配置、命令和文件参考
配置目录服务器的参考指南
摘要
前言
配置目录服务器的参考指南
法律声明
Copyright 2021 Red Hat, Inc.
本文档由红帽根据 Creative Commons Attribution-ShareAlike 3.0 Unported License 获得许可。如果您发布了本文档,或者其修改的版本,您必须向 Red Hat, Inc. 提供归属,并提供原始文档的链接。如果文档被修改了,所有红帽商标都必须删除。
作为本文档的许可者,红帽可能会放弃强制制执行 CC-BY-SA 第4d 条款,且不声明该条款在适用条款允许的最大限度内有效。
Red Hat、Red Hat Enterprise Linux、Shadowman 商标、JBoss、OpenShift、Fedora、Infinity 商标以及 RHCE 都是在美国及其他国家的注册商标。
Linux 是 Linus Torvalds 在美国和其它国家注册的商标。
Java 是 Oracle 和/或其附属公司注册的商标。
XFS 是 Silicon Graphics International Corp. 或其子公司在美国和/或其他国家的商标。
MySQL 是 MySQL AB 在美国、美国和其他国家注册的商标。
Node.js 是 Joyent 的官方商标。Red Hat Software Collections 与官方 Joyent Node.js 开源或商业项目没有正式关联或被正式认可。
OpenStack Word Mark 和 OpenStack 徽标是在美国和其他国家/地区注册商标/服务标记或 OpenStack Foundation 的商标/服务标记,适用于 OpenStack Foundation 的权限。我们不附属于 OpenStack Foundation 或 OpenStack 社区。
所有其他商标均由其各自所有者所有。
使开源更包含
红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 信息。
关于此参考信息
红帽目录服务器(Directory 服务器)是一个基于行业标准的轻量级目录访问协议(LDAP)的强大、可扩展的分布式目录服务器。目录服务器是构建集中和分布式数据存储库的基石,可通过带交易合作伙伴的外网、通过公共互联网访问客户。
本参考涵盖了服务器配置和命令行工具。它主要面向希望使用命令行访问该目录的目录管理员和经验丰富的目录用户。配置服务器后,请使用此参考来帮助维护它。
目录服务器也可以通过 Directory Server 控制台(一个图形用户界面)进行管理。红帽目录服务器管理指南 描述了如何进行此操作,并更全面地解释个别管理任务。
1. 目录服务器概述
目录服务器的主要组件包括:
- LDAP 服务器 - 兼容 LDAP v3 的网络守护进程。
- 目录服务器控制台 - 显著降低设置和维护目录服务的图形化管理控制台。
- SNMP agent - 可以使用简单网络管理协议(SNMP)来监控目录服务器。
第 1 章 简介
目录服务器基于一个名为轻量级目录访问协议(LDAP)的开放系统服务器协议。目录服务器是一个强大、可扩展的服务器,用于管理大规模目录,以支持用户、资源、外网和电子商务应用程序在互联网上的企业级目录。目录服务器作为 ns-slapd
进程或服务在机器上运行。服务器管理目录数据库并响应客户端请求。
大多数目录服务器管理任务可以通过 Directory Server 控制台(由 Directory Server 提供的图形用户界面)来执行。有关使用目录服务器控制台的详情,请参考 红帽目录服务器管理指南。
本参考通过使用命令行以及使用命令行工具和脚本更改服务器配置属性来处理其他管理目录服务器的方法。
1.1. 目录服务器配置
存储目录服务器配置信息和列表的格式和方法可在两个章节 第 3 章 核心服务器配置参考 和 第 4 章 插件实现的服务器功能参考 中找到。
1.2. 目录服务器实例文件参考
第 2.1 节 “目录服务器实例独立文件和目录” 对存储在每个目录服务器实例中的文件和配置信息的概述。这对帮助管理员了解目录活动过程中的更改或不存在更改非常有用。从安全角度来说,这也有助于用户通过突出显示正常更改和异常行为来检测错误和入侵。
1.3. 使用目录服务器命令行实用程序
目录服务器附带一组可配置的命令行工具,它可以搜索和修改目录中条目并管理服务器。第 9 章 命令行实用程序 描述这些命令行工具,并包含有关存储工具的位置以及如何访问它们的信息。
第 2 章 文件位置概述
Red Hat Directory Server 与文件系统层次结构标准(FHS)兼容。有关 FHS 的详情,请参考 http://refspecs.linuxfoundation.org/fhs.shtml。
2.1. 目录服务器实例独立文件和目录
以下是目录服务器独立于实例的默认文件和目录位置:
类型 | 位置 |
---|---|
命令行工具 |
|
systemd 单元文件 |
|
2.2. Directory Server 实例特定的文件和目录
要分隔在同一主机上运行的多个实例,某些文件和目录包含实例的名称。您可以在 Directory 服务器设置过程中设置实例名称。默认情况下,这是没有域名的主机名。例如,如果您的完全限定域名是 server.example.com
,则默认实例名称是 server
。
以下是 Directory 服务器实例的特定默认文件和目录位置:
类型 | 位置 |
---|---|
备份文件 |
|
配置文件 |
|
证书和密钥数据库 |
|
数据库文件 |
|
LDIF 文件 |
|
锁定文件 |
|
日志文件 |
|
PID 文件 |
|
systemd 单元文件 |
|
2.2.1. 配置文件
每个目录服务器实例将其配置文件存储在 /etc/dirsrv/slapd-实例
目录中。
红帽目录服务器的配置信息作为 LDAP 条目存储在目录本身中。因此,必须通过使用服务器本身而不是简单的编辑配置文件来实施对服务器配置的更改。这种配置存储方法的主要优点是,它允许目录管理员在仍然运行时使用 LDAP 重新配置服务器,从而避免需要关闭服务器进行大多数配置更改。
2.2.1.1. 目录服务器配置概述
设置目录服务器时,其默认配置将作为目录中的一系列 LDAP 条目存储在子树 cn=config
下。当服务器启动时,cn=config
子树的内容将从 LDIF 格式的文件(dse.ldif
)中读取。此 dse.ldif
文件包含所有服务器配置信息。此文件的最新版本称为 dse.ldif
,上次修改之前的版本称为 dse.ldif.bak
,并且成功启动服务器的最新文件名为 dse.ldif.startOK
。
目录服务器的许多特性都设计为插入核心服务器的离散模块。每个插件的内部配置详情包含在 cn=plugins,cn=config
下的单独条目中。例如,此条目中包含 Telephone Syntax 插件的配置:
cn=Telephone Syntax,cn=plugins,cn=config
同样,特定于数据库的配置存储在
cn=ldbm database,cn=plugins,cn=config
用于本地数据库,cn=chaining database,cn=plugins,cn=config
用于数据库链接。
下图说明了配置数据如何在 cn=config
目录树中容纳。
图 2.1. 目录信息树显示配置数据
2.2.1.1.1. LDIF 和 Schema 配置文件
目录服务器配置数据存储在 /etc/dirsrv/slapd-instance
目录中的 LDIF 文件中。因此,如果服务器标识符是 电话手册
,然后对于目录服务器,配置 LDIF 文件都存储在 /etc/dirsrv/slapd-phonebook
下。
此目录还包含其他服务器实例特定的配置文件。
模式配置也以 LDIF 格式存储,这些文件位于 /etc/dirsrv/schema
目录中。
下表列出了 Directory 服务器提供的所有配置文件,包括用于其他兼容服务器模式的配置文件。每个文件的前面都有一个数字,表示应加载它们的顺序(按升序,然后按字母顺序排列)。
配置文件名称 | 用途 |
---|---|
dse.ldif |
包含服务器启动时由目录创建的前端目录特定条目。这包括 Root DSE ( |
00core.ldif |
仅包含使用裸机最小功能集启动服务器所需的架构定义(无用户模式,没有任何非核心功能)。用户、功能和应用程序使用的其他模式位于 |
01common.ldif |
包含 LDAPv3 标准操作模式,如 |
05rfc2247.ldif | 来自 RFC 2247 和相关试用方案的 schema,来自"使用 LDAP/X500 区分名称中的域"。 |
05rfc2927.ldif |
RFC 2927 的 schema,"MIME Directory Profile for LDAP Schema."包含在 |
10presence.ldif | 传统.用于即时消息存在(online)信息; 文件列出了具有必须添加到用户条目的允许属性的默认对象类,以便即时消息传递存在信息可供该用户使用。 |
10rfc2307.ldif |
RFC 2307 中的模式,"使用 LDAP 作为网络信息服务的方法"。当该模式可用时,可能会将其替换为 |
20subscriber.ldif |
包含新的模式元素和 Nortel 订阅者互操作性规格。还包含 |
25java-object.ldif | RFC 2713 的 schema,"代表 LDAP 目录中 Java® 对象的Schema"。 |
28pilot.ldif |
包含来自 RFC 1274 的 pilot 目录模式,该模式不再建议在新部署中使用。成功的 RFC 1274 的未来 RFC 可能会弃用部分或所有 |
30ns-common.ldif | 包含目录服务器控制台框架的通用对象类和属性的 schema。 |
50ns-admin.ldif | 红帽管理服务器使用的 schema。 |
50ns-certificate.ldif | 红帽公司证书管理系统的 schema。 |
50ns-directory.ldif | 包含 Directory Server 4.12 和更早的版本使用的额外配置模式,它们不再适用于 Directory Server 的当前版本。在 Directory Server 4.12 和当前版本之间复制此模式是必需的。 |
50ns-mail.ldif | Netscape 消息传递服务器用来定义邮件用户和邮件组的 schema。 |
50ns-value.ldif | 服务器值项目属性的 schema。 |
50ns-web.ldif | Netscape Web 服务器的 schema。 |
60pam-plugin.ldif | 保留以备将来使用。 |
99user.ldif | Directory Server 复制消费者维护的用户定义的模式,其中包含来自供应商的属性和对象类。 |
2.2.1.1.2. 服务器配置如何组织
dse.ldif
文件包含所有配置信息,包括由目录在服务器启动时创建的特定于目录的条目,如与数据库相关的条目。该文件包含 root Directory Server 条目(或 DSE,由 ""
命名)以及 cn=config
和 cn=monitor
的内容。
当服务器生成 dse.ldif
文件时,它会以分级顺序列出条目,其顺序是 cn=config
下的目录中出现的顺序,其通常与基本 cn=config
的子树范围的 LDAP 搜索返回条目的顺序相同。
DSE.ldif
还包含 cn=monitor
条目,它是只读的,但可以在其上设置 ACI。
dse.ldif
文件不包含 cn=config
中的每个属性。如果管理员尚未设置属性,并且具有默认值,服务器不会将它写入到 dse.ldif
。要查看 cn=config
中的每个属性,请使用 ldapsearch
。
配置属性
在配置条目中,每个属性都以属性名称表示。属性的值对应于属性的配置。
以下代码示例是 Directory 服务器的 dse.ldif
文件的一部分示例。除了其他方面,还显示架构检查已启用;这由属性 nsslapd-schemacheck
表示,它将采用 的值。
dn: cn=config objectclass: top objectclass: extensibleObject objectclass: nsslapdConfig nsslapd-accesslog-logging-enabled: on nsslapd-enquote-sup-oc: off nsslapd-localhost: phonebook.example.com nsslapd-schemacheck: on nsslapd-port: 389 nsslapd-localuser: dirsrv ...
