第 3 章核心服务器配置参考

本章为所有核心（与服务器相关的）属性提供字母顺序参考。第 2.2.1.1 节 “目录服务器配置概述” 包含红帽目录服务器配置文件的良好概述。

3.1. 核心服务器配置属性参考
复制链接

本节包含与核心服务器功能相关的配置属性的参考信息。有关更改服务器配置的详情，请参考第 2.2.1.2 节 “访问和修改服务器配置”。有关作为插件实现的服务器功能列表，请参阅第 4.1 节 “服务器端功能参考”。有关实施自定义服务器功能的帮助，请联系 Directory Server 支持。

存储在 dse.ldif 文件中的配置信息被组织为常规配置条目 cn=config 下的信息树，如下图所示。

图 3.1. 目录信息树显示配置数据

以下部分中涵盖了其中大多数配置树节点。

cn=plugins 节点包括在第 4 章 插件实现的服务器功能参考 中。每个属性的描述包含详细信息，如其目录条目的 DN、其默认值、有效值范围和使用示例。

注意

本章中描述的一些条目和属性可能会在以后的版本中有所变化。

3.1.1. cn=config
复制链接

常规配置条目存储在 cn=config 条目中。cn=config 条目是 nsslapdConfig 对象类的实例，后者从 extensibleObject 对象类继承。

3.1.1.1. nsslapd-accesslog (Access Log)
复制链接

此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。日志文件中默认记录以下信息：

访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
执行的操作（如搜索、添加和修改）。
访问的结果（例如，返回的条目数或错误代码）。

有关关闭访问日志的更多信息，请参阅红帽目录服务器管理指南中的"监控服务器和数据库活动" 一章。

若要启用日志，此属性必须具有有效的 path 和参数，并且 nsslapd-accesslog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用访问日志记录方面的结果。

Expand

表 3.1. DSE.ldif 文件属性
属性	值	启用或禁用日志记录
nsslapd-accesslog-logging-enabled nsslapd-accesslog	on 空字符串	Disabled
nsslapd-accesslog-logging-enabled nsslapd-accesslog	on filename	Enabled
nsslapd-accesslog-logging-enabled nsslapd-accesslog	off 空字符串	Disabled
nsslapd-accesslog-logging-enabled nsslapd-accesslog	off filename	Disabled

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的文件名。
默认值	/var/log/dirsrv/slapd-instance/access
语法	DirectoryString
示例	nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access

3.1.1.2. nsslapd-accesslog-level (Access Log Level)
复制链接

此属性控制记录到访问日志的内容。

您不必重新启动服务器才能使此设置生效。

Expand

参数	描述
条目 DN	cn=config
有效值	* 0 - 无法访问日志记录 * 4 - 内部访问操作的日志记录 * 256 - 连接、操作和结果的日志 * 512 - 访问条目和引用的日志 * 这些值可以一起添加以提供确切的日志类型，例如 `516` (4 + 512)来获取内部访问操作、条目访问和引用日志。
默认值	256
语法	整数
示例	nsslapd-accesslog-level: 256

3.1.1.3. nsslapd-accesslog-list （访问日志文件列表）
复制链接

此 read-only 属性（不能设置）提供了访问日志轮转中使用的日志文件的列表。

Expand

参数	描述
条目 DN	cn=config
有效值
默认值	无
语法	DirectoryString
示例	nsslapd-accesslog-list: accesslog2,accesslog3

3.1.1.4. nsslapd-accesslog-logbuffering (Log Buffering)
复制链接

当设置为 off 时，服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器使用访问日志记录，即使负载过重，而不影响性能。但是，在调试时，有时要禁用缓冲，以便立即查看操作及其结果，而不必等待向该文件刷新日志条目。禁用日志缓冲会对大量负载的服务器的性能有严重影响。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-accesslog-logbuffering: off

3.1.1.5. nsslapd-accesslog-logexpirationtime (Access Log Expiration Time)
复制链接

此属性指定日志文件在删除前可访问的最长期限。此属性仅提供单位数。该单元由 nsslapd-accesslog-logexpirationtimeunit 属性提供。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。
默认值	-1
语法	整数
示例	nsslapd-accesslog-logexpirationtime: 2

3.1.1.6. nsslapd-accesslog-logexpirationtimeunit (Access Log Expiration Time Unit)
复制链接

此属性指定 nsslapd-accesslog-logexpirationtime 属性的单元。如果服务器未知单位，则日志永远不会过期。

Expand

参数	描述
条目 DN	cn=config
有效值	month \| 周 \| 天
默认值	month
语法	DirectoryString
示例	nsslapd-accesslog-logexpirationtimeunit: week

3.1.1.7. nsslapd-accesslog-logging-enabled (Access Log Enable Logging)
复制链接

禁用并启用 accesslog 日志记录，但仅与 nsslapd-accesslog 属性结合使用，该属性指定了用于记录每个数据库访问的日志的路径和参数。

若要启用访问日志记录，此属性必须切换到 上的，并且 nsslapd-accesslog 配置属性必须具有有效的 path 和参数。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用访问日志记录方面的结果。

Expand

表 3.2. DSE.ldif 属性
属性	值	Logging Enabled 或 Disabled
nsslapd-accesslog-logging-enabled nsslapd-accesslog	on 空字符串	Disabled
nsslapd-accesslog-logging-enabled nsslapd-accesslog	on filename	Enabled
nsslapd-accesslog-logging-enabled nsslapd-accesslog	off 空字符串	Disabled
nsslapd-accesslog-logging-enabled nsslapd-accesslog	off filename	Disabled

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-accesslog-logging-enabled: off

3.1.1.8. nsslapd-accesslog-logmaxdiskspace (Access Log Maximum Disk Space)
复制链接

此属性指定允许访问日志消耗的最大磁盘空间量，以 MB 为单位。如果超过这个值，则会删除最旧的访问日志。

在设置最大磁盘空间时，请考虑日志文件轮转可创建的日志文件总数。另外，请记住，Directory 服务器维护有三个不同的日志文件（访问日志、审计日志和错误日志）。将这些注意事项与访问日志的磁盘空间总量进行比较。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 表示允许访问日志的磁盘空间大小无限。
默认值	500
语法	整数
示例	nsslapd-accesslog-logmaxdiskspace: 500

3.1.1.9. nsslapd-accesslog-logminfreediskspace (Access Log Minimum Free Disk Space)
复制链接

此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时，会删除最旧的访问日志，直到有足够的磁盘空间来满足此属性。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)
默认值	-1
语法	整数
示例	nsslapd-accesslog-logminfreediskspace: -1

3.1.1.10. nsslapd-accesslog-logrotationsync-enabled (Access Log Rotation Sync Enabled)
复制链接

此属性设定访问日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转，可以每天的指定时间生成日志文件，例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件，因为它们随后直接映射到日历。

要使日志轮转与时间结束同步，此属性必须使用 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性值启用，以便轮转日志文件。

例如，要在每天的午夜轮转访问日志文件，请通过将值设为 on 来启用此属性，然后将 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性的值设置为 0。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-accesslog-logrotationsync-enabled: on

3.1.1.11. nsslapd-accesslog-logrotationsynchour (Access Log Rotation Sync Hour)
复制链接

此属性设置轮转访问日志的天的小时。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsyncmin 属性一起使用。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 23
默认值	0
语法	整数
示例	nsslapd-accesslog-logrotationsynchour: 23

3.1.1.12. nsslapd-accesslog-logrotationsyncmin (Access Log Rotation Sync Minute)
复制链接

此属性设置轮转访问日志的当天的分钟。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsynchour 属性一起使用。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 59
默认值	0
语法	整数
示例	nsslapd-accesslog-logrotationsyncmin: 30

3.1.1.13. nsslapd-accesslog-logrotationtime (Access Log Rotation Time)
复制链接

此属性设定访问日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-accesslog-logrotationtimeunit 属性提供。

在配置的间隔过期后，目录服务器会在第一个写入操作中轮转日志，无论日志的大小如何。

虽然由于日志无限期增长，我们不建议指定日志轮转，但有两个方法指定这一点。将 nsslapd-accesslog-maxlogsperdir 属性值设置为 1，或者将 nsslapd-accesslog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-accesslog-maxlogsperdir 属性，如果此属性值大于 1，则服务器会检查 nsslapd-accesslog-logrotationtime 属性。请参阅第 3.1.1.16 节 “nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)” 了解更多信息。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 表示访问日志文件轮转之间的时间是无限的。
默认值	1
语法	整数
示例	nsslapd-accesslog-logrotationtime: 100

3.1.1.14. nsslapd-accesslog-logrotationtimeunit (Access Log Rotation Time Unit)
复制链接

此属性设置 nsslapd-accesslog-logrotationtime 属性的单元。

Expand

参数	描述
条目 DN	cn=config
有效值	month \| 周 \| 天 \| 小时 \| 分钟
默认值	day
语法	DirectoryString
示例	nsslapd-accesslog-logrotationtimeunit: week

3.1.1.15. nsslapd-accesslog-maxlogsize (Access Log Maximum Log Size)
复制链接

此属性设置最大访问日志大小（以 MB 为单位）。当达到这个值时，访问日志会被轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-accesslog-maxlogsperdir 属性设置为 1，服务器会忽略此属性。

在设置最大日志大小时，请考虑日志文件轮转可创建的日志文件总数。另外，请记住，Directory 服务器维护有三个不同的日志文件（访问日志、审计日志和错误日志）。将这些注意事项与访问日志的磁盘空间总量进行比较。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 表示日志文件的大小不限。
默认值	100
语法	整数
示例	nsslapd-accesslog-maxlogsize: 100

3.1.1.16. nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)
复制链接

此属性设置存储在访问日志的目录中的访问日志总数。每次轮转访问日志时，都会创建一个新的日志文件。当访问日志目录中包含的文件数量超过此属性中存储的值时，会删除日志文件的最老版本。出于性能考虑，红帽 建议不要 将此值设置为 1，因为服务器不会轮转日志，并无限期地增大。

如果此属性的值大于 1，请检查 nsslapd-accesslog-logrotationtime 属性，以确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime 属性的值为 -1，则没有日志轮转。请参阅第 3.1.1.13 节 “nsslapd-accesslog-logrotationtime (Access Log Rotation Time)” 了解更多信息。

请注意，根据 nsslapd-accesslog-logminfreediskspace 和 nsslapd-accesslog-maxlogsize 中设置的值，实际的日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir 中配置的值。例如，如果 nsslapd-accesslog-maxlogsperdir 使用默认的（10 文件，并将 nsslapd-accesslog-logminfreediskspace 设置为 500 MB，nsslapd-accesslog-maxlogsize 只会保留 5 个访问文件。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到最大 32 位整数值(2147483647)
默认值	10
语法	整数
示例	nsslapd-accesslog-maxlogsperdir: 10

3.1.1.17. nsslapd-accesslog-mode (Access Log File Permission)
复制链接

此属性设置访问要创建的日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合（镜像数字或绝对 UNIX 文件权限）。该值必须是 3 位数字，从 0 到 7 的不同数字：

0 - None
1 - 仅执行
仅限 2 个写入
3 - 写入和执行
4 - 只读
5 - 读取和执行
6 - 读取和写入
7 - 读取、写入和执行

在 3 位数字中，第一个数字代表所有者的权限，第二个数字表示组的权限，第三个数字表示任何人的权限。更改默认值时，请记住 000 不允许访问日志，并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。

新配置的访问模式仅影响创建的新日志；当日志轮转到新文件时，将设置模式。

Expand

参数	描述
条目 DN	cn=config
有效范围	000 到 777
默认值	600
语法	整数
示例	nsslapd-accesslog-mode: 600

3.1.1.18. nsslapd-allow-anonymous-access
复制链接

如果用户在不提供任何绑定 DN 或密码的情况下尝试连接到目录服务器，则这是一个 匿名绑定。匿名绑定简化了常见的搜索和读操作，如检查电话号码或电子邮件地址的目录，不需要用户先向目录进行身份验证。

但是，匿名绑定存在风险。必须就适当的 ACI 来限制对敏感信息的访问，并禁止像修改和删除这样的操作。另外，匿名绑定可用于拒绝服务攻击或恶意人员访问服务器。

可以禁用匿名绑定来提高安全性（关闭）。默认情况下，允许匿名绑定(on)用于搜索和读取操作。这允许访问 常规目录条目，其中包括用户和组条目以及类似 root DSE 的配置条目。第三个选项 rootdse 允许匿名搜索和读取访问权限，以搜索 root DSE 本身，但限制对所有其他目录条目的访问。

另外，可以使用 nsslapd-anonlimitsdn 属性将资源限值放在匿名绑定中，如第 3.1.1.22 节 “nsslapd-anonlimitsdn” 所述。

在服务器重启前，对这个值的更改不会生效。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off \| rootdse
默认值	on
语法	DirectoryString
示例	nsslapd-allow-anonymous-access: on

3.1.1.19. nsslapd-allow-hashed-passwords
复制链接

这个参数禁用预哈希密码检查。默认情况下，Directory 服务器不允许除 Directory Manager 以外的任何人设置预哈希密码。在将这个权限添加到 Password Administrators 组时，您可以将此权限委派给其他用户。然而，比如复制合作伙伴已控制预哈希密码检查时，必须在 Directory 服务器上禁用此功能。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-allow-hashed-passwords: off

3.1.1.20. nsslapd-allow-unauthenticated-binds
复制链接

未经身份验证的绑定是到提供空密码的目录服务器的连接。出于安全原因，使用默认设置时目录服务器拒绝此场景中的访问。

警告

红帽建议不要启用未经身份验证的绑定。此验证方法允许用户在不提供密码作为任何帐户（包括目录管理器）的情况下绑定。绑定后，用户可以使用用来绑定的帐户的权限访问所有数据。

您不必重新启动服务器才能使此设置生效。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-allow-unauthenticated-binds: off

3.1.1.21. nsslapd-allowed-sasl-mechanisms
复制链接

默认情况下，根 DSE 列出 SASL 库支持的所有机制。然而，在某些环境中，只首选某些环境。nsslapd-allowed-sasl-mechanisms 属性允许您仅启用一些定义的 SASL 机制。

机制名称必须包含大写字母、数字和下划线。每个机制都可以用逗号分开。

注意

EXTERNAL 机制实际上没有被任何 SASL 插件使用。它是服务器内部，主要用于 TLS 客户端身份验证。因此，EXTERNAL 机制无法限制或控制。它始终会出现在支持的机制列表中，无论 nsslapd-allowed-sasl-mechanisms 属性中设置的内容是什么。

此设置不需要服务器重启来生效。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的 SASL 机制
默认值	none （允许所有 SASL 机制）
语法	DirectoryString
示例	nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP

3.1.1.22. nsslapd-anonlimitsdn
复制链接

资源限值可以在经过身份验证的绑定上设置。资源限值可在单个操作中设置可以搜索多少条目的上限(nsslapd-sizeLimit)、时间限制(nsslapd-timelimit)和 time out period (nsslapd-idletimeout) for 搜索，以及可以搜索的条目总数(nsslapd-lookthroughlimit)。这些资源限制可防止拒绝服务攻击以阻止目录资源，并提高整体性能。

资源限值在用户条目上设置。匿名绑定（很明显）没有与之关联的用户条目。这意味着资源限制通常不适用于匿名操作。

要为匿名绑定设置资源限值，可以创建一个带有适当资源限制的模板条目。然后，可以添加 nsslapd-anonlimitsdn 配置属性，指向此条目，并将资源限值应用到匿名绑定。

Expand

参数	描述
条目 DN	cn=config
有效值	任何 DN
默认值	无
语法	DirectoryString
示例	nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com

3.1.1.23. nsslapd-attribute-name-exceptions
复制链接

此属性允许属性名称中的非标准字符向后兼容旧服务器，如模式定义属性中的 "_"。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-attribute-name-exceptions: on

3.1.1.24. nsslapd-auditlog (Audit Log)
复制链接

此属性设置日志的路径和文件名，用于记录对每个数据库所做的更改。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效文件名
默认值	/var/log/dirsrv/slapd-instance/audit
语法	DirectoryString
示例	nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit

要启用审计日志记录，此属性必须具有有效的 path 和参数，并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用审计日志记录时的结果。

Expand

表 3.3. nsslapd-auditlog 的可能组合
dse.ldif 中的属性	值	启用或禁用日志记录
nsslapd-auditlog-logging-enabled nsslapd-auditlog	on 空字符串	Disabled
nsslapd-auditlog-logging-enabled nsslapd-auditlog	on filename	Enabled
nsslapd-auditlog-logging-enabled nsslapd-auditlog	off 空字符串	Disabled
nsslapd-auditlog-logging-enabled nsslapd-auditlog	off filename	Disabled

3.1.1.25. nsslapd-auditlog-display-attrs
复制链接

使用 nsslapd-auditlog-display-attrs 属性，您可以设置目录服务器在审计日志中显示的属性，以提供有用的标识条目的信息。通过在审计日志中添加属性，您可以检查条目更新中的条目和详情中特定属性的当前状态。

您可以通过选择以下选项之一来显示日志中的属性：

要显示 Directory 服务器修改的条目的特定属性，请将属性名称作为值提供。
要显示多个属性，请将以空格分开的属性名称作为值提供。
要显示条目的所有属性，请使用星号 AssumeRole 作为值。

提供 Directory 服务器必须在审计日志中显示的空格分隔属性列表，或使用星号 AssumeRole 作为值来显示正在修改条目的所有属性。

例如，您要将 cn 属性添加到审计日志输出中。当您将 nsslapd-auditlog-display-attrs 属性设置为 cn 时，审计日志会显示以下输出：

time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z

time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z

Copy to Clipboard

Toggle word wrap

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的属性名称。如果要在审计日志中显示条目的所有属性，请使用星号 encoding。
默认值	无
语法	DirectoryString
Example	nsslapd-auditlog-display-attrs: cn ou

3.1.1.26. nsslapd-auditlog-list
复制链接

提供审计日志文件列表。

Expand

参数	描述
条目 DN	cn=config
有效值
默认值	无
语法	DirectoryString
示例	nsslapd-auditlog-list: auditlog2,auditlog3

3.1.1.27. nsslapd-auditlog-logexpirationtime (Audit Log Expiration Time)
复制链接

此属性设置日志文件在删除前允许的最长时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditlog-logexpirationtimeunit 属性提供。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。
默认值	-1
语法	整数
示例	nsslapd-auditlog-logexpirationtime: 1

3.1.1.28. nsslapd-auditlog-logexpirationtimeunit (Audit Log Expiration Time Unit)
复制链接

此属性设置 nsslapd-auditlog-logexpirationtime 属性的单元。如果服务器未知单位，则日志永远不会过期。

Expand

参数	描述
条目 DN	cn=config
有效值	month \| 周 \| 天
默认值	周
语法	DirectoryString
示例	nsslapd-auditlog-logexpirationtimeunit: day

3.1.1.29. nsslapd-auditlog-logging-enabled (Audit Log Enable Logging)
复制链接

打开和关闭审计日志记录。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-auditlog-logging-enabled: off

要启用审计日志记录，此属性必须具有有效的 path 和参数，并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用审计日志记录时的结果。

Expand

表 3.4. nsslapd-auditlog 和 nsslapd-auditlog-logging-enabled 的可能组合
属性	值	启用或禁用日志记录
nsslapd-auditlog-logging-enabled nsslapd-auditlog	on 空字符串	Disabled
nsslapd-auditlog-logging-enabled nsslapd-auditlog	on filename	Enabled
nsslapd-auditlog-logging-enabled nsslapd-auditlog	off 空字符串	Disabled
nsslapd-auditlog-logging-enabled nsslapd-auditlog	off filename	Disabled

3.1.1.30. nsslapd-auditlog-logmaxdiskspace (Audit Log Maximum Disk Space)
复制链接

此属性设置审计日志可以使用的最大磁盘空间量（以 MB 为单位）。如果超过这个值，则会删除最旧的审计日志。

在设置最大磁盘空间时，请考虑日志文件轮转可创建的日志文件总数。还请记住，Directory 服务器维护有三个不同的日志文件（访问日志、审计日志和错误日志）。将这些注意事项与审计日志的磁盘空间总量进行比较。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 代表允许审计日志的磁盘空间大小无限。
默认值	-1
语法	整数
示例	nsslapd-auditlog-logmaxdiskspace: 10000

3.1.1.31. nsslapd-auditlog-logminfreediskspace (Audit Log Minimum Free Disk Space)
复制链接

此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间量低于此属性指定的值时，会删除最旧的审计日志，直到有足够的磁盘空间来满足此属性。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 （无限）\| 1 到最大 32 位整数值(2147483647)
默认值	-1
语法	整数
示例	nsslapd-auditlog-logminfreediskspace: -1

3.1.1.32. nsslapd-auditlog-logrotationsync-enabled (Audit Log Rotation Sync Enabled)
复制链接

此属性设置审计日志轮转是与一天的特定时间同步。以这种方式同步日志轮转，可以每天的指定时间生成日志文件，例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件，因为它们随后直接映射到日历。

要使审计日志轮转与时间结束同步，此属性必须使用 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性值启用，以便轮转日志文件。

例如，要在每天的午夜之间轮转审计日志文件，将其值设为 on 来启用此属性，然后将 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性的值设置为 0。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-auditlog-logrotationsync-enabled: on

3.1.1.33. nsslapd-auditlog-logrotationsynchour (Audit Log Rotation Sync Hour)
复制链接

此属性设置轮转审计日志的天的小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsyncmin 属性一起使用。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 23
默认值	none （因为 `nsslapd-auditlog-logrotationsync-enabled` 为 off）
语法	整数
示例	nsslapd-auditlog-logrotationsynchour: 23

3.1.1.34. nsslapd-auditlog-logrotationsyncmin (Audit Log Rotation Sync Minute)
复制链接

此属性设置轮转审计日志的当天的分钟。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsynchour 属性一起使用。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 59
默认值	none （因为 `nsslapd-auditlog-logrotationsync-enabled` 为 off）
语法	整数
示例	nsslapd-auditlog-logrotationsyncmin: 30

3.1.1.35. nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)
复制链接

此属性设定审计日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditlog-logrotationtimeunit 属性提供。如果 nsslapd-auditlog-maxlogsperdir 属性设置为 1，服务器会忽略此属性。

在配置的间隔过期后，目录服务器会在第一个写入操作中轮转日志，无论日志的大小如何。

虽然不建议根据性能原因指定日志轮转，但随着日志无限期增长，但可以通过两种方式指定。将 nsslapd-auditlog-maxlogsperdir 属性值设置为 1，或者将 nsslapd-auditlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditlog-maxlogsperdir 属性，如果此属性值大于 1，则服务器会检查 nsslapd-auditlog-logrotationtime 属性。请参阅第 3.1.1.38 节 “nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)” 了解更多信息。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 表示审计日志文件轮转之间的时间是无限的。
默认值	1
语法	整数
示例	nsslapd-auditlog-logrotationtime: 100

3.1.1.36. nsslapd-auditlog-logrotationtimeunit (Audit Log Rotation Time Unit)
复制链接

此属性设置 nsslapd-auditlog-logrotationtime 属性的单元。

Expand

参数	描述
条目 DN	cn=config
有效值	month \| 周 \| 天 \| 小时 \| 分钟
默认值	周
语法	DirectoryString
示例	nsslapd-auditlog-logrotationtimeunit: day

3.1.1.37. nsslapd-auditlog-maxlogsize (Audit Log Maximum Log Size)
复制链接

此属性以 MB 为单位设置最大审计日志大小。达到这个值时，审计日志会轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-auditlog-maxlogsperdir 为 1，服务器会忽略此属性。

在设置最大日志大小时，请考虑日志文件轮转可创建的日志文件总数。另外，请记住，Directory 服务器维护有三个不同的日志文件（访问日志、审计日志和错误日志）。将这些注意事项与审计日志的磁盘空间总量进行比较。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 表示日志文件的大小不限。
默认值	100
语法	整数
示例	nsslapd-auditlog-maxlogsize: 50

3.1.1.38. nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)
复制链接

此属性设置存储在审计日志的目录中的审计日志总数。每次轮转审计日志时，都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时，会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值，服务器将不会轮转日志，它会无限期地增大。

如果此属性的值大于 1，则检查 nsslapd-auditlog-logrotationtime 属性，以确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime 属性的值为 -1，则没有日志轮转。请参阅第 3.1.1.35 节 “nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)” 了解更多信息。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到最大 32 位整数值(2147483647)
默认值	1
语法	整数
示例	nsslapd-auditlog-maxlogsperdir: 10

3.1.1.39. nsslapd-auditlog-mode (Audit Log File Permission)
复制链接

此属性设置要创建的审计日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合，因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合，从 0 到 7 的数字不同：

0 - None
1 - 仅执行
2 - 仅写入
3 - 写入和执行
4 - 只读
5 - 读和执行
6 - 读取和写入
7 - 读取、写入和执行

新配置的访问模式仅影响创建的新日志；当日志轮转到新文件时，将设置模式。

Expand

参数	描述
条目 DN	cn=config
有效范围	000 到 777
默认值	600
语法	整数
示例	nsslapd-auditlog-mode: 600

3.1.1.40. nsslapd-auditfaillog (Audit Fail Log)
复制链接

此属性设置用于记录失败的 LDAP 修改的日志的路径和文件名。

如果启用了 nsslapd-auditfaillog-logging-enabled，并且未设置 nsslapd-auditfaillog，则审计失败事件将记录到 nsslapd-auditlog 中指定的文件。

如果将 nsslapd-auditfaillog 参数设置为与 nsslapd-auditlog 相同的路径，则两者都记录在同一文件中。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效文件名
默认值	/var/log/dirsrv/slapd-instance/audit
语法	DirectoryString
示例	nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit

要启用审计日志，此属性必须具有有效的路径，并且 nsslapd-auditfaillog-logging-enabled 属性必须设置为 on

3.1.1.41. nsslapd-auditfaillog-list
复制链接

提供审计失败日志文件列表。

Expand

参数	描述
条目 DN	cn=config
有效值
默认值	无
语法	DirectoryString
示例	nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3

3.1.1.42. nsslapd-auditfaillog-logexpirationtime (Audit Fail Log Expiration Time)
复制链接

此属性设置日志文件在删除前的最长期限。它提供给单位数。在 nsslapd-auditfaillog-logexpirationtimeunit 属性中指定单元，如 day、week、month 等。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。
默认值	-1
语法	整数
示例	nsslapd-auditfaillog-logexpirationtime: 1

3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit (Audit Fail Log Expiration Time Unit)
复制链接

此属性设置 nsslapd-auditfaillog-logexpirationtime 属性的单元。如果服务器未知单位，日志永远不会过期。

Expand

参数	描述
条目 DN	cn=config
有效值	month \| 周 \| 天
默认值	周
语法	DirectoryString
示例	nsslapd-auditfaillog-logexpirationtimeunit: day

3.1.1.44. nsslapd-auditfaillog-logging-enabled (Audit Fail Log Enable Logging)
复制链接

打开和关闭失败 LDAP 修改的日志。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-auditfaillog-logging-enabled: off

3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace (Audit Fail Log Maximum Disk Space)
复制链接

此属性设置审计日志可以消耗的最大磁盘空间量，以 MB 为单位。如果大小超过限制，将删除最旧的审计失败日志。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 代表允许审计日志的磁盘空间大小无限。
默认值	100
语法	整数
示例	nsslapd-auditfaillog-logmaxdiskspace: 10000

3.1.1.46. nsslapd-auditfaillog-logminfreediskspace (Audit Fail Log Minimum Free Disk Space)
复制链接

此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间小于指定的值时，会删除最旧的审计日志，直到有足够的磁盘空间被释放为止。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 （无限）\| 1 到最大 32 位整数值(2147483647)
默认值	-1
语法	整数
示例	nsslapd-auditfaillog-logminfreediskspace: -1

3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled (Audit Fail Log Rotation Sync Enabled)
复制链接

要使审计日志轮转与时间结束同步，必须使用 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性值启用此属性，以便轮转日志文件。

例如，要在每天的午夜轮转审计失败日志文件，将其值设为 on 来启用此属性，然后将 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性的值设置为 0。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-auditfaillog-logrotationsync-enabled: on

3.1.1.48. nsslapd-auditfaillog-logrotationsynchour (Audit Fail Log Rotation Sync Hour)
复制链接

此属性设置审计日志轮转日的小时。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsyncmin 属性一起使用。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 23
默认值	none （因为 `nsslapd-auditfaillog-logrotationsync-enabled` 为 off）
语法	整数
示例	nsslapd-auditfaillog-logrotationsynchour: 23

3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin (Audit Fail Log Rotation Sync Minute)
复制链接

此属性设定审计日志轮转的分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsynchour 属性一起使用。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 59
默认值	none （因为 `nsslapd-auditfaillog-logrotationsync-enabled` 为 off）
语法	整数
示例	nsslapd-auditfaillog-logrotationsyncmin: 30

3.1.1.50. nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)
复制链接

此属性设定审计日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditfaillog-logrotationtimeunit 属性提供。如果 nsslapd-auditfaillog-maxlogsperdir 属性设置为 1，服务器会忽略此属性。

在配置的间隔过期后，目录服务器会在第一个写入操作中轮转日志，无论日志的大小如何。

虽然不建议根据性能原因指定日志轮转，但随着日志无限期增长，但可以通过两种方式指定。将 nsslapd-auditfaillog-maxlogsperdir 属性值设置为 1，或者将 nsslapd-auditfaillog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir 属性，如果此属性值大于 1，则服务器会检查 nsslapd-auditfaillog-logrotationtime 属性。请参阅第 3.1.1.53 节 “nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)” 了解更多信息。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 代表审计日志文件轮转之间的时间是无限的。
默认值	1
语法	整数
示例	nsslapd-auditfaillog-logrotationtime: 100

3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit (Audit Fail Log Rotation Time Unit)
复制链接

此属性设置 nsslapd-auditfaillog-logrotationtime 属性的单元。

Expand

参数	描述
条目 DN	cn=config
有效值	month \| 周 \| 天 \| 小时 \| 分钟
默认值	周
语法	DirectoryString
示例	nsslapd-auditfaillog-logrotationtimeunit: day

3.1.1.52. nsslapd-auditfaillog-maxlogsize (Audit Fail Log Maximum Log Size)
复制链接

此属性设置最大审计日志大小（以 MB 为单位）。达到这个值时，审计日志会轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-auditfaillog-maxlogsperdir 参数设置为 1，服务器会忽略此属性。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 表示日志文件的大小不限。
默认值	100
语法	整数
示例	nsslapd-auditfaillog-maxlogsize: 50

3.1.1.53. nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)
复制链接

此属性设定存储在审计日志的目录中的审计日志总数。每次轮转审计日志时，都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时，会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值，服务器将不会轮转日志，它会无限期地增大。

如果此属性的值大于 1，则检查 nsslapd-auditfaillog-logrotationtime 属性，以确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime 属性的值为 -1，则没有日志轮转。请参阅第 3.1.1.50 节 “nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)” 了解更多信息。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到最大 32 位整数值(2147483647)
默认值	1
语法	整数
示例	nsslapd-auditfaillog-maxlogsperdir: 10

3.1.1.54. nsslapd-auditfaillog-mode (Audit Fail log File Permission)
复制链接

此属性设置创建审计失败日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合，因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合，从 0 到 7 的数字不同：

0 - None
1 - 仅执行
2 - 仅写入
3 - 写入和执行
4 - 只读
5 - 读和执行
6 - 读取和写入
7 - 读取、写入和执行

新配置的访问模式仅影响创建的新日志；当日志轮转到新文件时，将设置模式。

Expand

参数	描述
条目 DN	cn=config
有效范围	000 到 777
默认值	600
语法	整数
示例	nsslapd-auditfaillog-mode: 600

3.1.1.55. nsslapd-bakdir (Default Backup Directory)
复制链接

此参数设置默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。

此设置不需要服务器重启来生效。

Expand

参数	描述
条目 DN	cn=config
有效值	任何本地目录路径。
默认值	/var/lib/dirsrv/slapd-instance/bak
语法	DirectoryString
示例	nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak

3.1.1.56. nsslapd-certdir （证书和密钥数据库目录）
复制链接

此参数定义目录服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。

作为回退，如果服务器无法将它们提取到私有命名空间中的 /tmp/ 目录中，则目录服务器提取私钥和证书到此目录。有关私有命名空间的详情，请查看 systemd.exec (5) 手册页中的 PrivateTmp 参数描述。

nsslapd-certdir 中指定的目录必须由服务器的用户 ID 所有，并且只有此用户 ID 必须在这个目录中具有读写权限。为安全起见，其他用户都不应具有读取和写入这个目录的权限。

必须重启该服务才能使此属性生效。

Expand

参数	描述
条目 DN	cn=config
有效值	绝对路径
默认值	/etc/dirsrv/slapd-instance_name/
语法	DirectoryString
示例	nsslapd-certdir: /etc/dirsrv/slapd-instance_name/

