红帽全球峰会配置、命令和文件参考
配置目录服务器的参考指南
摘要
前言
配置目录服务器的参考指南
法律声明
Copyright 2021 Red Hat, Inc.
本文档由红帽根据 Creative Commons Attribution-ShareAlike 3.0 Unported License 获得许可。如果您发布了本文档,或者其修改的版本,您必须向 Red Hat, Inc. 提供归属,并提供原始文档的链接。如果文档被修改了,所有红帽商标都必须删除。
作为本文档的许可者,红帽可能会放弃强制制执行 CC-BY-SA 第4d 条款,且不声明该条款在适用条款允许的最大限度内有效。
Red Hat、Red Hat Enterprise Linux、Shadowman 商标、JBoss、OpenShift、Fedora、Infinity 商标以及 RHCE 都是在美国及其他国家的注册商标。
Linux 是 Linus Torvalds 在美国和其它国家注册的商标。
Java 是 Oracle 和/或其附属公司注册的商标。
XFS 是 Silicon Graphics International Corp. 或其子公司在美国和/或其他国家的商标。
MySQL 是 MySQL AB 在美国、美国和其他国家注册的商标。
Node.js 是 Joyent 的官方商标。Red Hat Software Collections 与官方 Joyent Node.js 开源或商业项目没有正式关联或被正式认可。
OpenStack Word Mark 和 OpenStack 徽标是在美国和其他国家/地区注册商标/服务标记或 OpenStack Foundation 的商标/服务标记,适用于 OpenStack Foundation 的权限。我们不附属于 OpenStack Foundation 或 OpenStack 社区。
所有其他商标均由其各自所有者所有。
使开源更包含
红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 信息。
关于此参考信息
红帽目录服务器(Directory 服务器)是一个基于行业标准的轻量级目录访问协议(LDAP)的强大、可扩展的分布式目录服务器。目录服务器是构建集中和分布式数据存储库的基石,可通过带交易合作伙伴的外网、通过公共互联网访问客户。
本参考涵盖了服务器配置和命令行工具。它主要面向希望使用命令行访问该目录的目录管理员和经验丰富的目录用户。配置服务器后,请使用此参考来帮助维护它。
目录服务器也可以通过 Directory Server 控制台(一个图形用户界面)进行管理。红帽目录服务器管理指南 描述了如何进行此操作,并更全面地解释个别管理任务。
1. 目录服务器概述
目录服务器的主要组件包括:
- LDAP 服务器 - 兼容 LDAP v3 的网络守护进程。
- 目录服务器控制台 - 显著降低设置和维护目录服务的图形化管理控制台。
- SNMP agent - 可以使用简单网络管理协议(SNMP)来监控目录服务器。
第 1 章 简介
目录服务器基于一个名为轻量级目录访问协议(LDAP)的开放系统服务器协议。目录服务器是一个强大、可扩展的服务器,用于管理大规模目录,以支持用户、资源、外网和电子商务应用程序在互联网上的企业级目录。目录服务器作为 ns-slapd 进程或服务在机器上运行。服务器管理目录数据库并响应客户端请求。
大多数目录服务器管理任务可以通过 Directory Server 控制台(由 Directory Server 提供的图形用户界面)来执行。有关使用目录服务器控制台的详情,请参考 红帽目录服务器管理指南。
本参考通过使用命令行以及使用命令行工具和脚本更改服务器配置属性来处理其他管理目录服务器的方法。
1.1. 目录服务器配置
存储目录服务器配置信息和列表的格式和方法可在两个章节 第 3 章 核心服务器配置参考 和 第 4 章 插件实现的服务器功能参考 中找到。
1.2. 目录服务器实例文件参考
第 2.1 节 “目录服务器实例独立文件和目录” 对存储在每个目录服务器实例中的文件和配置信息的概述。这对帮助管理员了解目录活动过程中的更改或不存在更改非常有用。从安全角度来说,这也有助于用户通过突出显示正常更改和异常行为来检测错误和入侵。
1.3. 使用目录服务器命令行实用程序
目录服务器附带一组可配置的命令行工具,它可以搜索和修改目录中条目并管理服务器。第 9 章 命令行实用程序 描述这些命令行工具,并包含有关存储工具的位置以及如何访问它们的信息。
第 2 章 文件位置概述
Red Hat Directory Server 与文件系统层次结构标准(FHS)兼容。有关 FHS 的详情,请参考 http://refspecs.linuxfoundation.org/fhs.shtml。
2.1. 目录服务器实例独立文件和目录
以下是目录服务器独立于实例的默认文件和目录位置:
| 类型 | 位置 |
|---|---|
| 命令行工具 |
|
| systemd 单元文件 |
|
2.2. Directory Server 实例特定的文件和目录
要分隔在同一主机上运行的多个实例,某些文件和目录包含实例的名称。您可以在 Directory 服务器设置过程中设置实例名称。默认情况下,这是没有域名的主机名。例如,如果您的完全限定域名是 server.example.com,则默认实例名称是 server。
以下是 Directory 服务器实例的特定默认文件和目录位置:
| 类型 | 位置 |
|---|---|
| 备份文件 |
|
| 配置文件 |
|
| 证书和密钥数据库 |
|
| 数据库文件 |
|
| LDIF 文件 |
|
| 锁定文件 |
|
| 日志文件 |
|
| PID 文件 |
|
| systemd 单元文件 |
|
2.2.1. 配置文件
每个目录服务器实例将其配置文件存储在 /etc/dirsrv/slapd-实例 目录中。
红帽目录服务器的配置信息作为 LDAP 条目存储在目录本身中。因此,必须通过使用服务器本身而不是简单的编辑配置文件来实施对服务器配置的更改。这种配置存储方法的主要优点是,它允许目录管理员在仍然运行时使用 LDAP 重新配置服务器,从而避免需要关闭服务器进行大多数配置更改。
2.2.1.1. 目录服务器配置概述
设置目录服务器时,其默认配置将作为目录中的一系列 LDAP 条目存储在子树 cn=config 下。当服务器启动时,cn=config 子树的内容将从 LDIF 格式的文件(dse.ldif)中读取。此 dse.ldif 文件包含所有服务器配置信息。此文件的最新版本称为 dse.ldif,上次修改之前的版本称为 dse.ldif.bak,并且成功启动服务器的最新文件名为 dse.ldif.startOK。
目录服务器的许多特性都设计为插入核心服务器的离散模块。每个插件的内部配置详情包含在 cn=plugins,cn=config 下的单独条目中。例如,此条目中包含 Telephone Syntax 插件的配置:
cn=Telephone Syntax,cn=plugins,cn=config
cn=Telephone Syntax,cn=plugins,cn=config同样,特定于数据库的配置存储在
cn=ldbm database,cn=plugins,cn=config 用于本地数据库,cn=chaining database,cn=plugins,cn=config 用于数据库链接。
下图说明了配置数据如何在 cn=config 目录树中容纳。
图 2.1. 目录信息树显示配置数据
2.2.1.1.1. LDIF 和 Schema 配置文件
目录服务器配置数据存储在 /etc/dirsrv/slapd-instance 目录中的 LDIF 文件中。因此,如果服务器标识符是 电话手册,然后对于目录服务器,配置 LDIF 文件都存储在 /etc/dirsrv/slapd-phonebook 下。
此目录还包含其他服务器实例特定的配置文件。
模式配置也以 LDIF 格式存储,这些文件位于 /etc/dirsrv/schema 目录中。
下表列出了 Directory 服务器提供的所有配置文件,包括用于其他兼容服务器模式的配置文件。每个文件的前面都有一个数字,表示应加载它们的顺序(按升序,然后按字母顺序排列)。
| 配置文件名称 | 用途 |
|---|---|
| dse.ldif |
包含服务器启动时由目录创建的前端目录特定条目。这包括 Root DSE ( |
| 00core.ldif |
仅包含使用裸机最小功能集启动服务器所需的架构定义(无用户模式,没有任何非核心功能)。用户、功能和应用程序使用的其他模式位于 |
| 01common.ldif |
包含 LDAPv3 标准操作模式,如 |
| 05rfc2247.ldif | 来自 RFC 2247 和相关试用方案的 schema,来自"使用 LDAP/X500 区分名称中的域"。 |
| 05rfc2927.ldif |
RFC 2927 的 schema,"MIME Directory Profile for LDAP Schema."包含在 |
| 10presence.ldif | 传统.用于即时消息存在(online)信息; 文件列出了具有必须添加到用户条目的允许属性的默认对象类,以便即时消息传递存在信息可供该用户使用。 |
| 10rfc2307.ldif |
RFC 2307 中的模式,"使用 LDAP 作为网络信息服务的方法"。当该模式可用时,可能会将其替换为 |
| 20subscriber.ldif |
包含新的模式元素和 Nortel 订阅者互操作性规格。还包含 |
| 25java-object.ldif | RFC 2713 的 schema,"代表 LDAP 目录中 Java® 对象的Schema"。 |
| 28pilot.ldif |
包含来自 RFC 1274 的 pilot 目录模式,该模式不再建议在新部署中使用。成功的 RFC 1274 的未来 RFC 可能会弃用部分或所有 |
| 30ns-common.ldif | 包含目录服务器控制台框架的通用对象类和属性的 schema。 |
| 50ns-admin.ldif | 红帽管理服务器使用的 schema。 |
| 50ns-certificate.ldif | 红帽公司证书管理系统的 schema。 |
| 50ns-directory.ldif | 包含 Directory Server 4.12 和更早的版本使用的额外配置模式,它们不再适用于 Directory Server 的当前版本。在 Directory Server 4.12 和当前版本之间复制此模式是必需的。 |
| 50ns-mail.ldif | Netscape 消息传递服务器用来定义邮件用户和邮件组的 schema。 |
| 50ns-value.ldif | 服务器值项目属性的 schema。 |
| 50ns-web.ldif | Netscape Web 服务器的 schema。 |
| 60pam-plugin.ldif | 保留以备将来使用。 |
| 99user.ldif | Directory Server 复制消费者维护的用户定义的模式,其中包含来自供应商的属性和对象类。 |
2.2.1.1.2. 服务器配置如何组织
dse.ldif 文件包含所有配置信息,包括由目录在服务器启动时创建的特定于目录的条目,如与数据库相关的条目。该文件包含 root Directory Server 条目(或 DSE,由 ""命名)以及 cn=config 和 cn=monitor 的内容。
当服务器生成 dse.ldif 文件时,它会以分级顺序列出条目,其顺序是 cn=config 下的目录中出现的顺序,其通常与基本 cn=config 的子树范围的 LDAP 搜索返回条目的顺序相同。
DSE.ldif 还包含 cn=monitor 条目,它是只读的,但可以在其上设置 ACI。
dse.ldif 文件不包含 cn=config 中的每个属性。如果管理员尚未设置属性,并且具有默认值,服务器不会将它写入到 dse.ldif。要查看 cn=config 中的每个属性,请使用 ldapsearch。
配置属性
在配置条目中,每个属性都以属性名称表示。属性的值对应于属性的配置。
以下代码示例是 Directory 服务器的 dse.ldif 文件的一部分示例。除了其他方面,还显示架构检查已启用;这由属性 nsslapd-schemacheck 表示,它将采用 的值。
配置插件功能
Directory Server 插件功能的每个部分的配置都有自己的单独的条目,以及子树 cn=plugins,cn=config 下的属性集。以下代码示例是示例插件(Telephone Syntax 插件)的配置条目示例。
其中一些属性适用于所有插件,其中一些可能特定于特定插件。通过对 cn=config 子树执行 ldapsearch,检查给定插件目前正在使用哪些属性。
有关目录服务器、常规插件配置信息、插件配置属性参考以及需要重启配置更改的插件列表,请参阅 第 4 章 插件实现的服务器功能参考。
配置数据库
数据库插件条目下的 cn=UserRoot 子树包含包含设置过程中创建的默认后缀的数据库的配置数据。
这些条目及其子项具有许多属性,用于配置不同的数据库设置,如缓存大小、索引文件和事务日志的路径、监控和统计信息的条目和属性;以及数据库索引。
配置索引
索引的配置信息作为以下 information-tree 节点下的目录服务器中的条目存储在 Directory 服务器中:
-
cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config -
cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
有关索引的更多信息,请参阅 红帽目录服务器管理指南。有关索引配置属性的详情,请参考 第 4.4.1 节 “cn=config,cn=ldbm database,cn=plugins,cn=config 下的数据库属性”。
2.2.1.2. 访问和修改服务器配置
本节讨论配置条目的访问控制,并描述了查看和修改服务器配置的各种方法。它还涵盖了可以进行的修改类型的限制,并讨论需要重启服务器以使更改生效的属性。
2.2.1.2.1. 配置条目的访问控制
安装 Directory Server 时,为 cn=config 下的所有条目实施一组默认的访问控制指令(ACI)。以下代码示例是这些默认的 ACI 的示例。
aci: (targetattr = "*")(version 3.0; acl "Local Directory Administrators Group"; allow (all)
groupdn = "ldap:///ou=Directory Administrators,dc=example,dc=com";)
aci: (targetattr = "*")(version 3.0; acl "Local Directory Administrators Group"; allow (all)
groupdn = "ldap:///ou=Directory Administrators,dc=example,dc=com";)这些默认 ACI 允许由以下用户在所有配置属性上执行所有 LDAP 操作:
- Configuration Administrators 组的成员。
-
充当管理员的用户,这是在 setup 中配置的
admin帐户。默认情况下,这是登录到控制台的用户帐户。 - 本地 Directory Administrators 组的成员.
-
SIE (服务器实例条目)组通常使用
Set Access Permissions进程分配。
有关访问控制的更多信息,请参阅 红帽目录服务器管理指南。
2.2.1.2.2. 更改配置属性
可以通过以下三种方法之一查看和更改服务器属性:通过 Directory Server 控制台、执行 ldapsearch 和 ldapmodify 命令,或者手动编辑 dse.ldif 文件。
在编辑 dse.ldif 文件之前,服务器 必须停止 ;否则,更改将会丢失。只有在无法动态更改的属性中,才建议编辑 dse.ldif 文件。详情请查看 Requiring Server Restart 的配置更改。
以下小节介绍了如何使用 LDAP 修改条目(使用 Directory Server Console 和 使用命令行),对修改条目的限制、应用属性的限制以及需要重启的配置更改。
使用 LDAP 修改配置条目
可以使用 Directory Server Console 或执行 ldapsearch 和 ldapmodify 操作的方式与其它目录条目一样,使用 LDAP 搜索和修改目录中的配置条目。使用 LDAP 修改条目的好处是在服务器运行时更改。
如需更多信息,请参阅红帽目录服务器管理指南中的"创建 目录条目"章节。但是,某些更改要求在服务器考虑之前重新启动服务器。详情请查看 Requiring Server Restart 的配置更改。
与任何一组配置文件一样,在更改或删除 cn=config 子树中的节点时应小心,因为这会影响目录服务器功能的风险。
通过在 cn=config 子树上执行 ldapsearch 操作来查看整个配置,包括始终获取默认值的属性:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)"
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)"-
bindDN 是安装服务器时为目录管理器选择的 DN (默认为
cn=Directory Manager)。 - password 是为目录管理器选择的密码。
要禁用插件,请使用 ldapmodify 来编辑 nsslapd-pluginEnabled 属性:
ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=Telephone Syntax,cn=plugins,cn=config changetype: modify replace: nsslapd-pluginEnabled nsslapd-pluginEnabled: off
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: cn=Telephone Syntax,cn=plugins,cn=config
changetype: modify
replace: nsslapd-pluginEnabled
nsslapd-pluginEnabled: off修改配置条目和属性的限制
修改服务器条目和属性时应用某些限制:
-
cn=monitor条目及其子条目是只读的,除了管理 ACI 外,无法修改。 -
如果属性添加到
cn=config,服务器会忽略它。 - 如果为属性输入无效的值,服务器会忽略它。
-
因为
ldapdelete用于删除整个条目,因此请使用ldapmodify从条目中删除属性。
Requiring Server Restart 的配置更改
服务器运行时无法更改一些配置属性。在这些情况下,为了使更改生效,需要关闭并重新启动服务器。该修改应通过 Directory Server 控制台或手动编辑 dse.ldif 文件进行。下面列出了一些需要服务器重启以使更改生效的属性。这个列表并不完整;要查看完整的列表,请运行 ldapsearch 并搜索 nsslapd-requiresrestart 属性。例如:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
虽然此属性需要重启,但它不会在搜索中返回。
| |
删除配置属性
所有核心配置属性都存在,即使它们没有写入 /etc/dirsrv/slapd-instance-name/dse.ldif 文件,因为它们都有服务器使用的默认值。
有关删除核心配置属性和无法删除的属性列表的详情,请查看 Red Hat Directory Server Administration Guide 中的相应部分。
2.2.2. 数据库文件
每个目录服务器实例都包含 /var/lib/dirsrv/slapd-instance/db 目录,用于存储所有数据库文件。以下是 /var/lib/dirsrv/slapd-instance/db 目录内容的列表示例。
例 2.1. 数据库目录内容
db.001 db.002 __db.003 DBVERSION log.0000000001 userroot/
db.001 db.002 __db.003 DBVERSION log.0000000001 userroot/-
db.00x文件 - 数据库内部使用,不应以任何方式移动、删除或修改。 -
log.xxxxxxxxxx文件 - 用于存储每个数据库的事务日志。 -
DBVERSION- 用于存储数据库版本。 -
userroot- 存储在设置中创建的用户定义的后缀(用户定义的数据库),例如dc=example,dc=com。
如果创建了新数据库(例如 testRoot)以将目录树存储在新后缀下,则名为 testRoot 的目录也会出现在 /var/lib/dirsrv/slapd-instance/db 目录中。
以下是 userRoot 目录内容列表示例:
例 2.2. userroot 数据库目录内容
userroot 子目录包含以下文件:
-
ancestorid.db- 包含用来查找条目的 ID 等级的 ID 列表。 -
entrydn.db- 包含完整 DN 列表,以查找任何 ID。 -
id2entry.db- 包含实际的目录数据库条目。如果需要,可以从此重新创建所有其他数据库文件。 -
nsuniqueid.db- 包含用于查找任何 ID 的唯一 ID 列表。 -
numsubordinates.db- Contains ID,其具有子条目。 -
swig.db- 包含具有特定对象类的 ID 列表。 -
parentid.db- 包含用来查找父 ID 的列表。
2.2.3. LDIF 文件
LDIF 文件示例存储在 /var/lib/dirsrv/slapd-instance/ldif 目录中,用于存储与 LDIF 相关的文件。例 2.3 “LDIF 目录内容” 列出 /ldif 目录内容。
例 2.3. LDIF 目录内容
European.ldif Example.ldif Example-roles.ldif Example-views.ldif
European.ldif
Example.ldif
Example-roles.ldif
Example-views.ldif-
欧洲.ldif- 包含欧洲字符示例. -
example.ldif- 是一个示例 LDIF 文件。 -
example-roles.ldif- 是类似于Example.ldif的示例 LDIF 文件,但它使用角色和服务类而不是组来为目录管理员设置访问控制和资源限制。
实例目录中由 db2ldif 或 db2ldif.pl 脚本导出的 LDIF 文件存储在 /var/lib/dirsrv/slapd-实例/ldif 中。
2.2.4. 锁定文件
每个目录服务器实例包含一个 /var/lock/dirsrv/slapd-instance 目录来存储与锁定相关的文件。以下是 锁定 目录内容列表示例。
例 2.4. 锁定目录内容
exports/ imports/ server/
exports/ imports/ server/
锁定机制控制目录服务器进程可以一次运行多少个副本。例如,如果存在导入作业,则锁定放置在 import / 目录中,以防止任何其他 ns-slapd (常规)、ldif2db (另一个导入)或 db2ldif (export)操作运行。如果服务器以正常方式运行,则 server/ 目录中有一个锁定,这样可防止导入操作(但不导出操作),而如果导出操作存在导出操作,则 exports/ 目录中的锁定允许正常的服务器操作,但会阻止导入操作。
可用的锁定数量可能会影响整个目录服务器的性能。锁定数量在 nsslapd-db-locks 属性中设置。性能调优指南 中介绍了这个 属性值。
2.2.5. 日志文件
每个目录服务器实例包含一个 /var/log/dirsrv/slapd-instance 目录来存储日志文件。以下是 /logs 目录内容列表示例。
例 2.5. 记录目录内容
access access.20200228-171925 errors access.20200221-162824 access.rotationinfo errors.20200221-162824 access.20200223-171949 audit errors.rotationinfo access.20200227-171818 audit.rotationinfo slapd.stats
access access.20200228-171925 errors
access.20200221-162824 access.rotationinfo errors.20200221-162824
access.20200223-171949 audit errors.rotationinfo
access.20200227-171818 audit.rotationinfo slapd.stats-
访问、审计和错误日志文件的内容取决于日志配置。 -
slapd.stats文件是一个内存映射文件,它不能被编辑器读取。它包含由 Directory Server SNMP 数据收集组件收集的数据。此数据由 SNMP 子代理读取,以响应 SNMP 属性查询,并且与负责处理 Directory Server SNMP 请求的 SNMP 主代理通信。
第 7 章 日志文件参考 包含访问、错误和审计日志文件格式及其信息的可靠概述。
2.2.6. PID 文件
当服务器启动并运行时,slapd-serverID.pid 和 slapd-serverID.startpid 文件会在 /var/run/dirsrv 目录中创建。这两个文件都存储服务器的进程 ID。
2.2.7. 备份文件
每个目录服务器实例包含以下目录和文件来存储与备份相关的文件:
-
/var/lib/dirsrv/slapd-instance/bak- This contains a directory dated with the instance, time and date of the database backup backup,如instance-2020_05_02_16_56_05/,其中包含数据库备份副本。 -
/etc/dirsrv/slapd-instance/dse_original.ldif- 这是安装时dse.ldif配置文件的备份副本。
第 3 章 核心服务器配置参考
本章为所有核心(与服务器相关的)属性提供字母顺序参考。第 2.2.1.1 节 “目录服务器配置概述” 包含红帽目录服务器配置文件的良好概述。
3.1. 核心服务器配置属性参考
本节包含与核心服务器功能相关的配置属性的参考信息。有关更改服务器配置的详情,请参考 第 2.2.1.2 节 “访问和修改服务器配置”。有关作为插件实现的服务器功能列表,请参阅 第 4.1 节 “服务器端功能参考”。有关实施自定义服务器功能的帮助,请联系 Directory Server 支持。
存储在 dse.ldif 文件中的配置信息被组织为常规配置条目 cn=config 下的信息树,如下图所示。
图 3.1. 目录信息树显示配置数据
以下部分中涵盖了其中大多数配置树节点。
cn=plugins 节点包括在 第 4 章 插件实现的服务器功能参考 中。每个属性的描述包含详细信息,如其目录条目的 DN、其默认值、有效值范围和使用示例。
本章中描述的一些条目和属性可能会在以后的版本中有所变化。
3.1.1. cn=config
常规配置条目存储在 cn=config 条目中。cn=config 条目是 nsslapdConfig 对象类的实例,后者从 extensibleObject 对象类继承。
3.1.1.1. nsslapd-accesslog (Access Log)
此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。日志文件中默认记录以下信息:
- 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
- 执行的操作(如搜索、添加和修改)。
- 访问的结果(例如,返回的条目数或错误代码)。
有关关闭访问日志的更多信息,请参阅红帽目录服务器管理指南中的"监控服务器和数据库活动" 一章。
若要启用日志,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用访问日志记录方面的结果。
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名。 |
| 默认值 | /var/log/dirsrv/slapd-instance/access |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level (Access Log Level)
此属性控制记录到访问日志的内容。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 - 无法访问日志记录 * 4 - 内部访问操作的日志记录 * 256 - 连接、操作和结果的日志 * 512 - 访问条目和引用的日志
* 这些值可以一起添加以提供确切的日志类型,例如 |
| 默认值 | 256 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list (访问日志文件列表)
此 read-only 属性(不能设置)提供了访问日志轮转中使用的日志文件的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering (Log Buffering)
当设置为 off 时,服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器使用访问日志记录,即使负载过重,而不影响性能。但是,在调试时,有时要禁用缓冲,以便立即查看操作及其结果,而不必等待向该文件刷新日志条目。禁用日志缓冲会对大量负载的服务器的性能有严重影响。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logbuffering: off |
此属性指定日志文件在删除前可访问的最长期限。此属性仅提供单位数。该单元由 nsslapd-accesslog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logexpirationtime: 2 |
此属性指定 nsslapd-accesslog-logexpirationtime 属性的单元。如果服务器未知单位,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logexpirationtimeunit: week |
禁用并启用 accesslog 日志记录,但仅与 nsslapd-accesslog 属性结合使用,该属性指定了用于记录每个数据库访问的日志的路径和参数。
若要启用访问日志记录,此属性必须切换到 上的,并且 nsslapd-accesslog 配置属性必须具有有效的 path 和 参数。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用访问日志记录方面的结果。
| 属性 | 值 | Logging Enabled 或 Disabled |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logging-enabled: off |
此属性指定允许访问日志消耗的最大磁盘空间量,以 MB 为单位。如果超过这个值,则会删除最旧的访问日志。
在设置最大磁盘空间时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与访问日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示允许访问日志的磁盘空间大小无限。 |
| 默认值 | 500 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logmaxdiskspace: 500 |
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,会删除最旧的访问日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logminfreediskspace: -1 |
此属性设定访问日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使日志轮转与时间结束同步,此属性必须使用 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性值启用,以便轮转日志文件。
例如,要在每天的午夜轮转访问日志文件,请通过将值设为 on 来启用此属性,然后将 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationsync-enabled: on |
此属性设置轮转访问日志的天的小时。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsynchour: 23 |
此属性设置轮转访问日志的当天的分钟。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsyncmin: 30 |
此属性设定访问日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-accesslog-logrotationtimeunit 属性提供。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然由于日志无限期增长,我们不建议指定日志轮转,但有两个方法指定这一点。将 nsslapd-accesslog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-accesslog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-accesslog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-accesslog-logrotationtime 属性。请参阅 第 3.1.1.16 节 “nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示访问日志文件轮转之间的时间是无限的。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationtime: 100 |
此属性设置 nsslapd-accesslog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | day |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationtimeunit: week |
此属性设置最大访问日志大小(以 MB 为单位)。当达到这个值时,访问日志会被轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-accesslog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与访问日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsize: 100 |
此属性设置存储在访问日志的目录中的访问日志总数。每次轮转访问日志时,都会创建一个新的日志文件。当访问日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。出于性能考虑,红帽 建议不要 将此值设置为 1,因为服务器不会轮转日志,并无限期地增大。
如果此属性的值大于 1,请检查 nsslapd-accesslog-logrotationtime 属性,以确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 3.1.1.13 节 “nsslapd-accesslog-logrotationtime (Access Log Rotation Time)” 了解更多信息。
请注意,根据 nsslapd-accesslog-logminfreediskspace 和 nsslapd-accesslog-maxlogsize 中设置的值,实际的日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir 中配置的值。例如,如果 nsslapd-accesslog-maxlogsperdir 使用默认的(10 文件,并将 nsslapd-accesslog-logminfreediskspace 设置为 500 MB,nsslapd-accesslog-maxlogsize 只会保留 5 个访问文件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsperdir: 10 |
此属性设置访问要创建的日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合(镜像数字或绝对 UNIX 文件权限)。该值必须是 3 位数字,从 0 到 7 的不同数字:
-
0- None -
1- 仅执行 -
仅限
2个写入 -
3- 写入和执行 -
4- 只读 -
5- 读取和执行 -
6- 读取和写入 -
7- 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
如果用户在不提供任何绑定 DN 或密码的情况下尝试连接到目录服务器,则这是一个 匿名绑定。匿名绑定简化了常见的搜索和读操作,如检查电话号码或电子邮件地址的目录,不需要用户先向目录进行身份验证。
但是,匿名绑定存在风险。必须就适当的 ACI 来限制对敏感信息的访问,并禁止像修改和删除这样的操作。另外,匿名绑定可用于拒绝服务攻击或恶意人员访问服务器。
可以禁用匿名绑定来提高安全性(关闭)。默认情况下,允许匿名绑定(on)用于搜索和读取操作。这允许访问 常规目录条目,其中包括用户和组条目以及类似 root DSE 的配置条目。第三个选项 rootdse 允许匿名搜索和读取访问权限,以搜索 root DSE 本身,但限制对所有其他目录条目的访问。
另外,可以使用 nsslapd-anonlimitsdn 属性将资源限值放在匿名绑定中,如 第 3.1.1.22 节 “nsslapd-anonlimitsdn” 所述。
在服务器重启前,对这个值的更改不会生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off | rootdse |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-anonymous-access: on |
3.1.1.19. nsslapd-allow-hashed-passwords
这个参数禁用预哈希密码检查。默认情况下,Directory 服务器不允许除 Directory Manager 以外的任何人设置预哈希密码。在将这个权限添加到 Password Administrators 组时,您可以将此权限委派给其他用户。然而,比如复制合作伙伴已控制预哈希密码检查时,必须在 Directory 服务器上禁用此功能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
未经身份验证的绑定是到提供空密码的目录服务器的连接。出于安全原因,使用默认设置时目录服务器拒绝此场景中的访问。
红帽建议不要启用未经身份验证的绑定。此验证方法允许用户在不提供密码作为任何帐户(包括目录管理器)的情况下绑定。绑定后,用户可以使用用来绑定的帐户的权限访问所有数据。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
默认情况下,根 DSE 列出 SASL 库支持的所有机制。然而,在某些环境中,只首选某些环境。nsslapd-allowed-sasl-mechanisms 属性允许您仅启用一些定义的 SASL 机制。
机制名称必须包含大写字母、数字和下划线。每个机制都可以用逗号分开。
EXTERNAL 机制实际上没有被任何 SASL 插件使用。它是服务器内部,主要用于 TLS 客户端身份验证。因此,EXTERNAL 机制无法限制或控制。它始终会出现在支持的机制列表中,无论 nsslapd-allowed-sasl-mechanisms 属性中设置的内容是什么。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 SASL 机制 |
| 默认值 | none (允许所有 SASL 机制) |
| 语法 | DirectoryString |
| 示例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
资源限值可以在经过身份验证的绑定上设置。资源限值可在单个操作中设置可以搜索多少条目的上限(nsslapd-sizeLimit)、时间限制(nsslapd-timelimit)和 time out period (nsslapd-idletimeout) for 搜索,以及可以搜索的条目总数(nsslapd-lookthroughlimit)。这些资源限制可防止拒绝服务攻击以阻止目录资源,并提高整体性能。
资源限值在用户条目上设置。匿名绑定(很明显)没有与之关联的用户条目。这意味着资源限制通常不适用于匿名操作。
要为匿名绑定设置资源限值,可以创建一个带有适当资源限制的模板条目。然后,可以添加 nsslapd-anonlimitsdn 配置属性,指向此条目,并将资源限值应用到匿名绑定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
此属性允许属性名称中的非标准字符向后兼容旧服务器,如模式定义属性中的 "_"。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog (Audit Log)
此属性设置日志的路径和文件名,用于记录对每个数据库所做的更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用审计日志记录时的结果。
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.25. nsslapd-auditlog-display-attrs
使用 nsslapd-auditlog-display-attrs 属性,您可以设置目录服务器在审计日志中显示的属性,以提供有用的标识条目的信息。通过在审计日志中添加属性,您可以检查条目更新中的条目和详情中特定属性的当前状态。
您可以通过选择以下选项之一来显示日志中的属性:
- 要显示 Directory 服务器修改的条目的特定属性,请将属性名称作为值提供。
- 要显示多个属性,请将以空格分开的属性名称作为值提供。
- 要显示条目的所有属性,请使用星号 AssumeRole 作为值。
提供 Directory 服务器必须在审计日志中显示的空格分隔属性列表,或使用星号 AssumeRole 作为值来显示正在修改条目的所有属性。
例如,您要将 cn 属性添加到审计日志输出中。当您将 nsslapd-auditlog-display-attrs 属性设置为 cn 时,审计日志会显示以下输出:
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的属性名称。如果要在审计日志中显示条目的所有属性,请使用星号 encoding。 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| Example | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
提供审计日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
此属性设置日志文件在删除前允许的最长时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logexpirationtime: 1 |
此属性设置 nsslapd-auditlog-logexpirationtime 属性的单元。如果服务器未知单位,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logexpirationtimeunit: day |
打开和关闭审计日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logging-enabled: off |
要启用审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用审计日志记录时的结果。
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
此属性设置审计日志可以使用的最大磁盘空间量(以 MB 为单位)。如果超过这个值,则会删除最旧的审计日志。
在设置最大磁盘空间时,请考虑日志文件轮转可创建的日志文件总数。还请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表允许审计日志的磁盘空间大小无限。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间量低于此属性指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (无限)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logminfreediskspace: -1 |
此属性设置审计日志轮转是与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使审计日志轮转与时间结束同步,此属性必须使用 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性值启用,以便轮转日志文件。
例如,要在每天的午夜之间轮转审计日志文件,将其值设为 on 来启用此属性,然后将 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationsync-enabled: on |
此属性设置轮转审计日志的天的小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsynchour: 23 |
此属性设置轮转审计日志的当天的分钟。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsyncmin: 30 |
此属性设定审计日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditlog-logrotationtimeunit 属性提供。如果 nsslapd-auditlog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然不建议根据性能原因指定日志轮转,但随着日志无限期增长,但可以通过两种方式指定。将 nsslapd-auditlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditlog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-auditlog-logrotationtime 属性。请参阅 第 3.1.1.38 节 “nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示审计日志文件轮转之间的时间是无限的。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationtime: 100 |
此属性设置 nsslapd-auditlog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationtimeunit: day |
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志会轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-auditlog-maxlogsperdir 为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsize: 50 |
此属性设置存储在审计日志的目录中的审计日志总数。每次轮转审计日志时,都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增大。
如果此属性的值大于 1,则检查 nsslapd-auditlog-logrotationtime 属性,以确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 3.1.1.35 节 “nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsperdir: 10 |
此属性设置要创建的审计日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,从 0 到 7 的数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog (Audit Fail Log)
此属性设置用于记录失败的 LDAP 修改的日志的路径和文件名。
如果启用了 nsslapd-auditfaillog-logging-enabled,并且未设置 nsslapd-auditfaillog,则审计失败事件将记录到 nsslapd-auditlog 中指定的文件。
如果将 nsslapd-auditfaillog 参数设置为与 nsslapd-auditlog 相同的路径,则两者都记录在同一文件中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled 属性必须设置为 on
3.1.1.41. nsslapd-auditfaillog-list
提供审计失败日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
此属性设置日志文件在删除前的最长期限。它提供给单位数。在 nsslapd-auditfaillog-logexpirationtimeunit 属性中指定单元,如 day、week、month 等。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logexpirationtime: 1 |
此属性设置 nsslapd-auditfaillog-logexpirationtime 属性的单元。如果服务器未知单位,日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
打开和关闭失败 LDAP 修改的日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logging-enabled: off |
此属性设置审计日志可以消耗的最大磁盘空间量,以 MB 为单位。如果大小超过限制,将删除最旧的审计失败日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表允许审计日志的磁盘空间大小无限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间小于指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间被释放为止。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (无限)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
此属性设置审计日志轮转是与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使审计日志轮转与时间结束同步,必须使用 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性值启用此属性,以便轮转日志文件。
例如,要在每天的午夜轮转审计失败日志文件,将其值设为 on 来启用此属性,然后将 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
此属性设置审计日志轮转日的小时。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
此属性设定审计日志轮转的分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
此属性设定审计日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditfaillog-logrotationtimeunit 属性提供。如果 nsslapd-auditfaillog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然不建议根据性能原因指定日志轮转,但随着日志无限期增长,但可以通过两种方式指定。将 nsslapd-auditfaillog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditfaillog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-auditfaillog-logrotationtime 属性。请参阅 第 3.1.1.53 节 “nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表审计日志文件轮转之间的时间是无限的。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationtime: 100 |
此属性设置 nsslapd-auditfaillog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationtimeunit: day |
此属性设置最大审计日志大小(以 MB 为单位)。达到这个值时,审计日志会轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-auditfaillog-maxlogsperdir 参数设置为 1,服务器会忽略此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsize: 50 |
此属性设定存储在审计日志的目录中的审计日志总数。每次轮转审计日志时,都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增大。
如果此属性的值大于 1,则检查 nsslapd-auditfaillog-logrotationtime 属性,以确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 3.1.1.50 节 “nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
此属性设置创建审计失败日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,从 0 到 7 的数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir (Default Backup Directory)
此参数设置默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地目录路径。 |
| 默认值 | /var/lib/dirsrv/slapd-instance/bak |
| 语法 | DirectoryString |
| 示例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir (证书和密钥数据库目录)
此参数定义目录服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。
作为回退,如果服务器无法将它们提取到私有命名空间中的 /tmp/ 目录中,则目录服务器提取私钥和证书到此目录。有关私有命名空间的详情,请查看 systemd.exec (5) 手册页中的 PrivateTmp 参数描述。
nsslapd-certdir 中指定的目录必须由服务器的用户 ID 所有,并且只有此用户 ID 必须在这个目录中具有读写权限。为安全起见,其他用户都不应具有读取和写入这个目录的权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 绝对路径 |
| 默认值 | /etc/dirsrv/slapd-instance_name/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
当使用 TLS 证书执行客户端身份验证时,可以使用此属性以避免在 /etc/dirsrv/slapd-instance_name/certmap.conf 文件中配置的安全子系统证书映射的限制。根据此文件中的配置,可使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN,则 nsslapd-certmap-basedn 属性可能会强制搜索基于 root 以外的其他条目。此属性的有效值为用于证书映射的后缀或子树的 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
这个 read-only 属性是配置 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的配置 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
这个参数允许您在 CN 值中启用 DN。
目录服务器 DN 规范化程序遵循 RFC4514,并在 RDN 属性类型不基于 DN 语法时保留空格。但是,Directory 服务器的配置条目有时会使用 cn 属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config 中,cn =config 应按 DN 语法规范化。
如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns 参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer
此属性设置连接缓冲行为。可能的值:
-
0:禁用缓冲。一次只能读取单个协议数据单元(PDU)。 -
1:常规固定大小LDAP_SOCKET_IO_BUFFER_SIZE为512字节。 -
2:可适应性缓冲区大小。
如果客户端一次发送大量数据,则值 2 提供了更好的性能。例如,这是大型添加和修改操作的情况,或者在复制期间通过单一连接接收多个异步请求时。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 | 1 | 2 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
这个选项允许您启用或禁用 SASL NOCANON 标志。禁用避免目录服务器为传出连接查找 DNS 反向条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
此属性设置连接表大小,它决定了服务器支持的连接总数。
如果目录服务器因为超出连接插槽而拒绝连接,请增加此属性的值。当发生这种情况时,Directory 服务器的错误日志文件会记录消息 Not listening for new connection too many fds open。
可能需要增加每个进程的打开文件和打开文件数量的操作系统限制,并且可能需要在启动目录服务器的 shell 中为打开的文件数增加 ulimit (ulimit -n)。
连接表的大小是带有 nsslapd-maxdescriptor 的 cap。请参阅 第 3.1.1.119 节 “nsslapd-maxdescriptors (Maximum File Descriptors)” 了解更多信息。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 依赖操作系统 |
| 默认值 |
Directory 服务器进程可以打开的最大文件数。请参阅 |
| 语法 | 整数 |
| 示例 | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters 属性启用和禁用目录服务器数据库和服务器性能计数器。
通过跟踪更大的计数器,可能会有性能影响。为计数器关闭 64 位整数可能会对性能有最小的改进,尽管它会影响长期统计跟踪。
默认启用此参数。要禁用计数器,请停止 Directory 服务器,直接编辑 dse.ldif 文件,然后重新启动服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
此属性设定在访问日志中是否记录更改序列号(CSN)。默认情况下打开 CSN 日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
此属性提供所有配置的命名上下文,哪些客户端默认应用于搜索基础。这个值被复制到 root DSE 作为 defaultNamingContext 属性,它允许客户端查询 root DSE 获取上下文,然后发起使用适当的基础的搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 root 后缀 DN |
| 默认值 | 默认用户后缀 |
| 语法 | DN |
| 示例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
此属性可让线程每 10 (10)秒运行,以检查磁盘上的可用磁盘空间或挂载上运行 Directory Server 数据库的位置。如果可用磁盘空间低于配置的阈值,则服务器开始减少日志记录级别,禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器将正常关闭(在 wanring 和 grace period 后)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
在达到 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold” 中设置一半磁盘空间限制后,设置在服务器关闭前等待的宽限期。这为管理员提供了清理磁盘并阻止关闭的时间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数(以分钟为单位) |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
如果日志目录通过磁盘空间限值中设置的一半,则设置是否关闭服务器,第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold”。
如果启用了此项,则不会 禁用日志记录,并 不会删除 轮转的日志,因为服务器会减少磁盘用量。服务器只是进入关闭过程。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
如果可用磁盘空间达到您在 nsslapd-disk-monitoring-threshold 参数中设置的值的一半,则目录服务器会在达到 nsslapd-disk-monitoring-grace-period 中设置宽限期后关闭实例。但是,如果磁盘在实例停机前耗尽空间,则数据可能会损坏。要防止这个问题,请启用 nsslapd-disk-monitoring-readonly-on-threshold 参数,在达到阈值时将实例设置为只读模式。
使用这个设置时,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold 中配置阈值的一半,则目录服务器不会启动。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
设置阈值(以字节为单位),用于评估服务器是否有足够可用磁盘空间。一旦空间达到这个阈值的一半,服务器就会启动一个关闭的进程。
例如,如果阈值是 2MB (默认),则当可用磁盘空间达到 1MB 后,服务器将开始关闭。
默认情况下,阈值会在配置、事务和数据库目录用于目录服务器实例的磁盘空间上评估。如果启用了 第 3.1.1.68 节 “nsslapd-disk-monitoring-logging-critical” 属性,则日志目录包含在评估中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 到 32 位最大整数值(2147483647)在 32 位系统中 * 0 到 64 位整数值(9223372036854775807)的最大 64 位整数值(9223372036854775807) |
| 默认值 | 2000000 (2MB) |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
第 3.1.1.168 节 “nsslapd-syntaxcheck” 属性可让服务器验证任何新的或修改的属性值是否与该属性所需的语法匹配。
但是,DN 的语法规则的增长越来越严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用较旧的语法定义的许多服务器。默认情况下,nsslapd-syntaxcheck 使用 RFC 1779 或 RFC 2253 验证 DN。
根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict 属性明确为 DN 启用严格的语法验证。如果此属性设为 off (默认值),服务器会在检查它是否存在语法违反情况前对值进行规范化。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
使 cn=schema 中的模式与 Directory Server 的 4.x 版本兼容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server turbo 模式是一个功能,它允许 worker 线程专用于连接,并从那个连接持续读取传入的操作。这可提高非常活跃的连接的性能,这个功能会被默认启用。
worker 线程处理服务器收到的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber 参数中定义。每 5 秒,每个 worker 线程评估其当前连接的活动级别是所有已建立的连接中最高的最高之一。目录服务器在最后一次检查后启动的操作数量时测量活动,如果当前连接的活动是最高的数量,则以 turbo 模式切换 worker 线程。
如果您在日志文件(日志文件中)遇到长时间执行时间(如一秒或更长时间),则停用 turbo 模式可以提高性能。然而,在某些情况下,绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
在简单的绑定过程中,目录服务器可以访问纯文本密码,因为绑定操作的性质。如果启用了 nsslapd-enable-upgrade-hash 参数,且用户身份进行身份验证,Directory 服务器会检查用户的 userPassword 属性是否使用 passwordStorageScheme 属性中设置的哈希算法。如果算法不同,服务器会使用来自 passwordStorageScheme 的算法对纯文本密码进行哈希处理,并更新用户的 userPassword 属性的值。
例如,如果您使用弱算法哈希的密码导入用户条目,服务器将使用 passwordStorageScheme 中设置的算法(默认为 PBKDF2_SHA256 )在用户首次登录时自动重新哈希密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-upgrade-hash: on |
此属性已弃用,并将在以后的 Directory Server 版本中删除。
此属性控制 cn=schema 条目中包含的 objectclass 属性中的引用是否符合互联网草案 RFC 2252 所指定的 quoting。默认情况下,Directory 服务器符合 RFC 2252,这表示这个值不应加引号。在 上,只有非常旧的客户端需要将此值设置为,因此请 将其关闭。
打开或关闭此属性不会影响目录服务器控制台。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global 参数定义 USN 插件是否在所有后端数据库间分配唯一的更新序列号(USN)或单独分配给每个数据库。对于所有后端数据库的唯一 USN,请在 上 将此参数设置为。
详情请查看 第 6.8 节 “entryusn”。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
当从一台服务器导出条目并导入到另一个服务器(包括初始化数据库以进行复制时),条目更新序列号(USN)不会被保留。默认情况下,导入条目的条目 USNs 被设置为零。
可以使用 nsslapd-entryusn-import-initval 为条目 USNs 配置不同的初始值。这会设置起始 USN,用于所有导入的条目。
nsslapd-entryusn-import-initval 有两个可能的值:
- 整数,这是每个导入条目的显式开始号。
- 接下来,这意味着每个导入的条目都使用服务器上最高条目 USN 值,然后再以 1 递增。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 | 下一个 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog (Error Log)
此属性设置用于记录目录服务器生成的错误消息的路径和文件名。这些消息可以描述错误条件,但更频繁地包含信息性条件,例如:
- 服务器启动和关闭时间。
- 服务器使用的端口号。
根据 Log Level 属性的当前设置,此日志包含不同数量的信息。请参阅 第 3.1.1.79 节 “nsslapd-errorlog-level (Error Log Level)” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/errors |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的四个可能组合及其在禁用或启用错误日志记录方面的结果。
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | Enabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
3.1.1.79. nsslapd-errorlog-level (Error Log Level)
此属性为 Directory 服务器设置日志记录级别。日志级别为 additive;即,指定值 3 包括级别 1 和 2。
nsslapd-errorlog-level 的默认值为 16384。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 1 - 跟踪功能调用。当服务器进入并退出函数时,记录一条消息。 * 2 - 调试数据包处理。 * 4 - 大量追踪输出调试。 * 8 - 连接管理。 * 16 - 输出发送/接收的数据包。 * 32 - 搜索过滤器处理。 * 64 - 配置文件处理。 * 128 - 访问控制列表处理。 * 1024 - 与 shell 数据库的日志通信。 * 2048 - 日志条目解析调试。 * 4096 - 日常处理线程调试。 * 8192 - 复制调试。 * 16384 - 用于关键错误的默认日志记录级别,以及始终写入错误日志的其他消息;例如,服务器启动信息。此级别上的消息始终包含在错误日志中,无论日志级别的设置是什么。 * 32768 - 数据库缓存调试。
* 65536 - 服务器插件调试。当服务器插件调用
* 262144 - 访问控制摘要信息,比级别 * 524288 - LMDB 数据库调试。 |
| 默认值 | 16384 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
此 read-only 属性提供错误日志文件的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
此属性设置日志文件在删除前允许访问的最长期限。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-errorlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logexpirationtime: 1 |
此属性设置 nsslapd-errorlog-logexpirationtime 属性的单元。如果服务器未知单位,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logexpirationtimeunit: week |
打开和关闭错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logging-enabled: on |
此属性设置允许错误日志消耗的最大磁盘空间量,以 MB 为单位。如果超过这个值,则会删除最旧的错误日志。
在设置最大磁盘空间时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示允许错误日志的磁盘空间大小无限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,最旧的错误日志会被删除,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (无限)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logminfreediskspace: -1 |
此属性设置错误日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使错误日志轮转与时间结束同步,此属性必须使用 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性值启用,以便轮转日志文件。
例如,要在每天的午夜轮转错误日志文件,将其值设为 on 来启用此属性,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationsync-enabled: on |
此属性设置轮转错误日志的小时。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsynchour: 23 |
此属性设置轮转错误日志的分钟。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsyncmin: 30 |
此属性设定错误日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit)属性提供。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然不建议根据性能原因指定日志轮转,但随着日志无限期增长,但可以通过两种方式指定。将 nsslapd-errorlog-maxlogsperdir 属性设置为 1,或者将 nsslapd-errorlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-errorlog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-errorlog-logrotationtime 属性。请参阅 第 3.1.1.92 节 “nsslapd-errorlog-maxlogsperdir (最大错误日志文件数)” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示错误日志文件轮转之间的时间没有限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationtime: 100 |
此属性设置 nsslapd-errorlog-logrotationtime 的单元(Error Log Rotation Time)。如果服务器未知单位,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationtimeunit: day |
此属性以 MB 为单位设置最大错误日志大小。达到这个值时,会轮转错误日志,服务器开始将日志信息写入新的日志文件。如果 nsslapd-errorlog-maxlogsperdir 设为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小不限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir (最大错误日志文件数)
此属性设置存储在错误日志的目录中的错误日志总数。每次轮转错误日志时,都会创建一个新的日志文件。当错误日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增大。
如果此属性的值大于 1,请检查 nsslapd-errorlog-logrotationtime 属性,以确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 3.1.1.89 节 “nsslapd-errorlog-logrotationtime (Error Log Rotation Time)” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsperdir: 10 |
此属性设置创建错误日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,与 0 到 7 的不同数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
在建立 TLS 连接时,客户端首先发送其证书,然后使用 SASL/EXTERNAL 机制发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭证用于 TLS 握手。但是,有些客户端在发送其 BIND 请求时不使用 SASL/EXTERNAL,因此 Directory 服务器将绑定作为简单身份验证请求或匿名请求处理,并且 TLS 连接失败。
nsslapd-force-sasl-external 属性强制基于证书的身份验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | 字符串 |
| 示例 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
此属性已弃用,此处仅记录用于历史目的。
Access Control Plug-in 不使用 nsslapd-groupevalnestlevel 属性指定的值来设置访问控制为组评估执行的嵌套级别数。相反,嵌套级别的数量被硬编码为 5。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-groupevalnestlevel: 5 |
nsslapd-haproxy-trusted-ip 属性配置可信代理服务器的列表。当您设置 nsslapd-haproxy-trusted-ip 时,Directory 服务器使用 HAProxy 协议通过额外的 TCP 标头接收客户端 IP 地址,以正确评估访问控制指令(ACI)并记录客户端流量。
如果一个不信任的代理服务器发起了一个绑定请求,目录服务器会拒绝请求,并将以下信息记录到错误日志文件中:
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| Example | nsslapd-haproxy-trusted-ip: 127.0.0.1 |
3.1.1.97. nsslapd-idletimeout (Default Idle Timeout)
此属性设定服务器关闭闲置 LDAP 客户端连接的时间(以秒为单位)。0 表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当处理 connection 表时,闲置超时会被强制使用,当 poll () 没有返回零时。因此,只有一个连接的服务器永远不会强制执行闲置超时。
使用 nsIdleTimeout 操作属性(可添加到用户条目)来覆盖分配给此属性的值。详情请参阅 红帽目录服务器管理指南中的 "基于绑定 DN 设置资源限制"部分。
对于非常大的数据库,此属性必须具有足够高的值,在线初始化过程可以完成,或者与服务器连接超时时,复制将失败。或者,nsIdleTimeout 属性可以设置为用作供应商绑定 DN 的条目的高值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-idletimeout: 3600 |
3.1.1.98. nsslapd-ignore-virtual-attrs
这个参数允许在搜索条目中禁用虚拟属性查找。
如果您不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ignore-virtual-attrs: off |
3.1.1.99. nsslapd-instancedir (Instance Directory)
此属性已弃用。现在,对于特定于实例的路径有单独的配置参数,如 nsslapd-certdir 和 nsslapd-lockdir。有关设置的特定目录路径,请参阅文档。
3.1.1.100. nsslapd-ioblocktimeout (IO Block Time Out)
此属性以秒为单位设置到停止的 LDAP 客户端的连接关闭的时间长度。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) ( ticks) |
| 默认值 | 10000 |
| 语法 | 整数 |
| 示例 | nsslapd-ioblocktimeout: 10000 |
3.1.1.101. nsslapd-lastmod (Track Modification Time)
此属性设置 Directory 服务器是否为新创建的条目维护 creatorsName,createTimestamp,modifiersName, 和 modifyTimestamp 操作属性。
红帽建议不要禁用跟踪这些属性。如果禁用,条目不会获得 nsUniqueID 属性中分配的唯一 ID,且复制无法正常工作。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-lastmod: on |
3.1.1.102. nsslapd-ldapiautobind (Enable Autobind)
nsslapd-ldapiautobind 设置服务器是否允许用户使用 LDAPI 自动将绑定到目录服务器。Autobind 将系统用户的 UID 或 GUID 编号映射到目录服务器用户,并根据这些凭证自动向目录服务器验证用户。目录服务器连接通过 UNIX 套接字进行。
除了启用自动绑定外,配置 autobind 需要配置映射条目。nsslapd-ldapimaprootdn 将系统上的 root 用户映射到目录管理器。nsslapd-ldapimaptoentries 根据 nsslapd-ldapiuidnumbertype、nsslapd-ldapigidnumbertype 和 nsslapd-ldapientrysearchbase 属性中定义的参数将常规用户映射到 Directory Server 用户。
只有启用了 LDAPI 时,才能启用 Autobind,这意味着 nsslapd-ldapilisten 为 on,并且 nsslapd-ldapifilepath 属性设置为 LDAPI 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiautobind: off |
使用 autobind 时,可以根据系统用户的 UID 和 GUID 号,将系统用户映射到目录服务器用户条目。这需要为哪个属性设置目录服务器参数,用于 UID 号(nsslapd-ldapiuidnumbertype)和 GUID 号(nsslapd-ldapigidnumbertype),并设置搜索基础来搜索匹配的用户条目。
nsslapd-ldapientrysearchbase 给出用于自动绑定的用户条目的子树。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | DN |
| 默认值 |
创建服务器实例时创建的后缀,如 |
| 语法 | DN |
| 示例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
3.1.1.104. nsslapd-ldapifilepath (LDAPI 套接字的文件位置)
LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI,服务器必须配置为通过 UNIX 套接字进行通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath 属性中设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录路径 |
| 默认值 | /var/run/dirsrv/slapd-example.socket |
| 语法 | case-exact 字符串 |
| 示例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
Autobind 可用于自动对服务器验证系统用户,并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户以进行身份验证,系统用户的 UID 和 GUID 编号应映射为 Directory Server 属性。nsslapd-ldapigidnumbertype 属性指向 Directory Server 属性,将系统 GUID 映射到用户条目。
只有启用了 LDAPI 时,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind 被启用(nsslapd-ldapiautobind),并为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录服务器属性 |
| 默认值 | gidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.106. nsslapd-ldapilisten (Enable LDAPI)
nsslapd-ldapilisten 启用 LDAPI 连接到目录服务器。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了启用 LDAPI 外,通过将 nsslapd-ldapilisten 设置为 on,还必须在 nsslapd-ldapifilepath 属性中为 LDAPI 设置 UNIX 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapilisten: on |
使用 autobind 时,系统用户映射到目录服务器用户,然后通过 UNIX 套接字自动向 Directory 服务器进行身份验证。
root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn 属性中指定的任何目录服务器条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | cn=Directory Manager |
| 语法 | DN |
| 示例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.108. nsslapd-ldapimaptoentries (为普通用户启用自动绑定映射)
使用 autobind 时,系统用户映射到目录服务器用户,然后通过 UNIX 套接字自动向 Directory 服务器进行身份验证。对于 root 用户,这个映射是自动的,但必须通过 nsslapd-ldapimaptoentries 属性为常规用户启用该映射。将此属性设置为 on 可启用常规用户到目录服务器条目的映射。如果没有启用此属性,则只有 root 用户可以使用 autobind 向 Directory 服务器进行身份验证,所有其他用户都匿名连接。
映射本身通过 nsslapd-ldapiuidnumbertype 和 nsslapd-ldapigidnumbertype 属性配置,它将 Directory Server 属性映射到用户的 UID 和 GUID 号。
如果启用了 LDAPI,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)并启用 autobind (nsslapd-ldapiautobind)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapimaptoentries: on |
3.1.1.109. nsslapd-ldapiuidnumbertype
Autobind 可用于自动对服务器验证系统用户,并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户以进行身份验证,系统用户的 UID 和 GUID 号必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype 属性指向 Directory Server 属性,将系统 UID 映射到用户条目。
只有启用了 LDAPI 时,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind 被启用(nsslapd-ldapiautobind),并为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录服务器属性 |
| 默认值 | uidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.110. nsslapd-ldifdir
在使用 db2ldif 或 db2ldif.pl 时,目录服务器会将 LDAP 数据交换格式(LDIF)格式的文件导出到此参数中设置的目录。目录必须由 Directory Server 用户和组所有。只有此用户和组必须在此目录中具有读写访问权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory Server 用户可写入的任何目录 |
| 默认值 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.111. nsslapd-listen-backlog-size
此属性设置套接字连接积压的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 最大 64 位整数值(9223372036854775807) |
| 默认值 | 128 |
| 语法 | 整数 |
| 示例 | nsslapd-listen-backlog-size: 128 |
3.1.1.112. nsslapd-listenhost (Listen to IP Address)
此属性允许多个目录服务器实例在多主目录机器上运行(或使可以限制侦听多主目录计算机的一个接口)。同一名可以有多个 IP 地址,这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将 Directory Server 实例限制为单个 IP 接口。
如果将主机名指定为 nsslapd-listenhost 值,则 Directory 服务器会为与主机名关联的每个接口响应请求。如果单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost 值,目录服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-listenhost: ldap.example.com |
3.1.1.113. nsslapd-localhost (本地主机)
此属性指定 Directory 服务器在其上运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障切换节点的高可用性配置中,引用应指向集群的虚拟名称,而不是本地主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何完全限定主机名。 |
| 默认值 | 安装的机器的主机名。 |
| 语法 | DirectoryString |
| 示例 | nsslapd-localhost: phonebook.example.com |
3.1.1.114. nsslapd-localuser (本地用户)
此属性将用户设置为 Directory 服务器运行的用户。用户运行的组通过检查用户的主组来派生出此属性。如果用户更改,则此实例的所有实例相关文件和目录都需要使用 chown 等工具更改为由新用户所有。
在配置服务器实例时,最初设置 nsslapd-localuser 的值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的用户 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-localuser: dirsrv |
3.1.1.115. nsslapd-lockdir (Server Lock File Directory)
这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-instance。在服务器重启前,对这个值的更改不会生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 服务器用户 ID 拥有的目录的绝对路径,对服务器 ID 具有写入访问权限 |
| 默认值 | /var/lock/dirsrv/slapd-instance |
| 语法 | DirectoryString |
| 示例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
3.1.1.116. nsslapd-localssf
nsslapd-localssf 参数为 LDAPI 连接设置安全强度因素(SSF)。只有在 nsslapd-localssf 中设置的值大于或等于 nsslapd-minssf 参数中设置的值时,目录服务器才会允许 LDAPI 连接。因此,LDAPI 连接符合 nsslapd-minssf 中设置的最小 SSF。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 71 |
| 语法 | 整数 |
| 示例 | nsslapd-localssf: 71 |
