配置、命令和文件参考


Red Hat Directory Server 11

配置目录服务器的参考指南

摘要

这是 Red Hat Directory Server 的配置参数、服务器模式、文件和命令行工具的引用。

前言

配置目录服务器的参考指南

Copyright 2021 Red Hat, Inc.

本文档使用红帽根据 Creative Commons Attribution-ShareAlike 3.0 Unported License.如果您发布本文档,或修改本文档,则必须向 Red Hat, Inc. 提供相关文档,并提供原始版本的链接。如果修改了相关文档,则必须删除所有红帽商标。

作为本文档的许可者,红帽可能会放弃强制制执行 CC-BY-SA 第4d 条款,且不声明该条款在适用条款允许的最大限度内有效。

Red Hat、Red Hat Enterprise Linux、Shadowman 商标、JBoss、OpenShift、Fedora、Infinity 商标以及 RHCE 都是在美国及其他国家的注册商标。

Linux 是 Linus Torvalds 在美国和其他国家/地区的注册商标。

Java 是 Oracle 和/或其附属公司的注册商标。

XFS 是 Silicon Graphics International Corp. 或其子公司在美国和/或其他国家或地区的注册商标。

MySQL 是美国、欧洲联合和其他国家的 MySQL AB 注册商标。

Node.js 是 Joyent 的官方商标。Red Hat Software Collections 与官方 Joyent Node.js 开源或商业项目没有正式关联或被正式认可。

OpenStack Word Mark 和 OpenStack 徽标是 OpenStack Foundation 的注册商标/服务标记或商标/服务标记,在美国和其它国家/地区,可根据 OpenStack Foundation 的许可使用。我们不附属于 OpenStack Foundation 或 OpenStack 社区。

所有其他商标均由其各自所有者所有。

使开源更具 Incsive

红帽致力于替换我们的代码、文档和 Web 属性中有问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息。

关于此参考信息

Red Hat Directory Server(Directory Server)是一个基于行业标准的轻量级目录访问协议(LDAP)的强大、可扩展的分布式目录服务器。目录服务器是构建中央化和分布式数据库的基石,可用于内部内部、交易合作伙伴以及公共互联网来接触客户。

本参考涵盖了服务器配置和命令行实用程序。它主要针对想要使用命令行访问该目录的目录管理员和经验丰富的目录用户而设计。配置服务器后,使用此参考来帮助维护服务器。

也可以通过 Directory Server Console(一个图形用户界面)来管理目录服务器。Red Hat Directory Server Administration Guide 介绍如何进行此操作,并更全面地解释各个管理任务。

1. 目录服务器概述

Directory 服务器的主要组件包括:

  • LDAP 服务器 - LDAP v3 兼容网络守护进程。
  • 目录服务器控制台 - 图形化管理控制台,可显著减少设置和维护您的目录服务。
  • SNMP 代理 - 可使用简单网络管理协议(SNMP)监控目录服务器。

第 1 章 简介

目录服务器基于开放系统服务器协议,称为轻量级目录访问协议(LDAP)。目录服务器是一种强大的可扩展服务器,用来管理大规模目录,以支持通过互联网上的企业范围内的用户和资源、extranets 和电子商务应用程序。目录服务器在机器上作为 ns-slapd 进程或服务运行。服务器管理目录数据库并响应客户端请求。

大部分目录服务器管理任务可以通过 Directory Server 提供的图形用户界面来执行。有关使用 Directory 服务器控制台的详情,请参考 Red Hat Directory Server Administration Guide

本参考是通过使用命令行更改服务器配置属性以及使用命令行工具和脚本来管理目录服务器的其他方法。

1.1. 目录服务器配置

用于存储目录服务器配置信息和所有服务器属性列表的格式和方法可在两个章节 第 3 章 核心服务器配置参考第 4 章 插件实现的服务器功能参考 中找到。

1.2. 目录服务器实例文件参考

第 2.1 节 “目录服务器实例独立文件和目录” 概述了 Directory Server 每个实例中存储的文件和配置信息。这可用于帮助管理员了解目录活动中的更改或不存在更改。从安全角度来说,这也有助于用户通过突出显示正常更改和异常行为来检测错误和入侵。

1.3. 使用 Directory Server 命令行 utility

目录服务器包含一组可配置的命令行实用程序,它们可搜索和修改目录中的条目,并管理服务器。第 9 章 命令行实用程序 描述这些命令行实用程序,包含关于存储实用程序的位置以及如何访问它们的信息。

第 2 章 文件位置概述

Red Hat Directory Server 与 Filesystem Hierarchy Standards(FHS)兼容。有关 FHS 的详情,请参考 http://refspecs.linuxfoundation.org/fhs.shtml

2.1. 目录服务器实例独立文件和目录

以下是 Directory 服务器的实例相关的默认文件和目录位置:

类型位置

命令行工具

/usr/bin/

/usr/sbin/

systemd 单元文件

/usr/lib/systemd/system/dirsrv.target

/etc/systemd/system/dirsrv.target.wants/

2.2. 目录服务器实例特定文件和目录

要分隔在同一主机上运行的多个实例,某些文件和目录包含实例的名称。您在 Directory 服务器设置过程中设置实例名称。默认情况下,这是没有域名的主机名。例如,如果您的完全限定的域名是 server.example.com,则默认实例名称为 server

以下是 Directory 服务器特定实例的默认文件和目录位置:

类型位置

备份文件

/var/lib/dirsrv/slapd-instance_name/bak/

配置文件

/etc/dirsrv/slapd-instance_name/

证书和密钥数据库

/etc/dirsrv/slapd-instance_name/

数据库文件

/var/lib/dirsrv/slapd-instance_name/db/

LDIF 文件

/var/lib/dirsrv/slapd-instance/ldif/

锁定文件

/var/lock/dirsrv/slapd-instance_name/

日志文件

/var/log/dirsrv/slapd-instance_name/

PID 文件

/var/run/dirsrv/instance_name.pid

systemd 单元文件

/etc/systemd/system/dirsrv.target.wants/dirsrv@instance_name.service

2.2.1. 配置文件

每个目录服务器实例将其配置文件存储在 /etc/dirsrv/slapd-实例 目录中。

Red Hat Directory Server 的配置信息作为 LDAP 条目存储在目录本身中。因此,必须通过使用服务器本身而非直接编辑配置文件来实施对服务器配置的更改。这种配置存储方法的主要优点是,它允许目录管理员在仍在运行时使用 LDAP 重新配置服务器,从而避免需要关闭服务器以多数配置更改。

2.2.1.1. Directory 服务器配置概述

当设置 Directory 服务器时,其配置会作为目录中的一系列 LDAP 条目存储在 subtree cn=config 下。当服务器启动时,cn=config 子树的内容会从文件读取(dse.ldif)(采用 LDIF 格式)。此 dse.ldif 文件包含所有服务器配置信息。此文件的最新版本名为 dse.ldif,上次修改前的版本名为 dse.ldif.bak,以及服务器成功启动的最新文件名为 dse.ldif.startOK

目录服务器的许多特性是设计为插入到核心服务器中的离散模块。每个插件的内部配置详情包括在 cn=plugins,cn=config 下的独立条目中。例如,Telarmphone 语法插件的配置包含在该条目中:

cn=Telephone Syntax,cn=plugins,cn=config

同样,特定于数据库的配置存储在 下

cn=ldbm database,cn=plugins,cn=config for local databases, cn=chaining database,cn=plugins,cn=config for database links.

下图说明了配置数据如何适合 cn=config 目录信息树。

图 2.1. 目录信息树显示配置数据

cfgdit1
2.2.1.1.1. LDIF 和 Schema 配置文件

目录服务器配置数据存储在 /etc/dirsrv/slapd-实例 目录中的 LDIF 文件中。因此,如果服务器标识符是电话笔记本电脑,则配置 LDIF 文件将存储在 /etc/dirsrv/slapd- phonebook 中。

该目录还包含其他特定于服务器实例的配置文件。

模式配置也以 LDIF 格式存储,这些文件则位于 /etc/dirsrv/schema 目录中。

下表列出了与 Directory 服务器提供的所有配置文件,包括用于其他兼容服务器的模式。每个文件的前面都有一个数字,指明应加载它们的顺序(按数字,然后按字母顺序排列)。

表 2.1. 目录服务器 LDIF 配置文件
配置文件名称用途

dse.ldif

包含由服务器启动时由 目录创建的前端目录 Entries。这包括 Root DSE("")和 cn=configcn=monitor 的内容。

00core.ldif

仅包含那些使用裸机功能启动服务器(无用户 schema,任何非核心功能)所需的模式定义。用户、特性和应用的其他架构在 01common.ldif 和其他架构文件中找到。不要修改此文件。

01common.ldif

包含 LDAPv3 标准操作模式,如 subschemaSubentry、LDAPv3 标准用户和在 RFC 2256 中定义的用户和机构 schema(基于 X.520/X.521)、InetOrgPerson 和其他广泛使用的属性,以及 Directory Server 配置中使用的操作属性。修改此文件会导致互操作性问题。用户定义的属性应该通过 Directory Server 控制台添加。

05rfc2247.ldif

RFC 2247 和相关试验模式的模式,从"在 LDAP/X500 Distinguished Name 中使用域"

05rfc2927.ldif

RFC 2927 的 schema,"LDAP 架构的MIME 目录配置文件"。包含在 subschema 子条目中显示属性所需的 ldapSchemas 操作属性。

10presence.ldif

传统.用于即时消息的 schema(在线)信息;文件列出了默认对象类,其属性必须添加到用户条目中,以便使即时信息可供该用户使用。

10rfc2307.ldif

RFC 2307 的 schema,"使用 LDAP 作为网络信息服务的方法"。当该模式可用时,可以使用 10rfc2307bis (新版本的 rfc2307 )替换它。

20subscriber.ldif

包含新的 schema 元素和 Nortel 订阅者互操作性规格。还包含 adminRolememberOf 属性和 inetAdmin 对象类,之前存储在 50ns-delegated-admin.ldif 文件中。

25java-object.ldif

RFC 2713 的 schema,"在 LDAP 目录中代表 Java® 对象的架构"。

28pilot.ldif

包含 RFC 1274 的 pilot 目录 schema,这已不再用于新部署。将来的 RFC 1274 可以成功弃用一些或所有 28pilot.ldif 属性类型和类。

30ns-common.ldif

架构中包含与 Directory Server 控制台框架通用的对象类和属性。

50ns-admin.ldif

红帽管理服务器使用的模式.

50ns-certificate.ldif

红帽证书管理系统的模式.

50ns-directory.ldif

包含 Directory Server 4.12 及更早的版本使用的其他配置模式,它不再适用于 Directory Server 的当前版本。在 Directory Server 4.12 和当前版本之间复制这个 schema。

50ns-mail.ldif

Netscape Messaging Server 用来定义邮件用户和邮件组的架构。

50ns-value.ldif

服务器值项属性的 schema。

50ns-web.ldif

Netscape Web 服务器的模式。

60pam-plugin.ldif

保留以供将来使用。

99user.ldif

由目录服务器复制消费者维护的用户定义架构,其中包含来自供应商的属性和对象类。

2.2.1.1.2. 服务器配置机构如何组织

dse.ldif 文件包含所有配置信息,包括在服务器启动时由目录创建的目录特定条目,如与数据库相关的条目。该文件包含 root Directory Server 条目(或 DSE,名为 ""),以及 cn=configcn=monitor 的内容。

当服务器生成 dse.ldif 文件时,它会按照 cn=config 下的目录中显示的顺序列出条目,通常是与 LDAP 搜索 base cn=config 的子树范围相同的顺序。

DSE.ldif 还包含 cn=monitor 条目,该条目基本上是只读的,但可在其上设置 ACI。

注意

dse.ldif 文件不包含 cn=config 中的每个属性。如果管理员未设置 属性并且具有默认值,服务器将不会将其写入 dse.ldif。要查看 cn=config 中的每个属性,请使用 ldapsearch

配置属性

在配置条目中,每个属性都以属性名称表示。属性的值与属性的配置对应。

以下代码示例是 Directory 服务器的 dse.ldif 文件的一部分。示例中显示,模式检查已被启用;这由 nsslapd-schemacheck 属性表示,该值取了 上的 值。

dn: cn=config
objectclass: top
objectclass: extensibleObject
objectclass: nsslapdConfig
nsslapd-accesslog-logging-enabled: on
nsslapd-enquote-sup-oc: off
nsslapd-localhost: phonebook.example.com
nsslapd-schemacheck: on
nsslapd-port: 389
nsslapd-localuser: dirsrv
...

