqueid generator,cn=config 아래에 저장됩니다. cn=uniqueid 생성기 항목은 extensibleObject 오브젝트 클래스의 인스턴스입니다.
nsstate
이 속성은 서버를 다시 시작할 때마다 고유 ID 생성기의 상태를 저장합니다. 이 속성은 서버에서 유지 관리합니다. 편집하지 마십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=uniqueid generator,cn=config |
| 유효한 값 | |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsstate: AbId0c3oMIDUntiLCyYNGgAAAAAAAAAA |
3.1.18. 루트 DSE 구성 매개변수
3.1.18.1. nsslapd-return-default-opattr
Directory Server는 루트 DSE 검색에 작동 속성을 표시하지 않습니다. 예를 들어 -s base -b "" 매개변수를 사용하여 ldapsearch 유틸리티를 실행하는 경우 사용자 속성만 표시됩니다. Root DSE 검색 출력에서 운영 속성이 필요한 클라이언트의 경우 이 동작을 활성화하여 이전 버전과의 호환성을 제공할 수 있습니다.
- Directory Server 인스턴스를 중지합니다.
/etc/dirsrv/slapd-instance_name/dse.ldif파일을 편집하고 다음 매개변수를dn:섹션에 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Directory Server 인스턴스를 시작합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | 루트 DSE |
| 유효한 값 | supportedsaslmechanisms | nsBackendSuffix | subschemasubentry | supportedldapversion | supportedcontrol | ref | vendorVersion | vendorVersion |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsslapd- return-default-opattr: supportedsaslmechanisms |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}