配置、命令和文件参考
配置目录服务器的参考指南
摘要
前言
配置目录服务器的参考指南
法律声明
Copyright 2021 Red Hat, Inc.
本文档使用红帽根据 Creative Commons Attribution-ShareAlike 3.0 Unported License.如果您发布本文档,或修改本文档,则必须向 Red Hat, Inc. 提供相关文档,并提供原始版本的链接。如果修改了相关文档,则必须删除所有红帽商标。
作为本文档的许可者,红帽可能会放弃强制制执行 CC-BY-SA 第4d 条款,且不声明该条款在适用条款允许的最大限度内有效。
Red Hat、Red Hat Enterprise Linux、Shadowman 商标、JBoss、OpenShift、Fedora、Infinity 商标以及 RHCE 都是在美国及其他国家的注册商标。
Linux 是 Linus Torvalds 在美国和其他国家/地区的注册商标。
Java 是 Oracle 和/或其附属公司的注册商标。
XFS 是 Silicon Graphics International Corp. 或其子公司在美国和/或其他国家或地区的注册商标。
MySQL 是美国、欧洲联合和其他国家的 MySQL AB 注册商标。
Node.js 是 Joyent 的官方商标。Red Hat Software Collections 与官方 Joyent Node.js 开源或商业项目没有正式关联或被正式认可。
OpenStack Word Mark 和 OpenStack 徽标是 OpenStack Foundation 的注册商标/服务标记或商标/服务标记,在美国和其它国家/地区,可根据 OpenStack Foundation 的许可使用。我们不附属于 OpenStack Foundation 或 OpenStack 社区。
所有其他商标均由其各自所有者所有。
使开源更具 Incsive
红帽致力于替换我们的代码、文档和 Web 属性中有问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息。
关于此参考信息
Red Hat Directory Server(Directory Server)是一个基于行业标准的轻量级目录访问协议(LDAP)的强大、可扩展的分布式目录服务器。目录服务器是构建中央化和分布式数据库的基石,可用于内部内部、交易合作伙伴以及公共互联网来接触客户。
本参考涵盖了服务器配置和命令行实用程序。它主要针对想要使用命令行访问该目录的目录管理员和经验丰富的目录用户而设计。配置服务器后,使用此参考来帮助维护服务器。
也可以通过 Directory Server Console(一个图形用户界面)来管理目录服务器。Red Hat Directory Server Administration Guide 介绍如何进行此操作,并更全面地解释各个管理任务。
1. 目录服务器概述
Directory 服务器的主要组件包括:
- LDAP 服务器 - LDAP v3 兼容网络守护进程。
- 目录服务器控制台 - 图形化管理控制台,可显著减少设置和维护您的目录服务。
- SNMP 代理 - 可使用简单网络管理协议(SNMP)监控目录服务器。
第 1 章 简介
目录服务器基于开放系统服务器协议,称为轻量级目录访问协议(LDAP)。目录服务器是一种强大的可扩展服务器,用来管理大规模目录,以支持通过互联网上的企业范围内的用户和资源、extranets 和电子商务应用程序。目录服务器在机器上作为 ns-slapd
进程或服务运行。服务器管理目录数据库并响应客户端请求。
大部分目录服务器管理任务可以通过 Directory Server 提供的图形用户界面来执行。有关使用 Directory 服务器控制台的详情,请参考 Red Hat Directory Server Administration Guide。
本参考是通过使用命令行更改服务器配置属性以及使用命令行工具和脚本来管理目录服务器的其他方法。
1.1. 目录服务器配置
用于存储目录服务器配置信息和所有服务器属性列表的格式和方法可在两个章节 第 3 章 核心服务器配置参考 和 第 4 章 插件实现的服务器功能参考 中找到。
1.2. 目录服务器实例文件参考
第 2.1 节 “目录服务器实例独立文件和目录” 概述了 Directory Server 每个实例中存储的文件和配置信息。这可用于帮助管理员了解目录活动中的更改或不存在更改。从安全角度来说,这也有助于用户通过突出显示正常更改和异常行为来检测错误和入侵。
1.3. 使用 Directory Server 命令行 utility
目录服务器包含一组可配置的命令行实用程序,它们可搜索和修改目录中的条目,并管理服务器。第 9 章 命令行实用程序 描述这些命令行实用程序,包含关于存储实用程序的位置以及如何访问它们的信息。
第 2 章 文件位置概述
Red Hat Directory Server 与 Filesystem Hierarchy Standards(FHS)兼容。有关 FHS 的详情,请参考 http://refspecs.linuxfoundation.org/fhs.shtml。
2.1. 目录服务器实例独立文件和目录
以下是 Directory 服务器的实例相关的默认文件和目录位置:
类型 | 位置 |
---|---|
命令行工具 |
|
systemd 单元文件 |
|
2.2. 目录服务器实例特定文件和目录
要分隔在同一主机上运行的多个实例,某些文件和目录包含实例的名称。您在 Directory 服务器设置过程中设置实例名称。默认情况下,这是没有域名的主机名。例如,如果您的完全限定的域名是 server.example.com
,则默认实例名称为 server
。
以下是 Directory 服务器特定实例的默认文件和目录位置:
类型 | 位置 |
---|---|
备份文件 |
|
配置文件 |
|
证书和密钥数据库 |
|
数据库文件 |
|
LDIF 文件 |
|
锁定文件 |
|
日志文件 |
|
PID 文件 |
|
systemd 单元文件 |
|
2.2.1. 配置文件
每个目录服务器实例将其配置文件存储在 /etc/dirsrv/slapd-实例
目录中。
Red Hat Directory Server 的配置信息作为 LDAP 条目存储在目录本身中。因此,必须通过使用服务器本身而非直接编辑配置文件来实施对服务器配置的更改。这种配置存储方法的主要优点是,它允许目录管理员在仍在运行时使用 LDAP 重新配置服务器,从而避免需要关闭服务器以多数配置更改。
2.2.1.1. Directory 服务器配置概述
当设置 Directory 服务器时,其配置会作为目录中的一系列 LDAP 条目存储在 subtree cn=config
下。当服务器启动时,cn=config
子树的内容会从文件读取(dse.ldif
)(采用 LDIF 格式)。此 dse.ldif
文件包含所有服务器配置信息。此文件的最新版本名为 dse.ldif
,上次修改前的版本名为 dse.ldif.bak
,以及服务器成功启动的最新文件名为 dse.ldif.startOK
。
目录服务器的许多特性是设计为插入到核心服务器中的离散模块。每个插件的内部配置详情包括在 cn=plugins,cn=config
下的独立条目中。例如,Telarmphone 语法插件的配置包含在该条目中:
cn=Telephone Syntax,cn=plugins,cn=config
同样,特定于数据库的配置存储在 下
cn=ldbm database,cn=plugins,cn=config
for local databases, cn=chaining database,cn=plugins,cn=config
for database links.
下图说明了配置数据如何适合 cn=config
目录信息树。
图 2.1. 目录信息树显示配置数据
2.2.1.1.1. LDIF 和 Schema 配置文件
目录服务器配置数据存储在 /etc/dirsrv/slapd-实例
目录中的 LDIF 文件中。因此,如果服务器标识符是电话笔记本电脑,则配置 LDIF 文件将存储在 /etc/dirsrv/slapd-
中。
phonebook
该目录还包含其他特定于服务器实例的配置文件。
模式配置也以 LDIF 格式存储,这些文件则位于 /etc/dirsrv/schema
目录中。
下表列出了与 Directory 服务器提供的所有配置文件,包括用于其他兼容服务器的模式。每个文件的前面都有一个数字,指明应加载它们的顺序(按数字,然后按字母顺序排列)。
配置文件名称 | 用途 |
---|---|
dse.ldif |
包含由服务器启动时由 目录创建的前端目录 Entries。这包括 Root DSE( |
00core.ldif |
仅包含那些使用裸机功能启动服务器(无用户 schema,任何非核心功能)所需的模式定义。用户、特性和应用的其他架构在 |
01common.ldif |
包含 LDAPv3 标准操作模式,如 |
05rfc2247.ldif | RFC 2247 和相关试验模式的模式,从"在 LDAP/X500 Distinguished Name 中使用域" |
05rfc2927.ldif |
RFC 2927 的 schema,"LDAP 架构的MIME 目录配置文件"。包含在 |
10presence.ldif | 传统.用于即时消息的 schema(在线)信息;文件列出了默认对象类,其属性必须添加到用户条目中,以便使即时信息可供该用户使用。 |
10rfc2307.ldif |
RFC 2307 的 schema,"使用 LDAP 作为网络信息服务的方法"。当该模式可用时,可以使用 |
20subscriber.ldif |
包含新的 schema 元素和 Nortel 订阅者互操作性规格。还包含 |
25java-object.ldif | RFC 2713 的 schema,"在 LDAP 目录中代表 Java® 对象的架构"。 |
28pilot.ldif |
包含 RFC 1274 的 pilot 目录 schema,这已不再用于新部署。将来的 RFC 1274 可以成功弃用一些或所有 |
30ns-common.ldif | 架构中包含与 Directory Server 控制台框架通用的对象类和属性。 |
50ns-admin.ldif | 红帽管理服务器使用的模式. |
50ns-certificate.ldif | 红帽证书管理系统的模式. |
50ns-directory.ldif | 包含 Directory Server 4.12 及更早的版本使用的其他配置模式,它不再适用于 Directory Server 的当前版本。在 Directory Server 4.12 和当前版本之间复制这个 schema。 |
50ns-mail.ldif | Netscape Messaging Server 用来定义邮件用户和邮件组的架构。 |
50ns-value.ldif | 服务器值项属性的 schema。 |
50ns-web.ldif | Netscape Web 服务器的模式。 |
60pam-plugin.ldif | 保留以供将来使用。 |
99user.ldif | 由目录服务器复制消费者维护的用户定义架构,其中包含来自供应商的属性和对象类。 |
2.2.1.1.2. 服务器配置机构如何组织
dse.ldif
文件包含所有配置信息,包括在服务器启动时由目录创建的目录特定条目,如与数据库相关的条目。该文件包含 root Directory Server 条目(或 DSE,名为 ""
),以及 cn=config
和 cn=monitor
的内容。
当服务器生成 dse.ldif
文件时,它会按照 cn=config
下的目录中显示的顺序列出条目,通常是与 LDAP 搜索 base cn=config
的子树范围相同的顺序。
DSE.ldif
还包含 cn=monitor
条目,该条目基本上是只读的,但可在其上设置 ACI。
dse.ldif
文件不包含 cn=config
中的每个属性。如果管理员未设置 属性并且具有默认值,服务器将不会将其写入 dse.ldif
。要查看 cn=config
中的每个属性,请使用 ldapsearch
。
配置属性
在配置条目中,每个属性都以属性名称表示。属性的值与属性的配置对应。
以下代码示例是 Directory 服务器的 dse.ldif
文件的一部分。示例中显示,模式检查已被启用;这由 nsslapd-schemacheck
属性表示,该值取了 上的
值。
dn: cn=config objectclass: top objectclass: extensibleObject objectclass: nsslapdConfig nsslapd-accesslog-logging-enabled: on nsslapd-enquote-sup-oc: off nsslapd-localhost: phonebook.example.com nsslapd-schemacheck: on nsslapd-port: 389 nsslapd-localuser: dirsrv ...