配置插件功能
Directory Server 插件功能的每个部分的配置都有自己的单独的条目,以及子树 cn=plugins,cn=config
下的属性集。以下代码示例是示例插件(Telephone Syntax 插件)的配置条目示例。
dn: cn=Telephone Syntax,cn=plugins,cn=config objectclass: top objectclass: nsSlapdPlugin objectclass: extensibleObject cn: Telephone Syntax nsslapd-pluginType: syntax nsslapd-pluginEnabled: on
其中一些属性适用于所有插件,其中一些可能特定于特定插件。通过对 cn=config
子树执行 ldapsearch
,检查给定插件目前正在使用哪些属性。
有关目录服务器、常规插件配置信息、插件配置属性参考以及需要重启配置更改的插件列表,请参阅 第 4 章 插件实现的服务器功能参考。
配置数据库
数据库插件条目下的 cn=UserRoot
子树包含包含设置过程中创建的默认后缀的数据库的配置数据。
这些条目及其子项具有许多属性,用于配置不同的数据库设置,如缓存大小、索引文件和事务日志的路径、监控和统计信息的条目和属性;以及数据库索引。
配置索引
索引的配置信息作为以下 information-tree 节点下的目录服务器中的条目存储在 Directory 服务器中:
-
cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config
-
cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
有关索引的更多信息,请参阅 红帽目录服务器管理指南。有关索引配置属性的详情,请参考 第 4.4.1 节 “database Attributes in cn=config,cn=ldbm database,cn=plugins,cn=config”。
2.2.1.2. 访问和修改服务器配置
本节讨论配置条目的访问控制,并描述了查看和修改服务器配置的各种方法。它还涵盖了可以进行的修改类型的限制,并讨论需要重启服务器以使更改生效的属性。
2.2.1.2.1. 配置条目的访问控制
安装 Directory Server 时,为 cn=config
下的所有条目实施一组默认的访问控制指令(ACI)。以下代码示例是这些默认的 ACI 的示例。
aci: (targetattr = "*")(version 3.0; acl "Local Directory Administrators Group"; allow (all) groupdn = "ldap:///ou=Directory Administrators,dc=example,dc=com";)
这些默认 ACI 允许由以下用户在所有配置属性上执行所有 LDAP 操作:
- Configuration Administrators 组的成员。
-
充当管理员的用户,这是在 setup 中配置的
admin
帐户。默认情况下,这是登录到控制台的用户帐户。 - 本地 Directory Administrators 组的成员.
-
SIE (服务器实例条目)组通常使用
Set Access Permissions
进程分配。
有关访问控制的更多信息,请参阅 红帽目录服务器管理指南。
2.2.1.2.2. 更改配置属性
可以通过以下三种方法之一查看和更改服务器属性:通过 Directory Server 控制台、执行 ldapsearch
和 ldapmodify
命令,或者手动编辑 dse.ldif
文件。
在编辑 dse.ldif
文件之前,服务器 必须停止 ;否则,更改将会丢失。只有在无法动态更改的属性中,才建议编辑 dse.ldif
文件。详情请查看 Requiring Server Restart 的配置更改。
以下小节介绍了如何使用 LDAP 修改条目(使用 Directory Server Console 和 使用命令行),对修改条目的限制、应用属性的限制以及需要重启的配置更改。
使用 LDAP 修改配置条目
可以使用 Directory Server Console 或执行 ldapsearch
和 ldapmodify
操作的方式与其它目录条目一样,使用 LDAP 搜索和修改目录中的配置条目。使用 LDAP 修改条目的好处是在服务器运行时更改。
如需更多信息,请参阅红帽目录服务器管理指南中的"创建 目录条目"章节。但是,某些更改要求在服务器考虑之前重新启动服务器。详情请查看 Requiring Server Restart 的配置更改。
与任何一组配置文件一样,在更改或删除 cn=config
子树中的节点时应小心,因为这会影响目录服务器功能的风险。
通过在 cn=config
子树上执行 ldapsearch
操作来查看整个配置,包括始终获取默认值的属性:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)"
-
bindDN 是安装服务器时为目录管理器选择的 DN (默认为
cn=Directory Manager
)。 - password 是为目录管理器选择的密码。
要禁用插件,请使用 ldapmodify
来编辑 nsslapd-pluginEnabled
属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=Telephone Syntax,cn=plugins,cn=config changetype: modify replace: nsslapd-pluginEnabled nsslapd-pluginEnabled: off
修改配置条目和属性的限制
修改服务器条目和属性时应用某些限制:
-
cn=monitor
条目及其子条目是只读的,除了管理 ACI 外,无法修改。 -
如果属性添加到
cn=config
,服务器会忽略它。 - 如果为属性输入无效的值,服务器会忽略它。
-
因为
ldapdelete
用于删除整个条目,因此请使用ldapmodify
从条目中删除属性。
Requiring Server Restart 的配置更改
服务器运行时无法更改一些配置属性。在这些情况下,为了使更改生效,需要关闭并重新启动服务器。该修改应通过 Directory Server 控制台或手动编辑 dse.ldif
文件进行。下面列出了一些需要服务器重启以使更改生效的属性。这个列表并不完整;要查看完整的列表,请运行 ldapsearch
并搜索 nsslapd-requiresrestart
属性。例如:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
虽然此属性需要重启,但它不会在搜索中返回。
|
删除配置属性
所有核心配置属性都存在,即使它们没有写入 /etc/dirsrv/slapd-instance-name/dse.ldif
文件,因为它们都有服务器使用的默认值。
有关删除核心配置属性和无法删除的属性列表的详情,请查看 Red Hat Directory Server Administration Guide 中的相应部分。
2.2.2. 数据库文件
每个目录服务器实例都包含 /var/lib/dirsrv/slapd-instance/db
目录,用于存储所有数据库文件。以下是 /var/lib/dirsrv/slapd-instance/db
目录内容的列表示例。
例 2.1. 数据库目录内容
db.001 db.002 __db.003 DBVERSION log.0000000001 userroot/
-
db.00x
文件 - 数据库内部使用,不应以任何方式移动、删除或修改。 -
log.xxxxxxxxxx
文件 - 用于存储每个数据库的事务日志。 -
DBVERSION
- 用于存储数据库版本。 -
userroot
- 存储在设置中创建的用户定义的后缀(用户定义的数据库),例如dc=example,dc=com
。
如果创建了新数据库(例如 testRoot
)以将目录树存储在新后缀下,则名为 testRoot
的目录也会出现在 /var/lib/dirsrv/slapd-instance/db
目录中。
以下是 userRoot
目录内容列表示例:
例 2.2. userroot 数据库目录内容
ancestorid.db DBVERSION entryrdn.db id2entry.db nsuniqueid.db numsubordinates.db objectclass.db parentid.db
userroot
子目录包含以下文件:
-
ancestorid.db
- 包含用来查找条目的 ID 等级的 ID 列表。 -
entrydn.db
- 包含完整 DN 列表,以查找任何 ID。 -
id2entry.db
- 包含实际的目录数据库条目。如果需要,可以从此重新创建所有其他数据库文件。 -
nsuniqueid.db
- 包含用于查找任何 ID 的唯一 ID 列表。 -
numsubordinates.db
- Contains ID,其具有子条目。 -
swig.db
- 包含具有特定对象类的 ID 列表。 -
parentid.db
- 包含用来查找父 ID 的列表。
2.2.3. LDIF 文件
LDIF 文件示例存储在 /var/lib/dirsrv/slapd-instance/ldif
目录中,用于存储与 LDIF 相关的文件。例 2.3 “LDIF 目录内容” 列出 /ldif
目录内容。
例 2.3. LDIF 目录内容
European.ldif Example.ldif Example-roles.ldif Example-views.ldif
-
欧洲.ldif
- 包含欧洲字符示例. -
example.ldif
- 是一个示例 LDIF 文件。 -
example-roles.ldif
- 是类似于Example.ldif
的示例 LDIF 文件,但它使用角色和服务类而不是组来为目录管理员设置访问控制和资源限制。
实例目录中由 db2ldif
或 db2ldif.pl
脚本导出的 LDIF 文件存储在 /var/lib/dirsrv/slapd-实例/ldif
中。
2.2.4. 锁定文件
每个目录服务器实例包含一个 /var/lock/dirsrv/slapd-instance
目录来存储与锁定相关的文件。以下是 锁定
目录内容列表示例。
例 2.4. 锁定目录内容
exports/ imports/ server/
锁定机制控制目录服务器进程可以一次运行多少个副本。例如,如果存在导入作业,则锁定放置在 import /
目录中,以防止任何其他 ns-slapd
(常规)、ldif2db
(另一个导入)或 db2ldif
(export)操作运行。如果服务器以正常方式运行,则 server/
目录中有一个锁定,这样可防止导入操作(但不导出操作),而如果导出操作存在导出操作,则 exports/
目录中的锁定允许正常的服务器操作,但会阻止导入操作。
可用的锁定数量可能会影响整个目录服务器的性能。锁定数量在 nsslapd-db-locks
属性中设置。性能调优指南 中介绍了这个 属性值。
2.2.5. 日志文件
每个目录服务器实例包含一个 /var/log/dirsrv/slapd-instance
目录来存储日志文件。以下是 /logs
目录内容列表示例。
例 2.5. 记录目录内容
access access.20200228-171925 errors access.20200221-162824 access.rotationinfo errors.20200221-162824 access.20200223-171949 audit errors.rotationinfo access.20200227-171818 audit.rotationinfo slapd.stats
-
访问
、审计和
错误日志
文件的内容取决于日志配置。 -
slapd.stats
文件是一个内存映射文件,它不能被编辑器读取。它包含由 Directory Server SNMP 数据收集组件收集的数据。此数据由 SNMP 子代理读取,以响应 SNMP 属性查询,并且与负责处理 Directory Server SNMP 请求的 SNMP 主代理通信。
第 7 章 日志文件参考 包含访问、错误和审计日志文件格式及其信息的可靠概述。
2.2.6. PID 文件
当服务器启动并运行时,slapd-serverID.pid
和 slapd-serverID.startpid
文件会在 /var/run/dirsrv
目录中创建。这两个文件都存储服务器的进程 ID。
2.2.7. 备份文件
每个目录服务器实例包含以下目录和文件来存储与备份相关的文件:
-
/var/lib/dirsrv/slapd-instance/bak
- This contains a directory dated with the instance, time and date of the database backup backup,如instance-2020_05_02_16_56_05/
,其中包含数据库备份副本。 -
/etc/dirsrv/slapd-instance/dse_original.ldif
- 这是安装时dse.ldif
配置文件的备份副本。
第 3 章 核心服务器配置参考
本章为所有核心(与服务器相关的)属性提供字母顺序参考。第 2.2.1.1 节 “目录服务器配置概述” 包含红帽目录服务器配置文件的良好概述。
3.1. 核心服务器配置属性参考
本节包含与核心服务器功能相关的配置属性的参考信息。有关更改服务器配置的详情,请参考 第 2.2.1.2 节 “访问和修改服务器配置”。有关作为插件实现的服务器功能列表,请参阅 第 4.1 节 “服务器端功能参考”。有关实施自定义服务器功能的帮助,请联系 Directory Server 支持。
存储在 dse.ldif
文件中的配置信息被组织为常规配置条目 cn=config
下的信息树,如下图所示。
图 3.1. 目录信息树显示配置数据
以下部分中涵盖了其中大多数配置树节点。
cn=plugins
节点包括在 第 4 章 插件实现的服务器功能参考 中。每个属性的描述包含详细信息,如其目录条目的 DN、其默认值、有效值范围和使用示例。
本章中描述的一些条目和属性可能会在以后的版本中有所变化。
3.1.1. cn=config
常规配置条目存储在 cn=config
条目中。cn=config
条目是 nsslapdConfig
对象类的实例,后者从 extensibleObject
对象类继承。
3.1.1.1. nsslapd-accesslog (Access Log)
此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。日志文件中默认记录以下信息:
- 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
- 执行的操作(如搜索、添加和修改)。
- 访问的结果(例如,返回的条目数或错误代码)。
有关关闭访问日志的更多信息,请参阅红帽目录服务器管理指南中的"监控服务器和数据库活动" 一章。
若要启用日志,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled
配置属性必须切换到 上的
。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用访问日志记录方面的结果。
属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名。 |
默认值 | /var/log/dirsrv/slapd-instance/access |
语法 | DirectoryString |
示例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level (Access Log Level)
此属性控制记录到访问日志的内容。
您不必重新启动服务器才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 0 - 无法访问日志记录 * 4 - 内部访问操作的日志记录 * 256 - 连接、操作和结果的日志 * 512 - 访问条目和引用的日志
* 这些值可以一起添加以提供确切的日志类型,例如 |
默认值 | 256 |
语法 | 整数 |
示例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list (访问日志文件列表)
此 read-only 属性(不能设置)提供了访问日志轮转中使用的日志文件的列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering (Log Buffering)
当设置为 off
时,服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器使用访问日志记录,即使负载过重,而不影响性能。但是,在调试时,有时要禁用缓冲,以便立即查看操作及其结果,而不必等待向该文件刷新日志条目。禁用日志缓冲会对大量负载的服务器的性能有严重影响。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime (Access Log Expiration Time)
此属性指定日志文件在删除前可访问的最长期限。此属性仅提供单位数。该单元由 nsslapd-accesslog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit (Access Log Expiration Time Unit)
此属性指定 nsslapd-accesslog-logexpirationtime
属性的单元。如果服务器未知单位,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | month | 周 | 天 |