配置插件功能

Directory Server 插件功能的每个部分的配置都有自己的单独的条目,以及子树 cn=plugins,cn=config 下的属性集合。以下代码示例是示例插件(Telefphone 语法插件)的配置条目示例。

dn: cn=Telephone Syntax,cn=plugins,cn=config
objectclass: top
objectclass: nsSlapdPlugin
objectclass: extensibleObject
cn: Telephone Syntax
nsslapd-pluginType: syntax
nsslapd-pluginEnabled: on

其中一些属性适用于所有插件,某些属性可能特定于特定的插件。通过在 cn=config 子树中执行 ldapsearch,检查给定插件目前正在使用哪些属性。

有关 Directory Server 支持的插件列表、通用插件配置信息、插件配置属性参考和需要重启配置更改的插件列表,请参阅 第 4 章 插件实现的服务器功能参考

配置数据库

数据库插件条目下的 cn=UserRoot 子树包含包含设置过程中创建的默认后缀的数据库的配置数据。

这些条目和子项具有许多属性,用于配置不同的数据库设置,如缓存大小、索引文件的路径和事务日志、用于监控和统计信息的条目和属性;以及数据库索引。

配置索引

索引的配置信息作为条目存储在以下 information-tree 节点的 Directory Server 中:

  • cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config
  • cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config

有关一般索引的更多信息,请参阅 Red Hat Directory Server Administration Guide。有关索引配置属性的详情,请参考 第 4.4.1 节 “database Attributes in cn=config,cn=ldbm database,cn=plugins,cn=config”

2.2.1.2. 访问和修改服务器配置

本节讨论配置条目的访问控制,并描述了服务器配置可以查看和修改的各种方法。它还涵盖了对需要重新启动服务器重启的属性而进行和讨论的修改类型的限制,以使更改生效。

2.2.1.2.1. 配置条目的访问控制

安装 Directory Server 时,会为 cn=config 下的所有条目实施默认的访问控制指令(ACIs)。以下代码示例是这些默认 ACI 的示例。

aci: (targetattr = "*")(version 3.0; acl "Local Directory Administrators Group"; allow (all)
     groupdn = "ldap:///ou=Directory Administrators,dc=example,dc=com";)

这些默认 ACI 允许以下用户在所有配置属性中执行所有 LDAP 操作:

  • Configuration Administrators 组的成员。
  • 作为管理员的用户,在设置时配置的 admin 帐户。默认情况下,这与登录到控制台的用户帐户相同。
  • 本地目录管理员组成员。
  • SIE(服务器实例条目)组,通常使用 Set Access Permissions 进程主控制台进行分配。

有关访问控制的更多信息,请参阅 Red Hat Directory Server 管理指南

2.2.1.2.2. 更改配置属性

可以通过三种方式查看和更改服务器属性:通过目录服务器控制台、执行 ldapsearchldapmodify 命令,或者通过手动编辑 dse.ldif 文件来查看和更改。

注意

在编辑 dse.ldif 文件前,必须停止 服务器;否则,更改将会丢失。建议只对无法动态更改的属性更改 dse.ldif 文件。如需更多信息,请参阅 配置更改 Requiring Server Restart

以下小节介绍了如何使用 LDAP 修改条目(使用 Directory 服务器控制台和使用命令行),用于修改条目的限制、适用于修改属性的限制以及需要重启的配置更改。

使用 LDAP 修改配置条目

可使用 LDAP 使用 Directory 服务器控制台搜索和修改目录中的配置条目,或者执行 ldapsearchldapmodify 操作的方式与其他目录条目相同。使用 LDAP 修改条目的优点是可在服务器运行时进行更改。

如需更多信息,请参阅 Red Hat Directory Server 管理指南 中的"创建目录条目"一章。但是,某些更改需要在服务器考虑前重启它们。如需更多信息,请参阅 配置更改 Requiring Server Restart

注意

与任何一组配置文件一样,在更改或删除 cn=config 子树中的节点时应小心,因为这会影响 Directory 服务器功能的风险。

通过在 cn=config 子树中执行 ldapsearch 操作,包括始终使用默认值的属性来查看:

# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)"
  • bindDN 是安装服务器时为 Directory Manager 选择的 DN(默认为cn=Directory Manager )。
  • password 是为 Directory Manager 选择的密码。

要禁用插件,请使用 ldapmodify 编辑 nsslapd-pluginEnabled 属性:

# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: cn=Telephone Syntax,cn=plugins,cn=config
changetype: modify
replace: nsslapd-pluginEnabled
nsslapd-pluginEnabled: off

修改配置条目和属性的限制

修改服务器条目和属性时会应用某些限制:

  • cn=monitor 条目及其子条目为只读且不可修改,但管理 ACI 除外。
  • 如果某一属性添加到 cn=config,则服务器会忽略它。
  • 如果为属性输入无效值,服务器会忽略它。
  • 由于 ldapdelete 被用来删除整个条目,因此请使用 ldapmodify 从条目中删除属性。

配置更改 Requiring Server Restart

在服务器运行时无法更改一些配置属性。在这些情况下,为了使更改生效,需要关闭并重新启动服务器。修改应通过 Directory 服务器控制台或通过手动编辑 dse.ldif 文件进行。下面列出了需要服务器重启的一些属性以使任何更改生效。此列表不详细;查看完整的列表,请运行 ldapsearch,再搜索 nsslapd-requiresrestart 属性。例如:

# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart

nsslapd-cachesize

nsslapd-certdir

nsslapd-dbcachesize

nsslapd-dbncache

nsslapd-plugin

nsslapd-changelogdir

nsslapd-changelogmaxage

nsslapd-changelogmaxentries

nsslapd-port

nsslapd-schemadir

nsslapd-saslpath

nsslapd-secureport

nsslapd-tmpdir

nsSSLclientauth

nsSSLSessionTimeout

nsslapd-conntablesize

nsslapd-lockdir

nsslapd-maxdescriptors

nsslapd-reservedescriptors

nsslapd-listenhost

nsslapd-schema-ignore-trailing-spaces

nsslapd-securelistenhost

nsslapd-workingdir

nsslapd-return-exact-case

nsslapd-maxbersize [a]

 
[a] 虽然此属性需要重启,但它不会在搜索中返回。

删除配置属性

所有核心配置属性都不存在,即使没有在 /etc/dirsrv/slapd-instance-name/dse.ldif 文件中写入,因为它们都具有服务器使用的默认值。

有关删除无法删除的核心配置属性和无法删除的属性列表的详情,请参考 Red Hat Directory Server Administration Guide 中的对应部分。

2.2.2. 数据库文件

每个目录服务器实例都包含用于存储所有 数据库文件的 /var/lib/dirsrv/slapd-实例/db 目录。以下是 /var/lib/dirsrv/slapd-实例/db 目录内容的示例列表。

例 2.1. 数据库目录内容

db.001 db.002  __db.003  DBVERSION  log.0000000001  userroot/
  • db.00x 文件 - 由数据库在内部使用,不应以任何方式移动、删除或修改。
  • log.xxxxxxxxxx files - 用来存储每个数据库的事务日志。
  • DBVERSION - 用于存储数据库的版本。
  • userroot - 存储在设置中创建的用户定义的后缀(用户定义的数据库),例如: dc=example,dc=com
注意

如果创建新数据库(例如 testRoot)将目录树存储在新后缀下,则名为 testRoot 的目录也会出现在 /var/lib/dirsrv/slapd-实例/db 目录中。

以下是 用户Root 目录的内容的示例列表。

例 2.2. userroot 数据库目录内容

ancestorid.db
DBVERSION
entryrdn.db
id2entry.db
nsuniqueid.db
numsubordinates.db
objectclass.db
parentid.db

userroot 子目录包含以下文件:

  • ancestorid.db - 包含一个 ID 列表,以查找条目级的 ID。
  • entrydn.db - 包含用于查找任何 ID 的完整 DN 列表。
  • id2entry.db - 包含实际的目录数据库条目。如果需要,可以从此重新创建所有其他数据库文件。
  • nsuniqueid.db - 包含用来找到任何 ID 的唯一 ID 列表。
  • numsubordinates.db - 包含子条目的 ID。
  • objectClass.db - 包含具有特定对象类的 ID 列表。
  • parentid.db - 包含用于查找父 ID 的 ID 列表。

2.2.3. LDIF 文件

LDIF 文件示例存储在 /var/lib/dirsrv/slapd-实例/ldif 目录中以存储 LDIF 相关文件中。例 2.3 “LDIF 目录内容” 列出 /ldif 目录的内容。

例 2.3. LDIF 目录内容

European.ldif
Example.ldif
Example-roles.ldif
Example-views.ldif
  • 欧洲.ldif - 包含欧洲字符样本.
  • example.ldif - 示例 LDIF 文件。
  • example-roles.ldif - 是类似于 Example.ldif 的示例 LDIF 文件,但它使用角色和服务类服务而不是组来为目录管理员设置访问控制和资源限制。
注意

db2ldifdb2ldif.pl 脚本在实例目录中导出的 LDIF 文件存储在 /var/lib/dirsrv/slapd-实例/ldif 中。

2.2.4. 锁定文件

每个目录服务器实例都包含用于存储锁定相关文件的 /var/lock/dirsrv/slapd-实例 目录。以下是 锁定 目录内容的示例列表。

例 2.4. 锁定目录内容

exports/ imports/ server/

锁定机制控制目录服务器进程可在其中运行多少个副本。例如,如果有一个导入作业,则会将锁定放置在 导入/ 目录中,以防止任何其他 ns-slapd (normal)、ldif2db (另一个导入)或 db2ldif (export)操作运行。如果服务器以正常方式运行,则在 server/ 目录中有一个锁定,这会阻止导入操作(但不导出操作),而导出操作为导出操作,但 exports/ 目录中的锁定允许普通服务器操作,但可防止导入操作。

可用锁定数量可能会影响整个 Directory 服务器性能。锁定数量在 nsslapd-db-locks 属性中设置。调整该值该值会在 性能调优指南中描述

2.2.5. 日志文件

每个目录服务器实例包含一个用于存储日志文件的 /var/log/dirsrv/slapd-实例 目录。以下是 /logs 目录的内容的示例列表。

例 2.5. 日志目录内容

access                  access.20200228-171925  errors
access.20200221-162824  access.rotationinfo     errors.20200221-162824
access.20200223-171949  audit                   errors.rotationinfo
access.20200227-171818  audit.rotationinfo	slapd.stats
  • 访问审计 和错误 日志文件的内容取决于日志配置。
  • slapd.stats 文件是一个内存映射的文件,不能被编辑器读取。它包含 Directory Server SNMP 数据收集组件收集的数据。此数据由 SNMP 子代理读取,以响应 SNMP 属性查询,并告知负责处理 Directory Server SNMP 请求的 SNMP 主代理。

第 7 章 日志文件参考 包含访问、错误和审核日志文件格式及其信息的可靠概述。

2.2.6. PID 文件

当服务器启动并运行时,llaapd-serverID.pidslapd-serverID.startpid 文件会在 /var/run/dirsrv 目录中创建。两个文件都存储服务器的进程 ID。

2.2.7. 备份文件

每个目录服务器实例都包含以下目录和文件来存储与备份相关的文件:

  • /var/lib/dirsrv/slapd-实例/bak - 包含一个带有 实例、时间和日期的目录,如实例 -2020_05_02_16_56_05/,后者又保存数据库备份副本。
  • /etc/dirsrv/slapd-实例/dse_original.ldif - 这是安装时 dse.ldif 配置文件的一个备份副本。

第 3 章 核心服务器配置参考

本章为所有核心(服务器相关)属性提供字母顺序参考。第 2.2.1.1 节 “Directory 服务器配置概述” 包含有关 Red Hat Directory Server 配置文件的良好概述。

3.1. 核心服务器配置属性参考

本节介绍与核心服务器功能相关的配置属性。有关更改服务器配置的详情,请参考 第 2.2.1.2 节 “访问和修改服务器配置”。有关作为插件实现的服务器功能列表,请参阅 第 4.1 节 “服务器插件功能参考”。为了帮助实施自定义服务器功能,请联络目录服务器支持。

dse.ldif 文件中的配置信息被组织为常规配置条目 cn=config 下的信息树,如下图所示。

图 3.1. 目录信息树显示配置数据

cfgdit1

以下部分介绍了其中的大部分配置树节点。

第 4 章 插件实现的服务器功能参考 涵盖了 cn=plugins 节点。每个属性的描述包含其目录条目的 DN、其默认值、有效值及其用法示例。

注意

本章节中描述的一些条目和属性可能会在以后的发行本中有所变化。

3.1.1. cn=config

常规配置条目存储在 cn=config 条目中。cn=config 条目是一个 nsslapdConfig 对象类的实例,它随后从 extensibleObject 对象类继承。

3.1.1.1. nsslapd-accesslog(Access Log)

此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。默认情况下,日志文件中会记录以下信息:

  • 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
  • 执行的操作(如搜索、添加和修改)。
  • 访问的结果(例如,返回条目数或错误代码)。

有关关闭访问的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"一章。

要启用的访问日志,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled 配置属性必须切换到 上的。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。

表 3.1. DSE.ldif 文件属性
属性启用或禁用日志记录

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

空字符串

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

filename

Enabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

空字符串

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

filename

Disabled

参数描述

条目 DN

cn=config

有效值

任何有效的文件名。

默认值

/var/log/dirsrv/slapd-instance/access

语法

DirectoryString

示例

nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access

3.1.1.2. nsslapd-accesslog-level(Access Log Level)