3.1.1.57. nsslapd-certmap-basedn (Certificate Map Search Base)
复制链接

当使用 TLS 证书执行客户端身份验证时，可以使用此属性以避免在 /etc/dirsrv/slapd-instance_name/certmap.conf 文件中配置的安全子系统证书映射的限制。根据此文件中的配置，可使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN，则 nsslapd-certmap-basedn 属性可能会强制搜索基于 root 以外的其他条目。此属性的有效值为用于证书映射的后缀或子树的 DN。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的 DN
默认值
语法	DirectoryString
示例	nsslapd-certmap-basedn: ou=People,dc=example,dc=com

3.1.1.58. nsslapd-config
复制链接

这个 read-only 属性是配置 DN。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的配置 DN
默认值
语法	DirectoryString
示例	nsslapd-config: cn=config

3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
复制链接

这个参数允许您在 CN 值中启用 DN。

目录服务器 DN 规范化程序遵循 RFC4514，并在 RDN 属性类型不基于 DN 语法时保留空格。但是，Directory 服务器的配置条目有时会使用 cn 属性来存储 DN 值。例如，在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config 中，cn =config 应按 DN 语法规范化。

如果需要此配置，请启用 nsslapd-cn-uses-dn-syntax-in-dns 参数。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-cn-uses-dn-syntax-in-dns: off

3.1.1.60. nsslapd-connection-buffer
复制链接

此属性设置连接缓冲行为。可能的值：

0 ：禁用缓冲。一次只能读取单个协议数据单元(PDU)。
1： 常规固定大小 LDAP_SOCKET_IO_BUFFER_SIZE 为 512 字节。
2 ：可适应性缓冲区大小。

如果客户端一次发送大量数据，则值 2 提供了更好的性能。例如，这是大型添加和修改操作的情况，或者在复制期间通过单一连接接收多个异步请求时。

Expand

参数	描述
条目 DN	cn=config
有效值	0 \| 1 \| 2
默认值	1
语法	整数
示例	nsslapd-connection-buffer: 1

3.1.1.61. nsslapd-connection-nocanon
复制链接

这个选项允许您启用或禁用 SASL NOCANON 标志。禁用避免目录服务器为传出连接查找 DNS 反向条目。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-connection-nocanon: on

3.1.1.62. nsslapd-conntablesize
复制链接

此属性设置连接表大小，它决定了服务器支持的连接总数。

如果目录服务器因为超出连接插槽而拒绝连接，请增加此属性的值。当发生这种情况时，Directory 服务器的错误日志文件会记录消息 Not listening for new connection too many fds open。

可能需要增加每个进程的打开文件和打开文件数量的操作系统限制，并且可能需要在启动目录服务器的 shell 中为打开的文件数增加 ulimit (ulimit -n)。

连接表的大小是带有 nsslapd-maxdescriptor 的 cap。请参阅第 3.1.1.119 节 “nsslapd-maxdescriptors (Maximum File Descriptors)” 了解更多信息。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=config
有效值	依赖操作系统
默认值	Directory 服务器进程可以打开的最大文件数。请参阅 `getdtablesize （）` `glibc` 函数。
语法	整数
示例	nsslapd-conntablesize: 4093

3.1.1.63. nsslapd-counters
复制链接

nsslapd-counters 属性启用和禁用目录服务器数据库和服务器性能计数器。

通过跟踪更大的计数器，可能会有性能影响。为计数器关闭 64 位整数可能会对性能有最小的改进，尽管它会影响长期统计跟踪。

默认启用此参数。要禁用计数器，请停止 Directory 服务器，直接编辑 dse.ldif 文件，然后重新启动服务器。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-counters: on

3.1.1.64. nsslapd-csnlogging
复制链接

此属性设定在访问日志中是否记录更改序列号(CSN)。默认情况下打开 CSN 日志记录。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-csnlogging: on

3.1.1.65. nsslapd-defaultnamingcontext
复制链接

此属性提供所有配置的命名上下文，哪些客户端默认应用于搜索基础。这个值被复制到 root DSE 作为 defaultNamingContext 属性，它允许客户端查询 root DSE 获取上下文，然后发起使用适当的基础的搜索。

Expand

参数	描述
条目 DN	cn=config
有效值	任何 root 后缀 DN
默认值	默认用户后缀
语法	DN
示例	nsslapd-defaultnamingcontext: dc=example,dc=com

3.1.1.66. nsslapd-disk-monitoring
复制链接

此属性可让线程每 10 (10)秒运行，以检查磁盘上的可用磁盘空间或挂载上运行 Directory Server 数据库的位置。如果可用磁盘空间低于配置的阈值，则服务器开始减少日志记录级别，禁用访问或审计日志，并删除轮转的日志。如果这没有足够的可用空间，则服务器将正常关闭（在 wanring 和 grace period 后）。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-disk-monitoring: on

3.1.1.67. nsslapd-disk-monitoring-grace-period
复制链接

在达到第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold” 中设置一半磁盘空间限制后，设置在服务器关闭前等待的宽限期。这为管理员提供了清理磁盘并阻止关闭的时间。

Expand

参数	描述
条目 DN	cn=config
有效值	任何整数（以分钟为单位）
默认值	60
语法	整数
示例	nsslapd-disk-monitoring-grace-period: 45

3.1.1.68. nsslapd-disk-monitoring-logging-critical
复制链接

如果日志目录通过磁盘空间限值中设置的一半，则设置是否关闭服务器，第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold”。

如果启用了此项，则不会 禁用日志记录，并 不会删除 轮转的日志，因为服务器会减少磁盘用量。服务器只是进入关闭过程。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-disk-monitoring-logging-critical: on

3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
复制链接

如果可用磁盘空间达到您在 nsslapd-disk-monitoring-threshold 参数中设置的值的一半，则目录服务器会在达到 nsslapd-disk-monitoring-grace-period 中设置宽限期后关闭实例。但是，如果磁盘在实例停机前耗尽空间，则数据可能会损坏。要防止这个问题，请启用 nsslapd-disk-monitoring-readonly-on-threshold 参数，在达到阈值时将实例设置为只读模式。

重要

使用这个设置时，如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold 中配置阈值的一半，则目录服务器不会启动。

必须重启该服务才能使此属性生效。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-disk-monitoring-readonly-on-threshold: off

3.1.1.70. nsslapd-disk-monitoring-threshold
复制链接

设置阈值（以字节为单位），用于评估服务器是否有足够可用磁盘空间。一旦空间达到这个阈值的一半，服务器就会启动一个关闭的进程。

例如，如果阈值是 2MB （默认），则当可用磁盘空间达到 1MB 后，服务器将开始关闭。

默认情况下，阈值会在配置、事务和数据库目录用于目录服务器实例的磁盘空间上评估。如果启用了第 3.1.1.68 节 “nsslapd-disk-monitoring-logging-critical” 属性，则日志目录包含在评估中。

Expand

参数	描述
条目 DN	cn=config
有效值	* 0 到 32 位最大整数值(2147483647)在 32 位系统中 * 0 到 64 位整数值(9223372036854775807)的最大 64 位整数值(9223372036854775807)
默认值	2000000 (2MB)
语法	DirectoryString
示例	nsslapd-disk-monitoring-threshold: 2000000

3.1.1.71. nsslapd-dn-validate-strict
复制链接

第 3.1.1.168 节 “nsslapd-syntaxcheck” 属性可让服务器验证任何新的或修改的属性值是否与该属性所需的语法匹配。

但是，DN 的语法规则的增长越来越严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用较旧的语法定义的许多服务器。默认情况下，nsslapd-syntaxcheck 使用 RFC 1779 或 RFC 2253 验证 DN。

根据 RFC 4514 中的第 3 节，nsslapd-dn-validate-strict 属性明确为 DN 启用严格的语法验证。如果此属性设为 off （默认值），服务器会在检查它是否存在语法违反情况前对值进行规范化。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-dn-validate-strict: off

3.1.1.72. nsslapd-ds4-compatible-schema
复制链接

使 cn=schema 中的模式与 Directory Server 的 4.x 版本兼容。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-ds4-compatible-schema: off

3.1.1.73. nsslapd-enable-turbo-mode
复制链接

Directory Server turbo 模式是一个功能，它允许 worker 线程专用于连接，并从那个连接持续读取传入的操作。这可提高非常活跃的连接的性能，这个功能会被默认启用。

worker 线程处理服务器收到的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber 参数中定义。每 5 秒，每个 worker 线程评估其当前连接的活动级别是所有已建立的连接中最高的最高之一。目录服务器在最后一次检查后启动的操作数量时测量活动，如果当前连接的活动是最高的数量，则以 turbo 模式切换 worker 线程。

如果您在日志文件（日志文件中）遇到长时间执行时间（如一秒或更长时间），则停用 turbo 模式可以提高性能。然而，在某些情况下，绑定时间是网络或硬件问题的症状。在这些情况下，禁用 turbo 模式不会提高性能。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-enable-turbo-mode: on

3.1.1.74. nsslapd-enable-upgrade-hash
复制链接

在简单的绑定过程中，目录服务器可以访问纯文本密码，因为绑定操作的性质。如果启用了 nsslapd-enable-upgrade-hash 参数，且用户身份进行身份验证，Directory 服务器会检查用户的 userPassword 属性是否使用 passwordStorageScheme 属性中设置的哈希算法。如果算法不同，服务器会使用来自 passwordStorageScheme 的算法对纯文本密码进行哈希处理，并更新用户的 userPassword 属性的值。

例如，如果您使用弱算法哈希的密码导入用户条目，服务器将使用 passwordStorageScheme 中设置的算法（默认为 PBKDF2_SHA256 ）在用户首次登录时自动重新哈希密码。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-enable-upgrade-hash: on

3.1.1.75. nsslapd-enquote-sup-oc (Enable Superior Object Class Enquoting)
复制链接

此属性已弃用，并将在以后的 Directory Server 版本中删除。

此属性控制 cn=schema 条目中包含的 objectclass 属性中的引用是否符合互联网草案 RFC 2252 所指定的 quoting。默认情况下，Directory 服务器符合 RFC 2252，这表示这个值不应加引号。在 上，只有非常旧的客户端需要将此值设置为，因此请 将其关闭。

打开或关闭此属性不会影响目录服务器控制台。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-enquote-sup-oc: off

3.1.1.76. nsslapd-entryusn-global
复制链接

nsslapd-entryusn-global 参数定义 USN 插件是否在所有后端数据库间分配唯一的更新序列号(USN)或单独分配给每个数据库。对于所有后端数据库的唯一 USN，请在 上 将此参数设置为。

详情请查看第 6.8 节 “entryusn”。

您不必重新启动服务器才能使此设置生效。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-entryusn-global: off

3.1.1.77. nsslapd-entryusn-import-initval
复制链接

当从一台服务器导出条目并导入到另一个服务器（包括初始化数据库以进行复制时），条目更新序列号(USN)不会被保留。默认情况下，导入条目的条目 USNs 被设置为零。

可以使用 nsslapd-entryusn-import-initval 为条目 USNs 配置不同的初始值。这会设置起始 USN，用于所有导入的条目。

nsslapd-entryusn-import-initval 有两个可能的值：

整数，这是每个导入条目的显式开始号。
接下来，这意味着每个导入的条目都使用服务器上最高条目 USN 值，然后再以 1 递增。

Expand

参数	描述
条目 DN	cn=config
有效值	任何整数 \| 下一个
默认值
语法	DirectoryString
示例	nsslapd-entryusn-import-initval: next

3.1.1.78. nsslapd-errorlog (Error Log)
复制链接

此属性设置用于记录目录服务器生成的错误消息的路径和文件名。这些消息可以描述错误条件，但更频繁地包含信息性条件，例如：

服务器启动和关闭时间。
服务器使用的端口号。

根据 Log Level 属性的当前设置，此日志包含不同数量的信息。请参阅第 3.1.1.79 节 “nsslapd-errorlog-level (Error Log Level)” 了解更多信息。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效文件名
默认值	/var/log/dirsrv/slapd-instance/errors
语法	DirectoryString
示例	nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors

要启用错误日志记录，此属性必须具有有效的路径和文件名，并且 nsslapd-errorlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的四个可能组合及其在禁用或启用错误日志记录方面的结果。

Expand

表 3.5. nsslapd-errorlog 配置属性的可能组合
dse.ldif 中的属性	值	启用或禁用日志记录
nsslapd-errorlog-logging-enabled nsslapd-errorlog	on 空字符串	Disabled
nsslapd-errorlog-logging-enabled nsslapd-errorlog	on filename	Enabled
nsslapd-errorlog-logging-enabled nsslapd-errorlog	off 空字符串	Disabled
nsslapd-errorlog-logging-enabled nsslapd-errorlog	off filename	Disabled

3.1.1.79. nsslapd-errorlog-level (Error Log Level)
复制链接

此属性为 Directory 服务器设置日志记录级别。日志级别为 additive；即，指定值 3 包括级别 1 和 2。

nsslapd-errorlog-level 的默认值为 16384。

您不必重新启动服务器才能使此设置生效。

Expand

参数	描述
条目 DN	cn=config
有效值	* 1 - 跟踪功能调用。当服务器进入并退出函数时，记录一条消息。 * 2 - 调试数据包处理。 * 4 - 大量追踪输出调试。 * 8 - 连接管理。 * 16 - 输出发送/接收的数据包。 * 32 - 搜索过滤器处理。 * 64 - 配置文件处理。 * 128 - 访问控制列表处理。 * 1024 - 与 shell 数据库的日志通信。 * 2048 - 日志条目解析调试。 * 4096 - 日常处理线程调试。 * 8192 - 复制调试。 * 16384 - 用于关键错误的默认日志记录级别，以及始终写入错误日志的其他消息；例如，服务器启动信息。此级别上的消息始终包含在错误日志中，无论日志级别的设置是什么。 * 32768 - 数据库缓存调试。 * 65536 - 服务器插件调试。当服务器插件调用 `slapi-log-error` 时，它会将条目写入日志文件。 * 262144 - 访问控制摘要信息，比级别 `128` 少。当需要访问控制处理概述时，建议使用这个值。使用 `128` 获得非常详细的处理消息。 * 524288 - LMDB 数据库调试。
默认值	16384
语法	整数
示例	nsslapd-errorlog-level: 8192

3.1.1.80. nsslapd-errorlog-list
复制链接

此 read-only 属性提供错误日志文件的列表。

Expand

参数	描述
条目 DN	cn=config
有效值
默认值	无
语法	DirectoryString
示例	nsslapd-errorlog-list: errorlog2,errorlog3

3.1.1.81. nsslapd-errorlog-logexpirationtime (Error Log Expiration Time)
复制链接

此属性设置日志文件在删除前允许访问的最长期限。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-errorlog-logexpirationtimeunit 属性提供。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。
默认值	-1
语法	整数
示例	nsslapd-errorlog-logexpirationtime: 1

3.1.1.82. nsslapd-errorlog-logexpirationtimeunit (Error Log Expiration Time Unit)
复制链接

此属性设置 nsslapd-errorlog-logexpirationtime 属性的单元。如果服务器未知单位，则日志永远不会过期。

Expand

参数	描述
条目 DN	cn=config
有效值	month \| 周 \| 天
默认值	month
语法	DirectoryString
示例	nsslapd-errorlog-logexpirationtimeunit: week

3.1.1.83. nsslapd-errorlog-logging-enabled (Enable Error Logging)
复制链接

打开和关闭错误日志。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-errorlog-logging-enabled: on

3.1.1.84. nsslapd-errorlog-logmaxdiskspace (Error Log Maximum Disk Space)
复制链接

此属性设置允许错误日志消耗的最大磁盘空间量，以 MB 为单位。如果超过这个值，则会删除最旧的错误日志。

在设置最大磁盘空间时，请考虑日志文件轮转可创建的日志文件总数。另外，请记住，Directory 服务器维护有三个不同的日志文件（访问日志、审计日志和错误日志）。将这些注意事项与错误日志的磁盘空间总量进行比较。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 表示允许错误日志的磁盘空间大小无限。
默认值	100
语法	整数
示例	nsslapd-errorlog-logmaxdiskspace: 10000

3.1.1.85. nsslapd-errorlog-logminfreediskspace (Error Log Minimum Free Disk Space)
复制链接

此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时，最旧的错误日志会被删除，直到有足够的磁盘空间来满足此属性。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 （无限）\| 1 到最大 32 位整数值(2147483647)
默认值	-1
语法	整数
示例	nsslapd-errorlog-logminfreediskspace: -1

3.1.1.86. nsslapd-errorlog-logrotationsync-enabled (Error Log Rotation Sync Enabled)
复制链接

此属性设置错误日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转，可以每天的指定时间生成日志文件，例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件，因为它们随后直接映射到日历。

要使错误日志轮转与时间结束同步，此属性必须使用 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性值启用，以便轮转日志文件。

例如，要在每天的午夜轮转错误日志文件，将其值设为 on 来启用此属性，然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性的值设置为 0。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-errorlog-logrotationsync-enabled: on

3.1.1.87. nsslapd-errorlog-logrotationsynchour (Error Log Rotation Sync Hour)
复制链接

此属性设置轮转错误日志的小时。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsyncmin 属性一起使用。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 23
默认值	0
语法	整数
示例	nsslapd-errorlog-logrotationsynchour: 23

3.1.1.88. nsslapd-errorlog-logrotationsyncmin (Error Log Rotation Sync Minute)
复制链接

此属性设置轮转错误日志的分钟。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsynchour 属性一起使用。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 59
默认值	0
语法	整数
示例	nsslapd-errorlog-logrotationsyncmin: 30

3.1.1.89. nsslapd-errorlog-logrotationtime (Error Log Rotation Time)
复制链接

此属性设定错误日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit)属性提供。

在配置的间隔过期后，目录服务器会在第一个写入操作中轮转日志，无论日志的大小如何。

虽然不建议根据性能原因指定日志轮转，但随着日志无限期增长，但可以通过两种方式指定。将 nsslapd-errorlog-maxlogsperdir 属性设置为 1，或者将 nsslapd-errorlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-errorlog-maxlogsperdir 属性，如果此属性值大于 1，则服务器会检查 nsslapd-errorlog-logrotationtime 属性。请参阅第 3.1.1.92 节 “nsslapd-errorlog-maxlogsperdir （最大错误日志文件数）” 了解更多信息。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中 -1 表示错误日志文件轮转之间的时间没有限制。
默认值	1
语法	整数
示例	nsslapd-errorlog-logrotationtime: 100

3.1.1.90. nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit)
复制链接

此属性设置 nsslapd-errorlog-logrotationtime 的单元(Error Log Rotation Time)。如果服务器未知单位，则日志永远不会过期。

Expand

参数	描述
条目 DN	cn=config
有效值	month \| 周 \| 天 \| 小时 \| 分钟
默认值	周
语法	DirectoryString
示例	nsslapd-errorlog-logrotationtimeunit: day

3.1.1.91. nsslapd-errorlog-maxlogsize (Maximum Error Log Size)
复制链接

此属性以 MB 为单位设置最大错误日志大小。达到这个值时，会轮转错误日志，服务器开始将日志信息写入新的日志文件。如果 nsslapd-errorlog-maxlogsperdir 设为 1，服务器会忽略此属性。

在设置最大日志大小时，请考虑日志文件轮转可创建的日志文件总数。另外，请记住，Directory 服务器维护有三个不同的日志文件（访问日志、审计日志和错误日志）。将这些注意事项与错误日志的磁盘空间总量进行比较。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 \| 1 到最大 32 位整数值(2147483647)，其中值为 -1 表示日志文件的大小不限。
默认值	100
语法	整数
示例	nsslapd-errorlog-maxlogsize: 100

3.1.1.92. nsslapd-errorlog-maxlogsperdir （最大错误日志文件数）
复制链接

此属性设置存储在错误日志的目录中的错误日志总数。每次轮转错误日志时，都会创建一个新的日志文件。当错误日志目录中包含的文件数量超过此属性中存储的值时，会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值，服务器不会轮转日志，它会无限期地增大。

如果此属性的值大于 1，请检查 nsslapd-errorlog-logrotationtime 属性，以确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime 属性的值为 -1，则没有日志轮转。请参阅第 3.1.1.89 节 “nsslapd-errorlog-logrotationtime (Error Log Rotation Time)” 了解更多信息。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到最大 32 位整数值(2147483647)
默认值	1
语法	整数
示例	nsslapd-errorlog-maxlogsperdir: 10

3.1.1.93. nsslapd-errorlog-mode (Error Log File Permission)
复制链接

此属性设置创建错误日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合，因为它们镜像编号或绝对 UNIX 文件权限。也就是说，该值必须是 3 位数字的组合，与 0 到 7 的不同数字不同：

0 - None
1 - 仅执行
2 - 仅写入
3 - 写入和执行
4 - 只读
5 - 读和执行
6 - 读取和写入
7 - 读取、写入和执行

新配置的访问模式仅影响创建的新日志；当日志轮转到新文件时，将设置模式。

Expand

参数	描述
条目 DN	cn=config
有效范围	000 到 777
默认值	600
语法	整数
示例	nsslapd-errorlog-mode: 600

3.1.1.94. nsslapd-force-sasl-external
复制链接

在建立 TLS 连接时，客户端首先发送其证书，然后使用 SASL/EXTERNAL 机制发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭证用于 TLS 握手。但是，有些客户端在发送其 BIND 请求时不使用 SASL/EXTERNAL，因此 Directory 服务器将绑定作为简单身份验证请求或匿名请求处理，并且 TLS 连接失败。

nsslapd-force-sasl-external 属性强制基于证书的身份验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	字符串
示例	nsslapd-force-sasl-external: on

3.1.1.95. nsslapd-groupevalnestlevel
复制链接

此属性已弃用，此处仅记录用于历史目的。

Access Control Plug-in 不使用 nsslapd-groupevalnestlevel 属性指定的值来设置访问控制为组评估执行的嵌套级别数。相反，嵌套级别的数量被硬编码为 5。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 5
默认值	5
语法	整数
示例	nsslapd-groupevalnestlevel: 5

3.1.1.96. nsslapd-haproxy-trusted-ip (HAProxy Trusted IP)
复制链接

nsslapd-haproxy-trusted-ip 属性配置可信代理服务器的列表。当您设置 nsslapd-haproxy-trusted-ip 时，Directory 服务器使用 HAProxy 协议通过额外的 TCP 标头接收客户端 IP 地址，以正确评估访问控制指令(ACI)并记录客户端流量。

如果一个不信任的代理服务器发起了一个绑定请求，目录服务器会拒绝请求，并将以下信息记录到错误日志文件中：

[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4

[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4

Copy to Clipboard

Toggle word wrap

Expand

参数	描述
条目 DN	cn=config
有效范围	IPv4 或 IPv6 地址
默认值
语法	DirectoryString
Example	nsslapd-haproxy-trusted-ip: 127.0.0.1

3.1.1.97. nsslapd-idletimeout (Default Idle Timeout)
复制链接

此属性设定服务器关闭闲置 LDAP 客户端连接的时间（以秒为单位）。0 表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当处理 connection 表时，闲置超时会被强制使用，当 poll （） 没有返回零时。因此，只有一个连接的服务器永远不会强制执行闲置超时。

使用 nsIdleTimeout 操作属性（可添加到用户条目）来覆盖分配给此属性的值。详情请参阅 红帽目录服务器管理指南中的 "基于绑定 DN 设置资源限制"部分。

注意

对于非常大的数据库，此属性必须具有足够高的值，在线初始化过程可以完成，或者与服务器连接超时时，复制将失败。或者，nsIdleTimeout 属性可以设置为用作供应商绑定 DN 的条目的高值。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到最大 32 位整数值(2147483647)
默认值	3600
语法	整数
示例	nsslapd-idletimeout: 3600

3.1.1.98. nsslapd-ignore-virtual-attrs
复制链接

这个参数允许在搜索条目中禁用虚拟属性查找。

如果您不需要虚拟属性，您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-ignore-virtual-attrs: off

3.1.1.99. nsslapd-instancedir (Instance Directory)
复制链接

此属性已弃用。现在，对于特定于实例的路径有单独的配置参数，如 nsslapd-certdir 和 nsslapd-lockdir。有关设置的特定目录路径，请参阅文档。

3.1.1.100. nsslapd-ioblocktimeout (IO Block Time Out)
复制链接

此属性以秒为单位设置到停止的 LDAP 客户端的连接关闭的时间长度。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时，它被视为已停止工作。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到最大 32 位整数值(2147483647) ( ticks)
默认值	10000
语法	整数
示例	nsslapd-ioblocktimeout: 10000

3.1.1.101. nsslapd-lastmod (Track Modification Time)
复制链接

此属性设置 Directory 服务器是否为新创建的条目维护 creatorsName,createTimestamp,modifiersName, 和 modifyTimestamp 操作属性。

重要

红帽建议不要禁用跟踪这些属性。如果禁用，条目不会获得 nsUniqueID 属性中分配的唯一 ID，且复制无法正常工作。

您不必重新启动服务器才能使此设置生效。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-lastmod: on

3.1.1.102. nsslapd-ldapiautobind (Enable Autobind)
复制链接

nsslapd-ldapiautobind 设置服务器是否允许用户使用 LDAPI 自动将绑定到目录服务器。Autobind 将系统用户的 UID 或 GUID 编号映射到目录服务器用户，并根据这些凭证自动向目录服务器验证用户。目录服务器连接通过 UNIX 套接字进行。

除了启用自动绑定外，配置 autobind 需要配置映射条目。nsslapd-ldapimaprootdn 将系统上的 root 用户映射到目录管理器。nsslapd-ldapimaptoentries 根据 nsslapd-ldapiuidnumbertype、nsslapd-ldapigidnumbertype 和 nsslapd-ldapientrysearchbase 属性中定义的参数将常规用户映射到 Directory Server 用户。

只有启用了 LDAPI 时，才能启用 Autobind，这意味着 nsslapd-ldapilisten 为 on，并且 nsslapd-ldapifilepath 属性设置为 LDAPI 套接字。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-ldapiautobind: off

3.1.1.103. nsslapd-ldapientrysearchbase （搜索 Base for LDAPI Authentication Entries）
复制链接

使用 autobind 时，可以根据系统用户的 UID 和 GUID 号，将系统用户映射到目录服务器用户条目。这需要为哪个属性设置目录服务器参数，用于 UID 号(nsslapd-ldapiuidnumbertype)和 GUID 号(nsslapd-ldapigidnumbertype)，并设置搜索基础来搜索匹配的用户条目。

nsslapd-ldapientrysearchbase 给出用于自动绑定的用户条目的子树。

Expand

参数	描述
条目 DN	cn=config
有效值	DN
默认值	创建服务器实例时创建的后缀，如 `dc=example,dc=com`
语法	DN
示例	nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om

3.1.1.104. nsslapd-ldapifilepath (LDAPI 套接字的文件位置)
复制链接

LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI，服务器必须配置为通过 UNIX 套接字进行通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath 属性中设置。

Expand

参数	描述
条目 DN	cn=config
有效值	任何目录路径
默认值	/var/run/dirsrv/slapd-example.socket
语法	case-exact 字符串
示例	nsslapd-ldapifilepath: /var/run/slapd-example.socket

3.1.1.105. nsslapd-ldapigidnumbertype (System GUID Number 的Attribute 映射)
复制链接

Autobind 可用于自动对服务器验证系统用户，并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户以进行身份验证，系统用户的 UID 和 GUID 编号应映射为 Directory Server 属性。nsslapd-ldapigidnumbertype 属性指向 Directory Server 属性，将系统 GUID 映射到用户条目。

只有启用了 LDAPI 时，用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind 被启用(nsslapd-ldapiautobind)，并为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries)。

Expand

参数	描述
条目 DN	cn=config
有效值	任何目录服务器属性
默认值	gidNumber
语法	DirectoryString
示例	nsslapd-ldapigidnumbertype: gidNumber

3.1.1.106. nsslapd-ldapilisten (Enable LDAPI)
复制链接

nsslapd-ldapilisten 启用 LDAPI 连接到目录服务器。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了启用 LDAPI 外，通过将 nsslapd-ldapilisten 设置为 on，还必须在 nsslapd-ldapifilepath 属性中为 LDAPI 设置 UNIX 套接字。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-ldapilisten: on

3.1.1.107. nsslapd-ldapimaprootdn (root 用户的Autobind Mapping)
复制链接

使用 autobind 时，系统用户映射到目录服务器用户，然后通过 UNIX 套接字自动向 Directory 服务器进行身份验证。

root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn 属性中指定的任何目录服务器条目。

Expand

参数	描述
条目 DN	cn=config
有效值	任何 DN
默认值	cn=Directory Manager
语法	DN
示例	nsslapd-ldapimaprootdn: cn=Directory Manager

3.1.1.108. nsslapd-ldapimaptoentries （为普通用户启用自动绑定映射）
复制链接

使用 autobind 时，系统用户映射到目录服务器用户，然后通过 UNIX 套接字自动向 Directory 服务器进行身份验证。对于 root 用户，这个映射是自动的，但必须通过 nsslapd-ldapimaptoentries 属性为常规用户启用该映射。将此属性设置为 on 可启用常规用户到目录服务器条目的映射。如果没有启用此属性，则只有 root 用户可以使用 autobind 向 Directory 服务器进行身份验证，所有其他用户都匿名连接。

映射本身通过 nsslapd-ldapiuidnumbertype 和 nsslapd-ldapigidnumbertype 属性配置，它将 Directory Server 属性映射到用户的 UID 和 GUID 号。

如果启用了 LDAPI，用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)并启用 autobind (nsslapd-ldapiautobind)。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-ldapimaptoentries: on

3.1.1.109. nsslapd-ldapiuidnumbertype
复制链接

Autobind 可用于自动对服务器验证系统用户，并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户以进行身份验证，系统用户的 UID 和 GUID 号必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype 属性指向 Directory Server 属性，将系统 UID 映射到用户条目。

Expand

参数	描述
条目 DN	cn=config
有效值	任何目录服务器属性
默认值	uidNumber
语法	DirectoryString
示例	nsslapd-ldapiuidnumbertype: uidNumber

3.1.1.110. nsslapd-ldifdir
复制链接

在使用 db2ldif 或 db2ldif.pl 时，目录服务器会将 LDAP 数据交换格式(LDIF)格式的文件导出到此参数中设置的目录。目录必须由 Directory Server 用户和组所有。只有此用户和组必须在此目录中具有读写访问权限。

必须重启该服务才能使此属性生效。

Expand

参数	描述
条目 DN	cn=config
有效值	Directory Server 用户可写入的任何目录
默认值	/var/lib/dirsrv/slapd-instance_name/ldif/
语法	DirectoryString
示例	nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/

3.1.1.111. nsslapd-listen-backlog-size
复制链接

此属性设置套接字连接积压的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。

Expand

参数	描述
条目 DN	cn=config
有效值	最大 64 位整数值(9223372036854775807)
默认值	128
语法	整数
示例	nsslapd-listen-backlog-size: 128

3.1.1.112. nsslapd-listenhost (Listen to IP Address)
复制链接

此属性允许多个目录服务器实例在多主目录机器上运行（或使可以限制侦听多主目录计算机的一个接口）。同一名可以有多个 IP 地址，这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将 Directory Server 实例限制为单个 IP 接口。

如果将主机名指定为 nsslapd-listenhost 值，则 Directory 服务器会为与主机名关联的每个接口响应请求。如果单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost 值，目录服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=config
有效值	任何本地主机名、IPv4 或 IPv6 地址
默认值
语法	DirectoryString
示例	nsslapd-listenhost: ldap.example.com

3.1.1.113. nsslapd-localhost （本地主机）
复制链接

此属性指定 Directory 服务器在其上运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障切换节点的高可用性配置中，引用应指向集群的虚拟名称，而不是本地主机名。

Expand

参数	描述
条目 DN	cn=config
有效值	任何完全限定主机名。
默认值	安装的机器的主机名。
语法	DirectoryString
示例	nsslapd-localhost: phonebook.example.com

3.1.1.114. nsslapd-localuser （本地用户）
复制链接

此属性将用户设置为 Directory 服务器运行的用户。用户运行的组通过检查用户的主组来派生出此属性。如果用户更改，则此实例的所有实例相关文件和目录都需要使用 chown 等工具更改为由新用户所有。

在配置服务器实例时，最初设置 nsslapd-localuser 的值。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的用户
默认值
语法	DirectoryString
示例	nsslapd-localuser: dirsrv

3.1.1.115. nsslapd-lockdir (Server Lock File Directory)
复制链接

这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-instance。在服务器重启前，对这个值的更改不会生效。

Expand

参数	描述
条目 DN	cn=config
有效值	服务器用户 ID 拥有的目录的绝对路径，对服务器 ID 具有写入访问权限
默认值	/var/lock/dirsrv/slapd-instance
语法	DirectoryString
示例	nsslapd-lockdir: /var/lock/dirsrv/slapd-instance

3.1.1.116. nsslapd-localssf
复制链接

nsslapd-localssf 参数为 LDAPI 连接设置安全强度因素(SSF)。只有在 nsslapd-localssf 中设置的值大于或等于 nsslapd-minssf 参数中设置的值时，目录服务器才会允许 LDAPI 连接。因此，LDAPI 连接符合 nsslapd-minssf 中设置的最小 SSF。

您不必重新启动服务器才能使此设置生效。

Expand

参数	描述
条目 DN	cn=config
有效值	0 到最大 32 位整数值(2147483647)
默认值	71
语法	整数
示例	nsslapd-localssf: 71