默认值 | month |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled (Access Log Enable Logging)
禁用并启用 accesslog 日志记录,但仅与 nsslapd-accesslog
属性结合使用,该属性指定了用于记录每个数据库访问的日志的路径和参数。
若要启用访问日志记录,此属性必须切换到 上的
,并且 nsslapd-accesslog
配置属性必须具有有效的 path 和 参数。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用访问日志记录方面的结果。
属性 | 值 | Logging Enabled 或 Disabled |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace (Access Log Maximum Disk Space)
此属性指定允许访问日志消耗的最大磁盘空间量,以 MB 为单位。如果超过这个值,则会删除最旧的访问日志。
在设置最大磁盘空间时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与访问日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示允许访问日志的磁盘空间大小无限。 |
默认值 | 500 |
语法 | 整数 |
示例 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace (Access Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,会删除最旧的访问日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled (Access Log Rotation Sync Enabled)
此属性设定访问日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使日志轮转与时间结束同步,此属性必须使用 nsslapd-accesslog-logrotationsynchour
和 nsslapd-accesslog-logrotationsyncmin
属性值启用,以便轮转日志文件。
例如,要在每天的午夜轮转访问日志文件,请通过将值设为 on
来启用此属性,然后将 nsslapd-accesslog-logrotationsynchour
和 nsslapd-accesslog-logrotationsyncmin
属性的值设置为
0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logrotationsync-enabled: on |
3.1.1.11. nsslapd-accesslog-logrotationsynchour (Access Log Rotation Sync Hour)
此属性设置轮转访问日志的天的小时。此属性必须与 nsslapd-accesslog-logrotationsync-enabled
和 nsslapd-accesslog-logrotationsyncmin
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin (Access Log Rotation Sync Minute)
此属性设置轮转访问日志的当天的分钟。此属性必须与 nsslapd-accesslog-logrotationsync-enabled
和 nsslapd-accesslog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime (Access Log Rotation Time)
此属性设定访问日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-accesslog-logrotationtimeunit
属性提供。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然由于日志无限期增长,我们不建议指定日志轮转,但有两个方法指定这一点。将 nsslapd-accesslog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-accesslog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-accesslog-maxlogsperdir
属性,如果此属性值大于 1
,则服务器会检查 nsslapd-accesslog-logrotationtime
属性。请参阅 第 3.1.1.16 节 “nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)” 了解更多信息。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示访问日志文件轮转之间的时间是无限的。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit (Access Log Rotation Time Unit)
此属性设置 nsslapd-accesslog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | month | 周 | 天 | 小时 | 分钟 |
默认值 | day |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize (Access Log Maximum Log Size)
此属性设置最大访问日志大小(以 MB 为单位)。当达到这个值时,访问日志会被轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-accesslog-maxlogsperdir
属性设置为 1
,服务器会忽略此属性。
在设置最大日志大小时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与访问日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)
此属性设置存储在访问日志的目录中的访问日志总数。每次轮转访问日志时,都会创建一个新的日志文件。当访问日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。出于性能考虑,红帽 建议不要 将此值设置为 1
,因为服务器不会轮转日志,并无限期地增大。
如果此属性的值大于 1
,请检查 nsslapd-accesslog-logrotationtime
属性,以确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime
属性的值为 -1
,则没有日志轮转。请参阅 第 3.1.1.13 节 “nsslapd-accesslog-logrotationtime (Access Log Rotation Time)” 了解更多信息。
请注意,根据 nsslapd-accesslog-logminfreediskspace
和 nsslapd-accesslog-maxlogsize
中设置的值,实际的日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir
中配置的值。例如,如果 nsslapd-accesslog-maxlogsperdir
使用默认的(10 文件,并将 nsslapd-accesslog-logminfreediskspace
设置为 500
MB,nsslapd-accesslog-maxlogsize
只会保留 5 个访问文件。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 10 |
语法 | 整数 |
示例 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode (Access Log File Permission)
此属性设置访问要创建的日志文件的访问模式或文件权限。有效值是 000
到 777
的任意组合(镜像数字或绝对 UNIX 文件权限)。该值必须是 3 位数字,从 0
到 7
的不同数字:
-
0
- None -
1
- 仅执行 -
仅限
2
个写入 -
3
- 写入和执行 -
4
- 只读 -
5
- 读取和执行 -
6
- 读取和写入 -
7
- 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000
不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
如果用户在不提供任何绑定 DN 或密码的情况下尝试连接到目录服务器,则这是一个 匿名绑定。匿名绑定简化了常见的搜索和读操作,如检查电话号码或电子邮件地址的目录,不需要用户先向目录进行身份验证。
但是,匿名绑定存在风险。必须就适当的 ACI 来限制对敏感信息的访问,并禁止像修改和删除这样的操作。另外,匿名绑定可用于拒绝服务攻击或恶意人员访问服务器。
可以禁用匿名绑定来提高安全性(关闭)。默认情况下,允许匿名绑定(on)用于搜索和读取操作。这允许访问 常规目录条目,其中包括用户和组条目以及类似 root DSE 的配置条目。第三个选项 rootdse
允许匿名搜索和读取访问权限,以搜索 root DSE 本身,但限制对所有其他目录条目的访问。
另外,可以使用 nsslapd-anonlimitsdn
属性将资源限值放在匿名绑定中,如 第 3.1.1.22 节 “nsslapd-anonlimitsdn” 所述。
在服务器重启前,对这个值的更改不会生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off | rootdse |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-allow-anonymous-access: on |
3.1.1.19. nsslapd-allow-hashed-passwords
这个参数禁用预哈希密码检查。默认情况下,Directory 服务器不允许除 Directory Manager 以外的任何人设置预哈希密码。在将这个权限添加到 Password Administrators 组时,您可以将此权限委派给其他用户。然而,比如复制合作伙伴已控制预哈希密码检查时,必须在 Directory 服务器上禁用此功能。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
未经身份验证的绑定是到提供空密码的目录服务器的连接。出于安全原因,使用默认设置时目录服务器拒绝此场景中的访问。
红帽建议不要启用未经身份验证的绑定。此验证方法允许用户在不提供密码作为任何帐户(包括目录管理器)的情况下绑定。绑定后,用户可以使用用来绑定的帐户的权限访问所有数据。
您不必重新启动服务器才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
默认情况下,根 DSE 列出 SASL 库支持的所有机制。然而,在某些环境中,只首选某些环境。nsslapd-allowed-sasl-mechanisms
属性允许您仅启用一些定义的 SASL 机制。
机制名称必须包含大写字母、数字和下划线。每个机制都可以用逗号分开。
EXTERNAL
机制实际上没有被任何 SASL 插件使用。它是服务器内部,主要用于 TLS 客户端身份验证。因此,EXTERNAL
机制无法限制或控制。它始终会出现在支持的机制列表中,无论 nsslapd-allowed-sasl-mechanisms
属性中设置的内容是什么。
此设置不需要服务器重启来生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 SASL 机制 |
默认值 | none (允许所有 SASL 机制) |
语法 | DirectoryString |
示例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
资源限值可以在经过身份验证的绑定上设置。资源限值可在单个操作中设置可以搜索多少条目的上限(nsslapd-sizeLimit
)、时间限制(nsslapd-timelimit
)和 time out period (nsslapd-idletimeout
) for 搜索,以及可以搜索的条目总数(nsslapd-lookthroughlimit
)。这些资源限制可防止拒绝服务攻击以阻止目录资源,并提高整体性能。
资源限值在用户条目上设置。匿名绑定(很明显)没有与之关联的用户条目。这意味着资源限制通常不适用于匿名操作。
要为匿名绑定设置资源限值,可以创建一个带有适当资源限制的模板条目。然后,可以添加 nsslapd-anonlimitsdn
配置属性,指向此条目,并将资源限值应用到匿名绑定。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 DN |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
此属性允许属性名称中的非标准字符向后兼容旧服务器,如模式定义属性中的 "_"。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog (Audit Log)
此属性设置日志的路径和文件名,用于记录对每个数据库所做的更改。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效文件名 |
默认值 | /var/log/dirsrv/slapd-instance/audit |
语法 | DirectoryString |
示例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled
配置属性必须切换到 上的
。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用审计日志记录时的结果。
dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.25. nsslapd-auditlog-display-attrs
使用 nsslapd-auditlog-display-attrs
属性,您可以设置目录服务器在审计日志中显示的属性,以提供有用的标识条目的信息。通过在审计日志中添加属性,您可以检查条目更新中的条目和详情中特定属性的当前状态。
您可以通过选择以下选项之一来显示日志中的属性:
- 要显示 Directory 服务器修改的条目的特定属性,请将属性名称作为值提供。
- 要显示多个属性,请将以空格分开的属性名称作为值提供。
- 要显示条目的所有属性,请使用星号 AssumeRole 作为值。
提供 Directory 服务器必须在审计日志中显示的空格分隔属性列表,或使用星号 AssumeRole 作为值来显示正在修改条目的所有属性。
例如,您要将 cn
属性添加到审计日志输出中。当您将 nsslapd-auditlog-display-attrs
属性设置为 cn
时,审计日志会显示以下输出:
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的属性名称。如果要在审计日志中显示条目的所有属性,请使用星号 encoding。 |
默认值 | 无 |
语法 | DirectoryString |
Example | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
提供审计日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime (Audit Log Expiration Time)
此属性设置日志文件在删除前允许的最长时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditlog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit (Audit Log Expiration Time Unit)
此属性设置 nsslapd-auditlog-logexpirationtime
属性的单元。如果服务器未知单位,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | month | 周 | 天 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled (Audit Log Enable Logging)
打开和关闭审计日志记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logging-enabled: off |
要启用审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled
配置属性必须切换到。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用审计日志记录时的结果。
属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace (Audit Log Maximum Disk Space)
此属性设置审计日志可以使用的最大磁盘空间量(以 MB 为单位)。如果超过这个值,则会删除最旧的审计日志。