配置插件功能
Directory Server 插件功能的每个部分的配置都有自己的单独的条目,以及子树 cn=plugins,cn=config
下的属性集合。以下代码示例是示例插件(Telefphone 语法插件)的配置条目示例。
dn: cn=Telephone Syntax,cn=plugins,cn=config objectclass: top objectclass: nsSlapdPlugin objectclass: extensibleObject cn: Telephone Syntax nsslapd-pluginType: syntax nsslapd-pluginEnabled: on
其中一些属性适用于所有插件,某些属性可能特定于特定的插件。通过在 cn=config
子树中执行 ldapsearch
,检查给定插件目前正在使用哪些属性。
有关 Directory Server 支持的插件列表、通用插件配置信息、插件配置属性参考和需要重启配置更改的插件列表,请参阅 第 4 章 插件实现的服务器功能参考。
配置数据库
数据库插件条目下的 cn=UserRoot
子树包含包含设置过程中创建的默认后缀的数据库的配置数据。
这些条目和子项具有许多属性,用于配置不同的数据库设置,如缓存大小、索引文件的路径和事务日志、用于监控和统计信息的条目和属性;以及数据库索引。
配置索引
索引的配置信息作为条目存储在以下 information-tree 节点的 Directory Server 中:
-
cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config
-
cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
有关一般索引的更多信息,请参阅 Red Hat Directory Server Administration Guide。有关索引配置属性的详情,请参考 第 4.4.1 节 “database Attributes in cn=config,cn=ldbm database,cn=plugins,cn=config”。
2.2.1.2. 访问和修改服务器配置
本节讨论配置条目的访问控制,并描述了服务器配置可以查看和修改的各种方法。它还涵盖了对需要重新启动服务器重启的属性而进行和讨论的修改类型的限制,以使更改生效。
2.2.1.2.1. 配置条目的访问控制
安装 Directory Server 时,会为 cn=config
下的所有条目实施默认的访问控制指令(ACIs)。以下代码示例是这些默认 ACI 的示例。
aci: (targetattr = "*")(version 3.0; acl "Local Directory Administrators Group"; allow (all) groupdn = "ldap:///ou=Directory Administrators,dc=example,dc=com";)
这些默认 ACI 允许以下用户在所有配置属性中执行所有 LDAP 操作:
- Configuration Administrators 组的成员。
-
作为管理员的用户,在设置时配置的
admin
帐户。默认情况下,这与登录到控制台的用户帐户相同。 - 本地目录管理员组成员。
-
SIE(服务器实例条目)组,通常使用
Set Access Permissions
进程主控制台进行分配。
有关访问控制的更多信息,请参阅 Red Hat Directory Server 管理指南。
2.2.1.2.2. 更改配置属性
可以通过三种方式查看和更改服务器属性:通过目录服务器控制台、执行 ldapsearch
和 ldapmodify
命令,或者通过手动编辑 dse.ldif
文件来查看和更改。
在编辑 dse.ldif
文件前,必须停止 服务器;否则,更改将会丢失。建议只对无法动态更改的属性更改 dse.ldif
文件。如需更多信息,请参阅 配置更改 Requiring Server Restart。
以下小节介绍了如何使用 LDAP 修改条目(使用 Directory 服务器控制台和使用命令行),用于修改条目的限制、适用于修改属性的限制以及需要重启的配置更改。
使用 LDAP 修改配置条目
可使用 LDAP 使用 Directory 服务器控制台搜索和修改目录中的配置条目,或者执行 ldapsearch
和 ldapmodify
操作的方式与其他目录条目相同。使用 LDAP 修改条目的优点是可在服务器运行时进行更改。
如需更多信息,请参阅 Red Hat Directory Server 管理指南 中的"创建目录条目"一章。但是,某些更改需要在服务器考虑前重启它们。如需更多信息,请参阅 配置更改 Requiring Server Restart。
与任何一组配置文件一样,在更改或删除 cn=config
子树中的节点时应小心,因为这会影响 Directory 服务器功能的风险。
通过在 cn=config
子树中执行 ldapsearch
操作,包括始终使用默认值的属性来查看:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)"
-
bindDN 是安装服务器时为 Directory Manager 选择的 DN(默认为
cn=Directory Manager
)。 - password 是为 Directory Manager 选择的密码。
要禁用插件,请使用 ldapmodify
编辑 nsslapd-pluginEnabled
属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=Telephone Syntax,cn=plugins,cn=config changetype: modify replace: nsslapd-pluginEnabled nsslapd-pluginEnabled: off
修改配置条目和属性的限制
修改服务器条目和属性时会应用某些限制:
-
cn=monitor
条目及其子条目为只读且不可修改,但管理 ACI 除外。 -
如果某一属性添加到
cn=config
,则服务器会忽略它。 - 如果为属性输入无效值,服务器会忽略它。
-
由于
ldapdelete
被用来删除整个条目,因此请使用ldapmodify
从条目中删除属性。
配置更改 Requiring Server Restart
在服务器运行时无法更改一些配置属性。在这些情况下,为了使更改生效,需要关闭并重新启动服务器。修改应通过 Directory 服务器控制台或通过手动编辑 dse.ldif
文件进行。下面列出了需要服务器重启的一些属性以使任何更改生效。此列表不详细;查看完整的列表,请运行 ldapsearch
,再搜索 nsslapd-requiresrestart
属性。例如:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
虽然此属性需要重启,但它不会在搜索中返回。
|
删除配置属性
所有核心配置属性都不存在,即使没有在 /etc/dirsrv/slapd-instance-name/dse.ldif
文件中写入,因为它们都具有服务器使用的默认值。
有关删除无法删除的核心配置属性和无法删除的属性列表的详情,请参考 Red Hat Directory Server Administration Guide 中的对应部分。
2.2.2. 数据库文件
每个目录服务器实例都包含用于存储所有 数据库文件的 /var/lib/dirsrv/slapd-实例/db
目录。以下是 /var/lib/dirsrv/slapd-实例/db
目录内容的示例列表。
例 2.1. 数据库目录内容
db.001 db.002 __db.003 DBVERSION log.0000000001 userroot/
-
db.00x
文件 - 由数据库在内部使用,不应以任何方式移动、删除或修改。 -
log.xxxxxxxxxx
files - 用来存储每个数据库的事务日志。 -
DBVERSION
- 用于存储数据库的版本。 -
userroot
- 存储在设置中创建的用户定义的后缀(用户定义的数据库),例如:dc=example,dc=com
。
如果创建新数据库(例如 testRoot
)将目录树存储在新后缀下,则名为 testRoot
的目录也会出现在 /var/lib/dirsrv/slapd-实例/db
目录中。
以下是 用户Root
目录的内容的示例列表。
例 2.2. userroot 数据库目录内容
ancestorid.db DBVERSION entryrdn.db id2entry.db nsuniqueid.db numsubordinates.db objectclass.db parentid.db
userroot
子目录包含以下文件:
-
ancestorid.db
- 包含一个 ID 列表,以查找条目级的 ID。 -
entrydn.db
- 包含用于查找任何 ID 的完整 DN 列表。 -
id2entry.db
- 包含实际的目录数据库条目。如果需要,可以从此重新创建所有其他数据库文件。 -
nsuniqueid.db
- 包含用来找到任何 ID 的唯一 ID 列表。 -
numsubordinates.db
- 包含子条目的 ID。 -
objectClass.db
- 包含具有特定对象类的 ID 列表。 -
parentid.db
- 包含用于查找父 ID 的 ID 列表。
2.2.3. LDIF 文件
LDIF 文件示例存储在 /var/lib/dirsrv/slapd-实例/ldif
目录中以存储 LDIF 相关文件中。例 2.3 “LDIF 目录内容” 列出 /ldif
目录的内容。
例 2.3. LDIF 目录内容
European.ldif Example.ldif Example-roles.ldif Example-views.ldif
-
欧洲.ldif
- 包含欧洲字符样本. -
example.ldif
- 示例 LDIF 文件。 -
example-roles.ldif
- 是类似于Example.ldif
的示例 LDIF 文件,但它使用角色和服务类服务而不是组来为目录管理员设置访问控制和资源限制。
由 db2ldif
或 db2ldif.pl
脚本在实例目录中导出的 LDIF 文件存储在 /var/lib/dirsrv/slapd-实例/ldif
中。
2.2.4. 锁定文件
每个目录服务器实例都包含用于存储锁定相关文件的 /var/lock/dirsrv/slapd-实例
目录。以下是 锁定
目录内容的示例列表。
例 2.4. 锁定目录内容
exports/ imports/ server/
锁定机制控制目录服务器进程可在其中运行多少个副本。例如,如果有一个导入作业,则会将锁定放置在 导入/
目录中,以防止任何其他 ns-slapd
(normal)、ldif2db
(另一个导入)或 db2ldif
(export)操作运行。如果服务器以正常方式运行,则在 server/
目录中有一个锁定,这会阻止导入操作(但不导出操作),而导出操作为导出操作,但 exports/
目录中的锁定允许普通服务器操作,但可防止导入操作。
可用锁定数量可能会影响整个 Directory 服务器性能。锁定数量在 nsslapd-db-locks
属性中设置。调整该值该值会在 性能调优指南中描述。
2.2.5. 日志文件
每个目录服务器实例包含一个用于存储日志文件的 /var/log/dirsrv/slapd-实例
目录。以下是 /logs
目录的内容的示例列表。
例 2.5. 日志目录内容
access access.20200228-171925 errors access.20200221-162824 access.rotationinfo errors.20200221-162824 access.20200223-171949 audit errors.rotationinfo access.20200227-171818 audit.rotationinfo slapd.stats
-
访问
、审计
和错误
日志文件的内容取决于日志配置。 -
slapd.stats
文件是一个内存映射的文件,不能被编辑器读取。它包含 Directory Server SNMP 数据收集组件收集的数据。此数据由 SNMP 子代理读取,以响应 SNMP 属性查询,并告知负责处理 Directory Server SNMP 请求的 SNMP 主代理。
第 7 章 日志文件参考 包含访问、错误和审核日志文件格式及其信息的可靠概述。
2.2.6. PID 文件
当服务器启动并运行时,llaapd-serverID.pid
和 slapd-serverID.startpid
文件会在 /var/run/dirsrv
目录中创建。两个文件都存储服务器的进程 ID。
2.2.7. 备份文件
每个目录服务器实例都包含以下目录和文件来存储与备份相关的文件:
-
/var/lib/dirsrv/slapd-实例/bak
- 包含一个带有 实例、时间和日期的目录,如实例-2020_05_02_16_56_05/
,后者又保存数据库备份副本。 -
/etc/dirsrv/slapd-实例/dse_original.ldif
- 这是安装时dse.ldif
配置文件的一个备份副本。
第 3 章 核心服务器配置参考
本章为所有核心(服务器相关)属性提供字母顺序参考。第 2.2.1.1 节 “Directory 服务器配置概述” 包含有关 Red Hat Directory Server 配置文件的良好概述。
3.1. 核心服务器配置属性参考
本节介绍与核心服务器功能相关的配置属性。有关更改服务器配置的详情,请参考 第 2.2.1.2 节 “访问和修改服务器配置”。有关作为插件实现的服务器功能列表,请参阅 第 4.1 节 “服务器插件功能参考”。为了帮助实施自定义服务器功能,请联络目录服务器支持。
dse.ldif
文件中的配置信息被组织为常规配置条目 cn=config
下的信息树,如下图所示。
图 3.1. 目录信息树显示配置数据
以下部分介绍了其中的大部分配置树节点。
第 4 章 插件实现的服务器功能参考 涵盖了 cn=plugins
节点。每个属性的描述包含其目录条目的 DN、其默认值、有效值及其用法示例。
本章节中描述的一些条目和属性可能会在以后的发行本中有所变化。
3.1.1. cn=config
常规配置条目存储在 cn=config
条目中。cn=config
条目是一个 nsslapdConfig
对象类的实例,它随后从 extensibleObject
对象类继承。
3.1.1.1. nsslapd-accesslog(Access Log)
此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。默认情况下,日志文件中会记录以下信息:
- 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
- 执行的操作(如搜索、添加和修改)。
- 访问的结果(例如,返回条目数或错误代码)。
有关关闭访问的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"一章。
要启用的访问日志,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled
配置属性必须切换到 上的
。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。
属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名。 |
默认值 | /var/log/dirsrv/slapd-instance/access |
语法 | DirectoryString |
示例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level(Access Log Level)
此属性控制日志记录到访问日志的内容。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 0 - 无访问日志 * 4 - 内部访问操作的日志记录 * 256 - 用于连接、操作和结果的日志记录 * 512 - 日志记录以访问一个条目和引用
* 这些值可以一起添加,以提供所需的确切的日志类型;例如, |
默认值 | 256 |
语法 | 整数 |
示例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list(Access Log Files)
此只读属性无法设置,提供访问日志轮转中使用的访问日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)
当设置为 off
时,服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器在负载过重的情况下使用访问日志,而不影响性能。但是,在调试时,有时禁用缓冲以便立即查看操作及其结果,而不必等待日志条目清空至文件。禁用日志缓冲会对负载较大服务器的性能有严重影响。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime(Access Log Expiration Time)