3.1.1.117. nsslapd-logging-hr-timestamps-enabled (Enable 或 Disable High-resolution Log Timestamps)
复制链接

控制日志是否使用高分辨率时间戳，以及纳秒精度的标准解析时间戳。默认启用此选项。将这个选项设置为 off，将日志时间戳恢复到一秒精度。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效值	`on` \| `off`
默认值	`on`
语法	DirectoryString
示例	nsslapd-logging-hr-timestamps-enabled: on

3.1.1.118. nsslapd-maxbersize (Maximum Message Size)
复制链接

定义传入消息允许的最大大小，以字节为单位。这限制了目录服务器可处理的 LDAP 请求大小。限制请求大小可防止某种形式拒绝服务攻击。

限制适用于 LDAP 请求的总大小。例如，如果请求要添加条目，并且请求中的条目大于配置的值或默认值，则拒绝添加请求。但是，这个限制不适用于复制进程。在更改此属性前请小心。

此设置不需要服务器重启来生效。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 - 2GB (2,147,483,647 字节) 零 `0` 表示应使用默认值。
默认值	2097152
语法	整数
示例	nsslapd-maxbersize: 2097152

3.1.1.119. nsslapd-maxdescriptors (Maximum File Descriptors)
复制链接

此属性设置 Directory 服务器尝试使用的最大、平台的相关文件描述符。每当客户端连接到服务器时，会使用文件描述符。访问日志、错误日志、审计日志、数据库文件（索引和事务日志）以及针对复制和链的其他服务器的传出连接的套接字也使用文件描述符。

用于提供客户端连接的 TCP/IP 的描述符数量由 nsslapd-conntablesize 属性决定。此属性的默认值被设置为文件描述符软限制，默认为 1024。但是，如果您手动配置此属性，服务器会更新进程文件描述符软限制以匹配。

如果这个值设置太大，Directory 服务器会查询操作系统以获取最大允许值，然后使用该值。它还会在错误日志中发出一个信息。如果这个值被设置为无效值，使用 Directory Server Console 或 ldapmodify，服务器会拒绝新值，保留旧值，并响应错误。

有些操作系统允许用户配置进程可用的文件描述符数量。有关文件描述符限制和配置的详情，请查看操作系统文档。dsktune 程序（在 Red Hat Directory Server 安装指南中解释）可用于建议更改系统内核或 TCP/IP 调优属性，包括在需要时增加文件描述符数量。如果 Directory 服务器因为文件描述符不足，则增加这个属性的值。当发生这种情况时，会将以下信息写入 Directory Server 的错误日志文件中：

Not listening for new connections -- too many fds open

Not listening for new connections -- too many fds open

Copy to Clipboard

Toggle word wrap

有关增加传入连接数的更多信息，请参阅第 3.1.1.62 节 “nsslapd-conntablesize”。

注意

UNIX shell 通常对文件描述符数量具有可配置的限制。有关 限制和 ulimit 的更多信息，请参阅操作系统文档，因为这些限制可能会导致问题。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到 65535
默认值	4096
语法	整数
示例	nsslapd-maxdescriptors: 4096

3.1.1.120. nsslapd-maxsasliosize (Maximum SASL Packet Size)
复制链接

当用户通过 SASL GSS-API 向 Directory 服务器进行身份验证时，服务器必须根据客户端请求的内存数量，为客户端分配一定数量的内存。攻击者可能会发送这样的大型数据包大小，使其使目录服务器崩溃或作为拒绝服务攻击的一部分无限期出现。

可以使用 nsslapd-maxsasliosize 属性来限制目录服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大 SASL IO 数据包大小。

当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize 限制时，服务器会立即断开客户端，并将消息记录到错误日志中，以便管理员可以调整设置。

此属性值以字节为单位指定。

Expand

参数	描述
条目 DN	cn=config
有效范围	* -1 （无限）在 32 位系统上，最大 32 位整数值(2147483647) * -1 （无限）在 64 位系统上，最大 64 位整数值(9223372036854775807)
默认值	2097152 (2MB)
语法	整数
示例	nsslapd-maxsasliosize: 2097152

3.1.1.121. nsslapd-maxthreadsperconn （每个连接的最大线程数）
复制链接

定义连接应使用的最大线程数。对于客户端绑定且仅在未绑定前执行一个或多个操作的常规操作，请使用默认值。对于客户端绑定和同时发出多个请求的情况，请增加这个值，以便每个连接有足够的资源来执行所有操作。服务器控制台不提供此属性。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 用于最大线程数
默认值	5
语法	整数
示例	nsslapd-maxthreadsperconn: 5

3.1.1.122. nsslapd-minssf
复制链接

安全强度因素是 根据其关键强度调查连接的相对度。SSF 确定 TLS 或 SASL 连接的安全。nsslapd-minssf 属性为服务器的任何连接设置最小 SSF 要求；任何比最小 SSF 更弱的连接尝试都会被拒绝。

TLS 和 SASL 连接可以在与目录服务器的连接中混合。这些连接通常具有不同的 SSF。这两个 SSF 越高用于与最小 SSF 要求进行比较。

将 SSF 值设置为 0 表示没有最小设置。

Expand

参数	描述
条目 DN	cn=config
有效值	任何正整数
默认值	0 (off)
语法	DirectoryString
示例	nsslapd-minssf: 128

3.1.1.123. nsslapd-minssf-exclude-rootdse
复制链接

安全强度因素是 根据其关键强度调查连接的相对度。SSF 确定 TLS 或 SASL 连接的安全。

nsslapd-minssf-exclude-rootdse 属性为服务器的任何连接设置最小 SSF 要求，除了对 root DSE 的查询除外。这为大多数连接强制实施适当的 SSF 值，同时仍然允许客户端从 root DSE 获取有关服务器配置的必要信息，而无需先建立安全连接。

Expand

参数	描述
条目 DN	cn=config
有效值	任何正整数
默认值	0 (off)
语法	DirectoryString
示例	nsslapd-minssf-exclude-rootdse: 128

3.1.1.124. nsslapd-moddn-aci
复制链接

此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树，并在 moddn 操作中使用源和目标限制。为了向后兼容，您可以禁用 ACI 检查。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-moddn-aci: on

3.1.1.125. nsslapd-malloc-mmap-threshold
复制链接

如果使用 systemctl 实用程序将目录服务器实例作为服务启动，则环境变量不会传递给服务器，除非您在 /etc/sysconfig/dirsrv 或 /etc/ sysconfig/dirsrv -instance_name 文件中设置它们。详情请查看 systemd.exec(3) man page。

nsslapd-malloc-mmap-threshold 参数允许您在 Directory Server 配置中设置 M_MMAP_THRESHOLD 环境变量，而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_MMAP_THRESHOLD 参数描述。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 - 33554432
默认值	请参阅 mallopt(3) man page 中的 `M_MMAP_THRESHOLD` 参数描述。
语法	整数
示例	nsslapd-malloc-mmap-threshold: 33554432

3.1.1.126. nsslapd-malloc-mxfast
复制链接

nsslapd-malloc-mxfast 参数允许您在 Directory Server 配置中设置 M_MXFAST 环境变量，而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_MXFAST 参数描述。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 - 80 * (sizeof(size_t) / 4)
默认值	请参阅 mallopt(3) man page 中的 `M_MXFAST` 参数描述。
语法	整数
示例	nsslapd-malloc-mxfast: 1048560

3.1.1.127. nsslapd-malloc-trim-threshold
复制链接

nsslapd-malloc-trim-threshold 参数允许您在 Directory Server 配置中设置 M_TRIM_THRESHOLD 环境变量，而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_TRIM_THRESHOLD 参数描述。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 2^31-1
默认值	请参阅 mallopt(3) man page 中的 `M_TRIM_THRESHOLD` 参数描述。
语法	整数
示例	nsslapd-malloc-trim-threshold: 131072

3.1.1.128. nsslapd-nagle
复制链接

当此属性的值 关闭 时，会设置 TCP_NODELAY 选项，以便 LDAP 响应（如条目或结果消息）会立即发回到客户端。打开属性时，会应用默认的 TCP 行为；特别是，发送数据会延迟到底层网络 MTU 大小的一个数据包中，通常为 1500 字节用于以太网。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-nagle: off

3.1.1.129. nsslapd-ndn-cache-enabled
复制链接

规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数，目录服务器会在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size 参数，以设置此缓存的最大大小。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-ndn-cache-enabled: on

3.1.1.130. nsslapd-ndn-cache-max-size
复制链接

规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数，目录服务器会在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size 参数设置此缓存的最大大小。

如果请求的 DN 尚未缓存，它会被规范化并添加。超过缓存大小限制时，目录服务器会从缓存中删除最早使用的 10,000 个 DN。但是，最少 10,000 个 DN 始终会被缓存。

Expand

参数	描述
条目 DN	cn=config
有效值	0 到最大 32 位整数值(2147483647)
默认值	20971520
语法	整数
示例	nsslapd-ndn-cache-max-size: 20971520

3.1.1.131. nsslapd-outbound-ldap-io-timeout
复制链接

此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000 毫秒(5 分钟)。值 0 表示服务器不会对 I/O 等待时间施加限制。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到最大 32 位整数值(2147483647)
默认值	300000
语法	DirectoryString
示例	nsslapd-outbound-ldap-io-timeout: 300000

3.1.1.132. nsslapd-pagedsizelimit （简单页面结果搜索的大小限制）
复制链接

此属性设置从搜索操作( 特别是使用简单页面结果控制 )返回的最大条目数。这会覆盖用于页搜索的 nsslapd-sizelimit 属性。

如果将此值设置为零，则使用 nsslapd-sizelimit 属性用于页搜索以及非页搜索。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 到最大 32 位整数值(2147483647)
默认值
语法	整数
示例	nsslapd-pagedsizelimit: 10000

3.1.1.133. nsslapd-plug-in
复制链接

此 read-only 属性列出了服务器加载的语法和匹配规则插件的插件的 DN。

3.1.1.134. nsslapd-plugin-binddn-tracking
复制链接

将用于操作的绑定 DN 设置为条目的修饰符，即使操作本身是由服务器插件启动的。执行该操作的特定插件列在单独的操作属性 internalModifiersname 中。

一个更改可以在目录树中触发其他的自动更改。例如，当用户被删除时，该用户将自动从其所属的任何组中移除，由 referential Integrity 插件自动从其所属的组中删除。用户的初始删除由任何用户帐户绑定到服务器执行，但对组（默认）的更新显示为由插件执行，没有关于哪个用户启动该更新的信息。nsslapd-plugin-binddn-tracking 属性允许服务器跟踪哪个用户源自更新操作，以及实际执行它的内部插件。例如：

dn: cn=my_group,ou=groups,dc=example,dc=com
modifiersname: uid=jsmith,ou=people,dc=example,dc=com
internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config

dn: cn=my_group,ou=groups,dc=example,dc=com
modifiersname: uid=jsmith,ou=people,dc=example,dc=com
internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config

Copy to Clipboard

Toggle word wrap

此属性默认为禁用。

Expand

参数	描述
条目 DN	cn=config
有效范围	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-plugin-binddn-tracking: on

3.1.1.135. nsslapd-plugin-logging
复制链接

默认情况下，即使访问日志记录被设置为记录内部操作，插件内部操作也不会记录在访问日志文件中。您可以使用此参数全局控制它，而不是在每个插件配置中启用日志记录。

启用后，插件会使用此全局设置，并在启用后记录访问和审计事件。

如果启用了 nsslapd-plugin-logging，并且 nsslapd-accesslog-level 设置为记录内部操作，则未索引搜索和其他内部操作将登录到访问日志文件中。

如果没有设置 nsslapd-plugin-logging，则来自插件的未索引搜索仍然记录在 Directory Server 错误日志中。

Expand

参数	描述
条目 DN	cn=config
有效范围	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-plugin-logging: off

3.1.1.136. nsslapd-port (Port Number)
复制链接

此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS，请使用 Start TLS 扩展操作。此所选端口在主机系统上必须是唯一的；确保没有其他应用程序试图使用相同的端口号。指定小于 1024 的端口号表示目录服务器必须以 root 用户身份启动。

服务器在启动时将其 uid 设置为 nsslapd-localuser 值。更改配置目录的端口号时，必须更新配置目录中对应的服务器实例条目。

必须重新启动服务器，以便考虑端口号更改。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 65535
默认值	389
语法	整数
示例	nsslapd-port: 389

注意

将端口号设置为零(0)，以禁用 LDAP 端口（如果启用了 LDAPS 端口）。

3.1.1.137. nsslapd-privatenamespaces
复制链接

此 read-only 属性包含私有命名上下文 cn=config、cn=schema 和 cn=monitor 的列表。

Expand

参数	描述
条目 DN	cn=config
有效值	cn=config, cn=schema, 和 cn=monitor
默认值
语法	DirectoryString
示例	nsslapd-privatenamespaces: cn=config

3.1.1.138. nsslapd-pwpolicy-inherit-global (Inherit Global Password Syntax)
复制链接

如果没有设置细粒度密码语法，则即使配置了全局密码语法，也不会检查新的或更新的密码。要继承全局细粒度密码语法，请将此属性设置为 上的。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-pwpolicy-inherit-global: off

3.1.1.139. nsslapd-pwpolicy-local (Enable Subtree- 和 User-Level Password Policy)
复制链接

打开和关闭细粒度(subtree- 和 user-level)密码策略。

如果此属性的值为 off，则目录中的所有条目( cn=Directory Manager除外)都受到全局密码策略的影响；服务器会忽略任何定义的子树/用户级别密码策略。

如果此属性在 上具有 值，服务器会在子树和用户级别上检查密码策略，并强制实施这些策略。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-pwpolicy-local: off

3.1.1.140. nsslapd-readonly (Read Only)
复制链接

此属性设置整个服务器是否处于只读模式，这意味着数据库中的数据也不会修改配置信息。任何尝试以只读模式修改数据库都会返回一个错误，表示服务器无法了解如何执行操作。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-readonly: off

3.1.1.141. nsslapd-referral (Referral)
复制链接

此多值属性指定在服务器收到不属于本地树的条目请求时的后缀返回的 LDAP URL；即，后缀的条目与任何后缀属性中指定的值不匹配。例如，假设服务器只包含条目：

ou=People,dc=example,dc=com

ou=People,dc=example,dc=com

Copy to Clipboard

Toggle word wrap

但是，请求用于这个条目：

ou=Groups,dc=example,dc=com

ou=Groups,dc=example,dc=com

Copy to Clipboard

Toggle word wrap

在这种情况下，引用会被传递回客户端，以便 LDAP 客户端找到包含请求条目的服务器。虽然每个目录服务器实例只允许一个引用，但此引用可以有多个值。

注意

要使用 TLS 通信，referral 属性的格式应为 ldaps://server-location。

启动 TLS 不支持引用。

有关管理引用的更多信息，请参阅 红帽目录服务器管理指南中的"配置目录数据库"章节。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的 LDAP URL
默认值
语法	DirectoryString
示例	nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com

3.1.1.142. nsslapd-referralmode (Referral Mode)
复制链接

设置后，此属性向任何后缀上的任何请求发回引用。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的 LDAP URL
默认值
语法	DirectoryString
示例	nsslapd-referralmode: ldap://ldap.example.com

3.1.1.143. nsslapd-require-secure-binds
复制链接

这个参数要求用户通过受保护的连接（如 TLS、StartTLS 或 SASL）而不是常规连接对目录进行身份验证。

注意

这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成，即使启用了 nsslapd-require-secure-binds。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-require-secure-binds: on

3.1.1.144. nsslapd-requiresrestart
复制链接

此参数列出其他核心配置属性要求修改后重新启动服务器。这意味着，如果 nsslapd-requiresrestart 中列出的任何属性已更改，则新设置在服务器重启后才会生效。可在 ldapsearch 中返回属性列表：

ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart

ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart

Copy to Clipboard

Toggle word wrap

此属性为多值。

Expand

参数	描述
条目 DN	cn=config
有效值	任何核心服务器配置属性
默认值
语法	DirectoryString
示例	nsslapd-requiresrestart: nsslapd-cachesize

3.1.1.145. nsslapd-reservedescriptors (Reserved File Descriptors)
复制链接

此属性指定目录服务器为管理非客户端连接保留的文件描述符数量，如索引管理和管理复制。服务器为此保留的文件描述符数量，从提供 LDAP 客户端连接的文件描述符总数中减去（请参阅第 3.1.1.119 节 “nsslapd-maxdescriptors (Maximum File Descriptors)”）。

目录服务器的大多数安装都应不需要更改此属性。但是，如果以下所有对象都为 true，请考虑增加此属性的值：

服务器正在复制到大量消费者服务器（超过 10），或者服务器正在维护大量索引文件（超过 30）。
服务器为大量 LDAP 连接提供服务。
存在错误消息报告服务器无法打开文件描述符（实际错误消息根据服务器试图执行的操作而异），但这些错误消息与管理客户端 LDAP 连接无关。

增加此属性的值可能会导致更多的 LDAP 客户端无法访问该目录。因此，此属性的值会增加，同时增加 nsslapd-maxdescriptors 属性的值。如果服务器已使用操作系统允许进程可以使用的最大文件描述符数，则可能无法增加 nsslapd-maxdescriptors 值；有关详细信息，请参阅操作系统文档。如果是这种情况，请通过导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。有关传入连接的文件描述符使用情况的信息，请参阅第 3.1.1.62 节 “nsslapd-conntablesize”。

为了帮助计算为此属性设置的文件描述符数量，请使用以下公式：

nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex +
ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors

nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex +
ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors

Copy to Clipboard

Toggle word wrap

NldbmBackends 是 ldbm 数据库的数量。
NglobalIndex 是所有数据库（包括系统索引）配置的索引总数。（默认为 8 个系统索引和每个数据库 17 个额外索引）。
ReplicationDescriptor 为 8 (8)以及服务器中可以充当供应商或 hub 的副本数(NSupplierReplica)。
ChainingBackendDescriptors 是 nsOperationConnectionsLimit (a chaining or database link configuration attribute; 10 default)的 NchainingBackend times。
如果配置了 PTA，PTADescriptors 为 3，如果没有配置 PTA，则为 0。
如果配置了 TLS，则 SSLDescriptors 为 5 ( 4 个文件 + 1 侦听套接字)，如果未配置 TLS，则为 0。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到 65535
默认值	64
语法	整数
示例	nsslapd-reservedescriptors: 64

3.1.1.146. nsslapd-return-exact-case (Return Exact Case)
复制链接

返回客户端请求的属性类型名称的确切情况。虽然兼容 LDAPv3 的客户端必须忽略属性名称的情况，但有些客户端应用程序需要属性名称来完全匹配，当 Directory 服务器返回属性作为搜索或修改操作的结果时，属性会在 schema 中列出。但是，大多数客户端应用程序会忽略属性的大小写，因此默认禁用此属性。不要修改它，除非有旧的客户端可以在从服务器返回的结果中检查属性名称的情况。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-return-exact-case: off

3.1.1.147. nsslapd-rewrite-rfc1274
复制链接

此属性已弃用，并将在以后的发行版本中删除。

此属性仅用于需要使用 RFC 1274 名称返回属性类型的 LDAPv2 客户端。将这些客户端的值设为 on。默认值为 off。

3.1.1.148. nsslapd-rootdn (Manager DN)
复制链接

此属性设置条目的可分辨名称(DN)，它不受到访问控制限制、对目录的操作管理限制或一般资源限制。不必是与此 DN 对应的条目，默认情况下，这个 DN 没有条目，因此 cn=Directory Manager 等值可以接受。

有关更改根 DN 的详情，请参考红帽目录服务器管理指南中的"创建 目录条目"章节。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的可分辨名称
默认值
语法	DN
示例	nsslapd-rootdn: cn=Directory Manager

3.1.1.149. nsslapd-rootpw (Root Password)
复制链接

此属性设置与 Manager DN 关联的密码。提供 root 密码后，它会根据 nsslapd-rootpwstoragescheme 属性所选的加密方法进行加密。从服务器控制台查看时，此属性显示值 *。从 dse.ldif 文件查看时，此属性显示加密方法，后跟密码的加密字符串。示例中显示了 dse.ldif 文件中显示的密码，而不是实际密码。

警告

当在服务器设置中配置根 DN 时，需要一个 root 密码。但是，可以通过直接编辑文件，从 dse.ldif 中删除 root 密码。在这种情况下，根 DN 只能获得与目录相同的访问权限，以便进行匿名访问。当为数据库配置了根 DN 时，始终确保在 dse.ldif 中定义 root 密码。pwdhash 命令行工具可以创建一个新的 root 密码。更多信息请参阅第 9.6 节 “pwdhash”。

重要

从命令行重置目录管理器的密码时，请勿在 密码中使用大括号({})。root 密码以 {password-storage-scheme}hashed_password 格式保存。服务器将大括号中的任何字符解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案，或者下面的密码没有正确哈希，则目录管理器无法绑定到服务器。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的密码，由任何加密方法加密，如第 4.1.43 节 “密码存储方案” 中所述。
默认值
语法	DirectoryString {encryption_method }encrypted_Password
示例	nsslapd-rootpw: {SSHA}9Eko69APCJfF

3.1.1.150. nsslapd-rootpwstoragescheme (Root Password Storage Scheme)
复制链接

此属性设定用于加密存储在 nsslapd-rootpw 属性中的目录服务器管理器密码的方法。详情请查看第 4.1.43 节 “密码存储方案”。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效值	请参阅第 4.1.43 节 “密码存储方案”。
默认值	PBKDF2_SHA256
语法	DirectoryString
示例	nsslapd-rootpwstoragescheme: PBKDF2_SHA256

3.1.1.151. nsslapd-rundir
复制链接

此参数设置目录服务器存储运行时信息的目录的绝对路径，如 PID 文件。目录必须由 Directory Server 用户和组所有。只有此用户和组必须在此目录中具有读写访问权限。

必须重启该服务才能使此属性生效。

Expand

参数	描述
条目 DN	cn=config
有效值	Directory Server 用户可写入的任何目录
默认值	/var/run/dirsrv/
语法	DirectoryString
示例	nsslapd-rundir: /var/run/dirsrv/

3.1.1.152. nsslapd-sasl-mapping-fallback
复制链接

默认情况下，只检查第一个匹配的 SASL 映射。如果此映射失败，则绑定操作也会失败，即使其他匹配的映射可能已经正常工作。SASL 映射回退将持续检查所有匹配的映射。

您不必重新启动服务器才能使此设置生效。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-sasl-mapping-fallback: off

3.1.1.153. nsslapd-sasl-max-buffer-size
复制链接

此属性设置最大 SASL 缓冲区大小。

Expand

参数	描述
条目 DN	cn=config
有效值	0 到最大 32 位整数值(2147483647)
默认值	67108864 (64 KB)
语法	整数
示例	nsslapd-sasl-max-buffer-size: 67108864

3.1.1.154. nsslapd-saslpath
复制链接

设置包含 Cyrus-SASL SASL2 插件的目录的绝对路径。设置此属性允许服务器使用自定义或非标准 SASL 插件库。这通常在安装过程中正确设置，红帽强烈建议您不要更改此属性。如果属性不存在或值为空，这意味着目录服务器正在使用系统提供的 SASL 插件库，这是正确的版本。

如果设置了此参数，服务器将使用指定的路径来加载 SASL 插件。如果没有设置此参数，服务器将使用 SASL_PATH 环境变量。如果没有设置 nsslapd-saslpath 或 SASL_PATH，服务器会尝试从默认位置加载 SASL 插件，/usr/lib/sasl2。

对此属性所做的更改在服务器重启之前不会生效。

Expand

参数	描述
条目 DN	cn=config
有效值	插件目录的路径。
默认值	依赖平台
语法	DirectoryString
示例	nsslapd-saslpath: /usr/lib/sasl2

3.1.1.155. nsslapd-schema-ignore-trailing-spaces (Ignore Trailing Spaces in Object Class Names)
复制链接

忽略对象类名称中的结尾空格。默认情况下，属性为 off。如果目录包含带有以一个或多个空格结尾的对象类值的条目，请打开此属性。最好删除尾随空格，因为 LDAP 标准不允许它们。

出于性能考虑，需要重启服务器才能使更改生效。

当对象类添加到条目中时，默认会返回一个错误。另外，在添加、修改和导入等操作期间（当扩展对象类时，会忽略缺少的高级空间）。如果适当，则忽略尾随空格。这意味着，即使 nsslapd-schema-ignore-trailing-spaces 位于，即使没有 top 值，则不会添加 top 值。如果找不到对象类且包含尾随空格，则会记录错误消息并返回到客户端。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-schema-ignore-trailing-spaces: on

3.1.1.156. nsslapd-schemacheck (Schema Checking)
复制链接

此属性设置在添加或修改条目时是否强制执行数据库模式。当此属性的值为 上的 时，Directory 服务器不会检查现有条目的模式，直到它们被修改为止。数据库架构定义数据库中允许的信息类型。默认架构可以使用对象类和属性类型进行扩展。有关如何使用目录服务器控制台扩展模式的详情，请参考红帽目录服务器管理指南中的"扩展目录架构" 章节。

警告

红帽强烈建议不要关闭模式检查。这可能导致严重的互操作性问题。这通常用于必须导入到目录服务器中的非常旧的或非标准 LDAP 数据。如果没有此问题的许多条目，请考虑使用这些条目中的 extensibleObject 对象类来基于每个条目禁用模式检查。

注意

当使用 LDAP 客户端进行数据库修改时，架构检查会默认工作，如 ldapmodify，或使用 ldif2db 从 LDIF 导入数据库。如果关闭了 schema 检查，则必须手动验证每个条目，才能看到它们符合 schema。如果打开了架构检查，服务器会发送一条错误消息，列出与 schema 不匹配的条目。确保 LDIF 语句中创建的属性和对象类都正确拼写，并在 dse.ldif 中识别。在 schema 目录中创建 LDIF 文件，或将元素添加到 99user.ldif。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-schemacheck: on

3.1.1.157. nsslapd-schemadir
复制链接

这是包含 Directory Server 实例特定模式文件的目录的绝对路径。当服务器启动时，它会从此目录读取架构文件，当通过 LDAP 工具修改模式时，会更新此目录中的模式文件。该目录必须由服务器用户 ID 所有，并且该用户必须具有对该目录的读取和写入权限。

对此属性所做的更改在服务器重启之前不会生效。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的路径
默认值	/etc/dirsrv/instance_name/schema
语法	DirectoryString
示例	nsslapd-schemadir: /etc/dirsrv/instance_name/schem

3.1.1.158. nsslapd-schemamod
复制链接

在线模式修改需要影响性能的锁定保护。如果禁用了模式修改，则将此参数设置为 off 可提高性能。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-schemamod: on

3.1.1.159. nsslapd-schemareplace
复制链接

决定是否修改在 cn=schema 条目上允许替换属性值的操作。

Expand

参数	描述
条目 DN	cn=config
有效值	在 \| off \| replication-only
默认值	replication-only
语法	DirectoryString
示例	nsslapd-schemareplace: replication-only

3.1.1.160. nsslapd-search-return-original-type-switch
复制链接

如果传递给搜索的属性列表包含空格，后跟其他字符，则向客户端返回相同的字符串。例如：

ldapsearch -b <basedn> "(filter)" "sn someothertext"

# ldapsearch -b <basedn> "(filter)" "sn someothertext"
  dn: <matched dn>
  sn someothertext: <sn>

Copy to Clipboard

Toggle word wrap

默认情况下禁用此行为，但可使用此配置参数启用。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-search-return-type-switch: off

3.1.1.161. nsslapd-securelistenhost
复制链接

此属性允许多个目录服务器实例在多主目录机器上运行（或使可以限制侦听多主目录计算机的一个接口）。单个主机名可以有多个 IP 地址，这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将目录服务器实例限制为单个 IP 接口；此参数还专门设置要用于 TLS 流量的接口，而不是常规的 LDAP 连接。

如果将主机名指定为 nsslapd-securelistenhost 值，则 Directory 服务器会响应与主机名关联的每个接口的请求。如果单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-securelistenhost 值，目录服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=config
有效值	任何安全主机名、IPv4 或 IPv6 地址
默认值
语法	DirectoryString
示例	nsslapd-securelistenhost: ldaps.example.com

3.1.1.162. nsslapd-securePort (Encrypted Port Number)
复制链接

此属性设置用于 TLS 通信的 TCP/IP 端口号。此所选端口在主机系统上必须是唯一的；确保没有其他应用程序试图使用相同的端口号。指定小于 1024 的端口号要求以 root 用户身份启动目录服务器。服务器在启动时将其 uid 设置为 nsslapd-localuser 值。

只有当服务器配置了私钥和证书并且 nsslapd-security 设置为 on 时，服务器才会侦听这个端口。否则，它不会监听这个端口。

必须重新启动服务器，以便考虑端口号更改。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到 65535
默认值	636
语法	整数
示例	nsslapd-securePort: 636

3.1.1.163. nsslapd-security (Security)
复制链接

此属性设置 Directory 服务器是否在其加密端口上接受 TLS 通信。对于安全连接，此属性应设置为 on。若要在上使用安全性运行，除其他 TLS 配置之外，还必须使用私钥和服务器证书配置服务器。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nsslapd-security: off

3.1.1.164. nsslapd-sizelimit (Size Limit)
复制链接

此属性设置搜索操作返回的最大条目数。如果达到这个限制，ns-slapd 会返回与搜索请求匹配的任何条目，以及超过大小限制错误。

如果没有设置限制，ns-slapd 会将每个匹配条目返回到客户端，而不考虑找到的数字。要设置限制值，Directory 服务器会无限期等待搜索完成，请在 dse.ldif 文件中为此属性指定 -1 值。

这个限制适用于每个人，无论其机构是什么。

注意

dse.ldif 文件中的此属性上的 -1 值与在服务器控制台中将属性留空时相同，因为它会导致不使用限制。这无法在 dse.ldif 文件中有一个 null 值，因为它不是一个有效的整数。可以将其设置为 0， 这会返回每个搜索所 超过的大小限制。

对应的 user-level 属性是 nsSizeLimit。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 到最大 32 位整数值(2147483647)
默认值	2000
语法	整数
示例	nsslapd-sizelimit: 2000

3.1.1.165. nsslapd-snmp-index
复制链接

此参数控制 Directory 服务器实例的 SNMP 索引号。

如果您在同一主机上有多个目录服务器实例，但在端口 389 上，但在不同的网络接口中，则此参数允许您为每个实例设置不同的 SNMP 索引号。

Expand

参数	描述
条目 DN	cn=config
有效值	0 到最大 32 位整数值(2147483647)
默认值	0
语法	整数
示例	nsslapd-snmp-index: 0

3.1.1.166. nsslapd-SSLclientAuth
复制链接

注意

nsslapd-SSLclientAuth 参数将在以后的版本中被弃用，目前为向后兼容而维护。使用新的参数 nsSSLClientAuth，存储在 cn=encryption,cn=config 下。请参阅第 3.1.4.5 节 “nsSSLClientAuth”。

3.1.1.167. nsslapd-ssl-check-hostname (Verify Hostname for Outbound Connections)
复制链接

此属性设置启用了 TLS 的目录服务器是否应该通过将主机名与提供给证书中主题名称(subjectDN 字段)属性的值匹配来验证请求的真实性。默认情况下，属性在 上 设置为。如果是 on，如果主机名与证书的 cn 属性不匹配，则会记录适当的错误和审计消息。

例如，在复制环境中，如果找到对等服务器的主机名与证书中指定的名称不匹配，则类似以下内容的消息会记录在供应商服务器的日志文件中：

[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
	 Unable to communicate securely with peer: requested domain name does not
	 match the server's certificate.)

[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
 Replication bind with SSL client authentication failed:
 LDAP error 81 (Can't contact LDAP server)

[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
	 Unable to communicate securely with peer: requested domain name does not
	 match the server's certificate.)