在设置最大磁盘空间时,请考虑日志文件轮转可创建的日志文件总数。还请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与审计日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表允许审计日志的磁盘空间大小无限。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreediskspace (Audit Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间量低于此属性指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 (无限)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled (Audit Log Rotation Sync Enabled)
此属性设置审计日志轮转是与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使审计日志轮转与时间结束同步,此属性必须使用 nsslapd-auditlog-logrotationsynchour
和 nsslapd-auditlog-logrotationsyncmin
属性值启用,以便轮转日志文件。
例如,要在每天的午夜之间轮转审计日志文件,将其值设为 on
来启用此属性,然后将 nsslapd-auditlog-logrotationsynchour
和 nsslapd-auditlog-logrotationsyncmin
属性的值设置为
0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logrotationsync-enabled: on |
3.1.1.33. nsslapd-auditlog-logrotationsynchour (Audit Log Rotation Sync Hour)
此属性设置轮转审计日志的天的小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled
和 nsslapd-auditlog-logrotationsyncmin
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 |
none (因为 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin (Audit Log Rotation Sync Minute)
此属性设置轮转审计日志的当天的分钟。此属性必须与 nsslapd-auditlog-logrotationsync-enabled
和 nsslapd-auditlog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 |
none (因为 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)
此属性设定审计日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditlog-logrotationtimeunit
属性提供。如果 nsslapd-auditlog-maxlogsperdir
属性设置为 1
,服务器会忽略此属性。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然不建议根据性能原因指定日志轮转,但随着日志无限期增长,但可以通过两种方式指定。将 nsslapd-auditlog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-auditlog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-auditlog-maxlogsperdir
属性,如果此属性值大于 1
,则服务器会检查 nsslapd-auditlog-logrotationtime
属性。请参阅 第 3.1.1.38 节 “nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)” 了解更多信息。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示审计日志文件轮转之间的时间是无限的。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit (Audit Log Rotation Time Unit)
此属性设置 nsslapd-auditlog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | month | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize (Audit Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志会轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-auditlog-maxlogsperdir
为 1
,服务器会忽略此属性。
在设置最大日志大小时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护有三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与审计日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)
此属性设置存储在审计日志的目录中的审计日志总数。每次轮转审计日志时,都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1
日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增大。
如果此属性的值大于 1
,则检查 nsslapd-auditlog-logrotationtime
属性,以确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime
属性的值为 -1
,则没有日志轮转。请参阅 第 3.1.1.35 节 “nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)” 了解更多信息。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode (Audit Log File Permission)
此属性设置要创建的审计日志文件的访问模式或文件权限。有效值是 000
到 777
的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,从 0
到 7
的数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000
不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog (Audit Fail Log)
此属性设置用于记录失败的 LDAP 修改的日志的路径和文件名。
如果启用了 nsslapd-auditfaillog-logging-enabled
,并且未设置 nsslapd-auditfaillog
,则审计失败事件将记录到 nsslapd-auditlog
中指定的文件。
如果将 nsslapd-auditfaillog
参数设置为与 nsslapd-auditlog
相同的路径,则两者都记录在同一文件中。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效文件名 |
默认值 | /var/log/dirsrv/slapd-instance/audit |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled
属性必须设置为 on
3.1.1.41. nsslapd-auditfaillog-list
提供审计失败日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime (Audit Fail Log Expiration Time)
此属性设置日志文件在删除前的最长期限。它提供给单位数。在 nsslapd-auditfaillog-logexpirationtimeunit
属性中指定单元,如 day、week、month 等。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit (Audit Fail Log Expiration Time Unit)
此属性设置 nsslapd-auditfaillog-logexpirationtime
属性的单元。如果服务器未知单位,日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | month | 周 | 天 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-logging-enabled (Audit Fail Log Enable Logging)
打开和关闭失败 LDAP 修改的日志。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace (Audit Fail Log Maximum Disk Space)
此属性设置审计日志可以消耗的最大磁盘空间量,以 MB 为单位。如果大小超过限制,将删除最旧的审计失败日志。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表允许审计日志的磁盘空间大小无限。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace (Audit Fail Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间小于指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间被释放为止。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 (无限)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled (Audit Fail Log Rotation Sync Enabled)
此属性设置审计日志轮转是与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使审计日志轮转与时间结束同步,必须使用 nsslapd-auditfaillog-logrotationsynchour
和 nsslapd-auditfaillog-logrotationsyncmin
属性值启用此属性,以便轮转日志文件。
例如,要在每天的午夜轮转审计失败日志文件,将其值设为 on
来启用此属性,然后将 nsslapd-auditfaillog-logrotationsynchour
和 nsslapd-auditfaillog-logrotationsyncmin
属性的值设置为
0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour (Audit Fail Log Rotation Sync Hour)
此属性设置审计日志轮转日的小时。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled
和 nsslapd-auditfaillog-logrotationsyncmin
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 |
none (因为 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin (Audit Fail Log Rotation Sync Minute)
此属性设定审计日志轮转的分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled
和 nsslapd-auditfaillog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 |
none (因为 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)
此属性设定审计日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditfaillog-logrotationtimeunit
属性提供。如果 nsslapd-auditfaillog-maxlogsperdir
属性设置为 1
,服务器会忽略此属性。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然不建议根据性能原因指定日志轮转,但随着日志无限期增长,但可以通过两种方式指定。将 nsslapd-auditfaillog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-auditfaillog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir
属性,如果此属性值大于 1
,则服务器会检查 nsslapd-auditfaillog-logrotationtime
属性。请参阅 第 3.1.1.53 节 “nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)” 了解更多信息。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表审计日志文件轮转之间的时间是无限的。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit (Audit Fail Log Rotation Time Unit)
此属性设置 nsslapd-auditfaillog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | month | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize (Audit Fail Log Maximum Log Size)
此属性设置最大审计日志大小(以 MB 为单位)。达到这个值时,审计日志会轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-auditfaillog-maxlogsperdir
参数设置为 1
,服务器会忽略此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)
此属性设定存储在审计日志的目录中的审计日志总数。每次轮转审计日志时,都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1
日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增大。
如果此属性的值大于 1
,则检查 nsslapd-auditfaillog-logrotationtime
属性,以确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime
属性的值为 -1
,则没有日志轮转。请参阅 第 3.1.1.50 节 “nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)” 了解更多信息。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode (Audit Fail log File Permission)
此属性设置创建审计失败日志文件的访问模式或文件权限。有效值是 000
到 777
的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,从 0
到 7
的数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000
不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir (Default Backup Directory)
此参数设置默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。
此设置不需要服务器重启来生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何本地目录路径。 |
默认值 | /var/lib/dirsrv/slapd-instance/bak |
语法 | DirectoryString |
示例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir (证书和密钥数据库目录)
此参数定义目录服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。
作为回退,如果服务器无法将它们提取到私有命名空间中的 /tmp/
目录中,则目录服务器提取私钥和证书到此目录。有关私有命名空间的详情,请查看 systemd.exec (5) 手册页中的 PrivateTmp
参数描述。
nsslapd-certdir
中指定的目录必须由服务器的用户 ID 所有,并且只有此用户 ID 必须在这个目录中具有读写权限。为安全起见,其他用户都不应具有读取和写入这个目录的权限。
必须重启该服务才能使此属性生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 绝对路径 |
默认值 | /etc/dirsrv/slapd-instance_name/ |
语法 | DirectoryString |