控制日志是否使用高分辨率时间戳,以及纳秒精度的标准解析时间戳。默认启用此选项。将这个选项设置为 off,将日志时间戳恢复到一秒精度。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
|
| 默认值 |
|
| 语法 | DirectoryString |
| 示例 | nsslapd-logging-hr-timestamps-enabled: on |
3.1.1.118. nsslapd-maxbersize (Maximum Message Size)
定义传入消息允许的最大大小,以字节为单位。这限制了目录服务器可处理的 LDAP 请求大小。限制请求大小可防止某种形式拒绝服务攻击。
限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 2GB (2,147,483,647 字节)
零 |
| 默认值 | 2097152 |
| 语法 | 整数 |
| 示例 | nsslapd-maxbersize: 2097152 |
此属性设置 Directory 服务器尝试使用的最大、平台的相关文件描述符。每当客户端连接到服务器时,会使用文件描述符。访问日志、错误日志、审计日志、数据库文件(索引和事务日志)以及针对复制和链的其他服务器的传出连接的套接字也使用文件描述符。
用于提供客户端连接的 TCP/IP 的描述符数量由 nsslapd-conntablesize 属性决定。此属性的默认值被设置为文件描述符软限制,默认为 1024。但是,如果您手动配置此属性,服务器会更新进程文件描述符软限制以匹配。
如果这个值设置太大,Directory 服务器会查询操作系统以获取最大允许值,然后使用该值。它还会在错误日志中发出一个信息。如果这个值被设置为无效值,使用 Directory Server Console 或 ldapmodify,服务器会拒绝新值,保留旧值,并响应错误。
有些操作系统允许用户配置进程可用的文件描述符数量。有关文件描述符限制和配置的详情,请查看操作系统文档。dsktune 程序(在 Red Hat Directory Server 安装指南中解释)可用于建议更改系统内核或 TCP/IP 调优属性,包括在需要时增加文件描述符数量。如果 Directory 服务器因为文件描述符不足,则增加这个属性的值。当发生这种情况时,会将以下信息写入 Directory Server 的错误日志文件中:
Not listening for new connections -- too many fds open
Not listening for new connections -- too many fds open有关增加传入连接数的更多信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
UNIX shell 通常对文件描述符数量具有可配置的限制。有关 限制和 ulimit 的更多信息,请参阅操作系统文档,因为这些限制可能会导致问题。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 4096 |
| 语法 | 整数 |
| 示例 | nsslapd-maxdescriptors: 4096 |
当用户通过 SASL GSS-API 向 Directory 服务器进行身份验证时,服务器必须根据客户端请求的内存数量,为客户端分配一定数量的内存。攻击者可能会发送这样的大型数据包大小,使其使目录服务器崩溃或作为拒绝服务攻击的一部分无限期出现。
可以使用 nsslapd-maxsasliosize 属性来限制目录服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大 SASL IO 数据包大小。
当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize 限制时,服务器会立即断开客户端,并将消息记录到错误日志中,以便管理员可以调整设置。
此属性值以字节为单位指定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | * -1 (无限)在 32 位系统上,最大 32 位整数值(2147483647) * -1 (无限)在 64 位系统上,最大 64 位整数值(9223372036854775807) |
| 默认值 | 2097152 (2MB) |
| 语法 | 整数 |
| 示例 | nsslapd-maxsasliosize: 2097152 |
3.1.1.121. nsslapd-maxthreadsperconn (每个连接的最大线程数)
定义连接应使用的最大线程数。对于客户端绑定且仅在未绑定前执行一个或多个操作的常规操作,请使用默认值。对于客户端绑定和同时发出多个请求的情况,请增加这个值,以便每个连接有足够的资源来执行所有操作。服务器控制台不提供此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 用于最大线程数 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-maxthreadsperconn: 5 |
3.1.1.122. nsslapd-minssf
安全强度因素是 根据其关键强度调查连接的相对度。SSF 确定 TLS 或 SASL 连接的安全。nsslapd-minssf 属性为服务器的任何连接设置最小 SSF 要求;任何比最小 SSF 更弱的连接尝试都会被拒绝。
TLS 和 SASL 连接可以在与目录服务器的连接中混合。这些连接通常具有不同的 SSF。这两个 SSF 越高用于与最小 SSF 要求进行比较。
将 SSF 值设置为 0 表示没有最小设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0 (off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf: 128 |
3.1.1.123. nsslapd-minssf-exclude-rootdse
安全强度因素是 根据其关键强度调查连接的相对度。SSF 确定 TLS 或 SASL 连接的安全。
nsslapd-minssf-exclude-rootdse 属性为服务器的任何连接设置最小 SSF 要求,除了对 root DSE 的查询除外。这为大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取有关服务器配置的必要信息,而无需先建立安全连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0 (off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.124. nsslapd-moddn-aci
此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-moddn-aci: on |
3.1.1.125. nsslapd-malloc-mmap-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 /etc/sysconfig/dirsrv 或 /etc/ 文件中设置它们。详情请查看 systemd.exec(3) man page。
sysconfig/dirsrv -instance_name
nsslapd-malloc-mmap-threshold 参数允许您在 Directory Server 配置中设置 M_MMAP_THRESHOLD 环境变量,而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_MMAP_THRESHOLD 参数描述。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 33554432 |
| 默认值 |
请参阅 mallopt(3) man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.126. nsslapd-malloc-mxfast
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 /etc/sysconfig/dirsrv 或 /etc/ 文件中设置它们。详情请查看 systemd.exec(3) man page。
sysconfig/dirsrv -instance_name
nsslapd-malloc-mxfast 参数允许您在 Directory Server 配置中设置 M_MXFAST 环境变量,而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_MXFAST 参数描述。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 80 * (sizeof(size_t) / 4) |
| 默认值 |
请参阅 mallopt(3) man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.127. nsslapd-malloc-trim-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 /etc/sysconfig/dirsrv 或 /etc/ 文件中设置它们。详情请查看 systemd.exec(3) man page。
sysconfig/dirsrv -instance_name
nsslapd-malloc-trim-threshold 参数允许您在 Directory Server 配置中设置 M_TRIM_THRESHOLD 环境变量,而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_TRIM_THRESHOLD 参数描述。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 2^31-1 |
| 默认值 |
请参阅 mallopt(3) man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.128. nsslapd-nagle
当此属性的值 关闭 时,会设置 TCP_NODELAY 选项,以便 LDAP 响应(如条目或结果消息)会立即发回到客户端。打开属性时,会应用默认的 TCP 行为;特别是,发送数据会延迟到底层网络 MTU 大小的一个数据包中,通常为 1500 字节用于以太网。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-nagle: off |
3.1.1.129. nsslapd-ndn-cache-enabled
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器会在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size 参数,以设置此缓存的最大大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ndn-cache-enabled: on |
3.1.1.130. nsslapd-ndn-cache-max-size
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器会在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size 参数设置此缓存的最大大小。
如果请求的 DN 尚未缓存,它会被规范化并添加。超过缓存大小限制时,目录服务器会从缓存中删除最早使用的 10,000 个 DN。但是,最少 10,000 个 DN 始终会被缓存。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 20971520 |
| 语法 | 整数 |
| 示例 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.131. nsslapd-outbound-ldap-io-timeout
此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000 毫秒(5 分钟)。值 0 表示服务器不会对 I/O 等待时间施加限制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 300000 |
| 语法 | DirectoryString |
| 示例 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.132. nsslapd-pagedsizelimit (简单页面结果搜索的大小限制)
此属性设置从搜索操作( 特别是使用简单页面结果控制 )返回的最大条目数。这会覆盖用于页搜索的 nsslapd-sizelimit 属性。
如果将此值设置为零,则使用 nsslapd-sizelimit 属性用于页搜索以及非页搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsslapd-pagedsizelimit: 10000 |
3.1.1.133. nsslapd-plug-in
此 read-only 属性列出了服务器加载的语法和匹配规则插件的插件的 DN。
3.1.1.134. nsslapd-plugin-binddn-tracking
将用于操作的绑定 DN 设置为条目的修饰符,即使操作本身是由服务器插件启动的。执行该操作的特定插件列在单独的操作属性 internalModifiersname 中。
一个更改可以在目录树中触发其他的自动更改。例如,当用户被删除时,该用户将自动从其所属的任何组中移除,由 referential Integrity 插件自动从其所属的组中删除。用户的初始删除由任何用户帐户绑定到服务器执行,但对组(默认)的更新显示为由插件执行,没有关于哪个用户启动该更新的信息。nsslapd-plugin-binddn-tracking 属性允许服务器跟踪哪个用户源自更新操作,以及实际执行它的内部插件。例如:
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
dn: cn=my_group,ou=groups,dc=example,dc=com
modifiersname: uid=jsmith,ou=people,dc=example,dc=com
internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config此属性默认为禁用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-binddn-tracking: on |
3.1.1.135. nsslapd-plugin-logging
默认情况下,即使访问日志记录被设置为记录内部操作,插件内部操作也不会记录在访问日志文件中。您可以使用此参数全局控制它,而不是在每个插件配置中启用日志记录。
启用后,插件会使用此全局设置,并在启用后记录访问和审计事件。
如果启用了 nsslapd-plugin-logging,并且 nsslapd-accesslog-level 设置为记录内部操作,则未索引搜索和其他内部操作将登录到访问日志文件中。
如果没有设置 nsslapd-plugin-logging,则来自插件的未索引搜索仍然记录在 Directory Server 错误日志中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-logging: off |
3.1.1.136. nsslapd-port (Port Number)
此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS,请使用 Start TLS 扩展操作。此所选端口在主机系统上必须是唯一的;确保没有其他应用程序试图使用相同的端口号。指定小于 1024 的端口号表示目录服务器必须以 root 用户身份启动。
服务器在启动时将其 uid 设置为 nsslapd-localuser 值。更改配置目录的端口号时,必须更新配置目录中对应的服务器实例条目。
必须重新启动服务器,以便考虑端口号更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 65535 |
| 默认值 | 389 |
| 语法 | 整数 |
| 示例 | nsslapd-port: 389 |
将端口号设置为零(0),以禁用 LDAP 端口(如果启用了 LDAPS 端口)。
3.1.1.137. nsslapd-privatenamespaces
此 read-only 属性包含私有命名上下文 cn=config、cn=schema 和 cn=monitor 的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | cn=config, cn=schema, 和 cn=monitor |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-privatenamespaces: cn=config |
如果没有设置细粒度密码语法,则即使配置了全局密码语法,也不会检查新的或更新的密码。要继承全局细粒度密码语法,请将此属性设置为 上的。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-inherit-global: off |
打开和关闭细粒度(subtree- 和 user-level)密码策略。
如果此属性的值为 off,则目录中的所有条目( cn=Directory Manager除外)都受到全局密码策略的影响;服务器会忽略任何定义的子树/用户级别密码策略。
如果此属性在 上具有 值,服务器会在子树和用户级别上检查密码策略,并强制实施这些策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-local: off |
3.1.1.140. nsslapd-readonly (Read Only)
此属性设置整个服务器是否处于只读模式,这意味着数据库中的数据也不会修改配置信息。任何尝试以只读模式修改数据库都会返回一个错误,表示服务器无法了解如何执行操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-readonly: off |
3.1.1.141. nsslapd-referral (Referral)
此多值属性指定在服务器收到不属于本地树的条目请求时的后缀返回的 LDAP URL;即,后缀的条目与任何后缀属性中指定的值不匹配。例如,假设服务器只包含条目:
ou=People,dc=example,dc=com
ou=People,dc=example,dc=com但是,请求用于这个条目:
ou=Groups,dc=example,dc=com
ou=Groups,dc=example,dc=com在这种情况下,引用会被传递回客户端,以便 LDAP 客户端找到包含请求条目的服务器。虽然每个目录服务器实例只允许一个引用,但此引用可以有多个值。
要使用 TLS 通信,referral 属性的格式应为 ldaps://server-location。
启动 TLS 不支持引用。
有关管理引用的更多信息,请参阅 红帽目录服务器管理指南 中的"配置目录数据库"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.142. nsslapd-referralmode (Referral Mode)
设置后,此属性向任何后缀上的任何请求发回引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.143. nsslapd-require-secure-binds
这个参数要求用户通过受保护的连接(如 TLS、StartTLS 或 SASL)而不是常规连接对目录进行身份验证。
这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成,即使启用了 nsslapd-require-secure-binds。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-secure-binds: on |
3.1.1.144. nsslapd-requiresrestart
此参数列出其他核心配置属性要求修改后重新启动服务器。这意味着,如果 nsslapd-requiresrestart 中列出的任何属性已更改,则新设置在服务器重启后才会生效。可在 ldapsearch 中返回属性列表:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何核心服务器配置属性 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-requiresrestart: nsslapd-cachesize |
此属性指定目录服务器为管理非客户端连接保留的文件描述符数量,如索引管理和管理复制。服务器为此保留的文件描述符数量,从提供 LDAP 客户端连接的文件描述符总数中减去(请参阅 第 3.1.1.119 节 “nsslapd-maxdescriptors (Maximum File Descriptors)”)。
目录服务器的大多数安装都应不需要更改此属性。但是,如果以下所有对象都为 true,请考虑增加此属性的值:
- 服务器正在复制到大量消费者服务器(超过 10),或者服务器正在维护大量索引文件(超过 30)。
- 服务器为大量 LDAP 连接提供服务。
- 存在错误消息报告服务器无法打开文件描述符(实际错误消息根据服务器试图执行的操作而异),但这些错误消息与管理客户端 LDAP 连接 无关。
增加此属性的值可能会导致更多的 LDAP 客户端无法访问该目录。因此,此属性的值会增加,同时增加 nsslapd-maxdescriptors 属性的值。如果服务器已使用操作系统允许进程可以使用的最大文件描述符数,则可能无法增加 nsslapd-maxdescriptors 值;有关详细信息,请参阅操作系统文档。如果是这种情况,请通过导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。有关传入连接的文件描述符使用情况的信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
为了帮助计算为此属性设置的文件描述符数量,请使用以下公式:
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex +
ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors- NldbmBackends 是 ldbm 数据库的数量。
- NglobalIndex 是所有数据库(包括系统索引)配置的索引总数。(默认为 8 个系统索引和每个数据库 17 个额外索引)。
- ReplicationDescriptor 为 8 (8)以及服务器中可以充当供应商或 hub 的副本数(NSupplierReplica)。
-
ChainingBackendDescriptors 是 nsOperationConnectionsLimit (a chaining or database link configuration attribute;
10default)的 NchainingBackend times。 -
如果配置了 PTA,PTADescriptors 为
3,如果没有配置 PTA,则为 0。 -
如果配置了 TLS,则 SSLDescriptors 为
5 (4 个文件 + 1 侦听套接字),如果未配置 TLS,则为 0。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 64 |
| 语法 | 整数 |
| 示例 | nsslapd-reservedescriptors: 64 |
3.1.1.146. nsslapd-return-exact-case (Return Exact Case)
返回客户端请求的属性类型名称的确切情况。虽然兼容 LDAPv3 的客户端必须忽略属性名称的情况,但有些客户端应用程序需要属性名称来完全匹配,当 Directory 服务器返回属性作为搜索或修改操作的结果时,属性会在 schema 中列出。但是,大多数客户端应用程序会忽略属性的大小写,因此默认禁用此属性。不要修改它,除非有旧的客户端可以在从服务器返回的结果中检查属性名称的情况。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-return-exact-case: off |
3.1.1.147. nsslapd-rewrite-rfc1274
此属性已弃用,并将在以后的发行版本中删除。
此属性仅用于需要使用 RFC 1274 名称返回属性类型的 LDAPv2 客户端。将这些客户端的值设为 on。默认值为 off。
3.1.1.148. nsslapd-rootdn (Manager DN)
此属性设置条目的可分辨名称(DN),它不受到访问控制限制、对目录的操作管理限制或一般资源限制。不必是与此 DN 对应的条目,默认情况下,这个 DN 没有条目,因此 cn=Directory Manager 等值可以接受。
有关更改根 DN 的详情,请参考 红帽目录服务器管理指南中的"创建 目录条目"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的可分辨名称 |
| 默认值 | |
| 语法 | DN |
| 示例 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.149. nsslapd-rootpw (Root Password)
此属性设置与 Manager DN 关联的密码。提供 root 密码后,它会根据 nsslapd-rootpwstoragescheme 属性所选的加密方法进行加密。从服务器控制台查看时,此属性显示值 *。从 dse.ldif 文件查看时,此属性显示加密方法,后跟密码的加密字符串。示例中显示了 dse.ldif 文件中显示的密码,而不是实际密码。
当在服务器设置中配置根 DN 时,需要一个 root 密码。但是,可以通过直接编辑 文件,从 dse.ldif 中删除 root 密码。在这种情况下,根 DN 只能获得与目录相同的访问权限,以便进行匿名访问。当为数据库配置了根 DN 时,始终确保在 dse.ldif 中定义 root 密码。pwdhash 命令行工具可以创建一个新的 root 密码。更多信息请参阅 第 9.6 节 “pwdhash”。
从命令行重置目录管理器的密码时,请勿在 密码中使用大括号({})。root 密码以 {password-storage-scheme}hashed_password 格式保存。服务器将大括号中的任何字符解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案,或者下面的密码没有正确哈希,则目录管理器无法绑定到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的密码,由任何加密方法加密,如 第 4.1.43 节 “密码存储方案” 中所述。 |
| 默认值 | |
| 语法 | DirectoryString {encryption_method }encrypted_Password |
| 示例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
此属性设定用于加密存储在 nsslapd-rootpw 属性中的目录服务器管理器密码的方法。详情请查看 第 4.1.43 节 “密码存储方案”。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 请参阅 第 4.1.43 节 “密码存储方案”。 |
| 默认值 | PBKDF2_SHA256 |
| 语法 | DirectoryString |
| 示例 | nsslapd-rootpwstoragescheme: PBKDF2_SHA256 |
3.1.1.151. nsslapd-rundir
此参数设置目录服务器存储运行时信息的目录的绝对路径,如 PID 文件。目录必须由 Directory Server 用户和组所有。只有此用户和组必须在此目录中具有读写访问权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory Server 用户可写入的任何目录 |
| 默认值 | /var/run/dirsrv/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-rundir: /var/run/dirsrv/ |
3.1.1.152. nsslapd-sasl-mapping-fallback
默认情况下,只检查第一个匹配的 SASL 映射。如果此映射失败,则绑定操作也会失败,即使其他匹配的映射可能已经正常工作。SASL 映射回退将持续检查所有匹配的映射。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-sasl-mapping-fallback: off |
3.1.1.153. nsslapd-sasl-max-buffer-size
此属性设置最大 SASL 缓冲区大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 67108864 (64 KB) |
| 语法 | 整数 |
| 示例 | nsslapd-sasl-max-buffer-size: 67108864 |
3.1.1.154. nsslapd-saslpath
设置包含 Cyrus-SASL SASL2 插件的目录的绝对路径。设置此属性允许服务器使用自定义或非标准 SASL 插件库。这通常在安装过程中正确设置,红帽强烈建议您不要更改此属性。如果属性不存在或值为空,这意味着目录服务器正在使用系统提供的 SASL 插件库,这是正确的版本。
如果设置了此参数,服务器将使用指定的路径来加载 SASL 插件。如果没有设置此参数,服务器将使用 SASL_PATH 环境变量。如果没有设置 nsslapd-saslpath 或 SASL_PATH,服务器会尝试从默认位置加载 SASL 插件,/usr/lib/sasl2。
对此属性所做的更改在服务器重启之前不会生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 插件目录的路径。 |
| 默认值 | 依赖平台 |
| 语法 | DirectoryString |
| 示例 | nsslapd-saslpath: /usr/lib/sasl2 |
忽略对象类名称中的结尾空格。默认情况下,属性为 off。如果目录包含带有以一个或多个空格结尾的对象类值的条目,请打开此属性。最好删除尾随空格,因为 LDAP 标准不允许它们。
出于性能考虑,需要重启服务器才能使更改生效。
当对象类添加到条目中时,默认会返回一个错误。另外,在添加、修改和导入等操作期间(当扩展对象类时,会忽略缺少的高级空间)。如果适当,则忽略尾随空格。这意味着,即使 nsslapd-schema-ignore-trailing-spaces 位于,即使没有 top 值,则不会添加 top 值。如果找不到对象类且包含尾随空格,则会记录错误消息并返回到客户端。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-schema-ignore-trailing-spaces: on |
3.1.1.156. nsslapd-schemacheck (Schema Checking)
此属性设置在添加或修改条目时是否强制执行数据库模式。当此属性的值为 上的 时,Directory 服务器不会检查现有条目的模式,直到它们被修改为止。数据库架构定义数据库中允许的信息类型。默认架构可以使用对象类和属性类型进行扩展。有关如何使用目录服务器控制台扩展模式的详情,请参考红帽目录服务器管理指南中的"扩展目录架构" 章节。
红帽强烈建议不要关闭模式检查。这可能导致严重的互操作性问题。这通常用于必须导入到目录服务器中的非常旧的或非标准 LDAP 数据。如果没有此问题的许多条目,请考虑使用这些条目中的 extensibleObject 对象类来基于每个条目禁用模式检查。
当使用 LDAP 客户端进行数据库修改时,架构检查会默认工作,如 ldapmodify,或使用 ldif2db 从 LDIF 导入数据库。如果关闭了 schema 检查,则必须手动验证每个条目,才能看到它们符合 schema。如果打开了架构检查,服务器会发送一条错误消息,列出与 schema 不匹配的条目。确保 LDIF 语句中创建的属性和对象类都正确拼写,并在 dse.ldif 中识别。在 schema 目录中创建 LDIF 文件,或将元素添加到 99user.ldif。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemacheck: on |
3.1.1.157. nsslapd-schemadir
这是包含 Directory Server 实例特定模式文件的目录的绝对路径。当服务器启动时,它会从此目录读取架构文件,当通过 LDAP 工具修改模式时,会更新此目录中的模式文件。该目录必须由服务器用户 ID 所有,并且该用户必须具有对该目录的读取和写入权限。
对此属性所做的更改在服务器重启之前不会生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | /etc/dirsrv/instance_name/schema |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
3.1.1.158. nsslapd-schemamod
在线模式修改需要影响性能的锁定保护。如果禁用了模式修改,则将此参数设置为 off 可提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemamod: on |
3.1.1.159. nsslapd-schemareplace
决定是否修改在 cn=schema 条目上允许替换属性值的操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 在 | off | replication-only |
| 默认值 | replication-only |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemareplace: replication-only |
3.1.1.160. nsslapd-search-return-original-type-switch
如果传递给搜索的属性列表包含空格,后跟其他字符,则向客户端返回相同的字符串。例如:
ldapsearch -b <basedn> "(filter)" "sn someothertext" dn: <matched dn> sn someothertext: <sn>
# ldapsearch -b <basedn> "(filter)" "sn someothertext"
dn: <matched dn>
sn someothertext: <sn>默认情况下禁用此行为,但可使用此配置参数启用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-search-return-type-switch: off |
3.1.1.161. nsslapd-securelistenhost
此属性允许多个目录服务器实例在多主目录机器上运行(或使可以限制侦听多主目录计算机的一个接口)。单个主机名可以有多个 IP 地址,这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将目录服务器实例限制为单个 IP 接口;此参数还专门设置要用于 TLS 流量的接口,而不是常规的 LDAP 连接。
如果将主机名指定为 nsslapd-securelistenhost 值,则 Directory 服务器会响应与主机名关联的每个接口的请求。如果单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-securelistenhost 值,目录服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何安全主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-securelistenhost: ldaps.example.com |
3.1.1.162. nsslapd-securePort (Encrypted Port Number)
此属性设置用于 TLS 通信的 TCP/IP 端口号。此所选端口在主机系统上必须是唯一的;确保没有其他应用程序试图使用相同的端口号。指定小于 1024 的端口号要求以 root 用户身份启动目录服务器。服务器在启动时将其 uid 设置为 nsslapd-localuser 值。
只有当服务器配置了私钥和证书并且 nsslapd-security 设置为 on 时,服务器才会侦听这个端口。否则,它不会监听这个端口。
必须重新启动服务器,以便考虑端口号更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 636 |
| 语法 | 整数 |
| 示例 | nsslapd-securePort: 636 |
3.1.1.163. nsslapd-security (Security)
此属性设置 Directory 服务器是否在其加密端口上接受 TLS 通信。对于安全连接,此属性应设置为 on。若要在 上使用安全性运行,除其他 TLS 配置之外,还必须使用私钥和服务器证书配置服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-security: off |
3.1.1.164. nsslapd-sizelimit (Size Limit)
此属性设置搜索操作返回的最大条目数。如果达到这个限制,ns-slapd 会返回与搜索请求匹配的任何条目,以及超过大小限制错误。
如果没有设置限制,ns-slapd 会将每个匹配条目返回到客户端,而不考虑找到的数字。要设置限制值,Directory 服务器会无限期等待搜索完成,请在 dse.ldif 文件中为此属性指定 -1 值。
这个限制适用于每个人,无论其机构是什么。
dse.ldif 文件中的此属性上的 -1 值与在服务器控制台中将属性留空时相同,因为它会导致不使用限制。这无法在 dse.ldif 文件中有一个 null 值,因为它不是一个有效的整数。可以将其设置为 0, 这会返回每个搜索所 超过的大小限制。
对应的 user-level 属性是 nsSizeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsslapd-sizelimit: 2000 |
3.1.1.165. nsslapd-snmp-index
此参数控制 Directory 服务器实例的 SNMP 索引号。
如果您在同一主机上有多个目录服务器实例,但在端口 389 上,但在不同的网络接口中,则此参数允许您为每个实例设置不同的 SNMP 索引号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-snmp-index: 0 |
3.1.1.166. nsslapd-SSLclientAuth
nsslapd-SSLclientAuth 参数将在以后的版本中被弃用,目前为向后兼容而维护。使用新的参数 nsSSLClientAuth,存储在 cn=encryption,cn=config 下。请参阅 第 3.1.4.5 节 “nsSSLClientAuth”。
此属性设置启用了 TLS 的目录服务器是否应该通过将主机名与提供给证书中主题名称(subjectDN 字段)属性的值匹配来验证请求的真实性。默认情况下,属性在 上 设置为。如果是 on,如果主机名与证书的 cn 属性不匹配,则会记录适当的错误和审计消息。
例如,在复制环境中,如果找到对等服务器的主机名与证书中指定的名称不匹配,则类似以下内容的消息会记录在供应商服务器的日志文件中:
红帽建议打开此属性来保护目录服务器的出站 TLS 连接,防止中间人(MITM)攻击。
必须正确设置 DNS 和反向 DNS 才能正常工作;否则,服务器无法将对等 IP 地址解析为证书中主题 DN 中的主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ssl-check-hostname: on |
3.1.1.168. nsslapd-syntaxcheck
此属性验证对条目属性的所有修改,以确保新的或更改的值符合该属性类型所需的语法。当启用此属性时,任何不符合正确语法的更改都会被拒绝。根据 RFC 4514 的语法定义验证所有属性值。
默认情况下打开它。
语法验证仅针对新的或修改的属性运行,它不验证现有属性值的语法。为 LDAP 操作(如添加和修改)触发语法验证;它不会在复制等操作后发生,因为原始供应商应检查属性语法的有效性。
这会验证 Directory 服务器的所有支持的属性类型,但二进制语法(无法验证)和非标准语法除外,它们没有定义所需的格式。未验证的 语法如下:
- 传真(二进制)
- OctetString (binary)
- JPEG (binary)
- 二进制(非标准)
- 空格(敏感的字符串)(非标准)
- URI (非标准)
nsslapd-syntaxcheck 属性设置是否验证和拒绝属性修改。这可与 第 3.1.1.169 节 “nsslapd-syntaxlogging” 属性一起使用,将有关无效属性值的警告信息写入错误日志中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxcheck: on |
3.1.1.169. nsslapd-syntaxlogging
此属性设置是否将语法验证失败记录到错误日志中。默认情况下关闭它。
如果启用了 第 3.1.1.168 节 “nsslapd-syntaxcheck” 属性(默认),且 nsslapd-syntaxlogging 属性也被启用,则任何无效的属性更改都会被拒绝,并写入错误日志。如果只启用 nsslapd-syntaxlogging,并且禁用 nsslapd-syntaxcheck,则允许无效的更改,但会将警告信息写入错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxlogging: off |
3.1.1.170. nsslapd-threadnumber (Thread Number)
这个与性能调优相关的值会设置线程数量,Directory 服务器在启动时创建。如果值设为 -1 ( 默认),则目录服务器会根据可用的硬件启用优化的自动调整。请注意,如果启用了 auto-tuning,nsslapd-threadnumber 会在 Directory 服务器运行时显示自动生成的线程数量。
红帽建议使用 auto-tuning 设置来优化性能。
详情请查看 红帽目录服务器性能调优指南 中的相应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到系统线程和处理器支持的最大线程数。限制 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-threadnumber: -1 |
3.1.1.171. nsslapd-timelimit (Time Limit)
此属性设定为搜索请求分配的最大秒数。如果达到这个限制,Directory 服务器会返回所有与搜索请求匹配的条目,以及超过的时间限制错误。
如果没有设置限制,ns-slapd 会将每个匹配条目返回到客户端,无论其所需的时间如何。要设置限制值,在 Directory 服务器无限期等待搜索完成,请在 dse.ldif 文件中为此属性指定 -1 值。值为零(0)会导致不允许时间进行搜索。最小时间限制为 1 秒。
dse.ldif 中的此属性上的 -1 值与在服务器控制台中将属性留空时相同,这会导致不使用限制。但是,在服务器控制台的此字段中无法设置负整数,且无法在 dse.ldif 条目中使用 null 值,因为它不是有效的整数。
对应的 user-level 属性是 nsTimeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-timelimit: 3600 |
3.1.1.172. nsslapd-tmpdir
这是服务器用于临时文件的目录的绝对路径。目录必须由服务器用户 ID 所有,并且该用户必须具有读写访问权限。没有其他用户 ID 应具有对目录的读取或写入权限。默认值为 /tmp。
对此属性所做的更改在服务器重启之前不会生效。
3.1.1.173. nsslapd-unhashed-pw-switch
当您更新 userPassword 属性时,Directory 服务器会加密密码并将其存储在 userPassword 中。然而,在某些情况下,例如将密码与 Active Directory (AD)同步时,目录服务器必须将未加密的密码传递给插件。在这种情况下,服务器将未加密的密码存储在 so-called entry 扩展 中的临时 unhashed""user#password 属性中,并根据情况在更改日志中。请注意,Directory 服务器不会将临时 unhashed"user""password 属性存储在服务器的硬盘中。
nsslapd-unhashed-pw-switch 参数控制目录服务器是否以及目录服务器如何存储未加密的密码。例如,您必须将 nsslapd-unhashed-pw-switch 设置为 on,才能将密码从 Directory Server 同步到 Active Directory。
您可以将参数设置为以下值之一:
-
off: Directory Server 不会将未加密的密码存储在条目扩展名或更改日志中。如果您没有将密码与 AD 或需要访问未加密的密码的任何插件进行密码同步,则设置这个值。 -
在 : Directory Server
上,将未加密的密码存储在条目扩展名和更改日志中。如果您使用 AD 配置密码同步,则设置这个值。 -
nolog: Directory 服务器仅将未加密的密码存储在条目扩展名中,而不存储在更改日志中。如果本地目录服务器插件需要访问未加密的密码,但没有配置与 AD 的密码同步,则设置这个值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | off | on | nolog |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-unhashed-pw-switch: off |
3.1.1.174. nsslapd-validate-cert
如果目录服务器配置为在 TLS 中运行并且其证书过期,则无法启动目录服务器。nsslapd-validate-cert 参数设置在尝试使用过期证书启动时 Directory 服务器应如何响应:
-
warn允许 Directory 服务器成功启动具有过期证书的警告信息,但它会发送证书已过期的警告信息。这是默认设置。 -
在 上,验证证书,如果证书已过期,将阻止服务器重新启动。这为过期的证书设置硬失败。 -
off禁用所有证书过期验证,因此服务器可以在不记录警告的情况下以过期的证书开始。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Warn | on | off |
| 默认值 | warn |
| 语法 | DirectoryString |
| 示例 | nsslapd-validate-cert: warn |
3.1.1.175. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema 参数定义目录服务器如何使用 schema 中未指定的属性验证搜索过滤器。
您可以将 nsslapd-verify-filter-schema 设置为以下选项之一:
-
reject-invalid: 如果目录服务器包含任何未知元素,则目录服务器会拒绝过滤器并带有错误。 process-safe: Directory Server 使用空集替换未知组件,并使用/var/log/dirsrv/slapd-instance_name/access日志文件中的notes=F标志记录警告信息。在将
nsslapd-verify-filter-schema从warn-invalid或off切换到process-safe之前,请监控访问日志并修复导致日志条目带有notes=F标志的应用程序的查询。否则,操作结果会改变,目录服务器可能无法返回所有匹配的条目。-
warn-invalid: Directory Server 在/var/log/dirsrv/slapd-instance_name/access日志文件中记录带有notes=F标记的警告,并继续扫描完整的数据库。 -
off:目录服务器不验证过滤器。
请注意,例如,如果您将 nsslapd-verify-filter-schema 设置为 warn-invalid 或 off,则过滤器 (如(& (non_exististent_attribute=example) (uid=user_name)) 评估 uid=user_name 条目,并仅在包含 non_exististent_attribute=example )时返回。如果将 nsslapd-verify-filter-schema 设置为 process-safe,目录服务器不会评估该条目,也不会返回它。
将 nsslapd-verify-filter-schema 设置为 reject-invalid 或 process-safe 可防止因为未索引的搜索模式中指定的属性而造成高负载。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | reject-invalid, process-safe, warn-invalid, off |
| 默认值 | warn-invalid |
| 语法 | DirectoryString |
| 示例 | nsslapd-verify-filter-schema: warn-invalid |
3.1.1.176. nsslapd-versionstring
此属性设置服务器版本号。当显示 version 字符串时,构建数据会自动附加。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的服务器版本号。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-versionstring: Red Hat-Directory/11.3 |
3.1.1.177. nsslapd-workingdir
这是服务器在启动时用作当前工作目录的目录的绝对路径。这是服务器将返回 getcwd () 函数的值,以及系统进程表显示为其当前工作目录的值。这是生成核心文件的目录。服务器用户 ID 必须对该目录具有读写访问权限,而其他用户 ID 则不应对其具有读取或写入访问权限。此属性的默认值是包含错误日志的同一目录,通常是 /var/log/dirsrv/slapd-instance。
对此属性所做的更改在服务器重启之前不会生效。
3.1.1.178. passwordAllowChangeTime
此属性指定在允许用户更改其密码之前必须传递的时间长度。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | passwordAllowChangeTime: 5h |
3.1.1.179. passwordChange (Password Change)
指明用户是否可以更改其密码。
这可以缩写为 pwdAllowUserChange。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordChange: on |
3.1.1.180. passwordCheckSyntax (检查密码语法)
此属性设定在保存密码前是否检查密码语法。密码语法检查机制检查密码是否满足或超过密码最小长度要求,并且字符串不包含任何微小的词语,如用户名或用户 ID 或存储在 uid、cn、sn、givenName、ou 或 mail 属性中的任何属性值。
密码语法包括几个不同的类别用于检查:
- 在检查密码中普通单词时要比较的字符串或令牌长度(例如,如果令牌长度为 3,则用户 UID、名称、电子邮件地址或其他参数中的三个后续字符的字符串,可以在密码中使用。)
- 最小数字字符数(0-9)
- 最小大写 ASCII 字母字符数
- 最小小写 ASCII 字母字符数
-
最少特殊 ASCII 字符数,如
!@#$ - 最小 8 位字符数
- 每个密码所需的最少字符类别数;类别可以是大写或小写字母、特殊字符、数字或 8 位字符
这可以缩写为 pwdCheckSyntax。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordCheckSyntax: off |
3.1.1.181. passwordDictCheck
如果设置为 on,则 passwordDictCheck 参数会根据 CrackLib 字典检查密码。如果新密码包含字典词语,则目录服务器会拒绝密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordDictCheck: off |
3.1.1.182. passwordExp (密码过期)
指明用户密码是否在指定秒数后过期。默认情况下,用户密码不会过期。启用密码过期后,设定密码使用 passwordMaxAge 属性过期的秒数。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户帐户"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordExp: on |
3.1.1.183. passwordExpirationTime
此属性指定在用户的密码过期前经过的时间长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何日期,单位为整数 |
| 默认值 | none |
| 语法 | GeneralizedTime |
| 示例 | passwordExpirationTime: 202009011953 |
3.1.1.184. passwordExpWarned
此属性表示向用户发送密码过期警告。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | true | false |
| 默认值 | none |
| 语法 | DirectoryString |
| 示例 | passwordExpWarned: true |
3.1.1.185. passwordGraceLimit (Password Expiration)
此属性仅在启用了密码过期时才适用。在用户密码到期后,服务器允许用户连接以更改密码。这称为 宽限期。服务器在完全锁定用户前只允许有一定数量的尝试。此属性是允许的宽限期数。值 0 表示服务器不允许宽限期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 (off)到任何合理的整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordGraceLimit: 3 |
3.1.1.186. passwordHistory (密码历史记录)
启用密码历史记录。密码历史记录指的是是否允许用户重复使用密码。默认情况下,密码历史记录被禁用,用户可以重复使用密码。如果在 上 将此属性设置为,则目录会存储指定数量的旧密码,并防止用户重复使用任何存储的密码。使用 passwordInHistory 属性设置目录服务器存储的旧密码数量。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordHistory: on |
3.1.1.187. passwordInHistory (Passwords to Remember)
指明目录服务器在历史记录中存储的密码数。存储在历史记录中的密码无法被用户重复使用。默认情况下,密码历史记录功能被禁用,这意味着目录服务器不会存储任何旧密码,因此用户可以重复使用密码。使用 passwordHistory 属性启用密码历史记录。
要防止用户通过跟踪的密码数量快速利用,请使用 passwordMinAge 属性。
这可以缩写为 pwdInHistory。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 24 密码 |
| 默认值 | 6 |
| 语法 | 整数 |
| 示例 | passwordInHistory: 7 |
此属性控制是否复制密码策略属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordIsGlobalPolicy: off |
3.1.1.189. passwordLegacyPolicy
启用旧的密码行为。旧的 LDAP 客户端预期在超过最大故障限制后收到一个错误,以锁定用户帐户。例如,如果限制是三个失败,则帐户在第四次尝试失败时锁定。但是,当达到故障限制时,较新的客户端应该会收到错误消息。例如,如果限制是三个失败,则应在第三个尝试失败时锁定帐户。
因为当超过失败限制时锁定帐户是旧的行为,所以被视为旧的行为。它默认是启用的,但可以禁用以允许新的 LDAP 客户端在预期时间接收错误。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordLegacyPolicy: on |
3.1.1.190. passwordLockout (Account Lockout)
指明用户在给定数量的绑定尝试失败后将用户锁定在目录中。默认情况下,在绑定尝试失败后,用户不会锁定在目录中。如果启用了帐户锁定,请设置用户使用 passwordMaxFailure 属性锁定用户的失败尝试次数。
这可以缩写为 pwdLockOut。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordLockout: off |
3.1.1.191. passwordLockoutDuration (Lockout Duration)
表示用户在帐户锁定后锁定目录的时间(以秒为单位)。帐户锁定功能可防止黑客通过重复尝试猜测用户密码来进入该目录。使用 passwordLockout 属性启用和禁用帐户锁定功能。
这可以缩写为 pwdLockoutDuration。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | passwordLockoutDuration: 3600 |
3.1.1.192. passwordMaxAge (Password Maximum Age)
表示用户密码到期后的秒数。要使用此属性,必须使用 passwordExp 属性启用密码过期。
这可以缩写为 pwdMaxAge。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 8640000 (100 天) |
| 语法 | 整数 |
| 示例 | passwordMaxAge: 100 |
3.1.1.193. passwordBadWords
passwordBadWords 参数定义一个以逗号分隔的字符串列表,用户不允许在密码中使用。
请注意,目录服务器对字符串进行不区分大小写的比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何字符串 |
| 默认值 | "" |
| 语法 | DirectoryString |
| 示例 | passwordBadWords: example |
3.1.1.194. passwordMaxClassChars
如果将 passwordMaxClassChars 参数设置为大于 0 的值,目录服务器会阻止设置具有相同类别的连续字符的密码,与参数中设置的值相比。如果启用,Directory 服务器会检查以下类别的连续字符:
- 数字
- 字母字符
- 小写
- 大写
例如,如果您将 passwordMaxClassChars 设置为 3,则不允许包含 jdif 或 1947 的密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)最大 32 位整数(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxClassChars: 0 |
3.1.1.195. passwordMaxFailure (最大密码失败)
表示在用户锁定出目录后的失败绑定尝试次数。默认情况下禁用帐户锁定。通过修改 passwordLockout 属性来启用帐户锁定。
这可以缩写为 pwdMaxFailure。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 用于最大整数绑定失败 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | passwordMaxFailure: 3 |
3.1.1.196. passwordMaxRepeats (密码语法)
同一字符可以在密码中按顺序显示的次数上限。零(0)已关闭。整数值拒绝任何使用超过该时间字符的密码;例如,1 拒绝一次使用的字符(a)和 2 拒绝一次使用的字符(aaa)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxRepeats: 1 |
3.1.1.197. passwordMaxSeqSets
如果将 passwordMaxSeqSets 参数设置为大于 0 的值,则目录服务器会拒绝带有重复 monotonic 序列的密码超过参数中设置的长度。例如,如果您将 passwordMaxSeqSets 设置为 2,则将密码设为 azXYZ_XYZ-g,因为 XYZ 在密码中显示两次。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxSeqSets: 0 |
3.1.1.198. passwordMaxSequence
如果将 passwordMaxSequence 参数设置为大于 0 的值,目录服务器会拒绝新密码,其序列比 passwordMaxSequence 中设置的值更长。例如,如果您将 参数设置为 3,Directory 服务器会拒绝包含字符串的密码,如 1234 或 dcba。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxSequence: 0 |
3.1.1.199. passwordMin8Bit (Password 语法)
这会设置密码必须包含最少 8 位字符数。
必须禁用对 userPassword 的 7 位检查才能使用它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMin8Bit: 0 |
3.1.1.200. passwordMinAge (Password Minimum Age)
表示在用户更改其密码前必须经过的秒数。将此属性与 passwordInHistory (要记住的密码数)属性一起使用,以防止用户通过密码快速利用其旧密码,以便他们再次使用旧密码。值为零(0)表示用户可以立即更改密码。
这可以缩写为 pwdMaxFailure。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到有效的最大整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinAge: 150 |
3.1.1.201. passwordMinAlphas (密码语法)
此属性设置必须包含最少字母字符密码的数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinAlphas: 4 |
3.1.1.202. passwordMinCategories (密码语法)
这将设置密码中代表的最小字符类别数。类别有:
- 小写字母字符
- 大写字母字符
- 数字
- 特殊 ASCII 字符,如 $ 和标点标记
- 8 位字符
例如,如果此属性的值设置为 2,并且用户尝试将密码更改为 aaaaa,服务器将拒绝密码,因为它仅包含小写字符,因此仅包含一个类别中的字符。aA aA 的密码会被传递,因为它包含来自两个类别(大写和小写)的字符。
默认值为 3,这意味着如果启用了密码语法检查,有效的密码必须具有三类字符。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinCategories: 2 |
3.1.1.203. PasswordMinDigits (密码语法)
这会设置密码必须包含的最小数字数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinDigits: 3 |
3.1.1.204. passwordMinLength (Password Minimum Length)
此属性指定目录服务器用户密码属性必须使用的最少字符数。通常,较短的密码更易于破解。目录服务器强制使用八个字符的最小密码。这很难破解但很短,用户可以在不写出密码的情况下记住密码。
这可以缩写为 pwdMinLength。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 2 到 512 个字符 |
| 默认值 | 8 |
| 语法 | 整数 |
| 示例 | passwordMinLength: 8 |
3.1.1.205. PasswordMinLowers (密码语法)
此属性设置小写字母密码必须包含的最小数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinLowers: 1 |
3.1.1.206. PasswordMinSpecials (密码语法)
此属性设置密码必须包含的最小 特殊 数量(或不是字母数字字符)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinSpecials: 1 |
3.1.1.207. PasswordMinTokenLength (Password Syntax)
此属性设置用于 简单 词语检查的最小属性值长度。例如,如果 PasswordMinTokenLength 设为 3,则 givenName 为 DJ 并不会导致拒绝 DJ 存在于密码的策略,但策略会拒绝包含 givenName 的 Bob 的密码。
目录服务器会根据以下属性中的值检查最小令牌长度:
-
uid -
cn -
sn -
givenName -
mail -
ou
如果目录服务器应检查附加属性,您可以在 passwordUserAttributes 参数中设置它们。详情请查看 第 3.1.1.212 节 “passwordUserAttributes”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 64 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | passwordMinTokenLength: 3 |
3.1.1.208. PasswordMinUppers (密码语法)
这会设置大写字母密码的最小数量必须包含。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinUppers: 2 |
3.1.1.209. passwordMustChange (密码必须更改)
指明用户在第一次绑定到目录服务器时或管理器 DN 重置密码时,是否必须更改密码。
这可以缩写为 pwdMustChange。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordMustChange: off |
3.1.1.210. passwordPalindrome
如果启用了 passwordPalindrome 参数,如果新密码包含 palindrome,则目录服务器会拒绝密码。
palindrome 是一个读取与后向相同的字符串,如 abc11cba。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordPalindrome: off |
表示密码失败计数器重置的时间(以秒为单位)。每次从用户帐户发送无效的密码时,密码失败计数器都会递增。如果在 上将 passwordLockout 属性设置为,则当计数器达到 passwordMaxFailure 属性指定的故障数时(默认为 600 秒)时,用户将被锁定在目录中。在 passwordLockoutDuration 属性指定的时间后,失败计数器将重置为零(0)。
这可以缩写为 pwdFailureCountInterval。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | passwordResetFailureCount: 600 |
3.1.1.212. passwordUserAttributes
默认情况下,如果您在 passwordMinTokenLength 参数中设置了最小令牌长度,目录服务器只根据某些属性检查令牌。详情请查看 第 3.1.1.207 节 “PasswordMinTokenLength (Password Syntax)”。
passwordUserAttributes 参数允许您设置目录服务器应检查的额外属性列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何字符串 |
| 默认值 | "" |
| 语法 | DirectoryString |
| 示例 | passwordUserAttributes: telephoneNumber, l |
3.1.1.213. passwordSendExpiringTime
当客户端请求密码过期控制时,只有在密码处于警告期间,目录服务器才会返回 "time to expire" 值。为了提供始终返回这个值的现有客户端的兼容性 - 无论密码过期时间是否在警告期间内,可以在 上将 passwordSendExpiringTime 参数设置为。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordSendExpiringTime: off |
此属性设定用于加密 userPassword 属性中存储的用户密码的方法。详情请查看 第 4.1.43 节 “密码存储方案”。
红帽建议不要设置此属性。如果没有设置值,Directory 服务器会自动使用可用的最强支持的密码存储方案。如果将来的目录服务器更新更改了默认值以提高安全性,如果用户设置密码,密码将自动使用新的存储方案加密。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 请参阅 第 4.1.43 节 “密码存储方案”。 |
| 默认值 | PBKDF2_SHA256 |
| 语法 | DirectoryString |
| 示例 | passwordStorageScheme: PBKDF2_SHA256 |
3.1.1.215. passwordTPRDelayExpireAt
passwordTPRDelayExpireAt 属性是密码策略的一部分。在管理员为用户帐户设置临时密码后,passwordTP RDelayExpireAt 定义临时密码过期前的时间(以秒为单位)。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRDelayExpireAt: 3600 |
3.1.1.216. passwordTPRDelayValidFrom
passwordTPRDelayValidFrom 属性是密码策略的一部分。在管理员为用户帐户设置临时密码后,passwordTPR DelayValidFrom 定义使用临时密码前的时间(以秒为单位)。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRDelayValidFrom: 60 |
3.1.1.217. passwordTPRMaxUse
passwordTPRMaxUse 属性是密码策略的一部分。属性设置用户可以在临时密码过期之前成功或不进行身份验证的次数。如果身份验证成功,目录服务器只允许用户在进行其他操作前更改密码。如果用户没有更改密码,则操作将被终止。验证尝试数量的计数器会增加,无论身份验证是否成功。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRMaxUse: 5 |
3.1.1.218. passwordTrackUpdateTime
设置是否记录独立时间戳,专门用于最后一次更改条目密码的时间。如果启用此项,它会将 pwdUpdateTime 操作属性添加到用户帐户条目(与其他更新时间分离,如 modifyTime)。
使用此时间戳可以更轻松地在不同 LDAP 存储(如 Active Directory)之间同步密码更改。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordTrackUpdateTime: off |
3.1.1.219. passwordUnlock (Unlock Account)
指明用户是否在指定时间内锁定在目录中,或者直到管理员在帐户锁定后重置密码。帐户锁定功能可防止黑客通过重复尝试猜测用户密码来进入该目录。如果此 passwordUnlock 属性设置为 off,并且 operational 属性 accountUnlockTime 的值为 0, 则帐户将无限期锁定。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordUnlock: off |
3.1.1.220. passwordWarning (Send Warning)
表示用户密码到期前的秒数,让用户在下一次 LDAP 操作上收到密码过期警告控制。根据 LDAP 客户端,用户也可能会在发送警告时提示更改密码。
这可以缩写为 pwdExpireWarning。
有关密码策略的更多信息,请参阅 红帽目录服务器管理指南 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 86400 (1 天) |
| 语法 | 整数 |
| 示例 | passwordWarning: 86400 |
3.1.1.221. passwordAdminSkipInfoUpdate
您可以在 cn=config 条目下添加一个新的 passwordAdminSkipInfoUpdate: on/off 设置,以对密码管理员执行的密码更新提供精细控制。当您在 上将 此设置设置为 时,仅更改密码,且不会更新用户条目中的密码状态属性。例如,此类属性是 passwordHistory、passwordExpirationTime、passwordRetryCount、pwdReset 和 passwordExpWarned。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | passwordAdminSkipInfoUpdate: on |
密码管理员不仅可以绕过密码语法检查,还可在全局和本地密码策略中配置密码过期设置,并且 必须使用 设置 'passwordAdminSkipInfoUpdate : on/off来。
更改密码(pwdMustChange)属性,并使用设置 'passwordAdminSkipInfoUpdate: on/off
3.1.1.222. retryCountResetTime
retryCountResetTime 属性包含 UTC-format 中的日期和时间,passwordRetryCount 属性将重置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 任何有效的时间戳(UTC 格式) |
| 默认值 | none |
| 语法 | 常规时间 |
| 示例 | retryCountResetTime: 20190618094419Z |
3.1.2. cn=changelog5,cn=config
multi-supplier 复制 changelog 配置条目存储在 cn=changelog5 条目下。cn=changelog5,cn=config 条目是 extensibleObject 对象类的实例。
cn=changelog5 条目必须包含以下对象类:
-
top -
extensibleObject
两种不同类型的更改日志由 Directory Server 维护。第一个类型(此处存储并称为 changelog )由多层次复制使用;第二个更改日志实际上是插件并称为 retro changelog,用于与某些传统应用程序兼容。有关 Retro Changelog 插件的详情,请查看 第 4.1.48 节 “retro Changelog 插件”。
3.1.2.1. cn
此必需属性设置 changelog 条目的相对可分辨名称(RDN)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | changelog5 |
| 语法 | DirectoryString |
| 示例 | cn=changelog5 |
3.1.2.2. nsslapd-changelogcompactdb-interval
Berkeley 数据库不会重复使用空闲页面,除非数据库被显式压缩。紧凑操作会将未使用的页面返回到文件系统和数据库文件大小缩小。这个参数定义 changelog 数据库紧凑时的时间间隔(以秒为单位)。请注意,紧凑数据库是资源密集型的,因此不应该经常进行。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效值 | 0 (无压缩)到 2147483647 秒 |
| 默认值 | 2592000 (30 天) |
| 语法 | 整数 |
| 示例 | nsslapd-changelogcompactdb-interval: 2592000 |
3.1.2.3. nsslapd-changelogdir
此必需属性指定在其中创建 changelog 条目的目录名称。每当创建 changelog 配置条目时,它必须包含有效的目录;否则,操作都会被拒绝。默认情况下,GUI 建议此条目存储在 /var/lib/dirsrv/slapd-instance/changelogdb/ 中。
如果删除了 cn=changelog5 条目,则 nsslapd-changelogdir 参数中指定的目录会被删除,其中包含其内容。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效值 | 存储更改日志的目录的任何有效路径 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb/ |
3.1.2.4. nsslapd-changelogmaxage (Max Changelog Age)
与消费者同步时,目录服务器将每个更新存储在更改日志中,并带有一个时间戳。nsslapd-changelogmaxage 参数设置存储在 changelog 中的记录的最长期限。成功传输到所有副本的旧记录会被自动删除。默认情况下,Directory 服务器会删除 7 天以上的记录。但是,如果您禁用了 nsslapd-changelogmaxage 和 nsslapd-changelogmaxentries 参数,目录服务器会将所有记录保留在更改日志中,并可能导致 changelog 文件的过度增长。
retro changelog 有自己的 nsslapd-changelogmaxage 属性,如 Retro changelog nsslapd-changelogmaxage部分所述
trim 操作以 nsslapd-changelogtrim-interval 参数中设置的间隔执行。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | 0 (注意条目没有根据其年龄删除)最多 32 位整数(2147483647) |
| 默认值 | 7d |
| 语法 |
DirectoryString IntegerAgeID,其中 AgeID 为 |
| 示例 | nsslapd-changelogmaxage: 4w |
与消费者同步时,Directory 服务器会将每个更新存储在更改日志中。nsslapd-changelogmaxentries 参数设置 changelog 中存储的记录的最大数量。如果成功传输到所有副本的最旧的记录数量超过 nsslapd-changelogmaxentries 值,Directory 服务器会自动从更改日志中删除它们。如果您禁用了 nsslapd-changelogmaxentries 和 nsslapd-changelogmaxage 参数,Directory 服务器会将所有记录保留在 changelog 中,并可能导致 changelog 文件的过度增长。
如果您在 nsslapd-changelogmaxentries 参数中设置了较低值,则目录服务器 不会自动 减少复制更改日志的文件大小。详情请查看 Red Hat Directory Administration Guide 中的相应部分。
目录服务器以 nsslapd-changelogtrim-interval 参数中设置的间隔执行修剪操作。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | 0 (唯一最大限制是磁盘大小)到最大 32 位整数(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-changelogmaxentries: 5000 |
目录服务器在 changelog 上重复运行修剪过程。要更改两个运行之间的时间,请更新 nsslapd-changelogtrim-interval 参数并设置间隔(以秒为单位)。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 300 (5 分钟) |
| 语法 | DirectoryString |
| 示例 | nsslapd-changelogtrim-interval: 300 |
此属性指定用于加密更改日志的加密算法。要启用 changelog 加密,必须在目录服务器中安装服务器证书。有关 changelog 的信息,请参考 第 3.1.2.3 节 “nsslapd-changelogdir”。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | AES 或 3DES |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-encryptionalgorithm: AES |
3.1.2.8. nsSymmetricKey
此属性存储内部生成的对称密钥。有关 changelog 的信息,请参考 第 3.1.2.3 节 “nsslapd-changelogdir”。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | 基本 64 编码的密钥 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | 无 |
3.1.3. 更改日志属性
changelog 属性包含更改日志中的更改。
3.1.3.1. 更改
此属性包含对以 LDIF 格式添加和修改操作的条目所做的更改。
| OID | 2.16.840.1.113730.3.1.8 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 | 更改 Internet Draft |
3.1.3.2. changeLog
此属性包含条目的可分辨名称,其中包含由服务器更改日志组成的条目集合。
| OID | 2.16.840.1.113730.3.1.35 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.3. changeNumber
此属性始终存在。它包含一个整数,用于标识对目录条目进行的每个更改。这个数字与发生更改的顺序相关。数值越大,更改越高。
| OID | 2.16.840.1.113730.3.1.5 |
| 语法 | 整数 |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.4. changeTime
此属性在添加条目时以 YYMMDDHHMMSS 格式定义时间。
| OID | 2.16.840.1.113730.3.1.77 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.1.3.5. changeType
此属性指定 LDAP 操作的类型,添加、删除、修改 或 modrdn。例如:
changeType: modify
changeType: modify| OID | 2.16.840.1.113730.3.1.7 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.6. deleteOldRdn
对于 modrdn 操作,此属性指定是否删除了旧的 RDN。
值为零(0)将删除旧的 RDN。任何其它非零值都会保留旧的 RDN。(非零值可以是负数或正整数。)
| OID | 2.16.840.1.113730.3.1.10 |
| 语法 | 布尔值 |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.7. filterInfo
这供 changelog 用于处理复制。
| OID | 2.16.840.1.113730.3.1.206 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.1.3.8. newRdn
对于 modrdn 操作,此属性指定条目的新 RDN。
| OID | 2.16.840.1.113730.3.1.9 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.9. newSuperior
对于 modrdn 操作,此属性为移动条目指定新的父(superior)条目。
| OID | 2.16.840.1.113730.3.1.11 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.10. targetDn
此属性包含受 LDAP 操作影响的条目的 DN。对于 modrdn 操作,targetDn 属性包含条目的 DN,然后再修改或移动。
| OID | 2.16.840.1.113730.3.1.6 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.4. cn=encryption
加密相关的属性存储在 cn=encryption,cn=config 条目下。cn=encryption,cn=config 条目是一个 nsslapdEncryptionConfig 对象类的实例。
3.1.4.1. allowWeakCipher
此属性控制是否允许或拒绝弱密码。默认值取决于 nsSSL3Ciphers 参数中设置的值。
如果出现以下情况,密码被视为弱(弱)
它们可以被导出。
可导出的密码在密码名称中被标记为
EXPORT。例如,在TLS_RSA_EXPORT_WITH_RC4_40_MD5中。它们比 3DES 算法的对称和更弱。
对于加密和解密,对称加密都使用相同的加密密码。
- 密钥长度比 128 位短。
必须重新启动服务器,才能使此属性的更改生效。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 |
|
| 语法 | DirectoryString |
| 示例 | allowWeakCipher: on |
3.1.4.2. allowWeakDHParam
与 Directory Server 相关联的网络安全服务(NSS)库至少需要 2048 位 Diffie-Hellman (DH)参数。但是,一些客户端连接到目录服务器,如 Java 1.6 和 1.7 客户端,只支持 1024 位 DH 参数。allowWeakDHParam 参数允许您启用对目录服务器中弱 1024 位 DH 参数的支持。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | allowWeakDHParam: off |
3.1.4.3. nsSSL3Ciphers
此属性指定在加密通信过程中使用的 TLS 加密加密目录服务器集合。
此参数中设置的值会影响 allowWeakCipher 参数的默认值。详情请查看 第 3.1.4.1 节 “allowWeakCipher”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 以逗号分隔的 NSS 支持的密码列表。另外,也可以以下参数: * 默认 :启用 NSS 公告的默认密码,但弱密码除外。如需更多信息,请参阅 列出 SSL 连接支持的密码套件。
* +all :所有密码都已启用。如果启用了 * -all :禁用所有密码。 |
| 默认值 | default |
| 语法 | DirectoryString
使用加号(
要启用所有密码 - 除 |
| 示例 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
有关如何列出所有支持的密码,请参阅 Red Hat Directory Server Administration Guide 中的相应部分。
3.1.4.4. nsSSLActivation
此属性显示是否为给定安全模块启用 TLS 密码系列。
| 条目 DN | cn=encryptionType,cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsSSLActivation: on |
3.1.4.5. nsSSLClientAuth
此属性显示目录服务器如何强制实施客户端身份验证。它接受以下值:
-
off- 目录服务器不接受客户端身份验证 -
allowed(默认)- 目录服务器接受客户端身份验证,但不要求它 必需- 所有客户端都必须使用客户端身份验证。重要目录服务器控制台不支持客户端身份验证。因此,如果
nsSSLClientAuth属性设置为required,则无法使用控制台来管理实例。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | off | 允许 | 必需 |
| 默认值 | allowed |
| 语法 | DirectoryString |
| 示例 | nsSSLClientAuth: allowed |
3.1.4.6. nsSSLEnabledCiphers
目录服务器自动生成多值 nsSSLEnabledCiphers 属性。属性是只读的,显示当前使用的密码目录服务器。列表可能与您在 nsSSL3Ciphers 属性中设置的不同。例如,如果您在 nsSSL3Ciphers 属性中设置弱密码,但 allowWeakCipher 被禁用,nsSSL EnabledCiphers 属性不会列出弱密码,也不会列出弱密码,也不会使用它们。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 此属性的值是自动生成的和只读。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.7. nsSSLPersonalitySSL
此属性包含用于 SSL 的证书名称。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 证书 nickname |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLPersonalitySSL: Server-Cert |
3.1.4.8. nsSSLSessionTimeout
此属性设置 TLS 连接的生命周期持续时间。最小超时值为 5 秒。如果设置了较小的值,则它会自动替换为 5 秒。大于以下有效范围中最大值的值将被范围中的最大值替换。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效范围 | 5 秒到 24 小时 |
| 默认值 | 0,这意味着使用以上有效范围内的最大值。 |
| 语法 | 整数 |
| 示例 | nsSSLSessionTimeout: 5 |
3.1.4.9. nsSSLSupportedCiphers
此属性包含服务器支持的密码。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 特定的系列、密码和强度字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.10. nsSSLToken
此属性包含服务器使用的令牌(安全模块)的名称。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 模块名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLToken: internal (software) |
3.1.4.11. nsTLS1
启用 TLS 版本 1。与 TLS 一起使用的密码在 nsSSL3Ciphers 属性中定义。
如果 sslVersionMin 和 sslVersionMax 参数与 nsTLS1 结合使用,则目录服务器会选择这些参数中最安全的设置。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsTLS1: on |
3.1.4.12. nsTLSAllowClientRenegotiation
目录服务器使用带有 SSL_ENABLE_RENEGOTIATION 选项的 SSL_OptionSet () 网络安全服务(NSS)函数来控制 NSS 的 TLS 重新协商行为。
nsTLSAllowClientRenegotiation 属性控制 Directory 服务器传递给 SSL_ENABLE_RENEGOTIATION 选项的值:
-
如果您在 上设置了
nsTLSAllowClientRenegotiation:,目录服务器会将SSL_RENEGOTIATE_REQUIRES_XTN传递给SSL_ENABLE_RENEGOTIATION选项。在这种情况下,NSS 允许使用 RFC 5746 的安全重新协商尝试。 -
如果您设置了
nsTLSAllowClientRenegotiation: off,Directory 服务器会将SSL_RENEGOTIATE_NEVER传递给SSL_ENABLE_RENEGOTIATION选项。在这种情况下,NSS 拒绝所有重新协商尝试,甚至是安全的。
有关 NSS TLS 重新协商行为的详情,请查看 红帽受到 TLS 重新协商 MITM 攻击 (CVE-2009-3555)中的 NSS (网络安全服务)中的 RFC 5746 实现 部分?