[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
 Replication bind with SSL client authentication failed:
 LDAP error 81 (Can't contact LDAP server)

Copy to Clipboard

Toggle word wrap

红帽建议打开此属性来保护目录服务器的出站 TLS 连接，防止中间人(MITM)攻击。

注意

必须正确设置 DNS 和反向 DNS 才能正常工作；否则，服务器无法将对等 IP 地址解析为证书中主题 DN 中的主机名。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsslapd-ssl-check-hostname: on

3.1.1.168. nsslapd-syntaxcheck
复制链接

此属性验证对条目属性的所有修改，以确保新的或更改的值符合该属性类型所需的语法。当启用此属性时，任何不符合正确语法的更改都会被拒绝。根据 RFC 4514 的语法定义验证所有属性值。

默认情况下打开它。

语法验证仅针对新的或修改的属性运行，它不验证现有属性值的语法。为 LDAP 操作（如添加和修改）触发语法验证；它不会在复制等操作后发生，因为原始供应商应检查属性语法的有效性。

这会验证 Directory 服务器的所有支持的属性类型，但二进制语法（无法验证）和非标准语法除外，它们没有定义所需的格式。未验证的 语法如下：

传真（二进制）
OctetString (binary)
JPEG (binary)
二进制（非标准）
空格（敏感的字符串）（非标准）
URI （非标准）

nsslapd-syntaxcheck 属性设置是否验证和拒绝属性修改。这可与第 3.1.1.169 节 “nsslapd-syntaxlogging” 属性一起使用，将有关无效属性值的警告信息写入错误日志中。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nnsslapd-syntaxcheck: on

3.1.1.169. nsslapd-syntaxlogging
复制链接

此属性设置是否将语法验证失败记录到错误日志中。默认情况下关闭它。

如果启用了第 3.1.1.168 节 “nsslapd-syntaxcheck” 属性（默认），且 nsslapd-syntaxlogging 属性也被启用，则任何无效的属性更改都会被拒绝，并写入错误日志。如果只启用 nsslapd-syntaxlogging，并且禁用 nsslapd-syntaxcheck，则允许无效的更改，但会将警告信息写入错误日志。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	nnsslapd-syntaxlogging: off

3.1.1.170. nsslapd-threadnumber (Thread Number)
复制链接

这个与性能调优相关的值会设置线程数量，Directory 服务器在启动时创建。如果值设为 -1 ( 默认)，则目录服务器会根据可用的硬件启用优化的自动调整。请注意，如果启用了 auto-tuning，nsslapd-threadnumber 会在 Directory 服务器运行时显示自动生成的线程数量。

注意

红帽建议使用 auto-tuning 设置来优化性能。

详情请查看 红帽目录服务器性能调优指南 中的相应部分。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 到系统线程和处理器支持的最大线程数。限制
默认值	-1
语法	整数
示例	nsslapd-threadnumber: -1

3.1.1.171. nsslapd-timelimit (Time Limit)
复制链接

此属性设定为搜索请求分配的最大秒数。如果达到这个限制，Directory 服务器会返回所有与搜索请求匹配的条目，以及超过的时间限制错误。

如果没有设置限制，ns-slapd 会将每个匹配条目返回到客户端，无论其所需的时间如何。要设置限制值，在 Directory 服务器无限期等待搜索完成，请在 dse.ldif 文件中为此属性指定 -1 值。值为零(0)会导致不允许时间进行搜索。最小时间限制为 1 秒。

注意

dse.ldif 中的此属性上的 -1 值与在服务器控制台中将属性留空时相同，这会导致不使用限制。但是，在服务器控制台的此字段中无法设置负整数，且无法在 dse.ldif 条目中使用 null 值，因为它不是有效的整数。

对应的 user-level 属性是 nsTimeLimit。

Expand

参数	描述
条目 DN	cn=config
有效范围	-1 到最大 32 位整数值(2147483647)，以秒为单位
默认值	3600
语法	整数
示例	nsslapd-timelimit: 3600

3.1.1.172. nsslapd-tmpdir
复制链接

这是服务器用于临时文件的目录的绝对路径。目录必须由服务器用户 ID 所有，并且该用户必须具有读写访问权限。没有其他用户 ID 应具有对目录的读取或写入权限。默认值为 /tmp。

对此属性所做的更改在服务器重启之前不会生效。

3.1.1.173. nsslapd-unhashed-pw-switch
复制链接

当您更新 userPassword 属性时，Directory 服务器会加密密码并将其存储在 userPassword 中。然而，在某些情况下，例如将密码与 Active Directory (AD)同步时，目录服务器必须将未加密的密码传递给插件。在这种情况下，服务器将未加密的密码存储在 so-called entry 扩展 中的临时 unhashed""user#password 属性中，并根据情况在更改日志中。请注意，Directory 服务器不会将临时 unhashed"user""password 属性存储在服务器的硬盘中。

nsslapd-unhashed-pw-switch 参数控制目录服务器是否以及目录服务器如何存储未加密的密码。例如，您必须将 nsslapd-unhashed-pw-switch 设置为 on，才能将密码从 Directory Server 同步到 Active Directory。

您可以将参数设置为以下值之一：

off: Directory Server 不会将未加密的密码存储在条目扩展名或更改日志中。如果您没有将密码与 AD 或需要访问未加密的密码的任何插件进行密码同步，则设置这个值。
在 : Directory Server 上，将未加密的密码存储在条目扩展名和更改日志中。如果您使用 AD 配置密码同步，则设置这个值。
nolog: Directory 服务器仅将未加密的密码存储在条目扩展名中，而不存储在更改日志中。如果本地目录服务器插件需要访问未加密的密码，但没有配置与 AD 的密码同步，则设置这个值。

Expand

参数	描述
条目 DN	cn=config
有效值	off \| on \| nolog
默认值	off
语法	DirectoryString
示例	nsslapd-unhashed-pw-switch: off

3.1.1.174. nsslapd-validate-cert
复制链接

如果目录服务器配置为在 TLS 中运行并且其证书过期，则无法启动目录服务器。nsslapd-validate-cert 参数设置在尝试使用过期证书启动时 Directory 服务器应如何响应：

warn 允许 Directory 服务器成功启动具有过期证书的警告信息，但它会发送证书已过期的警告信息。这是默认设置。
在上，验证证书，如果证书已过期，将阻止服务器重新启动。这为过期的证书设置硬失败。
off 禁用所有证书过期验证，因此服务器可以在不记录警告的情况下以过期的证书开始。

Expand

参数	描述
条目 DN	cn=config
有效值	Warn \| on \| off
默认值	warn
语法	DirectoryString
示例	nsslapd-validate-cert: warn

3.1.1.175. nsslapd-verify-filter-schema
复制链接

nsslapd-verify-filter-schema 参数定义目录服务器如何使用 schema 中未指定的属性验证搜索过滤器。

您可以将 nsslapd-verify-filter-schema 设置为以下选项之一：

reject-invalid: 如果目录服务器包含任何未知元素，则目录服务器会拒绝过滤器并带有错误。
process-safe: Directory Server 使用空集替换未知组件，并使用 /var/log/dirsrv/slapd-instance_name/access 日志文件中的 notes=F 标志记录警告信息。
在将 nsslapd-verify-filter-schema 从 warn-invalid 或 off 切换到 process-safe 之前，请监控访问日志并修复导致日志条目带有 notes=F 标志的应用程序的查询。否则，操作结果会改变，目录服务器可能无法返回所有匹配的条目。
warn-invalid: Directory Server 在 /var/log/dirsrv/slapd-instance_name/access 日志文件中记录带有 notes=F 标记的警告，并继续扫描完整的数据库。
off ：目录服务器不验证过滤器。

请注意，例如，如果您将 nsslapd-verify-filter-schema 设置为 warn-invalid 或 off，则过滤器 （如(& (non_exististent_attribute=example) (uid=user_name)) 评估 uid=user_name 条目，并仅在包含 non_exististent_attribute=example ）时返回。如果将 nsslapd-verify-filter-schema 设置为 process-safe，目录服务器不会评估该条目，也不会返回它。

注意

将 nsslapd-verify-filter-schema 设置为 reject-invalid 或 process-safe 可防止因为未索引的搜索模式中指定的属性而造成高负载。

Expand

参数	描述
条目 DN	cn=config
有效值	reject-invalid, process-safe, warn-invalid, off
默认值	warn-invalid
语法	DirectoryString
示例	nsslapd-verify-filter-schema: warn-invalid

3.1.1.176. nsslapd-versionstring
复制链接

此属性设置服务器版本号。当显示 version 字符串时，构建数据会自动附加。

Expand

参数	描述
条目 DN	cn=config
有效值	任何有效的服务器版本号。
默认值
语法	DirectoryString
示例	nsslapd-versionstring: Red Hat-Directory/11.3

3.1.1.177. nsslapd-workingdir
复制链接

这是服务器在启动时用作当前工作目录的目录的绝对路径。这是服务器将返回 getcwd （） 函数的值，以及系统进程表显示为其当前工作目录的值。这是生成核心文件的目录。服务器用户 ID 必须对该目录具有读写访问权限，而其他用户 ID 则不应对其具有读取或写入访问权限。此属性的默认值是包含错误日志的同一目录，通常是 /var/log/dirsrv/slapd-instance。

对此属性所做的更改在服务器重启之前不会生效。

3.1.1.178. passwordAllowChangeTime
复制链接

此属性指定在允许用户更改其密码之前必须传递的时间长度。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	任何整数
默认值
语法	DirectoryString
示例	passwordAllowChangeTime: 5h

3.1.1.179. passwordChange (Password Change)
复制链接

指明用户是否可以更改其密码。

这可以缩写为 pwdAllowUserChange。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	passwordChange: on

3.1.1.180. passwordCheckSyntax （检查密码语法）
复制链接

此属性设定在保存密码前是否检查密码语法。密码语法检查机制检查密码是否满足或超过密码最小长度要求，并且字符串不包含任何微小的词语，如用户名或用户 ID 或存储在 uid、cn、sn、givenName、ou 或 mail 属性中的任何属性值。

密码语法包括几个不同的类别用于检查：

在检查密码中普通单词时要比较的字符串或令牌长度（例如，如果令牌长度为 3，则用户 UID、名称、电子邮件地址或其他参数中的三个后续字符的字符串，可以在密码中使用。）
最小数字字符数(0-9)
最小大写 ASCII 字母字符数
最小小写 ASCII 字母字符数
最少特殊 ASCII 字符数，如 !@#$
最小 8 位字符数
每个密码所需的最少字符类别数；类别可以是大写或小写字母、特殊字符、数字或 8 位字符

这可以缩写为 pwdCheckSyntax。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordCheckSyntax: off

3.1.1.181. passwordDictCheck
复制链接

如果设置为 on，则 passwordDictCheck 参数会根据 CrackLib 字典检查密码。如果新密码包含字典词语，则目录服务器会拒绝密码。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordDictCheck: off

3.1.1.182. passwordExp （密码过期）
复制链接

指明用户密码是否在指定秒数后过期。默认情况下，用户密码不会过期。启用密码过期后，设定密码使用 passwordMaxAge 属性过期的秒数。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南 中的"管理用户帐户"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordExp: on

3.1.1.183. passwordExpirationTime
复制链接

此属性指定在用户的密码过期前经过的时间长度。

Expand

参数	描述
条目 DN	cn=config
有效值	任何日期，单位为整数
默认值	none
语法	GeneralizedTime
示例	passwordExpirationTime: 202009011953

3.1.1.184. passwordExpWarned
复制链接

此属性表示向用户发送密码过期警告。

Expand

参数	描述
条目 DN	cn=config
有效值	true \| false
默认值	none
语法	DirectoryString
示例	passwordExpWarned: true

3.1.1.185. passwordGraceLimit (Password Expiration)
复制链接

此属性仅在启用了密码过期时才适用。在用户密码到期后，服务器允许用户连接以更改密码。这称为 宽限期。服务器在完全锁定用户前只允许有一定数量的尝试。此属性是允许的宽限期数。值 0 表示服务器不允许宽限期。

Expand

参数	描述
条目 DN	cn=config
有效值	0 (off)到任何合理的整数
默认值	0
语法	整数
示例	passwordGraceLimit: 3

3.1.1.186. passwordHistory （密码历史记录）
复制链接

启用密码历史记录。密码历史记录指的是是否允许用户重复使用密码。默认情况下，密码历史记录被禁用，用户可以重复使用密码。如果在 上 将此属性设置为，则目录会存储指定数量的旧密码，并防止用户重复使用任何存储的密码。使用 passwordInHistory 属性设置目录服务器存储的旧密码数量。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordHistory: on

3.1.1.187. passwordInHistory (Passwords to Remember)
复制链接

指明目录服务器在历史记录中存储的密码数。存储在历史记录中的密码无法被用户重复使用。默认情况下，密码历史记录功能被禁用，这意味着目录服务器不会存储任何旧密码，因此用户可以重复使用密码。使用 passwordHistory 属性启用密码历史记录。

要防止用户通过跟踪的密码数量快速利用，请使用 passwordMinAge 属性。

这可以缩写为 pwdInHistory。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到 24 密码
默认值	6
语法	整数
示例	passwordInHistory: 7

3.1.1.188. passwordIsGlobalPolicy (Password Policy and Replication)
复制链接

此属性控制是否复制密码策略属性。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordIsGlobalPolicy: off

3.1.1.189. passwordLegacyPolicy
复制链接

启用旧的密码行为。旧的 LDAP 客户端预期在超过最大故障限制后收到一个错误，以锁定用户帐户。例如，如果限制是三个失败，则帐户在第四次尝试失败时锁定。但是，当达到故障限制时，较新的客户端应该会收到错误消息。例如，如果限制是三个失败，则应在第三个尝试失败时锁定帐户。

因为当超过失败限制时锁定帐户是旧的行为，所以被视为旧的行为。它默认是启用的，但可以禁用以允许新的 LDAP 客户端在预期时间接收错误。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	passwordLegacyPolicy: on

3.1.1.190. passwordLockout (Account Lockout)
复制链接

指明用户在给定数量的绑定尝试失败后将用户锁定在目录中。默认情况下，在绑定尝试失败后，用户不会锁定在目录中。如果启用了帐户锁定，请设置用户使用 passwordMaxFailure 属性锁定用户的失败尝试次数。

这可以缩写为 pwdLockOut。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordLockout: off

3.1.1.191. passwordLockoutDuration (Lockout Duration)
复制链接

表示用户在帐户锁定后锁定目录的时间（以秒为单位）。帐户锁定功能可防止黑客通过重复尝试猜测用户密码来进入该目录。使用 passwordLockout 属性启用和禁用帐户锁定功能。

这可以缩写为 pwdLockoutDuration。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到最大 32 位整数值(2147483647)，以秒为单位
默认值	3600
语法	整数
示例	passwordLockoutDuration: 3600

3.1.1.192. passwordMaxAge (Password Maximum Age)
复制链接

表示用户密码到期后的秒数。要使用此属性，必须使用 passwordExp 属性启用密码过期。

这可以缩写为 pwdMaxAge。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到最大 32 位整数值(2147483647)，以秒为单位
默认值	8640000 (100 天)
语法	整数
示例	passwordMaxAge: 100

3.1.1.193. passwordBadWords
复制链接

passwordBadWords 参数定义一个以逗号分隔的字符串列表，用户不允许在密码中使用。

请注意，目录服务器对字符串进行不区分大小写的比较。

Expand

参数	描述
条目 DN	cn=config
有效值	任何字符串
默认值	""
语法	DirectoryString
示例	passwordBadWords: example

3.1.1.194. passwordMaxClassChars
复制链接

如果将 passwordMaxClassChars 参数设置为大于 0 的值，目录服务器会阻止设置具有相同类别的连续字符的密码，与参数中设置的值相比。如果启用，Directory 服务器会检查以下类别的连续字符：

数字
字母字符
小写
大写

例如，如果您将 passwordMaxClassChars 设置为 3，则不允许包含 jdif 或 1947 的密码。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 （禁用）最大 32 位整数(2147483647)
默认值	0
语法	整数
示例	passwordMaxClassChars: 0

3.1.1.195. passwordMaxFailure （最大密码失败）
复制链接

表示在用户锁定出目录后的失败绑定尝试次数。默认情况下禁用帐户锁定。通过修改 passwordLockout 属性来启用帐户锁定。

这可以缩写为 pwdMaxFailure。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 用于最大整数绑定失败
默认值	3
语法	整数
示例	passwordMaxFailure: 3

3.1.1.196. passwordMaxRepeats （密码语法）
复制链接

同一字符可以在密码中按顺序显示的次数上限。零(0)已关闭。整数值拒绝任何使用超过该时间字符的密码；例如，1 拒绝一次使用的字符(a)和 2 拒绝一次使用的字符(aaa)。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 64
默认值	0
语法	整数
示例	passwordMaxRepeats: 1

3.1.1.197. passwordMaxSeqSets
复制链接

如果将 passwordMaxSeqSets 参数设置为大于 0 的值，则目录服务器会拒绝带有重复 monotonic 序列的密码超过参数中设置的长度。例如，如果您将 passwordMaxSeqSets 设置为 2，则将密码设为 azXYZ_XYZ-g，因为 XYZ 在密码中显示两次。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 （禁用）到最大 32 位整数值(2147483647)
默认值	0
语法	整数
示例	passwordMaxSeqSets: 0

3.1.1.198. passwordMaxSequence
复制链接

如果将 passwordMaxSequence 参数设置为大于 0 的值，目录服务器会拒绝新密码，其序列比 passwordMaxSequence 中设置的值更长。例如，如果您将参数设置为 3，Directory 服务器会拒绝包含字符串的密码，如 1234 或 dcba。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 （禁用）到最大 32 位整数值(2147483647)
默认值	0
语法	整数
示例	passwordMaxSequence: 0

3.1.1.199. passwordMin8Bit (Password 语法)
复制链接

这会设置密码必须包含最少 8 位字符数。

注意

必须禁用对 userPassword 的 7 位检查才能使用它。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 64
默认值	0
语法	整数
示例	passwordMin8Bit: 0

3.1.1.200. passwordMinAge (Password Minimum Age)
复制链接

表示在用户更改其密码前必须经过的秒数。将此属性与 passwordInHistory （要记住的密码数）属性一起使用，以防止用户通过密码快速利用其旧密码，以便他们再次使用旧密码。值为零(0)表示用户可以立即更改密码。

这可以缩写为 pwdMaxFailure。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到有效的最大整数
默认值	0
语法	整数
示例	passwordMinAge: 150

3.1.1.201. passwordMinAlphas （密码语法）
复制链接

此属性设置必须包含最少字母字符密码的数量。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 64
默认值	0
语法	整数
示例	passwordMinAlphas: 4

3.1.1.202. passwordMinCategories （密码语法）
复制链接

这将设置密码中代表的最小字符类别数。类别有：

小写字母字符
大写字母字符
数字
特殊 ASCII 字符，如 $ 和标点标记
8 位字符

例如，如果此属性的值设置为 2，并且用户尝试将密码更改为 aaaaa，服务器将拒绝密码，因为它仅包含小写字符，因此仅包含一个类别中的字符。aA aA 的密码会被传递，因为它包含来自两个类别（大写和小写）的字符。

默认值为 3，这意味着如果启用了密码语法检查，有效的密码必须具有三类字符。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 5
默认值	0
语法	整数
示例	passwordMinCategories: 2

3.1.1.203. PasswordMinDigits （密码语法）
复制链接

这会设置密码必须包含的最小数字数。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 64
默认值	0
语法	整数
示例	passwordMinDigits: 3

3.1.1.204. passwordMinLength (Password Minimum Length)
复制链接

此属性指定目录服务器用户密码属性必须使用的最少字符数。通常，较短的密码更易于破解。目录服务器强制使用八个字符的最小密码。这很难破解但很短，用户可以在不写出密码的情况下记住密码。

这可以缩写为 pwdMinLength。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效范围	2 到 512 个字符
默认值	8
语法	整数
示例	passwordMinLength: 8

3.1.1.205. PasswordMinLowers （密码语法）
复制链接

此属性设置小写字母密码必须包含的最小数量。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 64
默认值	0
语法	整数
示例	passwordMinLowers: 1

3.1.1.206. PasswordMinSpecials （密码语法）
复制链接

此属性设置密码必须包含的最小特殊数量（或不是字母数字字符）。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 64
默认值	0
语法	整数
示例	passwordMinSpecials: 1

3.1.1.207. PasswordMinTokenLength (Password Syntax)
复制链接

此属性设置用于简单词语检查的最小属性值长度。例如，如果 PasswordMinTokenLength 设为 3，则 givenName 为 DJ 并不会导致拒绝 DJ 存在于密码的策略，但策略会拒绝包含 givenName 的 Bob 的密码。

目录服务器会根据以下属性中的值检查最小令牌长度：

uid
cn
sn
givenName
mail
ou

如果目录服务器应检查附加属性，您可以在 passwordUserAttributes 参数中设置它们。详情请查看第 3.1.1.212 节 “passwordUserAttributes”。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到 64
默认值	3
语法	整数
示例	passwordMinTokenLength: 3

3.1.1.208. PasswordMinUppers （密码语法）
复制链接

这会设置大写字母密码的最小数量必须包含。

Expand

参数	描述
条目 DN	cn=config
有效范围	0 到 64
默认值	0
语法	整数
示例	passwordMinUppers: 2

3.1.1.209. passwordMustChange （密码必须更改）
复制链接

指明用户在第一次绑定到目录服务器时或管理器 DN 重置密码时，是否必须更改密码。

这可以缩写为 pwdMustChange。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordMustChange: off

3.1.1.210. passwordPalindrome
复制链接

如果启用了 passwordPalindrome 参数，如果新密码包含 palindrome，则目录服务器会拒绝密码。

palindrome 是一个读取与后向相同的字符串，如 abc11cba。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordPalindrome: off

3.1.1.211. passwordResetFailureCount (Reset Password Failure Count After)
复制链接

表示密码失败计数器重置的时间（以秒为单位）。每次从用户帐户发送无效的密码时，密码失败计数器都会递增。如果在 上将 passwordLockout 属性设置为，则当计数器达到 passwordMaxFailure 属性指定的故障数时（默认为 600 秒）时，用户将被锁定在目录中。在 passwordLockoutDuration 属性指定的时间后，失败计数器将重置为零(0)。

这可以缩写为 pwdFailureCountInterval。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到最大 32 位整数值(2147483647)，以秒为单位
默认值	600
语法	整数
示例	passwordResetFailureCount: 600

3.1.1.212. passwordUserAttributes
复制链接

默认情况下，如果您在 passwordMinTokenLength 参数中设置了最小令牌长度，目录服务器只根据某些属性检查令牌。详情请查看第 3.1.1.207 节 “PasswordMinTokenLength (Password Syntax)”。

passwordUserAttributes 参数允许您设置目录服务器应检查的额外属性列表。

Expand

参数	描述
条目 DN	cn=config
有效值	任何字符串
默认值	""
语法	DirectoryString
示例	passwordUserAttributes: telephoneNumber, l

3.1.1.213. passwordSendExpiringTime
复制链接

当客户端请求密码过期控制时，只有在密码处于警告期间，目录服务器才会返回 "time to expire" 值。为了提供始终返回这个值的现有客户端的兼容性 - 无论密码过期时间是否在警告期间内，可以在 上将 passwordSendExpiringTime 参数设置为。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordSendExpiringTime: off

3.1.1.214. passwordStorageScheme (Password Storage Scheme)
复制链接

此属性设定用于加密 userPassword 属性中存储的用户密码的方法。详情请查看第 4.1.43 节 “密码存储方案”。

注意

红帽建议不要设置此属性。如果没有设置值，Directory 服务器会自动使用可用的最强支持的密码存储方案。如果将来的目录服务器更新更改了默认值以提高安全性，如果用户设置密码，密码将自动使用新的存储方案加密。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效值	请参阅第 4.1.43 节 “密码存储方案”。
默认值	PBKDF2_SHA256
语法	DirectoryString
示例	passwordStorageScheme: PBKDF2_SHA256

3.1.1.215. passwordTPRDelayExpireAt
复制链接

passwordTPRDelayExpireAt 属性是密码策略的一部分。在管理员为用户帐户设置临时密码后，passwordTP RDelayExpireAt 定义临时密码过期前的时间（以秒为单位）。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效值	-1 （禁用）到最大 32 位整数值(2147483647)
默认值	-1
语法	整数
示例	passwordTPRDelayExpireAt: 3600

3.1.1.216. passwordTPRDelayValidFrom
复制链接

passwordTPRDelayValidFrom 属性是密码策略的一部分。在管理员为用户帐户设置临时密码后，passwordTPR DelayValidFrom 定义使用临时密码前的时间（以秒为单位）。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效值	-1 （禁用）到最大 32 位整数值(2147483647)
默认值	-1
语法	整数
示例	passwordTPRDelayValidFrom: 60

3.1.1.217. passwordTPRMaxUse
复制链接

passwordTPRMaxUse 属性是密码策略的一部分。属性设置用户可以在临时密码过期之前成功或不进行身份验证的次数。如果身份验证成功，目录服务器只允许用户在进行其他操作前更改密码。如果用户没有更改密码，则操作将被终止。验证尝试数量的计数器会增加，无论身份验证是否成功。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=config
有效值	-1 （禁用）到最大 32 位整数值(2147483647)
默认值	-1
语法	整数
示例	passwordTPRMaxUse: 5

3.1.1.218. passwordTrackUpdateTime
复制链接

设置是否记录独立时间戳，专门用于最后一次更改条目密码的时间。如果启用此项，它会将 pwdUpdateTime 操作属性添加到用户帐户条目（与其他更新时间分离，如 modifyTime）。

使用此时间戳可以更轻松地在不同 LDAP 存储（如 Active Directory）之间同步密码更改。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	passwordTrackUpdateTime: off

3.1.1.219. passwordUnlock (Unlock Account)
复制链接

指明用户是否在指定时间内锁定在目录中，或者直到管理员在帐户锁定后重置密码。帐户锁定功能可防止黑客通过重复尝试猜测用户密码来进入该目录。如果此 passwordUnlock 属性设置为 off，并且 operational 属性 accountUnlockTime 的值为 0， 则帐户将无限期锁定。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	passwordUnlock: off

3.1.1.220. passwordWarning (Send Warning)
复制链接

表示用户密码到期前的秒数，让用户在下一次 LDAP 操作上收到密码过期警告控制。根据 LDAP 客户端，用户也可能会在发送警告时提示更改密码。

这可以缩写为 pwdExpireWarning。

有关密码策略的更多信息，请参阅 红帽目录服务器管理指南中的"管理用户身份验证"一章。

Expand

参数	描述
条目 DN	cn=config
有效范围	1 到最大 32 位整数值(2147483647)，以秒为单位
默认值	86400 (1 天)
语法	整数
示例	passwordWarning: 86400

3.1.1.221. passwordAdminSkipInfoUpdate
复制链接

您可以在 cn=config 条目下添加一个新的 passwordAdminSkipInfoUpdate: on/off 设置，以对密码管理员执行的密码更新提供精细控制。当您在 上将 此设置设置为时，仅更改密码，且不会更新用户条目中的密码状态属性。例如，此类属性是 passwordHistory、passwordExpirationTime、passwordRetryCount、pwdReset 和 passwordExpWarned。

Expand

参数	描述
条目 DN	cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
Example	passwordAdminSkipInfoUpdate: on

注意

密码管理员不仅可以绕过密码语法检查，还可在全局和本地密码策略中配置密码过期设置，并且 必须使用 设置 'passwordAdminSkipInfoUpdate : on/off来更改密码(pwdMustChange)属性，并使用设置 'passwordAdminSkipInfoUpdate: on/off。

3.1.1.222. retryCountResetTime
复制链接

retryCountResetTime 属性包含 UTC-format 中的日期和时间，passwordRetryCount 属性将重置为 0。

Expand

参数	描述
条目 DN	cn=config
有效范围	任何有效的时间戳(UTC 格式)
默认值	none
语法	常规时间
示例	retryCountResetTime: 20190618094419Z

3.1.2. cn=changelog5,cn=config
复制链接

multi-supplier 复制 changelog 配置条目存储在 cn=changelog5 条目下。cn=changelog5,cn=config 条目是 extensibleObject 对象类的实例。

cn=changelog5 条目必须包含以下对象类：

top
extensibleObject

注意

两种不同类型的更改日志由 Directory Server 维护。第一个类型（此处存储并称为 changelog ）由多层次复制使用；第二个更改日志实际上是插件并称为 retro changelog，用于与某些传统应用程序兼容。有关 Retro Changelog 插件的详情，请查看第 4.1.48 节 “retro Changelog 插件”。

3.1.2.1. cn
复制链接

此必需属性设置 changelog 条目的相对可分辨名称(RDN)。

Expand

参数	描述
条目 DN	cn=changelog5,cn=config
有效值	任何字符串
默认值	changelog5
语法	DirectoryString
示例	cn=changelog5

3.1.2.2. nsslapd-changelogcompactdb-interval
复制链接

Berkeley 数据库不会重复使用空闲页面，除非数据库被显式压缩。紧凑操作会将未使用的页面返回到文件系统和数据库文件大小缩小。这个参数定义 changelog 数据库紧凑时的时间间隔（以秒为单位）。请注意，紧凑数据库是资源密集型的，因此不应该经常进行。

此设置不需要服务器重启来生效。

Expand

参数	描述
条目 DN	cn=changelog5,cn=config
有效值	0 （无压缩）到 2147483647 秒
默认值	2592000 (30 天)
语法	整数
示例	nsslapd-changelogcompactdb-interval: 2592000

3.1.2.3. nsslapd-changelogdir
复制链接

此必需属性指定在其中创建 changelog 条目的目录名称。每当创建 changelog 配置条目时，它必须包含有效的目录；否则，操作都会被拒绝。默认情况下，GUI 建议此条目存储在 /var/lib/dirsrv/slapd-instance/changelogdb/ 中。

警告

如果删除了 cn=changelog5 条目，则 nsslapd-changelogdir 参数中指定的目录会被删除，其中包含其内容。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=changelog5,cn=config
有效值	存储更改日志的目录的任何有效路径
默认值	无
语法	DirectoryString
示例	nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb/

3.1.2.4. nsslapd-changelogmaxage (Max Changelog Age)
复制链接

与消费者同步时，目录服务器将每个更新存储在更改日志中，并带有一个时间戳。nsslapd-changelogmaxage 参数设置存储在 changelog 中的记录的最长期限。成功传输到所有副本的旧记录会被自动删除。默认情况下，Directory 服务器会删除 7 天以上的记录。但是，如果您禁用了 nsslapd-changelogmaxage 和 nsslapd-changelogmaxentries 参数，目录服务器会将所有记录保留在更改日志中，并可能导致 changelog 文件的过度增长。

注意

retro changelog 有自己的 nsslapd-changelogmaxage 属性，如 Retro changelog nsslapd-changelogmaxage部分所述

trim 操作以 nsslapd-changelogtrim-interval 参数中设置的间隔执行。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=changelog5,cn=config
有效范围	0 （注意条目没有根据其年龄删除）最多 32 位整数(2147483647)
默认值	7d
语法	DirectoryString IntegerAgeID，其中 AgeID 为 `s` `(S)` 代表秒，`m` `(M)` 分钟，`h` `(H)` 表示小时，`d` `(D)` 表示天，`W (W)`
示例	nsslapd-changelogmaxage: 4w

3.1.2.5. nsslapd-changelogmaxentries (Max Changelog Records)
复制链接

与消费者同步时，Directory 服务器会将每个更新存储在更改日志中。nsslapd-changelogmaxentries 参数设置 changelog 中存储的记录的最大数量。如果成功传输到所有副本的最旧的记录数量超过 nsslapd-changelogmaxentries 值，Directory 服务器会自动从更改日志中删除它们。如果您禁用了 nsslapd-changelogmaxentries 和 nsslapd-changelogmaxage 参数，Directory 服务器会将所有记录保留在 changelog 中，并可能导致 changelog 文件的过度增长。

注意

如果您在 nsslapd-changelogmaxentries 参数中设置了较低值，则目录服务器 不会自动 减少复制更改日志的文件大小。详情请查看 Red Hat Directory Administration Guide 中的相应部分。

目录服务器以 nsslapd-changelogtrim-interval 参数中设置的间隔执行修剪操作。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=changelog5,cn=config
有效范围	0 （唯一最大限制是磁盘大小）到最大 32 位整数(2147483647)
默认值	0
语法	整数
示例	nsslapd-changelogmaxentries: 5000

3.1.2.6. nsslapd-changelogtrim-interval (Replication Changelog Trimming Interval)
复制链接

目录服务器在 changelog 上重复运行修剪过程。要更改两个运行之间的时间，请更新 nsslapd-changelogtrim-interval 参数并设置间隔（以秒为单位）。

此设置不需要服务器重启来生效。

Expand

参数	描述
条目 DN	cn=changelog5,cn=config
有效范围	0 到最大 32 位整数值(2147483647)
默认值	300 (5 分钟)
语法	DirectoryString
示例	nsslapd-changelogtrim-interval: 300

3.1.2.7. nsslapd-encryptionalgorithm (Encryption Algorithm)
复制链接

此属性指定用于加密更改日志的加密算法。要启用 changelog 加密，必须在目录服务器中安装服务器证书。有关 changelog 的信息，请参考第 3.1.2.3 节 “nsslapd-changelogdir”。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=changelog5,cn=config
有效范围	AES 或 3DES
默认值	无
语法	DirectoryString
示例	nsslapd-encryptionalgorithm: AES

3.1.2.8. nsSymmetricKey
复制链接

此属性存储内部生成的对称密钥。有关 changelog 的信息，请参考第 3.1.2.3 节 “nsslapd-changelogdir”。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=changelog5,cn=config
有效范围	基本 64 编码的密钥
默认值	无
语法	DirectoryString
示例	无

3.1.3. 更改日志属性
复制链接

changelog 属性包含更改日志中的更改。

3.1.3.1. 更改
复制链接

此属性包含对以 LDIF 格式添加和修改操作的条目所做的更改。

Expand

OID	2.16.840.1.113730.3.1.8
语法	二进制
多或单值	多值
定义于	更改 Internet Draft

3.1.3.2. changeLog
复制链接

此属性包含条目的可分辨名称，其中包含由服务器更改日志组成的条目集合。

Expand

OID	2.16.840.1.113730.3.1.35
语法	DN
多值或 Single-Valued	多值
定义在	Changelog Internet Draft