示例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn (Certificate Map Search Base)
当使用 TLS 证书执行客户端身份验证时,可以使用此属性以避免在 /etc/dirsrv/slapd-instance_name/certmap.conf
文件中配置的安全子系统证书映射的限制。根据此文件中的配置,可使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN,则 nsslapd-certmap-basedn
属性可能会强制搜索基于 root 以外的其他条目。此属性的有效值为用于证书映射的后缀或子树的 DN。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 DN |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
这个 read-only 属性是配置 DN。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的配置 DN |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
这个参数允许您在 CN 值中启用 DN。
目录服务器 DN 规范化程序遵循 RFC4514,并在 RDN 属性类型不基于 DN 语法时保留空格。但是,Directory 服务器的配置条目有时会使用 cn
属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config
中,cn
=config 应按 DN 语法规范化。
如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns
参数。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer
此属性设置连接缓冲行为。可能的值:
-
0
:禁用缓冲。一次只能读取单个协议数据单元(PDU)。 -
1:
常规固定大小LDAP_SOCKET_IO_BUFFER_SIZE
为512
字节。 -
2
:可适应性缓冲区大小。
如果客户端一次发送大量数据,则值 2
提供了更好的性能。例如,这是大型添加和修改操作的情况,或者在复制期间通过单一连接接收多个异步请求时。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 0 | 1 | 2 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
这个选项允许您启用或禁用 SASL NOCANON
标志。禁用 可避免 Directory 服务器为出站连接查找 DNS 反向条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
此属性设置连接表大小,它决定了服务器支持的连接总数。
如果 Directory 服务器拒绝连接,则增加此属性的值,因为它不在连接插槽中。发生这种情况时,Directory 服务器的错误日志文件会记录消息 Not listening for new connection the the new connection the the the many fds open
。
可能需要为启动 Directory 服务器的 shell 中增加打开文件和打开的文件数量的操作系统限制,可能需要增加
。
ulimit
-n
连接表的大小是 nsslapd-maxdescriptor
的 cap。如需更多信息,请参阅 第 3.1.1.119 节 “nsslapd-maxdescriptors(最大文件描述符)”。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 依赖于操作系统 |
默认值 |
Directory 服务器进程可以打开的最大文件数。请参阅 |
语法 | 整数 |
示例 | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters
属性启用和禁用 Directory Server 数据库和服务器性能计数器。
通过跟踪更大的计数器,这可能会对性能产生影响。关闭计数器的 64 位整数可能会对性能产生最小的改进,但会对长期统计跟踪产生负面影响。
默认启用此参数。要禁用计数器,停止 Directory 服务器,直接编辑 dse.ldif
文件,然后重新启动服务器。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
此属性会设置更改序列号(CSN)是否可用后才能登录访问日志。默认情况下打开 CSN 日志记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
此属性为所有配置的命名上下文提供命名上下文,默认情况下客户端默认使用作为搜索基础。这个值作为 defaultNamingContext
属性复制到 root DSE,它允许客户端查询 root DSE 来获取上下文,然后使用适当的基础启动搜索。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何根后缀 DN |
默认值 | 默认用户后缀 |
语法 | DN |
示例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
此属性启用一个线程,它每十(10)秒运行一次,以检查磁盘上的可用磁盘空间或挂载目录服务器数据库运行的位置。如果可用的磁盘空间低于配置的阈值,则服务器开始减少日志级别、禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器会正常关闭(在机和宽限期后)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
在服务器达到 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold” 中设置的一半磁盘空间限制后,将宽限期设置为在关闭服务器前等待。这可让管理员清理磁盘并阻止关闭。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何整数值(以分钟为单位) |
默认值 | 60 |
语法 | 整数 |
示例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
如果日志目录通过磁盘空间限制中设定的一半点 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold”,则设置是否关闭服务器。
如果启用此功能,则不会 禁用日志,且不会 删除轮转的日志,因为减少服务器磁盘用量。服务器只需进入关闭过程。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
如果可用磁盘空间达到 nsslapd-disk-monitoring-threshold
参数中设置的一半值,Directory 服务器会在 nsslapd-disk-monitoring-grace-period
中设置的宽限期后关闭实例。但是,如果磁盘在实例停机之前耗尽空间,则可能会损坏数据。要防止这个问题,请在达到阈值时启用 nsslapd-disk-monitoring-readonly-on-threshold
参数,Directory 服务器将实例设置为只读模式。
使用这个设置,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold
中配置的阈值,Directory 服务器不会启动。
服务必须重启才能使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
设置阈值(以字节为单位),用于评估服务器是否有足够可用磁盘空间。当空间达到这个阈值的一半后,服务器开始关闭进程。
例如,如果阈值是 2MB(默认),那么当可用磁盘空间达到 1MB 后,服务器将开始关闭。
默认情况下,阈值会评估在由 Directory 服务器实例配置、事务和数据库目录使用的磁盘空间上。如果启用了 第 3.1.1.68 节 “nsslapd-disk-monitoring-logging-critical” 属性,则会在评估中包含日志目录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 0 到 32 位整数值(2147483647)) * 0 到 64 位整数值(9223372036854775807) |
默认值 | 2000000 (2MB) |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
第 3.1.1.168 节 “nsslapd-syntaxcheck” 属性可让服务器验证任何新的或修改的属性值是否与那个属性所需的语法匹配。
但是,DN 的语法规则日趋严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用旧语法定义的许多服务器。默认情况下,nsslapd-syntaxcheck
使用 RFC 1779 或 RFC 2253 验证 DN。
根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict
属性明确为 DN 启用严格的语法验证。如果此属性设置为 off
(默认值),服务器会在检查语法违反前对值进行规范化。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
使 cn=schema
与 Directory Server 的 4.x 版本兼容。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server turbo 模式是一个功能,它允许 worker 线程专用于连接,并持续从那个连接读取传入的操作。这可以提高对非常活跃连接的性能,且功能默认是启用的。
Worker 线程处理服务器接收的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber
参数中定义。每 5 秒,每个 worker 线程评估其当前连接的活动级别是所有已建立的连接的最高值之一。目录服务器测量活动,作为自上检查开始的操作数量,并在当前连接的活动是最高状态时,将 worker 线程切换为 turbo 模式。
如果您遇到较长的执行时间(日志文件中的etime
值)用于绑定操作,如一秒或更长时间,取消激活 turbo 模式可以提高性能。然而,在有些情况下,绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
在简单的绑定过程中,Directory 服务器由于绑定操作的性质可以访问纯文本密码。如果启用了 nsslapd-enable-upgrade-hash
参数,且用户进行身份验证,Directory 服务器会检查用户的 userPassword
属性是否使用了 passwordStorageScheme
属性中设置的哈希算法。如果算法不同,服务器会将纯文本密码与来自 passwordStorageScheme
的算法哈希,并更新用户 userPassword
属性的值。
例如,如果您导入使用弱算法进行哈希的用户条目,服务器会自动使用 passwordStorageScheme
中设置的算法在用户在第一次登录时重新哈希密码,即 PBKDF2_SHA256
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc(启用 Superior 对象类 Enquoting)
此属性已弃用,并将在以后的 Directory Server 版本中删除。
此属性控制 cn=schema
条目中包含的 objectclass
属性中的引用是否符合互联网草案 RFC 2252 指定的引用。默认情况下,Directory 服务器符合 RFC 2252,这表示这个值不应加引号。在 上只有非常旧的客户端需要将此值设置为
,因此请将它保留为 off
。
在 或 off 上打开此属性不会影响 Directory Server 控制台。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global
参数定义了 USN 插件在所有后端数据库或单独为每个数据库分配唯一的更新序列数字(USN)。对于所有后端数据库的唯一 USN,请在 上
将此参数设置为。
详情请查看 第 6.8 节 “entryusn”。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
当条目从一个服务器导出并导入到另一个服务器时,条目更新序列号(USN)不会被保留,包括在初始化用于复制的数据库时。默认情况下,导入的条目的条目 USN 被设置为零。
可以使用 nsslapd-entryusn-import-initval
为条目 USN 配置不同的初始值。这将设置一个起始 USN,用于所有导入的条目。
nsslapd-entryusn-import-initval
有两个可能的值:
- 整数,这是每个导入条目使用的显式起始号。
- 接下来,这意味着每个导入条目都使用在导入操作前在服务器上使用任意最高条目 USN 值,并递增一次。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何整数 | 旁边 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog(错误日志)
此属性设置用于记录 Directory 服务器生成的错误消息的日志的路径和文件名。这些信息可能会描述错误条件,但更频繁地包含参考条件,例如:
- 服务器启动和关闭时间。
- 服务器使用的端口号。
根据 Log Level 属性的当前设置,此日志包含不同数量的信息。如需更多信息,请参阅 第 3.1.1.79 节 “nsslapd-errorlog-level(错误日志级别)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名 |
默认值 | /var/log/dirsrv/slapd-instance/errors |
语法 | DirectoryString |
示例 | nsslapd-errorlog: /var/log/dirsrv/slapd-实例/errors |
要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled
配置属性必须切换到 上的
。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用错误日志记录方面的结果。
dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空字符串 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | Enabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空字符串 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
3.1.1.79. nsslapd-errorlog-level(错误日志级别)
此属性设置 Directory 服务器的日志记录级别。日志级别是可添加的;即,指定值 3
包含了级别 1
和 2
。
nsslapd-errorlog-level
的默认值为 16384
。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 1 - 跟踪功能调用。当服务器进入并退出功能时,记录一条消息。 * 2 - 调试数据包处理。 * 4 - 大量追踪输出调试。 * 8 - 连接管理。 * 16 - 显示发送/收到的数据包。 * 32 - 搜索过滤器处理。 * 64 - 配置文件处理。 * 128 - 访问控制列表处理。 * 1024 - 使用 shell 数据库的日志通信。 * 2048 - 日志条目解析调试。 * 4096 - 内部处理线程调试。 * 8192 - 复制调试。 * 16384 - 默认日志记录级别,用于始终写入错误的其他消息,如服务器启动消息。无论日志级别的设置是什么,此级别的消息始终包含在错误日志中。 * 32768 - 数据库缓存调试。
* 65536 - 服务器插件调试。当服务器插件调用
* 262144 - 访问控制概述信息,比级别 * 524288 - LMDB 数据库调试。 |
默认值 | 16384 |
语法 | 整数 |
示例 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
这个 read-only 属性提供错误日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime(Error Log Expiration Time)
此属性设置在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit(错误日志过期时间单元)
此属性设置 nsslapd-errorlog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | month |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled(启用 Error Logging)
打开和关闭错误记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace(Error Log Maximum Disk Space)