此属性控制日志记录到访问日志的内容。

您不必重新启动服务器,才能使此设置生效。

参数描述

条目 DN

cn=config

有效值

* 0 - 无访问日志

* 4 - 内部访问操作的日志记录

* 256 - 用于连接、操作和结果的日志记录

* 512 - 日志记录以访问一个条目和引用

* 这些值可以一起添加,以提供所需的确切的日志类型;例如,516 (4 + 512)以获取内部访问操作、条目访问和引用日志。

默认值

256

语法

整数

示例

nsslapd-accesslog-level: 256

3.1.1.3. nsslapd-accesslog-list(Access Log Files)

此只读属性无法设置,提供访问日志轮转中使用的访问日志文件列表。

参数描述

条目 DN

cn=config

有效值

 

默认值

语法

DirectoryString

示例

nsslapd-accesslog-list: accesslog2,accesslog3

3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)

当设置为 off 时,服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器在负载过重的情况下使用访问日志,而不影响性能。但是,在调试时,有时禁用缓冲以便立即查看操作及其结果,而不必等待日志条目清空至文件。禁用日志缓冲会对负载较大服务器的性能有严重影响。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-accesslog-logbuffering: off

3.1.1.5. nsslapd-accesslog-logexpirationtime(Access Log Expiration Time)

此属性指定在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。该单元由 nsslapd-accesslog-logexpirationtimeunit 属性提供。

参数描述

条目 DN

cn=config

有效范围

-1 到最大 32 位整数值(2147483647)

值 -1 或 0 表示日志永不过期。

默认值

-1

语法

整数

示例

nsslapd-accesslog-logexpirationtime: 2

3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(Access Log Expiration Time unit)

此属性指定 nsslapd-accesslog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。

参数描述

条目 DN

cn=config

有效值

月份 | 周 | 天

默认值

month

语法

DirectoryString

示例

nsslapd-accesslog-logexpirationtimeunit: week

3.1.1.7. nsslapd-accesslog-logging-enabled(Access Log Enable Logging)

禁用并启用 accesslog 日志,但只能与 nsslapd-accesslog 属性结合使用,用于指定记录每个数据库访问的日志的路径和参数。

要启用的访问日志,此属性必须切换到 上的,并且 nsslapd-accesslog 配置属性必须具有有效的 path 和 参数。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。

表 3.2. DSE.ldif 属性
属性Enabled 或 Disabled 的日志记录

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

空字符串

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

filename

Enabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

空字符串

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

filename

Disabled

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-accesslog-logging-enabled: off

3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)

此属性以 MB 为单位指定访问日志允许消耗的最大磁盘空间量。如果超过这个值,会删除最旧的访问日志。

在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许访问日志的磁盘空间没有限制。

默认值

500

语法

整数

示例

nsslapd-accesslog-logmaxdiskspace: 500

3.1.1.9. nsslapd-accesslog-logminfreediskspace(Access Log Minimum Free Disk Space)

此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的访问日志,直到有足够的磁盘空间来满足此属性。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647)

默认值

-1

语法

整数

示例

nsslapd-accesslog-logminfreediskspace: -1

3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(Access Log Rotation Sync Enabled)

此属性设置是否与当天的特定时间同步访问日志轮转。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。

要使日志轮转与定时天同步,必须使用 nsslapd-accesslog-logrotationsynchournsslapd-accesslog-logrotationsyncmin 属性值设置为轮转日志的小时和分钟。

例如,若要每天在午夜中轮转日志文件,请通过将其值设置为 on 来启用此属性,然后将 nsslapd-accesslog-logrotationsynchournsslapd-accesslog-logrotationsync 的值设置为 0。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-accesslog-logrotationsync-enabled:

3.1.1.11. nsslapd-accesslog-logrotationsynchour(Access Log Rotation Sync Hour)

此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enablednsslapd-accesslog-logrotationsyncmin 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 23

默认值

0

语法

整数

示例

nsslapd-accesslog-logrotationsynchour: 23

3.1.1.12. nsslapd-accesslog-logrotationsyncmin(Access Log Rotation Sync Minute)

此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enablednsslapd-accesslog-logrotationsynchour 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 59

默认值

0

语法

整数

示例

nsslapd-accesslog-logrotationsyncmin: 30

3.1.1.13. nsslapd-accesslog-logrotationtime(Access Log Rotation Time)

此属性设置访问日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-accesslog-logrotationtimeunit 属性提供。

无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。

虽然不建议指定日志轮转,因为日志已无限期地增长,但有两个方法可以指定这一点。将 nsslapd-accesslog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-accesslog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-accesslog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-accesslog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.16 节 “nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)”

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示访问日志文件轮转之间的时间不受限制。

默认值

1

语法

整数

示例

nsslapd-accesslog-logrotationtime: 100

3.1.1.14. nsslapd-accesslog-logrotationtimeunit(Access Log Rotation Time unit)

此属性设置 nsslapd-accesslog-logrotationtime 属性的单元。

参数描述

条目 DN

cn=config

有效值

月份 | 周 | 天 | 小时 | 分钟

默认值

day

语法

DirectoryString

示例

nsslapd-accesslog-logrotationtimeunit: week

3.1.1.15. nsslapd-accesslog-maxlogsize(Access Log Maximum Log Size)

此属性以 MB 为单位设置最大访问日志大小。达到这个值时,访问日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-accesslog-maxlogsperdir 属性被设置为 1,服务器会忽略此属性。

在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。

默认值

100

语法

整数

示例

nsslapd-accesslog-maxlogsize: 100

3.1.1.16. nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)

此属性设置可在存储访问日志的目录中访问日志的总数。每次对访问日志进行轮转时,都会创建一个新日志文件。当访问日志目录中所含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。出于性能原因,红帽建议 不要将 这个值设置为 1,因为服务器不会轮转日志,并无限期地增加。

如果此属性的值大于 1,请检查 nsslapd-accesslog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.13 节 “nsslapd-accesslog-logrotationtime(Access Log Rotation Time)”

请注意,根据 nsslapd-accesslog-logminfreediskspacensslapd-accesslog-maxlogsize 中设置的值,实际日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir 中配置的内容。例如: 如果 nsslapd-accesslog-maxlogsperdir 使用默认值(10 文件),并且您将 nsslapd-accesslog-logfreediskspace 设置为 500 MB,并且 nsslapd-accesslog-maxlogsize 设为 100 MB,Directory 服务器只保留 5 个访问文件。

参数描述

条目 DN

cn=config

有效范围

1 到最大 32 位整数值(2147483647)

默认值

10

语法

整数

示例

nsslapd-accesslog-maxlogsperdir: 10

3.1.1.17. nsslapd-accesslog-mode(Access Log File Permission)

此属性设定了要创建访问日志文件的访问模式或文件权限。有效的值是 000777( 其镜像编号或绝对 UNIX 文件权限)的任意组合。该值必须是 3 位数字,其数字从 07 的不同:

  • 0 - none
  • 1 - 仅执行
  • 2 - 仅写入
  • 3 - 写入和执行
  • 4 - 只读
  • 5 - 读和执行
  • 6 - 读和写
  • 7 - 读、写和执行

在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。

新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。

参数描述

条目 DN

cn=config

有效范围

000 到 777

默认值

600

语法

整数

示例

nsslapd-accesslog-mode: 600

3.1.1.18. nsslapd-allow-anonymous-access

如果用户试图在没有提供任何绑定 DN 或密码的情况下连接到 Directory 服务器,则这是 匿名绑定。匿名绑定简化了通用搜索和读取操作,例如在不需要用户先向目录进行身份验证的情况下检查电话号码或电子邮件地址的目录。

但是,存在与匿名绑定相关的风险。适当的 ACI 必须就位限制为限制对敏感信息的访问,以及不允许修改和删除等操作。另外,匿名绑定可用于拒绝服务攻击或恶意人员获得对服务器的访问权限。

可以禁用匿名绑定来提高安全性(off)。默认情况下,允许匿名绑定(on)搜索和读取操作。这允许访问 常规目录条目,其中包括用户和组条目以及诸如 root DSE 的配置条目。第三个选项 rootdse 允许匿名搜索和读取访问权限来搜索 root DSE 本身,但限制对所有其他目录条目的访问。

另外,还可使用 nsslapd-anonlimitsdn 属性将资源限值放在匿名绑定中,如 第 3.1.1.22 节 “nsslapd-anonlimitsdn” 所述。

对此值的更改将在服务器重启前生效。

参数描述

条目 DN

cn=config

有效值

on | off | rootdse

默认值

on

语法

DirectoryString

示例

nsslapd-allow-anonymous-access:

3.1.1.19. nsslapd-allow-hashed-passwords

这个参数禁用预先哈希的密码检查。默认情况下,目录服务器不允许由 Directory Manager 以外的任何人设置预哈希密码。将这个权限添加到 Password Administrators 组时,您可以将此权限委派给其他用户。然而,在某些情况下,像复制合作伙伴已控制预先哈希的密码检查时,必须在 Directory 服务器上禁用此功能。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-allow-hashed-passwords: off

3.1.1.20. nsslapd-allow-unauthenticated-binds

未经身份验证的绑定是连接到 Directory 服务器的连接,用户提供了一个空密码。使用默认设置时,出于安全原因,Directory 服务器拒绝访问。

警告

红帽建议不要启用未经身份验证的绑定。这个验证方法允许用户在不以任何帐户身份提供密码的情况下绑定,包括 Directory Manager。绑定后,用户可以通过用来绑定的帐户的权限访问所有数据。

您不必重新启动服务器,才能使此设置生效。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-allow-unauthenticated-binds: off

3.1.1.21. nsslapd-allowed-sasl-mechanisms

对于每个默认,root DSE 列出了 SASL 库支持的所有机制。但是,在某些环境中,只需要某些特定的环境。nsslapd-allowed-sasl-mechanisms 属性可让您只启用某些定义的 SASL 机制。

机制名称必须包含大写字母、数字和下划线。每个机制都可以使用逗号分开,或者有空格。

注意

EXTERNAL 机制实际上没有被任何 SASL 插件使用。它是服务器内部的,主要用于 TLS 客户端身份验证。因此,EXTERNAL 机制无法被限制或控制。无论 nsslapd-allowed-sasl-mechanisms 属性中的内容,它始终出现在支持的机制列表中。

此设置不需要服务器重启才能生效。

参数描述

条目 DN

cn=config

有效值

任何有效的 SASL 机制

默认值

none(允许的所有 SASL 机制)

语法

DirectoryString

示例

nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP

3.1.1.22. nsslapd-anonlimitsdn

可以在经过身份验证的绑定上设置资源限制。资源限制可以针对单个操作(nsslapd-sizeLimit)、一个时间限制(nsslapd-timelimit)和超时期限(nsslapd-idletimeout)进行搜索,以及可以搜索的项总数(nsslapd-idletimeout )。这些资源限制可防止拒绝服务攻击,从而破坏目录服务器并改进整体性能。

在用户条目上设置资源限制。一个匿名绑定,很明显,没有关联用户条目。这意味着资源限制通常不适用于匿名操作。

要为匿名绑定设置资源限值,可以创建模板条目,并具有正确的资源限制。然后,可以添加 nsslapd-anonlimitsdn 配置属性,该属性指向此条目并将资源限制应用到匿名绑定。

参数描述

条目 DN

cn=config

有效值

任何 DN

默认值

语法

DirectoryString

示例

nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com

3.1.1.23. nsslapd-attribute-name-exceptions

此属性允许使用在属性名称中的非标准字符与旧的服务器向后兼容,如 schema 定义的属性中的 "_"。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-attribute-name-exceptions: on

3.1.1.24. nsslapd-auditlog(Audit Log)

此属性设置用于记录对每个数据库所做的更改的日志的路径和文件名。

参数描述

条目 DN

cn=config

有效值

任何有效的文件名

默认值

/var/log/dirsrv/slapd-instance/audit

语法

DirectoryString

示例

nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit

对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。

表 3.3. nsslapd-auditlog 的可组合组合
dse.ldif 中的属性启用或禁用日志记录

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

空字符串

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

filename

Enabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

空字符串

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

filename

Disabled

3.1.1.25. nsslapd-auditlog-display-attrs

使用 nsslapd-auditlog-display-attrs 属性,您可以设置目录服务器在审计日志中显示的属性,以提供有关要修改的条目的有用识别信息。通过在审计日志中添加属性,您可以检查条目中特定属性的当前状态以及条目更新的详情。

您可以通过选择以下选项之一来显示日志中的属性:

  • 要显示 Directory 服务器修改的条目的特定属性,请提供属性名称作为值。
  • 要显示多个属性,请将以空格分隔的属性名称列表作为值。
  • 要显示条目的所有属性,请使用星号 nologin 作为值。

提供目录服务器必须在审计日志中显示的属性列表,或使用星号 nologin 作为值来显示正在修改的条目的所有属性。

例如,您要将 cn 属性添加到审计日志输出中。当您将 nsslapd-auditlog-display-attrs 属性设置为 cn 时,审计日志会显示以下输出:

time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z
参数描述

条目 DN

cn=config

有效值

任何有效的属性名称。如果要显示审计日志中条目的所有属性,请使用星号。

默认值

语法

DirectoryString

示例

nsslapd-auditlog-display-attrs: cn ou

3.1.1.26. nsslapd-auditlog-list

提供审计日志文件列表。

参数描述

条目 DN

cn=config

有效值

 