此属性指定在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。该单元由 nsslapd-accesslog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(Access Log Expiration Time unit)
此属性指定 nsslapd-accesslog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | month |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled(Access Log Enable Logging)
禁用并启用 accesslog 日志,但只能与 nsslapd-accesslog
属性结合使用,用于指定记录每个数据库访问的日志的路径和参数。
要启用的访问日志,此属性必须切换到 上的
,并且 nsslapd-accesslog
配置属性必须具有有效的 path 和 参数。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。
属性 | 值 | Enabled 或 Disabled 的日志记录 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)
此属性以 MB 为单位指定访问日志允许消耗的最大磁盘空间量。如果超过这个值,会删除最旧的访问日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许访问日志的磁盘空间没有限制。 |
默认值 | 500 |
语法 | 整数 |
示例 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace(Access Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的访问日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(Access Log Rotation Sync Enabled)
此属性设置是否与当天的特定时间同步访问日志轮转。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使日志轮转与定时天同步,必须使用 nsslapd-accesslog-logrotationsynchour
和 nsslapd-accesslog-logrotationsyncmin
属性值设置为轮转日志的小时和分钟。
例如,若要每天在午夜中轮转日志文件,请通过将其值设置为 on
来启用此属性,然后将 nsslapd-accesslog-logrotationsynchour
和 nsslapd-accesslog-logrotationsync
的值设置为
0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logrotationsync-enabled: |
3.1.1.11. nsslapd-accesslog-logrotationsynchour(Access Log Rotation Sync Hour)
此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enabled
和 nsslapd-accesslog-logrotationsyncmin
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin(Access Log Rotation Sync Minute)
此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enabled
和 nsslapd-accesslog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime(Access Log Rotation Time)
此属性设置访问日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-accesslog-logrotationtimeunit
属性提供。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然不建议指定日志轮转,因为日志已无限期地增长,但有两个方法可以指定这一点。将 nsslapd-accesslog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-accesslog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-accesslog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-accesslog-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.16 节 “nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示访问日志文件轮转之间的时间不受限制。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit(Access Log Rotation Time unit)
此属性设置 nsslapd-accesslog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | day |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize(Access Log Maximum Log Size)
此属性以 MB 为单位设置最大访问日志大小。达到这个值时,访问日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-accesslog-maxlogsperdir
属性被设置为 1
,服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)
此属性设置可在存储访问日志的目录中访问日志的总数。每次对访问日志进行轮转时,都会创建一个新日志文件。当访问日志目录中所含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。出于性能原因,红帽建议 不要将 这个值设置为 1
,因为服务器不会轮转日志,并无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-accesslog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.13 节 “nsslapd-accesslog-logrotationtime(Access Log Rotation Time)”。
请注意,根据 nsslapd-accesslog-logminfreediskspace
和 nsslapd-accesslog-maxlogsize
中设置的值,实际日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir
中配置的内容。例如: 如果 nsslapd-accesslog-maxlogsperdir
使用默认值(10 文件),并且您将 nsslapd-accesslog-logfreediskspace
设置为 500
MB,并且 nsslapd-accesslog-maxlogsize
设为 100
MB,Directory 服务器只保留 5 个访问文件。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 10 |
语法 | 整数 |
示例 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode(Access Log File Permission)
此属性设定了要创建访问日志文件的访问模式或文件权限。有效的值是 000
到 777(
其镜像编号或绝对 UNIX 文件权限)的任意组合。该值必须是 3 位数字,其数字从 0
到 7
的不同:
-
0
- none -
1
- 仅执行 -
2
- 仅写入 -
3
- 写入和执行 -
4
- 只读 -
5
- 读和执行 -
6
- 读和写 -
7
- 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
如果用户试图在没有提供任何绑定 DN 或密码的情况下连接到 Directory 服务器,则这是 匿名绑定。匿名绑定简化了通用搜索和读取操作,例如在不需要用户先向目录进行身份验证的情况下检查电话号码或电子邮件地址的目录。
但是,存在与匿名绑定相关的风险。适当的 ACI 必须就位限制为限制对敏感信息的访问,以及不允许修改和删除等操作。另外,匿名绑定可用于拒绝服务攻击或恶意人员获得对服务器的访问权限。
可以禁用匿名绑定来提高安全性(off)。默认情况下,允许匿名绑定(on)搜索和读取操作。这允许访问 常规目录条目,其中包括用户和组条目以及诸如 root DSE 的配置条目。第三个选项 rootdse
允许匿名搜索和读取访问权限来搜索 root DSE 本身,但限制对所有其他目录条目的访问。
另外,还可使用 nsslapd-anonlimitsdn
属性将资源限值放在匿名绑定中,如 第 3.1.1.22 节 “nsslapd-anonlimitsdn” 所述。
对此值的更改将在服务器重启前生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off | rootdse |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-allow-anonymous-access: |
3.1.1.19. nsslapd-allow-hashed-passwords
这个参数禁用预先哈希的密码检查。默认情况下,目录服务器不允许由 Directory Manager 以外的任何人设置预哈希密码。将这个权限添加到 Password Administrators 组时,您可以将此权限委派给其他用户。然而,在某些情况下,像复制合作伙伴已控制预先哈希的密码检查时,必须在 Directory 服务器上禁用此功能。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
未经身份验证的绑定是连接到 Directory 服务器的连接,用户提供了一个空密码。使用默认设置时,出于安全原因,Directory 服务器拒绝访问。
红帽建议不要启用未经身份验证的绑定。这个验证方法允许用户在不以任何帐户身份提供密码的情况下绑定,包括 Directory Manager。绑定后,用户可以通过用来绑定的帐户的权限访问所有数据。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
对于每个默认,root DSE 列出了 SASL 库支持的所有机制。但是,在某些环境中,只需要某些特定的环境。nsslapd-allowed-sasl-mechanisms
属性可让您只启用某些定义的 SASL 机制。
机制名称必须包含大写字母、数字和下划线。每个机制都可以使用逗号分开,或者有空格。
EXTERNAL
机制实际上没有被任何 SASL 插件使用。它是服务器内部的,主要用于 TLS 客户端身份验证。因此,EXTERNAL
机制无法被限制或控制。无论 nsslapd-allowed-sasl-mechanisms
属性中的内容,它始终出现在支持的机制列表中。
此设置不需要服务器重启才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 SASL 机制 |
默认值 | none(允许的所有 SASL 机制) |
语法 | DirectoryString |
示例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
可以在经过身份验证的绑定上设置资源限制。资源限制可以针对单个操作(nsslapd-sizeLimit
)、一个时间限制(nsslapd-timelimit
)和超时期限(nsslapd-idletimeout
)进行搜索,以及可以搜索的项总数(nsslapd-
idletimeout )。这些资源限制可防止拒绝服务攻击,从而破坏目录服务器并改进整体性能。
在用户条目上设置资源限制。一个匿名绑定,很明显,没有关联用户条目。这意味着资源限制通常不适用于匿名操作。
要为匿名绑定设置资源限值,可以创建模板条目,并具有正确的资源限制。然后,可以添加 nsslapd-anonlimitsdn
配置属性,该属性指向此条目并将资源限制应用到匿名绑定。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 DN |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
此属性允许使用在属性名称中的非标准字符与旧的服务器向后兼容,如 schema 定义的属性中的 "_"。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog(Audit Log)
此属性设置用于记录对每个数据库所做的更改的日志的路径和文件名。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名 |
默认值 | /var/log/dirsrv/slapd-instance/audit |
语法 | DirectoryString |
示例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled
配置属性必须切换到 上的
。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。
dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.25. nsslapd-auditlog-display-attrs
使用 nsslapd-auditlog-display-attrs
属性,您可以设置目录服务器在审计日志中显示的属性,以提供有关要修改的条目的有用识别信息。通过在审计日志中添加属性,您可以检查条目中特定属性的当前状态以及条目更新的详情。
您可以通过选择以下选项之一来显示日志中的属性:
- 要显示 Directory 服务器修改的条目的特定属性,请提供属性名称作为值。
- 要显示多个属性,请将以空格分隔的属性名称列表作为值。
- 要显示条目的所有属性,请使用星号 nologin 作为值。
提供目录服务器必须在审计日志中显示的属性列表,或使用星号 nologin 作为值来显示正在修改的条目的所有属性。
例如,您要将 cn
属性添加到审计日志输出中。当您将 nsslapd-auditlog-display-attrs
属性设置为 cn
时,审计日志会显示以下输出:
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的属性名称。如果要显示审计日志中条目的所有属性,请使用星号。 |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
提供审计日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime(Audit Log Expiration Time)
此属性设置在删除日志文件前允许的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit(Audit Log Expiration 计时器单元)
此属性设置 nsslapd-auditlog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled(Audit Log Enable Logging)
打开和关闭审计日志记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logging-enabled: off |
对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且必须切换到 上的
nsslapd-auditlog-logging-enabled
配置属性。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。
属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace(Audit Log Maximum Disk Space)
此属性设置审计日志允许使用的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的审计日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另请注意,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,各自消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示对审计日志允许的磁盘空间没有限制。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreediskspace(Audit Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled(Audit Log Rotation Sync Enabled)