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsTLSAllowClientRenegotiation: on |
3.1.4.13. sslVersionMin
sslVersionMin 参数设置 TLS 协议目录服务器使用的最低版本。但是,在默认情况下,Directory 服务器会根据系统范围的加密策略自动设置此参数。如果将 /etc/crypto-policies/config 文件中的加密策略配置集设置为:
-
DEFAULT、FUTURE或FIPS,目录服务器将sslVersionMin设置为TLS1.2 -
LEGACY, Directory Server 将sslVersionMin设置为TLS1.0
或者,您可以手动将 sslVersionMin 设置为比加密策略中定义的值更高的值。
必须重启该服务才能使此属性生效。
| 条目 DN | cn=encryption,cn=config |
| 有效值 |
TLS 协议版本,如 |
| 默认值 | 取决于您设置的系统范围的加密策略配置集。 |
| 语法 | DirectoryString |
| 例如: | sslVersionMin: TLS1.2 |
3.1.4.14. sslVersionMax
设置要使用的 TLS 协议的最大版本。默认情况下,这个值被设置为系统中安装的 NSS 库中最新可用协议版本。
必须重新启动服务器,才能使此属性的更改生效。
如果 sslVersionMin 和 sslVersionMax 参数与 nsTLS1 结合使用,则目录服务器会选择这些参数中最安全的设置。
| 条目 DN | cn=encryption,cn=config |
| 有效值 |
TLS 协议版本,如 |
| 默认值 | 在系统中安装的 NSS 库中最新的可用协议版本 |
| 语法 | DirectoryString |
| 例如: | sslVersionMax: TLS1.2 |
3.1.5. cn=features
cn=features 条目本身没有属性。此条目仅用作父容器条目,以及 nsContainer 对象类。
子条目包含一个 oid 属性,用于识别功能和 directoryServerFeature 对象类,以及可选的识别功能信息,如特定 ACL。例如:
3.1.5.1. OID
oid 属性包含分配给目录服务功能的对象标识符。OID 用作这些目录功能的命名属性。
| OID | 2.16.840.1.113730.3.1.215 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
3.1.6. cn=mapping tree
后缀、复制和 Windows 同步的配置属性存储在
cn=mapping tree,cn=config下。与后缀相关的配置属性可在后缀 subentrycn=suffix,cn=mapping tree,cn=config下找到。例如,后缀 是目录树中的 root 条目,如
dc=example,dc=com。-
复制配置属性存储在
cn=replica,cn=后缀,cn=mapping tree,cn=config下。 -
复制协议属性存储在
cn=replicationAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config下。 -
Windows 同步协议属性存储在
cn=syncAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config下。
3.1.7. cn=suffix_DN 下的后缀配置属性
后缀配置存储在 cn="suffix_DN",cn=mapping tree,cn=config 条目下。这些条目是 nsMappingTree 对象类的实例。extensibleObject 对象类启用属于它的条目来保存任何用户属性。对于服务器要考虑的后缀配置属性,除了 顶级 对象类外,这些对象类也必须存在于条目中。
您必须使用引号编写后缀 DN,因为它包含等号(=)、逗号(,)和空格字符等字符。通过使用引号,DN 可以正确地显示为另一个 DN 中的值。例如: cn="dc=example,dc=com",cn=mapping tree,cn=config
详情请查看 Directory Server Administration Guide 中的对应部分。
3.1.7.1. cn
这个强制属性设置新后缀的相对可分辨名称(RDN)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 LDAP DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: dn=example,dc=com |
3.1.7.2. nsslapd-backend
此参数设置用于处理请求的数据库或数据库链接的名称。它是多值,每个值有一个数据库或数据库链接。当 nsslapd-state 属性的值设置为 update 上的 。
backend 或 referral 时,需要此属性
将值设为 cn=ldbm database,cn=plugins,cn=config 下的后端数据库条目实例的名称。例如: o=userroot,cn=ldbm database,cn=plugins,cn=config
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的分区名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-backend: userRoot |
3.1.7.3. nsslapd-distribution-function
nssldap-distribution-function 参数设置自定义分发功能的名称。当您在 nsslapd-backend 属性中设置多个数据库时,您必须设置此属性。
有关自定义分发功能的详情,请参阅 Directory Server Administration Guide 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的发布功能 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-distribution-plugin: distribution_function_name |
3.1.7.4. nsslapd-distribution-plugin
nssldap-distribution-plugin 设置要与自定义分发功能一起使用的共享库。当您在 nsslapd-backend 属性中设置多个数据库时,您必须设置此属性。
有关自定义分发功能的详情,请参阅 Directory Server Administration Guide 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的分发插件 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-distribution-plugin: /path/to/shared/library |
3.1.7.5. nsslapd-parent
如果要创建子后缀,请使用 nsslapd-parent 属性来定义父后缀。
如果没有设置属性,则会创建新后缀作为 root 后缀。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的分区名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-parent-suffix: dc=example,dc=com |
3.1.7.6. nsslapd-referral
此属性将引用的 LDAP URL 设置为由后缀返回。您可以多次添加 nssldap-referral 属性来设置多个引用 URL。
如果将 nsslapd-state 参数设置为 引用 或更新 时,您必须设置此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssldap-referral: ldap://example.com/ |
3.1.7.7. nsslapd-state
此参数决定后缀处理操作的方式。属性采用以下值:
-
后端:后端数据库处理所有操作。 -
disabled:数据库不适用于处理操作。服务器会返回No such search objecterror,以响应客户端应用程序发出的请求。 -
引用:目录服务器返回给此后缀的请求的引用 URL。 -
更新引用:数据库用于所有操作。仅针对更新请求是发送的引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 后端 | 禁用 | 引用 | 更新引用 |
| 默认值 | 后端 |
| 语法 | DirectoryString |
| 示例 | nsslapd-state: backend |
复制配置属性存储在 cn=replica,cn=后缀,cn=mapping tree,cn=config 下。cn=replica 条目是 nsDS5Replica 对象类的实例。对于服务器要考虑的复制配置属性,该条目中必须存在此对象类(除 顶级 对象类除外)。有关复制的更多信息,请参阅 红帽目录服务器管理指南 中的"管理复制"一章。
cn=replica,cn=后缀,cn=mapping tree,cn=config 条目必须包含以下对象类:
-
top -
extensibleObject -
nsds5replica
3.1.8.1. cn
为副本设置 naming 属性。cn 属性必须设置为 replica。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
该值必须设置为 |
| 默认值 | replica |
| 语法 | DirectoryString |
| 示例 | cn=replica |
3.1.8.2. nsds5DebugReplicaTimeout
此属性提供一个替代的超时时间,以便在使用 debug 日志记录运行时使用。这只能设置时间和 debug 级别:
nsds5debugreplicatimeout: seconds[:debuglevel]
nsds5debugreplicatimeout: seconds[:debuglevel]| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何数字字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5debugreplicatimeout: 60:8192 |
3.1.8.3. nsDS5Flags
此属性设置之前在标志中定义的副本属性。目前只有一个标记,它会设置日志更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 * 0 :副本不会写入更改日志 ; 这是消费者的默认值。 * 1: 副本写入更改日志;这是 hub 和供应商的默认值。 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsDS5Flags: 0 |
3.1.8.4. nsDS5ReplConflict
虽然此属性不在 cn=replica 条目中,但它与复制结合使用。这个多值属性包含在具有更改冲突的条目中,这些冲突无法被同步过程自动解析。要检查需要管理员干预的复制冲突,请执行 LDAP 搜索(nsDS5ReplConflictswig)。例如:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID
使用搜索过滤器 " (objectclass=nsTombstone) " 还会显示 tombstone (deleted)条目。nsDS5ReplConflict 的值包含有关哪些条目处于冲突的更多信息,通常是通过其 nsUniqueID 引用它们。可以通过其 nsUniqueID 搜索 tombstone 条目。例如:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"3.1.8.5. nsDS5ReplicaAutoReferral
此属性设置目录服务器是否遵循为数据库配置了引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaAutoReferral: on |
3.1.8.6. nsState
此属性将信息存储在时钟的状态上。它仅用于内部使用,以确保服务器无法为检测向后兼容性错误所需的更改序列号(csn)产生更改序列号(csn)。
3.1.8.7. nsDS5ReplicaAbortCleanRUV
这个 read-only 属性指定在过时的或缺失的供应商被中止的后台任务。有关此任务的更多信息,请参阅 第 3.1.16.13 节 “cn=abort cleanallruv”。0 表示任务处于不活跃状态,值为 1 表示该任务处于活动状态。
存在此属性,允许在服务器重启后恢复 abort 任务。任务完成后,属性将被删除。
如果手动设置这个值,服务器会忽略修改请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaAbortCleanRUV: 1 |
3.1.8.8. nsds5ReplicaBackoffMin 和 nsds5ReplicaBackoffMax
这些属性用于具有大量复制流量的环境中,需要尽可能快地发送更新。
默认情况下,如果远程副本忙碌,复制协议将进入"避退"状态,它将重试,以在 back-off 计时器的下一个间隔中发送更新。默认情况下,计时器从 3 秒开始,最长等待时间为 5 分钟。因为这些默认设置在某些情况下可能还不够,所以您可以使用 nsds5ReplicaBackoffMin 和 nsds5ReplicaBackoffMax 来配置最小和最大等待时间。
配置设置可以在服务器在线时应用,不需要重新启动服务器。如果使用无效的设置,则使用默认值。必须通过 CLI 工具处理配置。
3.1.8.9. nsDS5ReplicaBindDN
此多值属性指定绑定时要使用的 DN。虽然此 cn=replica 条目中可以有多个值,但每个复制协议只能有一个供应商绑定 DN。每个值都应该是消费者服务器上本地条目的 DN。如果复制供应商使用基于客户端证书的身份验证来连接到消费者,请在消费者上配置证书映射,将证书中的 subjectDN 映射到本地条目。
为安全起见,请不要将此属性设置为 cn=Directory Manager。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.8.10. nsDS5ReplicaBindDNGroup
nsDS5ReplicaBindDNGroup 属性指定组 DN。然后,此组会扩展,其成员(包括其子组的成员)会在启动时或修改副本对象时添加到 replicaBindDNs 属性中。这会扩展 nsDS5ReplicaBindDN 属性提供的当前功能,因为它允许设置组 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的组 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaBindDNGroup: cn=sample_group,ou=groups,dc=example,dc=com |
3.1.8.11. nsDS5ReplicaBindDNGroupCheckInterval
目录服务器检查 nsDS5ReplicaBindDNGroup 属性中指定的组中的任何更改,并相应地自动重建 replicaBindDN 参数的列表。这些操作对性能有负面影响,因此仅在 nsDS5ReplicaBindDNGroupCheckInterval 属性中设置的指定间隔执行。
此属性接受以下值:
-
-1:在运行时禁用动态检查。当nsDS5ReplicaBindDNGroup属性发生变化时,管理员必须重启实例。 -
0:目录服务器会在组更改后立即重建列表。 - 任何正 32 位整数值:自上次重新构建以来需要经过的最小秒数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | -1 最多 32 位整数(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaBindDNGroupCheckInterval: 0 |
3.1.8.12. nsDS5ReplicaChangeCount
此 read-only 属性显示更改日志中的条目总数,以及它们是否仍然被复制。当更改被清除后,只有仍要复制的条目才会保留。
有关清除操作属性的更多信息,请参阅 第 3.1.8.18 节 “nsDS5ReplicaPurgeDelay” 和 第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | -1 最多 32 位整数(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaChangeCount: 675 |
3.1.8.13. nsDS5ReplicaCleanRUV
此 read-only 属性指定为过时或缺失的供应商是否活跃删除旧 RUV 条目的后台任务。有关此任务的更多信息,请参阅 第 3.1.16.12 节 “cn=cleanallruv”。0 表示任务处于不活跃状态,值为 1 表示该任务处于活动状态。
存在此属性,允许在服务器重启后恢复清理任务。任务完成后,属性将被删除。
如果手动设置这个值,服务器会忽略修改请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaCleanRUV: 0 |
3.1.8.14. nsDS5ReplicaId
此属性为给定复制环境中的供应商设置唯一 ID。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 |
对于供应商:
对于消费者和 hub:655 |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaId: 1 |
3.1.8.15. nsDS5ReplicaLegacyConsumer
如果此属性不存在或者值为 false,这表示副本不是旧的消费者。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaLegacyConsumer: false |
3.1.8.16. nsDS5ReplicaName
此属性指定副本的名称,并带有内部操作的唯一标识符。如果没有指定,则在创建副本时服务器会分配这个唯一标识符。
建议允许服务器生成此名称。然而,在某些情况下,例如在副本角色更改(与 hub 等等)中,需要指定这个值。否则,服务器将不会使用正确的 changelog 数据库,复制会失败。
此属性仅用于内部使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | |
| 默认值 | |
| 语法 | DirectoryString (UID 标识副本) |
| 示例 | nsDS5ReplicaName: 66a2b699-1dd211b2-807fa9c3-a58714648 |
3.1.8.17. nsds5ReplicaProtocolTimeout
当停止服务器、禁用复制或删除复制协议时,在服务器处于负载时,在停止复制前需要等待的时间。nsds5ReplicaProtocolTimeout 属性可用于配置此超时,其默认值为 120 秒。
有些情况下,超时时间太长,或者不够长。例如,在关闭期间结束复制会话前,特定的复制协议可能需要更长的时间。
此属性可以添加到后端的主复制配置条目中:
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
| 有效范围 | 0 到最大 32 位整数(2147483647) (以秒为单位) |
| 默认值 | 120 |
| 语法 | 整数 |
| 示例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 属性也可以添加到复制协议中。复制协议协议超时覆盖主副本配置条目中设置的超时。这允许不同复制协议的不同超时。如果复制会话正在进行,新的超时将中止该会话并允许服务器关闭。
3.1.8.18. nsDS5ReplicaPurgeDelay
此属性控制已删除条目(tombstone 条目)和状态信息的最长期限。
目录服务器存储 tombstone 条目和状态信息,以便在多层次复制过程中发生冲突时,服务器会根据更改序列号中存储的时间戳和副本 ID 解决冲突。
内部目录服务器内务处理操作定期删除超过此属性值的 tombstone 条目(以秒为单位)。当修改包含状态信息的条目时,会删除超过 nsDS5ReplicaPurgeDelay 值的状态信息。
并非所有 tombstone 和状态信息可能会被删除,因为使用多层次复制,服务器可能需要保留少量的最新更新,即使它们比属性值旧。
此属性指定对条目执行内部清除操作的时间间隔(以秒为单位)。在设置此属性时,请确保清除延迟比复制策略中最长复制周期长,以保留足够信息来解决复制冲突,并防止存储在不同服务器中的数据副本进行分割。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 (永久保留)最大 32 位整数(2147483647) |
| 默认值 | 604800 [1 week (60x60x24x7)] |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaPurgeDelay: 604800 |
3.1.8.19. nsDS5ReplicaReapActive
此 read-only 属性指定从数据库中删除旧 tombstones (删除条目)的后台任务是否活跃。有关此任务的更多信息,请参阅 第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。0 表示任务处于不活跃状态,值为 1 表示该任务处于活动状态。如果手动设置这个值,服务器会忽略修改请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaReapActive: 0 |
3.1.8.20. nsDS5ReplicaReferral
此多值属性指定用户定义的引用。这应该只在消费者上定义。只有在客户端试图修改只读消费者上的数据时,才会返回用户引用。此可选引用覆盖由消费者由复制协议自动配置的引用。
URL 可以使用 ldap[s]://host_name:port_number 或 ldap[s]://IP_address:port_number,其格式为 IPv4 或 IPv6 地址。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaReferral: ldap://server.example.com:389 |
3.1.8.21. nsDS5ReplicaReleaseTimeout
此属性在多层次场景中用于供应商和 hub 时,决定供应商发布副本后的超时时间(以秒为单位)。当如网络连接缓慢的问题导致一个供应商获取对副本的访问并长时间保存它时,这非常有用,从而导致所有其他供应商访问它并发送更新。如果设置了此属性,则供应商会在指定周期后发布副本,从而提高了复制性能。
将此属性设置为 0 可禁用超时。任何其它值都决定超时的长度(以秒为单位)。
避免将此属性设置为 1 到 30 之间的值。在大多数情况下,简短的超时会降低复制性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 到最大 32 位整数(2147483647) (以秒为单位) |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaReleaseTimeout: 60 |
3.1.8.22. nsDS5ReplicaRoot
此属性在复制区域的根目录中设置 DN。此属性必须具有与要复制的数据库的后缀相同的值,且无法修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 要复制的数据库的后缀,即后缀 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.8.23. nsDS5ReplicaTombstonePurgeInterval
此属性指定清除操作周期之间的时间间隔(以秒为单位)。
服务器定期运行内部内务操作,从更改日志和主数据库中清除旧的更新和状态信息。请参阅 第 3.1.8.18 节 “nsDS5ReplicaPurgeDelay”。
在设置此属性时,请记住清除操作非常耗时,特别是当服务器处理来自客户端和供应商的许多删除操作时。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 到最大 32 位整数(2147483647) (以秒为单位) |
| 默认值 | 86400 (1 天) |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaTombstonePurgeInterval: 86400 |
3.1.8.24. nsDS5ReplicaType
定义此副本和其它副本之间存在的复制关系类型。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 | 2 | 3 * 0 表示未知 * 1 表示主(尚未使用) * 2 表示消费者(只读) * 3 consumer/supplier (updateable) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaType: 2 |
3.1.8.25. nsds5Task
此属性启动一个复制任务,如将数据库内容转储到 LDIF 文件或从复制拓扑中删除过时的供应商。
您可以将 nsds5Task 属性设置为以下值之一:
-
cl2ldif: 将更改日志导出到/var/lib/dirsrv/slapd-instance_name/changelogdb/目录中的 LDIF 文件。 -
ldif2cl:从存储在/var/lib/dirsrv/slapd-instance_name/changelogdb/目录中的 LDIF 文件中导入 changelog。 -
cleanruv: 从运行操作的供应商中删除 Replica Update Vector (RUV)。 -
cleanallruv: 从复制拓扑中的所有服务器中删除 RUV。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
*
*
*
* |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5Task: cleanallruv |
涉及复制协议的复制属性存储在 cn=ReplicationAgreementName,cn=replica,cn=suffixDN 下,cn=mapping tree,cn=config。cn=ReplicationAgreementName 条目是 nsDS5ReplicationAgreement 对象类的实例。复制协议仅在供应商副本上配置。
3.1.9.1. cn
此属性用于命名。设置此属性后,将无法修改它。设置复制协议需要此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
任何有效的 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: vendorAtoSupplierB |
3.1.9.2. description
自由格式复制协议的文本描述。可以修改此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | 描述 :服务器 A 和 Server B 之间的复制协议。 |
3.1.9.3. nsDS5ReplicaBindDN
此属性设置在复制过程中绑定到消费者时使用的 DN。此属性的值必须与消费者副本的 cn=replica 中的值相同。如果使用基于证书的身份验证,则这可能为空,在这种情况下,所使用的 DN 是证书的主题 DN,并且消费者必须启用适当的客户端证书映射。也可以修改它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 DN (如果使用客户端证书,则可以为空) |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.9.4. nsDS5ReplicaBindMethod
此属性设置用于绑定到消费者服务器的服务器的方法。
nsDS5ReplicaBindMethod 支持以下值:
-
空或
SIMPLE:服务器使用基于密码的身份验证。使用此绑定方法时,还要设置nsds5ReplicaBindDN和nsds5ReplicaCredentials参数,以提供用户名和密码。 -
SSLCLIENTAUTH:启用供应商和消费者之间的基于证书的身份验证。为此,消费者服务器必须配置了一个证书映射,才能将供应商的证书映射到复制管理器条目。 SASL/GSSAPI:使用 SASL 启用 Kerberos 身份验证。这要求供应商服务器具有 Kerberos keytab,并且消费者服务器配置为将供应商的 Kerberos 主体映射到复制管理器条目。详情请查看 Red Hat Directory Server Administration Guide 中的以下部分:
-
SASL/DIGEST-MD5:使用带有DIGEST-MD5机制的 SASL 启用基于密码的身份验证。使用此绑定方法时,还要设置nsds5ReplicaBindDN和nsds5ReplicaCredentials参数,以提供用户名和密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
| 默认值 | SIMPLE |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaBindMethod: SIMPLE |
3.1.9.5. nsds5ReplicaBootstrapBindDN
nsds5ReplicaBootstrapBindDN 参数设置 fall-back 绑定可分辨名称(DN),当供应商因为 LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)或 LDAP_NO_SUCH_OBJECT (err=48)、LDAP_INAPPROPRIATE_AUTH (err=48) 或 LDAP_NO_SUCH_OBJECT (err=32) 错误而绑定消费者。
在这些情况下,目录服务器使用 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也无法使用这些 bootstrap 设置建立连接,服务器将停止尝试连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaBootstrapBindDN: cn=replication manager,cn=config |
3.1.9.6. nsds5ReplicaBootstrapBindMethod
nsds5ReplicaBootstrapBindMethod 参数设置当供应商因为 LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48) 或 LDAP_NO_SUCH_OBJECT (err=32) 错误而用来绑定消费者的密码。
在这些情况下,目录服务器使用 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也无法使用这些 bootstrap 设置建立连接,服务器将停止尝试连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaBootstrapBindMethod: SIMPLE |
3.1.9.7. nsds5ReplicaBootstrapCredentials
nsds5ReplicaBootstrapCredentials 参数设置 fall-back 绑定可分辨名称(DN)的密码,当供应商因为 LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)或 LDAP_NO_SUCH_OBJECT (err=48)、LDAP_INAPPROPRIATE_AUTH (err=48) 或 LDAP_NO_SUCH_OBJECT (err=32) 错误而设置消费者的密码。
在这些情况下,目录服务器使用 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也无法使用这些 bootstrap 设置建立连接,服务器将停止尝试连接。
当您以明文形式设置参数时,目录服务器会自动使用 AES 逆转密码加密算法哈希密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的字符串。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaBootstrapCredentials: password |
3.1.9.8. nsds5ReplicaBootstrapTransportInfo
nsds5ReplicaBootstrapTransportInfo 参数设置到连接的加密方法,以及从 Directory 服务器使用的副本设置在供应商因为 LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)或 LDAP_NO_SUCH_OBJECT (err=48)、LDAP_INAPPROPRIATE_AUTH (err=48) 或 LDAP_NO_SUCH_OBJECT (err =49)错误。
在这些情况下,目录服务器使用 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也无法使用这些 bootstrap 设置建立连接,服务器将停止尝试连接。
属性采用以下值:
-
TLS:连接使用StartTLS命令来启动加密。 -
SSL:连接使用带有 TLS 加密的 LDAPS。 -
LDAP:连接没有加密。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | TLS | SSL | LDAP |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaBootstrapTransportInfo: SSL |
3.1.9.9. nsDS5ReplicaBusyWaitTime
此属性设定供应商在消费者发送一个忙碌响应后应等待的时间(以秒为单位),然后再进行另一个尝试获取访问权限。默认值为 3 (3)秒。如果将属性设置为负值,Directory 服务器会向客户端发送消息和 LDAP_UNWILLING_TO_PERFORM 错误代码。
nsDS5ReplicaBusyWaitTime 属性与 nsDS5ReplicaSessionPauseTime 属性一起工作。两个属性被设计,因此 nsDS5ReplicaSessionPauseTime 间隔至少会超过为 nsDS5ReplicaBusyWaitTime 指定的时间间隔。在之前的供应商可以重新访问消费者之前,等待的供应商可以更好地获得消费者访问权限。
使用 changetype:modify 和 replace 操作随时设置 nsDS5ReplicaBusyWaitTime 属性。如果已在进行中,这个更改会对下一次更新会话生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的整数 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaBusyWaitTime: 3 |
3.1.9.10. nsDS5ReplicaChangesSentSinceStartup
此 read-only 属性显示发送到此副本的更改数,自服务器启动以来。属性中的实际值存储为二进制 blob;在 Directory Server 控制台中,这个值是一个比例,格式为 replica_id:changes_sent/changes_skipped。例如,对于 100 个更改,replica 7 跳过了 100 个更改,其属性值在控制台中显示为 7:100/0。
在命令行中,属性值以二进制形式显示。例如:
nsds5replicaChangesSentSinceStartup:: MToxLzAg
nsds5replicaChangesSentSinceStartup:: MToxLzAg| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 最多 32 位整数(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsds5replicaChangesSentSinceStartup:: MToxLzAg |
3.1.9.11. nsDS5ReplicaCredentials
此属性设置 nsDS5ReplicaBindDN 属性中指定的绑定 DN 的凭证。目录服务器使用此密码连接到消费者。
以下示例显示了加密值,存储在 /etc/dirsrv/slapd-instance_name/dse.ldif 文件中,而不是实际密码。要设置值,请使用明文设置,如 nsDS5ReplicaCredentials: password。然后,目录服务器在存储值时使用 AES 递归密码加密模式的密码。
当您使用基于证书的身份验证时,此属性没有设置值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的密码 |
| 默认值 | |
| 语法 | DirectoryString {AES-Base64-algorithm-id}encoded_password |
| 示例 | nsDS5ReplicaCredentials: {AES-TUhNR0NT…}VoglUB8G5A… |
3.1.9.12. nsds5ReplicaEnabled
此属性设置复制协议是否活跃,这意味着每个协议是否发生复制。默认为 on,因此启用了复制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaEnabled: off |
3.1.9.13. nsds5ReplicaFlowControlPause
此参数在到达 nsds5ReplicaFlowControlWindow 参数中设置的条目数后,将时间(毫秒)设置为暂停。更新 nsds5ReplicaFlowControlWindow 和 nsds5ReplicaFlowControlPause 参数,以便您微调复制吞吐量。详情请查看 第 3.1.9.14 节 “nsds5ReplicaFlowControlWindow”。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 0 到最大 64 位长 |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsds5ReplicaFlowControlPause: 2000 |
3.1.9.14. nsds5ReplicaFlowControlWindow
此属性设置供应商发送的最大条目数和更新,这些更新没有被消费者确认。达到限制后,供应商暂停 nsds5ReplicaFlowControlPause 参数中设置的时间的复制协议。更新 nsds5ReplicaFlowControlWindow 和 nsds5ReplicaFlowControlPause 参数,以便您微调复制吞吐量。
如果供应商发送条目和更新比消费者可以导入或更新的速度快,请更新此设置,并确认数据。在这种情况下,以下信息会在供应商的错误日志文件中记录:
Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy]) If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration
Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy])
If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 0 到最大 64 位长 |
| 默认值 | 1000 |
| 语法 | 整数 |
| 示例 | nsds5ReplicaFlowControlWindow: 1000 |
3.1.9.15. nsDS5ReplicaHost
此属性为包含消费者副本的远程服务器设置主机名。设置此属性后,将无法修改它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的主机服务器名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaHost: ldap2.example.com |
3.1.9.16. nsDS5ReplicaLastInitEnd
当初始化消费者副本时,这个可选、只读属性状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
yyyymmddHHMMSSZ 是打开连接的 Generalized Time 表单的日期/时间。此值提供了与 Greenwich Mean Time 相关的时间。小时被设置为 24 小时时钟。末尾的 |
| 默认值 | |
| 语法 | GeneralizedTime |
| 示例 | nsDS5ReplicaLastInitEnd: 20200504121603Z |
3.1.9.17. nsDS5ReplicaLastInitStart
当初始化消费者副本时,这个可选、只读属性状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
yyyymmddHHMMSSZ 是打开连接的 Generalized Time 表单的日期/时间。此值提供了与 Greenwich Mean Time 相关的时间。小时被设置为 24 小时时钟。末尾的 |
| 默认值 | |
| 语法 | GeneralizedTime |
| 示例 | nsDS5ReplicaLastInitStart: 20200503030405 |
3.1.9.18. nsDS5ReplicaLastInitStatus
此可选,只读属性为消费者初始化提供状态。通常有一个数字代码,后面是一个简短字符串,说明其状态。零(0)表示成功。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 (consumer Initialization Succeeded),后跟任何其他状态消息。 |
| 默认值 | |
| 语法 | 字符串 |
| 示例 | nsDS5ReplicaLastInitStatus: 0 Consumer Initialization Succeeded |
3.1.9.19. nsDS5ReplicaLastUpdateEnd
当最新的复制调度更新终止时,此 read-only 属性状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
yyyymmddHHMMSSZ 是打开连接的 Generalized Time 表单的日期/时间。此值提供了与 Greenwich Mean Time 相关的时间。小时被设置为 24 小时时钟。末尾的 |
| 默认值 | |
| 语法 | GeneralizedTime |
| 示例 | nsDS5ReplicaLastUpdateEnd: 20200502175801Z |
3.1.9.20. nsDS5ReplicaLastUpdateStart
当最新的复制调度更新启动时,这个 read-only 属性状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
yyyymmddHHMMSSZ 是打开连接的 Generalized Time 表单的日期/时间。此值提供了与 Greenwich Mean Time 相关的时间。小时被设置为 24 小时时钟。末尾的 |
| 默认值 | |
| 语法 | GeneralizedTime |
| 示例 | nsDS5ReplicaLastUpdateStart: 20200504122055Z |
3.1.9.21. nsds5replicaLastUpdateStatus
在每个复制协议的只读 nsds5replicaLastUpdateStatus 属性中,Directory 服务器会显示协议的最新状态。有关状态列表,请参阅 附录 B, 复制协议状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 请参阅 附录 B, 复制协议状态。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5replicaLastUpdateStatus: Error (0) Replica getting successfully: Incremental update successfully |
3.1.9.22. nsDS5ReplicaPort
此属性设置包含副本的远程服务器的端口号。设置此属性后,将无法修改它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 包含副本的远程服务器的端口号 |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaPort:389 |
3.1.9.23. nsDS5ReplicaReapActive
此 read-only 属性指定从数据库中删除旧 tombstones (删除条目)的后台任务是否活跃。有关此任务的更多信息,请参阅 第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。值为零(0)表示该任务不活跃,值 1 表示该任务处于活动状态。如果手动设置这个值,服务器会忽略修改请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaReapActive: 0 |
3.1.9.24. nsDS5BeginReplicaRefresh
初始化副本。此属性默认不存在。但是,如果添加此属性的值为 start,则服务器会初始化副本并删除属性值。要监控初始化过程的状态,请轮询此属性。初始化完成后,属性会从条目中删除,其他监控属性可用于详细状态查询。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 停止 | start |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5BeginReplicaRefresh: start |
3.1.9.25. nsDS5ReplicaRoot
此属性在复制区域的根目录中设置 DN。此属性必须具有与要复制的数据库的后缀相同的值,且无法修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 要复制的数据库的后缀 - 与上面的 suffixDN 相同 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.9.26. nsDS5ReplicaSessionPauseTime
此属性设定供应商应在更新会话之间等待的时间(以秒为单位)。默认值为 0。如果将属性设置为负值,Directory 服务器会向客户端发送消息和 LDAP_UNWILLING_TO_PERFORM 错误代码。
nsDS5ReplicaSessionPauseTime 属性与 nsDS5ReplicaBusyWaitTime 属性一起工作。两个属性被设计,因此 nsDS5ReplicaSessionPauseTime 间隔至少会超过为 nsDS5ReplicaBusyWaitTime 指定的时间间隔。在之前的供应商可以重新访问消费者之前,等待的供应商可以更好地获得消费者访问权限。
-
如果指定了任何一个属性,但没有同时指定,则
nsDS5ReplicaSessionPauseTime会自动设置为1秒超过nsDS5ReplicaBusyWaitTime。 -
如果指定了这两个属性,但
nsDS5ReplicaSessionPauseTime小于或等于nsDS5ReplicaBusyWaitTime,nsDS5ReplicaSessionPauseTime会自动设置为1秒超过nsDS5ReplicaBusyWaitTime。
在设置值时,请确保 nsDS5ReplicaSessionPauseTime 间隔至少为 1 秒的时间超过 nsDS5ReplicaBusyWaitTime 指定的时间间隔。根据需要增加间隔,直到供应商之间有可接受的使用者访问分布。
使用 changetype:modify 和 replace 操作随时设置 nsDS5ReplicaSessionPauseTime 属性。如果已在进行中,这个更改会对下一次更新会话生效。
如果目录服务器必须自动重置 nsDS5ReplicaSessionPauseTime 的值,则该值只会在内部更改。更改对客户端不可见,它没有保存到配置文件中。在外部视角中,属性值显示为最初设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaSessionPauseTime: 0 |
3.1.9.27. nsds5ReplicaStripAttrs
部分复制允许列出从复制更新中删除的属性(nsDS5ReplicatedAttributeList)。但是,对 exclude 属性的更改仍然会触发修改事件并生成空复制更新。
nsds5ReplicaStripAttrs 属性添加无法在空复制事件中发送的属性列表,并从更新序列中分离。这种逻辑上包括操作 attribtes,如 modifiersName。
如果复制事件 不为空,则会复制 剥离 的属性。只有事件为 emtpy 时,才会从更新中删除这些属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 任何支持的目录属性的空格分隔列表 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaStripAttrs: modifiersname modifytimestamp |
3.1.9.28. nsDS5ReplicatedAttributeList
此 allowed 属性指定 没有复制到 消费者服务器的任何属性。部分复制允许在缓慢的连接间复制数据库,或更少的安全消费者,同时仍然保护敏感信息。默认情况下,所有属性都会被复制,此属性不存在。有关部分复制的更多信息,请参阅 红帽目录服务器管理指南 中的"管理复制"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicatedAttributeList: (objectclass swig)$ EXCLUDE accountlockout memberof |
3.1.9.29. nsDS5ReplicatedAttributeListTotal
此 allowed 属性指定在整体更新期间没有复制到消费者服务器的任何属性。
部分复制仅复制指定的属性。这提高了整体网络性能。但是,在有些情况下,管理员希望在增量更新过程中使用部分复制来限制某些属性,但允许整个更新过程中复制这些属性(或反过)。
默认情况下,所有属性都会被复制。nsDS5ReplicatedAttributeList 设置增量复制列表;如果只设置 nsDS5ReplicatedAttributeList,则此列表也适用于总更新。
nsDS5ReplicatedAttributeListTotal 将属性列表设置为只从总更新中排除。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicatedAttributeListTotal: (objectclass swig)$ EXCLUDE accountlockout |
3.1.9.30. nsDS5ReplicaTimeout
此 allowed 属性指定出站 LDAP 操作在超时和失败时等待来自远程副本的响应的秒数。如果服务器在错误日志文件中写入 Warning: timed out waiting 消息,则增加此属性的值。
通过检查远程计算机上的访问日志,查找操作实际的时间,然后相应地设置 nsDS5ReplicaTimeout 属性以优化性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) (以秒为单位) |
| 默认值 | 120 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaTimeout: 120 |
3.1.9.31. nsDS5ReplicaTransportInfo
此属性设定用于向副本和从副本传输数据的传输类型。设置后无法更改此属性。
属性采用以下值:
-
STARTTLS:使用StartTLS命令连接使用加密。 -
LDAPS:连接使用 TLS 加密。 -
LDAP:连接使用未加密的 LDAP 协议。如果没有设置nsDS5ReplicaTransportInfo属性,也会使用这个值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | STARTTLS | LDAPS | LDAP |
| 默认值 | absent |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaTransportInfo: StartTLS |
3.1.9.32. nsDS5ReplicaUpdateInProgress
这个 read-only 属性显示复制更新是否在进行中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | true | false |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaUpdateInProgress: true |
3.1.9.33. nsDS5ReplicaUpdateSchedule
此多值属性指定复制调度并可以被修改。对此属性所做的更改会立即生效。修改此值对于暂停复制并稍后恢复非常有用。例如,如果此值设为 0000-0001 0, 则这将使服务器停止发送此复制协议的更新。服务器将继续将它们存储,以便稍后重新显示。如果该值稍后更改为 0000-2359 0123456,这会使复制立即恢复并发送所有待处理的更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 以 XXXX-YYYY 0123456 的形式显示的时间调度,其中 XXXX 是起始小时,YYYY 为结束小时,数字 0123456 是以 Sunday 开始的星期几。 |
| 默认值 | 0000-2359 0123456 (所有时间) |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaUpdateSchedule: 0000-2359 0123456 |
3.1.9.34. nsDS5ReplicaWaitForAsyncResults
在复制环境中,nsDS5ReplicaWaitForAsyncResults 参数设置供应商在重新发送数据前等待消费者是否未就绪的时间(以毫秒为单位)。
请注意,如果您 将参数设置为 0,则使用默认值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 最多 32 位整数(2147483647) |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaWaitForAsyncResults: 100 |
3.1.9.35. nsDS50ruv
此属性存储从此复制协议的消费者读取的最后一个副本更新向量(RUV)。它始终存在,不得更改。
3.1.9.36. nsruvReplicaLastModified
此属性包含修改副本中的条目并更新更改的最新时间。
3.1.9.37. nsds5ReplicaProtocolTimeout
当停止服务器、禁用复制或删除复制协议时,在服务器处于负载时,在停止复制前需要等待的时间。nsds5ReplicaProtocolTimeout 属性可用于配置此超时,其默认值为 120 秒。
有些情况下,超时时间太长,或者不够长。例如,在关闭期间结束复制会话前,特定的复制协议可能需要更长的时间。
此属性可以添加到后端的主复制配置条目中:
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
| 有效范围 | 0 到最大 32 位整数(2147483647) (以秒为单位) |
| 默认值 | 120 |
| 语法 | 整数 |
| 示例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 属性也可以添加到复制协议中。复制协议协议超时覆盖主副本配置条目中设置的超时。这允许不同复制协议的不同超时。如果复制会话正在进行,新的超时将中止该会话并允许服务器关闭。
涉及同步协议的同步属性存储在 cn=syncAgreementName,cn=WindowsReplica,cn=suffixDN 下,cn=mapping tree,cn=config。cn=syncAgreementName 条目是 nsDSWindowsReplicationAgreement 对象类的实例。对于服务器要考虑的同步协议配置属性,该条目中必须存在此对象类(除 顶级 对象类除外)。只有在启用与 Windows Active Directory 服务器同步的数据库上配置同步协议。
| cn | nsDS5ReplicaLastUpdateEnd |
| description | nsDS5ReplicaLastUpdateStart |
| nsDS5ReplicaBindDN (Windows 同步管理器 ID) | nsDS5ReplicaLastUpdateStatus |
| nsDS5ReplicaBindMethod | nsDS5ReplicaPort |
| nsDS5ReplicaBusyWaitTime | nsDS5ReplicaRoot |
| nsDS5ReplicaChangesSentSinceStartup | nsDS5ReplicaSessionPauseTime |
| nsDS5ReplicaCredentials (Windows 同步管理器密码) | nsDS5ReplicaTimeout |
| nsDS5ReplicaHost (Windows 主机) | nsDS5ReplicaTransportInfo |
| nsDS5ReplicaLastInitEnd | nsDS5ReplicaUpdateInProgress |
| nsDS5ReplicaLastInitStart | nsDS5ReplicaUpdateSchedule |
| nsDS5ReplicaLastInitStatus | nsDS50ruv |
| winSyncMoveAction | winSyncInterval |
| nsds5ReplicaStripAttrs |
3.1.10.1. nsds7DirectoryReplicaSubtree
正在同步的 Directory 服务器子树的后缀或 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的后缀或子修复 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7DirectoryReplicaSubtree: ou=People,dc=example,dc=com |
3.1.10.2. nsds7DirsyncCookie
这个字符串由 Active Directory DirSync 创建,并在最后一次同步时提供 Active Directory 服务器的状态。旧 Cookie 随每个目录服务器更新一起发送到 Active Directory;与 Windows 目录数据一起返回一个新的 Cookie。这意味着仅检索自上次同步以来更改的条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7DirsyncCookie::khDKJFBZsjBDSCkjsdhIU74DJJVBXDhfvjmfvbhzxj |
3.1.10.3. nsds7NewWinGroupSyncEnabled
此属性通过在 Directory Server 上创建新组来设置在 Windows sync peer 中创建的新组是否可以自动同步。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7NewWinGroupSyncEnabled: on |
3.1.10.4. nsds7NewWinUserSyncEnabled
此属性通过在 Directory 服务器上创建新条目来设置在 Windows sync peer 中创建的新条目是否被自动同步。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7NewWinUserSyncEnabled: on |
3.1.10.5. nsds7WindowsDomain
此属性设置 Windows 同步对等所属的 Windows 域名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的域名 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7WinndowsDomain: DOMAINWORLD |
3.1.10.6. nsds7WindowsReplicaSubtree
正在同步的 Windows 子树的后缀或 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的后缀或子suffix |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7WindowsReplicaSubtree: cn=Users,dc=domain,dc=com |
3.1.10.7. oneWaySync
此属性设置执行同步的方向。这可以从 Active Directory 服务器到 Directory 服务器,或者从 Directory 服务器到 Active Directory 服务器。
如果缺少此属性(默认),则同步协议是双向的,因此两个域中所做的更改都会同步。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | toWindows | fromWindows | null |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | oneWaySync: fromWindows |
3.1.10.8. winSyncInterval
此属性设定 Directory 服务器轮询 Windows 同步对等点以查找 Active Directory 条目中的更改的频率(以秒为单位)。如果没有设置此条目,Directory 服务器每 5 (5)分钟检查 Windows 服务器,这意味着默认值为 300 (300 秒)。
如果目录搜索用时过长,则可以更快地将 Active Directory 更改写入目录服务器,或提高这个值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 300 |
| 语法 | 整数 |
| 示例 | winSyncInterval: 600 |
3.1.10.9. winSyncMoveAction
同步进程从根 DN 开始,以开始评估条目以进行同步。条目会根据 Active Directory 中的 samAccount 和 Directory Server 中的 uid 属性关联。如果因为已删除或移动条目,则同步插件备注(基于 samAccount/uid 关系)已从同步子树中删除,然后同步插件会识别条目不再同步。
同步协议的 winSyncMoveAction 属性设置如何处理这些移动条目的说明:
-
none不执行任何操作,因此如果同步的目录服务器条目存在,它可能会同步到或创建范围 中的 Active Directory 条目。如果没有同步目录服务器条目,则根本不会发生任何同步的 Directory Server 条目(这是默认行为)。 Unsync 从 Directory Server 条目中删除任何与同步相关的属性(ntUser或ntGroup),否则保留 Directory Server 条目。Active Directory 和 Directory Server 条目存在于 tandem 中。重要当未同步条目时,可能会在以后的版本中删除 Active Directory 条目,并且 Directory Server 条目将保持不变。这可能会造成数据不一致的问题,特别是当 Directory Server 条目稍后用于在 Active Directory 一侧重新创建条目时。
Delete
删除Directory Server 端上的对应条目,无论它是否与 Active Directory 同步(这是 9.0 中的默认行为)。重要您几乎不需要在不删除对应的 Active Directory 条目的情况下删除目录服务器条目。这个选项仅适用于与 Directory Server 9.0 系统兼容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | none | delete | unsync |
| 默认值 | none |
| 语法 | DirectoryString |
| 示例 | winSyncMoveAction: unsync |
3.1.11. cn=monitor
用于监控服务器的信息存储在 cn=monitor 下。此条目及其子项是只读的;客户端无法直接修改它们。服务器会自动更新此信息。本节描述了 cn=monitor 属性。用户可设置访问控制的唯一属性是 aci 属性。
如果 cn=config 中的 nsslapd-counters 属性设置为 on (默认设置),则 Directory Server 实例使用 64 位整数保留的所有计数器都会使用 64 位整数递增,即使在 32 位机器上或 32 位目录服务器版本中也是如此。对于 cn=monitor 条目,64 位整数与 opsinitiated,opscompleted,entriessent, 和 bytessent 计数器一起使用。
nsslapd-counters 属性启用对这些特定数据库和服务器计数器的 64 位支持。使用 64 位整数的计数器不可配置;对于所有允许的计数器,可启用 64 位整数,或为所有允许的计数器禁用 64 位整数。
连接
此属性列出开放连接和相关状态以及与性能相关的信息和值。它们采用以下格式提供:
connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address
connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address例如:
connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1
connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1-
A 是连接号,它是与此连接关联的连接表中的插槽数。这是在打开此连接时作为
slot=A 在访问日志消息中记录的数量,通常对应于与连接关联的文件描述符。属性dTableSize显示连接表的总大小。 - yyyymmddHHMMSSZ 是连接打开的 GeneralizedTime 表单的日期和时间。此值提供了与 Greenwich Mean Time 相关的时间。
- b 是此连接上收到的操作数量。
- c 是已完成的操作的数量。
-
如果服务器 正在从网络读取 BER,则 d 为
r,否则为空。这个值通常为空(如示例中)。 -
因此,这是绑定 DN。对于匿名连接,这可能为空,或者具有
NULLDN的值。 -
f 是连接最大线程状态:
1处于最大线程数,0则不行。 - g 是此线程达到最大线程值的次数。
- H 是最大线程数尝试的操作数量。
-
我是 作为
conn=connection_ID在日志中报告的连接 ID。 - ip_address 是 LDAP 客户端的 IP 地址。
正常和已完成的操作的 b 和 C 应该最好相等。
currentConnections
此属性显示当前打开和活跃目录服务器连接的数量。
totalConnections
此属性显示目录服务器连接的总数。这个数字包括自上次启动服务器后打开和关闭的连接,除了 currentConnections 外。
dTableSize
此属性显示 Directory Server 连接表的大小。每个连接都与此表中的一个插槽关联,通常对应于此连接使用的文件描述符。请参阅 第 3.1.1.62 节 “nsslapd-conntablesize” 了解更多信息。
readWaiters
此属性显示某些请求待处理且目前由目录服务器中的线程提供服务的连接数量。
opsInitiated
此属性显示发起的 Directory 服务器操作数量。
opsCompleted
此属性显示已完成的目录服务器操作数量。
entriesSent
此属性显示 Directory Server 发送的条目数。
bytesSent
此属性显示 Directory Server 发送的字节数。
currentTime
此属性显示当前的时间,在 Greenwich Mean Time 中(由 GeneralizedTime 语法 Z 表示法表示表示),例如 20200202131102Z。
startTime
此属性显示 Greenwich Mean Time 中给出的目录服务器开始时间,由 generalizedTime 语法 Z 表示法表示。例如, 20200202131102Z。
version
此属性显示 Directory Server vendor、version 和 build 号。例如: Red Hat/11.3.1 B2020.274.08。
threads
此属性显示 Directory 服务器使用的线程数量。这应该与 cn=config 中的 nsslapd-threadnumber 对应。
nbackEnds
此属性显示 Directory Server 数据库后端的数量。
backendMonitorDN
此属性显示每个目录服务器数据库后端的 DN。有关监控数据库的详情,请查看以下部分:
3.1.12. cn=replication
此条目没有属性。在配置传统复制时,这些条目存储在此 cn=replication node 下,后者充当占位符。
3.1.13. cn=sasl
包含 SASL 映射配置的条目存储在 cn=mapping,cn=sasl,cn=config 下。cn=sasl 条目是 nsContainer 对象类的实例。在每个映射下,它都是 nsSaslMapping 对象类的实例。
3.1.13.1. nsSaslMapBaseDNTemplate
此属性包含 SASL 身份映射中使用的搜索基本 DN 模板。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | IA5String |
| 示例 | nsSaslMapBaseDNTemplate: ou=People,dc=example,dc=com |
3.1.13.2. nsSaslMapFilterTemplate
此属性包含 SASL 身份映射中使用的搜索过滤器模板。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | IA5String |
| 示例 | nsSaslMapFilterTemplate: (cn=\1) |
3.1.13.3. nsSaslMapPriority
目录服务器允许您设置多个简单身份验证和安全层(SASL)映射。如果 nsslapd-sasl-mapping-fallback 参数启用了 SASL 回退,您可以设置 nsSaslMapPriority 属性来优先选择单个 SASL 映射。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有效值 | 1 (最高优先级)- 100 (最低优先级) |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsSaslMapPriority: 100 |
3.1.13.4. nsSaslMapRegexString
此属性包含用于映射 SASL 身份字符串的正则表达式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有效值 | 任何有效的正则表达式 |
| 默认值 | |
| 语法 | IA5String |
| 示例 | nsSaslMapRegexString: \(.*\) |
3.1.14. cn=SNMP
SNMP 配置属性存储在 cn=SNMP,cn=config 下。cn=SNMP 条目是 nsSNMP 对象类的实例。
3.1.14.1. nssnmpenabled
此属性设置是否启用了 SNMP。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nssnmpenabled: off |
3.1.14.2. nssnmporganization
此属性设置 Directory 服务器所属的机构。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 机构名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssnmporganization:Red Hat, Inc. |
3.1.14.3. nssnmplocation
此属性设置目录服务器所在的公司或机构中的位置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 位置 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssnmplocation: B14 |
3.1.14.4. nssnmpcontact
此属性设定负责维护目录服务器的人员的电子邮件地址。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 联系电子邮件地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssnmpcontact: jerome@example.com |
3.1.14.5. nssnmpdescription
提供目录服务器实例的唯一描述。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 描述 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssnmpdescription: Employee 目录实例 |
3.1.14.6. nssnmpmasterhost
nssnmpmasterhost 已被弃用。此属性在引入 net-snmp 时已弃用。属性仍然会出现在 dse.ldif 中,但没有默认值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 机器主机名或 localhost |
| 默认值 | <blank> |
| 语法 | DirectoryString |
| 示例 | nssnmpmasterhost: localhost |
3.1.14.7. nssnmpmasterport
随着 net-snmp 的引入,nssnmpmaster port 属性已弃用。属性仍然会出现在 dse.ldif 中,但没有默认值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 操作系统依赖端口号。详情请查看操作系统文档。 |
| 默认值 | <blank> |
| 语法 | 整数 |
| 示例 | nssnmpmasterport: 199 |
3.1.15. SNMP Statistic 属性
表 3.7 “SNMP Statistic 属性” 包含只读属性,其中列出了 LDAP 和 SNMP 客户端可用的统计信息。除非另有说明,否则给定属性的值是服务器收到的请求数,或者服务器启动以来返回的结果。其中一些属性不可用于或不适用于 Directory 服务器,但 SNMP 客户端仍需要存在。
如果 cn=config 中的 nsslapd-counters 属性设置为 on (默认设置),则 Directory Server 实例使用 64 位整数保留的所有计数器都会使用 64 位整数递增,即使在 32 位机器上或 32 位目录服务器版本中也是如此。所有 SNMP 统计属性都使用 64 位整数(如果已配置)。
nsslapd-counters 属性为这些特定数据库和服务器计数器启用 64 位整数。使用 64 位整数的计数器不可配置;对于所有允许的计数器,可启用 64 位整数,也可以禁用 64 位整数。
| 属性 | 描述 |
|---|---|
| AnonymousBinds | 这将显示匿名绑定请求的数量。 |
| UnAuthBinds | 这显示了未经身份验证的(匿名)绑定的数量。 |
| SimpleAuthBinds | 这显示了 LDAP 简单绑定请求的数量(DN 和密码)。 |
| StrongAuthBinds | 这显示了所有 SASL 机制的 LDAP SASL 绑定请求数量。 |
| BindSecurityErrors | 这显示了在绑定请求中给出无效密码的次数。 |
| InOps | 这将显示服务器收到的所有请求的总数。 |
| ReadOps |
未使用。这个值始终为 |
| CompareOps | 这显示了 LDAP 比较请求的数量。 |
| AddEntryOps | 这显示了 LDAP 添加请求的数量。 |
| RemoveEntryOps | 这显示了 LDAP 删除请求的数量。 |
| ModifyEntryOps | 这显示了 LDAP 修改请求的数量。 |
| ModifyRDNOps | 这显示了 LDAP 修改 RDN (modrdn)请求的数量。 |
| ListOps |
未使用。这个值始终为 |
| SearchOps | 这显示了 LDAP 搜索请求的数量。 |
| OneLevelSearchOps | 这显示了一级搜索操作的数量。 |
| WholeSubtreeSearchOps | 这将显示子树级搜索操作的数量。 |
| 引用 | 这显示了返回的 LDAP 引用的数量。 |
| 链 |
未使用。这个值始终为 |
| SecurityErrors | 这显示了与安全相关的错误数量,如无效的密码、未知或无效的验证方法,或更强大的身份验证。 |
| 错误 | 这显示了返回的错误数量。 |
| 连接 | 这显示当前打开的连接数量。 |
| ConnectionSeq | 这显示了打开的连接总数,包括当前打开和关闭的连接。 |
| BytesRecv | 这显示了收到的字节数。 |
| BytesSent | 这显示了发送的字节数。 |
| EntriesReturned | 这将显示作为搜索结果返回的条目数。 |
| ReferralsReturned | 这提供了有关作为搜索结果返回的引用信息(继续参考)。 |
| MasterEntries |
未使用。这个值始终为 |
| CopyEntries |
未使用。这个值始终为 |
| CacheEntries[a] |
如果服务器只有一个数据库后端,这是在条目缓存中缓存的条目数。如果服务器有多个数据库后端,则这个值为 |
| CacheHits |
如果服务器只有一个数据库后端,这是从条目缓存返回的条目数,而不是数据库返回的条目数,用于搜索结果。如果服务器有多个数据库后端,则这个值为 |
| SlaveHits |
未使用。这个值始终为 |
3.1.16. cn=tasks
可使用 LDAP 工具编辑目录条目来启动一些核心目录服务器任务。这些任务条目包含在 cn=tasks 中。可以通过更新条目来调用每个任务,如下所示:
dn: cn=task_id,cn=task_type,cn=tasks,cn=config ...
dn: cn=task_id,cn=task_type,cn=tasks,cn=config
...
在目录服务器 8.0 之前在 Red Hat Directory Server 部署中部署,许多目录服务器任务由管理服务器管理。这些任务被移到版本 8.0 中的核心目录服务器配置中,并由 cn=tasks 条目下的 Directory Server 调用和管理。
cn=tasks 条目下管理以下任务:
- 第 3.1.16.2 节 “cn=import”
- 第 3.1.16.3 节 “cn=export”
- 第 3.1.16.4 节 “cn=backup”
- 第 3.1.16.5 节 “cn=restore”
- 第 3.1.16.6 节 “cn=index”
- 第 3.1.16.7 节 “cn=schema reload 任务”
- 第 3.1.16.8 节 “cn=memberof task”
- 第 3.1.16.9 节 “cn=fixup 链接的属性”
- 第 3.1.16.10 节 “cn=syntax validate”
- 第 3.1.16.11 节 “cn=USN tombstone cleanup 任务”
- 第 3.1.16.12 节 “cn=cleanallruv”
- 第 3.1.16.13 节 “cn=abort cleanallruv”
- 第 3.1.16.14 节 “cn=automember rebuild membership”
- 第 3.1.16.15 节 “cn=automember export updates”
- 第 3.1.16.16 节 “cn=automember map updates”
这些任务的常见属性列在 第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中。
cn=tasks 条目本身没有属性,并充当单个任务条目的父和容器条目。
任务条目不是永久配置条目。只要任务操作正在运行,或者直到 ttl 周期过期,则它们才会存在于配置文件中。然后,服务器会自动删除该条目。
3.1.16.1. cn=tasks 下的条目的任务调用属性
五个管理目录服务器实例的任务具有启动和识别各个操作的配置条目。这些任务条目是同一对象类 extensibleObject 的实例,具有某些常见属性,用于描述 Directory Server 任务的状态和行为。任务类型可以是 import, export, backup, restore, index, schema reload, 和 memberof。
cn
cn 属性标识要启动的新任务操作。cn 属性值可以是任意值,只要它定义了新任务。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: 示例任务条目名称 |
nsTaskStatus
此属性包含有关任务状态(如累计统计或其当前输出消息)的信息。属性的整个内容可以定期更新,只要进程正在运行。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsTaskStatus: Loading entries…. |
nsTaskLog
此条目包含任务的所有日志消息,包括 warning 和 information 信息。新消息会附加到条目值的末尾,因此此属性值会增大,而不会默认清除原始内容。
成功任务操作(带有 nsTaskExitCode 为 0 )只记录在 nsTaskLog 属性中。任何表示错误的非零响应(表示错误)可能会以错误的形式记录错误,但错误消息仅在 nsTaskLog 属性中记录。因此,使用 nsTaskLog 属性中的信息来查找实际发生的错误。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsTaskLog: example… |
nsTaskExitCode
此属性包含任务的退出代码。此属性仅在任务完成后存在,只有任务完成后的任何值都有效。结果代码可以是 第 7.4 节 “LDAP 结果码” 中列出的任意 LDAP 退出代码,但只有一个 0 值等于成功,任何其他结果代码都是错误。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 0(成功)到 97[a] |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsTaskExitCode: 0 |
[a]
0 以外的任何响应都是错误。
| |
nsTaskCurrentItem
此属性显示任务操作的子任务数量,假设任务可以被分为子任务。如果只有一个任务,则在任务运行时,nsTaskCurrentItem 为 0,任务完成后为 1。这样,属性与进度条类似。当 nsTaskCurrentItem 属性的值与 nsTaskTotalItems 相同时,该任务已完成。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsTaskCurrentItem: 148 |
nsTaskTotalItems
此属性显示必须为任务操作完成的子任务总数。当 nsTaskCurrentItem 属性的值与 nsTaskTotalItems 相同时,任务已完成。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsTaskTotalItems: 152 |
nsTaskCancel
此属性允许在进行过程中中止任务。此属性可以被用户修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsTaskCancel: true |
ttl
此属性设置任务条目在任务完成或中止后,任务条目将保留在 DSE 中的时间(以秒为单位)。设置 ttl 属性可让任务条目轮询新状态信息,而不会缺少退出代码。将 ttl 属性设置为 0 表示该条目不会被缓存。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 0 (不可缓存)到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | ttl: 120 |
3.1.16.2. cn=import
可以通过命令行导入 LDIF 文件或多个 LDIF 文件,方法是创建一个特殊的任务条目来定义任务的参数并启动任务。任务完成后,任务条目也会从 目录中删除。
cn=import 条目是一个用于导入任务操作的容器条目。cn=import 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID,cn=import,cn=tasks,cn=config )都使用以下属性来定义导入任务。
cn=import 下的导入任务条目必须包含 LDIF 文件才能导入(在 nsFilename 属性中),以及用于将文件导入到的实例的名称(在 nsInstance 属性中)。另外,它必须包含用于标识任务的唯一 cn。例如:
dn: cn=example import,cn=import,cn=tasks,cn=config objectclass: extensibleObject cn: example import nsFilename: /home/files/example.ldif nsInstance: userRoot
dn: cn=example import,cn=import,cn=tasks,cn=config
objectclass: extensibleObject
cn: example import
nsFilename: /home/files/example.ldif
nsInstance: userRoot当导入操作运行时,任务条目将包含 第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。
有一些可选属性可用于优化导入操作,类似于 ldif2db 和 ldif2db.pl 脚本的选项:
-
nsIncludeSuffix,它类似于 the
-s选项,用于指定要导入的后缀 -
nsExcludeSuffix,与 the
-x选项类似,用于指定从导入中排除的后缀或子树 -
nsImportChunkSize与 the
-c选项类似,用于覆盖导入和合并块期间启动新传递 - nsImportIndexAttrs,它设置是否导入属性索引(在脚本选项中没有合并)
-
nsUniqueIdGenerator与 the
-g选项类似,为条目生成唯一 ID 号 -
nsUniqueIdGeneratorNamespace与 the
-G选项类似,为条目生成唯一的、基于名称的 ID
nsFilename
nsFilename 属性包含要导入到目录服务器实例的 LDIF 文件的路径和文件名。要导入多个文件,请添加此属性的多个实例。例如:
nsFilename: file1.ldif nsFilename: file2.ldif
nsFilename: file1.ldif
nsFilename: file2.ldif| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | case-exact 字符串,多值 |
| 示例 | nsFilename: /home/jsmith/example.ldif |
nsInstance
此属性提供将文件导入到的数据库实例的名称,如 userRoot 或 slapd-example。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | Directory Server 实例数据库的名称(任意字符串) |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsInstance: userRoot |
nsIncludeSuffix
此属性标识要从 LDIF 文件导入的特定后缀或子树。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN, multi-valued |
| 示例 | nsIncludeSuffix: ou=people,dc=example,dc=com |
nsExcludeSuffix
此属性标识从导入中排除的 LDIF 文件中的后缀或子树。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN, multi-valued |
| 示例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsImportChunkSize
此属性定义导入操作过程中需要的块数量,它会在导入过程中覆盖服务器在启动新传递并合并块时的检测。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsImportChunkSize: 10 |
nsImportIndexAttrs
此属性设置是否索引导入到数据库实例中的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | true |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsImportIndexAttrs: true |
nsUniqueIdGenerator
这会设置是否为导入条目生成唯一 ID。默认情况下,此属性生成基于时间的 ID。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | none (无唯一 ID)| 空(基于时间的 ID)| 确定 命名空间 (基于名称的 ID) |
| 默认值 | empty |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsUniqueIdGenerator: |
nsUniqueIdGeneratorNamespace
此属性定义如何生成基于名称的 ID;属性将命名空间设置为用于生成 ID。当条目需要具有相同的 ID 时,此选项可用于将同一 LDIF 文件导入到两个目录服务器实例中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsUniqueIdGeneratorNamespace: example |
3.1.16.3. cn=export
可以通过命令行导出数据库或多个数据库,该条目定义任务的参数并启动任务。任务完成后,任务条目也会从 目录中删除。
cn=export,cn=tasks,cn=config 条目是一个导出任务操作的容器。这些任务存储在此容器中,并命名为 cn=task_name,cn=export,cn=tasks,cn=config。
在导出操作运行时,任务条目包含 第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。
您可以手动创建导出任务,或使用 db2ldif.pl 命令。下表显示了 db2ldif.pl 命令行选项及其对应的属性:
db2ldif.pl 选项 | 任务属性 | 描述 |
|---|---|---|
|
|
| 设置导出的 LDIF 文件的路径。 |
|
|
| 如果启用,则只使用主数据库文件。 |
|
|
| 如果启用,将输出存储在多个文件中。 |
|
|
| 设置数据库名称。 |
|
|
| 可让您阻止打印序列号。 |
|
|
| 如果设置,导出将包含用于初始化副本的属性。 |
|
|
| 将导出文件中的后缀设置为包含。 |
|
|
| 可让您导出唯一 ID。 |
|
|
| 如果设置,则长行不会被嵌套。 |
|
|
| 将导出的文件中的后缀设置为 exclude。 |
nsFilename
nsFilename 属性包含 LDIF 文件的路径和文件名,以将目录服务器实例数据库导出到其中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | case-exact 字符串,多值 |
| 示例 | nsFilename: /home/jsmith/example.ldif |
nsInstance
此属性提供数据库实例的名称,从中导出数据库,如 userRoot 或 userRoot。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | Directory Server 实例的名称(任意字符串) |
| 默认值 | |
| 语法 | case-exact 字符串,多值 |
| 示例 | nsInstance: userRoot |
nsIncludeSuffix
此属性标识要导出到 LDIF 文件的特定后缀或子树。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN, multi-valued |
| 示例 | nsIncludeSuffix: ou=people,dc=example,dc=com |
nsExcludeSuffix
此属性标识数据库中的后缀或子树,以便从导出的 LDIF 文件中排除。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN, multi-valued |
| 示例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsUseOneFile
此属性设置是否将所有目录服务器实例导出到单个 LDIF 文件或单独的 LDIF 文件中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | true |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsUseOneFile: true |
nsExportReplica
此属性标识导出的数据库是否在复制中使用。对于副本,正确的属性和设置将包含在条目中,以自动初始化副本。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsExportReplica: true |
nsPrintKey
此属性设置是否打印条目 ID 号,因为该条目由导出任务处理。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | true |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsPrintKey: false |
nsUseId2Entry
nsUseId2Entry 属性使用主数据库索引 id2entry 来定义导出的 LDIF 条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsUseId2Entry: true |
nsNoWrap
此属性设置是否在 LDIF 文件中换行长行。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsNoWrap: false |
nsDumpUniqId
此属性设置不会导出导出条目的唯一 ID。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | true |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsDumpUniqId: true |
3.1.16.4. cn=backup
可以通过命令行备份数据库,方法是创建一个特殊的任务条目来定义任务的参数并启动任务。任务完成后,任务条目也会从 目录中删除。
cn=backup 条目是用于备份任务操作的容器条目。cn=backup 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID,cn=backup,cn=tasks,cn=config )都使用以下属性来定义备份任务。
cn=backup 下的备份任务条目必须包含要复制归档副本的目录位置(在 nsArchiveDir 属性中),以及要备份的数据库的类型(在 nsDatabaseType 属性中)。另外,它必须包含用于标识任务的唯一 cn。例如:
dn: cn=example backup,cn=backup,cn=tasks,cn=config objectclass: extensibleObject cn: example backup nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
dn: cn=example backup,cn=backup,cn=tasks,cn=config
objectclass: extensibleObject
cn: example backup
nsArchiveDir: /export/backups/
nsDatabaseType: ldbm database作为备份操作运行,任务条目将包含 第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。
nsArchiveDir
此属性提供写入备份的目录位置。
此处的备份目录通常与 nsslapd-bakdir 属性中配置的目录相同。
如果 cn=backup 任务没有包括此属性,则任务将失败,并显示 LDAP 对象类违反错误(65)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 有效值 | 任何本地目录位置 |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsArchiveDir: /export/backups |
nsDatabaseType
此属性提供正在存档的数据库类型。设置数据库类型指出目录服务器应使用的备份插件来归档数据库。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 有效值 | ldbm 数据库 |
| 默认值 | ldbm 数据库 |
| 语法 | case-exact 字符串 |
| 示例 | nsDatabaseType: ldbm database |
3.1.16.5. cn=restore
可以通过命令行恢复数据库,方法是创建一个特殊的任务条目来定义任务的参数并启动任务。任务完成后,任务条目也会从 目录中删除。
cn=restore 条目是用于恢复数据库的任务操作的容器条目。cn=restore 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID,cn=restore,cn=tasks,cn=config )都使用以下属性来定义恢复任务。
cn=restore 下的恢复任务条目必须包含从中检索存档副本的目录位置(在 nsArchiveDir 属性中)以及正在恢复的数据库的类型(在 nsDatabaseType 属性中)。另外,它必须包含用于标识任务的唯一 cn。例如:
dn: cn=example restore,cn=restore,cn=tasks,cn=config objectclass: extensibleObject cn: example restore nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
dn: cn=example restore,cn=restore,cn=tasks,cn=config
objectclass: extensibleObject
cn: example restore
nsArchiveDir: /export/backups/
nsDatabaseType: ldbm database作为恢复操作运行,任务条目将包含 第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。
nsArchiveDir
此属性提供写入备份的目录位置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 有效值 | 任何本地目录位置 |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsArchiveDir: /export/backups |
nsDatabaseType
此属性提供正在存档的数据库类型。设置数据库类型指出目录服务器应使用的备份插件来归档数据库。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 有效值 | ldbm 数据库 |
| 默认值 | ldbm 数据库 |
| 语法 | case-exact 字符串 |
| 示例 | nsDatabaseType: ldbm database |
3.1.16.6. cn=index
可通过命令行来索引目录属性:创建定义任务参数并启动该任务的特殊任务。任务完成后,任务条目将从 目录中删除。
cn=index 条目是索引任务操作的容器条目。cn=index 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID、cn=index、cn=tasks,cn=config )使用以下属性来定义备份任务。
cn=index 下的索引任务条目可以通过标识要索引的属性以及要创建的索引类型来创建标准索引,它们都在 nsIndexAttribute 属性中定义。
另外,索引任务也可用于通过 nsIndexVLVAttribute 属性生成虚拟列表视图(VLV)索引。这与运行 vlvindex 脚本相同。
例如:
随着索引操作运行,任务条目将包含 第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。
nsIndexAttribute
此属性提供要索引的属性名称和要应用的索引类型。属性值的格式是属性名称和以逗号分隔的索引类型列表,用双引号括起。例如:
nsIndexAttribute: attribute:index1,index2
nsIndexAttribute: attribute:index1,index2| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 有效值 | * 任何属性
* 索引类型,可以是 presence(presence)、 |
| 默认值 | |
| 语法 | 不区分大小写的字符串,多值 |
| 示例 | * nsIndexAttribute: cn:pres,eq * nsIndexAttribute: description:sub |
nsIndexVLVAttribute
此属性提供 VLV 索引的目标条目的名称。虚拟列表视图基于浏览索引条目(如 管理指南中所述),它定义了虚拟列表基本 DN、范围和过滤器。nsIndexVLVAttribute 值是浏览索引条目,VLV 创建任务会根据 浏览索引条目参数运行。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 有效值 | VLV 条目定义的子条目 RDN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsIndexVLVAttribute: "浏览索引排序标识符" |
3.1.16.7. cn=schema reload 任务
当目录实例启动或重启时,会加载目录模式。对目录架构的任何更改(包括添加自定义架构元素)不会自动加载并提供给实例,直到服务器重启或启动架构重新加载任务为止。
可以动态重新加载自定义架构更改,而无需重启 Directory 服务器实例。这可以通过在 cn=tasks 条目下创建新任务来发起模式重新加载任务。
自定义架构文件可以位于任何目录中;如果没有通过 schemadir 属性指定,服务器会从默认的 /etc/dirsrv/slapd-instance/schema 目录中重新载入 schema。
从另一个目录加载的任何架构都必须复制到 schema 目录中,否则服务器将会丢失 schema。
schemd 重新加载任务由命令行启动,方法是创建一个特殊的任务条目来定义任务的参数并启动任务。任务完成后,任务条目也会从 目录中删除。例如:
dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config objectclass: extensibleObject cn:example schema reload schemadir: /export/schema
dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example schema reload
schemadir: /export/schema
cn=schema reload 任务 条目是 schema reload 操作的容器条目。cn=schema reload task 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID,cn=schema 重新加载任务,cn=tasks,cn=config )都使用 schema reload 属性来定义单个重新加载任务。
cn
cn 属性标识要启动的新任务操作。cn 属性值可以是任意值,只要它定义了新任务。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: reload 任务 ID 示例 |
schemadir
它包含到包含自定义 schema 文件的目录的完整路径。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 有效值 | 任何本地目录路径 |
| 默认值 | /etc/dirsrv/schema |
| 语法 | DirectoryString |
| 示例 | schemadir: /export/schema/ |
3.1.16.8. cn=memberof task
memberOf 属性由 Directory 服务器自动创建和管理,以显示成员用户条目的组成员资格。当更改组条目上的 member 属性时,所有成员关联的目录条目都会使用对应的 memberOf 属性自动更新。
cn=memberof 任务 (以及相关的 fixup-memberof.pl 脚本)用于在目录中的成员用户条目上创建初始 memberOf 属性。创建 memberOf 属性后,MemberOf 插件会自动管理 memberOf 属性。
memberOf 更新任务必须提供条目或子树的 DN,以便针对(在 basedn 属性中设置)运行更新任务。(可选)任务可以包含过滤器来标识要更新的成员用户条目(在 filter 属性中设置)。例如:
dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config objectclass: extensibleObject cn:example memberOf basedn: ou=people,dc=example,dc=com filter: (objectclass=groupofnames)
dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example memberOf
basedn: ou=people,dc=example,dc=com
filter: (objectclass=groupofnames)任务完成后,任务条目会从目录中移除。
cn=memberof 任务 条目是 memberOf 更新操作的容器条目。cn=memberof 任务 条目本身没有属性,但此条目下的每个任务条目(如 cn=task_ID,cn=memberof 任务,cn=tasks,cn=config )使用其属性来定义单个更新任务。
basedn
此属性提供用于搜索用户条目以更新 memberOf 属性的基础 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN |
| 示例 | basedn: ou=people,dc=example,dc=com |
filter
此属性提供可选的 LDAP 过滤器,用于选择哪个用户条目来更新 memberOf 属性。组的每个成员在 目录中都有对应的用户条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
| 有效值 | 任何 LDAP 过滤器 |
| 默认值 | (objectclass=*) |
| 语法 | DirectoryString |
| 示例 | 过滤器:(l=Sunnyvale) |
3.1.16.9. cn=fixup 链接的属性
目录服务器具有 Linked Attributes Plug-in,它允许一个条目中设置的一个属性自动更新另一个条目中的另一个属性。两个条目都有值的 DN。第一个条目中的 DN 值指向要更新的插件的条目;第二个条目中的属性包含到第一个条目的 DN 后端器。
这与 MemberOf 插件使用组条目中的 member 属性在用户条目中设置 memberOf 属性的方式类似。使用链接的属性时,任何属性都可以定义为 "link",然后另一个属性在受影响的条目中是"managed"。
cn=fixup 链接的属性 (以及相关的 fixup-linkedattrs.pl 脚本)会根据创建链接插件实例后,在数据库中已存在的链接属性创建受管属性。在设置了 linked 和 managed 属性后,Linked Attributes 插件会动态维护受管属性,因为用户会更改链接属性。
链接的属性 update 任务可以指定要更新的链接属性插件实例,在可选 linkdn 属性中设置。如果在任务条目上没有设置此属性,则会更新所有配置的链接属性。
dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config objectclass: extensibleObject cn:example linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config
dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config任务完成后,任务条目会从目录中移除。
cn=fixup 链接的属性条目是任何链接的属性更新操作的容器条目。cn=fixup 链接的属性 条目本身没有与单个任务相关的属性,但此条目下的每个任务条目(如 cn=task_ID,cn=fixup linked 属性,cn=tasks,cn=config )使用其属性来定义单个更新任务。
linkdn
每个链接的属性对都在链接的属性插件实例中配置。linkdn 属性设置通过提供插件实例 DN 来更新条目的特定链接属性插件。例如:
linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config
linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config如果没有提供插件实例,则会更新所有链接的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=fixup linked attributes,cn=tasks,cn=config |
| 有效值 | DN (用于 Linked Attributes 插件的实例) |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | linkdn: cn=Manager Links,cn=Linked Attributes,cn=plugins,cn=config |
3.1.16.10. cn=syntax validate
语法验证会检查对属性的每个修改,以确保新值具有该属性类型所需的语法。属性语法会根据 RFC 4514 中的定义进行验证。
语法验证默认为启用。但是,语法验证仅审计 对属性值的更改,例如添加或修改属性时。它不验证 现有 属性值的语法。
现有的语法验证可使用语法验证任务来完成。此任务检查指定子树下的条目(在 basedn 属性中),并只检查与指定过滤器匹配的条目(在 filter 属性中)。
dn: cn=example,cn=syntax validate,cn=tasks,cn=config objectclass: extensibleObject cn:example basedn: ou=people,dc=example,dc=com filter: "(objectclass=inetorgperson)"
dn: cn=example,cn=syntax validate,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
basedn: ou=people,dc=example,dc=com
filter: "(objectclass=inetorgperson)"任务完成后,任务条目会从目录中移除。
如果禁用语法验证,或者服务器已迁移,则服务器中可能存在不符合属性语法要求的数据。可以在启用语法验证前运行语法验证任务来评估这些现有的属性值。
cn=syntax validate 条目是适用于任何语法验证操作的容器条目。cn=syntax validate 条目本身没有特定于任何任务的属性。此条目下的每个任务条目(如 cn=task_ID,cn=syntax validate,cn=tasks,cn=config )都使用其属性来定义单个更新任务。
basedn
指定运行语法验证任务的子树。例如:
basedn: ou=people,dc=example,dc=com
basedn: ou=people,dc=example,dc=com| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | basedn: dc=example,dc=com |
filter
包含一个可选的 LDAP 过滤器,可用于识别给定 basedn 下运行语法验证任务的特定条目。如果没有在任务上设置此属性,则 basedn 中的每个条目都会被审核。例如:
filter: "(objectclass=person)"
filter: "(objectclass=person)"| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 有效值 | 任何 LDAP 过滤器 |
| 默认值 | "(objectclass=*)" |
| 语法 | DirectoryString |
| 示例 | filter: "(objectclass=*)" |
3.1.16.11. cn=USN tombstone cleanup 任务
如果启用了 USN 插件,则每当目录写入操作(如添加或修改)在每个条目上都要 更新序列号 (USN)。这反映在 entryUSN 操作属性中。即使删除了条目,这个 USN 也会被设置,tombstone 条目则由 Directory Server 实例维护。
cn=USN tombstone cleanup 任务 (以及相关的 usn-tombstone-cleanup.pl 脚本)根据后端数据库(在 后端 属性中)或后缀(在 suffix 属性中)删除实例维护的 tombstone 条目。另外,可以通过指定要删除的最大 USN 来删除 tombstone 条目子集(在 max_usn_to_delete 属性中),这会保留最新的 tombstone 条目。
dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config objectclass: extensibleObject cn:example backend: userroot max_usn_to_delete: 500
dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
backend: userroot
max_usn_to_delete: 500只有 未启用 复制,才能启动此任务。复制维护自己的 tombstone 存储,且这些 tombstone 条目不能由 USN 插件删除;它们必须由复制过程维护。因此,Directory 服务器可防止用户为复制的数据库运行清理任务。
尝试为复制后端创建此任务条目将在命令行中返回这个错误:
ldap_add: DSA is unwilling to perform
ldap_add: DSA is unwilling to perform在错误日志中,有更明确的信息,后缀无法删除 tombstone,因为它是复制的。
[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.