默认值

语法

DirectoryString

示例

nsslapd-auditlog-list: auditlog2,auditlog3

3.1.1.27. nsslapd-auditlog-logexpirationtime(Audit Log Expiration Time)

此属性设置在删除日志文件前允许的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logexpirationtimeunit 属性提供。

参数描述

条目 DN

cn=config

有效范围

-1 到最大 32 位整数值(2147483647)

值 -1 或 0 表示日志永不过期。

默认值

-1

语法

整数

示例

nsslapd-auditlog-logexpirationtime: 1

3.1.1.28. nsslapd-auditlog-logexpirationtimeunit(Audit Log Expiration 计时器单元)

此属性设置 nsslapd-auditlog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。

参数描述

条目 DN

cn=config

有效值

月份 | 周 | 天

默认值

语法

DirectoryString

示例

nsslapd-auditlog-logexpirationtimeunit: day

3.1.1.29. nsslapd-auditlog-logging-enabled(Audit Log Enable Logging)

打开和关闭审计日志记录。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditlog-logging-enabled: off

对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且必须切换到 上的 nsslapd-auditlog-logging-enabled 配置属性。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。

表 3.4. nsslapd-auditlog 和 nsslapd-auditlog-logging-enabled 的可能组合
属性启用或禁用日志记录

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

空字符串

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

filename

Enabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

空字符串

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

filename

Disabled

3.1.1.30. nsslapd-auditlog-logmaxdiskspace(Audit Log Maximum Disk Space)

此属性设置审计日志允许使用的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的审计日志。

在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另请注意,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,各自消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示对审计日志允许的磁盘空间没有限制。

默认值

-1

语法

整数

示例

nsslapd-auditlog-logmaxdiskspace: 10000

3.1.1.31. nsslapd-auditlog-logminfreediskspace(Audit Log Minimum Free Disk Space)

此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。

参数描述

条目 DN

cn=config

有效范围

-1(unlimited)| 1 到最大 32 位整数值(2147483647)

默认值

-1

语法

整数

示例

nsslapd-auditlog-logminfreediskspace: -1

3.1.1.32. nsslapd-auditlog-logrotationsync-enabled(Audit Log Rotation Sync Enabled)

此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。

要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditlog-logrotationsynchournsslapd-auditlog-logrotationsyncmin 属性值将日志记录设置为当天的小时和分钟。

例如,若要每天在午夜中轮转审计日志文件,请通过将其值设置为 on 来启用此属性,然后将 nsslapd-auditlog-logrotationsynchournsslapd-auditlog-logrotationsync 的值设置为 0。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditlog-logrotationsync-enabled:

3.1.1.33. nsslapd-auditlog-logrotationsynchour(Audit Log Rotation Sync Hour)

此属性设置轮转审计日志的当日小时。此属性必须与 nsslapd-auditlog-logrotationsync-enablednsslapd-auditlog-logrotationsyncmin 属性结合使用。

参数描述

条目 DN

cn=config

有效范围

0 到 23

默认值

none(因为 nsslapd-auditlog-logrotationsync-enabled 为 off)

语法

整数

示例

nsslapd-auditlog-logrotationsynchour: 23

3.1.1.34. nsslapd-auditlog-logrotationsyncmin(Audit Log Rotation Sync Minute)

此属性设置轮转审计日志的当天的时间。此属性必须与 nsslapd-auditlog-logrotationsync-enablednsslapd-auditlog-logrotationsynchour 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 59

默认值

none(因为 nsslapd-auditlog-logrotationsync-enabled 为 off)

语法

整数

示例

nsslapd-auditlog-logrotationsyncmin: 30

3.1.1.35. nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)

此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logrotationtimeunit 属性提供。如果 nsslapd-auditlog-maxlogsperdir 属性被设置为 1,则服务器会忽略此属性。

无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。

虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditlog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-auditlog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.38 节 “nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)”

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志文件轮转之间的时间无限。

默认值

1

语法

整数

示例

nsslapd-auditlog-logrotationtime: 100

3.1.1.36. nsslapd-auditlog-logrotationtimeunit(Audit Log Rotation 时区)

此属性设置 nsslapd-auditlog-logrotationtime 属性的单元。

参数描述

条目 DN

cn=config

有效值

月份 | 周 | 天 | 小时 | 分钟

默认值

语法

DirectoryString

示例

nsslapd-auditlog-logrotationtimeunit: day

3.1.1.37. nsslapd-auditlog-maxlogsize(Audit Log Maximum Log Size)

此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditlog-maxlogsperdir1,服务器会忽略此属性。

在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。

默认值

100

语法

整数

示例

nsslapd-auditlog-maxlogsize: 50

3.1.1.38. nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)

此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次轮转审计日志时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。

如果此属性的值大于 1,请检查 nsslapd-auditlog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.35 节 “nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)”

参数描述

条目 DN

cn=config

有效范围

1 到最大 32 位整数值(2147483647)

默认值

1

语法

整数

示例

nsslapd-auditlog-maxlogsperdir: 10

3.1.1.39. nsslapd-auditlog-mode(Audit Log File Permission)

此属性设置要创建审计日志文件的访问模式或文件权限。有效的值是 000777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 07 的不同数字:

  • 0 - none
  • 1 - 仅执行
  • 2 - 仅写入
  • 3 - 写入和执行
  • 4 - 只读
  • 5 - 读和执行
  • 6 - 读和写
  • 7 - 读、写和执行

在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。

新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。

参数描述

条目 DN

cn=config

有效范围

000 到 777

默认值

600

语法

整数

示例

nsslapd-auditlog-mode: 600

3.1.1.40. nsslapd-auditfaillog(Audit Fail Log)

此属性设置用于记录 LDAP 修改的日志的路径和文件名。

如果启用了 nsslapd-auditfaillog-logging-enabled,并且未设置 nsslapd-auditfaillog,审计失败事件将记录到 nsslapd-auditlog 中指定的文件。

如果您将 nsslapd-auditfaillog 参数设置为与 nsslapd-auditlog 相同的路径,则两者都会在同一文件中记录。

参数描述

条目 DN

cn=config

有效值

任何有效的文件名

默认值

/var/log/dirsrv/slapd-instance/audit

语法

DirectoryString

示例

nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit

要启用审计日志失败日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled 属性必须设置为 on

3.1.1.41. nsslapd-auditfaillog-list

提供审计失败日志文件列表。

参数描述

条目 DN

cn=config

有效值

 

默认值

语法

DirectoryString

示例

nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3

3.1.1.42. nsslapd-auditfaillog-logexpirationtime(Audit Fail Log Expiration Time)

此属性在删除日志文件前设置日志文件的最长期限。它为单元数量提供。指定 nsslapd-auditfaillog-logexpirationtimeunit 属性中的 day、week 和 month 等。

参数描述

条目 DN

cn=config

有效范围

-1 到最大 32 位整数值(2147483647)

值 -1 或 0 表示日志永不过期。

默认值

-1

语法

整数

示例

nsslapd-auditfaillog-logexpirationtime: 1

3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration 计时器单元)

此属性设置 nsslapd-auditfaillog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。

参数描述

条目 DN

cn=config

有效值

月份 | 周 | 天

默认值

语法

DirectoryString

示例

nsslapd-auditfaillog-logexpirationtimeunit: day

3.1.1.44. nsslapd-auditfaillog-enabled(Audit Fail Log Enable Logging)

打开和关闭失败的 LDAP 修改的日志记录。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditfaillog-logging-enabled: off

3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail Log Maximum Disk Space)

此属性设定审计日志可以使用的最大磁盘空间量(以 MB 为单位)。如果大小超过限制,会删除最旧的审计日志。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计失败日志的磁盘空间没有限制。

默认值

100

语法

整数

示例

nsslapd-auditfaillog-logmaxdiskspace: 10000

3.1.1.46. nsslapd-auditfaillog-logminfreediskspace(Audit Fail Log Minimum Free Disk Space)

此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间。

参数描述

条目 DN

cn=config

有效范围

-1(unlimited)| 1 到最大 32 位整数值(2147483647)

默认值

-1

语法

整数

示例

nsslapd-auditfaillog-logminfreediskspace: -1

3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled(Audit Fail Log Rotation Sync Enabled)

此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。

要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditfaillog-logrotationsynchournsslapd-auditfaillog-logrotationsyncmin 属性值将设置为一天的小时和分钟。

例如,要每天在午夜中轮转审计失败的日志文件,通过将其值设置为 nsslapd-auditfaillog-logrotationsynchour,并将 nsslapd-auditfaillog-logrotationsynchournsslapd-auditfaillog-logrotationmin 属性设置为 0。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditfaillog-logrotationsync-enabled:

3.1.1.48. nsslapd-auditfaillog-logrotationsynchour(Audit Fail Log Rotation Sync Hour)

此属性设置审计日志的轮转前一天的小时数。此属性必须与 nsslapd-auditfaillog-logrotationsync-enablednsslapd-auditfaillog-logrotationsyncmin 属性结合使用。

参数描述

条目 DN

cn=config

有效范围

0 到 23

默认值

none(因为 nsslapd-auditfaillog-logrotationsync-enabled 为 off)

语法

整数

示例

nsslapd-auditfaillog-logrotationsynchour: 23

3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin(Audit Fail Log Rotation Sync Minute)

此属性设置审计日志的轮转前一分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enablednsslapd-auditfaillog-logrotationsynchour 属性结合使用。

参数描述

条目 DN

cn=config

有效范围

0 到 59

默认值

none(因为 nsslapd-auditfaillog-logrotationsync-enabled 为 off)

语法

整数

示例

nsslapd-auditfaillog-logrotationsyncmin: 30

3.1.1.50. nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)

此属性设置审计失败日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditfaillog-logrotationtimeunit 属性提供。如果 nsslapd-auditfaillog-maxlogsperdir 属性被设置为 1,则服务器会忽略此属性。

无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。

虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditfaillog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditfaillog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-auditfaillog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.53 节 “nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)”

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志失败日志文件轮转之间的时间无限。

默认值

1

语法

整数

示例

nsslapd-auditfaillog-logrotationtime: 100

3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit(Audit Fail Log Rotation Time unit)

此属性设置 nsslapd-auditfaillog-logrotationtime 属性的单元。

参数描述

条目 DN

cn=config

有效值

月份 | 周 | 天 | 小时 | 分钟

默认值

语法

DirectoryString

示例

nsslapd-auditfaillog-logrotationtimeunit: day

3.1.1.52. nsslapd-auditfaillog-maxlogsize(Audit Fail Log Maximum Log Size)

此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志的轮转日志。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditfaillog-maxlogsperdir 参数设为 1,则服务器会忽略此属性。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。

默认值

100

语法

整数

示例

nsslapd-auditfaillog-maxlogsize: 50

3.1.1.53. nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)

此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次审计日志轮转失败时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。

如果此属性的值大于 1,请检查 nsslapd-auditfaillog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.50 节 “nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)”

参数描述

条目 DN

cn=config

有效范围

1 到最大 32 位整数值(2147483647)

默认值

1

语法

整数

示例

nsslapd-auditfaillog-maxlogsperdir: 10

3.1.1.54. nsslapd-auditfaillog-mode(Audit Fail Log File Permission)

此属性设置创建审计失败日志文件的访问模式或文件权限。有效的值是 000777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 07 的不同数字:

  • 0 - none
  • 1 - 仅执行
  • 2 - 仅写入
  • 3 - 写入和执行
  • 4 - 只读
  • 5 - 读和执行
  • 6 - 读和写
  • 7 - 读、写和执行

在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。

新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。

参数描述

条目 DN

cn=config

有效范围

000 到 777

默认值

600

语法

整数

示例

nsslapd-auditfaillog-mode: 600

3.1.1.55. nsslapd-bakdir(默认备份目录)

此参数设置到默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。

此设置不需要服务器重启才能生效。

参数描述

条目 DN

cn=config

有效值

任何本地目录路径。

默认值

/var/lib/dirsrv/slapd-instance/bak

语法

DirectoryString

示例

nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak

3.1.1.56. nsslapd-certdir(Certificate 和 Key Database Directory)

此参数定义 Directory 服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。

作为回退,如果服务器无法将其提取到 /tmp/ 目录中,目录服务器会将私钥和证书提取到该目录。有关私有命名空间的详情,请查看 systemd.exec(5) man page 中的 PrivateTmp 参数描述。

nsslapd-certdir 中指定的目录必须由服务器的用户 ID 所有,只有该用户 ID 必须在此目录中具有读写权限。出于安全考虑,其他用户都应该拥有读取或写入到此目录的权限。

服务必须重启才能使对此属性的更改生效。

参数描述

条目 DN

cn=config

有效值

绝对路径

默认值

/etc/dirsrv/slapd-instance_name/

语法

DirectoryString

示例

nsslapd-certdir: /etc/dirsrv/slapd-instance_name/

3.1.1.57. nsslapd-certmap-basedn(Certificate Map Search Base)

使用 TLS 证书执行客户端身份验证时,可以使用此属性来避免 /etc/dirsrv/slapd-instance_name/certmap.conf 文件中配置的安全子系统证书映射的限制。根据此文件中的配置,可以使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN,则 nsslapd-certmap-basedn 属性可能会强制搜索在 root 以外的某个条目上基于。此属性的有效值是用于证书映射的后缀或子树的 DN。

参数描述

条目 DN

cn=config

有效值

任何有效的 DN

默认值

 

语法

DirectoryString

示例

nsslapd-certmap-basedn: ou=People,dc=example,dc=com

3.1.1.58. nsslapd-config

这个 read-only 属性是配置 DN。

参数描述

条目 DN

cn=config

有效值

任何有效的配置 DN

默认值

 

语法

DirectoryString

示例

nsslapd-config: cn=config

3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns

此参数允许您在 CN 值内启用 DN。

目录服务器 DN 规范化程序为 RFC4514,如果 RDN 属性类型不是基于 DN 语法,则保留空格。但是,Directory 服务器的配置条目有时使用 cn 属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config, cn should be normalized with the DN 语法。

如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns 参数。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-cn-uses-dn-syntax-in-dns: off

3.1.1.60. nsslapd-connection-buffer

此属性设置连接缓冲行为。可能的值:

  • 0 :禁用缓冲。次只读取单一协议数据单位(PDU)。
  • 1: 常规固定大小 LDAP_SOCKET_IO_BUFFER_SIZE512 字节。
  • 2: 可以适应的缓冲区大小.