此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditlog-logrotationsynchour
和 nsslapd-auditlog-logrotationsyncmin
属性值将日志记录设置为当天的小时和分钟。
例如,若要每天在午夜中轮转审计日志文件,请通过将其值设置为 on
来启用此属性,然后将 nsslapd-auditlog-logrotationsynchour
和 nsslapd-auditlog-logrotationsync
的值设置为
0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logrotationsync-enabled: |
3.1.1.33. nsslapd-auditlog-logrotationsynchour(Audit Log Rotation Sync Hour)
此属性设置轮转审计日志的当日小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled
和 nsslapd-auditlog-logrotationsyncmin
属性结合使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 |
none(因为 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin(Audit Log Rotation Sync Minute)
此属性设置轮转审计日志的当天的时间。此属性必须与 nsslapd-auditlog-logrotationsync-enabled
和 nsslapd-auditlog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 |
none(因为 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)
此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logrotationtimeunit
属性提供。如果 nsslapd-auditlog-maxlogsperdir
属性被设置为 1
,则服务器会忽略此属性。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditlog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-auditlog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-auditlog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-auditlog-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.38 节 “nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志文件轮转之间的时间无限。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit(Audit Log Rotation 时区)
此属性设置 nsslapd-auditlog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize(Audit Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditlog-maxlogsperdir
到 1
,服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)
此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次轮转审计日志时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1
日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-auditlog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.35 节 “nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode(Audit Log File Permission)
此属性设置要创建审计日志文件的访问模式或文件权限。有效的值是 000
到 777
的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 0
到 7
的不同数字:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog(Audit Fail Log)
此属性设置用于记录 LDAP 修改的日志的路径和文件名。
如果启用了 nsslapd-auditfaillog-logging-enabled
,并且未设置 nsslapd-auditfaillog
,审计失败事件将记录到 nsslapd-auditlog
中指定的文件。
如果您将 nsslapd-auditfaillog
参数设置为与 nsslapd-auditlog
相同的路径,则两者都会在同一文件中记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名 |
默认值 | /var/log/dirsrv/slapd-instance/audit |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志失败日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled
属性必须设置为 on
3.1.1.41. nsslapd-auditfaillog-list
提供审计失败日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime(Audit Fail Log Expiration Time)
此属性在删除日志文件前设置日志文件的最长期限。它为单元数量提供。指定 nsslapd-auditfaillog-logexpirationtimeunit
属性中的 day、week 和 month 等。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration 计时器单元)
此属性设置 nsslapd-auditfaillog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-enabled(Audit Fail Log Enable Logging)
打开和关闭失败的 LDAP 修改的日志记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail Log Maximum Disk Space)
此属性设定审计日志可以使用的最大磁盘空间量(以 MB 为单位)。如果大小超过限制,会删除最旧的审计日志。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计失败日志的磁盘空间没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace(Audit Fail Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled(Audit Fail Log Rotation Sync Enabled)
此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditfaillog-logrotationsynchour
和 nsslapd-auditfaillog-logrotationsyncmin
属性值将设置为一天的小时和分钟。
例如,要每天在午夜中轮转审计失败的日志文件,通过将其值设置为 nsslapd-auditfaillog-logrotationsynchour,并将 nsslapd-auditfaillog-logrotationsynchour
和 nsslapd-auditfaillog-logrotationmin
属性设置为 0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logrotationsync-enabled: |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour(Audit Fail Log Rotation Sync Hour)
此属性设置审计日志的轮转前一天的小时数。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled
和 nsslapd-auditfaillog-logrotationsyncmin
属性结合使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 |
none(因为 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin(Audit Fail Log Rotation Sync Minute)
此属性设置审计日志的轮转前一分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled
和 nsslapd-auditfaillog-logrotationsynchour
属性结合使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 |
none(因为 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)
此属性设置审计失败日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditfaillog-logrotationtimeunit
属性提供。如果 nsslapd-auditfaillog-maxlogsperdir
属性被设置为 1
,则服务器会忽略此属性。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditfaillog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-auditfaillog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-auditfaillog-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.53 节 “nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志失败日志文件轮转之间的时间无限。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit(Audit Fail Log Rotation Time unit)
此属性设置 nsslapd-auditfaillog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize(Audit Fail Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志的轮转日志。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditfaillog-maxlogsperdir
参数设为 1
,则服务器会忽略此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)
此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次审计日志轮转失败时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1
日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-auditfaillog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.50 节 “nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode(Audit Fail Log File Permission)
此属性设置创建审计失败日志文件的访问模式或文件权限。有效的值是 000
到 777
的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 0
到 7
的不同数字:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir(默认备份目录)
此参数设置到默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。
此设置不需要服务器重启才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何本地目录路径。 |
默认值 | /var/lib/dirsrv/slapd-instance/bak |
语法 | DirectoryString |
示例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir(Certificate 和 Key Database Directory)
此参数定义 Directory 服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。
作为回退,如果服务器无法将其提取到 /tmp/
目录中,目录服务器会将私钥和证书提取到该目录。有关私有命名空间的详情,请查看 systemd.exec(5) man page 中的 PrivateTmp
参数描述。
nsslapd-certdir
中指定的目录必须由服务器的用户 ID 所有,只有该用户 ID 必须在此目录中具有读写权限。出于安全考虑,其他用户都应该拥有读取或写入到此目录的权限。
服务必须重启才能使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 绝对路径 |
默认值 | /etc/dirsrv/slapd-instance_name/ |
语法 | DirectoryString |
示例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn(Certificate Map Search Base)
使用 TLS 证书执行客户端身份验证时,可以使用此属性来避免 /etc/dirsrv/slapd-instance_name/certmap.conf
文件中配置的安全子系统证书映射的限制。根据此文件中的配置,可以使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN,则 nsslapd-certmap-basedn
属性可能会强制搜索在 root 以外的某个条目上基于。此属性的有效值是用于证书映射的后缀或子树的 DN。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 DN |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
这个 read-only 属性是配置 DN。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的配置 DN |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
此参数允许您在 CN 值内启用 DN。
目录服务器 DN 规范化程序为 RFC4514,如果 RDN 属性类型不是基于 DN 语法,则保留空格。但是,Directory 服务器的配置条目有时使用 cn
属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config
, cn
should be normalized with the DN 语法。
如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns
参数。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer
此属性设置连接缓冲行为。可能的值:
-
0
:禁用缓冲。次只读取单一协议数据单位(PDU)。 -
1:
常规固定大小LDAP_SOCKET_IO_BUFFER_SIZE
为512
字节。 -
2:
可以适应的缓冲区大小.