3.1.3.3. changeNumber
复制链接

此属性始终存在。它包含一个整数，用于标识对目录条目进行的每个更改。这个数字与发生更改的顺序相关。数值越大，更改越高。

Expand

OID	2.16.840.1.113730.3.1.5
语法	整数
多值或 Single-Valued	多值
定义在	Changelog Internet Draft

3.1.3.4. changeTime
复制链接

此属性在添加条目时以 YYMMDDHHMMSS 格式定义时间。

Expand

OID	2.16.840.1.113730.3.1.77
语法	DirectoryString
多值或 Single-Valued	多值
定义在	目录服务器

3.1.3.5. changeType
复制链接

此属性指定 LDAP 操作的类型，添加、删除、修改 或 modrdn。例如：

changeType: modify

changeType: modify

Copy to Clipboard

Toggle word wrap

Expand

OID	2.16.840.1.113730.3.1.7
语法	DirectoryString
多值或 Single-Valued	多值
定义在	Changelog Internet Draft

3.1.3.6. deleteOldRdn
复制链接

对于 modrdn 操作，此属性指定是否删除了旧的 RDN。

值为零(0)将删除旧的 RDN。任何其它非零值都会保留旧的 RDN。（非零值可以是负数或正整数。）

Expand

OID	2.16.840.1.113730.3.1.10
语法	布尔值
多值或 Single-Valued	多值
定义在	Changelog Internet Draft

3.1.3.7. filterInfo
复制链接

这供 changelog 用于处理复制。

Expand

OID	2.16.840.1.113730.3.1.206
语法	DirectoryString
多值或 Single-Valued	多值
定义在	目录服务器

3.1.3.8. newRdn
复制链接

对于 modrdn 操作，此属性指定条目的新 RDN。

Expand

OID	2.16.840.1.113730.3.1.9
语法	DN
多值或 Single-Valued	多值
定义在	Changelog Internet Draft

3.1.3.9. newSuperior
复制链接

对于 modrdn 操作，此属性为移动条目指定新的父(superior)条目。

Expand

OID	2.16.840.1.113730.3.1.11
语法	DN
多值或 Single-Valued	多值
定义在	Changelog Internet Draft

3.1.3.10. targetDn
复制链接

此属性包含受 LDAP 操作影响的条目的 DN。对于 modrdn 操作，targetDn 属性包含条目的 DN，然后再修改或移动。

Expand

OID	2.16.840.1.113730.3.1.6
语法	DN
多值或 Single-Valued	多值
定义在	Changelog Internet Draft

3.1.4. cn=encryption
复制链接

加密相关的属性存储在 cn=encryption,cn=config 条目下。cn=encryption,cn=config 条目是一个 nsslapdEncryptionConfig 对象类的实例。

3.1.4.1. allowWeakCipher
复制链接

此属性控制是否允许或拒绝弱密码。默认值取决于 nsSSL3Ciphers 参数中设置的值。

如果出现以下情况，密码被视为弱（弱）

它们可以被导出。
可导出的密码在密码名称中被标记为 EXPORT。例如，在 TLS_RSA_EXPORT_WITH_RC4_40_MD5 中。
它们比 3DES 算法的对称和更弱。
对于加密和解密，对称加密都使用相同的加密密码。
密钥长度比 128 位短。

必须重新启动服务器，才能使此属性的更改生效。

Expand

条目 DN	cn=encryption,cn=config
有效值	on \| off
默认值	`off`，如果 `nsSSL3Ciphers` 参数中的值设为 `+all` 或 `默认值`。 `在上`，如果 `nsSSL3Ciphers` 参数的值包含特定于用户的密码列表。
语法	DirectoryString
示例	allowWeakCipher: on

3.1.4.2. allowWeakDHParam
复制链接

与 Directory Server 相关联的网络安全服务(NSS)库至少需要 2048 位 Diffie-Hellman (DH)参数。但是，一些客户端连接到目录服务器，如 Java 1.6 和 1.7 客户端，只支持 1024 位 DH 参数。allowWeakDHParam 参数允许您启用对目录服务器中弱 1024 位 DH 参数的支持。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=encryption,cn=config
有效值	on \| off
默认值	off
语法	DirectoryString
示例	allowWeakDHParam: off

3.1.4.3. nsSSL3Ciphers
复制链接

此属性指定在加密通信过程中使用的 TLS 加密加密目录服务器集合。

此参数中设置的值会影响 allowWeakCipher 参数的默认值。详情请查看第 3.1.4.1 节 “allowWeakCipher”。

Expand

参数	描述
条目 DN	cn=encryption,cn=config
有效值	以逗号分隔的 NSS 支持的密码列表。另外，也可以以下参数： * 默认：启用 NSS 公告的默认密码，但弱密码除外。如需更多信息，请参阅列出 SSL 连接支持的密码套件。 * +all ：所有密码都已启用。如果启用了 `allowWeakCipher` 参数，这包括弱密码。 * -all ：禁用所有密码。
默认值	default
语法	DirectoryString 使用加号(`+`)符号启用或减号(`-`)符号来禁用，后跟密码。密码列表中不允许空白。要启用所有密码 - 除 `rsa_null_md5` 外，必须特别调用 - 指定 `+all`。
示例	nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA

有关如何列出所有支持的密码，请参阅 Red Hat Directory Server Administration Guide 中的相应部分。

3.1.4.4. nsSSLActivation
复制链接

此属性显示是否为给定安全模块启用 TLS 密码系列。

Expand

条目 DN	cn=encryptionType,cn=encryption,cn=config
有效值	on \| off
默认值
语法	DirectoryString
示例	nsSSLActivation: on

3.1.4.5. nsSSLClientAuth
复制链接

此属性显示目录服务器如何强制实施客户端身份验证。它接受以下值：

off - 目录服务器不接受客户端身份验证
allowed （默认）- 目录服务器接受客户端身份验证，但不要求它
必需 - 所有客户端都必须使用客户端身份验证。
重要
目录服务器控制台不支持客户端身份验证。因此，如果 nsSSLClientAuth 属性设置为 required，则无法使用控制台来管理实例。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=config
有效值	off \| 允许 \| 必需
默认值	allowed
语法	DirectoryString
示例	nsSSLClientAuth: allowed

3.1.4.6. nsSSLEnabledCiphers
复制链接

目录服务器自动生成多值 nsSSLEnabledCiphers 属性。属性是只读的，显示当前使用的密码目录服务器。列表可能与您在 nsSSL3Ciphers 属性中设置的不同。例如，如果您在 nsSSL3Ciphers 属性中设置弱密码，但 allowWeakCipher 被禁用，nsSSL EnabledCiphers 属性不会列出弱密码，也不会列出弱密码，也不会使用它们。

Expand

参数	描述
条目 DN	cn=config
有效值	此属性的值是自动生成的和只读。
默认值
语法	DirectoryString
示例	nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256

3.1.4.7. nsSSLPersonalitySSL
复制链接

此属性包含用于 SSL 的证书名称。

Expand

条目 DN	cn=encryption,cn=config
有效值	证书 nickname
默认值
语法	DirectoryString
例如：	nsSSLPersonalitySSL: Server-Cert

3.1.4.8. nsSSLSessionTimeout
复制链接

此属性设置 TLS 连接的生命周期持续时间。最小超时值为 5 秒。如果设置了较小的值，则它会自动替换为 5 秒。大于以下有效范围中最大值的值将被范围中的最大值替换。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=encryption,cn=config
有效范围	5 秒到 24 小时
默认值	0，这意味着使用以上有效范围内的最大值。
语法	整数
示例	nsSSLSessionTimeout: 5

3.1.4.9. nsSSLSupportedCiphers
复制链接

此属性包含服务器支持的密码。

Expand

条目 DN	cn=encryption,cn=config
有效值	特定的系列、密码和强度字符串
默认值
语法	DirectoryString
例如：	nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256

3.1.4.10. nsSSLToken
复制链接

此属性包含服务器使用的令牌（安全模块）的名称。

Expand

条目 DN	cn=encryption,cn=config
有效值	模块名称
默认值
语法	DirectoryString
例如：	nsSSLToken: internal (software)

3.1.4.11. nsTLS1
复制链接

启用 TLS 版本 1。与 TLS 一起使用的密码在 nsSSL3Ciphers 属性中定义。

如果 sslVersionMin 和 sslVersionMax 参数与 nsTLS1 结合使用，则目录服务器会选择这些参数中最安全的设置。

必须重新启动服务器，才能使此属性的更改生效。

Expand

参数	描述
条目 DN	cn=encryption,cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsTLS1: on

3.1.4.12. nsTLSAllowClientRenegotiation
复制链接

目录服务器使用带有 SSL_ENABLE_RENEGOTIATION 选项的 SSL_OptionSet （） 网络安全服务(NSS)函数来控制 NSS 的 TLS 重新协商行为。

nsTLSAllowClientRenegotiation 属性控制 Directory 服务器传递给 SSL_ENABLE_RENEGOTIATION 选项的值：

如果您在上设置了 nsTLSAllowClientRenegotiation:，目录服务器会将 SSL_RENEGOTIATE_REQUIRES_XTN 传递给 SSL_ENABLE_RENEGOTIATION 选项。在这种情况下，NSS 允许使用 RFC 5746 的安全重新协商尝试。
如果您设置了 nsTLSAllowClientRenegotiation: off，Directory 服务器会将 SSL_RENEGOTIATE_NEVER 传递给 SSL_ENABLE_RENEGOTIATION 选项。在这种情况下，NSS 拒绝所有重新协商尝试，甚至是安全的。

有关 NSS TLS 重新协商行为的详情，请查看 红帽受到 TLS 重新协商 MITM 攻击 (CVE-2009-3555)中的 NSS （网络安全服务）中的 RFC 5746 实现 部分？

必须重启该服务才能使此属性生效。

Expand

参数	描述
条目 DN	cn=encryption,cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsTLSAllowClientRenegotiation: on

3.1.4.13. sslVersionMin
复制链接

sslVersionMin 参数设置 TLS 协议目录服务器使用的最低版本。但是，在默认情况下，Directory 服务器会根据系统范围的加密策略自动设置此参数。如果将 /etc/crypto-policies/config 文件中的加密策略配置集设置为：

DEFAULT、FUTURE 或 FIPS，目录服务器将 sslVersionMin 设置为 TLS1.2
LEGACY, Directory Server 将 sslVersionMin 设置为 TLS1.0

或者，您可以手动将 sslVersionMin 设置为比加密策略中定义的值更高的值。

必须重启该服务才能使此属性生效。

Expand

条目 DN	cn=encryption,cn=config
有效值	TLS 协议版本，如 `TLS1.2`
默认值	取决于您设置的系统范围的加密策略配置集。
语法	DirectoryString
例如：	sslVersionMin: TLS1.2

3.1.4.14. sslVersionMax
复制链接

设置要使用的 TLS 协议的最大版本。默认情况下，这个值被设置为系统中安装的 NSS 库中最新可用协议版本。

必须重新启动服务器，才能使此属性的更改生效。

如果 sslVersionMin 和 sslVersionMax 参数与 nsTLS1 结合使用，则目录服务器会选择这些参数中最安全的设置。

Expand

条目 DN	cn=encryption,cn=config
有效值	TLS 协议版本，如 `TLS1.0`
默认值	在系统中安装的 NSS 库中最新的可用协议版本
语法	DirectoryString
例如：	sslVersionMax: TLS1.2

3.1.5. cn=features
复制链接

cn=features 条目本身没有属性。此条目仅用作父容器条目，以及 nsContainer 对象类。

子条目包含一个 oid 属性，用于识别功能和 directoryServerFeature 对象类，以及可选的识别功能信息，如特定 ACL。例如：

dn: oid=2.16.840.1.113730.3.4.9,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid: 2.16.840.1.113730.3.4.9
cn: VLV Request Control
aci: (targetattr != "aci")(version 3.0; acl "VLV Request Control"; allow( read, search, compare, proxy ) userdn = "ldap:///all";)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config
createTimestamp: 20200129132357Z
modifyTimestamp: 20200129132357Z

dn: oid=2.16.840.1.113730.3.4.9,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid: 2.16.840.1.113730.3.4.9
cn: VLV Request Control
aci: (targetattr != "aci")(version 3.0; acl "VLV Request Control"; allow( read, search, compare, proxy ) userdn = "ldap:///all";)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config
createTimestamp: 20200129132357Z
modifyTimestamp: 20200129132357Z

Copy to Clipboard

Toggle word wrap

3.1.5.1. OID
复制链接

oid 属性包含分配给目录服务功能的对象标识符。OID 用作这些目录功能的命名属性。

Expand

OID	2.16.840.1.113730.3.1.215
语法	DirectoryString
多或单值	多值
定义于	目录服务器

3.1.6. cn=mapping tree
复制链接

后缀、复制和 Windows 同步的配置属性存储在 cn=mapping tree,cn=config 下。与后缀相关的配置属性可在后缀 subentry cn=suffix,cn=mapping tree,cn=config 下找到。
例如，后缀是目录树中的 root 条目，如 dc=example,dc=com。
复制配置属性存储在 cn=replica,cn=后缀,cn=mapping tree,cn=config 下。
复制协议属性存储在 cn=replicationAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config 下。
Windows 同步协议属性存储在 cn=syncAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config 下。

3.1.7. cn=suffix_DN 下的后缀配置属性
复制链接

后缀配置存储在 cn="suffix_DN",cn=mapping tree,cn=config 条目下。这些条目是 nsMappingTree 对象类的实例。extensibleObject 对象类启用属于它的条目来保存任何用户属性。对于服务器要考虑的后缀配置属性，除了 顶级 对象类外，这些对象类也必须存在于条目中。

您必须使用引号编写后缀 DN，因为它包含等号(=)、逗号(,)和空格字符等字符。通过使用引号，DN 可以正确地显示为另一个 DN 中的值。例如： cn="dc=example,dc=com",cn=mapping tree,cn=config

详情请查看 Directory Server Administration Guide 中的对应部分。

3.1.7.1. cn
复制链接

这个强制属性设置新后缀的相对可分辨名称(RDN)。

Expand

参数	描述
条目 DN	cn=suffix_DN,cn=mapping tree,cn=config
有效值	任何有效的 LDAP DN
默认值
语法	DirectoryString
示例	cn: dn=example,dc=com

3.1.7.2. nsslapd-backend
复制链接

此参数设置用于处理请求的数据库或数据库链接的名称。它是多值，每个值有一个数据库或数据库链接。当 nsslapd-state 属性的值设置为 update 上的 backend 或 referral 时，需要此属性。

将值设为 cn=ldbm database,cn=plugins,cn=config 下的后端数据库条目实例的名称。例如： o=userroot,cn=ldbm database,cn=plugins,cn=config

Expand

参数	描述
条目 DN	cn=suffix_DN,cn=mapping tree,cn=config
有效值	任何有效的分区名称
默认值
语法	DirectoryString
示例	nsslapd-backend: userRoot

3.1.7.3. nsslapd-distribution-function
复制链接

nssldap-distribution-function 参数设置自定义分发功能的名称。当您在 nsslapd-backend 属性中设置多个数据库时，您必须设置此属性。

有关自定义分发功能的详情，请参阅 Directory Server Administration Guide 中的对应部分。

Expand

参数	描述
条目 DN	cn=suffix_DN,cn=mapping tree,cn=config
有效值	任何有效的发布功能
默认值
语法	DirectoryString
示例	nsslapd-distribution-plugin: distribution_function_name

3.1.7.4. nsslapd-distribution-plugin
复制链接

nssldap-distribution-plugin 设置要与自定义分发功能一起使用的共享库。当您在 nsslapd-backend 属性中设置多个数据库时，您必须设置此属性。

有关自定义分发功能的详情，请参阅 Directory Server Administration Guide 中的对应部分。

Expand

参数	描述
条目 DN	cn=suffix_DN,cn=mapping tree,cn=config
有效值	任何有效的分发插件
默认值
语法	DirectoryString
示例	nsslapd-distribution-plugin: /path/to/shared/library

3.1.7.5. nsslapd-parent
复制链接

如果要创建子后缀，请使用 nsslapd-parent 属性来定义父后缀。

如果没有设置属性，则会创建新后缀作为 root 后缀。

Expand

参数	描述
条目 DN	cn=suffix_DN,cn=mapping tree,cn=config
有效值	任何有效的分区名称
默认值
语法	DirectoryString
示例	nsslapd-parent-suffix: dc=example,dc=com

3.1.7.6. nsslapd-referral
复制链接

此属性将引用的 LDAP URL 设置为由后缀返回。您可以多次添加 nssldap-referral 属性来设置多个引用 URL。

如果将 nsslapd-state 参数设置为 引用 或更新时，您必须设置此属性。

Expand

参数	描述
条目 DN	cn=suffix_DN,cn=mapping tree,cn=config
有效值	任何有效的 LDAP URL
默认值
语法	DirectoryString
示例	nssldap-referral: ldap://example.com/

3.1.7.7. nsslapd-state
复制链接

此参数决定后缀处理操作的方式。属性采用以下值：

后端 ：后端数据库处理所有操作。
disabled ：数据库不适用于处理操作。服务器会返回 No such search object error，以响应客户端应用程序发出的请求。
引用 ：目录服务器返回给此后缀的请求的引用 URL。
更新引用 ：数据库用于所有操作。仅针对更新请求是发送的引用。

Expand

参数	描述
条目 DN	cn=suffix_DN,cn=mapping tree,cn=config
有效值	后端 \| 禁用 \| 引用 \| 更新引用
默认值	后端
语法	DirectoryString
示例	nsslapd-state: backend

3.1.8. cn=replica,cn=suffixDN,cn=mapping tree,cn=config 下的复制属性
复制链接

复制配置属性存储在 cn=replica,cn=后缀,cn=mapping tree,cn=config 下。cn=replica 条目是 nsDS5Replica 对象类的实例。对于服务器要考虑的复制配置属性，该条目中必须存在此对象类（除 顶级 对象类除外）。有关复制的更多信息，请参阅 红帽目录服务器管理指南中的"管理复制"一章。

cn=replica,cn=后缀,cn=mapping tree,cn=config 条目必须包含以下对象类：

top
extensibleObject
nsds5replica

3.1.8.1. cn
复制链接

为副本设置 naming 属性。cn 属性必须设置为 replica。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	该值必须设置为 `replica`。
默认值	replica
语法	DirectoryString
示例	cn=replica

3.1.8.2. nsds5DebugReplicaTimeout
复制链接

此属性提供一个替代的超时时间，以便在使用 debug 日志记录运行时使用。这只能设置时间和 debug 级别：

nsds5debugreplicatimeout: seconds[:debuglevel]

nsds5debugreplicatimeout: seconds[:debuglevel]

Copy to Clipboard

Toggle word wrap

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何数字字符串
默认值
语法	DirectoryString
示例	nsds5debugreplicatimeout: 60:8192

3.1.8.3. nsDS5Flags
复制链接

此属性设置之前在标志中定义的副本属性。目前只有一个标记，它会设置日志更改。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	0 \| 1 * 0 ：副本不会写入更改日志 ; 这是消费者的默认值。 * 1：副本写入更改日志；这是 hub 和供应商的默认值。
默认值	0
语法	整数
示例	nsDS5Flags: 0

3.1.8.4. nsDS5ReplConflict
复制链接

虽然此属性不在 cn=replica 条目中，但它与复制结合使用。这个多值属性包含在具有更改冲突的条目中，这些冲突无法被同步过程自动解析。要检查需要管理员干预的复制冲突，请执行 LDAP 搜索(nsDS5ReplConflictswig)。例如：

ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID

# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID

Copy to Clipboard

Toggle word wrap

使用搜索过滤器 " (objectclass=nsTombstone) " 还会显示 tombstone (deleted)条目。nsDS5ReplConflict 的值包含有关哪些条目处于冲突的更多信息，通常是通过其 nsUniqueID 引用它们。可以通过其 nsUniqueID 搜索 tombstone 条目。例如：

ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"

# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"

Copy to Clipboard

Toggle word wrap

3.1.8.5. nsDS5ReplicaAutoReferral
复制链接

此属性设置目录服务器是否遵循为数据库配置了引用。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	on \| off
默认值
语法	DirectoryString
示例	nsDS5ReplicaAutoReferral: on

3.1.8.6. nsState
复制链接

此属性将信息存储在时钟的状态上。它仅用于内部使用，以确保服务器无法为检测向后兼容性错误所需的更改序列号(csn)产生更改序列号(csn)。

3.1.8.7. nsDS5ReplicaAbortCleanRUV
复制链接

这个 read-only 属性指定在过时的或缺失的供应商被中止的后台任务。有关此任务的更多信息，请参阅第 3.1.16.13 节 “cn=abort cleanallruv”。0 表示任务处于不活跃状态，值为 1 表示该任务处于活动状态。

存在此属性，允许在服务器重启后恢复 abort 任务。任务完成后，属性将被删除。

如果手动设置这个值，服务器会忽略修改请求。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	0 \| 1
默认值	无
语法	整数
示例	nsDS5ReplicaAbortCleanRUV: 1

3.1.8.8. nsds5ReplicaBackoffMin 和 nsds5ReplicaBackoffMax
复制链接

这些属性用于具有大量复制流量的环境中，需要尽可能快地发送更新。

默认情况下，如果远程副本忙碌，复制协议将进入"避退"状态，它将重试，以在 back-off 计时器的下一个间隔中发送更新。默认情况下，计时器从 3 秒开始，最长等待时间为 5 分钟。因为这些默认设置在某些情况下可能还不够，所以您可以使用 nsds5ReplicaBackoffMin 和 nsds5ReplicaBackoffMax 来配置最小和最大等待时间。

配置设置可以在服务器在线时应用，不需要重新启动服务器。如果使用无效的设置，则使用默认值。必须通过 CLI 工具处理配置。

3.1.8.9. nsDS5ReplicaBindDN
复制链接

此多值属性指定绑定时要使用的 DN。虽然此 cn=replica 条目中可以有多个值，但每个复制协议只能有一个供应商绑定 DN。每个值都应该是消费者服务器上本地条目的 DN。如果复制供应商使用基于客户端证书的身份验证来连接到消费者，请在消费者上配置证书映射，将证书中的 subjectDN 映射到本地条目。

重要

为安全起见，请不要将此属性设置为 cn=Directory Manager。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的 DN
默认值
语法	DirectoryString
示例	nsDS5ReplicaBindDN: cn=replication manager,cn=config

3.1.8.10. nsDS5ReplicaBindDNGroup
复制链接

nsDS5ReplicaBindDNGroup 属性指定组 DN。然后，此组会扩展，其成员（包括其子组的成员）会在启动时或修改副本对象时添加到 replicaBindDNs 属性中。这会扩展 nsDS5ReplicaBindDN 属性提供的当前功能，因为它允许设置组 DN。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的组 DN
默认值
语法	DirectoryString
示例	nsDS5ReplicaBindDNGroup: cn=sample_group,ou=groups,dc=example,dc=com

3.1.8.11. nsDS5ReplicaBindDNGroupCheckInterval
复制链接

目录服务器检查 nsDS5ReplicaBindDNGroup 属性中指定的组中的任何更改，并相应地自动重建 replicaBindDN 参数的列表。这些操作对性能有负面影响，因此仅在 nsDS5ReplicaBindDNGroupCheckInterval 属性中设置的指定间隔执行。

此属性接受以下值：

-1 ：在运行时禁用动态检查。当 nsDS5ReplicaBindDNGroup 属性发生变化时，管理员必须重启实例。
0 ：目录服务器会在组更改后立即重建列表。
任何正 32 位整数值：自上次重新构建以来需要经过的最小秒数。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	-1 最多 32 位整数(2147483647)
默认值	-1
语法	整数
示例	nsDS5ReplicaBindDNGroupCheckInterval: 0

3.1.8.12. nsDS5ReplicaChangeCount
复制链接

此 read-only 属性显示更改日志中的条目总数，以及它们是否仍然被复制。当更改被清除后，只有仍要复制的条目才会保留。

有关清除操作属性的更多信息，请参阅第 3.1.8.18 节 “nsDS5ReplicaPurgeDelay” 和第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	-1 最多 32 位整数(2147483647)
默认值
语法	整数
示例	nsDS5ReplicaChangeCount: 675

3.1.8.13. nsDS5ReplicaCleanRUV
复制链接

此 read-only 属性指定为过时或缺失的供应商是否活跃删除旧 RUV 条目的后台任务。有关此任务的更多信息，请参阅第 3.1.16.12 节 “cn=cleanallruv”。0 表示任务处于不活跃状态，值为 1 表示该任务处于活动状态。

存在此属性，允许在服务器重启后恢复清理任务。任务完成后，属性将被删除。

如果手动设置这个值，服务器会忽略修改请求。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	0 \| 1
默认值	无
语法	整数
示例	nsDS5ReplicaCleanRUV: 0

3.1.8.14. nsDS5ReplicaId
复制链接

此属性为给定复制环境中的供应商设置唯一 ID。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	对于供应商： `1` 到 `65534` 对于消费者和 hub：655 `35`
默认值
语法	整数
示例	nsDS5ReplicaId: 1

3.1.8.15. nsDS5ReplicaLegacyConsumer
复制链接

如果此属性不存在或者值为 false，这表示副本不是旧的消费者。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	true \| false
默认值	false
语法	DirectoryString
示例	nsDS5ReplicaLegacyConsumer: false

3.1.8.16. nsDS5ReplicaName
复制链接

此属性指定副本的名称，并带有内部操作的唯一标识符。如果没有指定，则在创建副本时服务器会分配这个唯一标识符。

注意

建议允许服务器生成此名称。然而，在某些情况下，例如在副本角色更改（与 hub 等等）中，需要指定这个值。否则，服务器将不会使用正确的 changelog 数据库，复制会失败。

此属性仅用于内部使用。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值
默认值
语法	DirectoryString (UID 标识副本)
示例	nsDS5ReplicaName: 66a2b699-1dd211b2-807fa9c3-a58714648

3.1.8.17. nsds5ReplicaProtocolTimeout
复制链接

当停止服务器、禁用复制或删除复制协议时，在服务器处于负载时，在停止复制前需要等待的时间。nsds5ReplicaProtocolTimeout 属性可用于配置此超时，其默认值为 120 秒。

有些情况下，超时时间太长，或者不够长。例如，在关闭期间结束复制会话前，特定的复制协议可能需要更长的时间。

此属性可以添加到后端的主复制配置条目中：

Expand

参数	描述
条目 DN	cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config
有效范围	0 到最大 32 位整数(2147483647) （以秒为单位）
默认值	120
语法	整数
示例	nsds5ReplicaProtocolTimeout: 120

nsds5ReplicaProtocolTimeout 属性也可以添加到复制协议中。复制协议协议超时覆盖主副本配置条目中设置的超时。这允许不同复制协议的不同超时。如果复制会话正在进行，新的超时将中止该会话并允许服务器关闭。

3.1.8.18. nsDS5ReplicaPurgeDelay
复制链接

此属性控制已删除条目(tombstone 条目)和状态信息的最长期限。

目录服务器存储 tombstone 条目和状态信息，以便在多层次复制过程中发生冲突时，服务器会根据更改序列号中存储的时间戳和副本 ID 解决冲突。

内部目录服务器内务处理操作定期删除超过此属性值的 tombstone 条目（以秒为单位）。当修改包含状态信息的条目时，会删除超过 nsDS5ReplicaPurgeDelay 值的状态信息。

并非所有 tombstone 和状态信息可能会被删除，因为使用多层次复制，服务器可能需要保留少量的最新更新，即使它们比属性值旧。

此属性指定对条目执行内部清除操作的时间间隔（以秒为单位）。在设置此属性时，请确保清除延迟比复制策略中最长复制周期长，以保留足够信息来解决复制冲突，并防止存储在不同服务器中的数据副本进行分割。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	0 （永久保留）最大 32 位整数(2147483647)
默认值	604800 [1 week (60x60x24x7)]
语法	整数
示例	nsDS5ReplicaPurgeDelay: 604800

3.1.8.19. nsDS5ReplicaReapActive
复制链接

此 read-only 属性指定从数据库中删除旧 tombstones （删除条目）的后台任务是否活跃。有关此任务的更多信息，请参阅第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。0 表示任务处于不活跃状态，值为 1 表示该任务处于活动状态。如果手动设置这个值，服务器会忽略修改请求。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	0 \| 1
默认值
语法	整数
示例	nsDS5ReplicaReapActive: 0

3.1.8.20. nsDS5ReplicaReferral
复制链接

此多值属性指定用户定义的引用。这应该只在消费者上定义。只有在客户端试图修改只读消费者上的数据时，才会返回用户引用。此可选引用覆盖由消费者由复制协议自动配置的引用。

URL 可以使用 ldap[s]://host_name:port_number 或 ldap[s]://IP_address:port_number，其格式为 IPv4 或 IPv6 地址。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的 LDAP URL
默认值
语法	DirectoryString
示例	nsDS5ReplicaReferral: ldap://server.example.com:389

3.1.8.21. nsDS5ReplicaReleaseTimeout
复制链接

此属性在多层次场景中用于供应商和 hub 时，决定供应商发布副本后的超时时间（以秒为单位）。当如网络连接缓慢的问题导致一个供应商获取对副本的访问并长时间保存它时，这非常有用，从而导致所有其他供应商访问它并发送更新。如果设置了此属性，则供应商会在指定周期后发布副本，从而提高了复制性能。

将此属性设置为 0 可禁用超时。任何其它值都决定超时的长度（以秒为单位）。

重要

避免将此属性设置为 1 到 30 之间的值。在大多数情况下，简短的超时会降低复制性能。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	0 到最大 32 位整数(2147483647) （以秒为单位）
默认值	60
语法	整数
示例	nsDS5ReplicaReleaseTimeout: 60

3.1.8.22. nsDS5ReplicaRoot
复制链接

此属性在复制区域的根目录中设置 DN。此属性必须具有与要复制的数据库的后缀相同的值，且无法修改。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	要复制的数据库的后缀，即后缀 DN
默认值
语法	DirectoryString
示例	nsDS5ReplicaRoot: "dc=example,dc=com"

3.1.8.23. nsDS5ReplicaTombstonePurgeInterval
复制链接

此属性指定清除操作周期之间的时间间隔（以秒为单位）。

服务器定期运行内部内务操作，从更改日志和主数据库中清除旧的更新和状态信息。请参阅第 3.1.8.18 节 “nsDS5ReplicaPurgeDelay”。

在设置此属性时，请记住清除操作非常耗时，特别是当服务器处理来自客户端和供应商的许多删除操作时。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	0 到最大 32 位整数(2147483647) （以秒为单位）
默认值	86400 (1 天)
语法	整数
示例	nsDS5ReplicaTombstonePurgeInterval: 86400

3.1.8.24. nsDS5ReplicaType
复制链接

定义此副本和其它副本之间存在的复制关系类型。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	0 \| 1 \| 2 \| 3 * 0 表示未知 * 1 表示主（尚未使用） * 2 表示消费者（只读） * 3 consumer/supplier (updateable)
默认值
语法	整数
示例	nsDS5ReplicaType: 2

3.1.8.25. nsds5Task
复制链接

此属性启动一个复制任务，如将数据库内容转储到 LDIF 文件或从复制拓扑中删除过时的供应商。

您可以将 nsds5Task 属性设置为以下值之一：

cl2ldif: 将更改日志导出到 /var/lib/dirsrv/slapd-instance_name/changelogdb/ 目录中的 LDIF 文件。
ldif2cl ：从存储在 /var/lib/dirsrv/slapd-instance_name/changelogdb/ 目录中的 LDIF 文件中导入 changelog。
cleanruv: 从运行操作的供应商中删除 Replica Update Vector (RUV)。
cleanallruv: 从复制拓扑中的所有服务器中删除 RUV。

您不必重新启动服务器才能使此设置生效。

Expand

参数	描述
条目 DN	cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	* `cl2ldif` * `ldif2cl` * `cleanruv` * `cleanallruv`
默认值
语法	DirectoryString
示例	nsds5Task: cleanallruv

3.1.9. cn=ReplicationAgreementName,cn=replica,cn=suffixName,cn=mapping tree,cn=config 下的复制属性
复制链接

涉及复制协议的复制属性存储在 cn=ReplicationAgreementName,cn=replica,cn=suffixDN 下，cn=mapping tree,cn=config。cn=ReplicationAgreementName 条目是 nsDS5ReplicationAgreement 对象类的实例。复制协议仅在供应商副本上配置。

3.1.9.1. cn
复制链接

此属性用于命名。设置此属性后，将无法修改它。设置复制协议需要此属性。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的 `cn`
默认值
语法	DirectoryString
示例	cn: vendorAtoSupplierB

3.1.9.2. description
复制链接

自由格式复制协议的文本描述。可以修改此属性。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何字符串
默认值
语法	DirectoryString
示例	描述：服务器 A 和 Server B 之间的复制协议。

3.1.9.3. nsDS5ReplicaBindDN
复制链接

此属性设置在复制过程中绑定到消费者时使用的 DN。此属性的值必须与消费者副本的 cn=replica 中的值相同。如果使用基于证书的身份验证，则这可能为空，在这种情况下，所使用的 DN 是证书的主题 DN，并且消费者必须启用适当的客户端证书映射。也可以修改它。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的 DN （如果使用客户端证书，则可以为空）
默认值
语法	DirectoryString
示例	nsDS5ReplicaBindDN: cn=replication manager,cn=config