此属性设置允许消耗错误日志的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的错误日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许错误日志的磁盘空间没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace(Error Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的错误日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled(Error Log Rotation Sync Enabled)
此属性会设置错误日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要与天同步的错误日志轮转,必须使用 nsslapd-errorlog-logrotationsynchour
和 nsslapd-errorlog-logrotationsyncmin
属性值设置为轮转日志文件的小时和分钟(分钟)启用。
例如,要在 中每天轮转错误日志文件,通过将其值设置为,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsynchour
和 nsslapd-errorlog-logrotationmin
属性设置为 0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logrotationsync-enabled: |
3.1.1.87. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)
此属性设置当天轮转错误日志的小时数。此属性必须与 nsslapd-errorlog-logrotationsync-enabled
和 nsslapd-errorlog-logrotationsyncmin
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)
此属性设置当天轮转错误日志的时间。此属性必须与 nsslapd-errorlog-logrotationsync-enabled
和 nsslapd-errorlog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime(错误日志轮转时间)
此属性设置错误日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logrotationtimeunit
(Error Log Rotation Time Unit)属性指定。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-errorlog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-errorlog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-errorlog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-error-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.92 节 “nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示错误日志文件轮转之间的时间无限。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time unit)
此属性设置 nsslapd-errorlog-logrotationtime
(Error Log Rotation Time)的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize(最大错误日志大小)
此属性以 MB 为单位设置最大错误日志大小。达到这个值时,错误日志会被轮转,服务器开始将日志信息写入新日志文件中。如果 nsslapd-errorlog-maxlogsperdir
设置为 1
,则服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)
此属性设置可在存储错误日志的目录中包含的错误日志总数。每次轮转错误日志时,都会创建一个新日志文件。当错误日志目录中包含的文件数量超过此属性所存储的值时,会删除最旧的日志文件版本。默认值为 1
日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-errorlog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.89 节 “nsslapd-errorlog-logrotationtime(错误日志轮转时间)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode(Error Log File Permission)
此属性设置了创建错误日志文件的访问模式或文件权限。有效的值是 000
到 777
的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,数字从 0
到 7
的不同:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
在建立 TLS 连接时,客户端首先发送其证书,然后使用 SASL/EXTERNAL 机制向 BIND 请求发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭据用于 TLS 握手。但是,有些客户端在发送 BIND 请求时不使用 SASL/EXTERNAL,因此目录服务器以简单的身份验证请求或匿名请求形式处理绑定,并且 TLS 连接会失败。
nsslapd-force-sasl-external
属性强制使用基于证书的验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | 字符串 |
示例 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
此属性已弃用,在此处记录仅用于历史目的。
Access Control Plug-in 不使用 nsslapd-groupevalnestlevel
属性指定的值,以设置用于组评估时访问控制执行的嵌套级别数量。相反,嵌套的级别数量被硬编码为 5
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 5 |
默认值 | 5 |
语法 | 整数 |
示例 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-haproxy-trusted-ip (HAProxy Trusted IP)
nsslapd-haproxy-trusted-ip
属性配置可信代理服务器列表。设置 nsslapd-haproxy-trusted-ip
时,目录服务器使用 HAProxy 协议通过额外的 TCP 标头接收客户端 IP 地址,以正确评估访问控制指令(ACI)并记录客户端流量。
如果一个不信任的代理服务器发起了一个绑定请求,目录服务器会拒绝请求,并将以下信息记录到错误日志文件中:
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | IPv4 或 IPv6 地址 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-haproxy-trusted-ip: 127.0.0.1 |
3.1.1.97. nsslapd-idletimeout(默认 Idle Timeout)
此属性以秒为单位设定了服务器关闭闲置 LDAP 客户端连接的时间长度(以秒为单位)。值为 0
表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当连接表时,当 poll()
不会返回零时,闲置超时会强制使用。因此,具有单一连接的服务器不会强制实施闲置超时。
使用 nsIdleTimeout
操作属性(可添加到用户条目中)覆盖分配给此属性的值。详情请参阅 Red Hat Directory Server Administration Guide 中的"基于绑定 DN 设置资源限制"一节。
对于非常大的数据库,使用数百万条目时,该属性必须具有足够高的值,在线初始化过程可以完成或复制,在连接到服务器的连接超时时会失败。另外,还可在用作供应商绑定 DN 的条目上将 nsIdleTimeout
属性设为 high 值。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到最大 32 位整数值(2147483647) |
默认值 | 3600 |
语法 | 整数 |
示例 | nsslapd-idletimeout: 3600 |
3.1.1.98. nsslapd-ignore-virtual-attrs
此参数允许在搜索条目中禁用虚拟属性查找。
如果不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ignore-virtual-attrs: off |
3.1.1.99. nsslapd-instancedir(Instance Directory)
此属性已弃用。现在,有针对实例专用路径的配置参数,如 nsslapd-certdir
和 nsslapd-lockdir
。有关设置的具体目录路径,请参阅相关文档。
3.1.1.100. nsslapd-ioblocktimeout(IO Block Time Out)
此属性以秒为单位设定连接被停止的 LDAP 客户端的时间长度(以毫秒为单位)。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到最大 32 位整数值(2147483647) |
默认值 | 10000 |
语法 | 整数 |
示例 | nsslapd-ioblocktimeout: 10000 |
3.1.1.101. nsslapd-lastmod(Track Modification Time)
此属性设置 Directory 服务器是否维护 创建者名称
、createTimestamp
、ScottsName
以及修改Timestamp
操作属性(针对新创建或更新的条目)。
红帽建议不要禁用跟踪这些属性。如果禁用,条目不会在 nsUniqueID
属性中分配唯一 ID,而复制不起作用。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-lastmod: on |
3.1.1.102. nsslapd-ldapiautobind(Enable Autobind)
nsslapd-ldapiautobind
会设置服务器是否允许用户使用 LDAPI 自动绑定到 Directory 服务器。Autobind 将系统用户的 UID 或 GUID 号映射到 Directory Server 用户,并根据这些凭证自动验证用户到目录服务器。Directory 服务器连接发生于 UNIX 套接字。
除了启用 autobind 外,配置 autobind 还需要配置映射条目。nsslapd-ldapimaprootdn
将系统上的 root 用户映射到 Directory Manager。nsslapd-ldapimaptoen
尝试根据 nsslapd-ldapientry type、nsslapd-ldapientry
searchbase 属性和
属性中定义的参数,将常规用户映射到 Directory Server 用户。
nsslapd-ldapientry
searchbase
Autobind 只能在 LDAPI 已启用时启用 Autobind,即 nsslapd-ldapilisten
位于 nsslapd-ldapifilepath 属性,并且将 nsslapd-ldapifilepath
属性设置为 LDAPI 套接字。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ldapiautobind: off |
3.1.1.103. nsslapd-ldapientrysearchbase(搜索 Base for LDAPI Authentication Entries)
使用 autobind 时,可以根据系统用户的 UID 和 GUID 号将系统用户映射到 Directory Server 用户条目。这需要设置 Directory Server 参数,用于 UID 号(nsslapd-ldapiuidnumbertype
)和 GUID 号(nsslapd-ldapigidnumbertype
),并设置搜索基础来搜索匹配的用户条目。
nsslapd-ldapientrysearchbase
可使子树搜索用于 autobind 的用户条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | DN |
默认值 |
创建服务器实例时创建的后缀,如 |
语法 | DN |
示例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
3.1.1.104. nsslapd-ldapifilepath (LDAPI 套接字的文件位置)
LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI,服务器必须配置为通过 UNIX 套接字进行通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath
属性中设置。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何目录路径 |
默认值 | /var/run/dirsrv/slapd-example.socket |
语法 | case-exact 字符串 |
示例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.105. nsslapd-ldapigidnumbertype (System GUID Number 的Attribute 映射)
Autobind 可用于自动对服务器验证系统用户,并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户以进行身份验证,系统用户的 UID 和 GUID 编号应映射为 Directory Server 属性。nsslapd-ldapigidnumbertype
属性指向 Directory Server 属性,将系统 GUID 映射到用户条目。
只有启用了 LDAPI 时,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)、autobind 被启用(nsslapd-ldapiautobind
),并为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries
)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何目录服务器属性 |
默认值 | gidNumber |
语法 | DirectoryString |
示例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.106. nsslapd-ldapilisten (Enable LDAPI)
nsslapd-ldapilisten
启用 LDAPI 连接到目录服务器。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了启用 LDAPI 外,通过将 nsslapd-ldapilisten
设置为 on
,还必须在 nsslapd-ldapifilepath
属性中为 LDAPI 设置 UNIX 套接字。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-ldapilisten: on |
3.1.1.107. nsslapd-ldapimaprootdn (root 用户的Autobind Mapping)
使用 autobind 时,系统用户映射到目录服务器用户,然后通过 UNIX 套接字自动向 Directory 服务器进行身份验证。
root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn
属性中指定的任何目录服务器条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 DN |
默认值 | cn=Directory Manager |
语法 | DN |
示例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.108. nsslapd-ldapimaptoentries (为普通用户启用自动绑定映射)
使用 autobind 时,系统用户映射到目录服务器用户,然后通过 UNIX 套接字自动向 Directory 服务器进行身份验证。对于 root 用户,这个映射是自动的,但必须通过 nsslapd-ldapimaptoentries
属性为常规用户启用该映射。将此属性设置为 on
可启用常规用户到目录服务器条目的映射。如果没有启用此属性,则只有 root 用户可以使用 autobind 向 Directory 服务器进行身份验证,所有其他用户都匿名连接。
映射本身通过 nsslapd-ldapiuidnumbertype
和 nsslapd-ldapigidnumbertype
属性配置,它将 Directory Server 属性映射到用户的 UID 和 GUID 号。
如果启用了 LDAPI,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)并启用 autobind (nsslapd-ldapiautobind