如果客户端一次性发送大量数据,则值 2
会提供更好的性能。例如,大型添加和修改操作的情况,或者在复制期间通过单个连接接收多个异步请求。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 0 | 1 | 2 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
这个选项允许您启用或禁用 SASL NOCANON
标志。禁用 可避免 Directory 服务器为出站连接查找 DNS 反向条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
此属性设置连接表大小,它决定了服务器支持的连接总数。
如果 Directory 服务器拒绝连接,则增加此属性的值,因为它不在连接插槽中。发生这种情况时,Directory 服务器的错误日志文件会记录消息 Not listening for new connection the the new connection the the the many fds open
。
可能需要为启动 Directory 服务器的 shell 中增加打开文件和打开的文件数量的操作系统限制,可能需要增加
。
ulimit
-n
连接表的大小是 nsslapd-maxdescriptor
的 cap。如需更多信息,请参阅 第 3.1.1.119 节 “nsslapd-maxdescriptors(最大文件描述符)”。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 依赖于操作系统 |
默认值 |
Directory 服务器进程可以打开的最大文件数。请参阅 |
语法 | 整数 |
示例 | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters
属性启用和禁用 Directory Server 数据库和服务器性能计数器。
通过跟踪更大的计数器,这可能会对性能产生影响。关闭计数器的 64 位整数可能会对性能产生最小的改进,但会对长期统计跟踪产生负面影响。
默认启用此参数。要禁用计数器,停止 Directory 服务器,直接编辑 dse.ldif
文件,然后重新启动服务器。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
此属性会设置更改序列号(CSN)是否可用后才能登录访问日志。默认情况下打开 CSN 日志记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
此属性为所有配置的命名上下文提供命名上下文,默认情况下客户端默认使用作为搜索基础。这个值作为 defaultNamingContext
属性复制到 root DSE,它允许客户端查询 root DSE 来获取上下文,然后使用适当的基础启动搜索。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何根后缀 DN |
默认值 | 默认用户后缀 |
语法 | DN |
示例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
此属性启用一个线程,它每十(10)秒运行一次,以检查磁盘上的可用磁盘空间或挂载目录服务器数据库运行的位置。如果可用的磁盘空间低于配置的阈值,则服务器开始减少日志级别、禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器会正常关闭(在机和宽限期后)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
在服务器达到 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold” 中设置的一半磁盘空间限制后,将宽限期设置为在关闭服务器前等待。这可让管理员清理磁盘并阻止关闭。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何整数值(以分钟为单位) |
默认值 | 60 |
语法 | 整数 |
示例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
如果日志目录通过磁盘空间限制中设定的一半点 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold”,则设置是否关闭服务器。
如果启用此功能,则不会 禁用日志,且不会 删除轮转的日志,因为减少服务器磁盘用量。服务器只需进入关闭过程。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
如果可用磁盘空间达到 nsslapd-disk-monitoring-threshold
参数中设置的一半值,Directory 服务器会在 nsslapd-disk-monitoring-grace-period
中设置的宽限期后关闭实例。但是,如果磁盘在实例停机之前耗尽空间,则可能会损坏数据。要防止这个问题,请在达到阈值时启用 nsslapd-disk-monitoring-readonly-on-threshold
参数,Directory 服务器将实例设置为只读模式。
使用这个设置,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold
中配置的阈值,Directory 服务器不会启动。
服务必须重启才能使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
设置阈值(以字节为单位),用于评估服务器是否有足够可用磁盘空间。当空间达到这个阈值的一半后,服务器开始关闭进程。
例如,如果阈值是 2MB(默认),那么当可用磁盘空间达到 1MB 后,服务器将开始关闭。
默认情况下,阈值会评估在由 Directory 服务器实例配置、事务和数据库目录使用的磁盘空间上。如果启用了 第 3.1.1.68 节 “nsslapd-disk-monitoring-logging-critical” 属性,则会在评估中包含日志目录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 0 到 32 位整数值(2147483647)) * 0 到 64 位整数值(9223372036854775807) |
默认值 | 2000000 (2MB) |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
第 3.1.1.168 节 “nsslapd-syntaxcheck” 属性可让服务器验证任何新的或修改的属性值是否与那个属性所需的语法匹配。
但是,DN 的语法规则日趋严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用旧语法定义的许多服务器。默认情况下,nsslapd-syntaxcheck
使用 RFC 1779 或 RFC 2253 验证 DN。
根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict
属性明确为 DN 启用严格的语法验证。如果此属性设置为 off
(默认值),服务器会在检查语法违反前对值进行规范化。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
使 cn=schema
与 Directory Server 的 4.x 版本兼容。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server turbo 模式是一个功能,它允许 worker 线程专用于连接,并持续从那个连接读取传入的操作。这可以提高对非常活跃连接的性能,且功能默认是启用的。
Worker 线程处理服务器接收的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber
参数中定义。每 5 秒,每个 worker 线程评估其当前连接的活动级别是所有已建立的连接的最高值之一。目录服务器测量活动,作为自上检查开始的操作数量,并在当前连接的活动是最高状态时,将 worker 线程切换为 turbo 模式。
如果您遇到较长的执行时间(日志文件中的etime
值)用于绑定操作,如一秒或更长时间,取消激活 turbo 模式可以提高性能。然而,在有些情况下,绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
在简单的绑定过程中,Directory 服务器由于绑定操作的性质可以访问纯文本密码。如果启用了 nsslapd-enable-upgrade-hash
参数,且用户进行身份验证,Directory 服务器会检查用户的 userPassword
属性是否使用了 passwordStorageScheme
属性中设置的哈希算法。如果算法不同,服务器会将纯文本密码与来自 passwordStorageScheme
的算法哈希,并更新用户 userPassword
属性的值。
例如,如果您导入使用弱算法进行哈希的用户条目,服务器会自动使用 passwordStorageScheme
中设置的算法在用户在第一次登录时重新哈希密码,即 PBKDF2_SHA256
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc(启用 Superior 对象类 Enquoting)
此属性已弃用,并将在以后的 Directory Server 版本中删除。
此属性控制 cn=schema
条目中包含的 objectclass
属性中的引用是否符合互联网草案 RFC 2252 指定的引用。默认情况下,Directory 服务器符合 RFC 2252,这表示这个值不应加引号。在 上只有非常旧的客户端需要将此值设置为
,因此请将它保留为 off
。
在 或 off 上打开此属性不会影响 Directory Server 控制台。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global
参数定义了 USN 插件在所有后端数据库或单独为每个数据库分配唯一的更新序列数字(USN)。对于所有后端数据库的唯一 USN,请在 上
将此参数设置为。
详情请查看 第 6.8 节 “entryusn”。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
当条目从一个服务器导出并导入到另一个服务器时,条目更新序列号(USN)不会被保留,包括在初始化用于复制的数据库时。默认情况下,导入的条目的条目 USN 被设置为零。
可以使用 nsslapd-entryusn-import-initval
为条目 USN 配置不同的初始值。这将设置一个起始 USN,用于所有导入的条目。
nsslapd-entryusn-import-initval
有两个可能的值:
- 整数,这是每个导入条目使用的显式起始号。
- 接下来,这意味着每个导入条目都使用在导入操作前在服务器上使用任意最高条目 USN 值,并递增一次。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何整数 | 旁边 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog(错误日志)
此属性设置用于记录 Directory 服务器生成的错误消息的日志的路径和文件名。这些信息可能会描述错误条件,但更频繁地包含参考条件,例如:
- 服务器启动和关闭时间。
- 服务器使用的端口号。
根据 Log Level 属性的当前设置,此日志包含不同数量的信息。如需更多信息,请参阅 第 3.1.1.79 节 “nsslapd-errorlog-level(错误日志级别)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名 |
默认值 | /var/log/dirsrv/slapd-instance/errors |
语法 | DirectoryString |
示例 | nsslapd-errorlog: /var/log/dirsrv/slapd-实例/errors |
要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled
配置属性必须切换到 上的
。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用错误日志记录方面的结果。
dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空字符串 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | Enabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空字符串 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
3.1.1.79. nsslapd-errorlog-level(错误日志级别)
此属性设置 Directory 服务器的日志记录级别。日志级别是可添加的;即,指定值 3
包含了级别 1
和 2
。
nsslapd-errorlog-level
的默认值为 16384
。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 1 - 跟踪功能调用。当服务器进入并退出功能时,记录一条消息。 * 2 - 调试数据包处理。 * 4 - 大量追踪输出调试。 * 8 - 连接管理。 * 16 - 显示发送/收到的数据包。 * 32 - 搜索过滤器处理。 * 64 - 配置文件处理。 * 128 - 访问控制列表处理。 * 1024 - 使用 shell 数据库的日志通信。 * 2048 - 日志条目解析调试。 * 4096 - 内部处理线程调试。 * 8192 - 复制调试。 * 16384 - 默认日志记录级别,用于始终写入错误的其他消息,如服务器启动消息。无论日志级别的设置是什么,此级别的消息始终包含在错误日志中。 * 32768 - 数据库缓存调试。
* 65536 - 服务器插件调试。当服务器插件调用
* 262144 - 访问控制概述信息,比级别 * 524288 - LMDB 数据库调试。 |
默认值 | 16384 |
语法 | 整数 |
示例 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
这个 read-only 属性提供错误日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime(Error Log Expiration Time)
此属性设置在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit(错误日志过期时间单元)
此属性设置 nsslapd-errorlog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | month |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled(启用 Error Logging)
打开和关闭错误记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace(Error Log Maximum Disk Space)
此属性设置允许消耗错误日志的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的错误日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许错误日志的磁盘空间没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace(Error Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的错误日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled(Error Log Rotation Sync Enabled)
此属性会设置错误日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要与天同步的错误日志轮转,必须使用 nsslapd-errorlog-logrotationsynchour
和 nsslapd-errorlog-logrotationsyncmin
属性值设置为轮转日志文件的小时和分钟(分钟)启用。
例如,要在 中每天轮转错误日志文件,通过将其值设置为,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsynchour
和 nsslapd-errorlog-logrotationmin
属性设置为 0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logrotationsync-enabled: |
3.1.1.87. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)
此属性设置当天轮转错误日志的小时数。此属性必须与 nsslapd-errorlog-logrotationsync-enabled