[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.任务完成后,任务条目会从目录中移除。
cn=USN tombstone cleanup 任务 条目是所有 USN tombstone delete 操作的容器条目。cn=USN tombstone cleanup task 条目本身没有与任何单个任务相关的属性,但此条目下的每个任务条目(如 cn=task_ID,cn=USN tombstone cleanup 任务,cn=tasks,cn=config )都使用其属性来定义单个更新任务。
后端
这为 Directory Server 实例后端或数据库提供运行清理操作。如果没有指定后端,则必须指定后缀。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有效值 | 数据库名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | backend: userroot |
max_usn_to_delete
这会赋予在删除 tombstone 条目时要删除的最高 USN 值。所有 tombstone 条目(包括这个数字)都会被删除。带有更高的 USN 值的 tombstone 条目(这意味着较新的条目)不会被删除。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有效值 | 任何整数 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | max_usn_to_delete: 500 |
suffix
这会在 Directory 服务器中提供后缀或子树来运行清理操作。如果没有指定后缀,则必须给出后端。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有效值 | 任何子树 DN |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | suffix: dc=example,dc=com |
3.1.16.12. cn=cleanallruv
有关复制拓扑的信息 - 所有供应商都会相互提供更新,同一复制组中的其他副本都包含在一组称为 副本更新向量(RUV)的元数据中。RUV 包含有关供应商的信息,如其 ID 和 URL、其在本地服务器上所做的更改的最新更改状态号,以及第一次更改的 CSN。供应商和消费者都存储 RUV 信息,它们使用它来控制复制更新。
当从复制拓扑中删除一个供应商时,它可能会保留在另一个副本的 RUV 中。当其他副本重启时,它可以记录其日志中复制插件无法识别(删除)供应商的错误。
当供应商从拓扑中永久删除时,有关该供应商的任何闲置元数据都应从所有其他供应商的 RUV 条目中清除。
cn=cleanallruv 任务通过复制拓扑中的所有服务器传播,并删除与指定缺失或过时的供应商关联的 RUV 条目。
任务完成后,任务条目会从目录中移除。
cn=cleanallruv 条目是所有干净的 RUV 操作的容器条目。 条目本身没有与任何单个任务相关的属性,但此条目下的每个任务条目(如 cn=cleanallruv cn=task_ID, cn=cleanallruv ,cn=tasks,cn=config )使用其属性来定义单个更新任务。
每个清理 RUV 任务都必须指定要删除的副本 RUV 条目的副本 ID 号、复制数据库的基于 DN,以及在删除 RUV 数据前是否应该应用缺少的供应商中的更新。
replica-base-dn
这提供了与复制数据库关联的目录服务器基本 DN。这是复制后缀的基本 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | replica-base-dn: dc=example,dc=com |
replica-id
这提供了要从复制拓扑 中删除 副本配置条目的 nsDS5ReplicaId 属性中的副本 ID。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有效值 | 0 到 65534 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | replica-id: 55 |
replica-force-cleaning
这将设置是否应该应用删除的副本中的任何未完成的更新(否),或者是否应强制继续并丢失任何剩余的更新(是 )。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有效值 | 否 | 是 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | replica-force-cleaning: no |
3.1.16.13. cn=abort cleanallruv
第 3.1.16.12 节 “cn=cleanallruv” 任务可能需要几分钟才能在复制拓扑中的所有服务器中传播,即使任务首先处理所有更新。对于性能或其他维护注意事项,可以终止干净的 RUV 任务,并且终止也会在复制拓扑中的所有服务器上传播。
termination 任务是 cn=abort cleanallruv 条目的 isntance。
任务完成后,任务条目会从目录中移除。
cn=abort cleanallruv 条目是所有干净的 RUV 操作的容器条目。cn=abort cleanallruv 条目本身没有与任何单个任务相关的属性,但此条目下的每个任务条目(如 cn=task_ID,cn=abort cleanallruv,cn=tasks,cn=config )都使用其属性来定义单个更新任务。
每个干净的 RUV 任务都必须指定 当前删除 的副本 RUV 条目的副本 ID 号、复制数据库的基于 DN,以及在拓扑中的所有服务器上完成终止任务还是本地完成。
replica-base-dn
这提供了与复制数据库关联的目录服务器基本 DN。这是复制后缀的基本 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | replica-base-dn: dc=example,dc=com |
replica-id
这会在从复制拓扑 中删除的过程中 为副本配置条目的 nsDS5ReplicaId 属性提供副本 ID。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有效值 | 0 到 65534 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | replica-id: 55 |
replica-certify-all
这将设置该任务是否应该在复制 拓扑中的所有 服务器上成功完成,然后再在本地完成任务(是 )之前(是 ),或者该任务是否应在本地完成(无)后马上显示完成。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有效值 | 否 | 是 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | replica-certify-all: yes |
3.1.16.14. cn=automember rebuild membership
Auto Member 插件仅在将新条目添加到目录时运行。该插件会忽略编辑为与自动成员规则匹配的现有条目或条目。
cn=automember 重建成员资格 任务针对 现有条目 运行当前的自动成员规则,以更新或重建组成员资格。所有配置的自动成员规则都针对标识的条目运行(但并非所有规则都应用到给定条目)。
basedn
这提供了用于搜索用户条目的 Directory Server 基础 DN。然后,根据自动成员规则更新指定 DN 中的条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | basedn: dc=example,dc=com |
filter
此属性提供 LDAP 过滤器,用于根据配置的自动成员规则识别要更新哪些用户条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有效值 | 任何 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | filter: (uid=*) |
scope
此属性提供在搜索给定基本 DN 时要使用的 LDAP 搜索范围。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有效值 | sub | 基础 | 一个 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | Scope: sub |
3.1.16.15. cn=automember export updates
此任务针对目录中 现有条目 运行,并根据规则导出哪些用户添加到哪些组的结果。这可用于根据现有用户测试现有规则,以了解您的实际部署性能如何。
与自动成员相关的更改 不会执行。推荐的更改被写入指定的 LDIF 文件。
basedn
这提供了用于搜索用户条目的 Directory Server 基础 DN。对已识别的条目运行自动成员规则的测试运行。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | basedn: dc=example,dc=com |
filter
此属性提供 LDAP 过滤器,用于识别要测试的用户条目来运行自动成员规则。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有效值 | 任何 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | filter: (uid=*) |
scope
此属性提供在搜索给定基本 DN 时要使用的 LDAP 搜索范围。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有效值 | sub | 基础 | 一个 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | Scope: sub |
ldif
此属性设置 LDIF 文件的完整路径和文件名,以便从自动成员规则的 test-run 中写入提议的更改。此文件必须是启动该任务的系统的 local。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有效值 | 本地路径和文件名 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | ldif: /tmp/automember-results.ldif |
3.1.16.16. cn=automember map updates
此任务针对 LDIF 文件中的条目(新条目或可能,测试条目)运行,然后将提议的更改写入到 LDIF 文件中。在应用新规则之前(重新)新的用户条目或现有用户条目之前,这非常有用。
与自动成员相关的更改 不会执行。推荐的更改被写入指定的 LDIF 文件。
ldif_in
此属性设置 LDIF 文件的完整路径和文件名,该文件要从中导入使用配置的自动成员规则测试的条目。这些条目不会导入到目录中,不会执行更改。条目仅被 test-run 加载和使用。
此文件必须是启动该任务的系统的 local。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
| 有效值 | 本地路径和文件名 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | ldif_in: /tmp/automember-test-users.ldif |
ldif_out
此属性设置 LDIF 文件的完整路径和文件名,以便从自动成员规则的 test-run 中写入提议的更改。此文件必须是启动该任务的系统的 local。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
| 有效值 | 本地路径和文件名 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | ldif_out: /tmp/automember-results.ldif |
3.1.16.17. cn=des2aes
此任务搜索指定用户数据库中的所有可逆密码条目,这些条目使用过时的 DES 密码进行编码,并将其转换为更安全的 AES 密码。
在以前的版本中,此任务是在目录服务器启动过程中在所有后缀上自动执行的。但是,由于搜索 DES 密码通常没有被索引,因此可能需要很长时间才能对包含大量条目的后缀执行,从而导致目录服务器超时且无法启动。因此,搜索现在只在 cn=config 上执行,但要在任何其他数据库中转换密码,您必须手动运行此任务。
suffix
这个 multivalued 属性指定一个后缀来检查 DES 密码并将其转换为 AES。如果省略此属性,则会检查所有后端/修复。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=des2aes,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | suffix: dc=example,dc=com |
3.1.17. cn=uniqueid generator
唯一的 ID 生成器配置属性存储在 cn=uniqueid generator,cn=config 下。cn=uniqueid 生成器 条目是 extensibleObject 对象类的实例。
nsstate
此属性在服务器重启后保存唯一 ID 生成器的状态。此属性由服务器维护。不要编辑它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=uniqueid generator,cn=config |
| 有效值 | |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsstate: AbId0c3oMIDUntiLCyYNGgAAAAAAAA |
3.1.18. 根 DSE 配置参数
3.1.18.1. nsslapd-return-default-opattr
目录服务器不会在 Root DSE 搜索中显示操作属性。例如,如果您使用 base -b "" 参数运行 ldapsearch 工具,则只会显示用户属性。对于在 Root DSE 搜索输出中期望操作属性的客户端,您可以启用此行为来提供向后兼容:
- 停止 Directory 服务器实例。
编辑
/etc/dirsrv/slapd-instance_name/dse.ldif文件,并将以下参数添加到dn:部分:Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 启动 Directory 服务器实例。
| 参数 | 描述 |
|---|---|
| 条目 DN | Root DSE |
| 有效值 | supportedsaslmechanisms | nsBackendSuffix | subschemasubentry | supportedldapversion | supportedcontrol | ref | vendorname | vendorVersion |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-return-default-opattr: supportedsaslmechanisms |
3.2. 配置对象类
许多配置条目只是使用 extensibleObject 对象类,但有些配置条目需要其他对象类。此处列出了这些配置对象类。
3.2.1. changeLogEntry (Object Class)
此对象类用于存储对目录服务器条目所做的更改的条目。
要将目录服务器配置为维护与 Directory Server 4.1x 中实现的 changelog 兼容的 changelog,请启用 Retro Changelog 插件。changelog 中的每个条目都有 changeLogEntry 对象类。
此对象类在 Changelog Internet Draft 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.1
| objectClass | 定义条目的对象类。 |
| 包含随机分配给更改日志的数字。 | |
| 更改发生的时间。 | |
| 对条目执行的更改类型。 | |
| 在供应商服务器上添加、修改或删除条目的可分辨名称。 |
| 对目录服务器所做的更改. | |
| 定义条目的旧 Relative Distinguished Name (RDN)的标记应保留为条目的可分辨属性或应该被删除。 | |
| 条目的 RDN 是 modRDN 或 modDN 操作的目标。 | |
| 在处理 modDN 操作时,条目的名称成为现有条目直接的超值。 |
3.2.2. directoryServerFeature (Object Class)
此对象类专门用于标识目录服务功能的条目。此对象类由 Directory Server 定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.40
| 属性 | 定义 |
|---|---|
| objectClass | 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| cn | 指定条目的通用名称。 |
| multiLineDescription | 提供条目的文本描述。 |
| OID | 指定功能的 OID。 |
3.2.3. nsBackendInstance (Object Class)
此对象类用于 Directory 服务器后端或数据库实例条目。此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.109
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn | 提供条目的通用名称。 |
3.2.4. nsChangelog4Config (Object Class)
为了使目录服务器 11.3 在 Directory Server 4.x 服务器之间复制,目录服务器 11.3 实例必须配置特殊的更改日志。此对象类定义 retro changelog 的配置。
此对象类是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.82
| 属性 | 定义 |
|---|---|
| cn (common Name) | 提供条目的通用名称。 |
3.2.5. nsDS5Replica (Object Class)
此对象类用于在数据库复制中定义副本的条目。许多这些属性在后端内设置,且无法修改。
有关此对象类属性的信息,使用 目录服务器配置、命令和文件参考 的第 2 章中的核心配置属性列出。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.108
| objectClass | 定义条目的对象类。 |
| nsDS5ReplicaId | 指定复制环境中供应商的唯一 ID。 |
| nsDS5ReplicaRoot | 指定复制区域根目录下的后缀 DN。 |
| cn | 提供副本的名称。 |
| nsDS5Flags | 指定之前在标志中设置的信息。 |
| nsDS5ReplicaAutoReferral | 设置服务器是否遵循为目录服务器数据库配置的引用。 |
| nsDS5ReplicaBindDN | 指定在供应商服务器绑定到消费者时使用的 DN。 |
| nsDS5ReplicaChangeCount | 提供更改日志中的条目总数以及是否复制它们。 |
| nsDS5ReplicaLegacyConsumer | 指定副本是否为旧的消费者。 |
| nsDS5ReplicaName | 指定内部操作的副本的唯一 ID。 |
| nsDS5ReplicaPurgeDelay | 指定更改日志清除前的时间(以秒为单位)。 |
| nsDS5ReplicaReferral | 指定用户定义的引用的 URL。 |
| nsDS5ReplicaReleaseTimeout | 指定供应商发布副本后的超时,无论它是否已发送其更新。 |
| nsDS5ReplicaTombstonePurgeInterval | 指定清除操作周期之间的时间间隔(以秒为单位)。 |
| nsDS5ReplicaType | 定义副本的类型,如只读消费者。 |
| nsDS5Task | 启动复制任务,如将数据库内容转储到 LDIF;这由目录服务器供应商在内部使用。 |
| nsState | 存储时钟信息,以便生成正确的更改序列号。 |
3.2.6. nsDS5ReplicationAgreement (Object Class)
带有 nsDS5ReplicationAgreement 对象类的条目将信息存储在复制协议中设置的信息。有关此对象类属性的信息,请参考目录服务器配置、命令和文件参考 的第 2 章。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.103
| objectClass | 定义条目的对象类。 |
| cn | 用于命名复制协议。 |
| description | 包含复制协议的自由文本描述。 |
| nsDS5BeginReplicaRefresh | 手动初始化副本。 |
| nsds5debugreplicatimeout | 提供一个替代的超时时间,以便在使用 debug 日志记录运行时使用。 |
| nsDS5ReplicaBindDN | 指定在供应商服务器绑定到消费者时使用的 DN。 |
| nsDS5ReplicaBindMethod | 指定用于绑定的方法(SSL 或简单身份验证)。 |
| nsDS5ReplicaBusyWaitTime | 指定供应商在消费者发送回忙响应后应等待的时间(以秒为单位),然后再进行另一个尝试获取访问权限。 |
| nsDS5ReplicaChangesSentSinceStartup | 从服务器启动以来发送到此副本的更改数量。 |
| nsDS5ReplicaCredentials | 指定绑定 DN 的密码。 |
| nsDS5ReplicaHost | 指定消费者副本的主机名。 |
| nsDS5ReplicaLastInitEnd | 当消费者副本初始化结束时显示状态。 |
| nsDS5ReplicaLastInitStart | 当初始化消费者副本时的状态。 |
| nsDS5ReplicaLastInitStatus | 消费者初始化的状态。 |
| nsDS5ReplicaLastUpdateEnd | 最近一次复制调度更新终止时的状态。 |
| nsDS5ReplicaLastUpdateStart | 最近一次复制调度更新启动时的状态。 |
| nsDS5ReplicaLastUpdateStatus | 提供最新复制调度更新的状态。 |
| nsDS5ReplicaPort | 指定远程副本的端口号。 |
| nsDS5ReplicaRoot | 指定复制区域根目录下的后缀 DN。 |
| nsDS5ReplicaSessionPauseTime | 指定供应商在更新会话之间应等待的时间(以秒为单位)。 |
| nsDS5ReplicatedAttributeList | 指定不会复制到消费者服务器的任何属性。 |
| nsDS5ReplicaTimeout | 指定出站 LDAP 操作在超时和失败时等待来自远程副本的响应的秒数。 |
| nsDS5ReplicaTransportInfo | 指定用于向副本和从副本传输数据的传输类型。 |
| nsDS5ReplicaUpdateInProgress | 说明复制调度更新是否正在进行。 |
| nsDS5ReplicaUpdateSchedule | 指定复制调度。 |
| nsDS50ruv | 使用复制更新向量管理副本的内部状态。 |
| nsruvReplicaLastModified | 包含副本中的条目并更新更改的最新时间。 |
| nsds5ReplicaStripAttrs |
使用部分复制时,对 exclude 属性的更新仍然会触发复制事件,但该事件为空。此属性将属性设置为从复制更新中剥离。这可防止对 |
3.2.7. nsDSWindowsReplicationAgreement (Object Class)
存储涉及同步协议的同步属性。有关此对象类属性的信息,请参考红帽目录服务器配置、命令和文件参考 的第 2 章。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.503
| objectClass | 定义条目的对象类。 |
| cn | 提供同步协议的名称。 |
| description | 包含同步协议的文本描述。 |
| nsDS5BeginReplicaRefresh | 启动手动同步。 |
| nsds5debugreplicatimeout | 提供一个替代的超时时间,以便在使用 debug 日志记录运行时使用。 |
| nsDS5ReplicaBindDN | 指定在 Directory 服务器绑定到 Windows 服务器时要使用的 DN。 |
| nsDS5ReplicaBindMethod | 指定用于绑定的方法(SSL 或简单身份验证)。 |
| nsDS5ReplicaBusyWaitTime | 指定目录服务器在 Windows 服务器发送回忙响应后应等待的时间(以秒为单位),然后再进行另一个尝试获取访问权限。 |
| nsDS5ReplicaChangesSentSinceStartup | 显示 Directory 服务器启动后发送的更改数。 |
| nsDS5ReplicaCredentials | 指定绑定 DN 的凭证。 |
| nsDS5ReplicaHost | 指定正在同步的 Windows 服务器的 Windows 域控制器的主机名。 |
| nsDS5ReplicaLastInitEnd | 状态是 Windows 服务器最后一次更新(重新同步)终止的时间。 |
| nsDS5ReplicaLastInitStart | 指出 Windows 服务器最后一次更新(重新同步)启动的时间。 |
| nsDS5ReplicaLastInitStatus | Windows 服务器的总更新(重新同步)的状态。 |
| nsDS5ReplicaLastUpdateEnd | 最近一次更新终止时的状态。 |
| nsDS5ReplicaLastUpdateStart | 当最新更新启动时状态。 |
| nsDS5ReplicaLastUpdateStatus | 提供最新更新的状态。 |
| nsDS5ReplicaPort | 指定 Windows 服务器的端口号。 |
| nsDS5ReplicaRoot | 指定目录服务器的根后缀 DN。 |
| nsDS5ReplicaSessionPauseTime | 指定 Directory 服务器应该在更新会话之间等待的时间(以秒为单位)。 |
| nsDS5ReplicaTimeout | 指定出站 LDAP 操作在超时和失败时等待来自 Windows 服务器的响应的秒数。 |
| nsDS5ReplicaTransportInfo | 指定用于与 Windows 服务器来回传输数据的传输类型。 |
| nsDS5ReplicaUpdateInProgress | 说明更新是否正在进行。 |
| nsDS5ReplicaUpdateSchedule | 指定同步调度。 |
| nsDS50ruv | 使用复制更新向量(RUV)管理目录服务器同步对等点的内部状态。 |
| nsds7DirectoryReplicaSubtree | 指定同步的 Directory Server 后缀(root 或 sub)。 |
| nsds7DirsyncCookie | 包含由 sync 服务设置的 Cookie,该服务充当 RUV。 |
| nsds7NewWinGroupSyncEnabled | 指定是否在 Directory 服务器上自动创建新的 Windows 组帐户。 |
| nsds7NewWinUserSyncEnabled | 指定是否在 Directory 服务器上自动创建新的 Windows 用户帐户。 |
| nsds7WindowsDomain |
标识正在同步的 Windows 域;类似于复制协议中的 |
| nsds7WindowsReplicaSubtree | 指定同步的 Windows 服务器后缀(root 或 sub)。 |
| nsruvReplicaLastModified | 包含 Directory Server sync peer 中的条目被修改并更新了 changelog 的最新时间。 |
| winSyncInterval |
设置目录服务器轮询 Windows 服务器以进行写入的频率(以秒为单位)。如果没有设置,则默认为 300 秒,即 |
| winSyncMoveAction | 设置 sync 插件如何处理同步子树之外的 Active Directory 中发现的对应条目。同步进程可以忽略这些条目(none、默认值),或者可以假定条目被有意从同步中删除,然后可以删除对应的目录服务器条目(删除)或删除同步属性,不再同步条目(unsync)。 |
3.2.8. nsEncryptionConfig
nsEncryptionConfig 对象类存储允许的加密选项的配置信息,如协议和密码套件。这是在 Administrative Services 中定义的。
卓越的类
top
OID
nsEncryptionConfig-oid
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn (commonName) | 提供设备的通用名称。 |
| 属性 | 定义 |
|---|---|
| nsSSL3SessionTimeout | 为 SSLv3 密码会话设置超时周期。 |
| nsSSLClientAuth | 设置服务器如何处理客户端身份验证。有三个可能的值:allow、disallow 或 require。 |
| nsSSLSessionTimeout | 为密码会话设置超时周期。 |
| nsSSLSupportedCiphers | 包含可用于到服务器的安全连接的所有密码的列表。 |
| nsTLS1 | 设置是否为服务器启用 TLS 版本 1。 |
3.2.9. nsEncryptionModule
nsEncryptionModule 对象类存储加密模块信息。这是在 Administrative Services 中定义的。
卓越的类
top
OID
nsEncryptionModule-oid
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn (commonName) | 提供设备的通用名称。 |
| 属性 | 定义 |
|---|---|
| nsSSLActivation | 设置是否启用密码系列。 |
| nsSSLPersonalitySSL | 包含服务器用于 SSL 的证书名称。 |
| nsSSLToken | 标识服务器使用的安全令牌。 |
3.2.10. nsMappingTree (Object Class)
映射树将后缀映射到后端。每个映射树条目使用 nsMappingTree 对象类。此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.110
| 属性 | 定义 |
|---|---|
| objectClass | 提供分配给条目的对象类。 |
| cn | 提供条目的通用名称。 |
3.2.11. nsSaslMapping (Object Class)
此对象类用于包含将 SASL 属性映射到 Directory Server 属性的身份映射配置的条目。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.317
| objectClass | 定义条目的对象类。 |
| cn | 提供 SASL 映射条目的名称。 |
| 包含搜索基本 DN 模板。 | |
| 包含搜索过滤器模板。 | |
| 包含一个与 SASL 身份字符串匹配的正则表达式。 |
3.2.12. nsslapdConfig (Object Class)
nsslapdConfig 对象类为 Directory Server 实例定义配置对象 cn=config。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.39
| 属性 | 定义 |
|---|---|
| objectClass | 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| cn | 提供条目的通用名称。 |
3.2.13. passwordPolicy (Object Class)
local 和 global 密码策略都使用 passwordPolicy 对象类。此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.13
| 属性 | 定义 |
|---|---|
| objectClass | 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 设置用户密码过期后的秒数。 | |
|
标识用户的密码是否在 | |
| 设置密码必须使用的最少字符数。 | |
| 设置目录存储在历史记录中的密码数。 | |
| 标识是否允许用户更改自己的密码。 | |
| 设定警告消息发送给密码过期的用户前的秒数。 | |
| 标识在给定数量的绑定尝试失败后用户是否被锁定在目录中。 | |
| 设置在用户被锁定出目录后的失败绑定尝试次数。 | |
| 标识用户是否被锁定,直到管理员重置密码,或者用户在给定锁定持续时间后再次登录。默认为允许用户在锁定期间后重新登录。 | |
| 设置用户锁定在目录中的时间(以秒为单位)。 | |
| 在保存密码之前,服务器检查密码语法是否会被服务器检查。 | |
| 标识在首次登录目录或由 Directory Manager 重置密码后是否更改密码。 | |
| 第 3.1.1.214 节 “passwordStorageScheme (Password Storage Scheme)” | 设置用于存储目录服务器密码的加密类型。 |
| 设置在用户更改密码前必须经过的秒数。 | |
| 第 3.1.1.211 节 “passwordResetFailureCount (Reset Password Failure Count After)” | 设置密码故障计数器要重置的时间(以秒为单位)。每次从用户帐户发送无效的密码时,密码失败计数器都会递增。 |
| 设置在用户的密码过期时允许的宽限期数。 | |
| 设置密码必须使用的最少数字字符数(0 到 9)。 | |
| 设置密码必须使用的最小字母数。 | |
| 将大写字母字符的最小字符数 A 设置为 Z,该字符必须在密码中使用。 | |
| 将最小小写字符数设为 z,该字符必须在密码中使用。 | |
|
设置特殊 ASCII 字符的最小数量,如 | |
| 设置密码中使用的最少 8 位人数。 | |
| 设置一行中可以使用相同的字符的最大次数。 | |
| 设置必须在密码中使用的最小类别数。 | |
| 设置用于检查有问题的单词的长度。 | |
| 设定临时密码有效时的延迟。 | |
| 设置临时密码有效的秒数。 | |
| 第 3.1.1.217 节 “passwordTPRMaxUse”设定可以使用临时密码的最大尝试数 |
3.3. Root DSE 属性
本节中的属性用于为服务器实例定义根目录服务器条目(DSE)。DSE 中定义的信息与服务器实例的实际配置相关,如服务器软件版本所支持的控制、机制或功能。它还包含特定于实例的信息,如构建号和安装日期等。
DSE 在正常的 DIT 之外是一个特殊条目,可以通过搜索 null search base 来返回。例如:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s base -b "" "objectclass=*"
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s base -b "" "objectclass=*"3.3.1. dataversion
此属性包含一个时间戳,显示目录中任何数据的最新编辑时间。
dataversion: 020090923175302020090923175302
dataversion: 020090923175302020090923175302| OID | |
| 语法 | GeneralizedTime |
| 多值或 Single-Valued | 单值 |
| 定义于 | 目录服务器 |
3.3.2. defaultNamingContext
对应于命名上下文,不包括所有配置的命名上下文,客户端默认应使用它们。
| OID | |
| 语法 | DN |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
3.3.3. lastusn
每当写入操作 - add, modify, delete, 和 modrdn - 为该条目执行时,USN 插件会为每个条目分配一个序列号。USN 在条目的 entryUSN 操作属性中分配。
USN 插件有两种模式:local 和 global。
在本地模式中,为服务器实例维护的每个数据库都有自己的 USN 插件实例,每个后端数据库都有单独的 USN 计数器。为数据库中任何条目分配的最近 USN 显示在 lastusn 属性中。当 USN 插件设置为 local 模式时,lastUSN 属性会显示分配 USN 和 USN 的数据库:
lastusn;database_name:USN
lastusn;database_name:USN例如:
lastusn;example1: 213 lastusn;example2: 207
lastusn;example1: 213
lastusn;example2: 207
在全局模式中,当数据库使用共享 USN 计数器时,最后一个USN 值会显示任何数据库分配的最新 USN:
lastusn: 420
lastusn: 420此属性不计算内部服务器操作。只有后端数据库中的普通写入操作 - 添加、修改、删除和 modrdn - 递增 USN 计数。
| 语法 | 整数 |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
3.3.4. namingContexts
对应于服务器控制或影子的命名上下文。当目录服务器不控制任何信息(例如它是到公共 X.500 目录的 LDAP 网关时),缺少此属性。当目录服务器认为它包含整个目录时,属性具有单个值,并且该值是空字符串(代表根的 null DN)。这个属性允许客户端联系服务器来选择要搜索的适当基础对象。
| OID | 1.3.6.1.4.1.1466.101.120.5 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
3.3.5. netscapemdsuffix
此属性包含服务器中维护的机器数据的目录树的 DN。DN 本身指向 LDAP URL。例如:
cn=ldap://dc=server_name,dc=example,dc=com:389
cn=ldap://dc=server_name,dc=example,dc=com:389| OID | 2.16.840.1.113730.3.1.212 |
| 语法 | DN |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
3.3.6. supportedControl
此属性的值是对象标识符(OID),用于标识服务器支持的控制。当服务器不支持控制时,缺少此属性。
| OID | 1.3.6.1.4.1.1466.101.120.13 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
3.3.7. supportedExtension
此属性的值是对象标识符(OID),用于标识服务器支持的扩展操作。当服务器不支持扩展操作时,缺少此属性。
| OID | 1.3.6.1.4.1.1466.101.120.7 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
3.3.8. supportedFeatures
此属性包含 Red Hat Directory Server 当前版本支持的功能。
| OID | 1.3.6.1.4.1.4203.1.3.5 |
| 语法 | OID |
| 多或单值 | 多值 |
| 定义于 |
3.3.9. supportedLDAPVersion
此属性标识服务器实施的 LDAP 协议的版本。
| OID | 1.3.6.1.4.1.1466.101.120.15 |
| 语法 | 整数 |
| 多或单值 | 多值 |
| 定义于 |
3.3.10. 支持的SASL 机制
此属性标识服务器支持的 SASL 机制的名称。当服务器不支持 SASL 属性时,没有此属性。
| OID | 1.3.6.1.4.1.1466.101.120.14 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
3.3.11. vendorName
此属性包含服务器供应商的名称。
| OID | 1.3.6.1.1.4 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
3.3.12. vendorVersion
此属性显示服务器的厂商版本号。
| OID | 1.3.6.1.1.5 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
3.4. 旧属性
属性是带有 Directory Server 4.x 和更早的版本的标准。这仍然包含在用于兼容性的架构中,但不适用于当前版本的 Directory 服务器。
3.4.1. 传统服务器属性
这些属性最初用于为 Directory Server 4.x 和旧服务器配置服务器实例条目。
3.4.1.1. LDAPserver (Object Class)
此对象类标识 LDAP 服务器信息。它由 Directory Server 定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.35
| 属性 | 定义 |
|---|---|
| objectClass | 提供分配给条目的对象类。 |
| cn | 指定条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| description | 提供条目的文本描述。 |
| l (localityName) | 提供条目的城市或地理位置。 |
| ou (organizationalUnitName) | 为帐户所属的机构单元或部门指定。 |
| seeAlso | 包含指向另一个条目或带有相关信息的 URL。 |
| generation | 存储服务器生成字符串。 |
| changeLogMaximumAge | 指定 changelog 最长期限。 |
| changeLogMaximumSize | 指定最大 changelog 大小。 |
3.4.1.2. changeLogMaximumAge
这会设置服务器维护的 changelog 的最长期限。
| OID | 2.16.840.1.113730.3.1.200 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
3.4.1.3. changeLogMaximumConcurrentWrites
此属性设置可写入更改日志的最大并发写入数。
| OID | 2.16.840.1.113730.3.1.205 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
3.4.1.4. changeLogMaximumSize
此属性设置 changelog 的最大大小。
| OID | 2.16.840.1.113730.3.1.201 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
3.4.1.5. generation
此属性包含一个字节向量,它唯一标识该特定服务器和版本。这个数字可在复制过程中区分服务器。
| OID | 2.16.840.1.113730.3.1.612 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
3.4.1.6. nsSynchUniqueAttribute
此属性用于 Windows 同步。
| OID | 2.16.840.1.113730.3.1.407 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
3.4.1.7. nsSynchUserIDFormat
此属性用于 Windows 同步。
| OID | 2.16.840.1.113730.3.1.406 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
第 4 章 插件实现的服务器功能参考
本章包含 Red Hat Directory Server 插件的参考信息。
Directory Server 插件功能的每个部分的配置都有自己的单独的条目,以及子树 cn=plugins,cn=config 下的属性集。
其中一些属性对所有插件都常见,另一些属性可能特定于特定插件。通过对 cn=config 子树执行 ldapsearch,检查给定插件目前正在使用哪些属性。
所有插件都是 nsSlapdPlugin 对象类的实例,后者从 extensibleObject 对象类继承。对于服务器要考虑的插件配置属性,这两个对象类(除 top 对象类外)都必须存在于条目中,如下例所示:
dn:cn=ACL Plugin,cn=plugins,cn=config objectclass:top objectclass:nsSlapdPlugin objectclass:extensibleObject
dn:cn=ACL Plugin,cn=plugins,cn=config
objectclass:top
objectclass:nsSlapdPlugin
objectclass:extensibleObject4.1. 服务器端功能参考
下表简要介绍了 Directory Server 提供的插件,以及它们的可配置选项、可配置参数、默认设置、依赖项、常规与性能相关的信息,以及进一步阅读。这些表有助于权衡插件性能提升和成本,并为部署选择最佳设置。Further Information 部分进一步阅读,可以使用这个内容。
4.1.1. 7 位检查插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | NS7bitAtt |
| 配置条目的 DN | cn=7-bit check,cn=plugins,cn=config |
| 描述 | 检查某些属性为 7 位清理 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
|
属性列表( | 依赖项 |
| 数据库 | 性能有关的信息 |
| 无 | 更多信息 |
4.1.2. ACL 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | acl |
| 配置条目的 DN | cn=ACL Plugin,cn=plugins,cn=config |
| 描述 | ACL 访问检查插件 |
| 类型 | accesscontrol |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 访问控制会导致最小性能命中。保留此插件启用,因为它是服务器的访问控制的主要方法。 | 更多信息 |
4.1.3. ACL 预合作插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | acl |
| 配置条目的 DN | cn=ACL preoperation,cn=plugins,cn=config |
| 描述 | ACL 访问检查插件 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 访问控制会导致最小性能命中。保留此插件启用,因为它是服务器的访问控制的主要方法。 | 更多信息 |
4.1.4. 帐户策略插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Account Policy Plugin,cn=plugins,cn=config |
| 描述 | 定义在某个过期或不活跃期限后锁定用户帐户的策略。 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 指向包含全局帐户策略设置的配置条目的指针。 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 无 | 更多信息 |
4.1.5. 账户 Usability Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | cctusability |
| 配置条目的 DN | cn=Account Usability Plugin,cn=plugins,cn=config |
| 描述 | 检查帐户的身份验证状态或可用性,而无需以给定用户身份实际进行身份验证 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 依赖项 |
| 数据库 | 性能有关的信息 |
4.1.6. AD DN Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | addn |
| 配置条目的 DN | cn=addn,cn=plugins,cn=config |
| 描述 |
启用 Active Directory 格式的用户名(如 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
|
| 依赖项 |
| 无 | 性能有关的信息 |
4.1.7. 属性唯一插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | NSUniqueAttr |
| 配置条目的 DN | cn=Attribute Uniqueness,cn=plugins,cn=config |
| 描述 | 每次修改条目时,检查指定属性的值是否都是唯一的。例如,大多数站点都要求用户 ID 和电子邮件地址是唯一的。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
|
要检查所有列出的子树中的 UID 属性唯一性,请输入 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 目录服务器默认提供 UID 唯一插件。为确保其他属性的唯一值,请为这些属性创建属性的属性实例。有关属性唯一插件的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"使用属性唯一插件"部分。 默认情况下,UID 唯一插件是禁用的,因为在多层次复制环境中启用插件前需要解决的操作限制。开启插件可能会降低目录服务器性能。 | 更多信息 |
4.1.8. 自动成员资格插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | auto Membership |
| 配置条目的 DN | cn=Auto Membership,cn=plugins,cn=config |
| 描述 | 用于自动成员定义的容器条目。自动成员定义会搜索新条目,如果它们匹配定义的 LDAP 搜索过滤器和正则表达式条件,则会自动将条目添加到指定的组中。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 对于主插件条目,没有。定义条目必须指定 LDAP 范围、LDAP 过滤器、默认组和成员属性格式。可选的正则表达式子条目可以指定 inclusive 和 exclusive 表达式,以及不同的目标组。 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 无。 | 更多信息 |
4.1.9. 二进制语法插件
二进制语法已弃用。改为使用 Octet String 语法。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | bin-syntax |
| 配置条目的 DN | cn=Binary Syntax,cn=plugins,cn=config |
| 描述 | 处理二进制数据的语法。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.10. 位字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | bitstring-syntax |
| 配置条目的 DN | cn=Bit String Syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的位字符串语法值和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.11. 位插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 位 |
| 配置条目的 DN | cn=Bitwise Plugin,cn=plugins,cn=config |
| 描述 | 匹配针对 LDAP 服务器执行位操作的规则 |
| 类型 | matchingrule |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.12. 布尔值语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | boolean-syntax |
| 配置条目的 DN | cn=Boolean Syntax,cn=plugins,cn=config |
| 描述 | 支持布尔值(TRUE 或 FALSE)以及 RFC 4517 相关的匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.13. case Exact String Syntax Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | ces-syntax |
| 配置条目的 DN | cn=Case Exact String Syntax,cn=plugins,cn=config |
| 描述 | 支持区分大小写的匹配或目录字符串、IA5 字符串和相关语法。这不是一个区分大小写的语法;此插件为不同的字符串语法提供区分大小写的匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.14. case Ignore String Syntax Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | directorystring-syntax |
| 配置条目的 DN | cn=Case Ignore String Syntax,cn=plugins,cn=config |
| 描述 | 支持目录字符串、IA5 字符串和相关语法不区分大小写的匹配规则。这不是区分大小写的语法;此插件为不同的字符串语法提供区分大小写的匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.15. 链数据库插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 链数据库 |
| 配置条目的 DN | cn=Chaining database,cn=plugins,cn=config |
| 描述 | 启用链接后端数据库 |
| 类型 | database |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 链数据库涉及许多与性能相关的调整参数。请参阅 红帽目录服务器管理指南 中的"维护数据库链接"部分。 | 更多信息 |
4.1.16. 服务插件类
| 插件参数 | 描述 |
|---|---|
| 插件 ID | CoS |
| 配置条目的 DN | cn=Class of Service,cn=plugins,cn=config |
| 描述 | 允许在条目间共享属性 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| * 类型: Database * named: State Change Plug-in * named: Views Plug-in | 性能有关的信息 |
| 不要修改此插件的配置。使此插件始终保持运行。 | 更多信息 |
4.1.17. 内容同步插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | content-sync-plugin |
| 配置条目的 DN | cn=Content Synchronization,cn=plugins,cn=config |
| 描述 |
根据 RFC 4533 启用对目录服务器中的 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
| retro Changelog 插件 | 性能有关的信息 |
|
如果您知道哪个后端或子树客户端访问同步数据,请相应地限制 | 更多信息 |
4.1.18. 国家字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | countrystring-syntax |
| 配置条目的 DN | cn=Country String Syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的国家命名语法值和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.19. 交付方法语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | delivery-syntax |
| 配置条目的 DN | cn=Delivery Method Syntax,cn=plugins,cn=config |
| 描述 | 支持值,这些值是来自 RFC 4517 的首选交付方法和相关匹配规则的列表。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.20. deref Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 解引用 |
| 配置条目的 DN | cn=deref,cn=plugins,cn=config |
| 描述 | 在目录搜索中解引用控制 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.21. 区分名称语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | dn-syntax |
| 配置条目的 DN | cn=Distinguished Name Syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的 DN 值语法和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.22. 分布式数字分配插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | 分布式数字分配 |
| 配置条目 DN | cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 描述 | 分布式数字分配插件 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 依赖项 | |
| 数据库 | 性能有关的信息 |
| 无 | 更多信息 |
4.1.23. 增强的指南语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | enhancedguide-syntax |
| 配置条目的 DN | cn=Enhanced Guide Syntax,cn=plugins,cn=config |
| 描述 | 支持语法和相关匹配规则,以便基于属性和过滤器创建复杂条件,以便从 RFC 4517 构建搜索。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.24. Facsimile Telephone Number Syntax plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | facsimile-syntax |
| 配置条目的 DN | cn=Facsimile Telephone Number Syntax,cn=plugins,cn=config |
| 描述 | 支持 fax 编号的语法和相关匹配规则;从 RFC 4517。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.25. 传真语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | fax-syntax |
| 配置条目的 DN | cn=Fax Syntax,cn=plugins,cn=config |
| 描述 | 支持通过语法和相关匹配规则来存储传真对象的镜像;从 RFC 4517。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.26. 常规时间语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | time-syntax |
| 配置条目的 DN | cn=Generalized Time Syntax,cn=plugins,cn=config |
| 描述 | 支持处理日期、时间和时区的语法和相关匹配规则;通过 RFC 4517。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.27. 指南语法插件
此语法已弃用。改为使用增强指南语法。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | guide-syntax |
| 配置条目的 DN | cn=Guide Syntax,cn=plugins,cn=config |
| 描述 | 基于属性和过滤器创建复杂条件的语法,用于构建搜索 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.28. HTTP 客户端插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | http-client |
| 配置条目的 DN | cn=HTTP Client,cn=plugins,cn=config |
| 描述 | HTTP 客户端插件 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 更多信息 |
4.1.29. 整数语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | int-syntax |
| 配置条目的 DN | cn=Integer Syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的整数语法和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.30. 国际化插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | orderingrule |
| 配置条目的 DN | cn=Internationalization Plugin,cn=plugins,cn=config |
| 描述 | 启用国际化字符串在目录中排序 |
| 类型 | matchingrule |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
|
国际化插件具有一个参数,该参数不得修改,该参数指定 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.31. JPEG 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | jpeg-syntax |
| 配置条目的 DN | cn=JPEG Syntax,cn=plugins,cn=config |
| 描述 | 支持 JPEG 镜像数据的语法和相关匹配规则;从 RFC 4517。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.32. ldbm 数据库插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | ldbm-backend |
| 配置条目的 DN | cn=ldbm database,cn=plugins,cn=config |
| 描述 | 实现本地数据库 |
| 类型 | 数据库 |
| 可配置选项 | |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | * 语法 * matchingRule |
| 性能相关信息 | 有关数据库配置的详情,请查看 第 4.4 节 “数据库插件属性”。 |
| 更多信息 | 请参阅 Red Hat Directory Server Administration Guide 中的"配置目录数据库"一章。 |
4.1.33. 链接的属性插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 链接的属性 |
| 配置条目的 DN | cn=Linked Attributes,cn=plugins,cn=config |
| 描述 |
link-managed 属性配置条目的容器条目。容器下的每个配置条目都将一个属性链接到另一个属性,以便在一个条目更新时(如管理器条目),然后与该条目关联的任何条目(如自定义 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 对于主插件条目,没有。每个插件实例都有三个可能的属性: * linkType,它将插件的主要属性设置为监控 * managedType,它设定在修改 linkType 中的属性时插件动态管理的属性 * linkScope,它将插件活动限制为目录树中的特定子树 | 依赖项 |
| 数据库 | 性能有关的信息 |
| linkType 中设置的任何属性都必须只允许 DN 格式的值。managedType 中设置的任何属性都必须是 multi-valued。 | 更多信息 |
4.1.34. 受管条目插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | 受管条目 |
| 配置条目 DN | cn=Managed Entries,cn=plugins,cn=config |
| 描述 | 自动生成的目录条目的容器条目。每个配置条目都定义了目标子树和模板条目。当创建目标子树中的匹配条目时,插件会根据模板自动创建一个新的相关条目。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 对于主插件条目,没有。每个插件实例都有 4 个可能的属性: * originScope,它设置搜索基础 * originFilter,它为匹配条目设置搜索基础 * managedScope,它设置子树,以便在下创建新受管条目 * managedTemplate,这是用于创建受管条目的模板条目 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 无 | 更多信息 |
4.1.35. memberOf 插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | memberOf |
| 配置条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 描述 |
根据组条目中的成员属性,管理用户条目上的 |
| 类型 | Postoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
|
*
* | 依赖项 |
| 数据库 | 性能有关的信息 |
| 无 | 更多信息 |
4.1.36. 多主复制插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | replication-multimaster |
| 配置条目的 DN | cn=Multimaster Replication plugin,cn=plugins,cn=config |
| 描述 | 启用两个当前目录服务器之间的复制 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| * named: ldbm database * 命名: DES * 命名: 服务类 | 性能有关的信息 |
| 更多信息 |
4.1.37. 名称和可选的 UID 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | nameoptuid-syntax |
| 配置条目的 DN | cn=Name 和 Optional UID 语法,cn=plugins,cn=config |
| 描述 | 支持语法和相关匹配规则,以存储和搜索具有可选唯一 ID 的 DN;从 RFC 4517 搜索。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.38. 数字字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | numstr-syntax |
| 配置条目的 DN | cn=Numeric String Syntax,cn=plugins,cn=config |
| 描述 | 支持数字和空格字符串的语法和相关匹配规则;从 RFC 4517。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.39. octet String Syntax 插件
使用 Octet String 语法而不是 Binary,它已被弃用。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | octetstring-syntax |
| 配置条目的 DN | cn=Octet String Syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的 octet 字符串语法和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.40. OID 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | oid-syntax |
| 配置条目的 DN | cn=OID Syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的对象标识符(OID)语法和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.41. PAM 通过身份验证插件传递
| 插件参数 | 描述 |
|---|---|
| 插件 ID | pam_passthruauth |
| 配置条目的 DN | cn=PAM Pass Through Auth,cn=plugins,cn=config |
| 描述 | 为 PAM 启用直通身份验证,这意味着 PAM 服务可以将 Directory 服务器用作其用户身份验证存储。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能有关的信息 |
| 更多信息 |
4.1.42. 通过身份验证插件传递
| 插件参数 | 描述 |
|---|---|
| 插件 ID | passthruauth |
| 配置条目的 DN | cn=Pass Through Authentication,cn=plugins,cn=config |
| 描述 | 启用 直通身份验证,此机制允许一个目录查询另一个目录来验证绑定请求。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| ldap://example.com:389/o=example | 依赖项 |
| 数据库 | 性能有关的信息 |
| 直通身份验证会减慢绑定请求的速度很小,因为它们必须向远程服务器提供额外的跃点。请参阅 红帽目录服务器管理指南 中的"使用直通身份验证"一章。 | 更多信息 |
4.1.43. 密码存储方案
目录服务器实施密码存储方案作为插件。但是,cn=Password Storage Schemes,cn=plugins,cn=config 条目本身只是容器,而不是插件条目。所有密码存储方案插件都作为此容器的子条目存储。
要显示所有密码存储方案插件,请输入:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x \
-b "cn=Password Storage Schemes,cn=plugins,cn=config" -s sub "(objectclass=*)" dn
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x \
-b "cn=Password Storage Schemes,cn=plugins,cn=config" -s sub "(objectclass=*)" dn红帽建议不要禁用密码方案插件,或更改插件的配置,以防止无法预计的身份验证行为。
强大的密码存储方案
红帽建议只使用以下强大的密码存储方案(首先要注意):
PBKDF2_SHA256(默认)基于密码的密钥派生函数 2 (PBKDF2)旨在利用资源来反复攻击。PBKDF2 支持大量迭代来应用哈希算法。更高的迭代提高了安全性,但需要更多硬件资源。在目录服务器中,
PBKDF2_SHA256方案使用 30,000 个迭代来应用 SHA256 算法。这个值被硬编码,将在以后的目录服务器版本中增加,而无需管理员交互。注意Red Hat Enterprise Linux 6 中的网络安全服务(NSS)数据库不支持 PBKDF2。因此,您不能在目录服务器 9 的复制拓扑中使用此密码方案。
SSHA512salted 安全哈希算法(SSHA)实施安全哈希算法(SHA)的增强版本,它使用随机生成的 salt 来提高散列密码的安全性。
SSHA512使用 512 位实施哈希算法。
弱密码存储方案
除了推荐的强密码存储方案外,目录服务器还支持以下弱方案以向后兼容:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
目录服务器只支持使用这个方案进行身份验证。您无法再使用它来加密密码。
[b]
160 位
| ||
仅在短时间内继续使用弱方案,因为它会增加安全风险。
4.1.44. POSIX Winsync API 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | posix-winsync-plugin |
| 配置条目的 DN | cn=Posix Winsync API,cn=plugins,cn=config |
| 描述 | 为 Active Directory 用户和组条目上设置的 Posix 属性启用和配置 Windows 同步。 |
| 类型 | preoperation |
| 可配置参数 | * 开 |
| off * memberuid 映射(组) * 在小写(组)中转换和排序 memberUID 值 * memberOf 修复的任务带有同步操作 * 使用 Windows 2003 Posix 模式 | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
4.1.45. postal Address 字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | postaladdress-syntax |
| 配置条目的 DN | cn=Postal Address Syntax,cn=plugins,cn=config |
| 描述 | 支持 RFC 4517 中的邮政地址语法和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.46. 可打印的字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | printablestring-syntax |
| 配置条目的 DN | cn=Printable String Syntax,cn=plugins,cn=config |
| 描述 | 支持字母数字字符和匹配规则,并选择标点字符串(对于符合 RFC 4517中定义的可打印字符串的字符串)。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.47. 参考完整性后插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | referint |
| 配置条目的 DN | cn=Referential Integrity Postoperation,cn=plugins,cn=config |
| 描述 | 启用服务器以确保引用完整性 |
| 类型 | Postoperation |
| 可配置选项 | 所有配置和 |
| off | 默认设置 |
| off | 可配置参数 |
|
启用后,后运行引用完整性插件会在 delete 或 rename 操作后立即对 | 依赖项 |
| 数据库 | 性能有关的信息 |
| referential Integrity 插件应只在多层次复制环境中的一个供应商上启用,以避免冲突解析循环。在链服务器上启用插件时,请务必分析性能资源和时间需求以及完整性需求;完整性检查可以花费大量时间和 CPU 要求。对于存在和相等,所有指定的属性都必须被索引。 | 更多信息 |
4.1.48. retro Changelog 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | retrocl |
| 配置条目的 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 描述 |
LDAP 客户端用于维护与目录服务器 4.x 版本的应用程序兼容性。维护目录服务器中发生的所有更改的日志。retro changelog 提供与 Directory Server 4.x 版本中的 changelog 相同的功能。此插件将 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 有关此插件的两个配置属性的详情,请查看 第 4.16 节 “retro Changelog 插件属性”。 | 依赖项 |
| * 类型: Database * 命名: 服务类 | 性能有关的信息 |
| 可能会在目录服务器更新性能下降。 | 更多信息 |
4.1.49. 角色插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | roles |
| 配置条目的 DN | cn=Roles Plugin,cn=plugins,cn=config |
| 描述 | 在 Directory 服务器中启用角色 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| * 类型: Database * named: State Change Plug-in * named: Views Plug-in | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.50. rootdn 访问控制插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | rootdn-access-control |
| 配置条目的 DN | cn=RootDN Access Control,cn=plugins,cn=config |
| 描述 | 启用并配置用于根 DN 条目的访问控制。 |
| 类型 | internalpreoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置属性 |
| * rootdn-open-time 和 rootdn-close-time 用于基于时间的访问控制 * rootdn-days-allowed 用于基于日期的访问控制 * rootdn-allow-host、rootdn-deny-host、rootdn-allow-ip 和 rootdn-deny-ip 用于基于主机的访问控制 | 依赖项 |
| 无 | 更多信息 |
4.1.51. 模式 Reload 插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | schemareload |
| 配置条目 DN | cn=Schema Reload,cn=plugins,cn=config |
| 描述 | task 插件重新载入 schema 文件 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 更多信息 |
4.1.52. 在敏感字符串语法插件中空格
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Space Insensitive String syntax,cn=plugins,cn=config |
| 描述 | 处理空格不区分大小写值的语法 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.53. 州更改插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | statechange |
| 配置条目的 DN | cn=State Change Plugin,cn=plugins,cn=config |
| 描述 | 启用 state-change-notification 服务 |
| 类型 | postoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 更多信息 |
4.1.54. 语法验证任务插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Syntax Validation Task,cn=plugins,cn=config |
| 描述 | 为属性值启用语法验证 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 更多信息 |
4.1.55. 电话语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | tele-syntax |
| 配置条目的 DN | cn=Telephone Syntax,cn=plugins,cn=config |
| 描述 | 支持 RFC 4517 中的电话号码语法和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.56. Teletex Terminal Identifier Syntax Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | teletextermid-syntax |
| 配置条目的 DN | cn=Teletex Terminal Identifier Syntax,cn=plugins,cn=config |
| 描述 | 支持 RFC 4517 中的国际电话号码语法和相关匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.57. Telex Number Syntax Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | telex-syntax |
| 配置条目的 DN | cn=Telex Number Syntax,cn=plugins,cn=config |
| 描述 | 支持适用于电话数字、国家代码和电话代码的语法和相关匹配规则;从 RFC 4517 支持回应代码。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.1.58. URI 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=URI Syntax,cn=plugins,cn=config |
| 描述 | 支持唯一资源标识符(URIs)的语法和相关匹配规则,包括唯一资源 locators (URLs);来自 RFC 4517。 |
| 类型 | syntax |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能有关的信息 |
| 不要修改此插件的配置。如果启用,红帽建议始终运行此插件。 | 更多信息 |
4.1.59. USN Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | USN |
| 配置条目的 DN | cn=USN,cn=plugins,cn=config |
| 描述 | 每当有修改时,在条目上为条目设置更新序列号(USN),包括添加和删除条目和修改属性值。 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能有关的信息 |
|
对于复制,建议使用部分复制排除 | 更多信息 |
4.1.60. 查看插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 视图 |
| 配置条目的 DN | cn=Views,cn=plugins,cn=config |
| 描述 | 启用在目录服务器数据库中使用视图。 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| * 类型: Database * named: State Change Plug-in | 性能有关的信息 |
| 不要修改此插件的配置。红帽建议始终运行此插件。 | 更多信息 |
4.2. 所有插件的通用属性列表
此列表提供了简短属性描述、条目 DN、有效范围、默认值、语法以及每个属性的示例。
4.2.1. nsslapdPlugin (Object Class)
每个目录服务器插件属于 nsslapdPlugin 对象类。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.41
| 属性 | 定义 |
|---|---|
| objectClass | 提供分配给条目的对象类。 |
| cn | 提供条目的通用名称。 |
| 标识插件库名称(没有库后缀)。 | |
| 标识插件的初始化功能。 | |
| 标识插件的类型。 | |
| 标识插件 ID。 | |
| 标识插件的版本。 | |
| 标识插件的厂商。 | |
| 标识插件的描述。 | |
| 标识是否启用插件。 | |
| 按照执行顺序设置插件的优先级。 |
4.2.2. nsslapd-logAccess
此属性允许您将插件运行的搜索操作记录到 cn=config 的 nsslapd-accesslog 参数中设置的文件。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-logAccess: Off |
4.2.3. nsslapd-logAudit
此属性允许您记录和审核对数据库的修改,这源自于插件。
如果在 cn=config 中启用了 nsslapd-auditlog-logging-enabled 参数,则成功修改事件会在审计日志中记录。要通过插件记录失败的修改数据库操作,请在 cn=config 中启用 nsslapd-auditfaillog-logging-enabled 属性。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-logAudit: Off |
4.2.4. nsslapd-pluginDescription
此属性提供插件的描述。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginDescription: acl access check plug-in |
4.2.5. nsslapd-pluginEnabled
此属性指定插件是否已启用。此属性可以更改协议,但只有在服务器下次重启时生效。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginEnabled: on |
4.2.6. nsslapd-pluginId
此属性指定插件 ID。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的插件 ID |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginId: chaining database |
4.2.7. nsslapd-pluginInitfunc
此属性指定要启动的插件功能。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的插件功能 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginInitfunc: NS7bitAttr_Init |
4.2.8. nsslapd-pluginPath
此属性指定插件的完整路径。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginPath: uid-plugin |
4.2.9. nsslapd-pluginPrecedence
此属性为插件的执行顺序设置优先级或优先级。优先级定义插件的执行顺序,允许更复杂的环境或交互,因为它可以启用插件以在执行前等待已完成的操作。这对预操作和安装后插件更为重要。
值为 1 的插件具有最高优先级,并且会先运行;值为 99 的插件具有最低的优先级。默认值为 50.