如果客户端一次性发送大量数据,则值 2 会提供更好的性能。例如,大型添加和修改操作的情况,或者在复制期间通过单个连接接收多个异步请求。

参数描述

条目 DN

cn=config

有效值

0 | 1 | 2

默认值

1

语法

整数

示例

nsslapd-connection-buffer: 1

3.1.1.61. nsslapd-connection-nocanon

这个选项允许您启用或禁用 SASL NOCANON 标志。禁用 可避免 Directory 服务器为出站连接查找 DNS 反向条目。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-connection-nocanon: on

3.1.1.62. nsslapd-conntablesize

此属性设置连接表大小,它决定了服务器支持的连接总数。

如果 Directory 服务器拒绝连接,则增加此属性的值,因为它不在连接插槽中。发生这种情况时,Directory 服务器的错误日志文件会记录消息 Not listening for new connection the the new connection the the the many fds open

可能需要为启动 Directory 服务器的 shell 中增加打开文件和打开的文件数量的操作系统限制,可能需要增加 ulimit -n

连接表的大小是 nsslapd-maxdescriptor 的 cap。如需更多信息,请参阅 第 3.1.1.119 节 “nsslapd-maxdescriptors(最大文件描述符)”

必须重新启动服务器,以使对此属性的更改生效。

参数描述

条目 DN

cn=config

有效值

依赖于操作系统

默认值

Directory 服务器进程可以打开的最大文件数。请参阅 getdtablesize() glibc 功能。

语法

整数

示例

nsslapd-conntablesize: 4093

3.1.1.63. nsslapd-counters

nsslapd-counters 属性启用和禁用 Directory Server 数据库和服务器性能计数器。

通过跟踪更大的计数器,这可能会对性能产生影响。关闭计数器的 64 位整数可能会对性能产生最小的改进,但会对长期统计跟踪产生负面影响。

默认启用此参数。要禁用计数器,停止 Directory 服务器,直接编辑 dse.ldif 文件,然后重新启动服务器。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-counters: on

3.1.1.64. nsslapd-csnlogging

此属性会设置更改序列号(CSN)是否可用后才能登录访问日志。默认情况下打开 CSN 日志记录。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-csnlogging: on

3.1.1.65. nsslapd-defaultnamingcontext

此属性为所有配置的命名上下文提供命名上下文,默认情况下客户端默认使用作为搜索基础。这个值作为 defaultNamingContext 属性复制到 root DSE,它允许客户端查询 root DSE 来获取上下文,然后使用适当的基础启动搜索。

参数描述

条目 DN

cn=config

有效值

任何根后缀 DN

默认值

默认用户后缀

语法

DN

示例

nsslapd-defaultnamingcontext: dc=example,dc=com

3.1.1.66. nsslapd-disk-monitoring

此属性启用一个线程,它每十(10)秒运行一次,以检查磁盘上的可用磁盘空间或挂载目录服务器数据库运行的位置。如果可用的磁盘空间低于配置的阈值,则服务器开始减少日志级别、禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器会正常关闭(在机和宽限期后)。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-disk-monitoring: on

3.1.1.67. nsslapd-disk-monitoring-grace-period

在服务器达到 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold” 中设置的一半磁盘空间限制后,将宽限期设置为在关闭服务器前等待。这可让管理员清理磁盘并阻止关闭。

参数描述

条目 DN

cn=config

有效值

任何整数值(以分钟为单位)

默认值

60

语法

整数

示例

nsslapd-disk-monitoring-grace-period: 45

3.1.1.68. nsslapd-disk-monitoring-logging-critical

如果日志目录通过磁盘空间限制中设定的一半点 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold”,则设置是否关闭服务器。

如果启用此功能,则不会 禁用日志,且不会 删除轮转的日志,因为减少服务器磁盘用量。服务器只需进入关闭过程。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-disk-monitoring-logging-critical: on

3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold

如果可用磁盘空间达到 nsslapd-disk-monitoring-threshold 参数中设置的一半值,Directory 服务器会在 nsslapd-disk-monitoring-grace-period 中设置的宽限期后关闭实例。但是,如果磁盘在实例停机之前耗尽空间,则可能会损坏数据。要防止这个问题,请在达到阈值时启用 nsslapd-disk-monitoring-readonly-on-threshold 参数,Directory 服务器将实例设置为只读模式。

重要

使用这个设置,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold 中配置的阈值,Directory 服务器不会启动。

服务必须重启才能使对此属性的更改生效。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-disk-monitoring-readonly-on-threshold: off

3.1.1.70. nsslapd-disk-monitoring-threshold

设置阈值(以字节为单位),用于评估服务器是否有足够可用磁盘空间。当空间达到这个阈值的一半后,服务器开始关闭进程。

例如,如果阈值是 2MB(默认),那么当可用磁盘空间达到 1MB 后,服务器将开始关闭。

默认情况下,阈值会评估在由 Directory 服务器实例配置、事务和数据库目录使用的磁盘空间上。如果启用了 第 3.1.1.68 节 “nsslapd-disk-monitoring-logging-critical” 属性,则会在评估中包含日志目录。

参数描述

条目 DN

cn=config

有效值

* 0 到 32 位整数值(2147483647))

* 0 到 64 位整数值(9223372036854775807)

默认值

2000000 (2MB)

语法

DirectoryString

示例

nsslapd-disk-monitoring-threshold: 2000000

3.1.1.71. nsslapd-dn-validate-strict

第 3.1.1.168 节 “nsslapd-syntaxcheck” 属性可让服务器验证任何新的或修改的属性值是否与那个属性所需的语法匹配。

但是,DN 的语法规则日趋严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用旧语法定义的许多服务器。默认情况下,nsslapd-syntaxcheck 使用 RFC 1779RFC 2253 验证 DN。

根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict 属性明确为 DN 启用严格的语法验证。如果此属性设置为 off (默认值),服务器会在检查语法违反前对值进行规范化。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-dn-validate-strict: off

3.1.1.72. nsslapd-ds4-compatible-schema

使 cn=schema 与 Directory Server 的 4.x 版本兼容。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-ds4-compatible-schema: off

3.1.1.73. nsslapd-enable-turbo-mode

Directory Server turbo 模式是一个功能,它允许 worker 线程专用于连接,并持续从那个连接读取传入的操作。这可以提高对非常活跃连接的性能,且功能默认是启用的。

Worker 线程处理服务器接收的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber 参数中定义。每 5 秒,每个 worker 线程评估其当前连接的活动级别是所有已建立的连接的最高值之一。目录服务器测量活动,作为自上检查开始的操作数量,并在当前连接的活动是最高状态时,将 worker 线程切换为 turbo 模式。

如果您遇到较长的执行时间(日志文件中的etime 值)用于绑定操作,如一秒或更长时间,取消激活 turbo 模式可以提高性能。然而,在有些情况下,绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-enable-turbo-mode: on

3.1.1.74. nsslapd-enable-upgrade-hash

在简单的绑定过程中,Directory 服务器由于绑定操作的性质可以访问纯文本密码。如果启用了 nsslapd-enable-upgrade-hash 参数,且用户进行身份验证,Directory 服务器会检查用户的 userPassword 属性是否使用了 passwordStorageScheme 属性中设置的哈希算法。如果算法不同,服务器会将纯文本密码与来自 passwordStorageScheme 的算法哈希,并更新用户 userPassword 属性的值。

例如,如果您导入使用弱算法进行哈希的用户条目,服务器会自动使用 passwordStorageScheme 中设置的算法在用户在第一次登录时重新哈希密码,即 PBKDF2_SHA256

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-enable-upgrade-hash: on

3.1.1.75. nsslapd-enquote-sup-oc(启用 Superior 对象类 Enquoting)

此属性已弃用,并将在以后的 Directory Server 版本中删除。

此属性控制 cn=schema 条目中包含的 objectclass 属性中的引用是否符合互联网草案 RFC 2252 指定的引用。默认情况下,Directory 服务器符合 RFC 2252,这表示这个值不应加引号。在 上只有非常旧的客户端需要将此值设置为,因此请将它保留为 off

在 或 off 上打开此属性不会影响 Directory Server 控制台。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-enquote-sup-oc: off

3.1.1.76. nsslapd-entryusn-global

nsslapd-entryusn-global 参数定义了 USN 插件在所有后端数据库或单独为每个数据库分配唯一的更新序列数字(USN)。对于所有后端数据库的唯一 USN,请在 将此参数设置为。

详情请查看 第 6.8 节 “entryusn”

您不必重新启动服务器,才能使此设置生效。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-entryusn-global: off

3.1.1.77. nsslapd-entryusn-import-initval

当条目从一个服务器导出并导入到另一个服务器时,条目更新序列号(USN)不会被保留,包括在初始化用于复制的数据库时。默认情况下,导入的条目的条目 USN 被设置为零。

可以使用 nsslapd-entryusn-import-initval 为条目 USN 配置不同的初始值。这将设置一个起始 USN,用于所有导入的条目。

nsslapd-entryusn-import-initval 有两个可能的值:

  • 整数,这是每个导入条目使用的显式起始号。
  • 接下来,这意味着每个导入条目都使用在导入操作前在服务器上使用任意最高条目 USN 值,并递增一次。
参数描述

条目 DN

cn=config

有效值

任何整数 | 旁边

默认值

 

语法

DirectoryString

示例

nsslapd-entryusn-import-initval: next

3.1.1.78. nsslapd-errorlog(错误日志)

此属性设置用于记录 Directory 服务器生成的错误消息的日志的路径和文件名。这些信息可能会描述错误条件,但更频繁地包含参考条件,例如:

  • 服务器启动和关闭时间。
  • 服务器使用的端口号。

根据 Log Level 属性的当前设置,此日志包含不同数量的信息。如需更多信息,请参阅 第 3.1.1.79 节 “nsslapd-errorlog-level(错误日志级别)”

参数描述

条目 DN

cn=config

有效值

任何有效的文件名

默认值

/var/log/dirsrv/slapd-instance/errors

语法

DirectoryString

示例

nsslapd-errorlog: /var/log/dirsrv/slapd-实例/errors

要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用错误日志记录方面的结果。

表 3.5. nsslapd-errorlog Configuration Attributes 的可组合组合
dse.ldif 中的属性启用或禁用日志记录

nsslapd-errorlog-logging-enabled

nsslapd-errorlog

on

空字符串

Disabled

nsslapd-errorlog-logging-enabled

nsslapd-errorlog

on

filename

Enabled

nsslapd-errorlog-logging-enabled

nsslapd-errorlog

off

空字符串

Disabled

nsslapd-errorlog-logging-enabled

nsslapd-errorlog

off

filename

Disabled

3.1.1.79. nsslapd-errorlog-level(错误日志级别)