和 nsslapd-errorlog-logrotationsyncmin
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)
此属性设置当天轮转错误日志的时间。此属性必须与 nsslapd-errorlog-logrotationsync-enabled
和 nsslapd-errorlog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime(错误日志轮转时间)
此属性设置错误日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logrotationtimeunit
(Error Log Rotation Time Unit)属性指定。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-errorlog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-errorlog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-errorlog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-error-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.92 节 “nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示错误日志文件轮转之间的时间无限。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time unit)
此属性设置 nsslapd-errorlog-logrotationtime
(Error Log Rotation Time)的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize(最大错误日志大小)
此属性以 MB 为单位设置最大错误日志大小。达到这个值时,错误日志会被轮转,服务器开始将日志信息写入新日志文件中。如果 nsslapd-errorlog-maxlogsperdir
设置为 1
,则服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)
此属性设置可在存储错误日志的目录中包含的错误日志总数。每次轮转错误日志时,都会创建一个新日志文件。当错误日志目录中包含的文件数量超过此属性所存储的值时,会删除最旧的日志文件版本。默认值为 1
日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-errorlog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.89 节 “nsslapd-errorlog-logrotationtime(错误日志轮转时间)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode(Error Log File Permission)
此属性设置了创建错误日志文件的访问模式或文件权限。有效的值是 000
到 777
的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,数字从 0
到 7
的不同:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
在建立 TLS 连接时,客户端首先发送其证书,然后使用 SASL/EXTERNAL 机制向 BIND 请求发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭据用于 TLS 握手。但是,有些客户端在发送 BIND 请求时不使用 SASL/EXTERNAL,因此目录服务器以简单的身份验证请求或匿名请求形式处理绑定,并且 TLS 连接会失败。
nsslapd-force-sasl-external
属性强制使用基于证书的验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | 字符串 |
示例 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
此属性已弃用,在此处记录仅用于历史目的。
Access Control Plug-in 不使用 nsslapd-groupevalnestlevel
属性指定的值,以设置用于组评估时访问控制执行的嵌套级别数量。相反,嵌套的级别数量被硬编码为 5
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 5 |
默认值 | 5 |
语法 | 整数 |
示例 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-haproxy-trusted-ip (HAProxy Trusted IP)
nsslapd-haproxy-trusted-ip
属性配置可信代理服务器列表。设置 nsslapd-haproxy-trusted-ip
时,目录服务器使用 HAProxy 协议通过额外的 TCP 标头接收客户端 IP 地址,以正确评估访问控制指令(ACI)并记录客户端流量。
如果一个不信任的代理服务器发起了一个绑定请求,目录服务器会拒绝请求,并将以下信息记录到错误日志文件中:
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | IPv4 或 IPv6 地址 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-haproxy-trusted-ip: 127.0.0.1 |
3.1.1.97. nsslapd-idletimeout(默认 Idle Timeout)
此属性以秒为单位设定了服务器关闭闲置 LDAP 客户端连接的时间长度(以秒为单位)。值为 0
表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当连接表时,当 poll()
不会返回零时,闲置超时会强制使用。因此,具有单一连接的服务器不会强制实施闲置超时。
使用 nsIdleTimeout
操作属性(可添加到用户条目中)覆盖分配给此属性的值。详情请参阅 Red Hat Directory Server Administration Guide 中的"基于绑定 DN 设置资源限制"一节。
对于非常大的数据库,使用数百万条目时,该属性必须具有足够高的值,在线初始化过程可以完成或复制,在连接到服务器的连接超时时会失败。另外,还可在用作供应商绑定 DN 的条目上将 nsIdleTimeout
属性设为 high 值。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到最大 32 位整数值(2147483647) |
默认值 | 3600 |
语法 | 整数 |
示例 | nsslapd-idletimeout: 3600 |
3.1.1.98. nsslapd-ignore-virtual-attrs
此参数允许在搜索条目中禁用虚拟属性查找。
如果不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ignore-virtual-attrs: off |
3.1.1.99. nsslapd-instancedir(Instance Directory)
此属性已弃用。现在,有针对实例专用路径的配置参数,如 nsslapd-certdir
和 nsslapd-lockdir
。有关设置的具体目录路径,请参阅相关文档。
3.1.1.100. nsslapd-ioblocktimeout(IO Block Time Out)
此属性以秒为单位设定连接被停止的 LDAP 客户端的时间长度(以毫秒为单位)。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到最大 32 位整数值(2147483647) |
默认值 | 10000 |
语法 | 整数 |
示例 | nsslapd-ioblocktimeout: 10000 |
3.1.1.101. nsslapd-lastmod(Track Modification Time)
此属性设置 Directory 服务器是否维护 创建者名称
、createTimestamp
、ScottsName
以及修改Timestamp
操作属性(针对新创建或更新的条目)。
红帽建议不要禁用跟踪这些属性。如果禁用,条目不会在 nsUniqueID
属性中分配唯一 ID,而复制不起作用。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-lastmod: on |
3.1.1.102. nsslapd-ldapiautobind(Enable Autobind)
nsslapd-ldapiautobind
会设置服务器是否允许用户使用 LDAPI 自动绑定到 Directory 服务器。Autobind 将系统用户的 UID 或 GUID 号映射到 Directory Server 用户,并根据这些凭证自动验证用户到目录服务器。Directory 服务器连接发生于 UNIX 套接字。
除了启用 autobind 外,配置 autobind 还需要配置映射条目。nsslapd-ldapimaprootdn
将系统上的 root 用户映射到 Directory Manager。nsslapd-ldapimaptoen
尝试根据 nsslapd-ldapientry type、nsslapd-ldapientry
searchbase 属性和
属性中定义的参数,将常规用户映射到 Directory Server 用户。
nsslapd-ldapientry
searchbase
Autobind 只能在 LDAPI 已启用时启用 Autobind,即 nsslapd-ldapilisten
位于 nsslapd-ldapifilepath 属性,并且将 nsslapd-ldapifilepath
属性设置为 LDAPI 套接字。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ldapiautobind: off |
3.1.1.103. nsslapd-ldapientrysearchbase(搜索 Base for LDAPI Authentication Entries)
使用 autobind 时,可以根据系统用户的 UID 和 GUID 号将系统用户映射到 Directory Server 用户条目。这需要设置 Directory Server 参数,用于 UID 号(nsslapd-ldapiuidnumbertype
)和 GUID 号(nsslapd-ldapigidnumbertype
),并设置搜索基础来搜索匹配的用户条目。
nsslapd-ldapientrysearchbase
可使子树搜索用于 autobind 的用户条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | DN |
默认值 |
创建服务器实例时创建的后缀,如 |
语法 | DN |
示例 | nsslapd-ldapientrysearchbase: ou=body,dc=example,dc=om |
3.1.1.104. nsslapd-ldapifilepath( LDAPI 套接字的文件位置)
LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI,服务器必须配置为通过 UNIX 套接字通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath
属性中设置。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何目录路径 |
默认值 | /var/run/dirsrv/slapd-example.socket |
语法 | case-exact 字符串 |
示例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.105. nsslapd-ldapigidnumbertype(System GUID Number 的Attribute 映射)
可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory Server 用户以进行身份验证,系统用户的 UID 和 GUID 号应映射到 Directory Server 属性。nsslapd-ldapigidnumbertype
属性指向 Directory Server 属性,以将系统 GUID 映射到用户条目。
如果启用了 LDAPI(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)、autobind is enabled(nsslapd-ldapiautobind
),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries
)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 Directory Server 属性 |
默认值 | gidNumber |
语法 | DirectoryString |
示例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.106. nsslapd-ldapilisten(Enable LDAPI)
nsslapd-ldapilisten
启用到 Directory 服务器的 LDAPI 连接。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了通过在 nsslapd-ldapifilepath
属性中,将 nsslapd-ldapilisten
设置为,还必须为 LDAPI 设置 UNIX 套接字。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-ldapilisten: on |
3.1.1.107. nsslapd-ldapimaprootdn(Autobind Mapping for Root User)
使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。
root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn
属性中指定的任何 Directory Server 条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 DN |
默认值 | cn=Directory Manager |
语法 | DN |
示例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.108. nsslapd-ldapimaptoentries(为普通用户启用自动绑定映射)
使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。这个映射是 root 用户自动的,但必须通过 nsslapd-ldapimaptoentries
属性为常规用户启用它。将此属性设置为 on
可启用常规系统用户到 Directory Server 条目的映射。如果没有启用此属性,则只有 root 用户才能使用 autobind 向 Directory 服务器进行身份验证,所有其他用户匿名连接。
映射本身通过 nsslapd-ldapiuidnumbertype
和 nsslapd-ldapigidnumbertype
属性进行配置,它会将目录服务器属性映射到用户的 UID 和 GUID 编号。
如果启用了 LDAPI(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)并且 autobind 被启用,则用户只能通过 autobind
连接到服务器。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ldapimaptoentries: on |
3.1.1.109. nsslapd-ldapiuidnumbertype
可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory 服务器用户以进行身份验证,系统用户的 UID 和 GUID 数字必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype
属性指向 Directory Server 属性,以将系统 UID 映射到用户条目。
如果启用了 LDAPI(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)、autobind is enabled(nsslapd-ldapiautobind
),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries
)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 Directory Server 属性 |