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 1 到 99 |
| 默认值 | 50 |
| 语法 | 整数 |
| 示例 | nsslapd-pluginPrecedence: 3 |
4.2.10. nsslapd-pluginType
此属性指定插件类型。详情请查看 第 4.3.5 节 “nsslapd-plugin-depends-on-type”。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的插件类型 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginType: preoperation |
4.2.11. nsslapd-pluginVendor
此属性指定插件的厂商。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何批准的插件厂商 |
| 默认值 | Red Hat, Inc. |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginVendor: Red Hat, Inc. |
4.2.12. nsslapd-pluginVersion
此属性指定插件版本。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的插件版本 |
| 默认值 | 产品版本号 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginVersion: 11.3 |
4.3. 由 Certain 插件允许的属性
4.3.1. nsslapd-dynamic-plugins
目录服务器具有可在不重启服务器的情况下启用的动态插件。nsslapd-dynamic-plugins 属性指定服务器是否配置为允许动态插件。默认情况下禁用动态插件。
目录服务器不支持动态插件。仅使用它进行测试和调试目的。
有些插件无法配置为动态插件,它们需要重启服务器。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-dynamic-plugins: on |
4.3.2. nsslapd-pluginConfigArea
有些插件条目是容器条目,插件的多个实例会在 cn=plugins,cn=config 的容器下创建。但是,cn=plugins,cn=config 不会被复制,这意味着每个目录服务器实例上必须手动配置这些容器条目下的插件配置。
nsslapd-pluginConfigArea 属性指向另一个容器条目,在主数据库区中,其中包含插件实例条目。此容器条目可以在复制的数据库中,允许复制插件配置。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DN |
| 示例 | nsslapd-pluginConfigArea: cn=managed entries container,ou=containers,dc=example,dc=com |
4.3.3. nsslapd-pluginLoadNow
此属性指定是否立即加载插件使用的所有符号(true),以及这些符号引用的所有符号,还是在首次使用符号时加载符号(false)。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginLoadNow: false |
4.3.4. nsslapd-pluginLoadGlobal
此属性指定依赖库中的符号是在本地可见的(false)还是可执行文件以及所有共享对象(true)。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginLoadGlobal: false |
4.3.5. nsslapd-plugin-depends-on-type
用于确保服务器以正确顺序调用插件的多值属性。取一个与插件的类型数对应的值,它包含在属性 nsslapd-pluginType 中。详情请查看 第 4.2.10 节 “nsslapd-pluginType”。具有 type 值的所有插件都与以下有效范围中的值匹配,服务器在此插件之前将启动。以下 postoperation referential Integrity 插件示例演示了数据库插件将在执行引用引用插件之前启动。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=referential integrity postoperation,cn=plugins,cn=config |
| 有效值 | database |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-depends-on-type: database |
4.3.6. nsslapd-plugin-depends-on-named
用于确保服务器以正确顺序调用插件的多值属性。获取与插件的 cn 值对应的值。具有 cn 值的插件与以下值之一匹配,服务器将在此插件之前启动。如果插件不存在,服务器无法启动。以下后完整性插件示例演示了在角色之前启动 Views 插件。如果缺少视图,服务器将不会启动。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=referential integrity postoperation,cn=plugins,cn=config |
| 有效值 | 服务类 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | * nsslapd-plugin-depends-on-named: Views * nsslapd-pluginId: roles |
4.4. 数据库插件属性
数据库插件也组织在信息树中,如 图 4.1 “数据库插件” 所示。
图 4.1. 数据库插件
数据库实例使用的所有插件技术都存储在 cn=ldbm 数据库 插件节点上。本节以 cn=ldbm database,cn=plugins,cn=config 信息树以粗体显示每个节点的附加属性信息。
本节介绍所有实例通用的全局配置属性,存储在 cn=config,cn=ldbm database,cn=plugins,cn=config tree 节点上。
4.4.1.1. nsslapd-backend-implement
nsslapd-backend-implement 参数定义数据库后端服务器使用。
目录服务器目前只支持 Berkeley 数据库(BDB)。因此,您无法将此参数设置为不同的值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | bdb |
| 默认值 | bdb |
| 语法 | 目录字符串 |
| 示例 | nsslapd-backend-implement: bdb |
4.4.1.2. nsslapd-backend-opt-level
这个参数可以触发实验代码以提高写入性能。
可能的值:
-
0:禁用参数。 -
1:在事务过程中,复制更新向量不会写入数据库 -
2:更改获取后端锁定并启动事务的顺序 -
4:将代码从事务中移出。
所有参数都可以合并。例如 7 会启用所有最佳功能。
这个参数是实验性的。除非特别被红帽支持告知,否则请勿更改其值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0 | 1 | 2 | 4 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-backend-opt-level: 0 |
4.4.1.3. nsslapd-directory
此属性指定数据库实例的绝对路径。如果手动创建数据库实例,则必须包含此属性,这在 Directory Server Console 中默认设置(可修改)。创建数据库实例后,请勿修改此路径,因为更改风险阻止服务器访问数据。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 数据库实例的任何有效绝对路径 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-directory: /var/lib/dirsrv/slapd-instance/db |
4.4.1.4. nsslapd-exclude-from-export
此属性包含在导出数据库时从条目中排除的属性名称列表。这主要用于某些特定于服务器实例的配置和操作属性。
不要删除此属性的任何默认值,因为这可能会影响服务器性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的属性 |
| 默认值 | entrydn entryid dncomp parentid numSubordinates entryusn |
| 语法 | DirectoryString |
| 示例 | nsslapd-exclude-from-export: entrydn entryid dncomp parentid numSubordinates entryusn |
4.4.1.5. nsslapd-db-transaction-wait
如果您启用 nsslapd-db-transaction-wait 参数,目录服务器不会启动事务并等待锁定资源可用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-transaction-wait: off |
4.4.1.6. nsslapd-db-private-import-mem
nsslapd-db-private-import-mem 参数管理目录服务器是否使用私有内存来分配数据库导入的区域和 mutexes。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-private-import-mem: on |
4.4.1.7. nsslapd-db-deadlock-policy
nsslapd-db-deadlock-policy 参数设置 libdb library-internal deadlock 策略。
只有红帽支持指示时更改此参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0-9 |
| 默认值 | 0 |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-deadlock-policy: 9 |
4.4.1.8. nsslapd-idl-switch
nsslapd-idl-switch 参数设置 IDL 格式目录服务器使用。请注意,红帽不再支持旧的 IDL 格式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 新 | 旧 |
| 默认值 | new |
| 语法 | 目录字符串 |
| 示例 | nsslapd-idl-switch: new |
4.4.1.9. nsslapd-idlistscanlimit
默认情况下,这个与性能相关的属性指定搜索在搜索操作期间搜索的条目 ID 数量。对于 32 位签名整数,尝试设置不是数字或太大的值会返回 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释此问题的额外错误消息。建议保留默认值以提高搜索性能。
详情请查看以下相应部分:
此参数可以在服务器运行时更改,新值将影响后续搜索。
对应的 user-level 属性是 nsIDListScanLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 100 到最大 32 位整数值(2147483647)条目 ID |
| 默认值 | 2147483646 |
| 语法 | 整数 |
| Example | nsslapd-idlistscanlimit: 50000 |
4.4.1.10. nsslapd-lookthroughlimit
此与性能相关的属性指定 Directory 服务器在响应搜索请求时检查候选条目时检查的最大条目数。但是,目录管理器 DN 默认是无限的,覆盖此处指定的任何其他设置。值得注意,对于这个限制,基于绑定的资源限值可以正常工作,这意味着,如果条目中存在 operational 属性 nsLookThroughLimit 的值,用户绑定绑定,默认限制会被覆盖。对于 32 位签名的整数,尝试设置不是数字或太大的值会返回 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释此问题的额外错误消息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1 在条目中最大 32 位整数(其中 -1 代表无限) |
| 默认值 | 5000 |
| 语法 | 整数 |
| 示例 | nsslapd-lookthroughlimit: 5000 |
4.4.1.11. nsslapd-mode
此属性指定用于新创建的索引文件的权限。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 |
任何四位八进制数。但是,建议使用模式 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-mode: 0600 |
4.4.1.12. nsslapd-pagedidlistscanlimit
此与性能相关的属性指定搜索的条目 ID 数,特别是使用简单页面结果控制的搜索操作。
此属性的工作方式与 nsslapd-idlistscanlimit 属性相同,但它只适用于使用简单页面的结果控制进行搜索。
如果此属性不存在或设置为零,则使用 nsslapd-idlistscanlimit 进行页化搜索和非页搜索。
对应的 user-level 属性是 nsPagedIDListScanLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1 在条目中最大 32 位整数(其中 -1 代表无限) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-pagedidlistscanlimit: 5000 |
4.4.1.13. nsslapd-pagedlookthroughlimit
此与性能相关的属性指定在检查使用简单页面结果控制的候选条目时,Directory 服务器将检查的最大条目数。
此属性的工作方式与 nsslapd-lookthroughlimit 属性相同,但它只适用于使用简单页面结果控制进行搜索。
如果此属性不存在或设置为零,则使用 nsslapd-lookthroughlimit 进行页化搜索和非页搜索。
对应的 user-level 属性是 nsPagedLookThroughLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1 在条目中最大 32 位整数(其中 -1 代表无限) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-pagedlookthroughlimit: 25000 |
4.4.1.14. nsslapd-rangelookthroughlimit
此与性能相关的属性指定 Directory 服务器在响应范围搜索请求时检查候选条目时的最大条目数。
范围搜索使用运算符设置括号,以搜索和返回目录中整个条目子集。例如,这会搜索在 1 月 1 日午夜之后修改的每个条目:
(modifyTimestamp>=20200101010101Z)
(modifyTimestamp>=20200101010101Z)范围搜索的性质是它必须评估目录中的每一条目,才能查看它是否位于给定的范围内。基本上,搜索范围始终是所有 ID 搜索。
对于大多数用户,look-through 限制将启动,并防止范围搜索转换为所有 ID 搜索。这提高了整体性能并加快了范围搜索结果。但是,某些客户端或管理用户(如 Directory Manager)可能没有设置 look-through 限制。在这种情况下,范围搜索可能需要几分钟才能完成,甚至无限期地继续。
nsslapd-rangelookthroughlimit 属性设置适用于所有用户(包括 Directory Manager)的独立范围查找限制。
这允许客户端和管理用户具有较高的查找限制,同时仍允许对性能有影响的范围搜索进行合理的限制。
与其他资源限制不同,这适用于任何用户(包括目录管理器、常规用户和其他 LDAP 客户端)进行搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1 在条目中最大 32 位整数(其中 -1 代表无限) |
| 默认值 | 5000 |
| 语法 | 整数 |
| 示例 | nsslapd-rangelookthroughlimit: 5000 |
4.4.1.15. nsslapd-search-bypass-filter-test
如果您启用 nsslapd-search-bypass-filter-test 参数,Directory 服务器会在搜索期间构建候选列表时绕过过滤器检查。如果将参数设置为 验证,Directory 服务器将根据搜索候选条目评估过滤器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off | verify |
| 默认值 | on |
| 语法 | 目录字符串 |
| 示例 | nsslapd-search-bypass-filter-test: on |
4.4.1.16. nsslapd-search-use-vlv-index
nsslapd-search-use-vlv-index 启用和禁用虚拟列表视图(VLV)搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | 目录字符串 |
| 示例 | nsslapd-search-use-vlv-index: on |
4.4.1.17. nsslapd-subtree-rename-switch
每个目录条目都作为密钥存储在条目索引文件中。index 键将当前条目 DN 映射到索引中的 meta 条目。此映射通过条目的 RDN 或条目的完整 DN 来完成。
当允许重命名子树条目(注意,带有子条目的条目)时,其条目将存储在 entryrdn.db 索引中,该条目通过分配的 ID 而不是其 DN 关联父和子条目。如果不允许子树重命名操作,则禁用 entryrdn.db 索引,并使用 entrydn.db 索引,它只是使用完整的 DN,具有隐式 parent-child 关系。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | off | on |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-subtree-rename-switch: on |
本节介绍所有实例通用的全局配置属性,存储在 cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config tree 节点上。
4.4.2.1. nsslapd-cache-autosize
此性能调优相关的属性设定数据库和条目缓存总量使用的可用内存百分比。例如,如果值设置为 10,则系统的可用 RAM 的 10% 都用于两个缓存。如果将此值设置为大于 0 的值,则会为数据库和条目缓存启用自动大小。
为了优化性能,红帽建议不要禁用自动大小。然而,在某些情况下,可能需要禁用自动大小。在这种情况下,将 nsslapd-cache-autosize 属性设置为 0 并手动设置:
-
nsslapd-dbcachesize属性中的数据库缓存。 -
nsslapd-cachememsize属性中的条目缓存。
有关自动大小的详情,请查看 红帽目录服务器性能调优指南中的相应部分。
如果 nsslapd-cache-autosize 和 nsslapd-cache-autosize-split 属性都设置为高值,如 100,目录服务器将无法启动。要解决这个问题,请将这两个参数都设置为更合理的值。例如:
nsslapd-cache-autosize: 10 nsslapd-cache-autosize-split: 40
nsslapd-cache-autosize: 10
nsslapd-cache-autosize-split: 40| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 100。如果设置了 0,则使用默认值。 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsslapd-cache-autosize: 10 |
4.4.2.2. nsslapd-cache-autosize-split
此性能调优相关的属性设定用于数据库缓存的 RAM 百分比。剩余百分比用于条目缓存。例如,如果值设为 40,数据库缓存使用 40%,并且条目缓存缓存在 nsslapd-cache-autosize 属性中保留的空闲 RAM 的剩余 60%。
有关自动大小的详情,请查看 红帽目录服务器性能调优指南中的相应部分。
如果 nsslapd-cache-autosize 和 nsslapd-cache-autosize-split 属性都设置为高值,如 100,目录服务器将无法启动。要解决这个问题,请将这两个参数都设置为更合理的值。例如:
nsslapd-cache-autosize: 10 nsslapd-cache-autosize-split: 40
nsslapd-cache-autosize: 10
nsslapd-cache-autosize-split: 40| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 99。如果设置了 0,则使用默认值。 |
| 默认值 | 40 |
| 语法 | 整数 |
| 示例 | nsslapd-cache-autosize-split: 40 |
4.4.2.3. nsslapd-db-checkpoint-interval
这会设定目录服务器向数据库事务日志发送检查点条目的时间(以秒为单位)。数据库事务日志包含所有最新数据库操作的连续列表,仅用于数据库恢复。checkpoint 条目表示已将哪些数据库操作物理写入目录数据库。checkpoint 条目用于确定数据库事务日志中在系统失败后开始恢复的位置。dse.ldif 中缺少 nsslapd-db-checkpoint-interval 属性。要更改检查点间隔,请将属性添加到 dse.ldif。可以使用 ldapmodify 动态修改此属性。有关修改此属性的详情,请参考红帽目录服务器管理指南中的"调整 目录服务器性能"章节。
此属性仅用于系统修改/无关,仅应在红帽技术支持或红帽咨询指导下更改。此属性和其他配置属性的设置不一致可能会导致目录服务器不稳定。
有关数据库事务日志记录的更多信息,请参阅 红帽目录服务器管理指南 中的"监控服务器和数据库活动"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 10 到 300 秒 |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsslapd-db-checkpoint-interval: 120 |
4.4.2.4. nsslapd-db-circular-logging
此属性为事务日志文件指定循环日志记录。如果此属性关闭,旧的事务日志文件不会被删除,并被重命名为旧的日志事务文件。关闭环形日志记录会严重降低服务器性能,因此只有红帽技术支持或红帽咨询的指导才应修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-circular-logging: on |
4.4.2.5. nsslapd-db-compactdb-interval
nsslapd-db-compactdb-interval 属性定义目录服务器压缩数据库和复制更改日志时的时间间隔(以秒为单位)。紧凑操作会将未使用的页面返回到文件系统和数据库文件大小缩小。请注意,紧凑数据库是资源密集型,不应经常进行。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0 (无压缩)到 2147483647 秒 |
| 默认值 | 2592000 (30 天) |
| 语法 | 整数 |
| 示例 | nsslapd-db-compactdb-interval: 2592000 |
4.4.2.6. nsslapd-db-compactdb-time
nsslapd-db-compactdb-time 属性设置目录服务器压缩所有数据库及其复制更改日志的时间。超过压缩间隔后运行压缩任务(nsslapd-db-compactdb-interval)。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | H:MM.时间以 24 小时格式设置 |
| 默认值 | 23:59 |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-compactdb-time: 23:59 |
4.4.2.7. nsslapd-db-debug
此属性指定是否向 {Directory Server} 报告额外的错误信息。要报告错误信息,请在 上将 参数设置为。此参数用于故障排除;启用该参数可能会减慢目录服务器的速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-debug: off |
4.4.2.8. nsslapd-db-durable-transactions
此属性设定数据库事务日志条目是否立即写入磁盘。数据库事务日志包含所有最新数据库操作的连续列表,仅用于数据库恢复。启用持久事务后,每个目录更改将始终在日志文件中记录,因此可以在系统失败时恢复。但是,持久化事务功能可能会降低目录服务器的性能。当禁用持久事务时,所有事务在逻辑上写入数据库事务日志,但可能无法立即写入磁盘。如果在目录更改物理上写入磁盘前系统出现故障,则该更改将无法被恢复。dse.ldif 中缺少 nsslapd-db-durable-transactions 属性。要禁用持久事务,请将属性添加到 dse.ldif。
此属性仅用于系统修改/无关,仅应在红帽技术支持或红帽咨询指导下更改。此属性和其他配置属性的设置不一致可能会导致目录服务器不稳定。
有关数据库事务日志记录的更多信息,请参阅 红帽目录服务器管理指南 中的"监控服务器和数据库活动"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-durable-transactions: on |
4.4.2.9. nsslapd-db-home-directory
为了提高性能,要将数据库移到另一个物理位置,请使用此参数来指定主目录。
这个情况只会针对某些数据库缓存大小、物理内存大小和内核调优属性的组合发生。特别是,如果数据库缓存大小小于 100MB,则不应发生这种情况。
- 磁盘被大量使用(每秒 1MB/秒的数据传输)。
- 服务时间较长(超过 100ms)。
- 主要有多的写入活动。
如果这些都是 true,请使用 nsslapd-db-home-directory 属性来指定 tempfs 类型文件系统的子目录。
nsslapd-db-home-directory 属性引用的目录必须是 tempfs (如 /tmp)的文件系统的子目录。但是,目录服务器不会创建此属性引用的子目录。此目录必须手动创建,也可以使用脚本创建。如果无法创建由 nsslapd-db-home-directory 属性引用的目录,会导致目录服务器无法启动。
另外,如果同一机器上有多个目录服务器,则它们的 nsslapd-db-home-directory 属性必须配置不同的目录。如果不这样做,将导致两个目录的数据库被破坏。
使用此属性会导致内部目录服务器数据库文件移到属性引用的目录中。有可能,但不太可能,服务器在文件移动后不再启动,因为无法分配足够的内存。这是为服务器配置过大的数据库缓存大小的症状。如果发生这种情况,将数据库缓存大小的大小减小到服务器再次启动的值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 |
tempfs 文件系统中的任何有效目录名称,如 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-home-directory: /tmp/slapd-phonebook |
4.4.2.10. nsslapd-db-idl-divisor
此属性按每个数据库页面的块数量来指定索引块大小。块大小是通过将数据库页大小除以此属性的值来计算的。值 1 使块大小等于页大小。默认值 0 将块大小设置为页大小减去了内部数据库开销的估算。对于大多数安装,除非有特定的调整需要,否则不应更改默认值。
在修改此属性的值之前,请使用 db2ldif 脚本导出所有数据库。完成修改后,使用 ldif2db 脚本重新加载数据库。
这个参数应该只被非常高级的用户使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 8 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-db-idl-divisor: 2 |
4.4.2.11. nsslapd-db-locks
目录服务器中的锁定机制控制目录服务器进程可以同时运行多少个副本。nsslapd-db-locks 参数设置最大锁定数。
只有在 Directory 服务器没有锁定并且日志 libdb: Lock 表没有可用的锁定错误消息时,才会将 这个参数设置为更高的值。如果您在不需要设置更高的值,这会增加 /var/lib/dirsrv/slapd-instance_name/db__db decisions 文件的大小,而无需任何好处。有关监控日志并确定实际值的更多信息,请参阅 目录服务器性能调优指南中的相应部分。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 - 2147483647 |
| 默认值 | 10000 |
| 语法 | 整数 |
| 示例 | nsslapd-db-locks: 10000 |
4.4.2.12. nsslapd-db-locks-monitoring-enable
不使用数据库锁定可能会导致数据崩溃。使用 nsslapd-db-locks-monitoring-enable 参数,您可以启用或禁用数据库锁定监控。如果启用了该参数(这是默认设置),如果活跃数据库锁定的数量高于 nsslapd-db-locks-monitoring-threshold 中配置的百分比阈值,则目录服务器会终止所有搜索。如果出现问题,管理员可以在 nsslapd-db-locks 参数中增加数据库锁定的数量。
重启该服务以使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-locks-monitoring-enable: on |
4.4.2.13. nsslapd-db-locks-monitoring-pause
如果在 nsslapd-db-locks-monitoring-enable 参数中启用了数据库锁定,nsslapd-db-locks-monitoring-pause 会定义监控线程在检查之间休眠的时间间隔,以毫秒为单位。
如果将此参数设置为过高的值,服务器可以在监控检查发生前耗尽数据库锁定。但是,设置太低的值可能会减慢服务器的速度。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0 - 2147483647 (以毫秒为单位的值) |
| 默认值 | 500 |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-locks-monitoring-pause: 500 |
4.4.2.14. nsslapd-db-locks-monitoring-threshold
如果在 nsslapd-db-locks-monitoring-enable 参数中启用了数据库锁定,nsslapd-db-locks-monitoring-threshold 会在 Directory 服务器终止搜索前设置使用数据库锁定的最大百分比,以避免进一步锁定。
重启该服务以使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 70 - 95 |
| 默认值 | 90 |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-locks-monitoring-threshold: 90 |
4.4.2.15. nsslapd-db-logbuf-size
此属性指定日志信息缓冲区大小。日志信息保存在内存中,直到缓冲区填满或事务提交强制将缓冲区写入到磁盘。较大的缓冲区大小可在长时间运行的事务、高度并发应用程序或事务生成大量数据的情况下显著提高吞吐量。日志信息缓冲大小是事务日志大小除以 4 个。
只有 nsslapd-db-durable-transactions 属性设置为 on 时,nsslapd-db-logbuf-size 属性才有效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 32k 最多 32 位整数(仅限于机器上可用内存) |
| 默认值 | 32K |
| 语法 | 整数 |
| 示例 | nsslapd-db-logbuf-size: 32K |
4.4.2.16. nsslapd-db-logdirectory
此属性指定包含数据库事务日志的目录的路径。数据库事务日志包含所有最新数据库操作的连续列表。目录服务器使用此信息在实例意外关闭后恢复数据库。
默认情况下,数据库事务日志存储在与目录数据库相同的目录中。要更新此参数,您必须手动更新 /etc/dirsrv/slapd-instance_name/dse.ldif 文件。详情请参阅 Red Hat Directory Server Administration Guide中的 change theTransaction Log Directory 部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-logdirectory: /var/lib/dirsrv/slapd-instance_name/db/ |
4.4.2.17. nsslapd-db-logfile-size
此属性指定日志中单个文件的最大大小(以字节为单位)。默认情况下,或者如果值设为 0, 则使用最大 10MB。最大大小是一个未签名的 4 字节值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到未签名的 4 字节整数 |
| 默认值 | 10MB |
| 语法 | 整数 |
| 示例 | nsslapd-db-logfile-size: 10 MB |
4.4.2.18. nsslapd-db-page-size
此属性指定用于存放数据库中项目的页面大小(以字节为单位)。最小大小为 512 字节,最大大小为 64 KB。如果没有显式设置页面大小,Directory 服务器默认为 8 KB 的页大小。更改此默认值可能会对性能有重大影响。如果页面大小太小,则会导致大量页面分割和复制,而如果页大小太大,则可能会浪费磁盘空间。
在修改此属性的值之前,请使用 db2ldif 脚本导出所有数据库。完成修改后,使用 ldif2db 脚本重新加载数据库。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 512 字节到 64 KB |
| 默认值 | 8KB |
| 语法 | 整数 |
| 示例 | nsslapd-db-page-size: 8KB |
4.4.2.19. nsslapd-db-spin-count
此属性指定 test-and-set mutexes 应该在不阻止的情况下启动的次数。
除非您对 Berkeley DB 的内部工作或被红帽支持特别告知,否则永远不会联系这个值。
默认值 0 会导致 BDB 通过乘以可用 CPU 内核数(由 nproc 实用程序或 sysconf (_SC_NPROCESSORS_ONLN) 调用来计算实际值。例如,如果处理器有 8 个逻辑内核,使此属性设置为 0 相当于将其设置为 400。无法完全关闭中断 - 如果您要尽可能减少 test-and-set mutexes 将启动的次数,如果没有阻塞,将此属性设置为 1。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 2147483647 (2^31-1) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-db-spin-count: 0 |
4.4.2.20. nsslapd-db-transaction-batch-max-wait
如果设置了 第 4.4.2.22 节 “nsslapd-db-transaction-batch-val”,则当达到集合批处理值时,由单独的线程清除事务。但是,如果只有几个更新,这个过程可能需要很长时间。此参数控制何时应刷新事务,独立于批处理计数。这些值以毫秒为单位定义。
这个参数是实验性的。除非特别被红帽支持告知,否则请勿更改其值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 - 2147483647 (以毫秒为单位的值) |
| 默认值 | 50 |
| 语法 | 整数 |
| 示例 | nsslapd-db-transaction-batch-max-wait: 50 |
4.4.2.21. nsslapd-db-transaction-batch-min-wait
如果设置了 第 4.4.2.22 节 “nsslapd-db-transaction-batch-val”,则当达到集合批处理值时,由单独的线程清除事务。但是,如果只有几个更新,这个过程可能需要很长时间。此参数控制何时应独立于批处理计数单独清空事务。这些值以毫秒为单位定义。
这个参数是实验性的。除非特别被红帽支持告知,否则请勿更改其值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 - 2147483647 (以毫秒为单位的值) |
| 默认值 | 50 |
| 语法 | 整数 |
| 示例 | nsslapd-db-transaction-batch-min-wait: 50 |
4.4.2.22. nsslapd-db-transaction-batch-val
此属性指定在提交前将批处理多少个事务。当不需要完整的事务持久性时,此属性可以提高更新的性能。可以使用 ldapmodify 动态修改此属性。有关修改此属性的详情,请参考红帽目录服务器管理指南中的"调整 目录服务器性能"章节。
设置此值将降低数据一致性,并可能导致数据丢失。这是因为,如果服务器可以在服务器刷新批处理事务前出现电源中断,则批处理中的这些事务将会丢失。
除非被红帽支持特别请求,否则不要设置这个值。
如果此属性未定义或设置为 0,则事务批处理将关闭,并且无法使用 LDAP 对此属性进行远程修改。但是,将此属性设置为大于 0 的值会导致服务器延迟提交事务,直到排队的事务数量等于属性值。大于 0 的值还允许使用 LDAP 远程修改此属性。此属性的 1 值允许使用 LDAP 远程修改属性设置,但不会批处理行为。因此,在服务器启动时,1 代表保持正常的持久性,同时允许在需要时远程打开和关闭事务批处理。请记住,此属性的值可能需要修改 nsslapd-db-logbuf-size 属性,以确保为批处理事务进行足够的日志缓冲区大小。
只有 nsslapd-db-durable-transaction 属性设置为 on 时,nsslapd-db-transaction-batch-val 属性才有效。
有关数据库事务日志记录的更多信息,请参阅 红帽目录服务器管理指南 中的"监控服务器和数据库活动"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 30 |
| 默认值 | 0 (或关闭) |
| 语法 | 整数 |
| 示例 | nsslapd-db-transaction-batch-val: 5 |
4.4.2.23. nsslapd-db-trickle-percentage
此属性设置,通过将脏页面写入其后备文件,来至少在 shared-memory 池中指定页面百分比进行清理。这是为了确保页面始终可用于读取新信息,而无需等待写入。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 100 |
| 默认值 | 40 |
| 语法 | 整数 |
| 示例 | nsslapd-db-trickle-percentage: 40 |
4.4.2.24. nsslapd-db-verbose
此属性指定在搜索检查点、进行死锁检测和执行恢复时是否记录额外的信息和调试信息。此参数用于故障排除,启用该参数可能会减慢目录服务器的速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-verbose: off |
4.4.2.25. nsslapd-import-cache-autosize
这个与性能调优相关的属性会自动设置在基于命令行的 LDIF 文件导入过程中使用的导入缓存(importCache)的大小( ldif2db 操作)。
在目录服务器中,导入操作可以作为服务器任务运行,或者只在命令行中运行。在任务模式中,导入操作作为常规目录服务器操作运行。nsslapd-import-cache-autosize 属性允许在命令行上运行导入操作时自动将导入缓存设置为预先确定的大小。目录服务器在任务模式导入过程中也可以使用属性来分配指定的百分比用于导入缓存。
默认情况下,nsslapd-import-cache-autosize 属性被启用,并设置为 -1 的值。这个值会自动调整 ldif2db 操作的导入缓存,从而自动为导入缓存分配可用物理内存的有限百分比(50%)。百分比值(50%)被硬编码,不可更改。
将 attribute 值设置为 50 (nsslapd-import-cache-autosize: 50)在 ldif2db 操作过程中对性能有同样的影响。但是,当导入操作作为 Directory Server 任务运行时,此类设置会对性能产生同样的影响。-1 值会自动调整仅针对 ldif2db 操作(包括导入、常规目录服务器任务)的导入缓存。
a -1 设置的目的是启用 ldif2db 操作,以便从空闲的物理内存中受益,但同时不与条目缓存竞争,它不用于目录服务器的常规操作。
将 nsslapd-import-cache-autosize 属性设置为 0 可关闭导入缓存自动大小的功能 - 也就是说,导入操作的任何模式都不会自动进行。相反,Directory 服务器使用 nsslapd-import-cachesize 属性导入缓存大小,默认值为 20000000。
目录服务器上下文中有三个缓存:数据库缓存、条目缓存和导入缓存。导入缓存仅在导入操作过程中使用。nsslapd-cache-autosize 属性用于自动调整条目缓存和数据库缓存,仅在 Directory 服务器操作过程中使用,而不在 ldif2db 命令行操作过程中使用;属性值是要为条目缓存和数据库缓存分配的空闲物理内存的百分比。
如果自动化属性、nsslapd-cache-autosize 和 nsslapd-import-cache-autosize 均已启用,请确保其 sum 小于 100。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1, 0 (将导入缓存自动设置为 100) |
| 默认值 | -1 (只为 ldif2db 暂停导入缓存,并分配 50% 的空闲物理内存以导入缓存) |
| 语法 | 整数 |
| 示例 | nsslapd-import-cache-autosize: -1 |
4.4.2.26. nsslapd-dbcachesize
此性能调优相关的属性指定数据库索引缓存大小(以字节为单位)。这是控制目录服务器使用的物理 RAM 最重要的值之一。
这不是条目缓存。这是 Berkeley 数据库后端将用来缓存索引( .db 文件)和其他文件的内存量。这个值被传递给 Berkeley DB API 功能 set_cachesize。如果激活自动缓存调整大小,当服务器在服务器启动后续阶段将这些值替换为自己的猜测值时,此属性会被覆盖。
有关此属性的更多信息,请参阅 Berkeley DB 的缓存大小部分,网址为 https://docs.oracle.com/cd/E17076_04/html/programmer_reference/general_am_conf.html#am_conf_cachesize。
对于 32 位签名的整数,尝试设置不是数字或太大的值会返回 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释此问题的额外错误消息。
不要手动设置数据库缓存大小。红帽建议使用数据库缓存自动大小功能来优化性能。详情请查看 Red Hat Directory Server 性能调节指南中的相应部分。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 32 位平台 500 KB 到 4GB,64 位平台为 500 KB 到 2^641 |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsslapd-dbcachesize: 10000000 |
4.4.2.27. nsslapd-dbncache
此属性可以将 LDBM 缓存分成同样大小的内存。可以指定足够大的缓存,以便无法在某些构架上连续分配它们;例如,一些系统会限制进程连续分配的内存量。如果 nsslapd-dbncache 为 0 或 1,则缓存将在内存中连续分配。如果大于 1,则缓存将划分为 ncache,平均大小为单独的内存片段。
要配置大于 4GB 的 dbcache 大小,请将 nsslapd-dbncache 属性添加到 cn=config,cn=ldbm database,cn=plugins,cn=config between the nsslapd-dbcachesize 和 nsslapd-db-logdirectory 属性行。
将此值设置为 1-quarter (1/4)内存大小(以 GB 为单位)。例如,对于 12GB 系统,将 nsslapd-dbncache 值设置为 3; 对于 8GB 系统,将其设置为 2。
此属性仅用于系统修改/无关,仅应在红帽技术支持或红帽专业服务的指导下更改。此属性和其他配置属性的设置不一致可能会导致目录服务器不稳定。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 1 到 4 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-dbncache: 1 |
4.4.2.28. nsslapd-search-bypass-filter-test
如果您启用 nsslapd-search-bypass-filter-test 参数,Directory 服务器会在搜索期间构建候选列表时绕过过滤器检查。如果将参数设置为 验证,Directory 服务器将根据搜索候选条目评估过滤器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off | verify |
| 默认值 | on |
| 语法 | 目录字符串 |
| 示例 | nsslapd-search-bypass-filter-test: on |
全局只读属性,包含数据库上监控活动的数据库统计信息,存储在 cn=monitor,cn=ldbm database,cn=plugins,cn=config tree 节点上。有关这些条目的更多信息,请参阅 红帽目录服务器管理指南 中的"监控服务器和数据库活动"章节。
dbcachehits
此属性显示数据库中找到的请求页面。
dbcachetries
此属性显示缓存查找总数。
dbcachehitratio
此属性显示在数据库缓存中的请求页面的百分比(hits/tries)。
dbcachepagein
此属性显示读取到数据库缓存的页面。
dbcachepageout
此属性显示从数据库缓存写入后备文件的页面。
dbcacheroevict
此属性显示从缓存中强制使用的清理页面。
dbcacherwevict
此属性显示强制从缓存中有脏页面。
normalizedDNcachetries
实例启动以来的缓存查找总数。
normalizedDNcachehits
在缓存中找到的规范化 DN。
normalizedDNcachemisses
在缓存中未找到规范化 DN。
normalizedDNcachehitratio
在缓存中找到规范化 DN 的百分比。
currentNormalizedDNcachesize
规范化 DN 缓存的当前大小(以字节为单位)。
maxNormalizedDNcachesize
nsslapd-ndn-cache-max-size 参数的当前值。有关如何更新此设置的详情,请参考 第 3.1.1.130 节 “nsslapd-ndn-cache-max-size”。
currentNormalizedDNcachecount
规范化缓存的 DN 数量。
cn=database_name 子树包含用户定义的数据库的所有配置数据。
cn=userRoot 子树默认称为 userRoot。但是,这不是硬编码的,事实上会存在多个数据库实例,此名称由用户更改,并在添加新数据库时定义此名称。引用的 cn=userRoot 数据库可以是任何用户数据库。
以下属性对数据库是通用的,如 cn=userRoot。
4.4.4.1. nsslapd-cachesize
此属性已弃用。要重新定义条目缓存的大小,请使用 nsslapd-cachememsize。
此性能调优相关的属性在可保存的条目数中指定缓存大小。但是,此属性已弃用,而是使用 nsslapd-cachememsize 属性,它为条目缓存大小设置 RAM 绝对分配,如 第 4.4.4.2 节 “nsslapd-cachememsize” 所述。
对于 32 位签名的整数(在 32 位系统中),尝试设置不是数字或太大的值会返回 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释此问题的额外错误消息。
必须重新启动服务器,才能使此属性的更改生效。
此设置的性能计数器会进入最高 64 位整数,即使在 32 位系统中,但由于系统地址内存的方式,在 32 位系统中设置本身也限制为最高 32 位整数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 1 到32位系统上的 321,或 64 位系统上的 263-1,这意味着无限 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-cachesize: -1 |
4.4.4.2. nsslapd-cachememsize
此性能调优相关的属性指定条目缓存的可用内存空间大小(以字节为单位)。最简单的方法是以占用的内存方式限制缓存大小。激活自动缓存大小会覆盖此属性,在服务器启动时用自己的猜测值替换这些值。
对于 32 位签名的整数(在 32 位系统中),尝试设置不是数字或太大的值会返回 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释此问题的额外错误消息。
此设置的性能计数器会进入最高 64 位整数,即使在 32 位系统中,但由于系统地址内存的方式,在 32 位系统中设置本身也限制为最高 32 位整数。
不要手动设置数据库缓存大小。红帽建议使用条目缓存自动大小功能来优化性能。详情请查看 Red Hat Directory Server 性能调节指南中的相应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 64位系统上的 500 KB 到 2 641 |
| 默认值 | 209715200 (200 MiB) |
| 语法 | 整数 |
| 示例 | nsslapd-cachememsize: 209715200 |
4.4.4.3. nsslapd-directory
此属性指定数据库实例的路径。如果它是一个相对路径,它将从全局数据库条目 cn=config,cn=ldbm database,cn=plugins,cn=config 中 nsslapd-directory 指定的路径开始。数据库实例目录以实例名称命名,默认情况下位于全局数据库目录中。创建数据库实例后,请不要修改此路径,因为任何更改风险都会阻止服务器访问数据。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 数据库实例的任何有效路径 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-directory: /var/lib/dirsrv/slapd-instance/db/userRoot |
4.4.4.4. nsslapd-dncachememsize
此性能调优相关的属性指定 DN 缓存的可用内存空间大小(以字节为单位)。DN 缓存与数据库的条目缓存类似,只有其表仅存储条目 ID 和条目 DN。这允许更快地查找 rename 和 moddn 操作。
最简单的方法是以占用的内存方式限制缓存大小。
对于 32 位签名的整数(在 32 位系统中),尝试设置不是数字或太大的值会返回 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释此问题的额外错误消息。
此设置的性能计数器会进入最高 64 位整数,即使在 32 位系统中,但由于系统地址内存的方式,在 32 位系统中设置本身也限制为最高 32 位整数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 32位系统上的 500 KB 到 2 321,64位系统上的 2 641 |
| 默认值 | 10,485,760 (10 MB) |
| 语法 | 整数 |
| 示例 | nsslapd-dncachememsize: 10485760 |
4.4.4.5. nsslapd-readonly
此属性为单个后端实例指定只读模式。如果此属性的值为 off,则用户具有其访问权限所允许的读取、写入和执行权限。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-readonly: off |
4.4.4.6. nsslapd-require-index
切换到 上的 时,此属性允许一个拒绝未索引的搜索。此与性能相关的属性可避免服务器出现错误搜索的饱和。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-index: off |
4.4.4.7. nsslapd-require-internalop-index
当插件修改数据时,它在数据库中有一个写入锁定。在大型数据库中,如果插件随后执行未索引的搜索,该插件可以使用所有数据库锁定并损坏数据库,或者服务器变得无响应。要避免这个问题,您可以通过启用 nsslapd-require-internalop-index 参数来拒绝内部未索引的搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-internalop-index: off |
4.4.4.8. nsslapd-suffix
此属性指定数据库链接的后缀。这是一个单值属性,因为每个数据库实例只能有一个后缀。在以前的版本中,在单个数据库实例上可以有多个后缀,但这不再是这种情况。因此,此属性为单值,用于强制每个数据库实例只能有一个后缀条目。只有在创建条目后对此属性所做的任何更改仅在包含数据库链接的服务器重启后生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-suffix: o=Example |
4.4.4.9. vlvBase
此属性设置创建浏览或虚拟列表视图(VLV)索引的基本 DN。
有关 VLV 索引的更多信息,请参阅管理指南中的索引章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | vlvBase: ou=People,dc=example,dc=com |
4.4.4.10. vlvEnabled
vlvEnabled 属性提供有关特定 VLV 索引的状态信息,而 Directory 服务器在运行时设置此属性。虽然配置中显示 vlvEnabled,但您无法修改此属性。
有关 VLV 索引的更多信息,请参阅管理指南中的索引章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0 (禁用)| 1 (启用) |
| 默认值 | 1 |
| 语法 | DirectoryString |
| 示例 | vlvEnbled: 0 |
4.4.4.11. vlvFilter
浏览或虚拟列表视图(VLV)索引是通过根据过滤器运行搜索来创建的,并在索引中包含与该过滤器匹配的条目。过滤器在 vlvFilter 属性中指定。
有关 VLV 索引的更多信息,请参阅管理指南中的索引章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的 LDAP 过滤器 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | vlvFilter: ( |
4.4.4.12. vlvIndex (Object Class)
浏览索引 或虚拟列表视图(VLV)索引 会动态生成条目标头的缩写索引,从而可以更快地浏览大型索引。VLV 索引定义有两个部分:一个定义索引,它定义了用于标识要添加到索引中的条目的搜索。vlvIndex 对象类定义索引条目。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.42
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn | 提供条目的通用名称。 |
| 标识浏览索引(虚拟列表视图索引)所排序的属性列表。 |
| 属性 | 定义 |
|---|---|
| 存储浏览索引的可用性。 | |
| 包含使用浏览索引的数量。 |
4.4.4.13. vlvScope
此属性设置搜索范围,以针对浏览或虚拟列表视图(VLV)索引中的条目运行。
有关 VLV 索引的更多信息,请参阅管理指南中的索引章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | * 1 (一个级别或子搜索) * 2 (subtree search) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | vlvScope: 2 |
4.4.4.14. vlvSearch (Object Class)
浏览索引 或虚拟列表视图(VLV)索引 会动态生成条目标头的缩写索引,从而可以更快地浏览大型索引。VLV 索引定义有两个部分:一个定义索引,它定义了用于标识要添加到索引中的条目的搜索。vlvSearch 对象类定义搜索过滤器条目。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.38
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| 标识创建浏览索引的基本 DN。 | |
| 标识要定义浏览索引的范围。 | |
| 标识用于定义浏览索引的过滤器字符串。 |
| 属性 | 定义 |
|---|---|
| multiLineDescription | 提供条目的文本描述。 |
4.4.4.15. vlvSort
此属性为浏览或虚拟列表视图(VLV)索引中的返回条目设置排序顺序。
此属性的条目是 vlvSearch 条目下的 vlvIndex 条目。
有关 VLV 索引的更多信息,请参阅管理指南中的索引章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何目录服务器属性,以空格分隔 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | vlvSort: cn givenName o ou sn |
4.4.4.16. vlvUses
vlvUses 属性包含浏览索引使用的计数,而 Directory 服务器在运行时设置此属性。虽然配置中显示 vlvUses,但您无法修改此属性。
有关 VLV 索引的更多信息,请参阅管理指南中的索引章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | N/A |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | vlvUses:800 |
此树节点条目中的属性都是只读的、数据库性能计数器。这些属性的所有值都是 32 位整数,但 entrycachehits 和 entrycachetries 除外。
如果在 上将 cn=config 中的 nsslapd-counters 属性设置为,那么 Directory Server 实例使用 64 位整数保留的一些计数器使用 64 位整数,即使在 32 位机器上或使用 32 位目录服务器版本。对于数据库监控,entrycachehits 和 entrycachetries 计数器使用 64 位整数。
nsslapd-counters 属性启用对这些特定数据库和服务器计数器的 64 位支持。使用 64 位整数的计数器不可配置;对于所有允许的计数器,可启用 64 位整数,或为所有允许的计数器禁用 64 位整数。
nsslapd-db-abort-rate
此属性显示已中止的事务数量。
nsslapd-db-active-txns
此属性显示当前活跃的事务数量。
nsslapd-db-cache-hit
此属性显示缓存中找到的请求页面。
nsslapd-db-cache-try
此属性显示缓存查找总数。
nsslapd-db-cache-region-wait-rate
此属性显示在获取区域锁定前强制等待的控制线程的次数。
nsslapd-db-cache-size-bytes
此属性显示缓存的总大小(以字节为单位)。
nsslapd-db-clean-pages
此属性显示当前在缓存中的清理页面。
nsslapd-db-commit-rate
此属性显示已提交的事务数量。
nsslapd-db-deadlock-rate
此属性显示检测到的死锁数量。
nsslapd-db-dirty-pages
此属性显示当前缓存中的脏页面。
nsslapd-db-hash-buckets
此属性显示缓冲区散列表中哈希 bucket 的数量。
nsslapd-db-hash-elements-examine-rate
此属性显示哈希表查找过程中遍历的 hash 元素总数。
nsslapd-db-hash-search-rate
此属性显示缓冲区哈希表查找的总数。
nsslapd-db-lock-conflicts
此属性显示因为冲突而无法立即可用的锁定总数。
nsslapd-db-lock-region-wait-rate
此属性显示在获取区域锁定前强制等待的控制线程的次数。
nsslapd-db-lock-request-rate
此属性显示请求的锁定总数。
nsslapd-db-lockers
此属性显示当前锁定者的数量。
nsslapd-db-log-bytes-since-checkpoint
此属性显示自上次检查点以来写入此日志的字节数。
nsslapd-db-log-region-wait-rate
此属性显示在获取区域锁定前强制等待的控制线程的次数。
nsslapd-db-log-write-rate
此属性显示写入此日志的 MB 和字节数。
nsslapd-db-longest-chain-length
此属性显示在缓冲区哈希表查找中遇到的最大链。
nsslapd-db-page-create-rate
此属性显示缓存中创建的页面。
nsslapd-db-page-read-rate
此属性显示读取到缓存的页面。
nsslapd-db-page-ro-evict-rate
此属性显示从缓存中强制使用的清理页面。
nsslapd-db-page-rw-evict-rate
此属性显示强制从缓存中有脏页面。
nsslapd-db-page-trickle-rate
此属性显示使用 memp_trickle 接口编写的脏页面。
nsslapd-db-page-write-rate
此属性显示读取到缓存的页面。
nsslapd-db-pages-in-use
此属性显示当前正在使用的页面(清理或脏)。
nsslapd-db-txn-region-wait-rate
此属性显示线程控制在获取区域锁定前等待的次数。
currentdncachecount
此属性显示 DN 缓存中当前存在的 DN 数量。
currentdncachesize
此属性显示 DN 缓存中当前存在的 DN 的总大小(以字节为单位)。
maxdncachesize
此属性显示可在数据库 DN 缓存中维护的 DN 的最大大小(以字节为单位)。
此树节点条目中的属性都是只读的、数据库性能计数器。
如果在 上将 cn=config 中的 nsslapd-counters 属性设置为,那么 Directory Server 实例使用 64 位整数保留的一些计数器使用 64 位整数,即使在 32 位机器上或使用 32 位目录服务器版本。对于数据库监控,entrycachehits 和 entrycachetries 计数器使用 64 位整数。
nsslapd-counters 属性启用对这些特定数据库和服务器计数器的 64 位支持。使用 64 位整数的计数器不可配置;对于所有允许的计数器,可启用 64 位整数,或为所有允许的计数器禁用 64 位整数。
dbfilecachehit-number
此属性给出执行此文件数据的搜索次数,并且数据从缓存中成功获取。此属性名称中的数字对应于 dbfilename 中的数字。
dbfilecachemiss-number
此属性提供执行此文件数据的搜索数量,并且无法从缓存中获取数据。此属性名称中的数字对应于 dbfilename 中的数字。
dbfilepagein-number
此属性提供此文件中放入缓存的页面数量。此属性名称中的数字对应于 dbfilename 中的数字。
dbfilepageout-number
此属性提供从缓存写入到磁盘的此文件的页面数。此属性名称中的数字对应于 dbfilename 中的数字。
currentDNcachecount
缓存的 DN 数量。
currentDNcachesize
DN 缓存的当前大小(以字节为单位)。
DNcachehitratio
缓存中找到的 DN 的百分比。
DNcachehits
在缓存中找到的 DNS。
DNcachemisses
在缓存中没有找到 DNS。
DNcachetries
实例启动以来的缓存查找总数。
maxDNcachesize
nsslapd-ndn-cache-max-size 参数的当前值。有关如何更新此设置的详情,请参考 第 3.1.1.130 节 “nsslapd-ndn-cache-max-size”。
默认索引集合存储在此处。默认索引会按后端配置,以针对大多数设置场景优化目录服务器功能。除系统基本索引外,所有索引都可以删除,但应小心谨慎,以免造成不必要的中断。有关索引的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的 "Managing Indexes" 章节。
4.4.7.1. cn
此属性提供要索引的属性的名称。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的索引 cn |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | cn: aci |
4.4.7.2. nsIndex
此对象类在后端数据库中定义一个索引。此对象在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.44
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn | 提供条目的通用名称。 |
| 确定索引是否为系统定义的索引。 |
| 属性 | 定义 |
|---|---|
| description | 提供条目的文本描述。 |
| 标识索引类型。 | |
| 标识匹配的规则。 |
4.4.7.3. nsIndexType
此可选, multi-valued 属性指定 Directory Server 操作的索引类型,并取要索引的属性值。必须在单独的行中输入每个所需的索引类型。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | * pres = 存在索引 * EQ = 平等索引 * Approx = 大约索引 * sub = 子字符串索引 * 匹配规则 = 国际索引 * index browse = 浏览索引 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsIndexType: eq |
4.4.7.4. nsMatchingRule
此可选,multi-valued 属性指定用于匹配值和为属性生成索引键的排序匹配规则名称或 OID。这最常用于确保对英语(7-bit ASCII)以外的语言正确搜索相同和范围。
这也用于允许范围搜索正常工作,对于在架构定义中没有指定排序匹配规则的整数语法属性。uidNumber 和 gidNumber 是两个常用的两个属性,它们属于这个类别。
例如,对于使用整数语法的 uidNumber,rule 属性可以是 nsMatchingRule: integerOrderingMatch。
在保存更改并且使用 db2index 重新构建索引之前,对此属性的任何更改都不会生效,这在 红帽目录服务器管理指南的"管理索引"一章中详细介绍。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的 collation order 对象标识符(OID) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsMatchingRule: 2.16.840.1.113730.3.3.2.3.1 (For Bulgarian) |
4.4.7.5. nsSystemIndex
此强制属性指定索引是否为 系统索引,这是一个对目录服务器操作至关重要的索引。如果此属性的值为 true,则代表 system-essential。系统索引不应被删除,因为这会严重破坏服务器功能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssystemindex: true |
除了 cn=default index,cn= config,cn=ldbm database,cn=plugins,cn=config 中保存的默认 索引集合外,可以为用户定义的后端实例创建自定义索引;它们存储在 cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config.每个索引属性代表 cn=config 信息树节点下的子条目,如下图所示:
图 4.2. 索引的属性代表一个子条目
例如,o=UserRoot 下的 aci 属性的索引文件会出现在 Directory 服务器中,如下所示:
这些条目共享 第 4.4.7 节 “cn=default index,cn=config,cn=ldbm database,cn=plugins,cn=config 下的数据库属性” 中默认索引列出的所有索引属性。有关索引的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的 "Managing Indexes" 章节。
4.4.8.1. nsIndexIDListScanLimit
这个多值参数定义了特定索引的搜索限制,或者不使用 ID 列表。如需更多信息,请参阅 Directory Server 性能调节指南中的相应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 请参阅 目录服务器性能调优指南中的相应部分。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsIndexIDListScanLimit: limit=0 type=eq values=inetorgperson |
4.4.8.2. nsSubStrBegin
默认情况下,要索引搜索,搜索字符串必须至少有三个字符,而无需计算任何通配符字符。例如,字符串 abc 将是一个索引的搜索,而 ab* 不是一个索引的搜索。索引的搜索比未索引搜索要快,因此更改搜索键的最小长度有助于增加索引搜索数量。
根据任何通配符字符的位置,可以编辑此子字符串长度。nsSubStrBegin 属性设置索引字符串开头所需的字符数,在通配符之前。例如:
abc*
abc*
如果更改了此属性的值,则必须使用 db2index 重新生成索引。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何整数 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsSubStrBegin: 2 |
4.4.8.3. nsSubStrEnd
默认情况下,要索引搜索,搜索字符串必须至少有三个字符,而无需计算任何通配符字符。例如,字符串 abc 将是一个索引的搜索,而 ab* 不是一个索引的搜索。索引的搜索比未索引搜索要快,因此更改搜索键的最小长度有助于增加索引搜索数量。
根据任何通配符字符的位置,可以编辑此子字符串长度。nsSubStrEnd 属性在通配符后设置索引搜索结尾的字符数。例如:
*xyz
*xyz
如果更改了此属性的值,则必须使用 db2index 重新生成索引。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何整数 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsSubStrEnd: 2 |
4.4.8.4. nsSubStrMiddle
默认情况下,要索引搜索,搜索字符串必须至少有三个字符,而无需计算任何通配符字符。例如,字符串 abc 将是一个索引的搜索,而 ab* 不是一个索引的搜索。索引的搜索比未索引搜索要快,因此更改搜索键的最小长度有助于增加索引搜索数量。
根据任何通配符字符的位置,可以编辑此子字符串长度。nsSubStrMiddle 属性设置索引搜索所需的字符数,其中搜索字符串中间使用通配符。例如:
ab*z
ab*z
如果更改了此属性的值,则必须使用 db2index 重新生成索引。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何整数 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsSubStrMiddle: 3 |
nsAttributeEncryption 对象类允许选择加密数据库中的属性。信用卡号码和政府身份号等极端敏感信息可能无法通过例行访问控制措施进行保护。通常,这些属性值存储在数据库中的 CLEAR 中;加密它们,同时存储了另一个保护层。此对象类具有一个属性 nsEncryptionAlgorithm,它设定每个属性使用的加密密码。每个加密属性代表上述 cn=config 信息树节点下的子条目,如下图所示:
图 4.3. cn=config 节点下的加密属性
例如,o=UserRoot 下 userPassword 属性的数据库加密文件会出现在目录服务器中,如下所示:
要配置数据库加密,请参阅红帽目录服务器管理指南中的"配置目录数据库"一章中的"数据库加密" 部分。有关索引的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的 "Managing Indexes" 章节。
4.4.9.1. nsAttributeEncryption (Object Class)
此对象类用于核心配置条目,用于识别和加密目录服务器数据库中所选属性。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.316
| objectClass | 定义条目的对象类。 |
| cn | 指定使用其通用名称加密的属性。 |
| 使用的加密密码。 |
4.4.9.2. nsEncryptionAlgorithm
nsEncryptionAlgorithm 选择 nsAttributeEncryption 使用的密码。该算法可以为每个加密属性设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attributeName,cn=encrypted attributes,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 以下是支持的密码: * 高级加密标准块加密(AES) * 三数据加密标准块加密加密(3DES) |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsEncryptionAlgorithm: AES |
4.5. 数据库链路插件属性(链属性)
数据库链路插件属性也分为信息树,如下图所示:
图 4.4. 数据库链接插件
数据库链路实例使用的所有插件技术都存储在 cn=chaining 数据库 插件节点中。本节显示 图 4.4 “数据库链接插件” 中以 cn=chaining 数据库cn=plugins,cn=config 信息树中标记的三个节点的额外属性信息。
本节涵盖所有实例通用的全局配置属性,它们都存储在 cn=config,cn=chaining database,cn=plugins,cn=config tree node 中。
4.5.1.1. nsActiveChainingComponents
此属性使用 链列出组件。组件是服务器中的所有功能单元。此属性的值会覆盖全局配置属性中的值。要禁用特定数据库实例上的链,请使用值 None。此属性还允许更改用于链的组件。默认情况下,不允许组件链,它解释了为什么此属性可能不会出现在 cn=config,cn=chaining database,cn=config 属性列表中,因为 LDAP 会将空属性视为不存在。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的组件条目 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsActiveChainingComponents: cn=uid uniqueness,cn=plugins,cn=config |
4.5.1.2. nsMaxResponseDelay
此错误检测、与性能相关的属性指定远程服务器响应数据库链接提出的 LDAP 操作请求的最大时间。满足这个延迟周期后,数据库链接会测试与远程服务器的连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的延迟周期(以秒为单位) |
| 默认值 | 60 秒 |
| 语法 | 整数 |
| 示例 | nsMaxResponseDelay: 60 |
4.5.1.3. nsMaxTestResponseDelay
这个错误检测,与性能相关的属性指定数据库链接发布的测试持续时间,以检查远程服务器是否响应。如果在此周期通过之前没有返回来自远程服务器的响应,数据库链接会假定远程服务器停机,且连接不会用于后续的操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的延迟周期(以秒为单位) |
| 默认值 | 15 秒 |
| 语法 | 整数 |
| 示例 | nsMaxTestResponseDelay: 15 |
4.5.1.4. nsTransmittedControls
此属性可以是全局(以及动态)配置或实例(即 cn=database link instance,cn=chaining database,cn=plugins,cn=config)配置属性,允许控制数据库链接转发。默认情况下,数据库链接会转发以下控制:
- Managed DSA (OID: 2.16.840.1.113730.3.4.2)
- 虚拟列表视图(VLV) (OID: 2.16.840.1.113730.3.4.9)
- 服务器端排序(OID: 1.2.840.113556.1.4.473)
- 循环检测(OID: 1.3.6.1.4.1.1466.29539.12)
其他控件(如解引用和简单页面结果用于搜索)可添加到要转发的控件列表中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 数据库链接转发的任何有效的 OID 或以上列出的控制 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | nsTransmittedControls: 1.2.840.113556.1.4.473 |
实例的默认实例配置属性存储在 cn=default 实例配置,cn=chaining database,cn=plugins,cn=config tree 节点上。
4.5.2.1. nsAbandonedSearchCheckInterval
此属性显示服务器在服务器检查带外操作前传递的秒数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 0 到 32 位整数(2147483647)秒 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsAbandonedSearchCheckInterval: 10 |
4.5.2.2. nsBindConnectionsLimit
此属性显示数据库链接与远程服务器建立的最大 TCP 连接数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到 50 个连接 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsBindConnectionsLimit: 3 |
4.5.2.3. nsBindRetryLimit
与名称的建议不同,此属性没有指定数据库链接 重新与远程服务器绑定的次数,而是 尝试与远程服务器 绑定的次数。此处的值 1 表示数据库链接仅尝试绑定一次。
仅针对连接失败而不是其他类型的错误(如无效的绑定 DN 或密码)进行重试。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsBindRetryLimit: 3 |
4.5.2.4. nsBindTimeout
此属性显示绑定尝试超时前的时间。此属性没有实际有效的范围,但合理的 patience 限制除外。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 0 到 60 秒 |
| 默认值 | 15 |
| 语法 | 整数 |
| 示例 | nsBindTimeout: 15 |
4.5.2.5. nsCheckLocalACI
仅为高级使用保留。此属性控制在数据库链路上评估 ACI 以及远程数据服务器。对此属性的更改仅在服务器重启后生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsCheckLocalACI: on |
4.5.2.6. nsConcurrentBindLimit
此属性显示每个 TCP 连接的最大并发绑定操作数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到 25 个绑定 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsConcurrentBindLimit: 10 |
4.5.2.7. nsConcurrentOperationsLimit
此属性指定允许的最大并发操作数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到 50 个操作 |
| 默认值 | 2 |
| 语法 | 整数 |
| 示例 | nsConcurrentOperationsLimit: 5 |
4.5.2.8. nsConnectionLife
此属性指定连接生命周期。在特定时间段内,数据库链接和远程服务器之间的连接可在指定时间或关闭的情况下保持打开。保持连接保持打开速度要快,但它使用更多资源。当值为 0 且在 nsFarmServerURL 属性中提供故障转移服务器列表时,在故障转移到备用服务器后,主服务器永远不会联系。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 0 以无限秒数(其中 0 代表永久) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsConnectionLife: 0 |
4.5.2.9. nsOperationConnectionsLimit
此属性显示数据库链接与远程服务器建立的最大 LDAP 连接数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到 n 个连接 |
| 默认值 | 20 |
| 语法 | 整数 |
| 示例 | nsOperationConnectionsLimit: 10 |
4.5.2.10. nsProxiedAuthorization
仅为高级使用保留。如果您禁用代理授权,则链操作的绑定将作为 nsMultiplexorBindDn 属性中设置的用户执行。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsProxiedAuthorization: on |
4.5.2.11. nsReferralOnScopedSearch
此属性控制引用是否由范围搜索返回。此属性可用于优化目录,因为返回引用对范围搜索的响应效率更高。引用将返回到所有配置的场服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsReferralOnScopedSearch: off |
4.5.2.12. nsSizeLimit
此属性显示数据库链接的默认大小限制,以字节为单位。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | -1 (无限制)最大 32 位整数(2147483647)条目 |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsSizeLimit: 2000 |
4.5.2.13. nsTimeLimit
此属性显示数据库链接的默认搜索时间限制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | -1 最多 32 位整数(2147483647)秒 |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsTimeLimit: 3600 |
此信息节点存储关于包含数据的服务器的属性。场场服务器 是包含数据库数据的服务器。此属性可以包含可选服务器以进行故障切换,用空格分隔。对于级联链,此 URL 可以指向另一个数据库链接。
4.5.3.1. nsBindMechanism
此属性为场服务器设置用于连接远程服务器的绑定机制。场场服务器是包含一个或多个数据库中数据的服务器。此属性配置连接类型,可以是 standard、TLS 或 SASL。
-
空。这会执行简单的身份验证,并需要
nsMultiplexorBindDn和nsMultiplexorCredentials属性来提供绑定信息。 外部.这使用 TLS 证书向远程服务器验证场服务器。farm 服务器 URL 必须设置为安全 URL (
ldaps),或者必须将nsUseStartTLS属性设置为。此外,必须配置远程服务器,将 farm 服务器的证书映射到其绑定身份。证书映射在 管理指南 中进行了说明。
-
DIGEST-MD5.这使用带有 DIGEST-MD5 加密的 SASL。与简单身份验证一样,这需要
nsMultiplexorBindDn和nsMultiplexorCredentials属性来提供绑定信息。 GSSAPI.这通过 SASL 使用基于 Kerberos 的身份验证。场服务器必须通过标准端口进行连接,这意味着 URL 具有
ldap,因为目录服务器不支持通过 TLS 的 SASL/GS-API。场服务器必须配置有 Kerberos keytab,并且远程服务器必须具有场服务器的绑定身份定义的 SASL 映射。管理指南 中介绍了设置 Kerberos keytab 和 SASL 映射。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | * 空 * 外部 * DIGEST-MD5 * GSSAPI |
| 默认值 | empty |
| 语法 | DirectoryString |
| 示例 | nsBindMechanism: GSSAPI |
4.5.3.2. nsFarmServerURL
此属性提供远程服务器的 LDAP URL。场场服务器是包含一个或多个数据库中数据的服务器。此属性可以包含可选服务器以进行故障切换,用空格分隔。如果使用级联更改,此 URL 可以指向另一个数据库链接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的远程服务器 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsFarmServerURL: ldap://farm1.example.com farm2.example.com:389 farm3.example.com:1389/ |
4.5.3.3. nsMultiplexorBindDN
此属性提供用于与远程服务器通信的管理条目的 DN。多路 是包含数据库链接的服务器,并与场服务器通信。此绑定 DN 不能是目录管理器,如果未指定此属性,则数据库链接绑定为 匿名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | |
| 默认值 | 多路的 DN |
| 语法 | DirectoryString |
| 示例 | nsMultiplexerBindDN: cn=proxy manager |
4.5.3.4. nsMultiplexorCredentials
管理用户的密码,以纯文本形式提供。如果没有提供密码,这表示用户可以绑定为 匿名。密码在 配置文件中加密。以下示例中显示了什么,而不是键入的内容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的密码,然后使用 DES 递归密码加密模式进行加密 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsMultiplexerCredentials: {DES} 9Eko69APCJfF |
4.5.3.5. nshoplimit
此属性指定数据库允许链的最大次数;也就是说,请求可以从一个数据库链接转发到另一个数据库的次数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到部署的适当上限 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsHopLimit: 3 |
4.5.3.6. nsUseStartTLS
此属性设置是否使用 Start TLS 通过不安全的端口发起安全加密的连接。如果 nsBindMechanism 属性设置为 EXTERNAL,则可以使用此属性,但 farm 服务器 URL 设置为标准 URL (ldap),或者 nsBindMechanism 属性是否留空。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | off | on |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsUseStartTLS: on |
用于监控实例活动的属性存储在 cn=monitor,cn=database 实例名称,cn=chaining database,cn=plugins,cn=config information tree 中。
nsAddCount
此属性提供收到的 add 操作数量。
nsDeleteCount
此属性提供收到的删除操作数量。
nsModifyCount
此属性提供收到的修改操作数量。
nsRenameCount
此属性提供收到的 rename 操作数量。
nsSearchBaseCount
此属性提供收到的基本级别搜索数量。
nsSearchOneLevelCount
此属性提供收到的一个级别搜索数量。
nsSearchSubtreeCount
此属性提供收到的子树搜索数量。
nsAbandonCount
此属性提供收到的带外操作数量。
nsBindCount
此属性提供收到的绑定请求数量。
nsUnbindCount
此属性提供收到的未绑定数量。
nsCompareCount
此属性提供收到的比较操作数量。
nsOperationConnectionCount
此属性提供正常操作的打开连接数量。
nsOpenBindConnectionCount
此属性提供绑定操作的打开连接数量。
4.6. PAM 通过身份验证插件属性传递
Unix 系统上的本地 PAM 配置可为 LDAP 用户利用外部身份验证存储。这是一种直通身份验证形式,它允许 Directory 服务器使用外部存储的用户凭据来访问目录。
PAM 直通身份验证在 PAM Pass Through Auth 插件容器条目的子条目中进行配置。PAM 身份验证的所有可能配置属性(在 60pam-plugin.ldif 架构文件中定义)可用于子条目;子条目必须是 PAM 配置对象类的实例。
例 4.1. 通过身份验证条目传递的 PAM 示例
至少,PAM 配置必须定义一个映射方法(用来确定 PAM 用户 ID 来自于 Directory Server 条目)、PAM 服务器所使用的 PAM 服务器,以及是否使用到服务的安全连接。
pamIDMapMethod: RDN pamSecure: FALSE pamService: ldapserver
pamIDMapMethod: RDN
pamSecure: FALSE
pamService: ldapserver可以针对特殊设置扩展配置,如排除或专门包含子树,或者将特定的属性值映射到 PAM 用户 ID。
4.6.1. pamConfig (Object Class)
此对象类用于定义 PAM 配置,以便与目录服务交互。此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.318
4.6.2. pamExcludeSuffix
此属性指定要从 PAM 身份验证中排除的后缀。
| OID | 2.16.840.1.113730.3.1.2068 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
4.6.3. pamFallback
如果 PAM 身份验证失败,则设置是否回退到常规 LDAP 身份验证。
| OID | 2.16.840.1.113730.3.1.2072 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
4.6.4. pamFilter
设置 LDAP 过滤器,用于识别所含后缀中的特定条目,以使用 PAM 直通身份验证。如果没有设置,则后缀中的所有条目都由配置条目为目标。
| OID | 2.16.840.1.113730.3.1.2131 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
4.6.5. pamIDAttr
此属性包含用于存放 PAM 用户 ID 的属性名称。
| OID | 2.16.840.1.113730.3.1.2071 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
4.6.6. pamIDMapMethod
提供使用 将 LDAP 绑定 DN 映射到 PAM 身份的方法。
Directory Server 用户帐户仅在使用 ENTRY 映射方法进行验证。使用 RDN 或 DN 时,其帐户处于激活的目录服务器用户仍然可以成功绑定到服务器。
| OID | 2.16.840.1.113730.3.1.2070 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
4.6.7. pamIncludeSuffix
此属性设置为 PAM 身份验证包含的后缀。
| OID | 2.16.840.1.113730.3.1.2067 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
4.6.8. pamMissingSuffix
标识如何处理缺少的 include 或 exclude 后缀。选项是 ERROR (这会导致绑定操作失败);ALLOW,它会记录错误,但允许操作继续; 和 IGNORE,允许操作并记录任何错误。
| OID | 2.16.840.1.113730.3.1.2069 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
4.6.9. pamModuleIsThreadSafe
默认情况下,Directory 服务器会序列化可插拔验证模块(PAM)身份验证。如果您在 上将 pamModuleIsThreadSafe 属性设置为,目录服务器将开始并行执行 PAM 身份验证。但是,请确保您使用的 PAM 模块是一个线程安全模块。
目前,您可以使用 ldapmodify 工具来配置 pamModuleIsThreadSafe 属性:
ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x dn: cn=Example PAM config entry,cn=PAM Pass Through Auth,cn=plugins,cn=config changetype: modify add: pamModuleIsThreadSafe pamModuleIsThreadSafe: on
# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: cn=Example PAM config entry,cn=PAM Pass Through Auth,cn=plugins,cn=config
changetype: modify
add: pamModuleIsThreadSafe
pamModuleIsThreadSafe: on要应用更改,请重新启动服务器。
| OID | 2.16.840.1.113730.3.1.2399 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
4.6.10. pamSecure
需要安全 TLS 连接进行 PAM 身份验证。
| OID | 2.16.840.1.113730.3.1.2073 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
4.6.11. pamService
包含要传递给 PAM 的服务名称。这假设指定的服务在 /etc/pam.d/ 目录中有一个配置文件。
pam_fprintd.so 模块不能位于 PAM 直通身份验证插件配置的 pamService 属性引用的配置文件中。使用 PAM pam_fprintd.so 模块可使目录服务器达到最大文件描述符限制,并可能导致 Directory 服务器进程中止。
pam_fprintd.so 模块不能位于 PAM 直通身份验证插件配置的 pamService 属性引用的配置文件中。使用 PAM fprintd 模块会导致目录服务器达到最大文件描述符限制,并可能导致 Directory Server 进程中止。
| OID | 2.16.840.1.113730.3.1.2074 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
4.7. 帐户策略插件属性
可以设置帐户策略,以便在经过一定时间后自动锁定帐户。这可用于创建仅对预设置时间有效的临时帐户,或者锁定在一定时间内不活跃的用户。
帐户策略插件本身仅接受 参数,该参数指向插件配置条目。
dn: cn=Account Policy Plugin,cn=plugins,cn=config ... nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
dn: cn=Account Policy Plugin,cn=plugins,cn=config
...
nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config帐户策略配置条目为整个服务器定义,用于帐户策略的属性。大多数配置定义了用于评估帐户策略和过期时间的属性,但配置还定义了用来识别子树级帐户策略定义的对象类。
一个插件是全局配置的,可以在用户子树中创建帐户策略条目,然后通过服务类将这些策略应用到用户和角色。
例 4.2. 帐户策略定义
任何条目,单个用户和角色或 CoS 模板都可以是帐户策略子条目。每个帐户策略子条目都有自己的创建和登录时间,针对任何过期策略跟踪。
例 4.3. 带有帐户策略的用户帐户
dn: uid=scarter,ou=people,dc=example,dc=com ... lastLoginTime: 20060527001051Z acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com
dn: uid=scarter,ou=people,dc=example,dc=com
...
lastLoginTime: 20060527001051Z
acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com4.7.1. altstateattrname
帐户过期策略基于帐户的一些时间标准。例如,对于不活动策略,主标准可能是上次登录时间 lastLoginTime。但是,可能存在该条目上不存在该属性的实例,例如从不登录到其帐户的用户。altstateattrname 属性为服务器提供 backup 属性,以引用评估过期时间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | altstateattrname: createTimeStamp |
4.7.2. alwaysRecordLogin
默认情况下,只有直接应用帐户策略的条目 - 即带有 acctPolicySubentry 属性的条目 - 它们的登录时间被跟踪。如果通过服务或角色类应用帐户策略,则 acctPolicySubentry 属性位于模板或容器条目上,而不是用户条目本身。
alwaysRecordLogin 属性设置每个条目都记录其上次登录时间。这允许使用 CoS 和角色来应用帐户策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 是 | no |
| 默认值 | 否 |
| 语法 | DirectoryString |
| 示例 | alwaysRecordLogin: no |
4.7.3. alwaysRecordLoginAttr
Account Policy 插件使用 alwaysRecordLoginAttr 参数中设置的属性名称,将最后一个成功登录的时间存储在用户的目录条目中。如需更多信息,请参阅 Directory Server Administration Guide 中的相应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的属性名称 |
| 默认值 | stateAttrName |
| 语法 | DirectoryString |
| 示例 | alwaysRecordLoginAttr: lastLoginTime |
4.7.4. limitattrname
用户目录中的帐户策略条目定义帐户锁定策略的时间限制。此时间限制可以在任何基于时间的属性中设置,策略条目可以在 ti 中有多个基于时间的属性。用于帐户 inactivation 限制的策略中的属性在 Account Policy Plug-in 中的 limitattrname 属性中定义,它被全局应用到所有帐户策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | limitattrname: accountInactivityLimit |
4.7.5. specattrname
帐户策略实际上有两个配置条目:插件配置条目中的全局设置,然后在用户目录中条目中的 yser- 或 subtree-level 设置。可以在用户条目上直接设置帐户策略,也可以设置为 CoS 或角色配置的一部分。插件标识哪个条目是帐户策略配置条目的方式,其标识条目上的特定属性将其标记为帐户策略。插件配置中的此属性是 specattrname ;它通常设置为 acctPolicySubentry。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | specattrname: acctPolicySubentry |
4.7.6. stateattrname
帐户过期策略基于帐户的一些时间标准。例如,对于不活动策略,主标准可能是上次登录时间 lastLoginTime。用于评估帐户策略的主要时间属性在 stateattrname 属性中设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | stateattrname: lastLoginTime |
4.8. AD DN 插件属性
AD DN 插件支持多个域配置。为每个域创建一个配置条目。详情请查看 Red Hat Directory Server Administration Guide 中的对应部分。
4.8.1. cn
设置配置条目的域名。该插件使用身份验证用户名中的域名来选择对应的配置条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | cn: example.com |
4.8.2. addn_base
设置目录服务器在其中搜索用户的 DN 的基本 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何有效的 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | addn_base: ou=People,dc=example,dc=com |
4.8.3. addn_filter
设置搜索过滤器。目录服务器自动将 %s 变量替换为身份验证用户的非域部分。例如,如果绑定中的用户名是 user_name@example.com,过滤器会搜索对应的 DN,即 (& (objectClass=account) (uid=user_name))。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何有效的 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | addn_filter: (&(objectClass=account)(uid=%s)) |
4.9. 自动成员资格插件属性
自动成员规则本质上允许静态组像动态组一样操作。不同的自动成员定义会创建搜索,这些搜索会在所有新目录条目上自动运行。自动成员规则搜索和识别匹配条目 - 与动态搜索过滤器 - 非常相似,然后将这些条目作为成员明确添加到指定的静态组中。
Auto Membership 插件本身是一个容器条目。每个自动成员定义都是 Auto Membership 插件的子级。automember 定义定义定义 LDAP 搜索基础,并过滤用于识别要将其添加到的条目和默认组。
每个自动成员定义都可以有自己的子条目,用于定义将条目分配给组的额外条件。正则表达式可用于包含或排除条目,并根据这些条件将它们分配到特定的组。
如果条目与主定义匹配,而不是任何正则表达式条件,则它将使用主定义中的组。如果与正则表达式条件匹配,则它将添加到正则表达式条件组中。
4.9.1. autoMemberDefaultGroup
此属性设置 default 或 fallback 组,将条目作为成员添加到 中。如果只使用定义条目,则这是所有匹配条目添加到的组。如果使用正则表达式条件,则当与 LDAP 搜索过滤器匹配的条目与任何正则表达式不匹配时,此组将用作回退。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何现有的 Directory Server 组 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberDefaultGroup: cn=hostgroups,ou=groups,dc=example,dc=com |
4.9.2. autoMemberDefinition (Object Class)
此属性将条目识别为自动成员定义。此条目必须是 Auto Membership 插件的子组,cn=Auto Membership Plugin,cn=plugins,cn=config。
允许的属性
- autoMemberScope
- autoMemberFilter
- autoMemberDefaultGroup
- autoMemberGroupingAttr
4.9.3. autoMemberExclusiveRegex
此属性设置单个正则表达式,用于识别 要排除的 条目。如果条目与排除条件匹配,则它不会 包含在组中。可以使用多个正则表达式,如果某个条目与这些表达式中的任何一个匹配,则它将包含在组中。
表达式的格式是 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的详情,请查看 pcresyntax (3)手册页。
排除条件首先评估,优先于 include 条件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何正则表达式 |
| 默认值 | 无 |
| 单或多值 | 多值 |
| 语法 | DirectoryString |
| 示例 | autoMemberExclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
4.9.4. autoMemberFilter
此属性设置标准 LDAP 搜索过滤器,用于搜索匹配条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 LDAP 搜索过滤器 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberFilter:objectclass=ntUser |
4.9.5. autoMemberGroupingAttr
此属性提供 group 条目中的 member 属性的名称,以及提供 member 属性值的对象条目中的属性,格式为 group_member_attr:entry_attr。
这结构了 Automembership 插件如何向组添加成员,具体取决于组配置。例如,对于 groupOfUniqueNames 用户组,每个成员都添加为 uniqueMember 属性。uniqueMember 的值是用户条目的 DN。在本质上,每个组成员都由 uniqueMember 的 attribute-value 对标识: user_entry_DN。然后,成员条目格式是 uniqueMember:dn。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberGroupingAttr: member:dn |
4.9.6. autoMemberInclusiveRegex
此属性设置单个正则表达式,用于识别 要包含的 条目。可以使用多个正则表达式,如果某个条目与这些表达式中的任何一个匹配,则它包含在组中(假设它与排除表达式不匹配)。
表达式的格式是 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的详情,请查看 pcresyntax (3)手册页。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何正则表达式 |
| 默认值 | 无 |
| 单或多值 | 多值 |
| 语法 | DirectoryString |
| 示例 | autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
4.9.7. autoMemberProcessModifyOps
默认情况下,Directory 服务器调用 Automembership 插件来添加和修改操作。使用这个设置时,当向用户添加组条目或修改用户的组条目时,插件会更改组。如果将 autoMemberProcessModifyOps 设置为 off,则目录服务器仅在向用户添加组条目时调用 Automembership 插件。在这种情况下,如果管理员更改了用户条目,并且该条目会影响用户所属的 Automembership 组,则插件不会从旧组中删除该用户,仅添加新组。要更新旧组,您必须手动运行修复任务。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberProcessModifyOps: on |
4.9.8. autoMemberRegexRule (Object Class)
此属性将条目识别为正则表达式规则。此条目必须是自动成员定义的子级(objectclass: autoMemberDefinition)。
允许的属性
- autoMemberInclusiveRegex
- autoMemberExclusiveRegex
- autoMemberTargetGroup
4.9.9. autoMemberScope
此属性设置子树 DN 以搜索条目。这是搜索基础。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器子树 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberScope: dc=example,dc=com |
4.9.10. autoMemberTargetGroup
此属性设置将条目作为成员添加到 的组(如果它满足正则表达式条件)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 组 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberTargetGroup: cn=webservers,cn=hostgroups,ou=groups,dc=example,dc=com |
4.10. 分布式数字分配插件属性
分布式数字分配插件管理数字范围,并将该范围内的唯一数字分配给条目。通过将数字分配分成范围,分布式数字分配插件允许多个服务器分配数字而不冲突。该插件还管理分配给服务器的范围,以便在一个实例通过其范围快速运行时,可以从其他服务器请求其他范围。
分布式数字分配可以配置为处理单一属性类型或多个属性类型,并且仅应用到子树中的特定后缀和特定条目。
分布式数字分配按属性处理,仅适用于子树中的特定后缀和特定条目。
4.10.1. dnaPluginConfig (Object Class)
此对象类用于配置分配给条目的 DNA 插件和数字范围的条目。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.324
允许的属性
- dnaType
- dnaPrefix
- dnaNextValue
- dnaMaxValue
- dnaInterval
- dnaMagicRegen
- dnaFilter
- dnaScope
- dnaSharedCfgDN
- dnaThreshold
- dnaNextRange
- dnaRangeRequestTimeout
- cn
4.10.2. dnaFilter
此属性设置 LDAP 过滤器,用于搜索并识别要应用分布式数字分配范围的条目。
需要 dnaFilter 属性来为属性设置分布式数字分配。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaFilter: (objectclass=person) |
4.10.3. dnaInterval
此属性设定一个间隔,用于通过范围中的数字递增。本质上,这会以预定义的率跳过数字。如果间隔为 3,并且范围中的第一个数字是 1,则范围中使用的下一个数字为 4,然后 7,然后是 10,每新编号分配递增 3。
在复制环境中,dnaInterval 可让多个服务器共享相同的范围。但是,当您配置共享相同范围的不同服务器时,相应地设置 dnaInterval 和 dnaNextVal 参数,以便不同的服务器不会生成相同的值。如果您在复制拓扑中添加新服务器,还必须考虑这一点。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何整数 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | dnaInterval: 1 |
4.10.4. dnaMagicRegen
此属性设置用户定义的值,以指示插件为条目分配新值。magic 值可用于为现有条目分配新的唯一数字,或者在添加新条目时作为标准设置。
magic 条目应位于服务器定义的范围之外,以便意外地触发它。请注意,在 DirectoryString 或其他字符类型中使用此属性时,此属性不必是一个数字。但是,在大多数情形中,DNA 插件仅用于仅接受整数值的属性,在这种情况下,dnamagicregen 值也必须是整数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaMagicRegen: -1 |
4.10.5. dnaMaxValue
此属性设置可以为范围分配的最大值。默认值为 -1,它与设置最高 64 位整数相同。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统的最大 32 位整数,以及 64 位系统上的最大 64 位整数; -1 代表没有限制 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | dnaMaxValue: 1000 |
4.10.6. dnaNextRange
此属性定义在当前范围耗尽时使用的下一个范围。这个值会在服务器间传输范围时自动设置,但也可以手动设置它,以便在不使用范围请求时将范围添加到服务器。
只有当需要为其他服务器分配特定范围时,才应明确设置 dnaNextRange 属性。dnaNextRange 属性中设置的任何范围都必须从其他服务器可用的范围内唯一,以避免重复。如果没有来自其他服务器的请求,并且明确设置了 dnaNextRange 的服务器达到其 set dnaMaxValue,则会从这个 deck 中分配下一个值集合( dnaNextRange的一部分)。
dnaNextRange 分配也受 DNA 配置中设置的 dnaThreshold 属性的限制。为 dnaNextRange 分配给另一个服务器的任何范围都无法违反服务器的阈值,即使该范围在 dnaNextRange 上可用。
如果没有明确设置,如果在内部处理 dnaNextRange 属性。当它被自动处理时,dnaMaxValue 属性充当下一个范围的上限。
属性设置范围,格式为 lower_range-upper_range。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统上的最大 32 位整数,以及 64 位系统上为较低和大写的 64 位整数 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaNextRange: 100-500 |
4.10.7. dnaNextValue
此属性提供可分配的下一个可用数字。最初在配置条目中设置后,此属性由分布式数字分配插件管理。
需要 dnaNextValue 属性来为属性设置分布式数字分配。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统的最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | dnaNextValue: 1 |
4.10.8. dnaPrefix
此属性定义一个前缀,该前缀可以添加到属性生成的数字值前。例如,若要生成用户 ID,如 user1000,dnaPrefix 设置将是 用户。
dnaPrefix 可以存放任何类型的字符串。但是,dnaType 的一些可能值(如 uidNumber 和 gidNumber)只需要整数值。要使用前缀字符串,请考虑对允许字符串的 dnaType 使用自定义属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何字符串 |
| 默认值 | 无 |
| 示例 | dnaPrefix: id |
4.10.9. dnaRangeRequestTimeout
分布式数字分配插件的一个潜在情况是,一个服务器开始耗尽要分配的数字。dnaThreshold 属性在范围内设置可用数字的阈值,以便服务器可以在无法执行编号分配前从其他服务器请求额外的范围。
dnaRangeRequestTimeout 属性为范围请求设置一个超时时间(以秒为单位),以便服务器不会停止等待一个服务器的新范围,并可以从新的服务器请求范围。
若要执行范围请求,必须设置 dnaSharedCfgDN 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统的最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | dnaRangeRequestTimeout: 15 |
4.10.10. dnaScope
此属性设置基本 DN 以搜索应用分布式数字分配的条目。这与 ldapsearch 中的基本 DN 类似。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器条目 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaScope: ou=people,dc=example,dc=com |
4.10.12. dnaThreshold
分布式数字分配插件的一个潜在情况是,一个服务器开始耗尽要分配的数字,这可能会导致出现问题。分布式数字分配插件允许服务器从其他服务器上可用范围请求新范围。
因此,服务器可以在达到其分配的范围结束时识别,dnaThreshold 属性设置 范围内的剩余可用数字阈值。当服务器达到阈值时,它会为新范围发送请求。
若要执行范围请求,必须设置 dnaSharedCfgDN 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统的最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | dnaThreshold: 100 |
4.10.13. dnaType
此属性设定为它们生成有唯一数字的属性。在这种情况下,每当属性添加到带有 magic 号的条目时,会自动提供一个分配的值。
需要此属性来为属性设置分布式数字分配。
如果设置了 dnaPrefix 属性,则前缀值会添加到由 dnaType 生成的任何值。dnaPrefix 值可以是任何类型的字符串,但 dnaType 的一些合理的值(如 uidNumber 和 gidNumber)只需要整数值。要使用前缀字符串,请考虑对允许字符串的 dnaType 使用自定义属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 无 |
| 示例 | dnaType: uidNumber |
4.10.15. dnaHostname
此属性标识共享范围内的服务器的主机名,作为多层次复制中该特定主机的 DNA 范围配置的一部分。可用的范围由主机跟踪,范围信息在所有供应商间复制,以便在任何供应商在可用数量上运行低时,可以使用主机信息联系其他供应商并请求新的范围。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString |
| 有效范围 | 任何有效的主机名 |
| 默认值 | 无 |
| 示例 | dnahostname: ldap1.example.com |
4.10.16. dnaPortNum
此属性提供用于连接到 dnaHostname 中标识的主机的标准端口号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | 整数 |
| 有效范围 | 0 到 65535 |
| 默认值 | 389 |
| 示例 | dnaPortNum: 389 |
4.10.17. dnaRemainingValues
此属性包含剩余的值数,并可供服务器分配到条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | 整数 |
| 有效范围 | 任何整数 |
| 默认值 | 无 |
| 示例 | dnaRemainingValues: 1000 |
4.10.18. dnaRemoteBindCred
指定 Replication Manager 的密码。如果您在需要身份验证的 dnaRemoteBindMethod 属性中设置了 bind 方法,还要为 cn=config 条目下插件配置条目的复制部署中的各个服务器设置 dnaRemoteBindDN 和 dnaRemoteBindCred 参数。
以纯文本形式设置 参数。该值会在存储前自动 AES 加密。
需要重新启动服务器才能使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString {AES} encrypted_password |
| 有效值 | 任何有效的 AES 加密密码。 |
| 默认值 | |
| 示例 | dnaRemoteBindCred: {AES-TUhNR0NTcUdTSWIzRFFFRkRUQm1NRVVVHQ1NxR1NYjNEUUVGRERBNEJDUmxObUk0WXpjM1l5MHdaVE5rTXpZNA0KTNxaE9XSMMOHTXRHTKUTKUTT |
4.10.19. dnaRemoteBindDN
指定复制管理器 DN。如果您在需要身份验证的 dnaRemoteBindMethod 属性中设置了 bind 方法,还要为 cn=config 条目下的插件配置中的复制部署中的各个服务器设置 dnaRemoteBindDN 和 dnaRemoteBindCred 参数。
需要重新启动服务器才能使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString |
| 有效值 | 任何有效的复制管理器 DN。 |
| 默认值 | |
| 示例 | dnaRemoteBindDN: cn=replication manager,cn=config |
4.10.20. dnaRemoteBindMethod
指定远程绑定方法。如果您在此属性中设置了需要身份验证的 bind 方法,还要在 cn=config 条目下的插件配置条目中为每个服务器设置 dnaRemoteBindDN 和 dnaRemoteBindCred 参数。
需要重新启动服务器才能使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | DirectoryString |
| 有效值 |
|
| 默认值 | |
| 示例 | dnaRemoteBindMethod: SIMPLE |
4.10.21. dnaRemoteConnProtocol
指定远程连接协议。
需要重新启动服务器才能使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | DirectoryString |
| 有效值 |
|
| 默认值 | |
| 示例 | dnaRemoteConnProtocol: LDAP |
4.10.22. dnaSecurePortNum
此属性提供用来连接到 dnaHostname 中标识的主机的安全(TLS)端口号。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | 整数 |
| 有效范围 | 0 到 65535 |
| 默认值 | 636 |
| 示例 | dnaSecurePortNum: 636 |
4.11. 链接的属性插件属性
许多时候,条目彼此具有固有的关系(如经理和员工、文档条目及其作者或特殊组和组成员)。虽然属性存在反映这些关系,但必须在每个条目上手动添加和更新这些属性。这可能导致目录数据集缓慢不一致,其中这些条目关系不明确、过期或缺失。
Linked Attributes Plug-in 允许一个属性(在一个条目中设置)来自动更新另一个条目中的另一个属性。第一个属性具有一个指向要更新的条目的 DN 值;第二个条目属性也具有 DN 值,它是第一个条目的 back-pointer。由用户以及受影响条目中的动态更新"managed"属性的 link 属性都由 Linked Attributes Plug-in 实例中的管理员定义。
在概念上,这类似于 MemberOf 插件使用组条目中的 member 属性来设置用户条目中的 memberOf 属性的方式。只有 Linked Attributes 插件时,所有 link/managed 属性都是用户定义的,可以有多个插件实例,每个插件都会反映不同的链接管理关系。
链接属性有几个注意事项:
- link 属性和 managed 属性都必须将 DN 作为值。link 属性中的 DN 指向条目,以将 managed 属性添加到其中。managed 属性包含链接条目 DN 作为其值。
- managed 属性必须是 multi-valued。否则,如果多个链接属性指向同一受管条目,则不会准确更新 managed 属性值。
4.11.1. linkScope
这会限制插件的范围,因此它只在特定子树或后缀中运行。如果未指定范围,则插件将更新目录树的任何部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何 DN |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | linkScope: ou=People,dc=example,dc=com |
4.11.2. linkType
这将设置 user-managed 属性。此属性由用户修改和维护,然后在此属性值更改时,链接的属性会在目标条目中自动更新。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | linkType: directReport |
4.11.3. managedType
这将设置 managed, 或 plug-in maintained, 属性。此属性由 Linked Attributes 插件实例动态管理。每当对 managed 属性进行更改时,插件都会更新目标条目上的所有链接的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | managedType: manager |
4.12. 受管条目插件属性
在一些特殊情况下,在创建另一个条目时自动创建的条目很有用。例如,这可以是 Posix 集成的一部分,方法是在创建新用户时创建特定的组条目。Managed Entries 插件的每个实例标识两个区域:
- 插件的范围,即子树和搜索过滤器,用于识别需要相应受管条目的条目
- 定义受管条目应是什么的模板条目,如下所示
4.12.1. managedBase
此属性设置在其中创建受管条目的子树。这可以是目录树中的任何条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何目录服务器子树 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | managedBase: ou=groups,dc=example,dc=com |
4.12.2. managedTemplate
此属性标识用于创建受管条目的模板条目。此条目可以位于目录树中的任何位置,但建议此条目位于复制后缀中,以便复制中的所有供应商和消费者都使用相同的模板。
Red Hat Directory Server Configuration、Command 和 File Reference 中介绍了用于创建受管条目模板的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 |
|
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | managedTemplate: cn=My Template,ou=Templates,dc=example,dc=com |
4.12.3. originFilter
此属性设置搜索过滤器,用于搜索和识别需要受管条目的子树中的条目。过滤器允许受管条目行为限制为特定类型的条目或条目子集。语法与常规搜索过滤器相同。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | originFilter: objectclass=posixAccount |
4.12.4. originScope
此属性设置用于查看插件监控器的条目的搜索范围。如果在范围子树中创建新条目,则 Managed Entries 插件会创建一个与它对应的新受管条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何目录服务器子树 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | originScope: ou=people,dc=example,dc=com |
4.13. memberOf 插件属性
组成员资格使用成员等属性在组条目中定义。搜索 member 属性可以更轻松地列出组的所有成员。但是,组成员资格不会反映在成员的用户条目中,因此无法通过查看用户条目来告知用户所属的组。
MemberOf 插件通过将组成员中的组成员资格与组成员的单个目录条目同步,方法是识别组条目中特定 成员属性(如成员)的更改,然后重新将成员资格更改写入到成员用户条目中的特定属性。
4.13.1. cn
设置插件实例的名称。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: MemberOf Plugin 实例示例 |
4.13.2. memberOfAllBackends
此属性指定是否在搜索用户条目或所有可用后缀。这可以在目录树中取用,用户可以在多个数据库中分发用户,以便全面、一致地评估组成员资格。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | memberOfAllBackends: on |
4.13.3. memberOfAttr
此属性指定 Directory Server 的用户条目中的属性,以反映组成员资格。MemberOf 插件会在成员的目录条目中生成此处指定的属性值。用户所属的每个组都有单独的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | memberOf |
| 语法 | DirectoryString |
| 示例 | memberOfAttr: memberOf |
4.13.4. memberOfAutoAddOC
要启用 memberOf 插件,将 memberOf 属性添加到用户,用户对象必须包含允许此属性的对象类。如果条目没有允许 memberOf 属性的对象类,则 memberOf 插件将自动添加 memberOfAutoAddOC 参数中列出的对象类。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | 任何目录服务器对象类 |
| 默认值 | nsMemberOf |
| 语法 | DirectoryString |
| 示例 | memberOfAutoAddOC: nsMemberOf |
4.13.5. memberOfEntryScope
如果您配置了几个后端或多个嵌套后缀,则多值 memberOfEntryScope 参数允许您设置 MemberOf 插件可以正常工作的后缀。如果没有设置参数,则插件适用于所有后缀。memberOfEntryScopeExcludeSubtree 参数中设置的值比 memberOfEntryScope 中设置的值高。
详情请查看 Directory Server Administration Guide 中的对应部分。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器条目 DN。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | memberOfEntryScope: ou=people,dc=example,dc=com |
4.13.6. memberOfEntryScopeExcludeSubtree
如果您配置了几个后端或多个嵌套后缀,则多值 memberOfEntryScopeExcludeSubtree 参数允许您设置 MemberOf 插件排除的后缀。memberOfEntryScopeExcludeSubtree 参数中设置的值比 memberOfEntryScope 中设置的值高。如果这两个参数中设置的范围都重叠,MemberOf 插件仅适用于非覆盖的目录条目。
详情请查看 Directory Server Administration Guide 中的对应部分。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器条目 DN。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | memberOfEntryScopeExcludeSubtree: ou=sample,dc=example,dc=com |
4.13.7. memberOfGroupAttr
此属性指定组条目中的属性,用于识别组成员的 DN。默认情况下,这是 member 属性,但可以是包含 DN 值的任何成员资格相关属性,如 uniquemember 或 member。
任何属性都可用于 memberOfGroupAttr 值,但 MemberOf 插件仅在 target 属性的值包含成员条目的 DN 时才有效。例如,member 属性包含成员用户条目的 DN:
member: uid=jsmith,ou=People,dc=example,dc=com
member: uid=jsmith,ou=People,dc=example,dc=com
某些与成员相关的属性不包含 DN,如 memberURL 属性。此属性将不作为 memberOfGroupAttr 的值工作。memberURL 值是一个 URL,一个非DN 值无法用于 MemberOf 插件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 成员 |
| 语法 | DirectoryString |
| 示例 | memberOfGroupAttr: member |
4.14. 属性唯一插件属性
Attribute Uniqueness 插件确保属性的值在目录或子树中是唯一的。
4.14.1. cn
设置 属性唯一插件配置 记录的名称。您可以使用任何字符串,但红帽建议您命名配置记录 attribute_name Attribute 唯一性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | cn: mail Attribute Uniqueness |
4.14.2. uniqueness-attribute-name
设置其值必须是唯一的的属性的名称。此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-attribute-name: mail |
4.14.3. uniqueness-subtrees
设置 DN,该插件会在其下检查属性值的唯一性。此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的子树 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-subtrees: ou=Sales,dc=example,dc=com |
4.14.4. uniqueness-across-all-subtrees
如果启用 (在 上),插件将检查属性在设置的所有子树中是否是唯一的。如果将属性设置为 off,则仅在更新条目的子树中强制实施唯一性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | uniqueness-across-all-subtrees: off |
4.14.5. uniqueness-top-entry-oc
目录服务器在更新对象的父条目中搜索此对象类。如果没有找到,则搜索将继续到目录树的根目录的下一个更高级别的条目。如果找到对象类,Directory 服务器会验证 uniqueness-attribute-name 中设置的属性值是否在此子树中是唯一的。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的对象类 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-top-entry-oc: nsContainer |
4.14.6. uniqueness-subtree-entries-oc
另外,在使用 uniqueness-top-entry-oc 参数时,您可以配置 Attribute Uniqueness 插件仅验证属性是否是唯一的,如果条目包含此参数中设置的对象类。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的对象类 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-subtree-entries-oc: inetOrgPerson |
4.15. POSIX Winsync API 插件属性
默认情况下,在 Active Directory 和 Red Hat Directory Server 之间不会同步与 Posix 相关的属性。在 Linux 系统上,系统用户和组被识别为 Posix 条目,LDAP Posix 属性则包含所需信息。但是,当 Windows 用户同步时,它们会自动添加 ntUser 和 ntGroup 属性,以将其识别为 Windows 帐户,但没有同步 Posix 属性(即使它们存在于 Active Directory 条目中),且在 Directory 服务器上添加 Posix 属性。
Posix Winsync API 插件在 Active Directory 和 Directory Server 条目之间同步 POSIX 属性。
所有 POSIX 属性(如 uidNumber、gidNumber 和 homeDirectory)都在 Active Directory 和 Directory Server 条目之间同步。但是,如果新的 POSIX 条目或 POSIX 属性添加到 Directory 服务器中的现有条目中,则只有 POSIX 属性同步到 Active Directory 对应的条目。POSIX 对象类(posixAccount 用于用户,posixGroup 用于组)不会添加到 Active Directory 条目中。
此插件默认是禁用的,且必须在从 Active Directory 条目同步到 Directory 服务器条目之前启用。
4.15.1. posixWinsyncCreateMemberOfTask
此属性设置在同步运行后立即运行 memberOf 修复任务,以更新同步用户的组成员资格。默认情况下禁用此设置,因为 memberOf 修复任务可以是资源密集型,如果运行太频繁,则会导致性能问题。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncCreateMemberOfTask: false |
4.15.2. posixWinsyncLowerCaseUID
此属性设置是否在小写中存储(以及转换) memberUID 属性中的 UID 值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncLowerCaseUID: false |
4.15.3. posixWinsyncMapMemberUID
此属性设置是否将 Active Directory 组中的 memberUID 属性映射到 Directory Server 组中的 uniqueMember 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | true |
| 示例 | posixWinsyncMapMemberUID: false |
4.15.4. posixWinsyncMapNestedGrouping
当 Active Directory POSIX 组中的 memberUID 属性发生变化时,posixWinsyncMap NestedGrouping 参数管理嵌套组是否被更新。更新嵌套组支持 5 级的深度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncMapNestedGrouping: false |
4.15.5. posixWinsyncMsSFUSchema
当从 Active Directory 同步 Posix 属性时,此属性设置到用于 Unix 3.0 (msSFU30)模式的旧 Microsoft System Services。默认情况下,Posix Winsync API 插件对现代 Active Directory 服务器使用 Posix 模式:2005、2008 及更新的版本。Windows Server 2003 和较旧的 Windows 服务器所使用的现代 Active Directory Posix 模式和 Posix 模式之间存在略微差别。如果 Active Directory 域使用旧的模式,则可以改为使用旧的模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncMsSFUSchema: true |
4.16. retro Changelog 插件属性
两种不同类型的更改日志由 Directory Server 维护。第一个类型称为 更改日志,它被多层次复制使用,第二个更改日志(称为 retro changelog )用于维护与目录服务器 4.x 版本的应用程序兼容性。
此 Retro Changelog 插件用于记录对供应商服务器的修改。当供应商服务器的目录被修改时,条目将写入包含以下内容的 Retro Changelog 中:
- 唯一标识修改的数字。这个数字遵循 changelog 中的其他条目。
- 修改操作是修改目录的方式。
它通过 Retro Changelog 插件,使用搜索 cn=changelog 后缀来访问对 Directory 服务器所做的更改。
4.16.1. isReplicated
此可选属性设置标志,以指示 changelog 中的更改是新在该服务器上进行的更改还是从其他服务器复制。
| 参数 | 描述 |
|---|---|
| OID | 2.16.840.1.113730.3.1.2085 |
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | 无 |
| 语法 | 布尔值 |
| 示例 | isReplicated: true |
4.16.2. nsslapd-attribute
此属性明确指定另一个目录服务器属性,它必须包含在 retro changelog 条目中。
许多操作属性和其他类型的属性通常不包括在 retro changelog 中,但第三方应用程序可能需要存在这些属性才能使用 changelog 数据。这可以通过使用 nsslapd-attribute 参数列出 retro changelog 插件配置中的属性来完成。
还可以在 nsslapd-attribute 值中指定属性的可选别名。
nsslapd-attribute: attribute:alias
nsslapd-attribute: attribute:alias对属性使用别名有助于避免与外部服务器或应用中的其他属性冲突,这些属性可能使用 retro changelog 记录。
将 nsslapd-attribute 属性的值设置为 isReplicated 是一种在 retro changelog 条目本身中指示的方式,无论修改是在本地服务器上完成(即,更改是否为原始更改)还是将更改复制到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的目录属性(标准或自定义) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-attribute: nsUniqueId: uniqueID |
4.16.3. nsslapd-changelogdir
此属性指定在第一次插件时创建 changelog 数据库的目录名称。默认情况下,数据库会与所有其他数据库存储在 /var/lib/dirsrv/slapd-instance/changelogdb 下。
出于性能考虑,将此数据库存储在不同的物理磁盘中。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 到目录的任何有效路径 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb |
4.16.4. nsslapd-changelogmaxage (Max Changelog Age)
此属性指定 changelog 中任何条目的最长期限。更改日志包含每个目录修改的记录,并在同步消费者服务器时使用。每个记录包含一个时间戳。任何带有时间戳比此属性中指定的值旧的记录都会被删除。如果没有 nsslapd-changelogmaxage 属性,则 changelog 记录没有期限限制。
如果协议已超过最长期限,则不会删除过期的 changelog 记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效范围 | 0 (注意条目没有根据其年龄删除)到最大 32 位整数值(2147483647) |
| 默认值 | 7d |
| 语法 | DirectoryString Integer AgeID
AgeID 为 |
| 示例 | nsslapd-changelogmaxage: 30d |
4.16.5. nsslapd-exclude-attrs
nsslapd-exclude-attrs 参数存储从 retro changelog 数据库中排除的属性名称。要排除多个属性,请为每个要排除的属性添加一个 nsslapd-exclude-attrs 参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-exclude-attrs: example |
4.16.6. nsslapd-exclude-suffix
nsslapd-exclude-suffix 参数存储从 retro changelog 数据库中排除的后缀。您可以多次添加该参数以排除多个后缀。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-exclude-suffix: ou=demo,dc=example,dc=com |
4.17. rootdn 访问控制插件属性
root DN cn=Directory Manager 是一个在普通用户数据库之外定义的特殊用户条目。普通的访问控制规则不适用于根 DN,但由于 root 用户的强大性质,将某种类型的访问控制规则应用到 root 用户会很有帮助。
RootDN 访问控制插件对 root 用户设置正常的访问控制 - 主机和 IP 地址限制、时间限制和星期几限制。
此插件默认为禁用。
4.17.1. rootdn-allow-host
这将根据完全限定域名设置哪些主机,即 root 用户被允许用来访问目录服务器。任何未列出的主机都会隐式被拒绝。
允许通配符。
此属性可以多次使用来指定多个主机、域或子域。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的主机名或域,包括通配符的星号 rolebinding |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-allow-host: *.example.com |
4.17.2. rootdn-allow-ip
这会设置允许 root 用户访问目录服务器的机器的 IPv4 或 IPv6 的 IP 地址。任何未列出的 IP 地址都会隐式被拒绝。
允许通配符。
此属性可以多次使用来指定多个地址、域或子网。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 IPv4 或 IPv6 地址,包括通配符的星号 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-allow-ip:192.168. |
4.17.3. rootdn-close-time
当允许 root 用户访问 Directory 服务器时,这设定一个时间段或范围的一部分。当基于时间的访问 结束时 设置,当 root 用户不再允许访问目录服务器时。
这与 rootdn-open-time 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的时间,采用 24 小时格式 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | rootdn-close-time: 1700 |
4.17.4. rootdn-days-allowed
这以逗号分隔的 root 用户被允许用来访问目录服务器的天数的列表。列出的任何天数都会被隐式拒绝。这可以与 rootdn-close-time 和 rootdn-open-time 一起使用,以组合基于时间的访问和星期日,或者可供其自身使用(允许的天数允许所有小时)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效值 | * Sun * mon * 周二 * wed * 周四 * 周五 * sat |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-days-allowed: Mon, Tue, Wed, Thu, Fri |
4.17.5. rootdn-deny-ip
这会为 不允许 root 用户用于访问目录服务器的机器设置 IPv4 或 IPv6 的 IP 地址。任何未列出的 IP 地址都会隐式允许。
拒绝规则监管允许规则,因此,如果 IP 地址同时列在 rootdn-allow-ip 和 rootdn-deny-ip 属性中,则会被拒绝访问。
允许通配符。
此属性可以多次使用来指定多个地址、域或子网。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 IPv4 或 IPv6 地址,包括通配符的星号 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-deny-ip: 192.168.0.0 |
4.17.6. rootdn-open-time
当允许 root 用户访问 Directory 服务器时,这设定一个时间段或范围的一部分。当基于时间的访问 开始时,该设定。
这与 rootdn-close-time 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的时间,采用 24 小时格式 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | rootdn-open-time: 0800 |
4.18. 参考完整性插件属性
参考完整性可确保当您对目录中条目执行更新或删除操作时,服务器也会更新引用已删除/更新的条目的信息。例如,如果用户的条目从目录中删除,并且启用了引用完整性,服务器也会从用户所属的任何组中删除该用户。
4.18.1. nsslapd-pluginAllowReplUpdates
参考完整性是一个非常要求的资源。因此,如果您配置了多层次复制,则 referential Integrity 插件将默认忽略复制更新。但是,有时无法启用 referential Integrity 插件,或者插件不可用。
例如,复制拓扑中的一个供应商是 Active Directory (请参阅 Windows 同步 章节),其不支持引用完整性。在这种情况下,您可以允许另一个供应商的 Referential Integrity 插件使用 nsslapd-pluginAllowReplUpdates 属性处理复制更新。
在 多层次复制拓扑中,只有一个供应商必须具有 nsslapd-pluginAllowReplUpdates 属性值。否则,可能会导致复制错误,并需要完全初始化来解决这个问题。另一方面,必须在可能的情况下在所有节点上启用 referential Integrity 插件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=referential integrity postoperation,cn=plugins,cn=config |
| 有效值 | on/off |
| 默认值 | off |
| 语法 | 布尔值 |
| 示例 | nsslapd-pluginAllowReplUpdates: on |
第 5 章 目录条目架构参考
5.1. 关于目录服务器架构
本章概述了目录模式的一些基本概念,并列出描述模式的文件。它描述了对象类、属性和对象标识符(OID),并简要讨论扩展服务器模式和模式检查。
5.1.1. 模式定义
目录架构是一组规则,用于定义数据如何存储在目录中。目录信息存储离散条目,每个条目都由一组属性及其值组成。条目中描述的身份类型在条目的对象类中定义。对象类指定条目通过对象类定义的一组属性描述的对象类型。
基本上,架构文件是可以创建的类型条目列表( 对象类)以及可以描述这些条目的方式( 属性)。架构 定义了 对象类和属性是什么。该架构还定义属性值包含(属性 的语法)的格式,以及是否只能是该属性的一个实例。
其他架构文件可以添加到目录服务器配置中并加载到服务器中,以便可以自定义模式,并根据需要进行扩展。
有关对象类、属性以及目录服务器如何使用模式的详细信息,请参阅 部署指南。
如果 schema 定义包含太多字符,目录服务器无法启动。在 LDAP 标准允许使用零个或多个空格的地方,请精确使用一个空格;例如,NAME 关键字和属性类型名称之间的位置。
5.1.1.1. 对象类
在 LDAP 中,对象类定义可用于定义条目的属性集合。LDAP 标准为许多常用条目提供对象类,如人员 (个人和 inetOrgPerson)、组(groupOfUniqueNames)、位置(locality)、机构和部门(机构和组织单元 )以及设备(device)。
在架构文件中,对象类由 objectclasses 行标识,然后是其 OID、name、description、其直接高级对象类(需要与对象类结合使用的对象类),以及使用此对象类共享其属性的列表(MUST)和允许(MAY)属性。
这在 例 5.1 “人员对象类架构条目” 中显示。
例 5.1. 人员对象类架构条目
objectClasses: ( 2.5.6.6 NAME 'person' DESC 'Standard LDAP objectclass' SUP top MUST ( sn $ cn ) MAY ( description $ seeAlso $ telephoneNumber $ userPassword ) X-ORIGIN 'RFC 2256' )
objectClasses: ( 2.5.6.6 NAME 'person' DESC 'Standard LDAP objectclass' SUP top MUST ( sn $ cn ) MAY ( description $ seeAlso $ telephoneNumber $ userPassword ) X-ORIGIN 'RFC 2256' )5.1.1.1.1. 必需和允许的属性
每个对象类定义多个必要属性和允许的属性。必要的属性必须存在于使用指定对象类的条目中,而允许的属性是允许的且可供使用的条目使用,但条目不需要有效。
在 例 5.1 “人员对象类架构条目” 中,person 对象类需要 cn,sn, 和 swig 属性,并允许 描述,seeAlso, 和 userPassword 属性。
所有条目都需要 这个属性,它列出了分配给条目的对象类。
5.1.1.1.2. 对象类继承
一个条目可以有多个对象类。例如,个人条目由 person 对象类定义,但同一人也可能由 inetOrgPerson 和 organizationalPerson 对象类中的属性描述。
此外,对象类也可以是分层。除了自己的必要和允许的属性外,对象类也可以从另一个类继承属性。第二个对象类 是第一个 对象类。
服务器的对象类结构决定了特定条目所需的和允许的属性列表。例如,用户条目必须具有 inetOrgPerson 对象类。在这种情况下,该条目还必须包括 inetOrgPerson,organizationalPerson,以及 organizationalPerson 的 超级对象类,即 个人 :
objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
当 inetOrgPerson 对象类分配给条目时,该条目会自动继承高级对象类的必需属性和允许的属性。
5.1.1.2. 属性
目录条目由属性及其值组成。这些对称为 attribute-value assertions 或 AVAs。目录中的任何信息都与描述性属性关联。例如,cn 属性用于存储个人的全名,如 cn: John Smith。
其他属性可以提供有关 John Smith 的更多信息:
givenname: John surname: Smith mail: jsmith@example.com
givenname: John
surname: Smith
mail: jsmith@example.com
在 schema 文件中,属性由 attributetypes 行标识,然后是其 OID、name、description、syntax (其值允许的格式),可选属性是 single- 或 multi-valued,以及定义属性的位置。
这在 例 5.2 “描述属性架构条目” 中显示。
例 5.2. 描述属性架构条目
attributetypes: ( 2.5.4.13 NAME 'description' DESC 'Standard LDAP attribute type' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 X-ORIGIN 'RFC 2256' )
attributetypes: ( 2.5.4.13 NAME 'description' DESC 'Standard LDAP attribute type' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 X-ORIGIN 'RFC 2256' )可以缩写一些属性。这些缩写列为属性定义的一部分:
attributetypes: ( 2.5.4.3 NAME ( 'cn' 'commonName' ) ...
attributetypes: ( 2.5.4.3 NAME ( 'cn' 'commonName' ) ...5.1.1.2.1. 目录服务器属性语法
属性的语法定义属性允许的值的格式;与其他 schema 元素一样,使用模式文件条目中语法的 OID 为属性定义语法。在 Directory Server 控制台中,语法通过友好的名称来引用。
目录服务器使用属性的语法对条目执行排序和模式匹配。
有关 LDAP 属性语法的更多信息,请参阅 RFC 4517。
| 名称 | OID | 定义 |
|---|---|---|
| 二进制 | 1.3.6.1.4.1.1466.115.121.1.5 | 已弃用。改为使用 Octet 字符串。 |
| 位字符串 | 1.3.6.1.4.1.1466.115.121.1.6 |
对于位化的值,如 |
| 布尔值 | 1.3.6.1.4.1.1466.115.121.1.7 | 对于只有两个允许值的属性,TRUE 或 FALSE。 |
| 国家(国家)字符串 | 1.3.6.1.4.1.1466.115.121.1.11 | 对于限制为只有两个可打印的字符串字符的值;例如,美国美国美国。 |
| DN | 1.3.6.1.4.1.1466.115.121.1.12 | 对于可分辨名称(DN)的值。 |
| 交付方法 | 1.3.6.1.4.1.1466.115.121.1.14 | 对于包含提供信息或联系实体的首选方法的值。不同的值用美元符号($)分隔。例如: [literal,subs="+ quotes,verbatim"] …. telephone $ physical …. |
| 目录字符串 | 1.3.6.1.4.1.1466.115.121.1.15 | 对于有效 UTF-8 字符串的值。这些值不一定区分大小写。目录字符串和相关语法都提供了区分大小写的匹配规则和不区分大小写的匹配规则。 |
| 增强指南 | 1.3.6.1.4.1.1466.115.121.1.21 | 对于包含基于属性和过滤器的复杂搜索参数的值。 |
| Facsimile | 1.3.6.1.4.1.1466.115.121.1.22 | 包含 fax 号的值。 |
| 传真 | 1.3.6.1.4.1.1466.115.121.1.23 | 对于包含传输传真的镜像的值。 |
| 常规时间 | 1.3.6.1.4.1.1466.115.121.1.24 | 对于作为可打印字符串编码的值。必须指定时区。强烈建议您使用 GMT 时间。 |
| 指南 | 1.3.6.1.4.1.1466.115.121.1.25 | 过时.对于包含基于属性和过滤器的复杂搜索参数的值。 |
| IA5 字符串 | 1.3.6.1.4.1.1466.115.121.1.26 | 对于有效字符串的值。这些值不一定区分大小写。IA5 字符串和相关语法都提供了区分大小写的匹配规则和不区分大小写的匹配规则。 |
| 整数 | 1.3.6.1.4.1.1466.115.121.1.27 | 表示整数的值。 |
| JPEG | 1.3.6.1.4.1.1466.115.121.1.28 | 包含镜像数据的值。 |
| 名称和可选 UID | 1.3.6.1.4.1.1466.115.121.1.34 | 对于包含 DN 和(可选)唯一 ID 的组合值的值。 |
| 数字字符串 | 1.3.6.1.4.1.1466.115.121.1.36 | 对于包含数字和空格的字符串的值。 |
| OctetString | 1.3.6.1.4.1.1466.115.121.1.40 | 对于二进制值,这将替换二进制语法。 |
| 对象类描述 | 1.3.6.1.4.1.1466.115.121.1.37 | 包含对象类定义的值。 |
| OID | 1.3.6.1.4.1.1466.115.121.1.38 | 对于包含 OID 定义的值。 |
| 邮寄地址 | 1.3.6.1.4.1.1466.115.121.1.41 |
对于以 [literal,subs="+quotes,verbatim"] ….1234 主 St.$Raleigh, NC 12345$USA …. 每个 dstring 组件都编码为 DirectoryString 值。如果发生反斜杠和美元字符,则用引号括起来,因此不会为行分隔符出错。许多服务器将邮寄地址限制为最多 30 个字符的 6 行。 |
| 可打印的字符串 | 1.3.6.1.4.1.1466.115.121.1.44 | 对于包含可打印字符串的值。 |
| 空格不区分大小写的字符串 | 2.16.840.1.113730.3.7.1 | 对于包含空格不区分大小写的字符串的值。 |
| telephoneNumber | 1.3.6.1.4.1.1466.115.121.1.50 | 对于以电话号码形式的值。建议您以国际形式使用电话号码。 |
| Teletex Terminal Identifier | 1.3.6.1.4.1.1466.115.121.1.51 | 对于包含国际电话号码的值。 |
| Telex Number | 1.3.6.1.4.1.1466.115.121.1.52 | 对于包含电话数字、国家代码和电话代码的值。 |
| URI |
对于 URL 形式的值,以字符串形式引入,如 |
5.1.1.2.2. 单值和多值属性
默认情况下,大多数属性都是多值。这意味着条目可以多次包含相同属性,并具有不同值。例如:
dn: uid=jsmith,ou=marketing,ou=people,dc=example,dc=com ou: marketing ou: people
dn: uid=jsmith,ou=marketing,ou=people,dc=example,dc=com
ou: marketing
ou: people
例如,cn、tel 和 objectclass 属性可以有多个值。单值的属性 - 也就是说,只能指定属性的一个实例 - 在 模式中指定,因为仅允许单个值。例如,uidNumber 只能有一个可能的值,因此其 schema 条目具有术语 SINGLE-VALUE。如果属性是多值,则没有值表达式。
5.1.2. 默认目录服务器架构文件
目录服务器的模板架构定义存储在 /etc/dirsrv/schema 目录中。这些默认架构文件用于为新目录服务器实例生成架构文件。每个服务器实例在 /etc/dirsrv/slapd-instance/schema 中都有自己的特定于实例的模式目录。实例目录中的架构文件仅由该实例使用。
要修改目录架构,请在实例特定架构目录中创建新属性和新对象类。由于默认架构用于创建新实例,并且每个实例都有自己的架构文件,因此每个实例可能有不同的架构,这与每个实例的使用匹配。
使用 Directory Server Console 或 LDAP 命令添加的任何自定义属性都存储在 99user.ldif 文件中;可以把其他自定义模式文件添加到每个实例的 /etc/dirsrv/slapd-instance/schema 目录中。不要对 Red Hat Directory Server 附带的标准文件进行任何修改。
有关目录服务器如何存储规划目录模式信息和建议的更多信息,请参阅 部署指南。
| 模式文件 | 用途 |
|---|---|
| 00core.ldif | X.500 和 LDAP 标准(RFC)推荐的核心模式。此架构由 Directory 服务器本身用于实例配置并启动服务器实例。 |
| 01core389.ldif | X.500 和 LDAP 标准(RFC)推荐的核心模式。此架构由 Directory 服务器本身用于实例配置并启动服务器实例。 |
| 02common.ldif | 来自 RFC 2256、LDAPv3 的标准模式,以及用于配置条目的 Directory Server 定义的标准模式。 |
| 05rfc2927.ldif | RFC 2927 的 schema,"MIME Directory Profile for LDAP Schema." |
| 05rfc4523.ldif | X.509 证书的 schema 定义。 |
| 05rfc4524.ldif | Cosine LDAP/X.500 模式。 |
| 06inetorgperson.ldif | 来自 RFC 2798、RFC 2079 和 RFC 1274 的 inetOrgPerson 模式元素。 |
| 10rfc2307.ldif | RFC 2307 中的模式,"使用 LDAP 作为网络信息服务的方法"。 |
| 20subscriber.ldif | Directory Server-Nortel 订阅者互操作性的通用模式元素。 |
| 25java-object.ldif | RFC 2713 的 schema,"代表 LDAP 目录中 Java 对象的Schema"。 |
| 28pilot.ldif | pilot RFC (特别是 RFC 1274)中的 schema,这些 RFC 1274 不再建议在新部署中使用。 |
| 30ns-common.ldif | 通用模式. |
| 50ns-admin.ldif | 管理服务器使用的 schema。 |
| 50ns-certificate.ldif | 红帽认证系统使用的模式. |
| 50ns-directory.ldif | 传统目录服务器 4.x 服务器使用的 schema。 |
| 50ns-mail.ldif | 邮件服务器的 schema。 |
| 50ns-value.ldif | Directory 服务器中值项的 schema。 |
| 50ns-web.ldif | Web 服务器的 schema。 |
| 60autofs.ldif | 用于自动挂载配置的对象类;这是用于 NIS 服务器的多个架构文件之一。 |
| 60eduperson.ldif | 教育相关人员和组织条目的模式元素。 |
| 60mozilla.ldif | Mozilla 相关用户配置文件的 schema 元素。 |
| 60nss-ldap.ldif | GSS-API 服务名称的 schema 元素。 |
| 60pam-plugin.ldif | 将目录服务与 PAM 模块集成的 schema 元素。 |
| 60pureftpd.ldif | 用于定义 FTP 用户帐户的 schema 元素。 |
| 60rfc2739.ldif | 日历和 vCard 属性的 schema 元素。 |
| 60rfc3712.ldif | 用于配置打印机的 schema 元素。 |
| 60sabayon.ldif | 定义 sabayon 用户条目的 schema 元素。 |
| 60sudo.ldif | 定义 sudo 用户和角色的 schema 元素。 |
| 60trust.ldif | 用于定义 NSS 或 PAM 的信任关系的 schema 元素。 |
| 99user.ldif | 通过 Directory Server Console 添加的自定义模式元素。 |
5.1.3. 对象标识符(OID)
所有架构元素都分配有对象标识符(OID),包括属性和对象类。OID 是整数序列,通常写为以点分隔的字符串。所有自定义属性和类都必须符合 X.500 和 LDAP 标准。
如果没有为 schema 元素指定 OID,Directory 服务器会自动使用 ObjectClass_name-oid 和 attribute_name-oid。但是,使用文本 OID 而不是数字 OID 可能会导致客户端、服务器互操作性和服务器行为出现问题,并强烈建议分配一个数字 OID。
OID 可以基于.base OID 是一个根号码,用于机构的每个 schema 元素,然后从那里递增 schema 元素。例如,基本 OID 可以是 1。然后,公司使用 1.1 作为属性,因此每个新属性的 OID 为 1.1.x。它对对象类使用 1.2,因此每个新对象类的 OID 为 1.2.x。
对于 Directory Server 定义的 schema 元素,基本 OID 如下:
-
Netscape 基础 OID 是
2.16.840.1.113730。 -
Directory Server 基础 OID 是
2.16.840.1.113730.3。 -
所有 Netscape 定义的属性都有基本 OID
2.16.840.1.113370.3.1。 -
所有 Netscape 定义的对象类都有基本 OID
2.16.840.1.113730.3.2。
有关 OID 或请求前缀的更多信息,请转到 Internet 分配号授权机构(IANA)网站,地址为 http://www.iana.org/。
5.1.4. 扩展架构
目录服务器模式包含数百个对象类和属性,可用于满足大多数目录要求。此架构可通过新的对象类和属性进行扩展,它们满足企业中目录服务的更改要求,方法是创建自定义架构文件。
在向架构添加新属性时,应创建一个新的对象类来包含它们。在现有对象类中添加新属性可能会破坏目录服务器与依赖标准 LDAP 模式的现有 LDAP 客户端兼容性,并可能会在升级服务器时造成困难。
有关扩展服务器模式的更多信息,请参阅 部署指南。
5.1.5. Schema 检查
模式检查 意味着目录服务器在创建、修改或导入的数据库中会检查每个条目,以确保它符合 schema 文件中的架构定义。模式检查会验证三个操作:
- 条目中使用的对象类和属性在目录架构中定义。
- 对象类所需的属性包含在条目中。
- 只有对象类允许的属性包含在条目中。
您应该运行打开了模式检查的目录服务器。有关启用架构检查的详情,请参考 管理指南。
5.1.6. 语法验证
语法验证 意味着目录服务器检查属性的值是否与该属性所需的语法匹配。例如,语法验证将确认新的 telephoneNumber 属性实际具有值的有效电话号码。
使用其基本配置时,语法验证(如模式检查)将检查任何目录修改,以确保属性值与所需语法匹配,并拒绝违反语法的任何修改。(可选)可以将语法验证配置为记录有关语法违反情况的警告消息,并拒绝更改或允许修改过程成功。
所有语法都是根据 RFC 4514 验证的,但 DN 除外。默认情况下,DN 根据 RFC 1779 或 RFC 2253 验证,它们比 RFC 4514 严格。必须明确配置 DN 的严格验证。
此功能检查 表 5.1 “支持的 LDAP 属性语法” 中列出的所有属性语法,但二进制语法(无法验证)和非标准语法除外,它们没有定义所需的格式。未验证的 语法如下:
- 传真(二进制)
- OctetString (binary)
- JPEG (binary)
- 二进制(非标准)
- 空格(敏感的字符串)(非标准)
- URI (非标准)
启用语法验证后,每当向条目中添加或修改属性时,都会检查 新的 属性值。(这不包括 复制 更改,因为供应商服务器上检查了语法。)也可以通过运行 syntax-validation.pl 脚本来 检查现有的 属性值是否有语法违反情况。
有关语法验证选项的详情,请查看 管理指南。
5.2. 条目属性参考
本参考中列出的属性被手动分配或提供给目录条目。属性按字母顺序列出,及其定义、语法和 OID。
5.2.1. abstract
abstract 属性包含一个文档条目的抽象。
| OID | 0.9.2342.19200300.102.1.9 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.2. accessTo
此属性定义允许用户访问哪些特定主机或服务器。
| OID | 5.3.6.1.1.1.1.1 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | nss_ldap/pam_ldap |
5.2.3. accountInactivityLimit
accountInactivityLimit 属性从帐户的最后登录时间(以秒为单位)设置时间段(以秒为单位)。
| OID | 1.3.6.1.4.1.11.1.3.2.1.3 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.4. acctPolicySubentry
acctPolicySubentry 属性标识属于帐户策略(特别是帐户锁定策略)的任何条目。此属性的值指向应用到条目的帐户策略。
这可以在单独的用户条目或 CoS 模板条目或角色条目上设置。
| OID | 1.3.6.1.4.1.11.1.3.2.1.2 |
| 语法 | DN |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.5. administratorContactInfo
此属性包含 LDAP 或服务器管理员的联系信息。
| OID | 2.16.840.1.113730.3.1.74 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.6. adminRole
此属性包含分配给条目中标识的用户的角色。
| OID | 2.16.840.1.113730.3.1.601 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape 管理服务 |
5.2.7. adminUrl
此属性包含管理服务器的 URL。
| OID | 2.16.840.1.113730.3.1.75 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.8. aliasedObjectName
Directory 服务器使用 aliasedObjectName 属性来识别别名条目。此属性包含此条目作为别名的条目的 DN (区分名称)。例如:
aliasedObjectName: uid=jdoe,ou=people,dc=example,dc=com
aliasedObjectName: uid=jdoe,ou=people,dc=example,dc=com| OID | 2.5.4.1 |
| 语法 | DN |
| 多或单值 | 单值 |
| 定义于 |
5.2.9. associatedDomain
associatedDomain 属性包含与目录树中的条目关联的 DNS 域。例如,带有可分辨名称 c=US,o=Example Corporation 的条目有关联的 EC.US 域。这些域应该以 RFC 822 顺序表示。
associatedDomain:US
associatedDomain:US| OID | 0.9.2342.19200300.100.1.37 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.10. associatedName
associatedName 标识与 DNS 域关联的机构目录树条目。例如:
associatedName: c=us
associatedName: c=us| OID | 0.9.2342.19200300.100.1.38 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.11. attributeTypes
此属性在架构文件中用于标识 subschema 中定义的属性。
| OID | 2.5.21.5 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.12. audio
audio 属性包含一个使用二进制格式的声音文件。此属性使用 u-law 编码的声音数据。例如:
audio:: AAAAAA==
audio:: AAAAAA==| OID | 0.9.2342.19200300.100.1.55 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.13. authorCn
authorCn 属性包含文档作者的通用名称。例如:
authorCn: John Smith
authorCn: John Smith| OID | 0.9.2342.19200300.102.1.11 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.14. authorityRevocationList
authorityRevocationList 属性包含撤销的 CA 证书列表。此属性应该以二进制格式请求并存储,如 authorityRevocationList;binary。例如:
authorityrevocationlist;binary:: AAAAAA==
authorityrevocationlist;binary:: AAAAAA==| OID | 2.5.4.38 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.15. authorSn
authorSn 属性包含文档条目的作者的最后一个名称或系列名称。例如:
authorSn: Smith
authorSn: Smith| OID | 0.9.2342.19200300.102.1.12 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.16. automountInformation
此属性包含 autofs 自动挂载程序使用的信息。
automountInformation 属性在 Directory Server 中的 60autofs.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 60autofs.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.33 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.17. bootFile
此属性包含引导镜像文件名。
bootFile 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.24 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.18. bootParameter
此属性包含 rpc.bootparamd 的值。
bootParameter 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.23 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.19. buildingName
buildingName 属性包含与条目关联的构建名称。例如:
buildingName: 14
buildingName: 14| OID | 0.9.2342.19200300.100.1.48 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.20. businessCategory
businessCategory 属性标识条目参与的业务类型。属性值应该是广泛的通用化,如公司部门级别。例如:
businessCategory: Engineering
businessCategory: Engineering| OID | 2.5.4.15 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.21. c (countryName)
countryName 或 c 属性包含表示国家名称的双字符国家代码。国家代码由 ISO 定义。例如:
countryName: GB c: US
countryName: GB
c: US| OID | 2.5.4.6 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.22. cACertificate
cACertificate 属性包含一个 CA 证书。属性应请求并存储二进制格式,如 cACertificate;binary。例如:
cACertificate;binary:: AAAAAA==
cACertificate;binary:: AAAAAA==| OID | 2.5.4.37 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.23. carLicense
carLicense 属性包含一个条目的 automobile 许可证 plate 号码。例如:
carLicense: 6ABC246
carLicense: 6ABC246| OID | 2.16.840.1.113730.3.1.1 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.24. certificateRevocationList
certificateRevocationList 属性包含撤销的用户证书列表。属性值以二进制形式请求和存储,作为 certificateACertificate;binary。例如:
certificateRevocationList;binary:: AAAAAA==
certificateRevocationList;binary:: AAAAAA==| OID | 2.5.4.39 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.25. cn (commonName)
commonName 属性包含条目的名称。对于用户条目,cn 属性通常是个人的全名。例如:
commonName: John Smith cn: Bill Anderson
commonName: John Smith
cn: Bill Anderson
使用 LDAPReplica 或 LDAPServerobject 对象类,cn 属性值具有以下格式:
cn: replicater.example.com:17430/dc%3Dexample%2Cdc%3com
cn: replicater.example.com:17430/dc%3Dexample%2Cdc%3com| OID | 2.5.4.3 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.26. co (friendlyCountryName)
friendlyCountryName 属性包含一个国家名称;可以是任意字符串。通常,国家 用于 ISO 指定两个字母国家代码,而 co 属性则包含可读的国家名称。例如:
friendlyCountryName: Ireland co: Ireland
friendlyCountryName: Ireland
co: Ireland| OID | 0.9.2342.19200300.100.1.43 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.27. cosAttribute
cosAttribute 包含为 CoS 生成值的属性名称。可以指定多个 cosAttribute 值。此属性供所有类型的 CoS 定义条目使用。
| OID | 2.16.840.1.113730.3.1.550 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.28. cosIndirectSpecifier
cosIndirectSpecifier 指定间接 CoS 使用的属性值来识别模板条目。
| OID | 2.16.840.1.113730.3.1.577 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.29. cosPriority
cosPriority 属性指定在 CoS 模板竞争时提供属性值,以提供属性值。此属性代表模板的全局优先级。优先级为零是最高优先级。
| OID | 2.16.840.1.113730.3.1.569 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.30. cosSpecifier
cosSpecifier 属性包含典型的 CoS 使用的属性值,它以及模板条目的 DN 标识模板条目。
| OID | 2.16.840.1.113730.3.1.551 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.31. cosTargetTree
cosTargetTree 属性定义 CoS 模式应用到的子树。这个模式和多个 CoS 模式的值可能会任意地重叠其目标树。
| OID | 2.16.840.1.113730.3.1.552 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.32. cosTemplateDn
cosTemplateDn 属性包含模板条目的 DN,其中包含共享属性值的列表。对模板条目属性值的更改会自动应用到 CoS 范围中的所有条目。单个 CoS 可能有多个与它关联的模板条目。
| OID | 2.16.840.1.113730.3.1.553 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.33. crossCertificatePair
必须请求 cross CertificatePair 属性的值,并以二进制格式存储,如 certificateCertificateRepair;binary。例如:
crossCertificatePair;binary:: AAAAAA==
crossCertificatePair;binary:: AAAAAA==| OID | 2.5.4.40 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义于 |
5.2.34. dc (domainComponent)
dc 属性包含域名的一个组件。例如:
dc: example domainComponent: example
dc: example
domainComponent: example| OID | 0.9.2342.19200300.100.1.25 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.35. deltaRevocationList
deltaRevocationList 属性包含一个证书撤销列表(CRL)。属性值以二进制格式请求并存储,如 deltaRevocationList;binary。
| OID | 2.5.4.53 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.36. departmentNumber
departmentNumber 属性包含一个条目的部门号。例如:
departmentNumber: 2604
departmentNumber: 2604| OID | 2.16.840.1.113730.3.1.2 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.37. description
description 属性为条目提供人类可读的描述。对于 个人或 组织 对象类,这可用于条目的 role 或 work 分配。例如:
description: Quality control inspector for the ME2873 product line.