此属性设置 Directory 服务器的日志记录级别。日志级别是可添加的;即,指定值 3 包含了级别 12

nsslapd-errorlog-level 的默认值为 16384

您不必重新启动服务器,才能使此设置生效。

参数描述

条目 DN

cn=config

有效值

* 1 - 跟踪功能调用。当服务器进入并退出功能时,记录一条消息。

* 2 - 调试数据包处理。

* 4 - 大量追踪输出调试。

* 8 - 连接管理。

* 16 - 显示发送/收到的数据包。

* 32 - 搜索过滤器处理。

* 64 - 配置文件处理。

* 128 - 访问控制列表处理。

* 1024 - 使用 shell 数据库的日志通信。

* 2048 - 日志条目解析调试。

* 4096 - 内部处理线程调试。

* 8192 - 复制调试。

* 16384 - 默认日志记录级别,用于始终写入错误的其他消息,如服务器启动消息。无论日志级别的设置是什么,此级别的消息始终包含在错误日志中。

* 32768 - 数据库缓存调试。

* 65536 - 服务器插件调试。当服务器插件调用 slapi-log-error 时,它将条目写入日志文件。

* 262144 - 访问控制概述信息,比级别 128 少。当需要访问控制处理摘要时,建议使用这个值。使用 128 获取非常详细的处理消息。

* 524288 - LMDB 数据库调试。

默认值

16384

语法

整数

示例

nsslapd-errorlog-level: 8192

3.1.1.80. nsslapd-errorlog-list

这个 read-only 属性提供错误日志文件列表。

参数描述

条目 DN

cn=config

有效值

 

默认值

语法

DirectoryString

示例

nsslapd-errorlog-list: errorlog2,errorlog3

3.1.1.81. nsslapd-errorlog-logexpirationtime(Error Log Expiration Time)

此属性设置在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logexpirationtimeunit 属性提供。

参数描述

条目 DN

cn=config

有效范围

-1 到最大 32 位整数值(2147483647)

值 -1 或 0 表示日志永不过期。

默认值

-1

语法

整数

示例

nsslapd-errorlog-logexpirationtime: 1

3.1.1.82. nsslapd-errorlog-logexpirationtimeunit(错误日志过期时间单元)

此属性设置 nsslapd-errorlog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。

参数描述

条目 DN

cn=config

有效值

月份 | 周 | 天

默认值

month

语法

DirectoryString

示例

nsslapd-errorlog-logexpirationtimeunit: week

3.1.1.83. nsslapd-errorlog-logging-enabled(启用 Error Logging)

打开和关闭错误记录。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-errorlog-logging-enabled: on

3.1.1.84. nsslapd-errorlog-logmaxdiskspace(Error Log Maximum Disk Space)

此属性设置允许消耗错误日志的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的错误日志。

在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许错误日志的磁盘空间没有限制。

默认值

100

语法

整数

示例

nsslapd-errorlog-logmaxdiskspace: 10000

3.1.1.85. nsslapd-errorlog-logminfreediskspace(Error Log Minimum Free Disk Space)

此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的错误日志,直到有足够的磁盘空间来满足此属性。

参数描述

条目 DN

cn=config

有效范围

-1(unlimited)| 1 到最大 32 位整数值(2147483647)

默认值

-1

语法

整数

示例

nsslapd-errorlog-logminfreediskspace: -1

3.1.1.86. nsslapd-errorlog-logrotationsync-enabled(Error Log Rotation Sync Enabled)

此属性会设置错误日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。

要与天同步的错误日志轮转,必须使用 nsslapd-errorlog-logrotationsynchournsslapd-errorlog-logrotationsyncmin 属性值设置为轮转日志文件的小时和分钟(分钟)启用。

例如,要在 中每天轮转错误日志文件,通过将其值设置为,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsynchournsslapd-errorlog-logrotationmin 属性设置为 0。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-errorlog-logrotationsync-enabled:

3.1.1.87. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)

此属性设置当天轮转错误日志的小时数。此属性必须与 nsslapd-errorlog-logrotationsync-enablednsslapd-errorlog-logrotationsyncmin 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 23

默认值

0

语法

整数

示例

nsslapd-errorlog-logrotationsynchour: 23

3.1.1.88. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)

此属性设置当天轮转错误日志的时间。此属性必须与 nsslapd-errorlog-logrotationsync-enablednsslapd-errorlog-logrotationsynchour 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 59

默认值

0

语法

整数

示例

nsslapd-errorlog-logrotationsyncmin: 30

3.1.1.89. nsslapd-errorlog-logrotationtime(错误日志轮转时间)

此属性设置错误日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit)属性指定。

无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。

虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-errorlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-errorlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-errorlog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-error-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.92 节 “nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)”

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示错误日志文件轮转之间的时间无限。

默认值

1

语法

整数

示例

nsslapd-errorlog-logrotationtime: 100

3.1.1.90. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time unit)

此属性设置 nsslapd-errorlog-logrotationtime (Error Log Rotation Time)的单元。如果服务器知道该单元,则日志永远不会过期。

参数描述

条目 DN

cn=config

有效值

月份 | 周 | 天 | 小时 | 分钟

默认值

语法

DirectoryString

示例

nsslapd-errorlog-logrotationtimeunit: day

3.1.1.91. nsslapd-errorlog-maxlogsize(最大错误日志大小)

此属性以 MB 为单位设置最大错误日志大小。达到这个值时,错误日志会被轮转,服务器开始将日志信息写入新日志文件中。如果 nsslapd-errorlog-maxlogsperdir 设置为 1,则服务器会忽略此属性。

在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。

默认值

100

语法

整数

示例

nsslapd-errorlog-maxlogsize: 100

3.1.1.92. nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)

此属性设置可在存储错误日志的目录中包含的错误日志总数。每次轮转错误日志时,都会创建一个新日志文件。当错误日志目录中包含的文件数量超过此属性所存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增加。

如果此属性的值大于 1,请检查 nsslapd-errorlog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.89 节 “nsslapd-errorlog-logrotationtime(错误日志轮转时间)”

参数描述

条目 DN

cn=config

有效范围

1 到最大 32 位整数值(2147483647)

默认值

1

语法

整数

示例

nsslapd-errorlog-maxlogsperdir: 10

3.1.1.93. nsslapd-errorlog-mode(Error Log File Permission)

此属性设置了创建错误日志文件的访问模式或文件权限。有效的值是 000777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,数字从 07 的不同:

  • 0 - none
  • 1 - 仅执行
  • 2 - 仅写入
  • 3 - 写入和执行
  • 4 - 只读
  • 5 - 读和执行
  • 6 - 读和写
  • 7 - 读、写和执行

在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。

新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。

参数描述

条目 DN

cn=config

有效范围

000 到 777

默认值

600

语法

整数

示例

nsslapd-errorlog-mode: 600

3.1.1.94. nsslapd-force-sasl-external

在建立 TLS 连接时,客户端首先发送其证书,然后使用 SASL/EXTERNAL 机制向 BIND 请求发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭据用于 TLS 握手。但是,有些客户端在发送 BIND 请求时不使用 SASL/EXTERNAL,因此目录服务器以简单的身份验证请求或匿名请求形式处理绑定,并且 TLS 连接会失败。

nsslapd-force-sasl-external 属性强制使用基于证书的验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

字符串

示例

nsslapd-force-sasl-external: on

3.1.1.95. nsslapd-groupevalnestlevel

此属性已弃用,在此处记录仅用于历史目的。

Access Control Plug-in 不使用 nsslapd-groupevalnestlevel 属性指定的值,以设置用于组评估时访问控制执行的嵌套级别数量。相反,嵌套的级别数量被硬编码为 5

参数描述

条目 DN

cn=config

有效范围

0 到 5

默认值

5

语法

整数

示例

nsslapd-groupevalnestlevel: 5

3.1.1.96. nsslapd-haproxy-trusted-ip (HAProxy Trusted IP)

nsslapd-haproxy-trusted-ip 属性配置可信代理服务器列表。设置 nsslapd-haproxy-trusted-ip 时,目录服务器使用 HAProxy 协议通过额外的 TCP 标头接收客户端 IP 地址,以正确评估访问控制指令(ACI)并记录客户端流量。

如果一个不信任的代理服务器发起了一个绑定请求,目录服务器会拒绝请求,并将以下信息记录到错误日志文件中:

[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
参数描述

条目 DN

cn=config

有效范围

IPv4 或 IPv6 地址

默认值

 

语法

DirectoryString

示例

nsslapd-haproxy-trusted-ip: 127.0.0.1

3.1.1.97. nsslapd-idletimeout(默认 Idle Timeout)

此属性以秒为单位设定了服务器关闭闲置 LDAP 客户端连接的时间长度(以秒为单位)。值为 0 表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当连接表时,当 poll() 不会返回零时,闲置超时会强制使用。因此,具有单一连接的服务器不会强制实施闲置超时。

使用 nsIdleTimeout 操作属性(可添加到用户条目中)覆盖分配给此属性的值。详情请参阅 Red Hat Directory Server Administration Guide 中的"基于绑定 DN 设置资源限制"一节。

注意

对于非常大的数据库,使用数百万条目时,该属性必须具有足够高的值,在线初始化过程可以完成或复制,在连接到服务器的连接超时时会失败。另外,还可在用作供应商绑定 DN 的条目上将 nsIdleTimeout 属性设为 high 值。

参数描述

条目 DN

cn=config

有效范围

0 到最大 32 位整数值(2147483647)

默认值

3600

语法

整数

示例

nsslapd-idletimeout: 3600

3.1.1.98. nsslapd-ignore-virtual-attrs

此参数允许在搜索条目中禁用虚拟属性查找。

如果不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-ignore-virtual-attrs: off

3.1.1.99. nsslapd-instancedir(Instance Directory)

此属性已弃用。现在,有针对实例专用路径的配置参数,如 nsslapd-certdirnsslapd-lockdir。有关设置的具体目录路径,请参阅相关文档。

3.1.1.100. nsslapd-ioblocktimeout(IO Block Time Out)

此属性以秒为单位设定连接被停止的 LDAP 客户端的时间长度(以毫秒为单位)。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。

参数描述

条目 DN

cn=config

有效范围

0 到最大 32 位整数值(2147483647)

默认值

10000

语法

整数

示例

nsslapd-ioblocktimeout: 10000

3.1.1.101. nsslapd-lastmod(Track Modification Time)

此属性设置 Directory 服务器是否维护 创建者名称createTimestampScottsName 以及修改Timestamp 操作属性(针对新创建或更新的条目)。

重要

红帽建议不要禁用跟踪这些属性。如果禁用,条目不会在 nsUniqueID 属性中分配唯一 ID,而复制不起作用。

您不必重新启动服务器,才能使此设置生效。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-lastmod: on

3.1.1.102. nsslapd-ldapiautobind(Enable Autobind)

nsslapd-ldapiautobind 会设置服务器是否允许用户使用 LDAPI 自动绑定到 Directory 服务器。Autobind 将系统用户的 UID 或 GUID 号映射到 Directory Server 用户,并根据这些凭证自动验证用户到目录服务器。Directory 服务器连接发生于 UNIX 套接字。

除了启用 autobind 外,配置 autobind 还需要配置映射条目。nsslapd-ldapimaprootdn 将系统上的 root 用户映射到 Directory Manager。nsslapd-ldapimaptoen 尝试根据 nsslapd-ldapientry type、nsslapd-ldapientry searchbase 属性和 nsslapd-ldapientry searchbase 属性中定义的参数,将常规用户映射到 Directory Server 用户。

Autobind 只能在 LDAPI 已启用时启用 Autobind,即 nsslapd-ldapilisten 位于 nsslapd-ldapifilepath 属性,并且将 nsslapd-ldapifilepath 属性设置为 LDAPI 套接字。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-ldapiautobind: off

3.1.1.103. nsslapd-ldapientrysearchbase(搜索 Base for LDAPI Authentication Entries)

使用 autobind 时,可以根据系统用户的 UID 和 GUID 号将系统用户映射到 Directory Server 用户条目。这需要设置 Directory Server 参数,用于 UID 号(nsslapd-ldapiuidnumbertype)和 GUID 号(nsslapd-ldapigidnumbertype),并设置搜索基础来搜索匹配的用户条目。

nsslapd-ldapientrysearchbase 可使子树搜索用于 autobind 的用户条目。

参数描述

条目 DN

cn=config

有效值

DN

默认值

创建服务器实例时创建的后缀,如 dc=example,dc=com

语法

DN

示例

nsslapd-ldapientrysearchbase: ou=body,dc=example,dc=om

3.1.1.104. nsslapd-ldapifilepath( LDAPI 套接字的文件位置)

LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI,服务器必须配置为通过 UNIX 套接字通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath 属性中设置。

参数描述

条目 DN

cn=config

有效值

任何目录路径

默认值

/var/run/dirsrv/slapd-example.socket

语法

case-exact 字符串

示例

nsslapd-ldapifilepath: /var/run/slapd-example.socket

3.1.1.105. nsslapd-ldapigidnumbertype(System GUID Number 的Attribute 映射)

可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory Server 用户以进行身份验证,系统用户的 UID 和 GUID 号应映射到 Directory Server 属性。nsslapd-ldapigidnumbertype 属性指向 Directory Server 属性,以将系统 GUID 映射到用户条目。

如果启用了 LDAPI(nsslapd-ldapilistennsslapd-ldapifilepath)、autobind is enabled(nsslapd-ldapiautobind),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries)。

参数描述

条目 DN

cn=config

有效值

任何 Directory Server 属性

默认值

gidNumber

语法

DirectoryString

示例

nsslapd-ldapigidnumbertype: gidNumber

3.1.1.106. nsslapd-ldapilisten(Enable LDAPI)

nsslapd-ldapilisten 启用到 Directory 服务器的 LDAPI 连接。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了通过在 nsslapd-ldapifilepath 属性中,将 nsslapd-ldapilisten 设置为,还必须为 LDAPI 设置 UNIX 套接字。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-ldapilisten: on