默认值 | uidNumber |
语法 | DirectoryString |
示例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.110. nsslapd-ldifdir
在使用 db2ldif 或
时,目录服务器以 LDAP Data Interchange Format(LDIF)格式将文件导出到此参数中设置的目录中。目录必须由 Directory Server 用户和组所有。只有这个用户和组必须在这个目录中具有读写权限。
db2ldif
.pl
服务必须重启才能使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | Directory Server 用户可写入的任何目录 |
默认值 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
语法 | DirectoryString |
示例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.111. nsslapd-listen-backlog-size
此属性设置套接字连接 backlog 的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 最高 64 位整数值(9223372036854775807) |
默认值 | 128 |
语法 | 整数 |
示例 | nsslapd-listen-backlog-size: 128 |
3.1.1.112. nsslapd-listenhost(Listen to IP Address)
此属性允许多个 Directory 服务器实例在多设备计算机上运行(或者可以将其限制为多个homed 计算机的一个接口)。可以有多个与一个 hos tname 关联的 IP 地址,这些 IP 地址可以同时是 IPv4 和 IPv6。此参数可用于将 Directory 服务器实例限制为一个 IP 接口。
如果主机名以 nsslapd-listenhost
值形式提供,则 Directory 服务器会响应与主机名关联的每个接口的请求。如果为单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost
值,则 Directory 服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何本地主机名、IPv4 或 IPv6 地址 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-listenhost: ldap.example.com |
3.1.1.113. nsslapd-localhost(本地主机)
此属性指定 Directory 服务器运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障转移节点的高可用性配置中,引用应该指向集群的虚拟机名称,而不是本地主机名。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何完全限定主机名。 |
默认值 | 安装的机器的主机名。 |
语法 | DirectoryString |
示例 | nsslapd-localhost: phonebook.example.com |
3.1.1.114. nsslapd-localuser(本地用户)
此属性将运行 Directory 服务器的用户设置为运行。用户运行的组通过检查用户的主组从此属性派生而来。用户应更改,然后使用 chown
等工具将这个实例的所有文件和目录更改为归新用户所有。
nsslapd-localuser
的值在配置了服务器实例时首先设置。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的用户 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-localuser: dirsrv |
3.1.1.115. nsslapd-lockdir(服务器锁定文件目录)
这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-实例
。对此值的更改将在服务器重启前生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 指向由服务器用户 ID 拥有且对服务器 ID 的写入权限的绝对路径 |
默认值 | /var/lock/dirsrv/slapd-instance |
语法 | DirectoryString |
示例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-实例 |
3.1.1.116. nsslapd-localssf
nsslapd-localssf
参数为 LDAPI 连接设置安全强度因数(SSF)。只有在 nsslapd-localsf 中设置的值大于或等于
参数中设置的值时,目录服务器才会允许 LDAPI 连接。因此,LDAPI 连接会满足 nsslapd-minssf
nsslapd-minssf
中最小 SSF 设置。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 0 到最大 32 位整数值(2147483647) |
默认值 | 71 |
语法 | 整数 |
示例 | nsslapd-localssf: 71 |
3.1.1.117. nsslapd-logging-hr-timestamps-enabled(启用或禁用高分辨率日志 Timestamps)
控制日志是否使用高分辨率时间戳,以精确度为纳秒,或者采用一秒精确的标准分辨率时间戳。默认启用此选项。将此选项设置为 off
,将日志时间戳恢复为一秒的精度。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 |
|
默认值 |
|
语法 | DirectoryString |
示例 | nsslapd-logging-hr-timestamps-enabled: |
3.1.1.118. nsslapd-maxbersize(最大消息大小)
定义传入消息允许的最大大小,以字节为单位。这将限制由 Directory 服务器处理的 LDAP 请求的大小。限制请求大小可防止某种形式拒绝服务攻击。
限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。
此设置不需要服务器重启才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 2GB(2,147,483,647 字节)
零 |
默认值 | 2097152 |
语法 | 整数 |
示例 | nsslapd-maxbersize: 2097152 |
3.1.1.119. nsslapd-maxdescriptors(最大文件描述符)
此属性设置 Directory 服务器尝试使用的最大、平台相关的文件描述符。每当客户端连接到服务器时,会使用文件描述符。访问日志、错误日志、数据库文件(索引和事务日志)以及到其他服务器的套接字(用于复制和链)也使用文件描述符。
用于提供客户端连接的 TCP/IP 可用描述符数由 nsslapd-conntablesize
属性决定。这个属性的默认值被设置为文件描述符软限制,默认值为 1024。但是,如果您手动配置此属性,服务器会更新进程文件描述符软限制以匹配。
如果这个值设置得太高,Directory 服务器会查询操作系统以获取最大允许值,然后使用该值。它还会在错误日志中记录信息。如果此值远程设置为无效值,使用 Directory Server Console 或 ldapmodify
,服务器会拒绝新值,保留旧值,并出现错误。
有些操作系统允许用户配置可供进程使用的文件描述符数。有关文件描述符限制和配置的详情,请查看操作系统文档。可以使用 dsktune
程序(在 Red Hat Directory Server 安装指南中介绍)来推荐系统内核或 TCP/IP 调整属性的更改,包括根据需要增加文件描述符数量。如果 Directory 服务器拒绝连接,则这个属性的值会增加,因为它没有文件描述符。当发生这种情况时,以下信息会写入 Directory Server 的错误日志文件中:
Not listening for new connections -- too many fds open
有关增加进入连接数量的更多信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
UNIX shell 通常对文件描述符的数量具有可配置的限制。有关 限制和
ulimit
的更多信息,请参阅操作系统文档,因为这些限制通常会导致问题。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到 65535 |
默认值 | 4096 |
语法 | 整数 |
示例 | nsslapd-maxdescriptors: 4096 |
3.1.1.120. nsslapd-maxsasliosize(最大 SASL 数据包大小)
当用户通过 SASL GSS-API 对 Directory 服务器进行身份验证时,服务器必须根据客户端请求的内存数量来为客户端分配一定内存量来执行 LDAP 操作。攻击者可以发送一个大型数据包的大小,导致 Directory 服务器崩溃或者将其作为拒绝服务攻击的一部分会被无限期地绑定。
可使用 nsslapd-maxsasliosize
属性限制 Directory 服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大允许 SASL IO 数据包大小。
当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize
限制时,服务器会立即断开客户端并将消息记录到错误日志,因此管理员可以在必要时调整设置。
此属性值以字节为单位指定。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | * -1(无限)到 32 位系统中最大 32 位整数值(2147483647) * -1(无限)到 64 位系统中的最多 64 位整数值(9223372036854775807) |
默认值 | 2097152 (2MB) |
语法 | 整数 |
示例 | nsslapd-maxsasliosize: 2097152 |
3.1.1.121. nsslapd-maxthreadsperconn(每个连接的最大线程数)
定义连接应使用的最大线程数。对于客户端绑定并且仅在 unbinding 前执行一两个操作的一个正常操作,请使用默认值。对于客户端绑定和同时发出许多请求的情况,请增加这个值,从而使每个连接有足够的资源执行所有操作。此属性在服务器控制台上不可用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1,最大线程数 |
默认值 | 5 |
语法 | 整数 |
示例 | nsslapd-maxthreadsperconn: 5 |
3.1.1.122. nsslapd-minssf
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。nsslapd-minssf
属性设置到服务器的任何连接的最小 SSF 要求;任何比最小 SSF 弱的连接尝试都会被拒绝。
TLS 和 SASL 连接可以在与 Directory 服务器的连接中混合使用。这些连接通常有不同的 SSF。两个 SSFs 的使用高于最低 SSF 要求。
将 SSF 值设置为 0 表示没有最小设置。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何正整数 |
默认值 | 0(off) |
语法 | DirectoryString |
示例 | nsslapd-minssf: 128 |
3.1.1.123. nsslapd-minssf-exclude-rootdse
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。
nsslapd-minssf-exclude-rootdse
属性可为任何与服务器的连接设置最低 SSF 要求,除了查询 root DSE 之外。这会对大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取服务器配置所需的信息,而无需首先建立安全连接。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何正整数 |
默认值 | 0(off) |
语法 | DirectoryString |
示例 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.124. nsslapd-moddn-aci
此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-moddn-aci: on |
3.1.1.125. nsslapd-malloc-mmap-threshold
如果使用 systemctl
实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/
服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv
-name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_MMAP_THRESHOLD
环境变量,nsslapd-malloc-mmap-threshold
参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_MMAP_THRESHOLD
参数描述。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 33554432 |
默认值 |
请参阅 mallopt(3)man page 中的 |
语法 | 整数 |
示例 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.126. nsslapd-malloc-mxfast
如果使用 systemctl
实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/
服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv
-name 文件中设置环境变量,否则不会将环境变量传递给
通过编辑服务文件来设置 M_MXFAST
环境变量,nsslapd-malloc-mxfast
参数可让您在 Directory 服务器配置中设置值。详情请查看 mallopt(3)man page 中的 M_MXFAST
参数描述。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 80 * (sizeof(size_t) / 4) |
默认值 |
请参阅 mallopt(3)man page 中的 |
语法 | 整数 |
示例 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.127. nsslapd-malloc-trim-threshold
如果使用 systemctl
实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/
服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv
-name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_TRIM_THRESHOLD
环境变量,nsslapd-malloc-trim-threshold
参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_TRIM_THRESHOLD
参数描述。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 2^31-1 |
默认值 |
请参阅 mallopt(3)man page 中的 |
语法 | 整数 |
示例 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.128. nsslapd-nagle
当此属性的值 关闭时
,将设置 TCP_NODELAY
选项,以便 LDAP 响应(如条目或结果消息)立即发送到客户端。当属性打开时,会应用默认 TCP 行为;特别是,发送数据会被延迟,以便将其他数据分组到底层网络 MTU 大小的一个数据包中,通常为以太网的 1500 字节。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-nagle: off |
3.1.1.129. nsslapd-ndn-cache-enabled
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled
参数,目录服务器在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size