)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ldapimaptoentries: on |
3.1.1.109. nsslapd-ldapiuidnumbertype
Autobind 可用于自动对服务器验证系统用户,并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户以进行身份验证,系统用户的 UID 和 GUID 号必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype
属性指向 Directory Server 属性,将系统 UID 映射到用户条目。
只有启用了 LDAPI 时,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)、autobind 被启用(nsslapd-ldapiautobind
),并为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries
)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何目录服务器属性 |
默认值 | uidNumber |
语法 | DirectoryString |
示例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.110. nsslapd-ldifdir
在使用 db2ldif
或 db2ldif.pl
时,目录服务器会将 LDAP 数据交换格式(LDIF)格式的文件导出到此参数中设置的目录。目录必须由 Directory Server 用户和组所有。只有此用户和组必须在此目录中具有读写访问权限。
必须重启该服务才能使此属性生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | Directory Server 用户可写入的任何目录 |
默认值 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
语法 | DirectoryString |
示例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.111. nsslapd-listen-backlog-size
此属性设置套接字连接积压的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 最大 64 位整数值(9223372036854775807) |
默认值 | 128 |
语法 | 整数 |
示例 | nsslapd-listen-backlog-size: 128 |
3.1.1.112. nsslapd-listenhost (Listen to IP Address)
此属性允许多个目录服务器实例在多主目录机器上运行(或使可以限制侦听多主目录计算机的一个接口)。同一名可以有多个 IP 地址,这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将 Directory Server 实例限制为单个 IP 接口。
如果将主机名指定为 nsslapd-listenhost
值,则 Directory 服务器会为与主机名关联的每个接口响应请求。如果单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost
值,目录服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,才能使此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何本地主机名、IPv4 或 IPv6 地址 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-listenhost: ldap.example.com |
3.1.1.113. nsslapd-localhost (本地主机)
此属性指定 Directory 服务器在其上运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障切换节点的高可用性配置中,引用应指向集群的虚拟名称,而不是本地主机名。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何完全限定主机名。 |
默认值 | 安装的机器的主机名。 |
语法 | DirectoryString |
示例 | nsslapd-localhost: phonebook.example.com |
3.1.1.114. nsslapd-localuser (本地用户)
此属性将用户设置为 Directory 服务器运行的用户。用户运行的组通过检查用户的主组来派生出此属性。如果用户更改,则此实例的所有实例相关文件和目录都需要使用 chown
等工具更改为由新用户所有。
在配置服务器实例时,最初设置 nsslapd-localuser
的值。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的用户 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-localuser: dirsrv |
3.1.1.115. nsslapd-lockdir (Server Lock File Directory)
这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-instance
。在服务器重启前,对这个值的更改不会生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 服务器用户 ID 拥有的目录的绝对路径,对服务器 ID 具有写入访问权限 |
默认值 | /var/lock/dirsrv/slapd-instance |
语法 | DirectoryString |
示例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
3.1.1.116. nsslapd-localssf
nsslapd-localssf
参数为 LDAPI 连接设置安全强度因素(SSF)。只有在 nsslapd-localssf
中设置的值大于或等于 nsslapd-minssf
参数中设置的值时,目录服务器才会允许 LDAPI 连接。因此,LDAPI 连接符合 nsslapd-minssf
中设置的最小 SSF。
您不必重新启动服务器才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 0 到最大 32 位整数值(2147483647) |
默认值 | 71 |
语法 | 整数 |
示例 | nsslapd-localssf: 71 |
3.1.1.117. nsslapd-logging-hr-timestamps-enabled (Enable 或 Disable High-resolution Log Timestamps)
控制日志是否使用高分辨率时间戳,以精确度为纳秒,或者采用一秒精确的标准分辨率时间戳。默认启用此选项。将此选项设置为 off
,将日志时间戳恢复为一秒的精度。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 |
|
默认值 |
|
语法 | DirectoryString |
示例 | nsslapd-logging-hr-timestamps-enabled: |
3.1.1.118. nsslapd-maxbersize(最大消息大小)
定义传入消息允许的最大大小,以字节为单位。这将限制由 Directory 服务器处理的 LDAP 请求的大小。限制请求大小可防止某种形式拒绝服务攻击。
限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。
此设置不需要服务器重启才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 2GB(2,147,483,647 字节)
零 |
默认值 | 2097152 |
语法 | 整数 |
示例 | nsslapd-maxbersize: 2097152 |
3.1.1.119. nsslapd-maxdescriptors(最大文件描述符)
此属性设置 Directory 服务器尝试使用的最大、平台相关的文件描述符。每当客户端连接到服务器时,会使用文件描述符。访问日志、错误日志、数据库文件(索引和事务日志)以及到其他服务器的套接字(用于复制和链)也使用文件描述符。
用于提供客户端连接的 TCP/IP 可用描述符数由 nsslapd-conntablesize
属性决定。这个属性的默认值被设置为文件描述符软限制,默认值为 1024。但是,如果您手动配置此属性,服务器会更新进程文件描述符软限制以匹配。
如果这个值设置得太高,Directory 服务器会查询操作系统以获取最大允许值,然后使用该值。它还会在错误日志中记录信息。如果此值远程设置为无效值,使用 Directory Server Console 或 ldapmodify
,服务器会拒绝新值,保留旧值,并出现错误。
有些操作系统允许用户配置可供进程使用的文件描述符数。有关文件描述符限制和配置的详情,请查看操作系统文档。可以使用 dsktune
程序(在 Red Hat Directory Server 安装指南中介绍)来推荐系统内核或 TCP/IP 调整属性的更改,包括根据需要增加文件描述符数量。如果 Directory 服务器拒绝连接,则这个属性的值会增加,因为它没有文件描述符。当发生这种情况时,以下信息会写入 Directory Server 的错误日志文件中:
Not listening for new connections -- too many fds open
有关增加进入连接数量的更多信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
UNIX shell 通常对文件描述符的数量具有可配置的限制。有关 限制和
ulimit
的更多信息,请参阅操作系统文档,因为这些限制通常会导致问题。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到 65535 |
默认值 | 4096 |
语法 | 整数 |
示例 | nsslapd-maxdescriptors: 4096 |
3.1.1.120. nsslapd-maxsasliosize(最大 SASL 数据包大小)
当用户通过 SASL GSS-API 对 Directory 服务器进行身份验证时,服务器必须根据客户端请求的内存数量来为客户端分配一定内存量来执行 LDAP 操作。攻击者可以发送一个大型数据包的大小,导致 Directory 服务器崩溃或者将其作为拒绝服务攻击的一部分会被无限期地绑定。
可使用 nsslapd-maxsasliosize
属性限制 Directory 服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大允许 SASL IO 数据包大小。
当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize
限制时,服务器会立即断开客户端并将消息记录到错误日志,因此管理员可以在必要时调整设置。
此属性值以字节为单位指定。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | * -1(无限)到 32 位系统中最大 32 位整数值(2147483647) * -1(无限)到 64 位系统中的最多 64 位整数值(9223372036854775807) |
默认值 | 2097152 (2MB) |
语法 | 整数 |
示例 | nsslapd-maxsasliosize: 2097152 |
3.1.1.121. nsslapd-maxthreadsperconn(每个连接的最大线程数)
定义连接应使用的最大线程数。对于客户端绑定并且仅在 unbinding 前执行一两个操作的一个正常操作,请使用默认值。对于客户端绑定和同时发出许多请求的情况,请增加这个值,从而使每个连接有足够的资源执行所有操作。此属性在服务器控制台上不可用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1,最大线程数 |
默认值 | 5 |
语法 | 整数 |
示例 | nsslapd-maxthreadsperconn: 5 |
3.1.1.122. nsslapd-minssf
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。nsslapd-minssf
属性设置到服务器的任何连接的最小 SSF 要求;任何比最小 SSF 弱的连接尝试都会被拒绝。
TLS 和 SASL 连接可以在与 Directory 服务器的连接中混合使用。这些连接通常有不同的 SSF。两个 SSFs 的使用高于最低 SSF 要求。
将 SSF 值设置为 0 表示没有最小设置。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何正整数 |
默认值 | 0(off) |
语法 | DirectoryString |
示例 | nsslapd-minssf: 128 |
3.1.1.123. nsslapd-minssf-exclude-rootdse
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。
nsslapd-minssf-exclude-rootdse
属性可为任何与服务器的连接设置最低 SSF 要求,除了查询 root DSE 之外。这会对大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取服务器配置所需的信息,而无需首先建立安全连接。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何正整数 |
默认值 | 0(off) |
语法 | DirectoryString |
示例 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.124. nsslapd-moddn-aci
此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-moddn-aci: on |
3.1.1.125. nsslapd-malloc-mmap-threshold
如果使用 systemctl
实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/
服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv
-name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_MMAP_THRESHOLD
环境变量,nsslapd-malloc-mmap-threshold
参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_MMAP_THRESHOLD
参数描述。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 33554432 |
默认值 |
请参阅 mallopt(3)man page 中的 |
语法 | 整数 |
示例 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.126. nsslapd-malloc-mxfast
如果使用 systemctl
实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/
服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv
-name 文件中设置环境变量,否则不会将环境变量传递给
通过编辑服务文件来设置 M_MXFAST
环境变量,nsslapd-malloc-mxfast
参数可让您在 Directory 服务器配置中设置值。详情请查看 mallopt(3)man page 中的 M_MXFAST
参数描述。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 80 * (sizeof(size_t) / 4) |
默认值 |
请参阅 mallopt(3)man page 中的 |
语法 | 整数 |
示例 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.127. nsslapd-malloc-trim-threshold
如果使用 systemctl
实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/
服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv
-name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_TRIM_THRESHOLD
环境变量,nsslapd-malloc-trim-threshold
参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_TRIM_THRESHOLD
参数描述。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 2^31-1 |
默认值 |
请参阅 mallopt(3)man page 中的 |
语法 | 整数 |