3.1.1.107. nsslapd-ldapimaprootdn(Autobind Mapping for Root User)

使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。

root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn 属性中指定的任何 Directory Server 条目。

参数描述

条目 DN

cn=config

有效值

任何 DN

默认值

cn=Directory Manager

语法

DN

示例

nsslapd-ldapimaprootdn: cn=Directory Manager

3.1.1.108. nsslapd-ldapimaptoentries(为普通用户启用自动绑定映射)

使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。这个映射是 root 用户自动的,但必须通过 nsslapd-ldapimaptoentries 属性为常规用户启用它。将此属性设置为 on 可启用常规系统用户到 Directory Server 条目的映射。如果没有启用此属性,则只有 root 用户才能使用 autobind 向 Directory 服务器进行身份验证,所有其他用户匿名连接。

映射本身通过 nsslapd-ldapiuidnumbertypensslapd-ldapigidnumbertype 属性进行配置,它会将目录服务器属性映射到用户的 UID 和 GUID 编号。

如果启用了 LDAPI(nsslapd-ldapilistennsslapd-ldapifilepath)并且 autobind 被启用,则用户只能通过 autobind连接到服务器。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-ldapimaptoentries: on

3.1.1.109. nsslapd-ldapiuidnumbertype

可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory 服务器用户以进行身份验证,系统用户的 UID 和 GUID 数字必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype 属性指向 Directory Server 属性,以将系统 UID 映射到用户条目。

如果启用了 LDAPI(nsslapd-ldapilistennsslapd-ldapifilepath)、autobind is enabled(nsslapd-ldapiautobind),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries)。

参数描述

条目 DN

cn=config

有效值

任何 Directory Server 属性

默认值

uidNumber

语法

DirectoryString

示例

nsslapd-ldapiuidnumbertype: uidNumber

3.1.1.110. nsslapd-ldifdir

在使用 db2ldif 或 db2ldif.pl 时,目录服务器以 LDAP Data Interchange Format(LDIF)格式将文件导出到此参数中设置的目录中。目录必须由 Directory Server 用户和组所有。只有这个用户和组必须在这个目录中具有读写权限。

服务必须重启才能使对此属性的更改生效。

参数描述

条目 DN

cn=config

有效值

Directory Server 用户可写入的任何目录

默认值

/var/lib/dirsrv/slapd-instance_name/ldif/

语法

DirectoryString

示例

nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/

3.1.1.111. nsslapd-listen-backlog-size

此属性设置套接字连接 backlog 的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。

参数描述

条目 DN

cn=config

有效值

最高 64 位整数值(9223372036854775807)

默认值

128

语法

整数

示例

nsslapd-listen-backlog-size: 128

3.1.1.112. nsslapd-listenhost(Listen to IP Address)

此属性允许多个 Directory 服务器实例在多设备计算机上运行(或者可以将其限制为多个homed 计算机的一个接口)。可以有多个与一个 hos tname 关联的 IP 地址,这些 IP 地址可以同时是 IPv4 和 IPv6。此参数可用于将 Directory 服务器实例限制为一个 IP 接口。

如果主机名以 nsslapd-listenhost 值形式提供,则 Directory 服务器会响应与主机名关联的每个接口的请求。如果为单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost 值,则 Directory 服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。

必须重新启动服务器,以使对此属性的更改生效。

参数描述

条目 DN

cn=config

有效值

任何本地主机名、IPv4 或 IPv6 地址

默认值

 

语法

DirectoryString

示例

nsslapd-listenhost: ldap.example.com

3.1.1.113. nsslapd-localhost(本地主机)

此属性指定 Directory 服务器运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障转移节点的高可用性配置中,引用应该指向集群的虚拟机名称,而不是本地主机名。

参数描述

条目 DN

cn=config

有效值

任何完全限定主机名。

默认值

安装的机器的主机名。

语法

DirectoryString

示例

nsslapd-localhost: phonebook.example.com

3.1.1.114. nsslapd-localuser(本地用户)

此属性将运行 Directory 服务器的用户设置为运行。用户运行的组通过检查用户的主组从此属性派生而来。用户应更改,然后使用 chown 等工具将这个实例的所有文件和目录更改为归新用户所有。

nsslapd-localuser 的值在配置了服务器实例时首先设置。

参数描述

条目 DN

cn=config

有效值

任何有效的用户

默认值

 

语法

DirectoryString

示例

nsslapd-localuser: dirsrv

3.1.1.115. nsslapd-lockdir(服务器锁定文件目录)

这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-实例。对此值的更改将在服务器重启前生效。

参数描述

条目 DN

cn=config

有效值

指向由服务器用户 ID 拥有且对服务器 ID 的写入权限的绝对路径

默认值

/var/lock/dirsrv/slapd-instance

语法

DirectoryString

示例

nsslapd-lockdir: /var/lock/dirsrv/slapd-实例

3.1.1.116. nsslapd-localssf

nsslapd-localssf 参数为 LDAPI 连接设置安全强度因数(SSF)。只有在 nsslapd-localsf 中设置的值大于或等于 nsslapd-minssf 参数中设置的值时,目录服务器才会允许 LDAPI 连接。因此,LDAPI 连接会满足 nsslapd-minssf 中最小 SSF 设置。

您不必重新启动服务器,才能使此设置生效。

参数描述

条目 DN

cn=config

有效值

0 到最大 32 位整数值(2147483647)

默认值

71

语法

整数

示例

nsslapd-localssf: 71

3.1.1.117. nsslapd-logging-hr-timestamps-enabled(启用或禁用高分辨率日志 Timestamps)

控制日志是否使用高分辨率时间戳,以精确度为纳秒,或者采用一秒精确的标准分辨率时间戳。默认启用此选项。将此选项设置为 off,将日志时间戳恢复为一秒的精度。

此设置不需要重启服务器才能生效。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-logging-hr-timestamps-enabled:

3.1.1.118. nsslapd-maxbersize(最大消息大小)

定义传入消息允许的最大大小,以字节为单位。这将限制由 Directory 服务器处理的 LDAP 请求的大小。限制请求大小可防止某种形式拒绝服务攻击。

限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。

此设置不需要服务器重启才能生效。

参数描述

条目 DN

cn=config

有效范围

0 - 2GB(2,147,483,647 字节)

0 表示应使用默认值。

默认值

2097152

语法

整数

示例

nsslapd-maxbersize: 2097152

3.1.1.119. nsslapd-maxdescriptors(最大文件描述符)

此属性设置 Directory 服务器尝试使用的最大、平台相关的文件描述符。每当客户端连接到服务器时,会使用文件描述符。访问日志、错误日志、数据库文件(索引和事务日志)以及到其他服务器的套接字(用于复制和链)也使用文件描述符。

用于提供客户端连接的 TCP/IP 可用描述符数由 nsslapd-conntablesize 属性决定。这个属性的默认值被设置为文件描述符软限制,默认值为 1024。但是,如果您手动配置此属性,服务器会更新进程文件描述符软限制以匹配。

如果这个值设置得太高,Directory 服务器会查询操作系统以获取最大允许值,然后使用该值。它还会在错误日志中记录信息。如果此值远程设置为无效值,使用 Directory Server Console 或 ldapmodify,服务器会拒绝新值,保留旧值,并出现错误。

有些操作系统允许用户配置可供进程使用的文件描述符数。有关文件描述符限制和配置的详情,请查看操作系统文档。可以使用 dsktune 程序(在 Red Hat Directory Server 安装指南中介绍)来推荐系统内核或 TCP/IP 调整属性的更改,包括根据需要增加文件描述符数量。如果 Directory 服务器拒绝连接,则这个属性的值会增加,因为它没有文件描述符。当发生这种情况时,以下信息会写入 Directory Server 的错误日志文件中:

Not listening for new connections -- too many fds open

有关增加进入连接数量的更多信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”

注意

UNIX shell 通常对文件描述符的数量具有可配置的限制。有关 限制和 ulimit 的更多信息,请参阅操作系统文档,因为这些限制通常会导致问题。

必须重新启动服务器,以使对此属性的更改生效。

参数描述

条目 DN

cn=config

有效范围

1 到 65535

默认值

4096

语法

整数

示例

nsslapd-maxdescriptors: 4096

3.1.1.120. nsslapd-maxsasliosize(最大 SASL 数据包大小)

当用户通过 SASL GSS-API 对 Directory 服务器进行身份验证时,服务器必须根据客户端请求的内存数量来为客户端分配一定内存量来执行 LDAP 操作。攻击者可以发送一个大型数据包的大小,导致 Directory 服务器崩溃或者将其作为拒绝服务攻击的一部分会被无限期地绑定。

可使用 nsslapd-maxsasliosize 属性限制 Directory 服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大允许 SASL IO 数据包大小。

当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize 限制时,服务器会立即断开客户端并将消息记录到错误日志,因此管理员可以在必要时调整设置。

此属性值以字节为单位指定。

参数描述

条目 DN

cn=config

有效范围

* -1(无限)到 32 位系统中最大 32 位整数值(2147483647)

* -1(无限)到 64 位系统中的最多 64 位整数值(9223372036854775807)

默认值

2097152 (2MB)

语法

整数

示例

nsslapd-maxsasliosize: 2097152

3.1.1.121. nsslapd-maxthreadsperconn(每个连接的最大线程数)

定义连接应使用的最大线程数。对于客户端绑定并且仅在 unbinding 前执行一两个操作的一个正常操作,请使用默认值。对于客户端绑定和同时发出许多请求的情况,请增加这个值,从而使每个连接有足够的资源执行所有操作。此属性在服务器控制台上不可用。

参数描述

条目 DN

cn=config

有效范围

1,最大线程数

默认值

5

语法

整数

示例

nsslapd-maxthreadsperconn: 5

3.1.1.122. nsslapd-minssf

安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。nsslapd-minssf 属性设置到服务器的任何连接的最小 SSF 要求;任何比最小 SSF 弱的连接尝试都会被拒绝。

TLS 和 SASL 连接可以在与 Directory 服务器的连接中混合使用。这些连接通常有不同的 SSF。两个 SSFs 的使用高于最低 SSF 要求。

将 SSF 值设置为 0 表示没有最小设置。

参数描述

条目 DN

cn=config

有效值

任何正整数

默认值

0(off)

语法

DirectoryString

示例

nsslapd-minssf: 128

3.1.1.123. nsslapd-minssf-exclude-rootdse

安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。

nsslapd-minssf-exclude-rootdse 属性可为任何与服务器的连接设置最低 SSF 要求,除了查询 root DSE 之外。这会对大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取服务器配置所需的信息,而无需首先建立安全连接。

参数描述

条目 DN

cn=config

有效值

任何正整数

默认值

0(off)

语法

DirectoryString

示例

nsslapd-minssf-exclude-rootdse: 128

3.1.1.124. nsslapd-moddn-aci

此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-moddn-aci: on

3.1.1.125. nsslapd-malloc-mmap-threshold

如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给 服务器。详情请查看 systemd.exec(3)man page。

无需手动编辑服务文件来设置 M_MMAP_THRESHOLD 环境变量,nsslapd-malloc-mmap-threshold 参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_MMAP_THRESHOLD 参数描述。

此设置不需要重启服务器才能生效。

参数描述

条目 DN

cn=config

有效范围

0 - 33554432

默认值

请参阅 mallopt(3)man page 中的 M_MMAP_THRESHOLD 参数描述。

语法

整数

示例

nsslapd-malloc-mmap-threshold: 33554432

3.1.1.126. nsslapd-malloc-mxfast

如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给 服务器。详情请查看 systemd.exec(3)man page。

通过编辑服务文件来设置 M_MXFAST 环境变量,nsslapd-malloc-mxfast 参数可让您在 Directory 服务器配置中设置值。详情请查看 mallopt(3)man page 中的 M_MXFAST 参数描述。

此设置不需要重启服务器才能生效。

参数描述

条目 DN

cn=config

有效范围

0 - 80 * (sizeof(size_t) / 4)

默认值

请参阅 mallopt(3)man page 中的 M_MXFAST 参数描述。

语法

整数

示例

nsslapd-malloc-mxfast: 1048560

3.1.1.127. nsslapd-malloc-trim-threshold

如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给 服务器。详情请查看 systemd.exec(3)man page。

无需手动编辑服务文件来设置 M_TRIM_THRESHOLD 环境变量,nsslapd-malloc-trim-threshold 参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_TRIM_THRESHOLD 参数描述。

此设置不需要重启服务器才能生效。

参数描述

条目 DN

cn=config

有效范围

0 到 2^31-1

默认值

请参阅 mallopt(3)man page 中的 M_TRIM_THRESHOLD 参数描述。

语法

整数

示例

nsslapd-malloc-trim-threshold: 131072

3.1.1.128. nsslapd-nagle

当此属性的值 关闭时,将设置 TCP_NODELAY 选项,以便 LDAP 响应(如条目或结果消息)立即发送到客户端。当属性打开时,会应用默认 TCP 行为;特别是,发送数据会被延迟,以便将其他数据分组到底层网络 MTU 大小的一个数据包中,通常为以太网的 1500 字节。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-nagle: off