参数,以设置此缓存的最大大小。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-ndn-cache-enabled: on |
3.1.1.130. nsslapd-ndn-cache-max-size
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled
参数,目录服务器在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size
参数设置这个缓存的最大大小。
如果请求的 DN 尚未缓存,则它会被规范化并添加。当超过缓存大小限制时,目录服务器会从缓存中删除最近使用的 10,000 DN。但是,最小 10,000 DN 总是被缓存。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 0 到最大 32 位整数值(2147483647) |
默认值 | 20971520 |
语法 | 整数 |
示例 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.131. nsslapd-outbound-ldap-io-timeout
此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000
毫秒(5 分钟)。值为 0
表示服务器不会对 I/O 等待时间施加限制。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到最大 32 位整数值(2147483647) |
默认值 | 300000 |
语法 | DirectoryString |
示例 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.132. nsslapd-pagedsizelimit(为 Simple Paged Results Searches 为限制)
此属性设置从 专门使用简单页结果控制的 搜索操作返回的最大条目数。这会覆盖页面搜索的 nsslapd-sizelimit
属性。
如果将此值设置为零,则使用 nsslapd-sizelimit
属性来分页搜索以及非页面搜索。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) |
默认值 | |
语法 | 整数 |
示例 | nsslapd-pagedsizelimit: 10000 |
3.1.1.133. nsslapd-plug-in
此只读属性列出了由服务器加载的语法和匹配规则插件的插件条目的 DN。
3.1.1.134. nsslapd-plugin-binddn-tracking
设置用作条目修饰符的绑定 DN,即使操作本身是由服务器插件启动的。执行该操作的特定插件列在单独的操作属性 internalModifiersname
中。
个更改可以触发目录树中的其他自动更改。当删除某个用户时,例如,该用户将自动从它所属的任何组中删除。用户的初始删除是由绑定到服务器的任何用户帐户执行的,但由插件执行的组更新(默认)将显示为由插件执行,没有有关用户启动更新的信息。nsslapd-plugin-binddn-tracking
属性允许服务器跟踪哪个用户源自于更新操作,以及实际执行它的内部插件。例如:
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
此属性默认为禁用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-plugin-binddn-tracking: on |
3.1.1.135. nsslapd-plugin-logging
默认情况下,即使访问日志被设置为记录内部操作,在访问日志文件中不会记录插件内部操作。您可以使用此参数在各个插件配置中启用日志,而不必在全局范围内控制它。
启用后,插件使用此全局设置,如果已启用,则日志访问和审计事件。
如果启用了 nsslapd-plugin-logging
,并将 nsslapd-accesslog-level
设置为记录内部操作,未索引搜索和其他内部操作会记录到访问日志文件中。
如果没有设置 nsslapd-plugin-logging
,则来自插件的未索引搜索仍会在 Directory Server 错误日志中记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-plugin-logging: off |
3.1.1.136. nsslapd-port(端口号)
此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS,请使用 Start TLS 扩展操作。这个所选端口必须在主机系统中唯一;确保其他应用程序没有使用相同的端口号。指定端口号小于 1024
表示目录服务器必须作为 root
启动。
服务器在启动后将其 nsslapd-localuser 值设置为 nsslapd-localuser
值。更改配置目录的端口号时,必须更新配置目录中的对应服务器实例条目。
必须重新启动服务器,以便更改要考虑的端口号。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 65535 |
默认值 | 389 |
语法 | 整数 |
示例 | nsslapd-port: 389 |
如果启用了 LDAPS 端口,则将
端口号设为 0( 0)以禁用 LDAP 端口。
3.1.1.137. nsslapd-privatenamespaces
这个 read-only 属性包含专用命名上下文 cn=config
、cn=schema
和 cn=monitor
的列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | cn=config, cn=schema 和 cn=monitor |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-privatenamespaces: cn=config |
3.1.1.138. nsslapd-pwpolicy-inherit-global(继承全局密码语法)
如果没有设置细粒度密码语法,则不会检查新的或更新的密码,即使配置了全局密码语法。要继承全局精细的密码语法,可在 上
将此属性设置为。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-pwpolicy-inherit-global: off |
3.1.1.139. nsslapd-pwpolicy-local(启用子树和用户级密码策略)
开启和关闭精细(subtree- 和 user-level)密码策略。
如果此属性的值为 off
,则目录中所有条目( cn=Directory Manager
除外)都受到全局密码策略;服务器会忽略任何定义的子树/用户级别密码策略。
如果此属性的值在 上
,服务器会检查子树和用户级别的密码策略,并强制这些策略。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-pwpolicy-local: off |
3.1.1.140. nsslapd-readonly(只读)
此属性会设置整个服务器是否处于只读模式,这意味着无法修改数据库中的数据或配置信息。任何以只读模式修改数据库都会返回一个错误,表示服务器不符来执行操作。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-readonly: off |
3.1.1.141. nsslapd-referral(Referral)
这个多值属性指定当服务器收到不属于本地树的条目请求时返回的 LDAP URL;即后缀的条目与任何后缀属性中指定的值不匹配。例如,假设服务器只包含条目:
ou=People,dc=example,dc=com
但是,请求针对这个条目:
ou=Groups,dc=example,dc=com
在这种情况下,引用程序将试图使 LDAP 客户端找到包含所需条目的服务器。虽然每个目录服务器实例只允许一个引用,但这种引用可以有多个值。
要使用 TLS 通信,引用属性应该采用 ldaps://
server-location 的形式。
启动 TLS 不支持引用。
有关管理引用的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"配置目录数据库"一章。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 LDAP URL |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.142. nsslapd-referralmode(Referral Mode)
设置后,此属性会在任何后缀上发送任何请求的引用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 LDAP URL |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.143. nsslapd-require-secure-binds
此参数要求用户通过受保护的连接(如 TLS、StartTLS 或 SASL)而不是常规连接对目录进行身份验证。
这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成,即使打开了 nsslapd-require-secure-binds
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-require-secure-binds: on |
3.1.1.144. nsslapd-requiresrestart
此参数列出了修改后重启服务器的其他核心配置属性。这意味着,如果 nsslapd-requiresrestart
中列出的任何属性已更改,新设置将在服务器重启后才会生效。可以在 ldapsearch
中返回属性列表:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
此属性为多值。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何核心服务器配置属性 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-requiresrestart: nsslapd-cachesize |
3.1.1.145. nsslapd-reservedescriptors(保留文件描述符)
此属性指定 Directory 服务器为管理非客户端连接(如索引管理和管理复制)保留的文件描述符数量。服务器为此目的保留的文件描述符数量从可用于服务 LDAP 客户端连接的文件描述符总数中减去(See 第 3.1.1.119 节 “nsslapd-maxdescriptors(最大文件描述符)”)。
目录服务器的大部分安装应该不需要更改此属性。但是,如果以下所有情况都为 true,请考虑增加此属性中的值:
- 服务器被复制到大量消费者服务器(超过 10),或者服务器维护大量的索引文件(超过 30 个)。
- 服务器为大量 LDAP 连接提供服务。
- 错误消息会报告服务器无法打开文件描述符(实际错误消息因服务器试图执行的操作而异),但这些错误消息与管理客户端 LDAP 连接 无关。
增加此属性的值可能会导致更多的 LDAP 客户端无法访问该目录。因此,这个属性中的值会被增加,也会增加 nsslapd-maxdescriptors
属性中的值。如果服务器已经使用操作系统允许进程的最大文件描述符数,则无法增大 nsslapd-maxdescriptors
值;详情请查看操作系统文档。如果出现这种情况,则会导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。有关传入连接文件描述符使用情况的信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
要协助计算为此属性设定的文件描述符数量,请使用以下公式:
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
- NldbmBackends 是 ldbm 数据库的数量。
- NglobalIndex 是所有数据库配置的索引总数,包括系统索引。(默认情况下,每个数据库有 8 个系统索引和 17 个额外索引)。
- ReplicationDescriptor 是 8(8),以及可以充当供应商或中心(NSupplierReplica)的服务器中的副本数。
-
ChainingBackendDescriptors 是 nsOperationConnectionsLimit (默认链或数据库链路配置属性)的 NchainingBackend times。
-
如果配置了 PTA,则 PTA 描述符 为
3
;如果没有配置 PTA,则0
0。 -
如果配置了 TLS 和
0,
则 SSLDescriptors 是5(
4 个文件 + 1 侦听套接字)。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到 65535 |
默认值 | 64 |
语法 | 整数 |
示例 | nsslapd-reservedescriptors: 64 |
3.1.1.146. nsslapd-re return-exact-case(Re return Exact Case)
返回客户端请求的属性类型名称的确切情况。虽然与 LDAPv3 兼容的客户端必须忽略属性名称,但有些客户端应用程序需要属性的名称与在 Directory 服务器返回属性时所列出的属性完全匹配。但是,大多数客户端应用会忽略属性的大小写;因此,此属性被禁用。不要修改它,除非有旧客户端可以检查从服务器返回的属性名称的情况。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-re return-exact-case: off |
3.1.1.147. nsslapd-rewrite-rfc1274
此属性已弃用,并将在以后的版本中删除。
此属性仅适用于需要使用其 RFC 1274 名称返回属性类型的 LDAPv2 客户端。为这些客户端将 值设置为 上的
。默认为 off
。
3.1.1.148. nsslapd-rootdn(管理器 DN)
此属性设置条目的可分辨名称(DN),这些条目不受访问控制限制、对该目录操作的管理限制或一般的资源限值。不必是与此 DN 对应的条目,默认情况下没有此 DN 的条目,因此可以接受 cn=Directory Manager
等值。
有关更改根 DN 的详情,请参考 Red Hat Directory Server Administration Guide 中的"创建目录条目"章节。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的可识别名称 |
默认值 | |
语法 | DN |
示例 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.149. nsslapd-rootpw(Root Password)
此属性设置与 Manager DN 关联的密码。提供 root 密码后,它会根据为 nsslapd-rootpwstoragescheme
属性选择的加密方法进行加密。从服务器控制台查看时,此属性显示值 *
。从 dse.ldif
文件中查看时,此属性显示加密方法后跟密码的加密字符串。示例中显示了在 dse.ldif
文件中显示的密码,而不是实际密码。
在服务器设置中配置根 DN 时,需要一个 root 密码。但是,可以通过直接编辑 文件,从 dse.ldif
中删除 root 密码。在这种情况下,根 DN 只能获得对目录的相同访问权限,以进行匿名访问。当为数据库配置了 root DN 时,请务必确保在 dse.
conf 中定义 root 密码。pwdhash
命令行实用程序可创建一个新的 root 密码。更多信息请参阅 第 9.6 节 “pwdhash”。
通过命令行重置 Directory Manager 密码时,请勿在 密码中使用大括号({}
)。root 密码以 {password-storage-scheme}hashed_password 格式保存。大括号中的任何字符都由服务器解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案,或者后面的密码没有正确散列,则 Directory Manager 无法绑定到服务器。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的密码,由 第 4.1.43 节 “密码存储” 中描述的任何一种加密方法加密。 |
默认值 | |
语法 | DirectoryString {encryption_method }encrypted_Password |
示例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
3.1.1.150. nsslapd-rootpwstoragescheme(Root Password Storage Scheme)
此属性设置用于加密存储在 nsslapd-rootpw
属性中的 Directory 服务器管理器密码的方法。详情请查看推荐的强密码存储方案。