示例 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.128. nsslapd-nagle
当此属性的值 关闭时
,将设置 TCP_NODELAY
选项,以便 LDAP 响应(如条目或结果消息)立即发送到客户端。当属性打开时,会应用默认 TCP 行为;特别是,发送数据会被延迟,以便将其他数据分组到底层网络 MTU 大小的一个数据包中,通常为以太网的 1500 字节。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-nagle: off |
3.1.1.129. nsslapd-ndn-cache-enabled
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled
参数,目录服务器在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size
参数,以设置此缓存的最大大小。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-ndn-cache-enabled: on |
3.1.1.130. nsslapd-ndn-cache-max-size
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled
参数,目录服务器在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size
参数设置这个缓存的最大大小。
如果请求的 DN 尚未缓存,则它会被规范化并添加。当超过缓存大小限制时,目录服务器会从缓存中删除最近使用的 10,000 DN。但是,最小 10,000 DN 总是被缓存。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 0 到最大 32 位整数值(2147483647) |
默认值 | 20971520 |
语法 | 整数 |
示例 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.131. nsslapd-outbound-ldap-io-timeout
此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000
毫秒(5 分钟)。值为 0
表示服务器不会对 I/O 等待时间施加限制。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到最大 32 位整数值(2147483647) |
默认值 | 300000 |
语法 | DirectoryString |
示例 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.132. nsslapd-pagedsizelimit(为 Simple Paged Results Searches 为限制)
此属性设置从 专门使用简单页结果控制的 搜索操作返回的最大条目数。这会覆盖页面搜索的 nsslapd-sizelimit
属性。
如果将此值设置为零,则使用 nsslapd-sizelimit
属性来分页搜索以及非页面搜索。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) |
默认值 | |
语法 | 整数 |
示例 | nsslapd-pagedsizelimit: 10000 |
3.1.1.133. nsslapd-plug-in
此只读属性列出了由服务器加载的语法和匹配规则插件的插件条目的 DN。
3.1.1.134. nsslapd-plugin-binddn-tracking
设置用作条目修饰符的绑定 DN,即使操作本身是由服务器插件启动的。执行该操作的特定插件列在单独的操作属性 internalModifiersname
中。
个更改可以触发目录树中的其他自动更改。当删除某个用户时,例如,该用户将自动从它所属的任何组中删除。用户的初始删除由任何用户帐户绑定到服务器执行,但对组(默认)的更新显示为由插件执行,没有关于哪个用户启动该更新的信息。nsslapd-plugin-binddn-tracking
属性允许服务器跟踪哪个用户源自更新操作,以及实际执行它的内部插件。例如:
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
此属性默认为禁用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-plugin-binddn-tracking: on |
3.1.1.135. nsslapd-plugin-logging
默认情况下,即使访问日志被设置为记录内部操作,在访问日志文件中不会记录插件内部操作。您可以使用此参数在各个插件配置中启用日志,而不必在全局范围内控制它。
启用后,插件使用此全局设置,如果已启用,则日志访问和审计事件。
如果启用了 nsslapd-plugin-logging
,并将 nsslapd-accesslog-level
设置为记录内部操作,未索引搜索和其他内部操作会记录到访问日志文件中。
如果没有设置 nsslapd-plugin-logging
,则来自插件的未索引搜索仍会在 Directory Server 错误日志中记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-plugin-logging: off |
3.1.1.136. nsslapd-port (Port Number)
此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS,请使用 Start TLS 扩展操作。此所选端口在主机系统上必须是唯一的;确保没有其他应用程序试图使用相同的端口号。指定小于 1024
的端口号表示目录服务器必须以 root
用户身份启动。
服务器在启动时将其 uid
设置为 nsslapd-localuser
值。更改配置目录的端口号时,必须更新配置目录中对应的服务器实例条目。
必须重新启动服务器,以便考虑端口号更改。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 65535 |
默认值 | 389 |
语法 | 整数 |
示例 | nsslapd-port: 389 |
将端口号设置为零(0
),以禁用 LDAP 端口(如果启用了 LDAPS 端口)。
3.1.1.137. nsslapd-privatenamespaces
此 read-only 属性包含私有命名上下文 cn=config
、cn=schema
和 cn=monitor
的列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | cn=config, cn=schema, 和 cn=monitor |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-privatenamespaces: cn=config |
3.1.1.138. nsslapd-pwpolicy-inherit-global (Inherit Global Password Syntax)
如果没有设置细粒度密码语法,则即使配置了全局密码语法,也不会检查新的或更新的密码。要继承全局细粒度密码语法,请将此属性设置为 上的
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-pwpolicy-inherit-global: off |
3.1.1.139. nsslapd-pwpolicy-local (Enable Subtree- 和 User-Level Password Policy)
打开和关闭细粒度(subtree- 和 user-level)密码策略。
如果此属性的值为 off
,则目录中的所有条目( cn=Directory Manager
除外)都受到全局密码策略的影响;服务器会忽略任何定义的子树/用户级别密码策略。
如果此属性在 上具有
值,服务器会在子树和用户级别上检查密码策略,并强制实施这些策略。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-pwpolicy-local: off |
3.1.1.140. nsslapd-readonly (Read Only)
此属性设置整个服务器是否处于只读模式,这意味着数据库中的数据也不会修改配置信息。任何尝试以只读模式修改数据库都会返回一个错误,表示服务器无法了解如何执行操作。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-readonly: off |
3.1.1.141. nsslapd-referral (Referral)
此多值属性指定在服务器收到不属于本地树的条目请求时的后缀返回的 LDAP URL;即,后缀的条目与任何后缀属性中指定的值不匹配。例如,假设服务器只包含条目:
ou=People,dc=example,dc=com
但是,请求用于这个条目:
ou=Groups,dc=example,dc=com
在这种情况下,引用会被传递回客户端,以便 LDAP 客户端找到包含请求条目的服务器。虽然每个目录服务器实例只允许一个引用,但此引用可以有多个值。
要使用 TLS 通信,referral 属性的格式应为 ldaps://
server-location。
启动 TLS 不支持引用。
有关管理引用的更多信息,请参阅 红帽目录服务器管理指南 中的"配置目录数据库"章节。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 LDAP URL |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.142. nsslapd-referralmode (Referral Mode)
设置后,此属性向任何后缀上的任何请求发回引用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 LDAP URL |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.143. nsslapd-require-secure-binds
这个参数要求用户通过受保护的连接(如 TLS、StartTLS 或 SASL)而不是常规连接对目录进行身份验证。
这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成,即使启用了 nsslapd-require-secure-binds
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-require-secure-binds: on |
3.1.1.144. nsslapd-requiresrestart
此参数列出其他核心配置属性要求修改后重新启动服务器。这意味着,如果 nsslapd-requiresrestart
中列出的任何属性已更改,则新设置在服务器重启后才会生效。可在 ldapsearch
中返回属性列表:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
此属性为多值。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何核心服务器配置属性 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-requiresrestart: nsslapd-cachesize |
3.1.1.145. nsslapd-reservedescriptors (Reserved File Descriptors)
此属性指定目录服务器为管理非客户端连接保留的文件描述符数量,如索引管理和管理复制。服务器为此保留的文件描述符数量,从提供 LDAP 客户端连接的文件描述符总数中减去(请参阅 第 3.1.1.119 节 “nsslapd-maxdescriptors(最大文件描述符)”)。
目录服务器的大多数安装都应不需要更改此属性。但是,如果以下所有对象都为 true,请考虑增加此属性的值:
- 服务器正在复制到大量消费者服务器(超过 10),或者服务器正在维护大量索引文件(超过 30)。
- 服务器为大量 LDAP 连接提供服务。
- 存在错误消息报告服务器无法打开文件描述符(实际错误消息根据服务器试图执行的操作而异),但这些错误消息与管理客户端 LDAP 连接 无关。
增加此属性的值可能会导致更多的 LDAP 客户端无法访问该目录。因此,此属性的值会增加,同时增加 nsslapd-maxdescriptors
属性的值。如果服务器已使用操作系统允许进程可以使用的最大文件描述符数,则可能无法增加 nsslapd-maxdescriptors
值;有关详细信息,请参阅操作系统文档。如果是这种情况,请通过导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。有关传入连接的文件描述符使用情况的信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
为了帮助计算为此属性设置的文件描述符数量,请使用以下公式:
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
- NldbmBackends 是 ldbm 数据库的数量。
- NglobalIndex 是所有数据库(包括系统索引)配置的索引总数。(默认为 8 个系统索引和每个数据库 17 个额外索引)。
- ReplicationDescriptor 为 8 (8)以及服务器中可以充当供应商或 hub 的副本数(NSupplierReplica)。
-
ChainingBackendDescriptors 是 nsOperationConnectionsLimit (a chaining or database link configuration attribute;
10
default)的 NchainingBackend times。 -
如果配置了 PTA,PTADescriptors 为
3
,如果没有配置 PTA,则为 0。 -
如果配置了 TLS,则 SSLDescriptors 为
5 (
4 个文件 + 1 侦听套接字),如果未配置 TLS,则为 0。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到 65535 |
默认值 | 64 |
语法 | 整数 |
示例 | nsslapd-reservedescriptors: 64 |
3.1.1.146. nsslapd-re return-exact-case(Re return Exact Case)
返回客户端请求的属性类型名称的确切情况。虽然与 LDAPv3 兼容的客户端必须忽略属性名称,但有些客户端应用程序需要属性的名称与在 Directory 服务器返回属性时所列出的属性完全匹配。但是,大多数客户端应用会忽略属性的大小写;因此,此属性被禁用。不要修改它,除非有旧客户端可以检查从服务器返回的属性名称的情况。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-re return-exact-case: off |
3.1.1.147. nsslapd-rewrite-rfc1274
此属性已弃用,并将在以后的版本中删除。
此属性仅适用于需要使用其 RFC 1274 名称返回属性类型的 LDAPv2 客户端。为这些客户端将 值设置为 上的
。默认为 off
。
3.1.1.148. nsslapd-rootdn(管理器 DN)
此属性设置条目的可分辨名称(DN),这些条目不受访问控制限制、对该目录操作的管理限制或一般的资源限值。不必是与此 DN 对应的条目,默认情况下没有此 DN 的条目,因此可以接受 cn=Directory Manager
等值。
有关更改根 DN 的详情,请参考 Red Hat Directory Server Administration Guide 中的"创建目录条目"章节。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的可识别名称 |
默认值 | |
语法 | DN |
示例 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.149. nsslapd-rootpw(Root Password)
此属性设置与 Manager DN 关联的密码。提供 root 密码后,它会根据为 nsslapd-rootpwstoragescheme
属性选择的加密方法进行加密。从服务器控制台查看时,此属性显示值 *
。从 dse.ldif
文件中查看时,此属性显示加密方法后跟密码的加密字符串。示例中显示了在 dse.ldif
文件中显示的密码,而不是实际密码。
在服务器设置中配置根 DN 时,需要一个 root 密码。但是,可以通过直接编辑 文件,从 dse.ldif
中删除 root 密码。在这种情况下,根 DN 只能获得对目录的相同访问权限,以进行匿名访问。当为数据库配置了 root DN 时,请务必确保在 dse.
conf 中定义 root 密码。pwdhash
命令行实用程序可创建一个新的 root 密码。更多信息请参阅 第 9.6 节 “pwdhash”。
通过命令行重置 Directory Manager 密码时,请勿在 密码中使用大括号({}
)。root 密码以 {password-storage-scheme}hashed_password 格式保存。大括号中的任何字符都由服务器解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案,或者后面的密码没有正确散列,则 Directory Manager 无法绑定到服务器。