description: Quality control inspector for the ME2873 product line.| OID | 2.5.4.13 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.38. destinationIndicator
destinationIndicator 属性包含与条目关联的城市和国家。此属性需要提供 public telegram 服务,通常与 registeredAddress 属性一起使用。例如:
destinationIndicator: Stow, Ohio, USA
destinationIndicator: Stow, Ohio, USA| OID | 2.5.4.27 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.39. displayName
displayName 属性包含显示该人员条目时要使用的个人的首选名称。这对于在单行摘要列表中显示条目的首选名称特别有用。由于其他属性类型(如 cn )是多值,因此不能用于显示首选的名称。例如:
displayName: John Smith
displayName: John Smith| OID | 2.16.840.1.113730.3.1.241 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.40. dITRedirect
dITRedirect 属性表示一个条目所描述的对象现在在目录树中有一个较新的条目。当个人发生了变化,并且个人获取新的组织 DN 时,可以使用此属性。
dITRedirect: cn=jsmith,dc=example,dc=com
dITRedirect: cn=jsmith,dc=example,dc=com| OID | 0.9.2342.19200300.100.1.54 |
| 语法 | DN |
| 定义于 |
5.2.41. dmdName
dmdName 属性值指定运行 Directory Server 的目录管理域(DMD)。
| OID | 2.5.4.54 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.42. DN (distinguishedName)
dn 属性包含一个条目的可分辨名称。例如:
dn: uid=Barbara Jensen,ou=Quality Control,dc=example,dc=com
dn: uid=Barbara Jensen,ou=Quality Control,dc=example,dc=com| OID | 2.5.4.49 |
| 语法 | DN |
| 定义于 |
5.2.43. dNSRecord
dNSRecord 属性包含 DNS 资源记录,包括类型 A (Address)、类型X (Mail Exchange)、类型 NS (Name Server)和类型 SOA (授权起始)资源记录。例如:
dNSRecord: IN NS ns.uu.net
dNSRecord: IN NS ns.uu.net| OID | 0.9.2342.19200300.100.1.26 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Internet Directory Pilot |
5.2.44. documentAuthor
documentAuthor 属性包含文档条目的作者的 DN。例如:
documentAuthor: uid=Barbara Jensen,ou=People,dc=example,dc=com
documentAuthor: uid=Barbara Jensen,ou=People,dc=example,dc=com| OID | 0.9.2342.19200300.100.1.14 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.45. documentIdentifier
documentIdentifier 属性包含文档的唯一标识符。例如:
documentIdentifier: L3204REV1
documentIdentifier: L3204REV1| OID | 0.9.2342.19200300.100.1.11 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.46. documentLocation
documentLocation 属性包含文档原始版本的位置。例如:
documentLocation: Department Library
documentLocation: Department Library| OID | 0.9.2342.19200300.100.1.15 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.47. documentPublisher
documentPublisher 属性包含发布文档的人员或机构。例如:
documentPublisher: Southeastern Publishing
documentPublisher: Southeastern Publishing| OID | 0.9.2342.19200300.100.1.56 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.48. documentStore
documentStore 属性包含有关存储文档的位置的信息。
| OID | 0.9.2342.19200300.102.1.10 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.49. documentTitle
documentTitle 属性包含文档的标题。例如:
documentTitle: Red Hat Directory Server Administrator Guide
documentTitle: Red Hat Directory Server Administrator Guide| OID | 0.9.2342.19200300.100.1.12 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.50. documentVersion
documentVersion 属性包含文档的当前版本号。例如:
documentVersion: 1.1
documentVersion: 1.1| OID | 0.9.2342.19200300.100.1.13 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.51. drink (favouriteDrink)
favouriteDrink 属性包含一个个人喜欢的热点。这可以缩短为 drink。例如:
favouriteDrink: iced tea drink: cranberry juice
favouriteDrink: iced tea
drink: cranberry juice| OID | 0.9.2342.19200300.100.1.5 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.52. dSAQuality
dSAQuality 属性包含目录系统代理(DSA)质量的评级。此属性允许 DSA 管理器指定 DSA 的预期可用性级别。例如:
dSAQuality: high
dSAQuality: high| OID | 0.9.2342.19200300.100.1.49 |
| 语法 | directory-String |
| 多或单值 | 单值 |
| 定义于 |
5.2.53. employeeNumber
employeeNumber 属性包含个人的员工号码。例如:
employeeNumber: 3441
employeeNumber: 3441| OID | 2.16.840.1.113730.3.1.3 |
| 语法 | directory-String |
| 多或单值 | 单值 |
| 定义于 |
5.2.54. employeeType
employeeType 属性包含个人的雇佣类型。例如:
employeeType: Full time
employeeType: Full time| OID | 2.16.840.1.113730.3.1.4 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.55. enhancedSearchGuide
enhancedSearchGuide 属性包含 X.500 客户端用来构造搜索过滤器的信息。例如:
enhancedSearchGuide: (uid=bjensen)
enhancedSearchGuide: (uid=bjensen)| OID | 2.5.4.47 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.56. fax (facsimileTelephoneNumber)
facsimileTelephoneNumber 属性包含条目的 facsimile 号;此属性可以缩写为 fax。例如:
facsimileTelephoneNumber: +1 415 555 1212 fax: +1 415 555 1212
facsimileTelephoneNumber: +1 415 555 1212
fax: +1 415 555 1212| OID | 2.5.4.23 |
| 语法 | telephoneNumber |
| 多或单值 | 多值 |
| 定义于 |
5.2.57. gecos
gecos 属性用于确定用户的 GECOS 字段。这与 cn 属性类似,但使用 gecos 属性允许将其他信息嵌入到通用名称外的 GECOS 字段中。如果存储在目录中的通用名称不是用户的全名,则此字段也很有用。
gecos: John Smith
gecos: John Smith
gecos 属性在 Directory 服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.2 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.58. generationQualifier
generationQualifier 属性包含个人名称的生成限定符,该属性通常作为后缀附加到名称。例如:
generationQualifier:III
generationQualifier:III| OID | 2.5.4.44 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.59. gidNumber
gidNumber 属性包含组条目的唯一标识符,或者标识用户条目的组。这与 Unix 中的组号类似。
gidNumber: 100
gidNumber: 100
gidNumber 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.1 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.60. givenName
givenName 属性包含一个条目的给定名称,通常是名。例如:
givenName: Rachel
givenName: Rachel| OID | 2.5.4.42 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.61. homeDirectory
homeDirectory 属性包含用户主目录的路径。
homeDirectory: /home/jsmith
homeDirectory: /home/jsmith
homeDirectory 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.3 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 |
5.2.62. homePhone
homePhone 属性包含条目的 residential 电话号码。例如:
homePhone: 415-555-1234
homePhone: 415-555-1234
虽然 RFC 1274 将 homeTelephoneNumber 和 homePhone 都定义为 residential 电话号码属性的名称,但目录服务器仅实施 homePhone 名称。
| OID | 0.9.2342.19200300.100.1.20 |
| 语法 | telephoneNumber |
| 多或单值 | 多值 |
| 定义于 |
5.2.63. homePostalAddress
homePostalAddress 属性包含一个条目的主页邮件地址。由于此属性通常跨越多行,因此每行中断必须以美元符号($)表示。要在属性值中表示实际美元符号($)或反斜杠(\),分别使用转义的十六进制值 \24 和 \5c。例如:
homePostalAddress: 1234 Ridgeway Drive$Santa Clara, CA$99555
homePostalAddress: 1234 Ridgeway Drive$Santa Clara, CA$99555代表以下字符串:
The dollar ($) value can be found in the c:\cost file.
The dollar ($) value can be found
in the c:\cost file.条目值为:
The dollar (\24) value can be found$in the c:\c5cost file.
The dollar (\24) value can be found$in the c:\c5cost file.| OID | 0.9.2342.19200300.100.1.39 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.64. 主机
主机 包含计算机的主机名。例如:
host: labcontroller01
host: labcontroller01| OID | 0.9.2342.19200300.100.1.9 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.65. houseIdentifier
houseIdentifier 包含位置上特定构建的标识符。例如:
houseIdentifier: B105
houseIdentifier: B105| OID | 2.5.4.51 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.66. inetDomainBaseDN
此属性标识 DNS 域用户子树的基本 DN。
| OID | 2.16.840.1.113730.3.1.690 |
| 语法 | DN |
| 多或单值 | 单值 |
| 定义于 | 订阅者互操作性 |
5.2.67. inetDomainStatus
此属性显示域的当前状态。域的状态为 活动、非活动 或 已删除。
| OID | 2.16.840.1.113730.3.1.691 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 订阅者互操作性 |
5.2.68. inetSubscriberAccountId
此属性包含用于将订阅者用户条目链接到计费系统的唯一属性。
| OID | 2.16.840.1.113730.3.1.694 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 订阅者互操作性 |
5.2.69. inetSubscriberChallenge
inetSubscriberChallenge 属性包含某种形式的问题或提示,它用于确认 subscriberIdentity 属性中的用户的身份。此属性与 inetSubscriberResponse 属性一起使用,其中包含对质询的响应。
| OID | 2.16.840.1.113730.3.1.695 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 | 订阅者互操作性 |
5.2.70. inetSubscriberResponse
inetSubscriberResponse 属性包含对 inetSubscriberChallenge 属性中质询问题的回答,以验证 subscriberIdentity 属性中的用户。
| OID | 2.16.840.1.113730.3.1.696 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | 订阅者互操作性 |
5.2.71. inetUserHttpURL
此属性包含与用户关联的 Web 地址。
| OID | 2.16.840.1.113730.3.1.693 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | 订阅者互操作性 |
5.2.72. inetUserStatus
此属性显示用户(subscriber)的当前状态。用户的状态为 活动、非活动 或删除。
| OID | 2.16.840.1.113730.3.1.692 |
| 语法 | DirectoryString |
| 多或单值 | single-Valued |
| 定义于 | 订阅者互操作性 |
5.2.73. info
info 属性包含有关对象的任何常规信息。避免将此属性用于特定信息,并依赖于特定的可能自定义属性类型。例如:
info: not valid
info: not valid| OID | 0.9.2342.19200300.100.1.4 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.74. 初始
初次 包含一个个人的初始;这不包含条目的姓氏。例如:
initials: BAJ
initials: BAJ
目录服务器和 Active Directory 以不同的方式处理 初始 属性。目录服务器允许实际的无限字符,而 Active Directory 的限制是六个字符。如果条目与 Windows peer 同步,并且 initials 属性的值超过六个字符,则该值会在同步时自动截断为六个字符。错误日志没有写入任何信息,表示同步更改了属性值。
| OID | 2.5.4.43 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.75. installationTimeStamp
它包含安装了服务器实例的时间。
| OID | 2.16.840.1.113730.3.1.73 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.76. internationalISDNNumber
internationalISDNNumber 属性包含文档条目的 ISDN 号。此属性使用在 CCITT Rec 中给定的 ISDN 地址的国际认可格式。E.164.
| OID | 2.5.4.25 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.77. ipHostNumber
它包含服务器的 IP 地址。
ipHostNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.19 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.78. ipNetmaskNumber
它包含服务器的 IP 子网掩码。
ipHostNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 2.16.840.1.113730.3.1.73 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.79. ipNetworkNumber
这标识了 IP 网络。
ipNetworkNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.20 |
| 语法 | DirectoryString |
| 多或单值 | single-Valued |
| 定义于 |
5.2.80. ipProtocolNumber
此属性标识 IP 协议版本号。
ipProtocolNumber 属性在 Directory 服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.17 |
| 语法 | 整数 |
| 多或单值 | single-Valued |
| 定义于 |
5.2.81. ipServicePort
此属性提供 IP 服务使用的端口。
ipServicePort 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.15 |
| 语法 | 整数 |
| 多或单值 | single-Valued |
| 定义于 |
5.2.82. ipServiceProtocol
这标识了 IP 服务使用的协议。
ipServiceProtocol 属性在 Directory 服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.16 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.83. janetMailbox
janetMailbox 包含一个 JANET 电子邮件地址,通常用于位于英国中不使用 RFC 822 电子邮件地址的用户。具有此属性的条目还必须包含 rfc822Mailbox 属性。
| OID | 0.9.2342.19200300.100.1.46 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.84. jpegPhoto
jpegPhoto 属性包含一个二进制值 JPEG photo。例如:
jpegPhoto:: AAAAAA==
jpegPhoto:: AAAAAA==| OID | 0.9.2342.19200300.100.1.60 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.85. keyWords
keyWord 属性包含与条目关联的关键字。例如:
keyWords: directory LDAP X.500
keyWords: directory LDAP X.500| OID | 0.9.2342.19200300.102.1.7 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.86. knowledgeInformation
不再使用此属性。
| OID | 2.5.4.2 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.87. l (localityName)
localityName 或 l 属性包含与条目关联的 county、city 或其他地理位置。例如:
localityName: Santa Clara l: Santa Clara
localityName: Santa Clara
l: Santa Clara| OID | 2.5.4.7 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.88. labeledURI
labeledURI 包含一个与条目相关的 Uniform Resource Identifier (URI)。放置在属性中的值应该由 URI (当前只支持 URL)组成,后跟一个或多个空格字符和标签。
labeledURI: http://home.example.com labeledURI: http://home.example.com Example website
labeledURI: http://home.example.com
labeledURI: http://home.example.com Example website| OID | 1.3.6.1.4.1.250.1.57 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.89. loginShell
loginShell 属性包含用户登录域时自动启动的脚本的路径。
loginShell: c:\scripts\jsmith.bat
loginShell: c:\scripts\jsmith.bat
loginShell 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.4 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 |
5.2.90. macAddress
此属性为服务器或设备提供 MAC 地址。
macAddress 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.22 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.91. mail
mail 属性包含用户的主要电子邮件地址。此属性值由白页应用程序检索并显示。例如:
mail: jsmith@example.com
mail: jsmith@example.com| OID | 0.9.2342.19200300.100.1.3 |
| 语法 | DirectyString |
| 多或单值 | 单值 |
| 定义于 |
5.2.92. mailAccessDomain
此属性列出用户可用于访问消息传递服务器的域。
| OID | 2.16.840.1.113730.3.1.12 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.93. mailAlternateAddress
mailAlternateAddress 属性包含用户的额外电子邮件地址。此属性不反映默认或主要电子邮件地址;该电子邮件地址由 mail 属性设置。
例如:
mailAlternateAddress: jsmith@example.com mailAlternateAddress: smith1701@alt.com
mailAlternateAddress: jsmith@example.com
mailAlternateAddress: smith1701@alt.com| OID | 2.16.840.1.113730.3.1.13 |
| 语法 | DirectyString |
| 多或单值 | 多值 |
| 定义于 |
5.2.94. mailAutoReplyMode
此属性设定是否为消息传递服务器启用自动回复。
| OID | 2.16.840.1.113730.3.1.14 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.95. mailAutoReplyText
此属性存储在自动回复电子邮件中使用的文本。
| OID | 2.16.840.1.113730.3.1.15 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.96. mailDeliveryOption
此属性定义用于邮件用户的邮件发送机制。
| OID | 2.16.840.1.113730.3.1.16 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.97. mailEnhancedUniqueMember
此属性包含邮件组的唯一成员的 DN。
| OID | 2.16.840.1.113730.3.1.31 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.98. mailForwardingAddress
此属性包含将用户电子邮件转发到的电子邮件地址。
| OID | 2.16.840.1.113730.3.1.17 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.99. mailHost
mailHost 属性包含邮件服务器的主机名。例如:
mailHost: mail.example.com
mailHost: mail.example.com| OID | 2.16.840.1.113730.3.1.18 |
| 语法 | DirectyString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.100. mailMessageStore
这标识用户电子邮件框的位置。
| OID | 2.16.840.1.113730.3.1.19 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.101. mailPreferenceOption
mailPreferenceOption 定义是否应将用户包含在邮件列表中(包括电子和物理)。有三个选项:
| 0 | 不在邮件列表中显示。 |
| 1 | 添加到任何邮件列表中。 |
| 2 | 只会添加到与用户相关的提供程序视图的邮件列表中。 |
如果属性不存在,则默认为 假定用户没有包含在任何邮件列表中。任何使用目录派生邮件列表及其值都应遵守的任何人都应解释此属性。例如:
mailPreferenceOption: 0
mailPreferenceOption: 0| OID | 0.9.2342.19200300.100.1.47 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.102. mailProgramDeliveryInfo
此属性包含用于编程邮件发送的任何命令。
| OID | 2.16.840.1.113730.3.1.20 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.103. mailQuota
此属性设定用户邮件框允许的磁盘空间量。
| OID | 2.16.840.1.113730.3.1.21 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.104. mailRoutingAddress
此属性包含将用户接收的电子邮件转发到另一个消息传递服务器时使用的路由地址。
| OID | 2.16.840.1.113730.3.1.24 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.105. Manager
管理器 包含个人管理器的可分辨名称(DN)。例如:
manager: cn=Bill Andersen,ou=Quality Control,dc=example,dc=com
manager: cn=Bill Andersen,ou=Quality Control,dc=example,dc=com| OID | 0.9.2342.19200300.100.1.10 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.106. 成员
member 属性包含组的每个成员的可分辨名称(DN)。例如:
member: cn=John Smith,dc=example,dc=com
member: cn=John Smith,dc=example,dc=com| OID | 2.5.4.31 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.107. memberCertificateDescription
此属性是一个多值属性,其中每个值都是 description、pattern 或与证书主题 DN 匹配的过滤器,通常是用于 TLS 客户端身份验证的证书。
memberCertificateDescription 匹配任何包含与描述相同的 attribute-value 断言(AVAs)的主题 DN 的证书。描述可以包含多个 ou AVAs。匹配 DN 必须包含那些相同的 ou AVAs,但其顺序可能与其他 AVAs 交互,包括其他 ou AVAs。对于任何其他属性类型(不是 ou),描述中最多应该有该类型的一个 AVA。如果存在多个,但忽略最后一个。
匹配 DN 必须包含相同的 AVA,但没有其他同类型的 AVA (模板、语法方式)。
如果 AVAs 包含相同的属性描述(不区分大小写的比较)和相同的属性值(in-insensitive comparison, leading-intrailing whitespace ignored,且连续空白字符被视为单个空格),则被视为相同。
要被视为具有以下 memberCertificateDescription 值的组的成员,证书需要包含 ou=x,ou=A, 和 dc=example, 而不是 dc=company。
memberCertificateDescription: {ou=x,ou=A,dc=company,dc=example}
memberCertificateDescription: {ou=x,ou=A,dc=company,dc=example}
要匹配组的要求,证书的主题 DN 必须包含与 memberCertificateDescription 属性中定义的相同 ou 属性类型。
| OID | 2.16.840.1.113730.3.1.199 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.108. memberNisNetgroup
此属性通过列出合并 netgroup 的名称,将另一个 netgroup 的属性值合并到当前组中。
memberNisNetgroup 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.13 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.109. memberOf
此属性包含用户所属的组名称。
memberOf 是组成员用户条目上 MemberOf 插件生成的默认属性。此属性自动同步到组条目中列出的 成员属性,以便显示条目的组成员资格由 Directory Server 管理。
如果启用了 MemberOf 插件,且配置为使用此属性,则此属性仅在组条目和对应的成员用户条目之间同步。
| OID | 1.2.840.113556.1.2.102 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | Netscape Delegated Administrator |
5.2.110. memberUid
memberUid 属性包含组成员的登录名称;这与 member 属性中标识的 DN 不同。
memberUID: jsmith
memberUID: jsmith
memberUID 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.12 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 |
5.2.111. memberURL
此属性标识与组的每个成员关联的 URL。可以使用任何类型的标记 URL。
memberURL: ldap://cn=jsmith,ou=people,dc=example,dc=com
memberURL: ldap://cn=jsmith,ou=people,dc=example,dc=com| OID | 2.16.840.1.113730.3.1.198 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.112. mepManagedBy
此属性在自动生成的条目中包含一个指向原始条目的 DN 的指针。此属性由 Managed Entries 插件设置,且无法手动修改。
| OID | 2.16.840.1.113730.3.1.2086 |
| 语法 | DN |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.113. mepManagedEntry
此属性包含指向自动生成的条目的指针,对应于当前条目。此属性由 Managed Entries 插件设置,且无法手动修改。
| OID | 2.16.840.1.113730.3.1.2087 |
| 语法 | DN |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.114. mepMappedAttr
此属性在 Managed Entries 模板条目中设置在生成的条目中必须存在的属性。映射 表示原始条目的一些值用于提供给定属性。这些属性的值将是格式为 属性 $attr 的令牌。例如:
mepMappedAttr: gidNumber: $gidNumber
mepMappedAttr: gidNumber: $gidNumber只要属性扩展令牌的语法不会违反所需的属性语法,就可在属性中使用其他术语和字符串。例如:
mepMappedAttr: cn: Managed Group for $cn
mepMappedAttr: cn: Managed Group for $cn| OID | 2.16.840.1.113730.3.1.2089 |
| 语法 | OctetString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.115. mepRDNAttr
此属性设置在 Managed Entries 插件创建的自动生成的条目中用作 naming 属性的属性。在 naming 属性中给定任何 属性类型 都应作为 mepMappedAttr 存在于受管条目模板条目中。
| OID | 2.16.840.1.113730.3.1.2090 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
5.2.116. mepStaticAttr
此属性使用定义的值设置一个属性,它必须添加到由 Managed Entries 插件管理的自动生成的条目中。这个值将用于由 Managed Entries 插件的实例生成的每个条目。
mepStaticAttr: posixGroup
mepStaticAttr: posixGroup| OID | 2.16.840.1.113730.3.1.2088 |
| 语法 | OctetString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.117. mgrpAddHeader
此属性包含消息中标头的信息。
| OID | 2.16.840.1.113730.3.1.781 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.118. mgrpAllowedBroadcaster
此属性设置是否允许用户发送广播消息。
| OID | 2.16.840.1.113730.3.1.22 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.119. mgrpAllowedDomain
此属性设置 mail 组的域。
| OID | 2.16.840.1.113730.3.1.23 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.120. mgrpApprovePassword
此属性设置用户必须批准用于访问其电子邮件的密码。
| OID | mgrpApprovePassword-oid |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 | Netscape Messaging Server |
5.2.121. mgrpBroadcasterPolicy
此属性定义广播电子邮件的策略。
| OID | 2.16.840.1.113730.3.1.788 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.122. mgrpDeliverTo
此属性包含有关电子邮件的交付目的地的信息。
| OID | 2.16.840.1.113730.3.1.25 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.123. mgrpErrorsTo
此属性包含有关为消息传递服务器提供错误消息的信息。
| OID | 2.16.840.1.113730.3.1.26 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 | Netscape Messaging Server |
5.2.124. mgrpModerator
此属性包含邮件列表模式器的联系人名称。
| OID | 2.16.840.1.113730.3.1.33 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.125. mgrpMsgMaxSize
此属性设置电子邮件消息允许的最大大小。
| OID | 2.16.840.1.113730.3.1.32 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape Messaging Server |
5.2.126. mgrpMsgRejectAction
此属性定义消息传递服务器对被拒绝的消息应执行的操作。
| OID | 2.16.840.1.113730.3.1.28 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.127. mgrpMsgRejectText
此属性设置用于拒绝通知的文本。
| OID | 2.16.840.1.113730.3.1.29 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.128. mgrpNoDuplicateChecks
此属性定义消息传递服务器检查重复电子邮件。
| OID | 2.16.840.1.113730.3.1.789 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape Messaging Server |
5.2.129. mgrpRemoveHeader
此属性设置标头是否在回复信息中删除。
| OID | 2.16.840.1.113730.3.1.801 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.130. mgrpRFC822MailMember
此属性标识 mail 组的成员。
| OID | 2.16.840.1.113730.3.1.30 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.131. 手机
移动 或 mobileTelephoneNumber 包含条目的移动或手机号码。例如:
mobileTelephoneNumber: 415-555-4321
mobileTelephoneNumber: 415-555-4321| OID | 0.9.2342.19200300.100.1.41 |
| 语法 | telephoneNumber |
| 多或单值 | 多值 |
| 定义于 |
5.2.132. mozillaCustom1
Mozilla Thunderbird 使用此属性管理共享地址图书。
| OID | 1.3.6.1.4.1.13769.4.1 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.133. mozillaCustom2
Mozilla Thunderbird 使用此属性管理共享地址图书。
| OID | 1.3.6.1.4.1.13769.4.2 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.134. mozillaCustom3
Mozilla Thunderbird 使用此属性管理共享地址图书。
| OID | 1.3.6.1.4.1.13769.4.3 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.135. mozillaCustom4
Mozilla Thunderbird 使用此属性管理共享地址图书。
| OID | 1.3.6.1.4.1.13769.4.4 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.136. mozillaHomeCountryName
此属性设置 Mozilla Thunderbird 在共享地址书中使用的国家。
| OID | 1.3.6.1.4.1.13769.3.6 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.137. mozillaHomeLocalityName
此属性设置 Mozilla Thunderbird 在共享地址书中使用的城市。
| OID | 1.3.6.1.4.1.13769.3.3 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.138. mozillaHomePostalCode
此属性设置共享地址书中的 Mozilla Thunderbird 使用的邮al 代码。
| OID | 1.3.6.1.4.1.13769.3.5 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.139. mozillaHomeState
此属性设置 Mozilla Thunderbird 在共享地址书中使用的状态或省。
| OID | 1.3.6.1.4.1.13769.3.4 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.140. mozillaHomeStreet
此属性设置共享地址本书中 Mozilla Thunderbird 使用的 street 地址。
| OID | 1.3.6.1.4.1.13769.3.1 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.141. mozillaHomeStreet2
此属性包含 Mozilla Thunderbird 在共享地址本书中使用的 street 地址的第二行。
| OID | 1.3.6.1.4.1.13769.3.2 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.142. mozillaHomeUrl
此属性包含 Mozilla Thunderbird 在共享地址书中使用的 URL。
| OID | 1.3.6.1.4.1.13769.3.7 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.143. mozillaNickname (xmozillanickname)
此属性包含 Mozilla Thunderbird 用于共享地址书的别名。
| OID | 1.3.6.1.4.1.13769.2.1 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Mozilla Address Book |
5.2.144. mozillaSecondEmail (xmozillasecondemail)
此属性包含 Mozilla Thunderbird 共享地址书中的条目的备用或次要电子邮件地址。
| OID | 1.3.6.1.4.1.13769.2.2 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.145. mozillaUseHtmlMail (xmozillausehtmlmail)
此属性为 Mozilla Thunderbird 的共享地址书中的条目设置电子邮件类型首选项。
| OID | 1.3.6.1.4.1.13769.2.3 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.146. mozillaWorkStreet2
此属性包含用于 Mozilla Thunderbird 共享地址书中的工作场所或办公室的 street 地址。
| OID | 1.3.6.1.4.1.13769.3.8 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.147. mozillaWorkUrl
此属性在 Mozilla Thunderbird 的共享地址书中包含一个工作站点的 URL。
| OID | 1.3.6.1.4.1.13769.3.9 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Mozilla Address Book |
5.2.148. multiLineDescription
此属性包含条目的描述,它跨越 LDIF 文件中的多行。
| OID | 1.3.6.1.4.1.250.1.2 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.149. name
name 属性标识属性 supertype,它可用于组成字符串属性类型进行命名。
这个类型的值不太可能出现在条目中。不支持属性子的 LDAP 服务器实现不需要在请求中识别此属性。客户端实施不应假定 LDAP 服务器能够执行属性子。
| OID | 2.5.4.41 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.150. netscapeReversiblePassword
此属性包含 HTTP Digest/MD5 身份验证的密码。
| OID | 2.16.840.1.113730.3.1.812 |
| 语法 | OctetString |
| 多或单值 | 多值 |
| 定义于 | Netscape Web Server |
5.2.151. NisMapEntry
此属性包含由网络信息服务使用的 NIS 映射的信息。
此属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.27 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 |
5.2.152. nisMapName
此属性包含 NIS 服务器使用的映射的名称。
| OID | 1.3.6.1.1.1.1.26 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.153. nisNetgroupTriple
此属性包含 NIS 服务器使用的 netgroup 的信息。
此属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.14 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.154. nsAccessLog
此条目标识服务器所使用的访问日志。
| OID | nsAccessLog-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.155. nsAdminAccessAddresses
此属性包含实例使用的管理服务器的 IP 地址。
| OID | nsAdminAccessAddresses-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.156. nsAdminAccessHosts
此属性包含管理服务器的主机名。
| OID | nsAdminAccessHosts-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.157. nsAdminAccountInfo
此属性包含有关管理服务器帐户的其他信息。
| OID | nsAdminAccountInfo-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.158. nsAdminCacheLifetime
这会设置存储目录服务器使用的缓存的时间长度。
| OID | nsAdminCacheLifetime-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.159. nsAdminCgiWaitPid
此属性定义管理服务器 CGI 进程 ID 的等待时间。
| OID | nsAdminCgiWaitPid-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.160. nsAdminDomainName
此属性包含包含 Directory Server 实例的管理域名。
| OID | nsAdminDomainName-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.161. nsAdminEnableEnduser
此属性设置是否允许最终用户访问 admin 服务。
| OID | nsAdminEnableEnduser-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.162. nsAdminEndUserHTMLIndex
此属性设置是否允许最终用户访问 admin 服务的 HTML 索引。
| OID | nsAdminEndUserHTMLIndex-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.163. nsAdminGroupName
此属性提供管理指南的名称。
| OID | nsAdminGroupName-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.164. nsAdminOneACLDir
此属性提供包含管理服务器的访问控制列表的目录路径。
| OID | nsAdminOneACLDir-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.165. nsAdminSIEDN
此属性包含管理服务器的 ser 实例条目(SIE)的 DN。
| OID | nsAdminSIEDN-oid |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.166. nsAdminUsers
此属性提供文件的路径和名称,该文件包含管理服务器 admin 用户的信息。
| OID | nsAdminUsers-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.167. nsAIMid
此属性包含用户的 AOL Instant Messaging 用户 ID。
| OID | 2.16.840.1.113730.3.2.300 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.168. nsBaseDN
它包含目录服务器服务器实例定义条目中使用的基本 DN。
| OID | nsBaseDN-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.169. nsBindDN
此属性包含 Directory 服务器 SIE 中定义的绑定 DN。
| OID | nsBindDN-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.170. nsBindPassword
此属性包含 nsBindDN 中定义的绑定 DN 使用的密码。
| OID | nsBindPassword-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.171. nsBuildNumber
这会在目录服务器 SIE 中定义服务器实例的构建号。
| OID | nsBuildNumber-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.172. nsBuildSecurity
这会在目录服务器 SIE 中定义构建安全级别。
| OID | nsBuildSecurity-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.173. nsCertConfig
此属性定义 Red Hat Certificate System 的配置。
| OID | nsCertConfig-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 证书系统 |
5.2.174. nsClassname
| OID | nsClassname-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.175. nsConfigRoot
此属性包含配置目录的根 DN。
| OID | nsConfigRoot-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.176. nscpAIMScreenname
此属性提供用户的 AIM 屏幕名称。
| OID | 1.3.6.1.4.1.13769.2.4 |
| 语法 | TelephoneString |
| 多或单值 | 多值 |
| 定义于 | Mozilla Address Book |
5.2.177. nsDefaultAcceptLanguage
此属性包含 HTML 客户端接受的语言代码。
| OID | nsDefaultAcceptLanguage-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.178. nsDefaultObjectClass
此属性将对象类信息存储在容器条目中。
| OID | nsDefaultObjectClass-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.179. nsDeleteclassname
| OID | nsDeleteclassname-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.180. nsDirectoryFailoverList
此属性包含用于故障转移的 Directory 服务器列表。
| OID | nsDirectoryFailoverList-oid |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.181. nsDirectoryInfoRef
此属性引用包含服务器信息的条目的 DN。
| OID | nsDirectoryInfoRef-oid |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.182. nsDirectoryURL
此属性包含 Directory 服务器 URL。
| OID | nsDirectoryURL-oid |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.183. nsDisplayName
此属性包含一个显示名称。
| OID | nsDisplayName-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.184. nsErrorLog
此属性标识服务器使用的错误日志。
| OID | nsErrorLog-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.185. nsExecRef
此属性包含可执行的路径或位置,可用于执行服务器任务。
| OID | nsExecRef-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.186. nsExpirationDate
此属性包含应用的过期日期。
| OID | nsExpirationDate-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.187. nsGroupRDNComponent
此属性定义用于组条目的 RDN 的属性。
| OID | nsGroupRDNComponent-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.188. nsHardwarePlatform
此属性指示服务器运行的硬件。此属性的值与 uname -m 的输出相同。例如:
nsHardwarePlatform:i686
nsHardwarePlatform:i686| OID | nsHardwarePlatform-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.189. nsHelpRef
此属性包含对在线帮助文件的引用。
| OID | nsHelpRef-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.190. nsHostLocation
此属性包含有关服务器主机的信息。
| OID | nsHostLocation-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.191. nsICQid
此属性包含用户的 ICQ ID。
| OID | 2.16.840.1.113730.3.1.2014 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.192. nsInstalledLocation
此属性包含 Directory 服务器的安装目录,版本为 7.1 或更早版本。
| OID | nsInstalledLocation-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.193. nsJarfilename
此属性提供控制台使用的 jar 文件名。
| OID | nsJarfilename-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.194. nsLdapSchemaVersion
这提供了 LDAP 目录的版本号。
| OID | nsLdapSchemaVersion-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.195. nsLicensedFor
nsLicensedFor 属性标识用户获得许可使用的服务器。管理服务器预期每个 nsLicenseUser 条目包含此属性的零个或多个实例。此属性的有效关键字包括:
-
slapd用于许可的目录服务器客户端。 -
许可邮件服务器客户端的邮件。
-
许可
消息服务器客户端的新闻。 -
cald calender 服务器客户端。
例如:
nsLicensedFor: slapd
nsLicensedFor: slapd| OID | 2.16.840.1.113730.3.1.36 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 管理服务器 |
5.2.196. nsLicenseEndTime
保留以备将来使用。
| OID | 2.16.840.1.113730.3.1.38 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 管理服务器 |
5.2.197. nsLicenseStartTime
保留以备将来使用。
| OID | 2.16.840.1.113730.3.1.37 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 管理服务器 |
5.2.198. nsLogSuppress
此属性设置是否阻止服务器日志记录。
| OID | nsLogSuppress-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.199. nsmsgDisallowAccess
此属性定义对消息传递服务器的访问。
| OID | nsmsgDisallowAccess-oid |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.200. nsmsgNumMsgQuota
此属性为消息传递服务器保存的消息数设置配额。
| OID | nsmsgNumMsgQuota-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.201. nsMSNid
此属性包含用户的 MSN 即时消息 ID。
| OID | 2.16.840.1.113730.3.1.2016 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.202. nsNickName
此属性为应用程序提供 nickname。
| OID | nsNickName-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.203. nsNYR
| OID | nsNYR-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 管理服务 |
5.2.204. nsOsVersion
此属性包含运行服务器的主机的操作系统版本号。
| OID | nsOsVersion-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.205. nsPidLog
| OID | nsPidLog-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.206. nsPreference
此属性存储控制台首选项设置。
| OID | nsPreference-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.207. nsProductName
它包含产品的名称,如 Red Hat Directory Server 或 Administration Server。
| OID | nsProductName-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.208. nsProductVersion
它包含 Directory 服务器或管理服务器的版本号。
| OID | nsProductVersion-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.209. nsRevisionNumber
此属性包含 Directory 服务器或管理服务器的修订号。
| OID | nsRevisionNumber-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.210. nsSecureServerPort
此属性包含 Directory 服务器的 TLS 端口。
此属性不会为 Directory 服务器配置 TLS 端口。这在目录服务器的 dse.ldif 文件中的 nsslapd-secureport 配置属性中配置。配置属性在 Configuration、Command 和 File Reference 中进行了描述。
| OID | nsSecureServerPort-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.211. nsSerialNumber
此属性包含分配给特定服务器应用程序的序列号或跟踪号,如 Red Hat Directory Server 或 Administration Server。
| OID | nsSerialNumber-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.212. nsServerAddress
此属性包含运行 Directory 服务器的服务器主机的 IP 地址。
| OID | nsServerAddress-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.213. nsServerCreationClassname
此属性提供在创建服务器时要使用的类名称。
| OID | nsServerCreationClassname-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.214. nsServerID
它包含服务器的实例名称。例如:
nsServerID: slapd-example
nsServerID: slapd-example| OID | nsServerID-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.215. nsServerMigrationClassname
此属性包含迁移服务器时要使用的类名称。
| OID | nsServerMigrationClassname-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.216. nsServerPort
此属性包含 Directory 服务器的标准 LDAP 端口。
此属性 不会为 Directory 服务器配置标准端口。这在目录服务器的 dse.ldif 文件中的 nsslapd-port 配置属性中配置。配置属性在 Configuration、Command 和 File Reference 中进行了描述。
| OID | nsServerPort-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.217. nsServerSecurity
这显示了目录服务器是否需要安全 TLS 还是 SSL 连接。
| OID | nsServerSecurity-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.218. nsSNMPContact
此属性包含 SNMP 提供的联系信息。
| OID | 2.16.840.1.113730.3.1.235 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.219. nsSNMPDescription
它包含 SNMP 服务的描述。
| OID | 2.16.840.1.113730.3.1.236 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.220. nsSNMPEnabled
此属性显示是否为服务器启用 SNMP。
| OID | 2.16.840.1.113730.3.1.232 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.221. nsSNMPLocation
此属性显示 SNMP 服务提供的位置。
| OID | 2.16.840.1.113730.3.1.234 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.222. nsSNMPMasterHost
此属性显示 SNMP master 代理的主机名。
| OID | 2.16.840.1.113730.3.1.237 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.223. nsSNMPMasterPort
此属性显示 SNMP 子代理的端口号。
| OID | 2.16.840.1.113730.3.1.238 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.224. nsSNMPOrganization
此属性包含 SNMP 提供的组织信息。
| OID | 2.16.840.1.113730.3.1.233 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.225. nsSuiteSpotUser
此属性已过时。
此属性标识安装服务器的 Unix 用户。
| OID | nsSuiteSpotUser-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.226. nsTaskLabel
| OID | nsTaskLabel-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.227. nsUniqueAttribute
这会为服务器首选项设置唯一属性。
| OID | nsUniqueAttribute-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.228. nsUserIDFormat
此属性设置用于从 givenname 和 sn 属性生成 uid 属性的格式。
| OID | nsUserIDFormat-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.229. nsUserRDNComponent
此属性设置属性类型来为用户条目设置 RDN。
| OID | nsUserRDNComponent-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.230. nsValueBin
| OID | 2.16.840.1.113730.3.1.247 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.231. nsValueCES
| OID | 2.16.840.1.113730.3.1.244 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.232. nsValueCIS
| OID | 2.16.840.1.113730.3.1.243 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.233. nsValueDefault
| OID | 2.16.840.1.113730.3.1.250 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.234. nsValueDescription
| OID | 2.16.840.1.113730.3.1.252 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.235. nsValueDN
| OID | 2.16.840.1.113730.3.1.248 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.236. nsValueFlags
| OID | 2.16.840.1.113730.3.1.251 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.237. nsValueHelpURL
| OID | 2.16.840.1.113730.3.1.254 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.238. nsValueInt
| OID | 2.16.840.1.113730.3.1.246 |
| 语法 | 整数 |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.239. nsValueSyntax
| OID | 2.16.840.1.113730.3.1.253 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.240. nsValueTel
| OID | 2.16.840.1.113730.3.1.245 |
| 语法 | TelephoneString |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.241. nsValueType
| OID | 2.16.840.1.113730.3.1.249 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape servers - value 项 |
5.2.242. nsVendor
它包含服务器厂商的名称。
| OID | nsVendor-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape |
5.2.243. nsViewConfiguration
此属性存储控制台使用的视图配置。
| OID | nsViewConfiguration-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.244. nsViewFilter
此属性设置 attribute-value 对,用于标识属于视图的条目。
| OID | 2.16.840.1.113730.3.1.3023 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.245. nsWellKnownJarfiles
| OID | nsWellKnownJarfiles-oid |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.246. nswmExtendedUserPrefs
此属性用于将帐户的用户首选项存储在消息传递服务器中。
| OID | 2.16.840.1.113730.3.1.520 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.247. nsYIMid
此属性包含用户的 Yahoo 即时消息用户名。
| OID | 2.16.840.1.113730.3.1.2015 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
5.2.248. ntGroupAttributes
此属性指向包含组信息的二进制文件。例如:
ntGroupAttributes:: IyEvYmluL2tzaAoKIwojIGRlZmF1bHQgdmFsdWUKIwpIPSJgaG9zdG5hb
ntGroupAttributes:: IyEvYmluL2tzaAoKIwojIGRlZmF1bHQgdmFsdWUKIwpIPSJgaG9zdG5hb| OID | 2.16.840.1.113730.3.1.536 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.249. ntGroupCreateNewGroup
Windows Sync 使用 ntGroupCreateNewGroup 属性来确定目录服务器是否应该在 Windows 服务器上创建新组条目。true 创建新条目; false 忽略 Windows 条目。
| OID | 2.16.840.1.113730.3.1.45 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.250. ntGroupDeleteGroup
Windows Sync 使用 ntGroupDeleteGroup 属性来确定在 Windows 同步对等服务器上删除组时是否应当删除组条目。true 表示帐户被删除; false 会忽略删除。
| OID | 2.16.840.1.113730.3.1.46 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.251. ntGroupDomainId
ntGroupDomainID 属性包含组的域 ID 字符串。
ntGroupDomainId: DS HR Group
ntGroupDomainId: DS HR Group| OID | 2.16.840.1.113730.3.1.44 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.252. ntGroupId
ntGroupId 属性指向标识组的二进制文件。例如:
ntGroupId: IOUnHNjjRgghghREgfvItrGHyuTYhjIOhTYtyHJuSDwOopKLhjGbnGFtr
ntGroupId: IOUnHNjjRgghghREgfvItrGHyuTYhjIOhTYtyHJuSDwOopKLhjGbnGFtr| OID | 2.16.840.1.113730.3.1.110 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.253. ntGroupType
在 Active Directory 中,有两种主要类型的组:安全性和分发。安全组与目录服务器中的组最相似,因为安全组可以配置访问控制、资源限制和其他权限的策略。分发组用于邮件分发。它们进一步细分为全局和本地组。Directory Server ntGroupType 支持所有四个组类型:
ntGroupType 属性标识 Windows 组的类型。有效值如下:
-
-21483646for global/security -
-21483644用于域 local/security -
2用于全局/发布 -
4用于域本地/发布
当 Windows 组同步时,会自动设置这个值。要确定组的类型,必须在创建组时手动配置它。默认情况下,Directory 服务器组没有此属性,并作为全局/安全组同步。
ntGroupType: -21483646
ntGroupType: -21483646| OID | 2.16.840.1.113730.3.1.47 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.254. ntUniqueId
ntUniqueId 属性包含一个生成的数字,用于内部服务器识别和操作。例如:
ntUniqueId: 352562404224a44ab040df02e4ef500b
ntUniqueId: 352562404224a44ab040df02e4ef500b| OID | 2.16.840.1.113730.3.1.111 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.255. ntUserAcctExpires
此属性指示条目的 Windows 帐户何时过期。这个值以 GMT 格式存储为字符串。例如:
ntUserAcctExpires: 20081015203415
ntUserAcctExpires: 20081015203415| OID | 2.16.840.1.113730.3.1.528 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.256. ntUserAuthFlags
此属性包含为 Windows 帐户设置的授权标志。
| OID | 2.16.840.1.113730.3.1.60 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.257. ntUserBadPwCount
此属性设置在帐户锁定前允许错误密码失败的数量。
| OID | 2.16.840.1.113730.3.1.531 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.258. ntUserCodePage
ntUserCodePage 属性包含用户选择的语言的代码页面。例如:
ntUserCodePage: AAAAAA==
ntUserCodePage: AAAAAA==| OID | 2.16.840.1.113730.3.1.533 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.259. ntUserComment
此属性包含文本描述或有关用户条目的备注。
| OID | 2.16.840.1.113730.3.1.522 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.260. ntUserCountryCode
此属性包含用户所在的国家的双字符国家代码。
| OID | 2.16.840.1.113730.3.1.532 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.261. ntUserCreateNewAccount
Windows Sync 使用 ntUserCreateNewAccount 属性来确定目录服务器是否应该在 Windows 服务器上创建新用户时创建新用户条目。true 创建新条目; false 忽略 Windows 条目。
| OID | 2.16.840.1.113730.3.1.42 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.262. ntUserDeleteAccount
Windows Sync 使用 ntUserDeleteAccount 属性来确定在从 Windows 同步对等服务器中删除用户时是否自动删除目录服务器条目。true 表示用户条目已被删除; false 会忽略删除。
| OID | 2.16.840.1.113730.3.1.43 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.263. ntUserDomainId
ntUserDomainId 属性包含 Windows 域登录 ID。例如:
ntUserDomainId: jsmith
ntUserDomainId: jsmith| OID | 2.16.840.1.113730.3.1.41 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.264. ntUserFlags
此属性包含为 Windows 帐户设置的额外标记。
| OID | 2.16.840.1.113730.3.1.523 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.265. ntUserHomeDir
ntUserHomeDir 属性包含一个 ASCII 字符串,代表 Windows 用户的主目录。此属性可以是 null。例如:
ntUserHomeDir: c:\jsmith
ntUserHomeDir: c:\jsmith| OID | 2.16.840.1.113730.3.1.521 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.266. ntUserHomeDirDrive
此属性包含有关存储用户主目录的驱动器的信息。
| OID | 2.16.840.1.113730.3.1.535 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.267. ntUserLastLogoff
ntUserLastLogoff 属性包含最后一次 logoff 的时间。这个值以 GMT 格式存储为字符串。
如果启用了安全日志记录,则仅当用户条目的一些其他方面发生变化时,才会在同步时更新此属性。
ntUserLastLogoff: 20201015203415Z
ntUserLastLogoff: 20201015203415Z| OID | 2.16.840.1.113730.3.1.527 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.268. ntUserLastLogon
ntUserLastLogon 属性包含用户上次登录到 Windows 域的时间。这个值以 GMT 格式存储为字符串。如果启用了安全日志记录,则仅当用户条目的一些其他方面发生变化时,才会在同步时更新此属性。
ntUserLastLogon: 20201015203415Z
ntUserLastLogon: 20201015203415Z| OID | 2.16.840.1.113730.3.1.526 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.269. ntUserLogonHours
ntUserLogonHours 属性包含允许用户登录到 Active Directory 域的时间段。此属性对应于 Active Directory 中的 logonHours 属性。
| OID | 2.16.840.1.113730.3.1.530 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.270. ntUserLogonServer
ntUserLogonServer 属性定义用户登录请求的 Active Directory 服务器。
| OID | 2.16.840.1.113730.3.1.65 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.271. ntUserMaxStorage
ntUserMaxStorage 属性包含可供用户使用的最大磁盘空间量。
ntUserMaxStorage: 4294967295
ntUserMaxStorage: 4294967295| OID | 2.16.840.1.113730.3.1.529 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.272. ntUserNumLogons
此属性显示到用户的 Active Directory 域的成功日志记录程序的数量。
| OID | 2.16.840.1.113730.3.1.64 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.273. ntUserParms
ntUserParms 属性包含保留供应用程序使用的 Unicode 字符串。
| OID | 2.16.840.1.113730.3.1.62 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.274. ntUserPasswordExpired
此属性显示 Active Directory 帐户的密码是否已过期。
| OID | 2.16.840.1.113730.3.1.68 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.275. ntUserPrimaryGroupId
ntUserPrimaryGroupId 属性包含用户所属的主组的组 ID。
| OID | 2.16.840.1.113730.3.1.534 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.276. ntUserPriv
此属性显示用户允许的特权类型。
| OID | 2.16.840.1.113730.3.1.59 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.277. ntUserProfile
ntUserProfile 属性包含用户配置集的路径。例如:
ntUserProfile: c:\jsmith\profile.txt
ntUserProfile: c:\jsmith\profile.txt| OID | 2.16.840.1.113730.3.1.67 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.278. ntUserScriptPath
ntUserScriptPath 属性包含用户登录域的 ASCII 脚本的路径。
ntUserScriptPath: c:\jstorm\lscript.bat
ntUserScriptPath: c:\jstorm\lscript.bat| OID | 2.16.840.1.113730.3.1.524 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.279. ntUserUniqueId
ntUserUniqueId 属性包含 Windows 用户的唯一数字 ID。
| OID | 2.16.840.1.113730.3.1.66 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.280. ntUserUnitsPerWeek
ntUserUnitsPerWeek 属性包含用户登录 Active Directory 域的总时间。
| OID | 2.16.840.1.113730.3.1.63 |
| 语法 | 二进制 |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.281. ntUserUsrComment
ntUserUsrComment 属性包含用户的额外注释。
| OID | 2.16.840.1.113730.3.1.61 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.282. ntUserWorkstations
ntUserWorkstations 属性包含允许用户登录的工作站的 ASCII 字符串中的名称列表。最多可列出 8 个工作站,用逗号分开。指定 null 以允许用户从任何工作站登录。例如:
ntUserWorkstations: firefly
ntUserWorkstations: firefly| OID | 2.16.840.1.113730.3.1.525 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape NT 同步 |
5.2.283. o (organizationName)
organizationName 或 o 属性包含机构名称。例如:
organizationName: Example Corporation o: Example Corporation
organizationName: Example Corporation
o: Example Corporation| OID | 2.5.4.10 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.284. objectClass
swig 属性标识用于条目的对象类。例如:
objectClass: person
objectClass: person| OID | 2.5.4.0 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.285. objectClasses
此属性在架构文件中使用,标识 subschema 定义允许的对象类。
| OID | 2.5.21.6 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.286. obsoletedByDocument
obsoletedByDocument 属性包含可清除当前文档条目的可分辨名称。
| OID | 0.9.2342.19200300.102.1.4 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.287. obsoletesDocument
obsoletesDocument 属性包含文档的可分辨名称,该名称由当前文档条目弃用。
| OID | 0.9.2342.19200300.102.1.3 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.288. oncRpcNumber
oncRpcNumber 属性包含 RPC 映射的一部分,并存储 UNIX RPC 的 RPC 号。
oncRpcNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.18 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.289. organizationalStatus
organizationalStatus 标识机构中的人员类别。
organizationalStatus: researcher
organizationalStatus: researcher| OID | 0.9.2342.19200300.100.1.45 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.290. otherMailbox
otherMailbox 属性包含 X.400 和 RFC 822 以外的电子邮件类型值。
otherMailbox: internet $ jsmith@example.com
otherMailbox: internet $ jsmith@example.com| OID | 0.9.2342.19200300.100.1.22 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.291. ou (organizationalUnitName)
organizationalUnitName 或 ou 包含组织部门的名称,或目录层次结构中的子树。
organizationalUnitName: Marketing ou: Marketing
organizationalUnitName: Marketing
ou: Marketing| OID | 2.5.4.11 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.292. owner
owner 属性包含负责条目的人员的 DN。例如:
owner: cn=John Smith,ou=people,dc=example,dc=com
owner: cn=John Smith,ou=people,dc=example,dc=com| OID | 2.5.4.32 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.293. pager
pagerTelephoneNumber 或 pager 的属性包含个人的页面电话号码。
pagerTelephoneNumber: 415-555-6789 pager: 415-555-6789
pagerTelephoneNumber: 415-555-6789
pager: 415-555-6789| OID | 0.9.2342.19200300.100.1.42 |
| 语法 | telephoneNumber |
| 多或单值 | 多值 |
| 定义于 |
5.2.294. parentOrganization
parentOrganization 属性标识机构或机构单元的父机构。
| OID | 1.3.6.1.4.1.1466.101.120.41 |
| 语法 | DN |
| 多或单值 | 单值 |
| 定义于 | Netscape |
5.2.295. personalSignature
personalSignature 属性包含条目的签名文件,采用二进制格式。
personalSignature:: AAAAAA==
personalSignature:: AAAAAA==| OID | 0.9.2342.19200300.100.1.53 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.296. personalTitle
personalTitle 属性包含个人的认可,如 Ms.、Dr.、Prof. 和 Rev。
personalTitle: Mr.
personalTitle: Mr.| OID | 0.9.2342.19200300.100.1.40 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.297. photo
photo 属性包含一个二进制格式的照片文件。
photo:: AAAAAA==
photo:: AAAAAA==| OID | 0.9.2342.19200300.100.1.7 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.298. physicalDeliveryOfficeName
physicalDeliveryOffice 包含城市或报道,在其中物理邮寄办公室所在的位置。
physicalDeliveryOfficeName: Raleigh
physicalDeliveryOfficeName: Raleigh| OID | 2.5.4.19 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.299. postalAddress
postalAddress 属性标识条目的邮件地址。此字段旨在包含多行。用 LDIF 格式表示时,每行都应该使用美元符号($)分隔。
要在条目文本中表示实际的美元符号($)或反斜杠(\),请分别使用转义的十六进制值 \24 和 \5c。例如,代表字符串:
The dollar ($) value can be found in the c:\cost file.
The dollar ($) value can be found
in the c:\cost file.提供字符串:
The dollar (\24) value can be found$in the c:\5ccost file.