3.1.9.4. nsDS5ReplicaBindMethod
复制链接

此属性设置用于绑定到消费者服务器的服务器的方法。

nsDS5ReplicaBindMethod 支持以下值：

空或 SIMPLE ：服务器使用基于密码的身份验证。使用此绑定方法时，还要设置 nsds5ReplicaBindDN 和 nsds5ReplicaCredentials 参数，以提供用户名和密码。
SSLCLIENTAUTH ：启用供应商和消费者之间的基于证书的身份验证。为此，消费者服务器必须配置了一个证书映射，才能将供应商的证书映射到复制管理器条目。
SASL/GSSAPI ：使用 SASL 启用 Kerberos 身份验证。这要求供应商服务器具有 Kerberos keytab，并且消费者服务器配置为将供应商的 Kerberos 主体映射到复制管理器条目。
详情请查看 Red Hat Directory Server Administration Guide 中的以下部分：
- 关于 KDC 服务器和密钥选项卡
- 从控制台配置 SASL 身份映射
SASL/DIGEST-MD5 ：使用带有 DIGEST-MD5 机制的 SASL 启用基于密码的身份验证。使用此绑定方法时，还要设置 nsds5ReplicaBindDN 和 nsds5ReplicaCredentials 参数，以提供用户名和密码。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	SIMPLE \| SSLCLIENTAUTH \| SASL/GSSAPI \| SASL/DIGEST
默认值	SIMPLE
语法	DirectoryString
示例	nsDS5ReplicaBindMethod: SIMPLE

3.1.9.5. nsds5ReplicaBootstrapBindDN
复制链接

nsds5ReplicaBootstrapBindDN 参数设置 fall-back 绑定可分辨名称(DN)，当供应商因为 LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)或 LDAP_NO_SUCH_OBJECT (err=48)、LDAP_INAPPROPRIATE_AUTH (err=48) 或 LDAP_NO_SUCH_OBJECT (err=32) 错误而绑定消费者。

在这些情况下，目录服务器使用 nsds5ReplicaBootstrapBindDN,nsds5ReplicaBootstrapCredentials,nsds5ReplicaBootstrapBindMethod, 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也无法使用这些 bootstrap 设置建立连接，服务器将停止尝试连接。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的 DN
默认值
语法	DirectoryString
示例	nsds5ReplicaBootstrapBindDN: cn=replication manager,cn=config

3.1.9.6. nsds5ReplicaBootstrapBindMethod
复制链接

nsds5ReplicaBootstrapBindMethod 参数设置当供应商因为 LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48) 或 LDAP_NO_SUCH_OBJECT (err=32) 错误而用来绑定消费者的密码。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	SIMPLE \| SSLCLIENTAUTH \| SASL/GSSAPI \| SASL/DIGEST
默认值
语法	DirectoryString
示例	nsds5ReplicaBootstrapBindMethod: SIMPLE

3.1.9.7. nsds5ReplicaBootstrapCredentials
复制链接

nsds5ReplicaBootstrapCredentials 参数设置 fall-back 绑定可分辨名称(DN)的密码，当供应商因为 LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)或 LDAP_NO_SUCH_OBJECT (err=48)、LDAP_INAPPROPRIATE_AUTH (err=48) 或 LDAP_NO_SUCH_OBJECT (err=32) 错误而设置消费者的密码。

当您以明文形式设置参数时，目录服务器会自动使用 AES 逆转密码加密算法哈希密码。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的字符串。
默认值
语法	DirectoryString
示例	nsds5ReplicaBootstrapCredentials: password

3.1.9.8. nsds5ReplicaBootstrapTransportInfo
复制链接

nsds5ReplicaBootstrapTransportInfo 参数设置到连接的加密方法，以及从 Directory 服务器使用的副本设置在供应商因为 LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)或 LDAP_NO_SUCH_OBJECT (err=48)、LDAP_INAPPROPRIATE_AUTH (err=48) 或 LDAP_NO_SUCH_OBJECT (err =49)错误。

属性采用以下值：

TLS ：连接使用 StartTLS 命令来启动加密。
SSL ：连接使用带有 TLS 加密的 LDAPS。
LDAP ：连接没有加密。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	TLS \| SSL \| LDAP
默认值
语法	DirectoryString
示例	nsds5ReplicaBootstrapTransportInfo: SSL

3.1.9.9. nsDS5ReplicaBusyWaitTime
复制链接

此属性设定供应商在消费者发送一个忙碌响应后应等待的时间（以秒为单位），然后再进行另一个尝试获取访问权限。默认值为 3 (3)秒。如果将属性设置为负值，Directory 服务器会向客户端发送消息和 LDAP_UNWILLING_TO_PERFORM 错误代码。

nsDS5ReplicaBusyWaitTime 属性与 nsDS5ReplicaSessionPauseTime 属性一起工作。两个属性被设计，因此 nsDS5ReplicaSessionPauseTime 间隔至少会超过为 nsDS5ReplicaBusyWaitTime 指定的时间间隔。在之前的供应商可以重新访问消费者之前，等待的供应商可以更好地获得消费者访问权限。

使用 changetype:modify 和 replace 操作随时设置 nsDS5ReplicaBusyWaitTime 属性。如果已在进行中，这个更改会对下一次更新会话生效。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的整数
默认值	3
语法	整数
示例	nsDS5ReplicaBusyWaitTime: 3

3.1.9.10. nsDS5ReplicaChangesSentSinceStartup
复制链接

此 read-only 属性显示发送到此副本的更改数，自服务器启动以来。属性中的实际值存储为二进制 blob；在 Directory Server 控制台中，这个值是一个比例，格式为 replica_id:changes_sent/changes_skipped。例如，对于 100 个更改，replica 7 跳过了 100 个更改，其属性值在控制台中显示为 7:100/0。

在命令行中，属性值以二进制形式显示。例如：

nsds5replicaChangesSentSinceStartup:: MToxLzAg

nsds5replicaChangesSentSinceStartup:: MToxLzAg

Copy to Clipboard

Toggle word wrap

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	0 最多 32 位整数(2147483647)
默认值
语法	整数
示例	nsds5replicaChangesSentSinceStartup:: MToxLzAg

3.1.9.11. nsDS5ReplicaCredentials
复制链接

此属性设置 nsDS5ReplicaBindDN 属性中指定的绑定 DN 的凭证。目录服务器使用此密码连接到消费者。

以下示例显示了加密值，存储在 /etc/dirsrv/slapd-instance_name/dse.ldif 文件中，而不是实际密码。要设置值，请使用明文设置，如 nsDS5ReplicaCredentials: password。然后，目录服务器在存储值时使用 AES 递归密码加密模式的密码。

当您使用基于证书的身份验证时，此属性没有设置值。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的密码
默认值
语法	DirectoryString {AES-Base64-algorithm-id}encoded_password
示例	nsDS5ReplicaCredentials: {AES-TUhNR0NT…}VoglUB8G5A…

3.1.9.12. nsds5ReplicaEnabled
复制链接

此属性设置复制协议是否活跃，这意味着每个协议是否发生复制。默认为 on，因此启用了复制。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nsds5ReplicaEnabled: off

3.1.9.13. nsds5ReplicaFlowControlPause
复制链接

此参数在到达 nsds5ReplicaFlowControlWindow 参数中设置的条目数后，将时间（毫秒）设置为暂停。更新 nsds5ReplicaFlowControlWindow 和 nsds5ReplicaFlowControlPause 参数，以便您微调复制吞吐量。详情请查看第 3.1.9.14 节 “nsds5ReplicaFlowControlWindow”。

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config
有效值	0 到最大 64 位长
默认值	2000
语法	整数
示例	nsds5ReplicaFlowControlPause: 2000

3.1.9.14. nsds5ReplicaFlowControlWindow
复制链接

此属性设置供应商发送的最大条目数和更新，这些更新没有被消费者确认。达到限制后，供应商暂停 nsds5ReplicaFlowControlPause 参数中设置的时间的复制协议。更新 nsds5ReplicaFlowControlWindow 和 nsds5ReplicaFlowControlPause 参数，以便您微调复制吞吐量。

如果供应商发送条目和更新比消费者可以导入或更新的速度快，请更新此设置，并确认数据。在这种情况下，以下信息会在供应商的错误日志文件中记录：

Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy])
If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration

Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy])
If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration

Copy to Clipboard

Toggle word wrap

此设置不需要重新启动服务器来生效。

Expand

参数	描述
条目 DN	cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config
有效值	0 到最大 64 位长
默认值	1000
语法	整数
示例	nsds5ReplicaFlowControlWindow: 1000

3.1.9.15. nsDS5ReplicaHost
复制链接

此属性为包含消费者副本的远程服务器设置主机名。设置此属性后，将无法修改它。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的主机服务器名称
默认值
语法	DirectoryString
示例	nsDS5ReplicaHost: ldap2.example.com

3.1.9.16. nsDS5ReplicaLastInitEnd
复制链接

当初始化消费者副本时，这个可选、只读属性状态。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	yyyymmddHHMMSSZ 是打开连接的 Generalized Time 表单的日期/时间。此值提供了与 Greenwich Mean Time 相关的时间。小时被设置为 24 小时时钟。末尾的 `Z` 表示时间相对于 Greenwich Mean Time。
默认值
语法	GeneralizedTime
示例	nsDS5ReplicaLastInitEnd: 20200504121603Z

3.1.9.17. nsDS5ReplicaLastInitStart
复制链接

当初始化消费者副本时，这个可选、只读属性状态。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	yyyymmddHHMMSSZ 是打开连接的 Generalized Time 表单的日期/时间。此值提供了与 Greenwich Mean Time 相关的时间。小时被设置为 24 小时时钟。末尾的 `Z` 表示时间相对于 Greenwich Mean Time。
默认值
语法	GeneralizedTime
示例	nsDS5ReplicaLastInitStart: 20200503030405

3.1.9.18. nsDS5ReplicaLastInitStatus
复制链接

此可选，只读属性为消费者初始化提供状态。通常有一个数字代码，后面是一个简短字符串，说明其状态。零(0)表示成功。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	0 (consumer Initialization Succeeded)，后跟任何其他状态消息。
默认值
语法	字符串
示例	nsDS5ReplicaLastInitStatus: 0 Consumer Initialization Succeeded

3.1.9.19. nsDS5ReplicaLastUpdateEnd
复制链接

当最新的复制调度更新终止时，此 read-only 属性状态。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	yyyymmddHHMMSSZ 是打开连接的 Generalized Time 表单的日期/时间。此值提供了与 Greenwich Mean Time 相关的时间。小时被设置为 24 小时时钟。末尾的 `Z` 表示时间相对于 Greenwich Mean Time。
默认值
语法	GeneralizedTime
示例	nsDS5ReplicaLastUpdateEnd: 20200502175801Z

3.1.9.20. nsDS5ReplicaLastUpdateStart
复制链接

当最新的复制调度更新启动时，这个 read-only 属性状态。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	yyyymmddHHMMSSZ 是打开连接的 Generalized Time 表单的日期/时间。此值提供了与 Greenwich Mean Time 相关的时间。小时被设置为 24 小时时钟。末尾的 `Z` 表示时间相对于 Greenwich Mean Time。
默认值
语法	GeneralizedTime
示例	nsDS5ReplicaLastUpdateStart: 20200504122055Z

3.1.9.21. nsds5replicaLastUpdateStatus
复制链接

在每个复制协议的只读 nsds5replicaLastUpdateStatus 属性中，Directory 服务器会显示协议的最新状态。有关状态列表，请参阅附录 B, 复制协议状态。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	请参阅附录 B, 复制协议状态。
默认值
语法	DirectoryString
示例	nsds5replicaLastUpdateStatus: Error (0) Replica getting successfully: Incremental update successfully

3.1.9.22. nsDS5ReplicaPort
复制链接

此属性设置包含副本的远程服务器的端口号。设置此属性后，将无法修改它。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	包含副本的远程服务器的端口号
默认值
语法	整数
示例	nsDS5ReplicaPort:389

3.1.9.23. nsDS5ReplicaReapActive
复制链接

此 read-only 属性指定从数据库中删除旧 tombstones （删除条目）的后台任务是否活跃。有关此任务的更多信息，请参阅第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。值为零(0)表示该任务不活跃，值 1 表示该任务处于活动状态。如果手动设置这个值，服务器会忽略修改请求。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	0 \| 1
默认值
语法	整数
示例	nsDS5ReplicaReapActive: 0

3.1.9.24. nsDS5BeginReplicaRefresh
复制链接

初始化副本。此属性默认不存在。但是，如果添加此属性的值为 start，则服务器会初始化副本并删除属性值。要监控初始化过程的状态，请轮询此属性。初始化完成后，属性会从条目中删除，其他监控属性可用于详细状态查询。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	停止 \| start
默认值
语法	DirectoryString
示例	nsDS5BeginReplicaRefresh: start

3.1.9.25. nsDS5ReplicaRoot
复制链接

此属性在复制区域的根目录中设置 DN。此属性必须具有与要复制的数据库的后缀相同的值，且无法修改。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	要复制的数据库的后缀 - 与上面的 suffixDN 相同
默认值
语法	DirectoryString
示例	nsDS5ReplicaRoot: "dc=example,dc=com"

3.1.9.26. nsDS5ReplicaSessionPauseTime
复制链接

此属性设定供应商应在更新会话之间等待的时间（以秒为单位）。默认值为 0。如果将属性设置为负值，Directory 服务器会向客户端发送消息和 LDAP_UNWILLING_TO_PERFORM 错误代码。

nsDS5ReplicaSessionPauseTime 属性与 nsDS5ReplicaBusyWaitTime 属性一起工作。两个属性被设计，因此 nsDS5ReplicaSessionPauseTime 间隔至少会超过为 nsDS5ReplicaBusyWaitTime 指定的时间间隔。在之前的供应商可以重新访问消费者之前，等待的供应商可以更好地获得消费者访问权限。

如果指定了任何一个属性，但没有同时指定，则 nsDS5ReplicaSessionPauseTime 会自动设置为 1 秒超过 nsDS5ReplicaBusyWaitTime。
如果指定了这两个属性，但 nsDS5ReplicaSessionPauseTime 小于或等于 nsDS5ReplicaBusyWaitTime,nsDS5ReplicaSessionPauseTime 会自动设置为 1 秒超过 nsDS5ReplicaBusyWaitTime。

在设置值时，请确保 nsDS5ReplicaSessionPauseTime 间隔至少为 1 秒的时间超过 nsDS5ReplicaBusyWaitTime 指定的时间间隔。根据需要增加间隔，直到供应商之间有可接受的使用者访问分布。

使用 changetype:modify 和 replace 操作随时设置 nsDS5ReplicaSessionPauseTime 属性。如果已在进行中，这个更改会对下一次更新会话生效。

如果目录服务器必须自动重置 nsDS5ReplicaSessionPauseTime 的值，则该值只会在内部更改。更改对客户端不可见，它没有保存到配置文件中。在外部视角中，属性值显示为最初设置。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的整数
默认值	0
语法	整数
示例	nsDS5ReplicaSessionPauseTime: 0

3.1.9.27. nsds5ReplicaStripAttrs
复制链接

部分复制允许列出从复制更新中删除的属性(nsDS5ReplicatedAttributeList)。但是，对 exclude 属性的更改仍然会触发修改事件并生成空复制更新。

nsds5ReplicaStripAttrs 属性添加无法在空复制事件中发送的属性列表，并从更新序列中分离。这种逻辑上包括操作 attribtes，如 modifiersName。

如果复制事件 不为空，则会复制剥离的属性。只有事件为 emtpy 时，才会从更新中删除这些属性。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	任何支持的目录属性的空格分隔列表
默认值
语法	DirectoryString
示例	nsds5ReplicaStripAttrs: modifiersname modifytimestamp

3.1.9.28. nsDS5ReplicatedAttributeList
复制链接

此 allowed 属性指定 没有复制到 消费者服务器的任何属性。部分复制允许在缓慢的连接间复制数据库，或更少的安全消费者，同时仍然保护敏感信息。默认情况下，所有属性都会被复制，此属性不存在。有关部分复制的更多信息，请参阅 红帽目录服务器管理指南中的"管理复制"一章。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围
默认值
语法	DirectoryString
示例	nsDS5ReplicatedAttributeList: (objectclass swig)$ EXCLUDE accountlockout memberof

3.1.9.29. nsDS5ReplicatedAttributeListTotal
复制链接

此 allowed 属性指定在整体更新期间没有复制到消费者服务器的任何属性。

部分复制仅复制指定的属性。这提高了整体网络性能。但是，在有些情况下，管理员希望在增量更新过程中使用部分复制来限制某些属性，但允许整个更新过程中复制这些属性（或反过）。

默认情况下，所有属性都会被复制。nsDS5ReplicatedAttributeList 设置增量复制列表；如果只设置 nsDS5ReplicatedAttributeList，则此列表也适用于总更新。

nsDS5ReplicatedAttributeListTotal 将属性列表设置为只从总更新中排除。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围
默认值
语法	DirectoryString
示例	nsDS5ReplicatedAttributeListTotal: (objectclass swig)$ EXCLUDE accountlockout

3.1.9.30. nsDS5ReplicaTimeout
复制链接

此 allowed 属性指定出站 LDAP 操作在超时和失败时等待来自远程副本的响应的秒数。如果服务器在错误日志文件中写入 Warning: timed out waiting 消息，则增加此属性的值。

通过检查远程计算机上的访问日志，查找操作实际的时间，然后相应地设置 nsDS5ReplicaTimeout 属性以优化性能。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	0 到最大 32 位整数值(2147483647) （以秒为单位）
默认值	120
语法	整数
示例	nsDS5ReplicaTimeout: 120

3.1.9.31. nsDS5ReplicaTransportInfo
复制链接

此属性设定用于向副本和从副本传输数据的传输类型。设置后无法更改此属性。

属性采用以下值：

STARTTLS ：使用 StartTLS 命令连接使用加密。
LDAPS ：连接使用 TLS 加密。
LDAP ：连接使用未加密的 LDAP 协议。如果没有设置 nsDS5ReplicaTransportInfo 属性，也会使用这个值。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	STARTTLS \| LDAPS \| LDAP
默认值	absent
语法	DirectoryString
示例	nsDS5ReplicaTransportInfo: StartTLS

3.1.9.32. nsDS5ReplicaUpdateInProgress
复制链接

这个 read-only 属性显示复制更新是否在进行中。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	true \| false
默认值
语法	DirectoryString
示例	nsDS5ReplicaUpdateInProgress: true

3.1.9.33. nsDS5ReplicaUpdateSchedule
复制链接

此多值属性指定复制调度并可以被修改。对此属性所做的更改会立即生效。修改此值对于暂停复制并稍后恢复非常有用。例如，如果此值设为 0000-0001 0， 则这将使服务器停止发送此复制协议的更新。服务器将继续将它们存储，以便稍后重新显示。如果该值稍后更改为 0000-2359 0123456，这会使复制立即恢复并发送所有待处理的更改。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	以 XXXX-YYYY 0123456 的形式显示的时间调度，其中 XXXX 是起始小时，YYYY 为结束小时，数字 0123456 是以 Sunday 开始的星期几。
默认值	0000-2359 0123456 （所有时间）
语法	整数
示例	nsDS5ReplicaUpdateSchedule: 0000-2359 0123456

3.1.9.34. nsDS5ReplicaWaitForAsyncResults
复制链接

在复制环境中，nsDS5ReplicaWaitForAsyncResults 参数设置供应商在重新发送数据前等待消费者是否未就绪的时间（以毫秒为单位）。

请注意，如果您 将参数设置为 0，则使用默认值。

Expand

参数	描述
条目 DN	cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效范围	0 最多 32 位整数(2147483647)
默认值	100
语法	整数
示例	nsDS5ReplicaWaitForAsyncResults: 100

3.1.9.35. nsDS50ruv
复制链接

此属性存储从此复制协议的消费者读取的最后一个副本更新向量(RUV)。它始终存在，不得更改。

3.1.9.36. nsruvReplicaLastModified
复制链接

此属性包含修改副本中的条目并更新更改的最新时间。

3.1.9.37. nsds5ReplicaProtocolTimeout
复制链接

有些情况下，超时时间太长，或者不够长。例如，在关闭期间结束复制会话前，特定的复制协议可能需要更长的时间。

此属性可以添加到后端的主复制配置条目中：

Expand

参数	描述
条目 DN	cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config
有效范围	0 到最大 32 位整数(2147483647) （以秒为单位）
默认值	120
语法	整数
示例	nsds5ReplicaProtocolTimeout: 120

3.1.10. cn=syncAgreementName,cn=WindowsReplica,cn=suffixName,cn=mapping tree,cn=config 下的同步属性
复制链接

涉及同步协议的同步属性存储在 cn=syncAgreementName,cn=WindowsReplica,cn=suffixDN 下，cn=mapping tree,cn=config。cn=syncAgreementName 条目是 nsDSWindowsReplicationAgreement 对象类的实例。对于服务器要考虑的同步协议配置属性，该条目中必须存在此对象类（除 顶级 对象类除外）。只有在启用与 Windows Active Directory 服务器同步的数据库上配置同步协议。

Expand

表 3.6. 复制和同步协议共享的属性列表
cn	nsDS5ReplicaLastUpdateEnd
description	nsDS5ReplicaLastUpdateStart
nsDS5ReplicaBindDN (Windows 同步管理器 ID)	nsDS5ReplicaLastUpdateStatus
nsDS5ReplicaBindMethod	nsDS5ReplicaPort
nsDS5ReplicaBusyWaitTime	nsDS5ReplicaRoot
nsDS5ReplicaChangesSentSinceStartup	nsDS5ReplicaSessionPauseTime
nsDS5ReplicaCredentials (Windows 同步管理器密码)	nsDS5ReplicaTimeout
nsDS5ReplicaHost (Windows 主机)	nsDS5ReplicaTransportInfo
nsDS5ReplicaLastInitEnd	nsDS5ReplicaUpdateInProgress
nsDS5ReplicaLastInitStart	nsDS5ReplicaUpdateSchedule
nsDS5ReplicaLastInitStatus	nsDS50ruv
winSyncMoveAction	winSyncInterval
nsds5ReplicaStripAttrs

3.1.10.1. nsds7DirectoryReplicaSubtree
复制链接

正在同步的 Directory 服务器子树的后缀或 DN。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的后缀或子修复
默认值
语法	DirectoryString
示例	nsDS7DirectoryReplicaSubtree: ou=People,dc=example,dc=com

3.1.10.2. nsds7DirsyncCookie
复制链接

这个字符串由 Active Directory DirSync 创建，并在最后一次同步时提供 Active Directory 服务器的状态。旧 Cookie 随每个目录服务器更新一起发送到 Active Directory；与 Windows 目录数据一起返回一个新的 Cookie。这意味着仅检索自上次同步以来更改的条目。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何字符串
默认值
语法	DirectoryString
示例	nsDS7DirsyncCookie::khDKJFBZsjBDSCkjsdhIU74DJJVBXDhfvjmfvbhzxj

3.1.10.3. nsds7NewWinGroupSyncEnabled
复制链接

此属性通过在 Directory Server 上创建新组来设置在 Windows sync peer 中创建的新组是否可以自动同步。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	on \| off
默认值
语法	DirectoryString
示例	nsDS7NewWinGroupSyncEnabled: on

3.1.10.4. nsds7NewWinUserSyncEnabled
复制链接

此属性通过在 Directory 服务器上创建新条目来设置在 Windows sync peer 中创建的新条目是否被自动同步。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	on \| off
默认值
语法	DirectoryString
示例	nsDS7NewWinUserSyncEnabled: on

3.1.10.5. nsds7WindowsDomain
复制链接

此属性设置 Windows 同步对等所属的 Windows 域名。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的域名
默认值
语法	DirectoryString
示例	nsDS7WinndowsDomain: DOMAINWORLD

3.1.10.6. nsds7WindowsReplicaSubtree
复制链接

正在同步的 Windows 子树的后缀或 DN。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	任何有效的后缀或子suffix
默认值
语法	DirectoryString
示例	nsDS7WindowsReplicaSubtree: cn=Users,dc=domain,dc=com

3.1.10.7. oneWaySync
复制链接

此属性设置执行同步的方向。这可以从 Active Directory 服务器到 Directory 服务器，或者从 Directory 服务器到 Active Directory 服务器。

如果缺少此属性（默认），则同步协议是双向的，因此两个域中所做的更改都会同步。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	toWindows \| fromWindows \| null
默认值
语法	DirectoryString
示例	oneWaySync: fromWindows

3.1.10.8. winSyncInterval
复制链接

此属性设定 Directory 服务器轮询 Windows 同步对等点以查找 Active Directory 条目中的更改的频率（以秒为单位）。如果没有设置此条目，Directory 服务器每 5 (5)分钟检查 Windows 服务器，这意味着默认值为 300 (300 秒)。

如果目录搜索用时过长，则可以更快地将 Active Directory 更改写入目录服务器，或提高这个值。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	1 到最大 32 位整数值(2147483647)
默认值	300
语法	整数
示例	winSyncInterval: 600

3.1.10.9. winSyncMoveAction
复制链接

同步进程从根 DN 开始，以开始评估条目以进行同步。条目会根据 Active Directory 中的 samAccount 和 Directory Server 中的 uid 属性关联。如果因为已删除或移动条目，则同步插件备注（基于 samAccount/uid 关系）已从同步子树中删除，然后同步插件会识别条目不再同步。

同步协议的 winSyncMoveAction 属性设置如何处理这些移动条目的说明：

none 不执行任何操作，因此如果同步的目录服务器条目存在，它可能会同步到或创建范围中的 Active Directory 条目。如果没有同步目录服务器条目，则根本不会发生任何同步的 Directory Server 条目（这是默认行为）。
Un sync 从 Directory Server 条目中删除任何与同步相关的属性(ntUser 或 ntGroup)，否则保留 Directory Server 条目。Active Directory 和 Directory Server 条目存在于 tandem 中。
重要
当未同步条目时，可能会在以后的版本中删除 Active Directory 条目，并且 Directory Server 条目将保持不变。这可能会造成数据不一致的问题，特别是当 Directory Server 条目稍后用于在 Active Directory 一侧重新创建条目时。
Delete 删除 Directory Server 端上的对应条目，无论它是否与 Active Directory 同步（这是 9.0 中的默认行为）。
重要
您几乎不需要在不删除对应的 Active Directory 条目的情况下删除目录服务器条目。这个选项仅适用于与 Directory Server 9.0 系统兼容。

Expand

参数	描述
条目 DN	cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config
有效值	none \| delete \| unsync
默认值	none
语法	DirectoryString
示例	winSyncMoveAction: unsync

3.1.11. cn=monitor
复制链接

用于监控服务器的信息存储在 cn=monitor 下。此条目及其子项是只读的；客户端无法直接修改它们。服务器会自动更新此信息。本节描述了 cn=monitor 属性。用户可设置访问控制的唯一属性是 aci 属性。

如果 cn=config 中的 nsslapd-counters 属性设置为 on （默认设置），则 Directory Server 实例使用 64 位整数保留的所有计数器都会使用 64 位整数递增，即使在 32 位机器上或 32 位目录服务器版本中也是如此。对于 cn=monitor 条目，64 位整数与 opsinitiated,opscompleted,entriessent, 和 bytessent 计数器一起使用。

注意

nsslapd-counters 属性启用对这些特定数据库和服务器计数器的 64 位支持。使用 64 位整数的计数器不可配置；对于所有允许的计数器，可启用 64 位整数，或为所有允许的计数器禁用 64 位整数。

连接

此属性列出开放连接和相关状态以及与性能相关的信息和值。它们采用以下格式提供：

connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address

connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address

Copy to Clipboard

Toggle word wrap

例如：

connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1

connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1

Copy to Clipboard

Toggle word wrap

A 是连接号，它是与此连接关联的连接表中的插槽数。这是在打开此连接时作为 slot=A 在访问日志消息中记录的数量，通常对应于与连接关联的文件描述符。属性 dTableSize 显示连接表的总大小。
yyyymmddHHMMSSZ 是连接打开的 GeneralizedTime 表单的日期和时间。此值提供了与 Greenwich Mean Time 相关的时间。
b 是此连接上收到的操作数量。
c 是已完成的操作的数量。
如果服务器 正在从网络读取 BER，则 d 为 r，否则为空。这个值通常为空（如示例中）。
因此，这是绑定 DN。对于匿名连接，这可能为空，或者具有 NULLDN 的值。
f 是连接最大线程状态： 1 处于最大线程数，0 则不行。
g 是此线程达到最大线程值的次数。
H 是最大线程数尝试的操作数量。
我是作为 conn=connection_ID在日志中报告的连接 ID。
ip_address 是 LDAP 客户端的 IP 地址。

注意

正常和已完成的操作的 b 和 C 应该最好相等。

currentConnections

此属性显示当前打开和活跃目录服务器连接的数量。

totalConnections

此属性显示目录服务器连接的总数。这个数字包括自上次启动服务器后打开和关闭的连接，除了 currentConnections 外。

dTableSize

此属性显示 Directory Server 连接表的大小。每个连接都与此表中的一个插槽关联，通常对应于此连接使用的文件描述符。请参阅第 3.1.1.62 节 “nsslapd-conntablesize” 了解更多信息。

readWaiters

此属性显示某些请求待处理且目前由目录服务器中的线程提供服务的连接数量。

opsInitiated

此属性显示发起的 Directory 服务器操作数量。

opsCompleted

此属性显示已完成的目录服务器操作数量。

entriesSent

此属性显示 Directory Server 发送的条目数。

bytesSent

此属性显示 Directory Server 发送的字节数。

currentTime

此属性显示当前的时间，在 Greenwich Mean Time 中（由 GeneralizedTime 语法 Z 表示法表示表示），例如 20200202131102Z。

startTime

此属性显示 Greenwich Mean Time 中给出的目录服务器开始时间，由 generalizedTime 语法 Z 表示法表示。例如, 20200202131102Z。

version

此属性显示 Directory Server vendor、version 和 build 号。例如： Red Hat/11.3.1 B2020.274.08。

threads

此属性显示 Directory 服务器使用的线程数量。这应该与 cn=config 中的 nsslapd-threadnumber 对应。

nbackEnds

此属性显示 Directory Server 数据库后端的数量。

backendMonitorDN

此属性显示每个目录服务器数据库后端的 DN。有关监控数据库的详情，请查看以下部分：

3.1.12. cn=replication
复制链接

此条目没有属性。在配置传统复制时，这些条目存储在此 cn=replication node 下，后者充当占位符。

3.1.13. cn=sasl
复制链接

包含 SASL 映射配置的条目存储在 cn=mapping,cn=sasl,cn=config 下。cn=sasl 条目是 nsContainer 对象类的实例。在每个映射下，它都是 nsSaslMapping 对象类的实例。

3.1.13.1. nsSaslMapBaseDNTemplate
复制链接

此属性包含 SASL 身份映射中使用的搜索基本 DN 模板。

Expand

参数	描述
条目 DN	cn=mapping_name,cn=mapping,cn=sasl,cn=config
有效值	任何有效的 DN
默认值
语法	IA5String
示例	nsSaslMapBaseDNTemplate: ou=People,dc=example,dc=com

3.1.13.2. nsSaslMapFilterTemplate
复制链接

此属性包含 SASL 身份映射中使用的搜索过滤器模板。

Expand

参数	描述
条目 DN	cn=mapping_name,cn=mapping,cn=sasl,cn=config
有效值	任何字符串
默认值
语法	IA5String
示例	nsSaslMapFilterTemplate: (cn=\1)

3.1.13.3. nsSaslMapPriority
复制链接

目录服务器允许您设置多个简单身份验证和安全层(SASL)映射。如果 nsslapd-sasl-mapping-fallback 参数启用了 SASL 回退，您可以设置 nsSaslMapPriority 属性来优先选择单个 SASL 映射。

此设置不需要服务器重启来生效。

Expand

参数	描述
条目 DN	cn=mapping_name,cn=mapping,cn=sasl,cn=config
有效值	1 （最高优先级）- 100 （最低优先级）
默认值	100
语法	整数
示例	nsSaslMapPriority: 100

3.1.13.4. nsSaslMapRegexString
复制链接

此属性包含用于映射 SASL 身份字符串的正则表达式。

Expand

参数	描述
条目 DN	cn=mapping_name,cn=mapping,cn=sasl,cn=config
有效值	任何有效的正则表达式
默认值
语法	IA5String
示例	nsSaslMapRegexString: $.*$

3.1.14. cn=SNMP
复制链接

SNMP 配置属性存储在 cn=SNMP,cn=config 下。cn=SNMP 条目是 nsSNMP 对象类的实例。

3.1.14.1. nssnmpenabled
复制链接

此属性设置是否启用了 SNMP。

Expand

参数	描述
条目 DN	cn=SNMP,cn=config
有效值	on \| off
默认值	on
语法	DirectoryString
示例	nssnmpenabled: off

3.1.14.2. nssnmporganization
复制链接

此属性设置 Directory 服务器所属的机构。

Expand

参数	描述
条目 DN	cn=SNMP,cn=config
有效值	机构名称
默认值
语法	DirectoryString
示例	nssnmporganization：Red Hat, Inc.