3.1.1.129. nsslapd-ndn-cache-enabled

规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size 参数,以设置此缓存的最大大小。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-ndn-cache-enabled: on

3.1.1.130. nsslapd-ndn-cache-max-size

规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size 参数设置这个缓存的最大大小。

如果请求的 DN 尚未缓存,则它会被规范化并添加。当超过缓存大小限制时,目录服务器会从缓存中删除最近使用的 10,000 DN。但是,最小 10,000 DN 总是被缓存。

参数描述

条目 DN

cn=config

有效值

0 到最大 32 位整数值(2147483647)

默认值

20971520

语法

整数

示例

nsslapd-ndn-cache-max-size: 20971520

3.1.1.131. nsslapd-outbound-ldap-io-timeout

此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000 毫秒(5 分钟)。值为 0 表示服务器不会对 I/O 等待时间施加限制。

参数描述

条目 DN

cn=config

有效范围

0 到最大 32 位整数值(2147483647)

默认值

300000

语法

DirectoryString

示例

nsslapd-outbound-ldap-io-timeout: 300000

3.1.1.132. nsslapd-pagedsizelimit(为 Simple Paged Results Searches 为限制)

此属性设置从 专门使用简单页结果控制的 搜索操作返回的最大条目数。这会覆盖页面搜索的 nsslapd-sizelimit 属性。

如果将此值设置为零,则使用 nsslapd-sizelimit 属性来分页搜索以及非页面搜索。

参数描述

条目 DN

cn=config

有效范围

-1 到最大 32 位整数值(2147483647)

默认值

 

语法

整数

示例

nsslapd-pagedsizelimit: 10000

3.1.1.133. nsslapd-plug-in

此只读属性列出了由服务器加载的语法和匹配规则插件的插件条目的 DN。

3.1.1.134. nsslapd-plugin-binddn-tracking

设置用作条目修饰符的绑定 DN,即使操作本身是由服务器插件启动的。执行该操作的特定插件列在单独的操作属性 internalModifiersname 中。

个更改可以触发目录树中的其他自动更改。当删除某个用户时,例如,该用户将自动从它所属的任何组中删除。用户的初始删除是由绑定到服务器的任何用户帐户执行的,但由插件执行的组更新(默认)将显示为由插件执行,没有有关用户启动更新的信息。nsslapd-plugin-binddn-tracking 属性允许服务器跟踪哪个用户源自于更新操作,以及实际执行它的内部插件。例如:

dn: cn=my_group,ou=groups,dc=example,dc=com
modifiersname: uid=jsmith,ou=people,dc=example,dc=com
internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config

此属性默认为禁用。

参数描述

条目 DN

cn=config

有效范围

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-plugin-binddn-tracking: on

3.1.1.135. nsslapd-plugin-logging

默认情况下,即使访问日志被设置为记录内部操作,在访问日志文件中不会记录插件内部操作。您可以使用此参数在各个插件配置中启用日志,而不必在全局范围内控制它。

启用后,插件使用此全局设置,如果已启用,则日志访问和审计事件。

如果启用了 nsslapd-plugin-logging,并将 nsslapd-accesslog-level 设置为记录内部操作,未索引搜索和其他内部操作会记录到访问日志文件中。

如果没有设置 nsslapd-plugin-logging,则来自插件的未索引搜索仍会在 Directory Server 错误日志中记录。

参数描述

条目 DN

cn=config

有效范围

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-plugin-logging: off

3.1.1.136. nsslapd-port(端口号)

此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS,请使用 Start TLS 扩展操作。这个所选端口必须在主机系统中唯一;确保其他应用程序没有使用相同的端口号。指定端口号小于 1024 表示目录服务器必须作为 root 启动。

服务器在启动后将其 nsslapd-localuser 值设置为 nsslapd-localuser 值。更改配置目录的端口号时,必须更新配置目录中的对应服务器实例条目。

必须重新启动服务器,以便更改要考虑的端口号。

参数描述

条目 DN

cn=config

有效范围

0 到 65535

默认值

389

语法

整数

示例

nsslapd-port: 389

注意

如果启用了 LDAPS 端口,则将端口号设为 0( 0)以禁用 LDAP 端口。

3.1.1.137. nsslapd-privatenamespaces

这个 read-only 属性包含专用命名上下文 cn=configcn=schemacn=monitor 的列表。

参数描述

条目 DN

cn=config

有效值

cn=config, cn=schema 和 cn=monitor

默认值

 

语法

DirectoryString

示例

nsslapd-privatenamespaces: cn=config

3.1.1.138. nsslapd-pwpolicy-inherit-global(继承全局密码语法)

如果没有设置细粒度密码语法,则不会检查新的或更新的密码,即使配置了全局密码语法。要继承全局精细的密码语法,可在 上 将此属性设置为。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-pwpolicy-inherit-global: off

3.1.1.139. nsslapd-pwpolicy-local(启用子树和用户级密码策略)

开启和关闭精细(subtree- 和 user-level)密码策略。

如果此属性的值为 off,则目录中所有条目( cn=Directory Manager除外)都受到全局密码策略;服务器会忽略任何定义的子树/用户级别密码策略。

如果此属性的值在 ,服务器会检查子树和用户级别的密码策略,并强制这些策略。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-pwpolicy-local: off

3.1.1.140. nsslapd-readonly(只读)

此属性会设置整个服务器是否处于只读模式,这意味着无法修改数据库中的数据或配置信息。任何以只读模式修改数据库都会返回一个错误,表示服务器不符来执行操作。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-readonly: off

3.1.1.141. nsslapd-referral(Referral)

这个多值属性指定当服务器收到不属于本地树的条目请求时返回的 LDAP URL;即后缀的条目与任何后缀属性中指定的值不匹配。例如,假设服务器只包含条目:

ou=People,dc=example,dc=com

但是,请求针对这个条目:

ou=Groups,dc=example,dc=com

在这种情况下,引用程序将试图使 LDAP 客户端找到包含所需条目的服务器。虽然每个目录服务器实例只允许一个引用,但这种引用可以有多个值。

注意

要使用 TLS 通信,引用属性应该采用 ldaps://server-location 的形式。

启动 TLS 不支持引用。

有关管理引用的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"配置目录数据库"一章。

参数描述

条目 DN

cn=config

有效值

任何有效的 LDAP URL

默认值

 

语法

DirectoryString

示例

nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com

3.1.1.142. nsslapd-referralmode(Referral Mode)

设置后,此属性会在任何后缀上发送任何请求的引用。

参数描述

条目 DN

cn=config

有效值

任何有效的 LDAP URL

默认值

 

语法

DirectoryString

示例

nsslapd-referralmode: ldap://ldap.example.com

3.1.1.143. nsslapd-require-secure-binds

此参数要求用户通过受保护的连接(如 TLS、StartTLS 或 SASL)而不是常规连接对目录进行身份验证。

注意

这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成,即使打开了 nsslapd-require-secure-binds

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-require-secure-binds: on

3.1.1.144. nsslapd-requiresrestart

此参数列出了修改后重启服务器的其他核心配置属性。这意味着,如果 nsslapd-requiresrestart 中列出的任何属性已更改,新设置将在服务器重启后才会生效。可以在 ldapsearch 中返回属性列表:

ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart

此属性为多值。

参数描述

条目 DN

cn=config

有效值

任何核心服务器配置属性

默认值

 

语法

DirectoryString

示例

nsslapd-requiresrestart: nsslapd-cachesize

3.1.1.145. nsslapd-reservedescriptors(保留文件描述符)

此属性指定 Directory 服务器为管理非客户端连接(如索引管理和管理复制)保留的文件描述符数量。服务器为此目的保留的文件描述符数量从可用于服务 LDAP 客户端连接的文件描述符总数中减去(See 第 3.1.1.119 节 “nsslapd-maxdescriptors(最大文件描述符)”)。

目录服务器的大部分安装应该不需要更改此属性。但是,如果以下所有情况都为 true,请考虑增加此属性中的值:

  • 服务器被复制到大量消费者服务器(超过 10),或者服务器维护大量的索引文件(超过 30 个)。
  • 服务器为大量 LDAP 连接提供服务。
  • 错误消息会报告服务器无法打开文件描述符(实际错误消息因服务器试图执行的操作而异),但这些错误消息与管理客户端 LDAP 连接 无关

增加此属性的值可能会导致更多的 LDAP 客户端无法访问该目录。因此,这个属性中的值会被增加,也会增加 nsslapd-maxdescriptors 属性中的值。如果服务器已经使用操作系统允许进程的最大文件描述符数,则无法增大 nsslapd-maxdescriptors 值;详情请查看操作系统文档。如果出现这种情况,则会导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。有关传入连接文件描述符使用情况的信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”

要协助计算为此属性设定的文件描述符数量,请使用以下公式:

nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex +
ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
  • NldbmBackends 是 ldbm 数据库的数量。
  • NglobalIndex 是所有数据库配置的索引总数,包括系统索引。(默认情况下,每个数据库有 8 个系统索引和 17 个额外索引)。
  • ReplicationDescriptor 是 8(8),以及可以充当供应商或中心(NSupplierReplica)的服务器中的副本数。
  • ChainingBackendDescriptorsnsOperationConnectionsLimit (默认链或数据库链路配置属性)的 NchainingBackend times。
  • 如果配置了 PTA,则 PTA 描述符3 ;如果没有配置 PTA,则 0 0。
  • 如果配置了 TLS 和 0,SSLDescriptors5( 4 个文件 + 1 侦听套接字)。

必须重新启动服务器,以使对此属性的更改生效。

参数描述

条目 DN

cn=config

有效范围

1 到 65535

默认值

64

语法

整数

示例

nsslapd-reservedescriptors: 64

3.1.1.146. nsslapd-re return-exact-case(Re return Exact Case)

返回客户端请求的属性类型名称的确切情况。虽然与 LDAPv3 兼容的客户端必须忽略属性名称,但有些客户端应用程序需要属性的名称与在 Directory 服务器返回属性时所列出的属性完全匹配。但是,大多数客户端应用会忽略属性的大小写;因此,此属性被禁用。不要修改它,除非有旧客户端可以检查从服务器返回的属性名称的情况。

必须重新启动服务器,以使对此属性的更改生效。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-re return-exact-case: off

3.1.1.147. nsslapd-rewrite-rfc1274

此属性已弃用,并将在以后的版本中删除。

此属性仅适用于需要使用其 RFC 1274 名称返回属性类型的 LDAPv2 客户端。为这些客户端将 值设置为 上的。默认为 off

3.1.1.148. nsslapd-rootdn(管理器 DN)

此属性设置条目的可分辨名称(DN),这些条目不受访问控制限制、对该目录操作的管理限制或一般的资源限值。不必是与此 DN 对应的条目,默认情况下没有此 DN 的条目,因此可以接受 cn=Directory Manager 等值。

有关更改根 DN 的详情,请参考 Red Hat Directory Server Administration Guide 中的"创建目录条目"章节。

参数描述

条目 DN

cn=config

有效值

任何有效的可识别名称

默认值

 

语法

DN

示例

nsslapd-rootdn: cn=Directory Manager

3.1.1.149. nsslapd-rootpw(Root Password)

此属性设置与 Manager DN 关联的密码。提供 root 密码后,它会根据为 nsslapd-rootpwstoragescheme 属性选择的加密方法进行加密。从服务器控制台查看时,此属性显示值 *。从 dse.ldif 文件中查看时,此属性显示加密方法后跟密码的加密字符串。示例中显示了在 dse.ldif 文件中显示的密码,而不是实际密码。

警告

在服务器设置中配置根 DN 时,需要一个 root 密码。但是,可以通过直接编辑 文件,从 dse.ldif 中删除 root 密码。在这种情况下,根 DN 只能获得对目录的相同访问权限,以进行匿名访问。当为数据库配置了 root DN 时,请务必确保在 dse. conf 中定义 root 密码。pwdhash 命令行实用程序可创建一个新的 root 密码。更多信息请参阅 第 9.6 节 “pwdhash”

重要

通过命令行重置 Directory Manager 密码时,请勿在 密码中使用大括号({})。root 密码以 {password-storage-scheme}hashed_password 格式保存。大括号中的任何字符都由服务器解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案,或者后面的密码没有正确散列,则 Directory Manager 无法绑定到服务器。

参数描述

条目 DN

cn=config

有效值

任何有效的密码,由 第 4.1.43 节 “密码存储” 中描述的任何一种加密方法加密。

默认值

 

语法

DirectoryString {encryption_method }encrypted_Password

示例

nsslapd-rootpw: {SSHA}9Eko69APCJfF

3.1.1.150. nsslapd-rootpwstoragescheme(Root Password Storage Scheme)

此属性设置用于加密存储在 nsslapd-rootpw 属性中的 Directory 服务器管理器密码的方法。详情请查看推荐的强密码存储方案。