The dollar (\24) value can be found$in the c:\5ccost file.| OID | 2.5.4.16 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.300. postalCode
postalCode 包含位于美国内的条目的 zip 代码。
postalCode: 44224
postalCode: 44224| OID | 2.5.4.17 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.301. postOfficeBox
postOfficeBox 属性包含条目的物理邮件地址的邮寄地址号或后办公室号码。
postOfficeBox: 1234
postOfficeBox: 1234| OID | 2.5.4.18 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.302. preferredDeliveryMethod
preferredDeliveryMethod 包含一个条目的首选联系或发送方法。例如:
preferredDeliveryMethod: telephone
preferredDeliveryMethod: telephone| OID | 2.5.4.28 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.303. preferredLanguage
preferredLanguage 属性包含个人的首选写或 spoken 语言。该值应符合 HTTP Accept-Language 标头值的语法。
| OID | 2.16.840.1.113730.3.1.39 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.304. preferredLocale
区域设置 标识了有关特定区域、文化或自定义期望数据用户的信息,包括如何解释给定语言的数据以及如何排序数据。目录服务器支持美国英语、日语和德语三个区域。
preferredLocale 属性设置用户首选区域设置。
| OID | 1.3.6.1.4.1.1466.101.120.42 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape |
5.2.305. preferredTimeZone
preferredTimeZone 属性设置用于用户条目的时区。
| OID | 1.3.6.1.4.1.1466.101.120.43 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | Netscape |
5.2.306. presentationAddress
presentationAddress 属性包含条目的 OSI 演示地址。此属性包括 OSI 网络地址和最多三个选择器,各自供传输、会话和表示实体使用。例如:
presentationAddress: TELEX+00726322+RFC-1006+02+130.59.2.1
presentationAddress: TELEX+00726322+RFC-1006+02+130.59.2.1| OID | 2.5.4.29 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 |
5.2.307. protocolInformation
protocolInformation 属性与 presentationAddress 属性一起使用,提供有关 OSO 网络服务的额外信息。
| OID | 2.5.4.48 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.308. pwdReset
当管理员更改用户的密码时,目录服务器会将用户条目中的 pwdReset Operations 属性设置为 true。应用可以使用此属性来识别管理员是否重置了用户的密码。
pwdReset 属性是操作属性,因此用户无法编辑它。
| OID | 1.3.6.1.4.1.1466.115.121.1.7 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 |
5.2.309. ref
ref 属性用于支持 LDAPv3 智能引用。此属性的值是 LDAP URL:
ldap: host_name:port_number/subtree_dn
ldap: host_name:port_number/subtree_dn端口号是可选的。
例如:
ref: ldap://server.example.com:389/ou=People,dc=example,dc=com
ref: ldap://server.example.com:389/ou=People,dc=example,dc=com| OID | 2.16.840.1.113730.3.1.34 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 | LDAPv3 引用互联网存储 |
5.2.310. registeredAddress
此属性包含用于接收电话或加快文档的邮寄地址。在发送时通常需要接收者的签名。
| OID | 2.5.4.26 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.311. roleOccupant
此属性包含在 organizationalRole 条目中定义的角色的可分辨名称。
roleOccupant: uid=bjensen,dc=example,dc=com
roleOccupant: uid=bjensen,dc=example,dc=com| OID | 2.5.4.33 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.312. roomNumber
此属性指定对象的房间号。cn 属性应该用于命名空间对象。
roomNumber: 230
roomNumber: 230| OID | 0.9.2342.19200300.100.1.6 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.313. searchGuide
searchGuide 属性指定在将条目用作搜索操作的目录树中的基本对象时推荐的搜索条件的信息。在构建搜索过滤器时,请使用 enhancedSearchGuide 属性。
| OID | 2.5.4.14 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.314. secretary
secretary 属性标识条目的 secretary 或管理助手。
secretary: cn=John Smith,dc=example,dc=com
secretary: cn=John Smith,dc=example,dc=com| OID | 0.9.2342.19200300.100.1.21 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.315. seeAlso
seeAlso 属性标识另一个目录服务器条目,该条目可能包含与此条目相关的信息。
seeAlso: cn=Quality Control Inspectors,ou=manufacturing,dc=example,dc=com
seeAlso: cn=Quality Control Inspectors,ou=manufacturing,dc=example,dc=com| OID | 2.5.4.34 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.316. serialNumber
serialNumber 属性包含设备的序列号。
serialNumber: 555-1234-AZ
serialNumber: 555-1234-AZ| OID | 2.5.4.5 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.317. serverHostName
serverHostName 属性包含运行 Directory 服务器的服务器的主机名。
| OID | 2.16.840.1.113730.3.1.76 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Red Hat Management Services |
5.2.318. serverProductName
serverProductName 属性包含服务器产品的名称。
| OID | 2.16.840.1.113730.3.1.71 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Red Hat Management Services |
5.2.319. serverRoot
此属性已过时。
此属性显示 Directory Servers 版本 7.1 或更早版本的安装目录(服务器根目录)。
| OID | 2.16.840.1.113730.3.1.70 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape 管理服务 |
5.2.320. serverVersionNumber
serverVersionNumber 属性包含服务器版本号。
| OID | 2.16.840.1.113730.3.1.72 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Red Hat Management Services |
5.2.321. shadowExpire
shadowExpire 属性包含 shadow 帐户过期的日期。日期的格式是 EPOCH 之日,以 UTC 为单位。要在系统中计算它,请运行以下命令(使用 )当前日期和时间( )来指定 UTC:
- u
echo date -u -d 20100108 +%s /24/60/60 |bc 14617
$ echo date -u -d 20100108 +%s /24/60/60 |bc
14617
结果(示例中为 14617)是 shadowExpire 的值。
shadowExpire: 14617
shadowExpire: 14617
shadowExpire 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.10 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.322. shadowFlag
shadowFlag 属性标识影子映射中的哪个区域存储标志值。
shadowFlag: 150
shadowFlag: 150
shadowFlag 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.11 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.323. shadowInactive
shadowInactive 属性设置伪帐户可以不活跃的时间(以天为单位)。
shadowInactive: 15
shadowInactive: 15
shadowInactive 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.9 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.324. shadowLastChange
shadowLastChange 属性包含 1970 年 1 月 1 日和上次设置用户密码的一天之间的天数。例如,如果帐户在 2016 年 11 月 4 日的最后设置,则 shadowLastChange 属性被设为 0
以下例外是存在的:
-
当在
cn=config条目中启用了passwordMustChange参数时,新帐户在shadowLastChange属性中设置 0。 -
当您创建没有密码的帐户时,不会添加
shadowLastChange属性。
对于从 Active Directory 同步的帐户自动更新 shadowLastChange 属性。
shadowLastChange 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.5 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.325. shadowMax
shadowMax 属性设置影子密码有效的最长天数。
shadowMax: 10
shadowMax: 10
shadowMax 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.7 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.326. shadowMin
shadowMin 属性设置更改影子密码之间必须经过的最少天数。
shadowMin: 3
shadowMin: 3
shadowMin 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.6 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.327. shadowWarning
shadowWarning 属性设置密码过期前的天数以向用户发送警告。
shadowWarning: 2
shadowWarning: 2
shadowWarning 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.8 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.328. singleLevelQuality
singleLevelQuality 在目录树的下面立即指定可发送的数据质量。
| OID | 0.9.2342.19200300.100.1.50 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.329. sn (surname)
surname 或 sn 属性包含一个条目的 surname,也称为姓氏或系列名称。
surname: Jensen sn: Jensen
surname: Jensen
sn: Jensen| OID | 2.5.4.4 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.330. st (stateOrProvinceName)
stateOrProvinceName 或 st 的属性包含条目的 state 或 province。
stateOrProvinceName: California st: California
stateOrProvinceName: California
st: California| OID | 2.5.4.8 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.331. virtualizationstore
streetAddress 或 street, 属性包含一个条目的 street name 和 residential 地址。
streetAddress: 1234 Ridgeway Drive street: 1234 Ridgeway Drive
streetAddress: 1234 Ridgeway Drive
street: 1234 Ridgeway Drive| OID | 2.5.4.9 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.332. subject
subject 属性包含有关文档条目的主题信息。
subject: employee option grants
subject: employee option grants| OID | 0.9.2342.19200300.102.1.8 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.333. subtreeMaximumQuality
subtreeMaximumQuality 属性指定目录子树中发送的最大数据质量。
| OID | 0.9.2342.19200300.100.1.52 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.334. subtreeMinimumQuality
subtreeMinimumQuality 指定目录子树中预期的最小数据质量。
| OID | 0.9.2342.19200300.100.1.51 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 |
5.2.335. supportedAlgorithms
supportedAlgorithms 属性包含以二进制形式请求并存储的算法,如 supportedAlgorithms;binary。
supportedAlgorithms:: AAAAAA==
supportedAlgorithms:: AAAAAA==| OID | 2.5.4.52 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.336. supportedApplicationContext
此属性包含 OSI 应用上下文的标识符。
| OID | 2.5.4.30 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.337. telephoneNumber
telephoneNumber 包含条目的电话号码。例如:
telephoneNumber: 415-555-2233
telephoneNumber: 415-555-2233| OID | 2.5.4.20 |
| 语法 | telephoneNumber |
| 多或单值 | 多值 |
| 定义于 |
5.2.338. teletexTerminalIdentifier
teletexTerminalIdentifier 属性包含一个条目的 teletex 终端标识符。示例中的第一个可打印字符串是要编码的 teletex 终端标识符的第一个部分编码,后续的 0 或多个八进制字符串是 teletex 终端标识符的后续部分:
teletex-id = ttx-term 0*("$" ttx-param)
ttx-term = printablestring
ttx-param = ttx-key ":" ttx-value
ttx-key = "graphic" / "control" / "misc" / "page" / "private"
ttx-value = octetstring
teletex-id = ttx-term 0*("$" ttx-param)
ttx-term = printablestring
ttx-param = ttx-key ":" ttx-value
ttx-key = "graphic" / "control" / "misc" / "page" / "private"
ttx-value = octetstring| OID | 2.5.4.22 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.339. telexNumber
此属性定义条目的 telex 号。telex 编号的格式如下:
actual-number "$" country "$" answerback
actual-number "$" country "$" answerback- actual-number 是被编码的 telex 编号的编号部分的语法表示。
- 国家/地区 是 TELEX 国家/地区代码。
- answerback 是 TELEX 终端的回答代码。
| OID | 2.5.4.21 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.340. title
title 属性包含该机构中的个人标题。
title: Senior QC Inspector
title: Senior QC Inspector| OID | 2.5.4.12 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.341. TTL (TimeToLive)
TimeToLive、或 ttl 属性包含缓存条目信息应被视为有效的时间(以秒为单位)。过了指定时间后,信息将被视为过期。值为零(0)表示不应缓存该条目。
TimeToLive: 120 ttl: 120
TimeToLive: 120
ttl: 120| OID | 1.3.6.1.4.250.1.60 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | LDAP 缓存互联网优化 |
5.2.342. uid (userID)
userID 是更常见的 uid 属性,包含条目的唯一用户名。
userID: jsmith uid: jsmith
userID: jsmith
uid: jsmith| OID | 0.9.2342.19200300.100.1.1 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.343. uidNumber
uidNumber 属性包含用户条目的唯一标识符。这与 Unix 中的用户号类似。
uidNumber: 120
uidNumber: 120
uidNumber 属性在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
| OID | 1.3.6.1.1.1.1.0 |
| 语法 | 整数 |
| 多或单值 | 单值 |
| 定义于 |
5.2.344. uniqueIdentifier
此属性标识了在重复使用可分辨名称时,用于区分两个条目的特定项。此属性旨在检测对已删除的可分辨名称的引用实例。此属性由服务器分配。
uniqueIdentifier:: AAAAAA==
uniqueIdentifier:: AAAAAA==| OID | 0.9.2342.19200300.100.1.44 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.345. uniqueMember
uniqueMember 属性标识与条目关联的一组名称,其中每个名称被赋予一个 uniqueIdentifier,以确保其唯一性。uniqueMember 属性的值是一个 DN,后跟 uniqueIdentifier。
| OID | 2.5.4.50 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 |
5.2.346. updatedByDocument
updatedByDocument 属性包含文档的可分辨名称,这是文档条目的更新版本。
| OID | 0.9.2342.19200300.102.1.6 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.347. updatesDocument
updatesDocument 属性包含本文档是更新版本的文档的可分辨名称。
| OID | 0.9.2342.19200300.102.1.5 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | Internet White Pages Pilot |
5.2.348. userCertificate
此属性以二进制形式存储并请求,作为 userCertificate;binary。
userCertificate;binary:: AAAAAA==
userCertificate;binary:: AAAAAA==| OID | 2.5.4.36 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.349. userClass
此属性指定计算机用户的类别。此属性的语义是任意的。organizationalStatus 属性不会区分计算机用户和其他类型的用户,可能更适用。
userClass: intern
userClass: intern| OID | 0.9.2342.19200300.100.1.8 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 |
5.2.350. userPassword
此属性标识条目的密码和加密方法,格式为 {encryption method} 加密密码。例如:
userPassword: {sha}FTSLQhxXpA05
userPassword: {sha}FTSLQhxXpA05强烈建议不要传输明文密码,因为底层传输服务不能保证保密性。以明文形式传输可能会导致将密码泄漏到未授权的各方。
| OID | 2.5.4.35 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.351. userPKCS12
此属性提供用于交换个人身份信息的格式。属性以二进制形式存储并请求,作为 userPKCS12;binary。属性值是 PFX PDU,存储为二进制数据。
| OID | 2.16.840.1.113730.3.1.216 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.352. userSMIMECertificate
userSMIMECertificate 属性包含可供邮件客户端用于 S/MIME 的证书。此属性以二进制格式请求并存储数据。例如:
userSMIMECertificate;binary:: AAAAAA==
userSMIMECertificate;binary:: AAAAAA==| OID | 2.16.840.1.113730.3.1.40 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.2.353. vacationEndDate
此属性显示用户 vacation 周期的结束日期。
| OID | 2.16.840.1.113730.3.1.708 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.354. vacationStartDate
此属性显示用户 vacation 周期的开始日期。
| OID | 2.16.840.1.113730.3.1.707 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | Netscape Messaging Server |
5.2.355. x121Address
x121Address 属性包含用户的 X.121 地址。
| OID | 2.5.4.24 |
| 语法 | IA5String |
| 多或单值 | 多值 |
| 定义于 |
5.2.356. x500UniqueIdentifier
保留以备将来使用。X.500 标识符是利用可分辨名称时区分对象的二进制识别方法。
x500UniqueIdentifier:: AAAAAA==
x500UniqueIdentifier:: AAAAAA==| OID | 2.5.4.45 |
| 语法 | 二进制 |
| 多或单值 | 多值 |
| 定义于 |
5.3. 条目对象类参考
此引用是默认 schema 可接受的对象类的字母顺序列表。它为每个对象类提供定义,并列出其所需和允许的属性。列出的对象类可用于支持条目信息。
当该对象类添加到目录的 ldif 文件时,条目中必须存在对象类列出的所需属性。如果对象类具有超级对象类,则条目中必须同时存在所有必要属性的这两个对象类。如果没有在 ldif 文件中列出所需的属性,超过服务器不会重启。
LDAP RFC 和 X.500 标准允许对象类具有多个高级对象类。Directory 服务器目前不支持此行为。
5.3.1. account
帐户 对象类定义计算机帐户的条目。这个对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.5
| 属性 | 定义 |
|---|---|
| 提供条目的对象类。 | |
| 提供定义的帐户的用户 ID。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供帐户所在的计算机的主机名。 | |
| 提供条目的城市或地理位置。 | |
| 提供帐户所属的组织。 | |
| 为帐户所属的机构单元或部门指定。 | |
| 包含指向另一个条目或带有相关信息的 URL。 |
5.3.2. accountpolicy
accountpolicy 对象类定义帐户在activation 或 expiration 策略中的条目。这用于用户数据配置条目,它与 帐户策略插件配置一起使用。
卓越的类
top
OID
1.3.6.1.4.1.11.1.3.2.2.1
| 属性 | 定义 |
|---|---|
| 在该帐户被锁定前,设置帐户最后一次登录的时间(以秒为单位)。 |
5.3.3. alias
alias 对象类指向其他目录条目。此对象类在 RFC 2256 中定义。
Red Hat Directory Server 不支持别名条目。
卓越的类
top
OID
2.5.6.1
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 给出这个条目的可分辨名称,该条目是别名。 |
5.3.4. bootableDevice
bootableDevice 对象类指向带有引导参数的设备。此对象类在 RFC 2307 中定义。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.12
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供设备的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供引导镜像文件。 | |
| 提供引导进程用于设备的参数。 | |
| 提供条目的文本描述。 | |
| 提供条目的城市或地理位置。 | |
| 指定设备所属的机构。 | |
| 指定设备所属的机构单元或部门。 | |
| 提供负责该设备的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 包含设备的序列号。 |
5.3.5. cacheObject
cacheObject 是一个包含生存时间(ttl)属性类型的对象。这个对象类在 LDAP 缓存互联网 Draft 中定义。
卓越的类
top
OID
1.3.6.1.4.1.250.3.18
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 对象在缓存中保留的时间(处于活动状态)。 |
5.3.6. cosClassicDefinition
cosClassicDefinition 对象类使用条目的 DN (区分名称)、在 第 5.2.32 节 “cosTemplateDn” 属性中指定的目标属性以及其中一个目标属性值来定义服务模板条目。
这个对象类在 RFC 1274 中定义。
卓越的类
cosSuperDefinition
OID
2.16.840.1.113730.3.2.100
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
|
提供 CoS 生成值的属性的名称。可以指定多个 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 指定典型的 CoS 使用的属性值,以及模板条目的 DN 标识模板条目。 | |
| 提供与 CoS 定义关联的模板条目的 DN。 | |
| 提供条目的文本描述。 |
5.3.7. cosDefinition
cosDefinition 对象类定义使用哪个类服务;此对象类提供与 DS4.1 CoS 插件的兼容性。
这个对象类在 RFC 1274 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.84
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 评估当 Directory 服务器从客户端接收 LDAP 请求时授予或拒绝哪些权限。 | |
| 提供条目的通用名称。 | |
|
提供 CoS 生成值的属性的名称。可以指定多个 | |
| 指定典型的 CoS 使用的属性值,以及模板条目的 DN 标识模板条目。 | |
| 定义 CoS 模式应用到的目录中的子树。 | |
| 提供与 CoS 定义关联的模板条目的 DN。 | |
| 提供条目的用户 ID。 |
5.3.8. cosIndirectDefinition
cosIndirectDefinition 使用其中一个目标条目的属性定义模板条目。目标条目的属性在 第 5.2.28 节 “cosIndirectSpecifier” 属性中指定。
此对象类由 Directory Server 定义。
卓越的类
cosSuperDefinition
OID
2.16.840.1.113730.3.2.102
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
|
提供 CoS 生成值的属性的名称。可以指定多个 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 指定间接 CoS 用来识别模板条目的属性值。 | |
| 提供条目的文本描述。 |
5.3.9. cosPointerDefinition
此对象类使用模板条目的 DN 值标识与 CoS 定义关联的模板条目。模板条目的 DN 在 第 5.2.28 节 “cosIndirectSpecifier” 属性中指定。
此对象类由 Directory Server 定义。
卓越的类
cosSuperDefinition
OID
2.16.840.1.113730.3.2.101
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
|
提供 CoS 生成值的属性的名称。可以指定多个 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 提供与 CoS 定义关联的模板条目的 DN。 | |
| 提供条目的文本描述。 |
5.3.10. cosSuperDefinition
所有 CoS 定义对象类从 cosSuperDefinition 对象类继承。
此对象类由 Directory Server 定义。
卓越的类
LDAPsubentry
OID
2.16.840.1.113730.3.2.99
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
|
提供 CoS 生成值的属性的名称。可以指定多个 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 提供条目的文本描述。 |
5.3.11. cosTemplate
cosTemplate 对象类包含 CoS 的共享属性值列表。
此对象类由 Directory Server 定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.128
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 指定当 CoS 模板竞争时提供属性值的模板。 |
5.3.12. 国家
国家/地区 对象类定义代表国家的条目。此对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.2
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 包含代表国家名称的双字符代码,如 ISO 在 目录中定义。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 指定在将条目用作搜索目录树中的基本对象时的建议搜索条件的信息。 |
5.3.13. dcObject
dcObject 对象类允许为条目定义域组件。此对象类定义为辅助,因为它通常与另一个对象类结合使用,如 o (organization)、ou (organizationalUnit)或 l (locality)。
例如:
此对象类在 RFC 2247 中定义。
卓越的类
top
OID
1.3.6.1.4.1.1466.344
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 包含域名的一个组件。 |
5.3.14. device
设备 对象类将有关网络设备的信息(如打印机)存储在 目录中。此对象类在 RFC 2247 中定义。
卓越的类
top
OID
2.5.6.14
| 属性 | 定义 |
|---|---|
| 提供分配给设备的对象类。 | |
| 提供设备的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供条目的城市或地理位置。 | |
| 指定设备所属的机构。 | |
| 指定设备所属的机构单元或部门。 | |
| 提供负责该设备的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 包含设备的序列号。 |
5.3.15. 文档
文档对象类定义代表文档的 目录条目。RFC 1247.
卓越的类
top
OID
0.9.2342.19200300.100.4.6
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供文档的唯一 ID。 |
| 属性 | 定义 |
|---|---|
| 包含文档的抽象信息。 | |
| 以二进制格式存储声音文件。 | |
| 给出作者的通用名称或指定名称。 | |
| 给出作者的姓氏。 | |
| 提供条目的通用名称。 | |
| 提供条目的文本描述。 | |
| 包含要用作文档条目的重定向条目的 DN (区分名称)。 | |
| 包含作者的 DN (区分名称)。 | |
| 提供原始文档的位置。 | |
| 标识发布文档的人员或机构。 | |
| 包含文档的标题。 | |
| 提供文件的版本号。 | |
| 包含有关文档的信息。 | |
| 存储 JPG 镜像。 | |
| 包含与文档相关的关键字。 | |
| 提供条目的城市或地理位置。 | |
| 提供修改文档条目的最后一个用户的 DN (区分名称)。 | |
| 提供上次修改的时间。 | |
| 提供条目管理器的 DN (区分名称)。 | |
| 提供文档所属的组织。 | |
| 提供文档过时的另一个文档条目的 DN (区分名称)。 | |
| 提供本文档已过时的另一个文档条目的 DN (区分名称)。 | |
| 为文档所属的机构单元或部门指定。 | |
| 以二进制格式存储文档的照片。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 描述文档的主题。 | |
| 当名称被重复使用时,区分两个条目。 | |
| 提供 更新 本文档的另一个文档条目的 DN (区分名称)。 | |
| 提供本文档 更新的另一个 文档条目的 DN (区分名称)。 |
5.3.16. documentSeries
documentSeries 对象类定义了一个条目,它代表一系列文档。这个对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.9
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供文档系列物理所在的位置。 | |
| 提供文档系列所属组织。 | |
| 提供系列所属的机构单元或部门。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供负责文档系列的人员的电话号码。 |
5.3.17. domain
域 对象类定义代表 DNS 域的目录条目。使用 第 5.2.34 节 “dc (domainComponent)” 属性命名此对象类的条目。
此对象类也用于互联网域名,如 example.com。
域 对象类只能用于 不匹配 组织、组织单元或为其定义对象类的其他对象的目录条目。已为其定义了对象类的对象。
此对象类在 RFC 2252 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.13
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 包含域名的一个组件。 |
| 属性 | 定义 |
|---|---|
| 指定与 DNS 域关联的组织目录树中的条目名称。 | |
| 提供参与此域的业务类型。 | |
| 提供条目的文本描述。 | |
| 提供与该条目关联的国家和城市;这一旦需要提供公共电话服务。 | |
| 提供域的传真号码。 | |
| 提供域的 ISDN 号。 | |
| 提供条目的城市或地理位置。 | |
| 提供条目所属的组织。 | |
| 提供可以进行物理交付的位置。 | |
| 提供域的 post office 框号。 | |
| 包含域的邮件地址。 | |
| 提供域的邮政代码,如美国中的 zip 代码。 | |
| 显示了个人首选的联系方式或消息发送方式。 | |
| 当接收者必须验证发送时,提供适合接收加速文档的邮寄地址。 | |
| 指定在将条目用作搜索目录树中的基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供域所在的状态或省去。 | |
| 为域物理位置提供 street 名称和地址号。 | |
| 提供域的电话号码。 | |
| 提供域的 teletex 终端的 ID。 | |
| 为域提供电话编号。 | |
| 存储条目可以绑定到该目录的密码。 | |
| 提供域的 X.121 地址。 |
5.3.18. domainRelatedObject
domainRelatedObject 对象类定义代表 X.500 域(如机构或机构单元)的 DNS 或 NRS 域的条目。
这个对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.17
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 指定与目录树中的对象关联的 DNS 域。 |
5.3.19. dSA
dSA 对象类定义代表 DSAs 的条目。
这个对象类在 RFC 1274 中定义。
卓越的类
top
OID
2.5.6.13
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
| 包含条目的 OSI 演示地址。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供条目的城市或地理位置。 | |
| 提供条目所属的组织。 | |
| 指定条目所属的机构单元或部门。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 包含 OSI 应用上下文的标识符。 |
5.3.20. extensibleObject
当条目中存在时,可扩展Object 允许条目保存任何属性。此类允许的属性列表隐式是服务器已知的所有属性的集合。
此对象类在 RFC 2252 中定义。
卓越的类
top
OID
1.3.6.1.4.1.1466.101.120.111
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
允许的属性
服务器已知的所有属性。
5.3.21. friendlyCountry
friendlyCountry 对象类定义目录中的国家条目。此对象类允许比 国家 对象类更友好的名称。
这个对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.18
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 存储人类可读的国家名称。 | |
| 包含代表国家名称的双字符代码,如 ISO 在 目录中定义。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 指定在将条目用作搜索目录树中的基本对象时的建议搜索条件的信息。 |
5.3.22. groupOfCertificates
groupOfCertificates 对象类描述了一组 X.509 证书。任何与其中一个 第 5.2.107 节 “memberCertificateDescription” 值匹配的证书都被视为组的成员。
卓越的类
top
OID
2.16.840.1.113730.3.2.31
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供参与该组的业务类型。 | |
| 提供条目的文本描述。 | |
| 包含用于确定特定证书是否为此组的成员的值。 | |
| 提供条目所属的组织。 | |
| 指定条目所属的机构单元或部门。 | |
| 包含负责组的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 |
5.3.23. groupOfMailEnhancedUniqueNames
groupOfMailEnhancedUniqueNames 对象类用于必须具有唯一成员的邮件组。此对象类是为 Netscape Messaging Server 定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.5
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供参与该组的业务类型。 | |
| 提供条目的文本描述。 | |
| 包含用于标识邮件组的成员的唯一 DN 值。 | |
| 提供条目所属的组织。 | |
| 指定条目所属的机构单元或部门。 | |
| 包含负责组的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 |
5.3.24. groupOfNames
groupOfNames 对象类包含一组名称的条目。此对象类在 RFC 2256 中定义。
Directory 服务器中此对象类的定义与标准定义不同。在标准定义中,第 5.2.106 节 “成员” 是必需的属性,而在 Directory 服务器中,它是一个允许的属性。因此,目录服务器允许组没有成员。
卓越的类
top
OID
2.5.6.9
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供参与该条目的业务类型。 | |
| 提供条目的文本描述。 | |
| 包含组成员的 DN (区分名称)。 | |
| 提供条目所属的组织。 | |
| 指定条目所属的机构单元或部门。 | |
| 包含负责组的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 |
5.3.25. groupOfUniqueNames
groupOfUniqueNames 对象类定义一个包含唯一名称的组。
Directory 服务器中此对象类的定义与标准定义不同。在标准定义中,第 5.2.345 节 “uniqueMember” 是必需的属性,而在 Directory 服务器中,它是一个允许的属性。因此,目录服务器允许组没有成员。
此对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.17
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供参与该条目的业务类型。 | |
| 提供条目的文本描述。 | |
| 提供条目所属的组织。 | |
| 指定条目所属的机构单元或部门。 | |
| 包含负责组的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 包含组成员的 DN (区分名称),此 DN 必须是唯一的。 |
5.3.26. groupOfURLs
groupOfURLs 对象类是 groupOfUniqueNames 和 groupOfNames 对象类的辅助对象类。这个组由标记的 URL 列表组成。
卓越的类
top
OID
2.16.840.1.113730.3.2.33
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供参与该组的业务类型。 | |
| 提供条目的文本描述。 | |
| 包含与组的每个成员关联的 URL。 | |
| 提供条目所属的组织。 | |
| 指定条目所属的机构单元或部门。 | |
| 包含负责组的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 |
5.3.27. ieee802Device
ieee802Device 对象类指向具有 MAC 地址的设备。这个对象类在 RFC 2307 中定义。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.11
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供设备的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供条目的城市或地理位置。 | |
| 提供设备的 MAC 地址。 | |
| 指定设备所属的机构。 | |
| 指定设备所属的机构单元或部门。 | |
| 提供负责该设备的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 包含设备的序列号。 |
5.3.28. inetAdmin
inetAdmin 对象类是管理组或用户的标记。此对象类是为 Netscape Delegated Administrator 定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.112
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 标识管理用户所属的角色。 | |
| 包含管理用户所属的组名称。这由 MemberOf 插件动态管理。 |
5.3.29. inetDomain
inetDomain 对象类是虚拟域节点的辅助类。此对象类是为 Netscape Delegated Administrator 定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.129
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 定义 DNS 域用户子树的基本 DN。 | |
| 提供域的状态。状态可以是 active, inactive, 或 delete。 |
5.3.30. inetOrgPerson
inetOrgPerson 对象类定义代表机构企业网络中个人的条目。这个对象类从 person 对象类继承 第 5.2.25 节 “cn (commonName)” 和 第 5.2.329 节 “sn (surname)” 属性。
这个对象类在 RFC 2798 中定义。
卓越的类
个人
OID
2.16.840.1.113730.3.2.2
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
| 为个人提供系列名称或姓氏。 |
| 属性 | 定义 |
|---|---|
| 以二进制格式存储声音文件。 | |
| 提供参与该条目的业务类型。 | |
| 提供许可证的费用是个人的载包号。 | |
| 给出个人适用的部门。 | |
| 提供条目的文本描述。 | |
| 提供与该条目关联的国家和城市;这一旦需要提供公共电话服务。 | |
| 显示显示条目时要使用的个人的首选名称。 | |
| 包含个人员工号码。 | |
| 显示了个人的雇佣类型(例如,全时间)。 | |
| 包含个人传真号码。 | |
| 包含个人的名字。 | |
| 给个人的主页电话号码。 | |
| 提供个人的主页邮件地址。 | |
| 为个人提供初始信息。 | |
| 包含条目的 ISDN 号。 | |
| 存储 JPG 镜像。 | |
| 提供条目的城市或地理位置。 | |
| 包含与条目相关的 URL。 | |
| 包含个人电子邮件地址。 | |
| 包含个人条目的直接监管器的 DN (区分名称)。 | |
| 为个人提供移动电话号码。 | |
| 提供条目所属的组织。 | |
| 指定条目所属的机构单元或部门。 | |
| 提供个人的上页号。 | |
| 以二进制格式存储个人的照片。 | |
| 提供可以进行物理交付的位置。 | |
| 提供条目的 post office 框号。 | |
| 包含条目的邮件地址。 | |
| 提供条目的邮政代码,如美国中的 zip 代码。 | |
| 显示了个人首选的联系方式或消息发送方式。 | |
| 为个人提供首选写入或 spoken 语言。 | |
| 当接收者必须验证发送时,提供适合接收加速文档的邮寄地址。 | |
| 提供个人所在的房间号码。 | |
| 包含个人 secretary 或管理助手的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供条目所在的状态或省去。 | |
| 为个人物理位置提供 street 名称和编号。 | |
| 提供条目的电话号码。 | |
| 提供个人 teletex 终端的标识符。 | |
| 提供与条目关联的 telex 号。 | |
| 显示个人职位标题。 | |
| 包含用户 ID (通常是其登录 ID)。 | |
| 以明文形式存储用户的证书(未使用)。 | |
| 存储条目可以绑定到该目录的密码。 | |
| 将个人的证书以二进制形式存储,以便 S/MIME 客户端可以使用它。 | |
| 为该用户提供 X.121 地址。 | |
| 保留以备将来使用。 |
5.3.31. inetSubscriber
inetSubscriber 对象类用于常规用户帐户管理。这个对象类是为 Netscape 订阅者互操作性定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.134
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 包含将订阅者链接到计费系统的唯一属性。 | |
| 包含某种形式的问题或提示,即用于确认用户身份的 challenge 短语。 | |
| 包含挑战问题的回答。 |
5.3.32. inetUser
inetUser 对象类是辅助类,必须在条目中存在该类才能提供订阅者服务。这个对象类是为 Netscape 订阅者互操作性定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.130
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 包含与用户关联的 Web 地址。 | |
| 提供用户的状态。状态可以是 active, inactive, 或 delete。 | |
| 包含用户所属的组名称。这由 MemberOf 插件动态管理。 | |
| 包含用户 ID (通常是其登录 ID)。 | |
| 存储用户可用于访问用户帐户的密码。 |
5.3.33. ipHost
ipHost 对象类存储主机有关的 IP 信息。此对象类在 RFC 2307 中定义。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.6
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供设备的通用名称。 | |
| 包含设备或主机的 IP 地址。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供条目的城市或地理位置。 | |
| 包含条目的维护者或 supervisor 的 DN (区分名称)。 | |
| 指定设备所属的机构。 | |
| 指定设备所属的机构单元或部门。 | |
| 提供负责该设备的人员的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 包含设备的序列号。 |
5.3.34. ipNetwork
ipNetwork 对象类存储有关网络的 IP 信息。此对象类在 RFC 2307 中定义。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.7
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供设备的通用名称。 | |
| 包含网络的 IP 号。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供条目的城市或地理位置。 | |
| 包含条目的维护者或 supervisor 的 DN (区分名称)。 | |
| 包含网络的 IP 子网掩码。 |
5.3.35. ipProtocol
ipProtocol 对象类显示 IP 协议版本。此对象类在 RFC 2307 中定义。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.4
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供设备的通用名称。 | |
| 包含网络的 IP 协议号。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 |
5.3.36. ipService
ipService 对象类存储有关 IP 服务的信息。此对象类在 RFC 2307 中定义。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.3
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供设备的通用名称。 | |
| 指定 IP 服务使用的端口号。 | |
| 包含该服务的 IP 协议号。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 |
5.3.37. labeledURIObject
此对象类可以添加到现有的目录对象,以允许包含 URI 值。使用此对象类不会根据需要直接包含其他对象类中的 第 5.2.88 节 “labeledURI” 属性类型。
这个对象类在 RFC 2079 中定义。
卓越的类
top
OID
1.3.6.1.4.1.250.3.15
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供与条目对象相关的 URI。 |
5.3.38. 地点
locality 对象类定义代表本地区域或地理区域的条目。
此对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.3
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供条目的城市或地理位置。 | |
| 指定在将条目用作搜索目录树中的基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供与本地关联的州或省。 | |
| 提供与本地关联的 street 和 number。 |
5.3.39. mailGroup
mailGroup 对象类定义组的邮件属性。此对象在 Netscape Messaging Server 的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.4
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 存储组的电子邮件地址。 | |
| 包含组的辅助电子邮件地址。 | |
| 包含邮件服务器的主机名。 | |
| 包含负责组的人员的 DN (区分名称)。 |
5.3.40. mailRecipient
mailRecipient 对象类为用户定义邮件帐户。此对象在 Netscape Messaging Server 的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.3
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 存储组的电子邮件地址。 | |
| 包含用户可以访问消息传递服务器的域。 | |
| 包含组的辅助电子邮件地址。 | |
| 指定是否启用帐户的 autoreply 模式。 | |
| 包含用于自动回复电子邮件的文本。 | |
| 指定用于邮件用户的邮件发送机制。 | |
| 指定用于邮件用户的邮件发送机制。 | |
| 包含邮件服务器的主机名。 | |
| 指定用户邮件框的位置。 | |
| 指定用于编程邮件发送的命令。 | |
| 指定用户邮件框允许的磁盘空间。 | |
| 包含将邮件从此条目帐户转发到另一个消息传递服务器时使用的路由地址。 | |
| 包含跨越多个行的条目的文本描述。 | |
| 提供定义的帐户的用户 ID。 | |
| 存储条目可以访问该帐户的密码。 |
5.3.41. mepManagedEntry
mepManagedEntry 对象类标识了由 Managed Entries 插件实例生成的条目。此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.319
| 属性 | 定义 |
|---|---|
| 提供与受管条目对应的原始条目的 DN。 |
5.3.42. mepOriginEntry
mepOriginEntry 对象类标识一个条目,该条目位于由 Managed Entries 插件的实例监控的子树内,并且具有由插件创建的受管条目,这是原始条目。此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.320
| 属性 | 定义 |
|---|---|
| 提供由 Managed Entries 插件实例创建的受管条目的 DN,其对应于此原始条目。 |
5.3.43. mepTemplateEntry
mepTemplateEntry 对象类标识一个条目,该条目由 Managed Entries 插件的实例用作模板,以创建受管条目。此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.321
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 包含 attribute-token 对,插件用于在受管条目中创建一个属性,其值取自原始条目。 | |
| 指定将哪个属性用作受管条目中 naming 属性。 | |
| 包含将要使用的 attribute-value 对,并在受管条目中使用该指定的值。 |
5.3.44. netscapeCertificateServer
netscapeCertificateServer 对象类存储有关 Netscape 证书服务器的信息。此对象在 Netscape 证书管理系统的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.18
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
5.3.45. netscapeDirectoryServer
netscapeDirectoryServer 对象类存储目录服务器实例的信息。此对象在 Netscape 目录服务器的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.23
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
5.3.46. NetscapeLinkedOrganization
NetscapeLinkedOrganization 是辅助对象类。此对象在 Netscape 服务器套件的 schema 中定义。
卓越的类
top
OID
1.3.6.1.4.1.1466.101.120.141
| 属性 | 定义 |
|---|---|
| 为服务器套件定义的链接组织标识父机构。 |
5.3.47. netscapeMachineData
netscapeMachineData 对象类区分机器数据和非机器数据。此对象在 Netscape 目录服务器的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.32
5.3.48. NetscapePreferences
NetscapePreferences 是存储用户首选项的辅助对象类。此对象由 Netscape 定义。
卓越的类
top
OID
1.3.6.1.4.1.1466.101.120.142
| 属性 | 定义 |
|---|---|
| 为个人提供首选写入或 spoken 语言。 | |
| 给出个人首选区域设置。区域设置定义了 cultural 或 national 设置,如日期格式和货币。 | |
| 给个人的首选时区。 |
5.3.49. netscapeReversiblePasswordObject
netscapeReversiblePasswordObject 是用于存储密码的辅助对象类。此对象在 Netscape Web 服务器的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.154
| 属性 | 定义 |
|---|---|
| 包含用于 HTTP Digest/MD5 身份验证的密码。 |
5.3.50. netscapeServer
netscapeServer 对象类包含有关 Netscape 服务器及其安装的实例特定信息。
卓越的类
top
OID
2.16.840.1.113730.3.2.10
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含服务器管理员的联系信息。 | |
| 包含供实例使用的管理服务器的 URL。 | |
| 提供条目的文本描述。 | |
| 包含安装服务器实例的时间。 | |
| 包含运行 Directory 服务器实例的服务器的主机名。 | |
| 包含服务器类型的产品名称。 | |
| 指定安装服务器产品的顶级目录。 | |
| 包含产品版本号。 | |
| 存储条目可以绑定到该目录的密码。 |
5.3.51. netscapeWebServer
netscapeWebServer 对象类标识已安装的 Netscape Web 服务器。
卓越的类
top
OID
2.16.840.1.113730.3.2.29
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
| 包含服务器的名称或 ID。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 包含服务器的端口号。 |
5.3.52. newPilotPerson
newPilotPerson 对象类是 个人 的一个子类,允许将额外属性分配给 person 对象类的条目。这个对象类从 person 对象类继承 第 5.2.25 节 “cn (commonName)” 和 第 5.2.329 节 “sn (surname)” 属性。
此对象类在 Internet White Pages Pilot 中定义。
卓越的类
个人
OID
0.9.2342.19200300.100.4.4
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
| 为个人提供系列名称或姓氏。 |
| 属性 | 定义 |
|---|---|
| 提供参与该条目的业务类型。 | |
| 提供条目的文本描述。 | |
| 为个人提供最喜欢的 drink。 | |
| 给个人的主页电话号码。 | |
| 提供个人的主页邮件地址。 | |
| 提供个人的电子邮件地址;这主要用于 Great Britain 或不使用 RFC 822 电子邮件地址的组织。 | |
| 包含个人电子邮件地址。 | |
| 表示用户的首选项,在邮件列表中包括其名称(electronic 或 physical)。 | |
| 为个人提供移动电话号码。 | |
| 为个人函数提供通用作业类别。 | |
| 包含 X.400 和 RFC 8 以外的电子邮件类型的值。 | |
| 提供个人的上页号。 | |
| 包含个人的签名文件。 | |
| 给予个人认可。 | |
| 显示了个人首选的联系方式或消息发送方式。 | |
| 提供个人所在的房间号码。 | |
| 包含个人 secretary 或管理助手的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供条目的电话号码。 | |
| 包含用户 ID (通常是其登录 ID)。 | |
| 描述此条目所在的计算机用户的类型。 | |
| 存储条目可以绑定到该目录的密码。 |
5.3.53. nisMap
这个对象类指向 NIS 映射。
此对象类在 RFC 2307 中定义,用于定义使用 LDAP 作为网络信息服务的对象类和属性。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.13
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 包含 NIS 映射名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 |
5.3.54. nisNetgroup
此对象类包含 NIS 域中使用的 netgroup。添加此对象类可让管理员使用 netgroups 来控制 NIS 中的登录和服务身份验证。
此对象类在 RFC 2307 中定义,用于定义使用 LDAP 作为网络信息服务的对象类和属性。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.8
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 通过列出合并 netgroup 的名称,将另一个 netgroup 的属性值合并到当前组中。 | |
|
包含用户名( |
5.3.55. nisObject
此对象类包含有关 NIS 域中对象的信息。
此对象类在 RFC 2307 中定义,用于定义使用 LDAP 作为网络信息服务的对象类和属性。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.10
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
| 标识 NIS 映射条目。 | |
| 包含 NIS 映射的名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 |
5.3.56. nsAdminConfig
此对象类存储管理服务器的配置参数。此对象是为管理服务定义的。
卓越的类
nsConfig
OID
nsAdminConfig-oid
| 属性 | 定义 |
|---|---|
| 标识管理服务器 IP 地址。 | |
| 包含 Administration Server 主机名或管理服务器主机名列表。 | |
| 记录缓存超时周期的长度。 | |
| 包含服务器正在等待的 CGI 进程的 PID。 | |
| 设置是否允许最终用户对管理服务器 Web 服务页面的访问。 | |
| 包含管理服务器的本地 ACL 目录的路径。 | |
| 指向包含 admin 用户信息的文件。 |
5.3.57. nsAdminConsoleUser
此对象类存储管理服务器的配置参数。此对象是为管理服务定义的。
卓越的类
top
OID
nsAdminConsoleUser-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 存储控制台设置的首选信息。 |
5.3.58. nsAdminDomain
此对象类存储用户信息以访问管理控制台。此对象是为管理服务定义的。
卓越的类
organizationalUnit
OID
nsAdminDomain-oid
| 属性 | 定义 |
|---|---|
| 标识服务器的管理域。 |
5.3.59. nsAdminGlobalParameters
此对象类存储管理服务器的配置参数。此对象是为管理服务定义的。
卓越的类
top
OID
nsAdminGlobalParameters-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 设置是否允许最终用户对 HTML 索引页面的访问。 | |
| 为应用程序指定 nickname。 |
5.3.60. nsAdminGroup
此对象类将管理员用户的组信息存储在管理服务器中。此对象是为管理服务定义的。
卓越的类
top
OID
nsAdminGroup-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 包含 admin 组的名称。 | |
| 显示管理服务器实例的服务器实例条目的 DN (SIE)。 | |
| 提供管理服务器实例配置目录的完整路径。 |
5.3.61. nsAdminObject
此对象类包含有关管理服务器使用的对象的信息,如任务。此对象是为管理服务定义的。
卓越的类
top
OID
nsAdminObject-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含与管理服务器的任务或资源编辑器关联的类名称。 | |
| 提供管理控制台控制台用于访问该对象的 JAR 文件的名称。 |
5.3.62. nsAdminResourceEditorExtension
此对象类包含控制台资源编辑器使用的扩展。此对象是为管理服务定义的。
卓越的类
nsAdminObject
OID
nsAdminResourceEditorExtension-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含有关管理服务器帐户的信息。 | |
| 包含要删除的类的名称。 |
5.3.63. nsAdminServer
此对象类定义管理服务器实例。此对象是为管理服务定义的。
卓越的类
top
OID
nsAdminServer-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
|
包含目录服务器 ID,如 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 |
5.3.64. nsAIMpresence
nsAIMpresence 是辅助对象类,用于定义 AOL 实例消息传递帐户的状态。此对象是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.300
| 属性 | 定义 |
|---|---|
| 包含条目的 AIM 用户 ID。 | |
| 包含指向图形镜像的指针,它表示 AIM 帐户的状态。 | |
| 包含用于指示 AIM 帐户状态的文本。 |
5.3.65. nsApplication
nsApplication 定义应用程序或服务器条目。这由 Netscape 定义。
卓越的类
top
OID
nsApplication-oid
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 包含安装服务器实例的时间。 | |
| 包含服务器实例的构建号。 | |
| 包含用于进行构建的安全性级别。 | |
| 包含应用程序许可证过期的日期。 | |
| 对于版本 7.1 或更早版本的服务器,会显示服务器的安装目录。 | |
| 提供 Directory 服务器使用的 LDAP 模式文件版本。 | |
| 为应用程序指定 nickname。 | |
| 提供服务器产品的名称。 | |
| 显示服务器产品的版本号。 | |
| 包含产品的修订号(次版本)。 | |
| 提供分配给服务器产品的序列号。 | |
| 提供用于迁移服务器实例的类。 | |
| 提供用于创建服务器实例的类。 | |
| 包含设计服务器的供应商名称。 |
5.3.66. nsCertificateServer
nsCertificateServer 对象类存储有关 Red Hat Certificate System 实例的信息。此对象在证书系统的架构中定义。
卓越的类
top
OID
nsCertificateServer-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 包含服务器的名称或 ID。 |
| 属性 | 定义 |
|---|---|
| 包含 Red Hat Certificate System 实例的配置设置。 | |
| 包含服务器的端口号。 | |
| 包含运行 Directory 服务器实例的服务器的主机名。 |
5.3.67. nsComplexRoleDefinition
任何不是简单角色的角色都是通过定义复杂的角色。
此对象类由 Directory Server 定义。
卓越的类
nsRoleDefinition
OID
2.16.840.1.113730.3.2.95
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 提供条目的文本描述。 |
5.3.68. nsContainer
有些条目没有定义任何特定的实体,但它们在目录树中创建一个定义的空间,作为类似或相关子条目的父条目。这些是 容器条目,由 nsContainer 对象类标识。
卓越的类
top
OID
2.16.840.1.113730.3.2.104
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn | 提供条目的通用名称。 |
5.3.69. nsCustomView
nsCustomView 对象类定义目录服务器数据的自定义视图的信息。这是为管理服务定义的。
卓越的类
nsAdminObject
OID
nsCustomView-oid
| 属性 | 定义 |
|---|---|
| 包含自定义视图设置配置集的名称。 |
5.3.70. nsDefaultObjectClasses
nsDefaultObjectClasses 设置在目录中创建新对象时要使用的默认对象类。这是为管理服务定义的。
卓越的类
top
OID
nsDefaultObjectClasses-oid
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供设备的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含默认分配给对象类型的对象类。 |
5.3.71. nsDirectoryInfo
nsDirectoryInfo 包含有关目录实例的信息。这是为管理服务定义的。
卓越的类
top
OID
nsDirectoryInfo-oid
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供设备的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含在其服务器实例条目中为服务器定义的绑定 DN。 | |
| 包含 SIE 中绑定身份的密码。 | |
|
如果 | |
| 包含目录中可分辨名称(DN)的引用。 | |
| 包含用于访问目录服务器实例的 URL。 |
5.3.72. nsDirectoryServer
nsDirectoryServer 是为目录服务器实例定义对象类。这是为 Directory 服务器定义的。
卓越的类
top
OID
nsDirectoryServer-oid
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 包含服务器的名称或 ID。 |
| 属性 | 定义 |
|---|---|
| 包含服务器实例的基本 DN。 | |
| 包含在其服务器实例条目中为服务器定义的绑定 DN。 | |
| 包含 SIE 中绑定身份的密码。 | |
| 包含服务器的 TLS 端口号。 | |
| 包含服务器的端口号。 | |
| 包含运行 Directory 服务器实例的服务器的主机名。 |
5.3.73. nsFilteredRoleDefinition
nsFilteredRoleDefinition 对象类定义条目如何分配给角色,具体取决于每个条目包含的属性。
此对象类在 Directory Server 中定义。
卓越的类
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.97
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 指定用于标识过滤角色中的条目的过滤器。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 提供条目的文本描述。 |
5.3.74. nsGlobalParameters
nsGlobalParameters 对象类包含全局首选项设置。
此对象类在 Administrative Services 中定义。
卓越的类
top
OID
nsGlobalParameters-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 定义组条目的 RDN 中使用的默认属性类型。 | |
| 在首选项中定义唯一属性。 | |
|
设置格式,从 | |
| 设置用作用户 DN 中的命名组件的属性类型。 | |
| nsNYR | 未使用。 |
| nsWellKnownJarfiles | 未使用。 |
5.3.75. nsHost
nsHost 对象类存储服务器主机的信息。
此对象类在 Administrative Services 中定义。
卓越的类
top
OID
nsHost-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供条目的城市或地理位置。 | |
|
标识运行 Directory 服务器实例的主机的硬件平台。这与运行 | |
| 提供服务器主机的位置。 | |
| 包含服务器主机的操作系统版本。 | |
| 包含运行 Directory 服务器实例的服务器的主机名。 |
5.3.76. nsICQpresence
nsICQpresence 是辅助对象类,用于定义 ICQ 消息传递帐户的状态。此对象是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.301
| 属性 | 定义 |
|---|---|
| 包含条目的 ICQ 用户 ID。 | |
| 包含指向图形镜像的指针,它表示 ICQ 帐户的状态。 | |
| 包含用于指示 ICQ 帐户状态的文本。 |
5.3.77. nsLicenseUser
nsLicenseUser 对象类跟踪针对每个客户端许可证的服务器的许可证。nsLicenseUser 旨在与 inetOrgPerson 对象类一起使用。您可以通过管理服务器的 Users and Groups 区域来管理此对象类的内容。
此对象类在 Administration Server 模式中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.7
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 标识用户获得许可使用的服务器。 | |
| 保留以备将来使用。 | |
| 保留以备将来使用。 |
5.3.78. nsManagedRoleDefinition
nsManagedRoleDefinition 对象类将角色的成员分配指定为明确、枚举的成员列表。
此对象类在 Directory Server 中定义。
卓越的类
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.96
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 提供条目的文本描述。 |
5.3.79. nsMessagingServerUser
nsICQpresence 是描述消息传递服务器用户的一个辅助对象类。此对象类是为 Netscape Messaging Server 定义的。
卓越的类
top
OID
2.16.840.113730.3.2.37
| 属性 | 定义 |
|---|---|
| 提供条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 包含用户可以访问消息传递服务器的域。 | |
| 包含组的辅助电子邮件地址。 | |
| 指定是否启用帐户的 autoreply 模式。 | |
| 包含用于自动回复电子邮件的文本。 | |
| 指定用于邮件用户的邮件发送机制。 | |
| 指定用于邮件用户的邮件发送机制。 | |
| 指定用户邮件框的位置。 | |
| 指定用于编程邮件发送的命令。 | |
| 指定用户邮件框允许的磁盘空间。 | |
| 设置用户可用的邮件协议的限制。 | |
| 指定用户邮件框允许的邮件数。 | |
| 存储用户的扩展首选项。 | |
| 包含 vacation 周期的结束日期。 | |
| 包含 vacation 周期的开始日期。 |
5.3.80. nsMSNpresence
nsMSNpresence 是辅助对象类,用于定义 MSN 实例消息传递帐户的状态。此对象是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.303
| 属性 | 定义 |
|---|---|
| 包含条目的 MSN 用户 ID。 |
5.3.81. nsNestedRoleDefinition
nsNestedRoleDefinition 对象类指定任何类型的一个或多个角色,作为角色中的成员包含。
此对象类在 Directory Server 中定义。
卓越的类
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.98
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 指定分配给条目的角色。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 提供条目的文本描述。 |
5.3.82. nsResourceRef
nsNestedRoleDefinition 对象类配置资源引用。
此对象类在管理服务中定义。
卓越的类
top
OID
nsResourceRef-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含指向另一个条目或带有相关信息的 URL。 |
5.3.83. nsRoleDefinition
所有角色定义对象类从 nsRoleDefinition 对象类继承。
此对象类由 Directory Server 定义。
卓越的类
LDAPsubentry
OID
2.16.840.1.113730.3.2.93
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 提供条目的文本描述。 |
5.3.84. nsSimpleRoleDefinition
包含此对象类的角色称为简单的角色,因为它们具有破坏性的灵活性,这有助于:
- 枚举角色的成员。
- 确定给定条目是否具有特定的角色。
- 枚举给定条目拥有的所有角色。
- 为给定条目分配特定的角色。
- 从给定条目中删除特定角色。
此对象类由 Directory Server 定义。
卓越的类
nsRoleDefinition
OID
2.16.840.1.113730.3.2.94
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 | |
| 提供条目的文本描述。 |
5.3.85. nsSNMP
此对象类定义 Directory 服务器使用的 SNMP 插件对象的配置。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.41
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
| 设置是否为目录服务器实例启用 SNMP。 |
| 属性 | 定义 |
|---|---|
| 包含 SNMP 代理提供的联系信息。 | |
| 包含 SNMP 设置的文本描述。 | |
| 包含 SNMP 代理的位置信息或配置。 | |
| 包含 SNMP 主代理所在的服务器的主机名。 | |
| 包含用于访问 SNMP 子代理的端口。 | |
| 包含 SNMP 服务提供的组织名称或信息。 |
5.3.86. nsTask
此对象类定义 Directory 服务器所执行的任务的配置。
此对象类是为 Administrative Services 定义的。
卓越的类
top
OID
nsTask-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含对将执行任务的程序的引用。 | |
| 包含对与任务窗口关联的在线(HTML)帮助文件的引用。 | |
| 设置是否阻止任务的日志记录。 | |
| 包含与控制台中任务关联的标签。 |
5.3.87. nsTaskGroup
此对象类定义控制台中一组任务的信息。
此对象类是为 Administrative Services 定义的。
卓越的类
top
OID
nsTaskGroup-oid
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含与控制台中任务关联的标签。 |
5.3.88. nsTopologyCustomView
此对象类配置用于控制台中的配置文件的拓扑视图。
此对象类是为 Administrative Services 定义的。
卓越的类
nsCustomView
OID
nsTopologyCustomView-oid
| 属性 | 定义 |
|---|---|
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含在控制台中要使用的视图配置。 |
5.3.89. nsTopologyPlugin
此对象类配置用于在控制台中设置视图的拓扑插件。
此对象类是为 Administrative Services 定义的。
卓越的类
nsAdminObject
OID
nsTopologyPlugin-oid
5.3.90. nsValueItem
此对象类定义值 item 对象配置,用于指定依赖于条目值类型的信息。值项与条目属性(如二进制或区分大小写的字符串)的允许属性值语法相关。
此对象类在 Netscape Servers 中定义 - Value Item。
卓越的类
top
OID
2.16.840.1.113730.3.2.45
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 包含与二进制值类型相关的信息或操作。 | |
| 包含与 case-exact 字符串(CES)值类型相关的信息或操作。 | |
| 包含与区分大小写(CIS)值类型相关的信息或操作。 | |
| 设置用于属性或配置参数的默认值类型。 | |
| 提供有关 value 项设置的文本描述。 | |
| 包含与 DN 值类型相关的信息或操作。 | |
| 为值 item 对象设置标记。 | |
| 包含对与值 item 对象关联的在线(HTML)帮助文件的引用。 | |
| 包含与整数值类型相关的信息或操作。 | |
| 定义用于 value 项对象的语法。 | |
| 包含与 telephone 字符串值类型相关的信息或操作。 | |
| 设置要应用的值类型。 |
5.3.91. nsView
此对象类用于目录树中的 view 条目。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.304
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 标识视图插件使用的过滤器。 |
5.3.92. nsYIMpresence
nsYIMpresence 是辅助对象类,用于定义 Yahoo 实例消息传递帐户的状态。此对象是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.302
| 属性 | 定义 |
|---|---|
| 包含条目的 Yahoo 用户 ID。 | |
| 包含指向图形镜像的指针,它表示 Yahoo 帐户的状态。 | |
| 包含指示 Yahoo 帐户状态的文本。 |
5.3.93. ntGroup
ntGroup 对象类保存存储在 Windows Active Directory 服务器中的组条目的数据。多个目录服务器属性直接与 Windows 组属性对应,或映射以匹配 Windows 组属性。当您在 Directory Server 中创建一个新组时,要与 Windows 服务器组同步,Directory 服务器属性将分配给 Windows 条目。然后可以通过目录服务在条目中添加、修改或删除这些属性。
此对象类在 Netscape NT Synchronization 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.9
| 对象类 | 定义 |
|---|---|
|
允许在 Windows 和 Directory Server 组之间同步 |
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 包含组帐户的 Windows 域登录 ID。 |
| 属性 | 定义 |
|---|---|
|
给出条目的通用名称;这与 Windows | |
|
给出条目的文本描述;对应于 Windows | |
| 提供条目的城市或地理位置。 | |
| 指定组的成员。 | |
| 指定在 Directory 服务器中创建条目时是否应该创建 Windows 帐户。 | |
| 指定在 Directory Server 中删除条目时是否应删除 Windows 帐户。 | |
| 提供组的域 ID 字符串。 | |
| 定义该条目的 Windows 域组的类型。 | |
| 包含服务器用于操作和识别的生成的 ID 号。 | |
| 指定条目所属的机构单元或部门。 | |
| 包含指向另一个条目或带有相关信息的 URL。 |
5.3.94. ntUser
ntUser 条目包含存储在 Windows Active Directory 服务器中的用户条目的数据。多个目录服务器属性直接与 Windows 用户帐户字段对应,或者映射到 Windows 用户帐户字段。当您在 Directory Server 中创建了一个要与 Windows 服务器同步的新人员条目时,Directory 服务器属性会被分配给 Windows 用户帐户字段。然后可以通过目录服务在条目中添加、修改或删除这些属性。
此对象类在 Netscape NT Synchronization 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.8
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
|
给出条目的通用名称;这与 Windows | |
| 包含用户帐户的 Windows 域登录 ID。 |
| 属性 | 定义 |
|---|---|
|
给出条目的文本描述;对应于 Windows | |
| 提供与该条目关联的国家和城市;这一旦需要提供公共电话服务。 | |
| 给出用户的传真号码。 | |
| 包含个人的名字。 | |
| 给个人的主页电话号码。 | |
| 提供个人的主页邮件地址。 | |
| 为个人提供初始信息。 | |
| 提供条目的城市或地理位置。 | |
| 包含个人电子邮件地址。 | |
| 包含个人条目的直接监管器的 DN (区分名称)。 | |
| 为个人提供移动电话号码。 | |
| 标识用户的 Windows 帐户何时过期。 | |
| 提供用户的代码页面。 | |
| 指定在 Directory 服务器中创建此条目时是否应创建 Windows 帐户。 | |
| 指定在 Directory Server 中删除此条目时是否应该删除 Windows 帐户。 | |
| 提供用户主目录的路径。 | |
| 提供用户从 Windows 服务器最后一次日志的时间。 | |
| 提供用户最后一次登录 Windows 服务器的时间。 | |
| 显示 Windows 服务器中用户的最大磁盘空间。 | |
| 包含保留供应用程序使用的 Unicode 字符串。 | |
| 包含用户 Windows 配置文件的路径。 | |
| 包含用户 Windows 登录脚本的路径。 | |
| 包含允许用户登录 Windows 域的 Windows 工作站列表。 | |
| 提供条目所属的组织。 | |
| 指定条目所属的机构单元或部门。 | |
| 提供个人的上页号。 | |
| 包含条目的邮件地址。 | |
| 提供条目的邮政代码,如美国中的 zip 代码。 | |
| 提供条目的 post office 框号。 | |
| 当接收者必须验证发送时,提供适合接收加速文档的邮寄地址。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 为个人提供系列名称或姓氏。 | |
| 提供个人所在的州或省去。 | |
| 为个人物理位置提供 street 名称和地址号。 | |
| 提供条目的电话号码。 | |
| 提供个人 teletex 终端的标识符。 | |
| 提供与条目关联的 telex 号。 | |
| 显示个人职位标题。 | |
| 以明文形式存储用户的证书(未使用)。 | |
| 提供条目的 X.121 地址。 |
5.3.95. oncRpc
oncRpc 对象类定义了开放网络计算远程过程调用(ONC RPC)的抽象。此对象类在 RFC 2307 中定义。
此对象类在目录服务器中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录复制到 /etc/dirsrv/slapd-instance/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.5
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 提供条目的通用名称。 | |
| 包含 RPC 映射的一部分,并存储 UNIX RPC 的 RPC 号。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 |
5.3.96. 机构
机构 属性定义代表机构的条目。组织通常被认为在大型企业或企业内是一个很大的、相对的静态分组。
此对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.4
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目所属的组织。 |
| 属性 | 定义 |
|---|---|
| 提供参与该条目的业务类型。 | |
| 提供条目的文本描述。 | |
| 提供与该条目关联的国家和城市;这一旦需要提供公共电话服务。 | |
| 包含条目的传真号码。 | |
| 包含条目的 ISDN 号。 | |
| 提供条目的城市或地理位置。 | |
| 提供可以进行物理交付的位置。 | |
| 包含条目的邮件地址。 | |
| 提供条目的邮政代码,如美国中的 zip 代码。 | |
| 提供条目的 post office 框号。 | |
| 显示条目的首选联系方法或消息发送方式。 | |
| 当接收者必须验证发送时,提供适合接收加速文档的邮寄地址。 | |
| 指定在将条目用作搜索目录树中的基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供个人所在的州或省去。 | |
| 为个人物理位置提供 street 名称和编号。 | |
| 提供负责该机构的人员的电话号码。 | |
| 提供条目的 teletex 终端的 ID。 | |
| 提供与条目关联的 telex 号。 | |
| 提供条目可绑定到该目录的密码。 | |
| 提供条目的 X.121 地址。 |
5.3.97. organizationalPerson
organizationalPerson 对象类为雇佣或关联机构的用户定义条目。这个对象类从 person 对象类继承 第 5.2.25 节 “cn (commonName)” 和 第 5.2.329 节 “sn (surname)” 属性。
此对象类在 RFC 2256 中定义。
卓越的类
个人
OID
2.5.6.7
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
| 为个人提供系列名称或姓氏。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供与该条目关联的国家和城市;这一旦需要提供公共电话服务。 | |
| 包含条目的传真号码。 | |
| 包含条目的 ISDN 号。 | |
| 提供条目的城市或地理位置。 | |
| 指定条目所属的机构单元或部门。 | |
| 提供可以进行物理交付的位置。 | |
| 包含条目的邮件地址。 | |
| 提供条目的邮政代码,如美国中的 zip 代码。 | |
| 提供条目的 post office 框号。 | |
| 显示了个人首选的联系方式或消息发送方式。 | |
| 当接收者必须验证发送时,提供适合接收加速文档的邮寄地址。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供个人所在的州或省去。 | |
| 为个人物理位置提供 street 名称和编号。 | |
| 提供条目的电话号码。 | |
| 提供条目的 teletex 终端的 ID。 | |
| 提供与条目关联的 telex 号。 | |
| 显示个人职位标题。 | |
| 存储条目可以绑定到该目录的密码。 | |
| 提供条目的 X.121 地址。 |
5.3.98. organizationalRole
organizationalRole 对象类用于定义机构中人员持有的角色的条目。
此对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.8
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 提供与该条目关联的国家和城市;这一旦需要提供公共电话服务。 | |
| 包含条目的传真号码。 | |
| 包含条目的 ISDN 号。 | |
| 提供条目的城市或地理位置。 | |
| 指定条目所属的机构单元或部门。 | |
| 提供可以进行物理交付的位置。 | |
| 包含条目的邮件地址。 | |
| 提供条目的邮政代码,如美国中的 zip 代码。 | |
| 提供条目的 post office 框号。 | |
| 显示角色的首选联系方式或消息发送方法。 | |
| 当接收者必须验证发送时,提供适合接收加速文档的邮寄地址。 | |
| 包含角色中个人的 DN (区分名称)。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供条目所在的状态或省去。 | |
| 为角色物理位置提供 street 名称和编号。 | |
| 提供条目的电话号码。 | |
| 提供条目的 teletex 终端的 ID。 | |
| 提供与条目关联的 telex 号。 | |
| 提供条目的 X.121 地址。 |
5.3.99. organizationalUnit
organizationalUnit 对象类定义代表 机构单元 的条目,通常理解为更大组织内相对静态分组。
此对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.5
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 指定条目所属的机构单元或部门。 |
| 属性 | 定义 |
|---|---|
| 提供参与该条目的业务类型。 | |
| 提供条目的文本描述。 | |
| 提供与该条目关联的国家和城市;这一旦需要提供公共电话服务。 | |
| 包含条目的传真号码。 | |
| 包含条目的 ISDN 号。 | |
| 提供条目的城市或地理位置。 | |
| 提供可以进行物理交付的位置。 | |
| 包含条目的邮件地址。 | |
| 提供条目的邮政代码,如美国中的 zip 代码。 | |
| 提供条目的 post office 框号。 | |
| 给出要联系的首选方法。 | |
| 当接收者必须验证发送时,提供适合接收加速文档的邮寄地址。 | |
| 指定在将条目用作搜索目录树中的基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供个人所在的州或省去。 | |
| 为角色物理位置提供 street 名称和编号。 | |
| 提供条目的电话号码。 | |
| 提供条目的 teletex 终端的 ID。 | |
| 提供与条目关联的 telex 号。 | |
| 存储条目可以绑定到该目录的密码。 | |
| 提供条目的 X.121 地址。 |
5.3.100. 个人
person 对象类代表一般人员的条目。这是 organizationalPerson 对象类的基本对象类。
此对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.6
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 | |
| 提供条目的通用名称。 | |
| 为个人提供系列名称或姓氏。 |
| 属性 | 定义 |
|---|---|
| 提供条目的文本描述。 | |
| 包含指向另一个条目或带有相关信息的 URL。 | |
| 提供条目的电话号码。 | |
| 存储条目可以绑定到该目录的密码。 |
5.3.101. pilotObject
pilotObject 是一个子类,允许将额外的属性分配给所有其他对象类的条目。
这个对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.3
| 属性 | 定义 |
|---|---|
| 提供分配给条目的对象类。 |
| 属性 | 定义 |
|---|---|
| 以二进制格式存储声音文件。 | |
| 包含要用作条目的重定向条目的 DN (区分名称)。 | |
| 包含有关条目的信息。 | |
| 存储 JPG 镜像。 | |
|
|