3.1.14.3. nssnmplocation
复制链接

此属性设置目录服务器所在的公司或机构中的位置。

Expand

参数	描述
条目 DN	cn=SNMP,cn=config
有效值	位置
默认值
语法	DirectoryString
示例	nssnmplocation: B14

3.1.14.4. nssnmpcontact
复制链接

此属性设定负责维护目录服务器的人员的电子邮件地址。

Expand

参数	描述
条目 DN	cn=SNMP,cn=config
有效值	联系电子邮件地址
默认值
语法	DirectoryString
示例	nssnmpcontact: jerome@example.com

3.1.14.5. nssnmpdescription
复制链接

提供目录服务器实例的唯一描述。

Expand

参数	描述
条目 DN	cn=SNMP,cn=config
有效值	描述
默认值
语法	DirectoryString
示例	nssnmpdescription: Employee 目录实例

3.1.14.6. nssnmpmasterhost
复制链接

nssnmpmasterhost 已被弃用。此属性在引入 net-snmp 时已弃用。属性仍然会出现在 dse.ldif 中，但没有默认值。

Expand

参数	描述
条目 DN	cn=SNMP,cn=config
有效值	机器主机名或 localhost
默认值	<blank>
语法	DirectoryString
示例	nssnmpmasterhost: localhost

3.1.14.7. nssnmpmasterport
复制链接

随着 net-snmp 的引入，nssnmpmaster port 属性已弃用。属性仍然会出现在 dse.ldif 中，但没有默认值。

Expand

参数	描述
条目 DN	cn=SNMP,cn=config
有效值	操作系统依赖端口号。详情请查看操作系统文档。
默认值	<blank>
语法	整数
示例	nssnmpmasterport: 199

3.1.15. SNMP Statistic 属性
复制链接

表 3.7 “SNMP Statistic 属性” 包含只读属性，其中列出了 LDAP 和 SNMP 客户端可用的统计信息。除非另有说明，否则给定属性的值是服务器收到的请求数，或者服务器启动以来返回的结果。其中一些属性不可用于或不适用于 Directory 服务器，但 SNMP 客户端仍需要存在。

如果 cn=config 中的 nsslapd-counters 属性设置为 on （默认设置），则 Directory Server 实例使用 64 位整数保留的所有计数器都会使用 64 位整数递增，即使在 32 位机器上或 32 位目录服务器版本中也是如此。所有 SNMP 统计属性都使用 64 位整数（如果已配置）。

注意

nsslapd-counters 属性为这些特定数据库和服务器计数器启用 64 位整数。使用 64 位整数的计数器不可配置；对于所有允许的计数器，可启用 64 位整数，也可以禁用 64 位整数。

Expand

表 3.7. SNMP Statistic 属性
属性	描述
AnonymousBinds	这将显示匿名绑定请求的数量。
UnAuthBinds	这显示了未经身份验证的（匿名）绑定的数量。
SimpleAuthBinds	这显示了 LDAP 简单绑定请求的数量(DN 和密码)。
StrongAuthBinds	这显示了所有 SASL 机制的 LDAP SASL 绑定请求数量。
BindSecurityErrors	这显示了在绑定请求中给出无效密码的次数。
InOps	这将显示服务器收到的所有请求的总数。
ReadOps	未使用。这个值始终为 `0。`
CompareOps	这显示了 LDAP 比较请求的数量。
AddEntryOps	这显示了 LDAP 添加请求的数量。
RemoveEntryOps	这显示了 LDAP 删除请求的数量。
ModifyEntryOps	这显示了 LDAP 修改请求的数量。
ModifyRDNOps	这显示了 LDAP 修改 RDN (modrdn)请求的数量。
ListOps	未使用。这个值始终为 `0。`
SearchOps	这显示了 LDAP 搜索请求的数量。
OneLevelSearchOps	这显示了一级搜索操作的数量。
WholeSubtreeSearchOps	这将显示子树级搜索操作的数量。
引用	这显示了返回的 LDAP 引用的数量。
链	未使用。这个值始终为 `0。`
SecurityErrors	这显示了与安全相关的错误数量，如无效的密码、未知或无效的验证方法，或更强大的身份验证。
错误	这显示了返回的错误数量。
连接	这显示当前打开的连接数量。
ConnectionSeq	这显示了打开的连接总数，包括当前打开和关闭的连接。
BytesRecv	这显示了收到的字节数。
BytesSent	这显示了发送的字节数。
EntriesReturned	这将显示作为搜索结果返回的条目数。
ReferralsReturned	这提供了有关作为搜索结果返回的引用信息（继续参考）。
MasterEntries	未使用。这个值始终为 `0。`
CopyEntries	未使用。这个值始终为 `0。`
CacheEntries^[a]	如果服务器只有一个数据库后端，这是在条目缓存中缓存的条目数。如果服务器有多个数据库后端，则这个值为 `0，` 并查看每个数据库的 monitor 条目以了解更多信息。
CacheHits	如果服务器只有一个数据库后端，这是从条目缓存返回的条目数，而不是数据库返回的条目数，用于搜索结果。如果服务器有多个数据库后端，则这个值为 `0，` 并查看每个数据库的 monitor 条目以了解更多信息。
SlaveHits	未使用。这个值始终为 `0。`
^[a] `CacheEntries` 和 `CacheHits` 每十(10)秒更新。红帽强烈建议使用数据库后端特定的监控条目来获取此和其他数据库信息。

3.1.16. cn=tasks
复制链接

可使用 LDAP 工具编辑目录条目来启动一些核心目录服务器任务。这些任务条目包含在 cn=tasks 中。可以通过更新条目来调用每个任务，如下所示：

dn: cn=task_id,cn=task_type,cn=tasks,cn=config
...

dn: cn=task_id,cn=task_type,cn=tasks,cn=config
...

Copy to Clipboard

Toggle word wrap

在目录服务器 8.0 之前在 Red Hat Directory Server 部署中部署，许多目录服务器任务由管理服务器管理。这些任务被移到版本 8.0 中的核心目录服务器配置中，并由 cn=tasks 条目下的 Directory Server 调用和管理。

cn=tasks 条目下管理以下任务：

这些任务的常见属性列在第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中。

cn=tasks 条目本身没有属性，并充当单个任务条目的父和容器条目。

重要

任务条目不是永久配置条目。只要任务操作正在运行，或者直到 ttl 周期过期，则它们才会存在于配置文件中。然后，服务器会自动删除该条目。

3.1.16.1. cn=tasks 下的条目的任务调用属性
复制链接

五个管理目录服务器实例的任务具有启动和识别各个操作的配置条目。这些任务条目是同一对象类 extensibleObject 的实例，具有某些常见属性，用于描述 Directory Server 任务的状态和行为。任务类型可以是 import, export, backup, restore, index, schema reload, 和 memberof。

cn 属性标识要启动的新任务操作。cn 属性值可以是任意值，只要它定义了新任务。

Expand

参数	描述
条目 DN	cn=task_name,cn=task_type,cn=tasks,cn=config
有效值	任何字符串
默认值
语法	DirectoryString
示例	cn: 示例任务条目名称

nsTaskStatus

此属性包含有关任务状态（如累计统计或其当前输出消息）的信息。属性的整个内容可以定期更新，只要进程正在运行。

此属性值由服务器设置，不应编辑。

Expand

参数	描述
条目 DN	cn=task_name,cn=task_type,cn=tasks,cn=config
有效值	任何字符串
默认值
语法	case-exact 字符串
示例	nsTaskStatus: Loading entries….

nsTaskLog

此条目包含任务的所有日志消息，包括 warning 和 information 信息。新消息会附加到条目值的末尾，因此此属性值会增大，而不会默认清除原始内容。

成功任务操作（带有 nsTaskExitCode 为 0 ）只记录在 nsTaskLog 属性中。任何表示错误的非零响应（表示错误）可能会以错误的形式记录错误，但错误消息仅在 nsTaskLog 属性中记录。因此，使用 nsTaskLog 属性中的信息来查找实际发生的错误。

此属性值由服务器设置，不应编辑。

Expand

参数	描述
条目 DN	cn=task_name,cn=task_type,cn=tasks,cn=config
有效值	任何字符串
默认值
语法	case-exact 字符串
示例	nsTaskLog: example…

nsTaskExitCode

此属性包含任务的退出代码。此属性仅在任务完成后存在，只有任务完成后的任何值都有效。结果代码可以是第 7.4 节 “LDAP 结果码” 中列出的任意 LDAP 退出代码，但只有一个 0 值等于成功，任何其他结果代码都是错误。

此属性值由服务器设置，不应编辑。

Expand

参数	描述
条目 DN	cn=task_name,cn=task_type,cn=tasks,cn=config
有效值	0（成功）到 97^[a]
默认值
语法	整数
示例	nsTaskExitCode: 0
^[a] `0` 以外的任何响应都是错误。

nsTaskCurrentItem

此属性显示任务操作的子任务数量，假设任务可以被分为子任务。如果只有一个任务，则在任务运行时，nsTaskCurrentItem 为 0，任务完成后为 1。这样，属性与进度条类似。当 nsTaskCurrentItem 属性的值与 nsTaskTotalItems 相同时，该任务已完成。

此属性值由服务器设置，不应编辑。

Expand

参数	描述
条目 DN	cn=task_name,cn=task_type,cn=tasks,cn=config
有效值	0 到最大 32 位整数值(2147483647)
默认值
语法	整数
示例	nsTaskCurrentItem: 148

nsTaskTotalItems

此属性显示必须为任务操作完成的子任务总数。当 nsTaskCurrentItem 属性的值与 nsTaskTotalItems 相同时，任务已完成。

此属性值由服务器设置，不应编辑。

Expand

参数	描述
条目 DN	cn=task_name,cn=task_type,cn=tasks,cn=config
有效值	0 到最大 32 位整数值(2147483647)
默认值
语法	整数
示例	nsTaskTotalItems: 152

nsTaskCancel

此属性允许在进行过程中中止任务。此属性可以被用户修改。

Expand

参数	描述
条目 DN	cn=task_name,cn=task_type,cn=tasks,cn=config
有效值	true \| false
默认值
语法	不区分大小写的字符串
示例	nsTaskCancel: true

ttl

此属性设置任务条目在任务完成或中止后，任务条目将保留在 DSE 中的时间（以秒为单位）。设置 ttl 属性可让任务条目轮询新状态信息，而不会缺少退出代码。将 ttl 属性设置为 0 表示该条目不会被缓存。

Expand

参数	描述
条目 DN	cn=task_name,cn=task_type,cn=tasks,cn=config
有效值	0 （不可缓存）到最大 32 位整数值(2147483647)
默认值
语法	DirectoryString
示例	ttl: 120

3.1.16.2. cn=import
复制链接

可以通过命令行导入 LDIF 文件或多个 LDIF 文件，方法是创建一个特殊的任务条目来定义任务的参数并启动任务。任务完成后，任务条目也会从目录中删除。

cn=import 条目是一个用于导入任务操作的容器条目。cn=import 条目本身没有属性，但此条目中的每个任务条目（如 cn=task_ID,cn=import,cn=tasks,cn=config ）都使用以下属性来定义导入任务。

cn=import 下的导入任务条目必须包含 LDIF 文件才能导入（在 nsFilename 属性中），以及用于将文件导入到的实例的名称（在 nsInstance 属性中）。另外，它必须包含用于标识任务的唯一 cn。例如：

dn: cn=example import,cn=import,cn=tasks,cn=config
objectclass: extensibleObject
cn: example import
nsFilename: /home/files/example.ldif
nsInstance: userRoot

dn: cn=example import,cn=import,cn=tasks,cn=config
objectclass: extensibleObject
cn: example import
nsFilename: /home/files/example.ldif
nsInstance: userRoot

Copy to Clipboard

Toggle word wrap

当导入操作运行时，任务条目将包含第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。

有一些可选属性可用于优化导入操作，类似于 ldif2db 和 ldif2db.pl 脚本的选项：

nsIncludeSuffix，它类似于 the -s 选项，用于指定要导入的后缀
nsExcludeSuffix，与 the -x 选项类似，用于指定从导入中排除的后缀或子树
nsImportChunkSize与 the -c 选项类似，用于覆盖导入和合并块期间启动新传递
nsImportIndexAttrs，它设置是否导入属性索引（在脚本选项中没有合并）
nsUniqueIdGenerator与 the -g 选项类似，为条目生成唯一 ID 号
nsUniqueIdGeneratorNamespace与 the -G 选项类似，为条目生成唯一的、基于名称的 ID

nsFilename

nsFilename 属性包含要导入到目录服务器实例的 LDIF 文件的路径和文件名。要导入多个文件，请添加此属性的多个实例。例如：

nsFilename: file1.ldif
nsFilename: file2.ldif

nsFilename: file1.ldif
nsFilename: file2.ldif

Copy to Clipboard

Toggle word wrap

Expand

参数	描述
条目 DN	cn=task_name,cn=import,cn=tasks,cn=config
有效值	任何字符串
默认值
语法	case-exact 字符串，多值
示例	nsFilename: /home/jsmith/example.ldif

nsInstance

此属性提供将文件导入到的数据库实例的名称，如 userRoot 或 slapd-example。

Expand

参数	描述
条目 DN	cn=task_name,cn=import,cn=tasks,cn=config
有效值	Directory Server 实例数据库的名称（任意字符串）
默认值
语法	case-exact 字符串
示例	nsInstance: userRoot

nsIncludeSuffix

此属性标识要从 LDIF 文件导入的特定后缀或子树。

Expand

参数	描述
条目 DN	cn=task_name,cn=import,cn=tasks,cn=config
有效值	任何 DN
默认值
语法	DN, multi-valued
示例	nsIncludeSuffix: ou=people,dc=example,dc=com

nsExcludeSuffix

此属性标识从导入中排除的 LDIF 文件中的后缀或子树。

Expand

参数	描述
条目 DN	cn=task_name,cn=import,cn=tasks,cn=config
有效值	任何 DN
默认值
语法	DN, multi-valued
示例	nsExcludeSuffix: ou=machines,dc=example,dc=com

nsImportChunkSize

此属性定义导入操作过程中需要的块数量，它会在导入过程中覆盖服务器在启动新传递并合并块时的检测。

Expand

参数	描述
条目 DN	cn=task_name,cn=import,cn=tasks,cn=config
有效值	0 到最大 32 位整数值(2147483647)
默认值	0
语法	整数
示例	nsImportChunkSize: 10

nsImportIndexAttrs

此属性设置是否索引导入到数据库实例中的属性。

Expand

参数	描述
条目 DN	cn=task_name,cn=import,cn=tasks,cn=config
有效值	true \| false
默认值	true
语法	不区分大小写的字符串
示例	nsImportIndexAttrs: true

nsUniqueIdGenerator

这会设置是否为导入条目生成唯一 ID。默认情况下，此属性生成基于时间的 ID。

Expand

参数	描述
条目 DN	cn=task_name,cn=import,cn=tasks,cn=config
有效值	none （无唯一 ID）\| 空（基于时间的 ID）\| 确定命名空间（基于名称的 ID）
默认值	empty
语法	不区分大小写的字符串
示例	nsUniqueIdGenerator:

nsUniqueIdGeneratorNamespace

此属性定义如何生成基于名称的 ID；属性将命名空间设置为用于生成 ID。当条目需要具有相同的 ID 时，此选项可用于将同一 LDIF 文件导入到两个目录服务器实例中。

Expand

参数	描述
条目 DN	cn=task_name,cn=import,cn=tasks,cn=config
有效值	任何字符串
默认值
语法	不区分大小写的字符串
示例	nsUniqueIdGeneratorNamespace: example

3.1.16.3. cn=export
复制链接

可以通过命令行导出数据库或多个数据库，该条目定义任务的参数并启动任务。任务完成后，任务条目也会从目录中删除。

cn=export,cn=tasks,cn=config 条目是一个导出任务操作的容器。这些任务存储在此容器中，并命名为 cn=task_name,cn=export,cn=tasks,cn=config。

在导出操作运行时，任务条目包含第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。

您可以手动创建导出任务，或使用 db2ldif.pl 命令。下表显示了 db2ldif.pl 命令行选项及其对应的属性：

Expand

`db2ldif.pl` 选项	任务属性	描述
`-a`	`nsFilename`	设置导出的 LDIF 文件的路径。
`-C`	`nsUseId2Entry`	如果启用，则只使用主数据库文件。
`-M`	`nsUseOneFile`	如果启用，将输出存储在多个文件中。
`-n`	`nsInstance`	设置数据库名称。
`-N`	`nsPrintKey`	可让您阻止打印序列号。
`-r`	`nsExportReplica`	如果设置，导出将包含用于初始化副本的属性。
`-s`	`nsIncludeSuffix`	将导出文件中的后缀设置为包含。
`-u`	`nsDumpUniqId`	可让您导出唯一 ID。
`-U`	`nsNoWrap`	如果设置，则长行不会被嵌套。
`-x`	`nsExcludeSuffix`	将导出的文件中的后缀设置为 exclude。

nsFilename

nsFilename 属性包含 LDIF 文件的路径和文件名，以将目录服务器实例数据库导出到其中。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	任何字符串
默认值
语法	case-exact 字符串，多值
示例	nsFilename: /home/jsmith/example.ldif

nsInstance

此属性提供数据库实例的名称，从中导出数据库，如 userRoot 或 userRoot。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	Directory Server 实例的名称（任意字符串）
默认值
语法	case-exact 字符串，多值
示例	nsInstance: userRoot

nsIncludeSuffix

此属性标识要导出到 LDIF 文件的特定后缀或子树。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	任何 DN
默认值
语法	DN, multi-valued
示例	nsIncludeSuffix: ou=people,dc=example,dc=com

nsExcludeSuffix

此属性标识数据库中的后缀或子树，以便从导出的 LDIF 文件中排除。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	任何 DN
默认值
语法	DN, multi-valued
示例	nsExcludeSuffix: ou=machines,dc=example,dc=com

nsUseOneFile

此属性设置是否将所有目录服务器实例导出到单个 LDIF 文件或单独的 LDIF 文件中。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	true \| false
默认值	true
语法	不区分大小写的字符串
示例	nsUseOneFile: true

nsExportReplica

此属性标识导出的数据库是否在复制中使用。对于副本，正确的属性和设置将包含在条目中，以自动初始化副本。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	true \| false
默认值	false
语法	不区分大小写的字符串
示例	nsExportReplica: true

nsPrintKey

此属性设置是否打印条目 ID 号，因为该条目由导出任务处理。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	true \| false
默认值	true
语法	不区分大小写的字符串
示例	nsPrintKey: false

nsUseId2Entry

nsUseId2Entry 属性使用主数据库索引 id2entry 来定义导出的 LDIF 条目。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	true \| false
默认值	false
语法	不区分大小写的字符串
示例	nsUseId2Entry: true

nsNoWrap

此属性设置是否在 LDIF 文件中换行长行。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	true \| false
默认值	false
语法	不区分大小写的字符串
示例	nsNoWrap: false

nsDumpUniqId

此属性设置不会导出导出条目的唯一 ID。

Expand

参数	描述
条目 DN	cn=task_name,cn=export,cn=tasks,cn=config
有效值	true \| false
默认值	true
语法	不区分大小写的字符串
示例	nsDumpUniqId: true

3.1.16.4. cn=backup
复制链接

可以通过命令行备份数据库，方法是创建一个特殊的任务条目来定义任务的参数并启动任务。任务完成后，任务条目也会从目录中删除。

cn=backup 条目是用于备份任务操作的容器条目。cn=backup 条目本身没有属性，但此条目中的每个任务条目（如 cn=task_ID,cn=backup,cn=tasks,cn=config ）都使用以下属性来定义备份任务。

cn=backup 下的备份任务条目必须包含要复制归档副本的目录位置（在 nsArchiveDir 属性中），以及要备份的数据库的类型（在 nsDatabaseType 属性中）。另外，它必须包含用于标识任务的唯一 cn。例如：

dn: cn=example backup,cn=backup,cn=tasks,cn=config
objectclass: extensibleObject
cn: example backup
nsArchiveDir: /export/backups/
nsDatabaseType: ldbm database

dn: cn=example backup,cn=backup,cn=tasks,cn=config
objectclass: extensibleObject
cn: example backup
nsArchiveDir: /export/backups/
nsDatabaseType: ldbm database

Copy to Clipboard

Toggle word wrap

作为备份操作运行，任务条目将包含第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。

nsArchiveDir

此属性提供写入备份的目录位置。

此处的备份目录通常与 nsslapd-bakdir 属性中配置的目录相同。

如果 cn=backup 任务没有包括此属性，则任务将失败，并显示 LDAP 对象类违反错误(65)。

Expand

参数	描述
条目 DN	cn=task_name,cn=backup,cn=tasks,cn=config
有效值	任何本地目录位置
默认值
语法	case-exact 字符串
示例	nsArchiveDir: /export/backups

nsDatabaseType

此属性提供正在存档的数据库类型。设置数据库类型指出目录服务器应使用的备份插件来归档数据库。

Expand

参数	描述
条目 DN	cn=task_name,cn=backup,cn=tasks,cn=config
有效值	ldbm 数据库
默认值	ldbm 数据库
语法	case-exact 字符串
示例	nsDatabaseType: ldbm database

3.1.16.5. cn=restore
复制链接

可以通过命令行恢复数据库，方法是创建一个特殊的任务条目来定义任务的参数并启动任务。任务完成后，任务条目也会从目录中删除。

cn=restore 条目是用于恢复数据库的任务操作的容器条目。cn=restore 条目本身没有属性，但此条目中的每个任务条目（如 cn=task_ID,cn=restore,cn=tasks,cn=config ）都使用以下属性来定义恢复任务。

cn=restore 下的恢复任务条目必须包含从中检索存档副本的目录位置（在 nsArchiveDir 属性中）以及正在恢复的数据库的类型（在 nsDatabaseType 属性中）。另外，它必须包含用于标识任务的唯一 cn。例如：

dn: cn=example restore,cn=restore,cn=tasks,cn=config
objectclass: extensibleObject
cn: example restore
nsArchiveDir: /export/backups/
nsDatabaseType: ldbm database

dn: cn=example restore,cn=restore,cn=tasks,cn=config
objectclass: extensibleObject
cn: example restore
nsArchiveDir: /export/backups/
nsDatabaseType: ldbm database

Copy to Clipboard

Toggle word wrap

作为恢复操作运行，任务条目将包含第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。

nsArchiveDir

此属性提供写入备份的目录位置。

Expand

参数	描述
条目 DN	cn=task_name,cn=restore,cn=tasks,cn=config
有效值	任何本地目录位置
默认值
语法	case-exact 字符串
示例	nsArchiveDir: /export/backups

nsDatabaseType

此属性提供正在存档的数据库类型。设置数据库类型指出目录服务器应使用的备份插件来归档数据库。

Expand

参数	描述
条目 DN	cn=task_name,cn=restore,cn=tasks,cn=config
有效值	ldbm 数据库
默认值	ldbm 数据库
语法	case-exact 字符串
示例	nsDatabaseType: ldbm database

3.1.16.6. cn=index
复制链接

可通过命令行来索引目录属性：创建定义任务参数并启动该任务的特殊任务。任务完成后，任务条目将从目录中删除。

cn=index 条目是索引任务操作的容器条目。cn=index 条目本身没有属性，但此条目中的每个任务条目（如 cn=task_ID、cn=index、cn=tasks,cn=config ）使用以下属性来定义备份任务。

cn=index 下的索引任务条目可以通过标识要索引的属性以及要创建的索引类型来创建标准索引，它们都在 nsIndexAttribute 属性中定义。

另外，索引任务也可用于通过 nsIndexVLVAttribute 属性生成虚拟列表视图(VLV)索引。这与运行 vlvindex 脚本相同。

例如：

dn: cn=example presence index,cn=index,cn=tasks,cn=config
objectclass: top
objectclass: extensibleObject
cn: example presence index
nsInstance: userRoot
nsIndexAttribute: cn:pres

dn: cn=example VLV index,cn=index,cn=tasks,cn=config
objectclass: extensibleObject
cn: example VLV index
nsIndexVLVAttribute: "by MCC ou=people,dc=example,dc=com"

dn: cn=example presence index,cn=index,cn=tasks,cn=config
objectclass: top
objectclass: extensibleObject
cn: example presence index
nsInstance: userRoot
nsIndexAttribute: cn:pres

dn: cn=example VLV index,cn=index,cn=tasks,cn=config
objectclass: extensibleObject
cn: example VLV index
nsIndexVLVAttribute: "by MCC ou=people,dc=example,dc=com"

Copy to Clipboard

Toggle word wrap

随着索引操作运行，任务条目将包含第 3.1.16.1 节 “cn=tasks 下的条目的任务调用属性” 中列出的所有服务器生成的任务属性。

nsIndexAttribute

此属性提供要索引的属性名称和要应用的索引类型。属性值的格式是属性名称和以逗号分隔的索引类型列表，用双引号括起。例如：

nsIndexAttribute: attribute:index1,index2

nsIndexAttribute: attribute:index1,index2

Copy to Clipboard

Toggle word wrap

Expand

参数	描述
条目 DN	cn=task_name,cn=index,cn=tasks,cn=config
有效值	* 任何属性 * 索引类型，可以是 presence(presence)、`eq` (equality)、`approx` (approximate)和 `sub` (substring)
默认值
语法	不区分大小写的字符串，多值
示例	* nsIndexAttribute: cn:pres,eq * nsIndexAttribute: description:sub

nsIndexVLVAttribute

此属性提供 VLV 索引的目标条目的名称。虚拟列表视图基于浏览索引条目（如 管理指南中所述），它定义了虚拟列表基本 DN、范围和过滤器。nsIndexVLVAttribute 值是浏览索引条目，VLV 创建任务会根据浏览索引条目参数运行。

Expand

参数	描述
条目 DN	cn=task_name,cn=index,cn=tasks,cn=config
有效值	VLV 条目定义的子条目 RDN
默认值
语法	DirectoryString
示例	nsIndexVLVAttribute: "浏览索引排序标识符"

3.1.16.7. cn=schema reload 任务
复制链接

当目录实例启动或重启时，会加载目录模式。对目录架构的任何更改（包括添加自定义架构元素）不会自动加载并提供给实例，直到服务器重启或启动架构重新加载任务为止。

可以动态重新加载自定义架构更改，而无需重启 Directory 服务器实例。这可以通过在 cn=tasks 条目下创建新任务来发起模式重新加载任务。

自定义架构文件可以位于任何目录中；如果没有通过 schemadir 属性指定，服务器会从默认的 /etc/dirsrv/slapd-instance/schema 目录中重新载入 schema。

重要

从另一个目录加载的任何架构都必须复制到 schema 目录中，否则服务器将会丢失 schema。

schemd 重新加载任务由命令行启动，方法是创建一个特殊的任务条目来定义任务的参数并启动任务。任务完成后，任务条目也会从目录中删除。例如：

dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example schema reload
schemadir: /export/schema

dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example schema reload
schemadir: /export/schema

Copy to Clipboard

Toggle word wrap

cn=schema reload 任务 条目是 schema reload 操作的容器条目。cn=schema reload task 条目本身没有属性，但此条目中的每个任务条目（如 cn=task_ID,cn=schema 重新加载任务,cn=tasks,cn=config ）都使用 schema reload 属性来定义单个重新加载任务。

cn 属性标识要启动的新任务操作。cn 属性值可以是任意值，只要它定义了新任务。

Expand

参数	描述
条目 DN	cn=task_name,cn=schema reload task,cn=tasks,cn=config
有效值	任何字符串
默认值
语法	DirectoryString
示例	cn: reload 任务 ID 示例

schemadir

它包含到包含自定义 schema 文件的目录的完整路径。

Expand

参数	描述
条目 DN	cn=task_name,cn=schema reload task,cn=tasks,cn=config
有效值	任何本地目录路径
默认值	/etc/dirsrv/schema
语法	DirectoryString
示例	schemadir: /export/schema/

3.1.16.8. cn=memberof task
复制链接

memberOf 属性由 Directory 服务器自动创建和管理，以显示成员用户条目的组成员资格。当更改组条目上的 member 属性时，所有成员关联的目录条目都会使用对应的 memberOf 属性自动更新。

cn=memberof 任务 （以及相关的 fixup-memberof.pl 脚本）用于在目录中的成员用户条目上创建初始 memberOf 属性。创建 memberOf 属性后，MemberOf 插件会自动管理 memberOf 属性。

memberOf 更新任务必须提供条目或子树的 DN，以便针对（在 basedn 属性中设置）运行更新任务。（可选）任务可以包含过滤器来标识要更新的成员用户条目（在 filter 属性中设置）。例如：

dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example memberOf
basedn: ou=people,dc=example,dc=com
filter: (objectclass=groupofnames)

dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example memberOf
basedn: ou=people,dc=example,dc=com
filter: (objectclass=groupofnames)

Copy to Clipboard

Toggle word wrap

任务完成后，任务条目会从目录中移除。

cn=memberof 任务 条目是 memberOf 更新操作的容器条目。cn=memberof 任务 条目本身没有属性，但此条目下的每个任务条目（如 cn=task_ID,cn=memberof 任务,cn=tasks,cn=config ）使用其属性来定义单个更新任务。

basedn

此属性提供用于搜索用户条目以更新 memberOf 属性的基础 DN。

Expand

参数	描述
条目 DN	cn=task_name,cn=memberof task,cn=tasks,cn=config
有效值	任何 DN
默认值
语法	DN
示例	basedn: ou=people,dc=example,dc=com

filter

此属性提供可选的 LDAP 过滤器，用于选择哪个用户条目来更新 memberOf 属性。组的每个成员在目录中都有对应的用户条目。

Expand

参数	描述
条目 DN	cn=task_name,cn=memberof task,cn=tasks,cn=config
有效值	任何 LDAP 过滤器
默认值	(objectclass=*)
语法	DirectoryString
示例	过滤器：(l=Sunnyvale)

3.1.16.9. cn=fixup 链接的属性
复制链接

目录服务器具有 Linked Attributes Plug-in，它允许一个条目中设置的一个属性自动更新另一个条目中的另一个属性。两个条目都有值的 DN。第一个条目中的 DN 值指向要更新的插件的条目；第二个条目中的属性包含到第一个条目的 DN 后端器。

这与 MemberOf 插件使用组条目中的 member 属性在用户条目中设置 memberOf 属性的方式类似。使用链接的属性时，任何属性都可以定义为 "link"，然后另一个属性在受影响的条目中是"managed"。

cn=fixup 链接的属性 （以及相关的 fixup-linkedattrs.pl 脚本）会根据创建链接插件实例后，在数据库中已存在的链接属性创建受管属性。在设置了 linked 和 managed 属性后，Linked Attributes 插件会动态维护受管属性，因为用户会更改链接属性。

链接的属性 update 任务可以指定要更新的链接属性插件实例，在可选 linkdn 属性中设置。如果在任务条目上没有设置此属性，则会更新所有配置的链接属性。

dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config

dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config

Copy to Clipboard

Toggle word wrap

任务完成后，任务条目会从目录中移除。

cn=fixup 链接的属性条目是任何链接的属性更新操作的容器条目。cn=fixup 链接的属性 条目本身没有与单个任务相关的属性，但此条目下的每个任务条目（如 cn=task_ID,cn=fixup linked 属性,cn=tasks,cn=config ）使用其属性来定义单个更新任务。

linkdn

每个链接的属性对都在链接的属性插件实例中配置。linkdn 属性设置通过提供插件实例 DN 来更新条目的特定链接属性插件。例如：

linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config

linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config

Copy to Clipboard

Toggle word wrap

如果没有提供插件实例，则会更新所有链接的属性。

Expand

参数	描述
条目 DN	cn=task_name,cn=fixup linked attributes,cn=tasks,cn=config
有效值	DN （用于 Linked Attributes 插件的实例）
默认值	无
语法	DN
示例	linkdn: cn=Manager Links,cn=Linked Attributes,cn=plugins,cn=config

3.1.16.10. cn=syntax validate
复制链接

语法验证会检查对属性的每个修改，以确保新值具有该属性类型所需的语法。属性语法会根据 RFC 4514 中的定义进行验证。

语法验证默认为启用。但是，语法验证仅审计 对属性值的更改，例如添加或修改属性时。它不验证现有属性值的语法。

现有的语法验证可使用语法验证任务来完成。此任务检查指定子树下的条目（在 basedn 属性中），并只检查与指定过滤器匹配的条目（在 filter 属性中）。

dn: cn=example,cn=syntax validate,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
basedn: ou=people,dc=example,dc=com
filter: "(objectclass=inetorgperson)"

dn: cn=example,cn=syntax validate,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
basedn: ou=people,dc=example,dc=com
filter: "(objectclass=inetorgperson)"

Copy to Clipboard

Toggle word wrap

任务完成后，任务条目会从目录中移除。

如果禁用语法验证，或者服务器已迁移，则服务器中可能存在不符合属性语法要求的数据。可以在启用语法验证前运行语法验证任务来评估这些现有的属性值。

cn=syntax validate 条目是适用于任何语法验证操作的容器条目。cn=syntax validate 条目本身没有特定于任何任务的属性。此条目下的每个任务条目（如 cn=task_ID,cn=syntax validate,cn=tasks,cn=config ）都使用其属性来定义单个更新任务。

basedn

指定运行语法验证任务的子树。例如：

basedn: ou=people,dc=example,dc=com

basedn: ou=people,dc=example,dc=com

Copy to Clipboard

Toggle word wrap

Expand

参数	描述
条目 DN	cn=task_name,cn=syntax validate,cn=tasks,cn=config
有效值	任何 DN
默认值	无
语法	DN
示例	basedn: dc=example,dc=com

filter

包含一个可选的 LDAP 过滤器，可用于识别给定 basedn 下运行语法验证任务的特定条目。如果没有在任务上设置此属性，则 basedn 中的每个条目都会被审核。例如：

filter: "(objectclass=person)"

filter: "(objectclass=person)"

Copy to Clipboard

Toggle word wrap

Expand

参数	描述
条目 DN	cn=task_name,cn=syntax validate,cn=tasks,cn=config
有效值	任何 LDAP 过滤器
默认值	"(objectclass=*)"
语法	DirectoryString
示例	filter: "(objectclass=*)"

3.1.16.11. cn=USN tombstone cleanup 任务
复制链接

如果启用了 USN 插件，则每当目录写入操作（如添加或修改）在每个条目上都要 更新序列号 (USN)。这反映在 entryUSN 操作属性中。即使删除了条目，这个 USN 也会被设置，tombstone 条目则由 Directory Server 实例维护。

cn=USN tombstone cleanup 任务 （以及相关的 usn-tombstone-cleanup.pl 脚本）根据后端数据库（在后端属性中）或后缀（在 suffix 属性中）删除实例维护的 tombstone 条目。另外，可以通过指定要删除的最大 USN 来删除 tombstone 条目子集（在 max_usn_to_delete 属性中），这会保留最新的 tombstone 条目。

dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
backend: userroot
max_usn_to_delete: 500

dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config
objectclass: extensibleObject
cn:example
backend: userroot
max_usn_to_delete: 500

Copy to Clipboard

Toggle word wrap

重要

只有 未启用 复制，才能启动此任务。复制维护自己的 tombstone 存储，且这些 tombstone 条目不能由 USN 插件删除；它们必须由复制过程维护。因此，Directory 服务器可防止用户为复制的数据库运行清理任务。

尝试为复制后端创建此任务条目将在命令行中返回这个错误：

ldap_add: DSA is unwilling to perform

ldap_add: DSA is unwilling to perform

Copy to Clipboard

Toggle word wrap

在错误日志中，有更明确的信息，后缀无法删除 tombstone，因为它是复制的。

[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.

[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.

Copy to Clipboard

Toggle word wrap

任务完成后，任务条目会从目录中移除。

cn=USN tombstone cleanup 任务 条目是所有 USN tombstone delete 操作的容器条目。cn=USN tombstone cleanup task 条目本身没有与任何单个任务相关的属性，但此条目下的每个任务条目（如 cn=task_ID,cn=USN tombstone cleanup 任务,cn=tasks,cn=config ）都使用其属性来定义单个更新任务。

后端

这为 Directory Server 实例后端或数据库提供运行清理操作。如果没有指定后端，则必须指定后缀。

Expand

参数	描述
条目 DN	cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config
有效值	数据库名称
默认值	无
语法	DirectoryString
示例	backend: userroot

max_usn_to_delete

这会赋予在删除 tombstone 条目时要删除的最高 USN 值。所有 tombstone 条目（包括这个数字）都会被删除。带有更高的 USN 值的 tombstone 条目（这意味着较新的条目）不会被删除。

Expand

参数	描述
条目 DN	cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config
有效值	任何整数
默认值	无
语法	整数
示例	max_usn_to_delete: 500

suffix

这会在 Directory 服务器中提供后缀或子树来运行清理操作。如果没有指定后缀，则必须给出后端。

Expand

参数	描述
条目 DN	cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config
有效值	任何子树 DN
默认值	无
语法	DN
示例	suffix: dc=example,dc=com

3.1.16.12. cn=cleanallruv
复制链接

有关复制拓扑的信息 - 所有供应商都会相互提供更新，同一复制组中的其他副本都包含在一组称为 副本更新向量(RUV)的元数据中。RUV 包含有关供应商的信息，如其 ID 和 URL、其在本地服务器上所做的更改的最新更改状态号，以及第一次更改的 CSN。供应商和消费者都存储 RUV 信息，它们使用它来控制复制更新。

当从复制拓扑中删除一个供应商时，它可能会保留在另一个副本的 RUV 中。当其他副本重启时，它可以记录其日志中复制插件无法识别（删除）供应商的错误。

[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - ruv_compare_ruv: RUV [changelog max RUV] does not
 contain element [{replica 55 ldap://server.example.com:389} 4e6a27ca000000370000 4e6a27e8000000370000]
 which is present in RUV [database RUV]
......
[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - replica_check_for_data_reload: Warning: for replica
 dc=example,dc=com there were some differences between the changelog max RUV and the database RUV.  If
 there are obsolete elements in the database RUV, you should remove them using the CLEANRUV task.  If they
 are not obsolete, you should check their status to see why there are no changes from those servers in the changelog.

[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - ruv_compare_ruv: RUV [changelog max RUV] does not
 contain element [{replica 55 ldap://server.example.com:389} 4e6a27ca000000370000 4e6a27e8000000370000]
 which is present in RUV [database RUV]
......
[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - replica_check_for_data_reload: Warning: for replica
 dc=example,dc=com there were some differences between the changelog max RUV and the database RUV.  If
 there are obsolete elements in the database RUV, you should remove them using the CLEANRUV task.  If they
 are not obsolete, you should check their status to see why there are no changes from those servers in the changelog.

Copy to Clipboard

Toggle word wrap

当供应商从拓扑中永久删除时，有关该供应商的任何闲置元数据都应从所有其他供应商的 RUV 条目中清除。

cn=cleanallruv 任务通过复制拓扑中的所有服务器传播，并删除与指定缺失或过时的供应商关联的 RUV 条目。

任务完成后，任务条目会从目录中移除。

cn=cleanallruv 条目是所有干净的 RUV 操作的容器条目。 cn=cleanallruv 条目本身没有与任何单个任务相关的属性，但此条目下的每个任务条目（如 cn=task_ID, cn=cleanallruv ,cn=tasks,cn=config ）使用其属性来定义单个更新任务。

每个清理 RUV 任务都必须指定要删除的副本 RUV 条目的副本 ID 号、复制数据库的基于 DN，以及在删除 RUV 数据前是否应该应用缺少的供应商中的更新。

dn: cn=clean 55,cn=cleanallruv,cn=tasks,cn=config
objectclass: extensibleObject
replica-base-dn: dc=example,dc=com
replica-id: 55
replica-force-cleaning: no
cn: clean 55

dn: cn=clean 55,cn=cleanallruv,cn=tasks,cn=config
objectclass: extensibleObject
replica-base-dn: dc=example,dc=com
replica-id: 55
replica-force-cleaning: no
cn: clean 55

Copy to Clipboard

Toggle word wrap

replica-base-dn

这提供了与复制数据库关联的目录服务器基本 DN。这是复制后缀的基本 DN。

Expand

参数	描述
条目 DN	cn=task_name,cn=cleanallruv,cn=tasks,cn=config
有效值	目录后缀 DN
默认值	无
语法	DirectoryString
示例	replica-base-dn: dc=example,dc=com

replica-id

这提供了要从复制拓扑 中删除 副本配置条目的 nsDS5ReplicaId 属性中的副本 ID。

Expand

参数	描述
条目 DN	cn=task_name,cn=cleanallruv,cn=tasks,cn=config
有效值	0 到 65534
默认值	无
语法	整数
示例	replica-id: 55

replica-force-cleaning

这将设置是否应该应用删除的副本中的任何未完成的更新(否)，或者是否应强制继续并丢失任何剩余的更新（是）。

Expand

参数	描述
条目 DN	cn=task_name,cn=cleanallruv,cn=tasks,cn=config
有效值	否 \| 是
默认值	无
语法	DirectoryString
示例	replica-force-cleaning: no

3.1.16.13. cn=abort cleanallruv
复制链接

第 3.1.16.12 节 “cn=cleanallruv” 任务可能需要几分钟才能在复制拓扑中的所有服务器中传播，即使任务首先处理所有更新。对于性能或其他维护注意事项，可以终止干净的 RUV 任务，并且终止也会在复制拓扑中的所有服务器上传播。

termination 任务是 cn=abort cleanallruv 条目的 isntance。

任务完成后，任务条目会从目录中移除。

cn=abort cleanallruv 条目是所有干净的 RUV 操作的容器条目。cn=abort cleanallruv 条目本身没有与任何单个任务相关的属性，但此条目下的每个任务条目（如 cn=task_ID,cn=abort cleanallruv,cn=tasks,cn=config ）都使用其属性来定义单个更新任务。

每个干净的 RUV 任务都必须指定 当前删除 的副本 RUV 条目的副本 ID 号、复制数据库的基于 DN，以及在拓扑中的所有服务器上完成终止任务还是本地完成。

dn: cn=abort 55,cn=abort cleanallruv,cn=tasks,cn=config
objectclass: extensibleObject
replica-base-dn: dc=example,dc=com
replica-id: 55
replica-certify-all: yes
cn: abort 55

dn: cn=abort 55,cn=abort cleanallruv,cn=tasks,cn=config
objectclass: extensibleObject
replica-base-dn: dc=example,dc=com
replica-id: 55
replica-certify-all: yes
cn: abort 55

Copy to Clipboard

Toggle word wrap

replica-base-dn

这提供了与复制数据库关联的目录服务器基本 DN。这是复制后缀的基本 DN。

Expand

参数	描述
条目 DN	cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config
有效值	目录后缀 DN
默认值	无
语法	DirectoryString
示例	replica-base-dn: dc=example,dc=com

replica-id

这会在从复制拓扑 中删除的过程中 为副本配置条目的 nsDS5ReplicaId 属性提供副本 ID。

Expand

参数	描述
条目 DN	cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config
有效值	0 到 65534
默认值	无
语法	整数
示例	replica-id: 55

replica-certify-all

这将设置该任务是否应该在复制 拓扑中的所有 服务器上成功完成，然后再在本地完成任务（是）之前（是），或者该任务是否应在本地完成(无)后马上显示完成。

Expand

参数	描述
条目 DN	cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config
有效值	否 \| 是
默认值	无
语法	DirectoryString
示例	replica-certify-all: yes

3.1.16.14. cn=automember rebuild membership
复制链接

Auto Member 插件仅在将新条目添加到目录时运行。该插件会忽略编辑为与自动成员规则匹配的现有条目或条目。

cn=automember 重建成员资格 任务针对 现有条目 运行当前的自动成员规则，以更新或重建组成员资格。所有配置的自动成员规则都针对标识的条目运行（但并非所有规则都应用到给定条目）。

basedn

这提供了用于搜索用户条目的 Directory Server 基础 DN。然后，根据自动成员规则更新指定 DN 中的条目。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config
有效值	目录后缀 DN
默认值	无
语法	DirectoryString
示例	basedn: dc=example,dc=com

filter

此属性提供 LDAP 过滤器，用于根据配置的自动成员规则识别要更新哪些用户条目。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config
有效值	任何 LDAP 过滤器
默认值	无
语法	DirectoryString
示例	filter: (uid=*)

scope

此属性提供在搜索给定基本 DN 时要使用的 LDAP 搜索范围。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config
有效值	sub \| 基础 \| 一个
默认值	无
语法	DirectoryString
示例	Scope: sub

3.1.16.15. cn=automember export updates
复制链接

此任务针对目录中 现有条目 运行，并根据规则导出哪些用户添加到哪些组的结果。这可用于根据现有用户测试现有规则，以了解您的实际部署性能如何。

与自动成员相关的更改 不会执行。推荐的更改被写入指定的 LDIF 文件。

basedn

这提供了用于搜索用户条目的 Directory Server 基础 DN。对已识别的条目运行自动成员规则的测试运行。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember export updates,cn=tasks,cn=config
有效值	目录后缀 DN
默认值	无
语法	DirectoryString
示例	basedn: dc=example,dc=com

filter

此属性提供 LDAP 过滤器，用于识别要测试的用户条目来运行自动成员规则。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember export updates,cn=tasks,cn=config
有效值	任何 LDAP 过滤器
默认值	无
语法	DirectoryString
示例	filter: (uid=*)

scope

此属性提供在搜索给定基本 DN 时要使用的 LDAP 搜索范围。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember export updates,cn=tasks,cn=config
有效值	sub \| 基础 \| 一个
默认值	无
语法	DirectoryString
示例	Scope: sub

ldif

此属性设置 LDIF 文件的完整路径和文件名，以便从自动成员规则的 test-run 中写入提议的更改。此文件必须是启动该任务的系统的 local。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember export updates,cn=tasks,cn=config
有效值	本地路径和文件名
默认值	无
语法	DirectoryString
示例	ldif: /tmp/automember-results.ldif

3.1.16.16. cn=automember map updates
复制链接

此任务针对 LDIF 文件中的条目（新条目或可能，测试条目）运行，然后将提议的更改写入到 LDIF 文件中。在应用新规则之前（重新）新的用户条目或现有用户条目之前，这非常有用。

与自动成员相关的更改 不会执行。推荐的更改被写入指定的 LDIF 文件。

ldif_in

此属性设置 LDIF 文件的完整路径和文件名，该文件要从中导入使用配置的自动成员规则测试的条目。这些条目不会导入到目录中，不会执行更改。条目仅被 test-run 加载和使用。

此文件必须是启动该任务的系统的 local。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember map updates,cn=tasks,cn=config
有效值	本地路径和文件名
默认值	无
语法	DirectoryString
示例	ldif_in: /tmp/automember-test-users.ldif

ldif_out

此属性设置 LDIF 文件的完整路径和文件名，以便从自动成员规则的 test-run 中写入提议的更改。此文件必须是启动该任务的系统的 local。

Expand

参数	描述
条目 DN	cn=task_name,cn=automember map updates,cn=tasks,cn=config
有效值	本地路径和文件名
默认值	无
语法	DirectoryString
示例	ldif_out: /tmp/automember-results.ldif

3.1.16.17. cn=des2aes
复制链接

此任务搜索指定用户数据库中的所有可逆密码条目，这些条目使用过时的 DES 密码进行编码，并将其转换为更安全的 AES 密码。

在以前的版本中，此任务是在目录服务器启动过程中在所有后缀上自动执行的。但是，由于搜索 DES 密码通常没有被索引，因此可能需要很长时间才能对包含大量条目的后缀执行，从而导致目录服务器超时且无法启动。因此，搜索现在只在 cn=config 上执行，但要在任何其他数据库中转换密码，您必须手动运行此任务。

suffix

这个 multivalued 属性指定一个后缀来检查 DES 密码并将其转换为 AES。如果省略此属性，则会检查所有后端/修复。

Expand

参数	描述
条目 DN	cn=task_name,cn=des2aes,cn=tasks,cn=config
有效值	目录后缀 DN
默认值	无
语法	DirectoryString
示例	suffix: dc=example,dc=com

3.1.17. cn=uniqueid generator
复制链接

唯一的 ID 生成器配置属性存储在 cn=uniqueid generator,cn=config 下。cn=uniqueid 生成器 条目是 extensibleObject 对象类的实例。

nsstate

此属性在服务器重启后保存唯一 ID 生成器的状态。此属性由服务器维护。不要编辑它。

Expand

参数	描述
条目 DN	cn=uniqueid generator,cn=config
有效值
默认值
语法	DirectoryString
示例	nsstate: AbId0c3oMIDUntiLCyYNGgAAAAAAAA

3.1.18. 根 DSE 配置参数
复制链接

3.1.18.1. nsslapd-return-default-opattr
复制链接

目录服务器不会在 Root DSE 搜索中显示操作属性。例如，如果您使用 base -b "" 参数运行 ldapsearch 工具，则只会显示用户属性。对于在 Root DSE 搜索输出中期望操作属性的客户端，您可以启用此行为来提供向后兼容：

停止 Directory 服务器实例。

编辑 /etc/dirsrv/slapd-instance_name/dse.ldif 文件，并将以下参数添加到 dn: 部分：

nsslapd-return-default-opattr: supportedsaslmechanisms
nsslapd-return-default-opattr: nsBackendSuffix
nsslapd-return-default-opattr: subschemasubentry
nsslapd-return-default-opattr: supportedldapversion
nsslapd-return-default-opattr: supportedcontrol
nsslapd-return-default-opattr: ref
nsslapd-return-default-opattr: vendorname
nsslapd-return-default-opattr: vendorVersion
nsslapd-return-default-opattr: supportedextension
nsslapd-return-default-opattr: namingcontexts

nsslapd-return-default-opattr: supportedsaslmechanisms
nsslapd-return-default-opattr: nsBackendSuffix
nsslapd-return-default-opattr: subschemasubentry
nsslapd-return-default-opattr: supportedldapversion
nsslapd-return-default-opattr: supportedcontrol
nsslapd-return-default-opattr: ref
nsslapd-return-default-opattr: vendorname
nsslapd-return-default-opattr: vendorVersion
nsslapd-return-default-opattr: supportedextension
nsslapd-return-default-opattr: namingcontexts

Copy to Clipboard

Toggle word wrap

启动 Directory 服务器实例。

Expand

参数	描述
条目 DN	Root DSE
有效值	supportedsaslmechanisms \| nsBackendSuffix \| subschemasubentry \| supportedldapversion \| supportedcontrol \| ref \| vendorname \| vendorVersion
默认值
语法	DirectoryString
示例	nsslapd-return-default-opattr: supportedsaslmechanisms

返回顶部

第 3 章 核心服务器配置参考

3.1. 核心服务器配置属性参考复制链接链接已复制到粘贴板!

3.1.1. cn=config复制链接链接已复制到粘贴板!

3.1.1.1. nsslapd-accesslog (Access Log)复制链接链接已复制到粘贴板!

3.1.1.2. nsslapd-accesslog-level (Access Log Level)复制链接链接已复制到粘贴板!

3.1.1.3. nsslapd-accesslog-list （访问日志文件列表）复制链接链接已复制到粘贴板!

3.1.1.4. nsslapd-accesslog-logbuffering (Log Buffering)复制链接链接已复制到粘贴板!

3.1.1.5. nsslapd-accesslog-logexpirationtime (Access Log Expiration Time)复制链接链接已复制到粘贴板!

3.1.1.6. nsslapd-accesslog-logexpirationtimeunit (Access Log Expiration Time Unit)复制链接链接已复制到粘贴板!

3.1.1.7. nsslapd-accesslog-logging-enabled (Access Log Enable Logging)复制链接链接已复制到粘贴板!

3.1.1.8. nsslapd-accesslog-logmaxdiskspace (Access Log Maximum Disk Space)复制链接链接已复制到粘贴板!

3.1.1.9. nsslapd-accesslog-logminfreediskspace (Access Log Minimum Free Disk Space)复制链接链接已复制到粘贴板!

3.1.1.10. nsslapd-accesslog-logrotationsync-enabled (Access Log Rotation Sync Enabled)复制链接链接已复制到粘贴板!

3.1.1.11. nsslapd-accesslog-logrotationsynchour (Access Log Rotation Sync Hour)复制链接链接已复制到粘贴板!

3.1.1.12. nsslapd-accesslog-logrotationsyncmin (Access Log Rotation Sync Minute)复制链接链接已复制到粘贴板!

3.1.1.13. nsslapd-accesslog-logrotationtime (Access Log Rotation Time)复制链接链接已复制到粘贴板!

3.1.1.14. nsslapd-accesslog-logrotationtimeunit (Access Log Rotation Time Unit)复制链接链接已复制到粘贴板!

3.1.1.15. nsslapd-accesslog-maxlogsize (Access Log Maximum Log Size)复制链接链接已复制到粘贴板!

3.1.1.16. nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)复制链接链接已复制到粘贴板!

3.1.1.17. nsslapd-accesslog-mode (Access Log File Permission)复制链接链接已复制到粘贴板!

3.1.1.18. nsslapd-allow-anonymous-access复制链接链接已复制到粘贴板!

3.1.1.19. nsslapd-allow-hashed-passwords复制链接链接已复制到粘贴板!

3.1.1.20. nsslapd-allow-unauthenticated-binds复制链接链接已复制到粘贴板!

3.1.1.21. nsslapd-allowed-sasl-mechanisms复制链接链接已复制到粘贴板!

3.1.1.22. nsslapd-anonlimitsdn复制链接链接已复制到粘贴板!

3.1.1.23. nsslapd-attribute-name-exceptions复制链接链接已复制到粘贴板!

3.1.1.24. nsslapd-auditlog (Audit Log)复制链接链接已复制到粘贴板!

3.1.1.25. nsslapd-auditlog-display-attrs复制链接链接已复制到粘贴板!

3.1.1.26. nsslapd-auditlog-list复制链接链接已复制到粘贴板!

3.1.1.27. nsslapd-auditlog-logexpirationtime (Audit Log Expiration Time)复制链接链接已复制到粘贴板!

3.1.1.28. nsslapd-auditlog-logexpirationtimeunit (Audit Log Expiration Time Unit)复制链接链接已复制到粘贴板!

3.1.1.29. nsslapd-auditlog-logging-enabled (Audit Log Enable Logging)复制链接链接已复制到粘贴板!

3.1.1.30. nsslapd-auditlog-logmaxdiskspace (Audit Log Maximum Disk Space)复制链接链接已复制到粘贴板!

3.1.1.31. nsslapd-auditlog-logminfreediskspace (Audit Log Minimum Free Disk Space)复制链接链接已复制到粘贴板!

3.1.1.32. nsslapd-auditlog-logrotationsync-enabled (Audit Log Rotation Sync Enabled)复制链接链接已复制到粘贴板!

3.1.1.33. nsslapd-auditlog-logrotationsynchour (Audit Log Rotation Sync Hour)复制链接链接已复制到粘贴板!

3.1.1.34. nsslapd-auditlog-logrotationsyncmin (Audit Log Rotation Sync Minute)复制链接链接已复制到粘贴板!

3.1.1.35. nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)复制链接链接已复制到粘贴板!

3.1.1.36. nsslapd-auditlog-logrotationtimeunit (Audit Log Rotation Time Unit)复制链接链接已复制到粘贴板!

3.1.1.37. nsslapd-auditlog-maxlogsize (Audit Log Maximum Log Size)复制链接链接已复制到粘贴板!

3.1.1.38. nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)复制链接链接已复制到粘贴板!

3.1.1.39. nsslapd-auditlog-mode (Audit Log File Permission)复制链接链接已复制到粘贴板!

3.1.1.40. nsslapd-auditfaillog (Audit Fail Log)复制链接链接已复制到粘贴板!

3.1.1.41. nsslapd-auditfaillog-list复制链接链接已复制到粘贴板!

3.1.1.42. nsslapd-auditfaillog-logexpirationtime (Audit Fail Log Expiration Time)复制链接链接已复制到粘贴板!

3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit (Audit Fail Log Expiration Time Unit)复制链接链接已复制到粘贴板!

3.1.1.44. nsslapd-auditfaillog-logging-enabled (Audit Fail Log Enable Logging)复制链接链接已复制到粘贴板!

3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace (Audit Fail Log Maximum Disk Space)复制链接链接已复制到粘贴板!

3.1.1.46. nsslapd-auditfaillog-logminfreediskspace (Audit Fail Log Minimum Free Disk Space)复制链接链接已复制到粘贴板!

3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled (Audit Fail Log Rotation Sync Enabled)复制链接链接已复制到粘贴板!

3.1.1.48. nsslapd-auditfaillog-logrotationsynchour (Audit Fail Log Rotation Sync Hour)复制链接链接已复制到粘贴板!

3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin (Audit Fail Log Rotation Sync Minute)复制链接链接已复制到粘贴板!

3.1.1.50. nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)复制链接链接已复制到粘贴板!

3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit (Audit Fail Log Rotation Time Unit)复制链接链接已复制到粘贴板!

3.1.1.52. nsslapd-auditfaillog-maxlogsize (Audit Fail Log Maximum Log Size)复制链接链接已复制到粘贴板!

3.1.1.53. nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)复制链接链接已复制到粘贴板!

3.1.1.54. nsslapd-auditfaillog-mode (Audit Fail log File Permission)复制链接链接已复制到粘贴板!

3.1.1.55. nsslapd-bakdir (Default Backup Directory)复制链接链接已复制到粘贴板!

3.1.1.56. nsslapd-certdir （证书和密钥数据库目录）复制链接链接已复制到粘贴板!

3.1.1.57. nsslapd-certmap-basedn (Certificate Map Search Base)复制链接链接已复制到粘贴板!

3.1.1.58. nsslapd-config复制链接链接已复制到粘贴板!

3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns复制链接链接已复制到粘贴板!

3.1.1.60. nsslapd-connection-buffer复制链接链接已复制到粘贴板!

3.1.1.61. nsslapd-connection-nocanon复制链接链接已复制到粘贴板!

3.1.1.62. nsslapd-conntablesize复制链接链接已复制到粘贴板!

3.1.1.63. nsslapd-counters复制链接链接已复制到粘贴板!

3.1.1.64. nsslapd-csnlogging复制链接链接已复制到粘贴板!

3.1.1.65. nsslapd-defaultnamingcontext复制链接链接已复制到粘贴板!

3.1.1.66. nsslapd-disk-monitoring复制链接链接已复制到粘贴板!

3.1.1.67. nsslapd-disk-monitoring-grace-period复制链接链接已复制到粘贴板!

3.1.1.68. nsslapd-disk-monitoring-logging-critical复制链接链接已复制到粘贴板!

3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold复制链接链接已复制到粘贴板!

3.1.1.70. nsslapd-disk-monitoring-threshold复制链接链接已复制到粘贴板!

3.1.1.71. nsslapd-dn-validate-strict复制链接链接已复制到粘贴板!

3.1.1.72. nsslapd-ds4-compatible-schema复制链接链接已复制到粘贴板!

3.1.1.73. nsslapd-enable-turbo-mode复制链接链接已复制到粘贴板!

3.1.1.74. nsslapd-enable-upgrade-hash复制链接链接已复制到粘贴板!

3.1.1.75. nsslapd-enquote-sup-oc (Enable Superior Object Class Enquoting)复制链接链接已复制到粘贴板!

3.1.1.76. nsslapd-entryusn-global复制链接链接已复制到粘贴板!

3.1.1.77. nsslapd-entryusn-import-initval复制链接链接已复制到粘贴板!

第 3 章核心服务器配置参考

3.1. 核心服务器配置属性参考
复制链接

3.1.1. cn=config
复制链接

3.1.1.1. nsslapd-accesslog (Access Log)
复制链接

3.1.1.2. nsslapd-accesslog-level (Access Log Level)
复制链接

3.1.1.3. nsslapd-accesslog-list （访问日志文件列表）
复制链接

3.1.1.4. nsslapd-accesslog-logbuffering (Log Buffering)
复制链接

3.1.1.5. nsslapd-accesslog-logexpirationtime (Access Log Expiration Time)
复制链接

3.1.1.6. nsslapd-accesslog-logexpirationtimeunit (Access Log Expiration Time Unit)
复制链接

3.1.1.7. nsslapd-accesslog-logging-enabled (Access Log Enable Logging)
复制链接

3.1.1.8. nsslapd-accesslog-logmaxdiskspace (Access Log Maximum Disk Space)
复制链接

3.1.1.9. nsslapd-accesslog-logminfreediskspace (Access Log Minimum Free Disk Space)
复制链接

3.1.1.10. nsslapd-accesslog-logrotationsync-enabled (Access Log Rotation Sync Enabled)
复制链接

3.1.1.11. nsslapd-accesslog-logrotationsynchour (Access Log Rotation Sync Hour)
复制链接

3.1.1.12. nsslapd-accesslog-logrotationsyncmin (Access Log Rotation Sync Minute)
复制链接

3.1.1.13. nsslapd-accesslog-logrotationtime (Access Log Rotation Time)
复制链接

3.1.1.14. nsslapd-accesslog-logrotationtimeunit (Access Log Rotation Time Unit)
复制链接

3.1.1.15. nsslapd-accesslog-maxlogsize (Access Log Maximum Log Size)
复制链接

3.1.1.16. nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)
复制链接

3.1.1.17. nsslapd-accesslog-mode (Access Log File Permission)
复制链接

3.1.1.18. nsslapd-allow-anonymous-access
复制链接

3.1.1.19. nsslapd-allow-hashed-passwords
复制链接

3.1.1.20. nsslapd-allow-unauthenticated-binds
复制链接

3.1.1.21. nsslapd-allowed-sasl-mechanisms
复制链接

3.1.1.22. nsslapd-anonlimitsdn
复制链接

3.1.1.23. nsslapd-attribute-name-exceptions
复制链接

3.1.1.24. nsslapd-auditlog (Audit Log)
复制链接

3.1.1.25. nsslapd-auditlog-display-attrs
复制链接

3.1.1.26. nsslapd-auditlog-list
复制链接

3.1.1.27. nsslapd-auditlog-logexpirationtime (Audit Log Expiration Time)
复制链接

3.1.1.28. nsslapd-auditlog-logexpirationtimeunit (Audit Log Expiration Time Unit)
复制链接

3.1.1.29. nsslapd-auditlog-logging-enabled (Audit Log Enable Logging)
复制链接

3.1.1.30. nsslapd-auditlog-logmaxdiskspace (Audit Log Maximum Disk Space)
复制链接

3.1.1.31. nsslapd-auditlog-logminfreediskspace (Audit Log Minimum Free Disk Space)
复制链接

3.1.1.32. nsslapd-auditlog-logrotationsync-enabled (Audit Log Rotation Sync Enabled)
复制链接

3.1.1.33. nsslapd-auditlog-logrotationsynchour (Audit Log Rotation Sync Hour)
复制链接

3.1.1.34. nsslapd-auditlog-logrotationsyncmin (Audit Log Rotation Sync Minute)
复制链接

3.1.1.35. nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)
复制链接

3.1.1.36. nsslapd-auditlog-logrotationtimeunit (Audit Log Rotation Time Unit)
复制链接

3.1.1.37. nsslapd-auditlog-maxlogsize (Audit Log Maximum Log Size)
复制链接

3.1.1.38. nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)
复制链接

3.1.1.39. nsslapd-auditlog-mode (Audit Log File Permission)
复制链接

3.1.1.40. nsslapd-auditfaillog (Audit Fail Log)
复制链接

3.1.1.41. nsslapd-auditfaillog-list
复制链接

3.1.1.42. nsslapd-auditfaillog-logexpirationtime (Audit Fail Log Expiration Time)
复制链接

3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit (Audit Fail Log Expiration Time Unit)
复制链接

3.1.1.44. nsslapd-auditfaillog-logging-enabled (Audit Fail Log Enable Logging)
复制链接

3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace (Audit Fail Log Maximum Disk Space)
复制链接

3.1.1.46. nsslapd-auditfaillog-logminfreediskspace (Audit Fail Log Minimum Free Disk Space)
复制链接

3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled (Audit Fail Log Rotation Sync Enabled)
复制链接

3.1.1.48. nsslapd-auditfaillog-logrotationsynchour (Audit Fail Log Rotation Sync Hour)
复制链接

3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin (Audit Fail Log Rotation Sync Minute)
复制链接

3.1.1.50. nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)
复制链接

3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit (Audit Fail Log Rotation Time Unit)
复制链接

3.1.1.52. nsslapd-auditfaillog-maxlogsize (Audit Fail Log Maximum Log Size)
复制链接

3.1.1.53. nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)
复制链接

3.1.1.54. nsslapd-auditfaillog-mode (Audit Fail log File Permission)
复制链接

3.1.1.55. nsslapd-bakdir (Default Backup Directory)
复制链接

3.1.1.56. nsslapd-certdir （证书和密钥数据库目录）
复制链接

3.1.1.57. nsslapd-certmap-basedn (Certificate Map Search Base)
复制链接

3.1.1.58. nsslapd-config
复制链接

3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
复制链接

3.1.1.60. nsslapd-connection-buffer
复制链接

3.1.1.61. nsslapd-connection-nocanon
复制链接

3.1.1.62. nsslapd-conntablesize
复制链接

3.1.1.63. nsslapd-counters
复制链接

3.1.1.64. nsslapd-csnlogging
复制链接

3.1.1.65. nsslapd-defaultnamingcontext
复制链接

3.1.1.66. nsslapd-disk-monitoring
复制链接

3.1.1.67. nsslapd-disk-monitoring-grace-period
复制链接

3.1.1.68. nsslapd-disk-monitoring-logging-critical
复制链接

3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
复制链接

3.1.1.70. nsslapd-disk-monitoring-threshold
复制链接

3.1.1.71. nsslapd-dn-validate-strict
复制链接

3.1.1.72. nsslapd-ds4-compatible-schema
复制链接

3.1.1.73. nsslapd-enable-turbo-mode
复制链接

3.1.1.74. nsslapd-enable-upgrade-hash
复制链接

3.1.1.75. nsslapd-enquote-sup-oc (Enable Superior Object Class Enquoting)
复制链接

3.1.1.76. nsslapd-entryusn-global
复制链接

3.1.1.77. nsslapd-entryusn-import-initval
复制链接