红帽全球峰会第 2 章 核心服务器配置属性
本节包含与核心服务器功能相关的配置属性的参考信息。有关 cn=config 下的目录服务器配置概述,请参阅 Directory Server 配置概述。有关作为插件实施的服务器功能列表,请参阅 服务器插件功能参考。有关实施自定义服务器功能的帮助,请联系 Directory Server 支持。
存储在 dse.ldif 文件中的配置信息被组织为常规配置条目 cn=config 下的信息树。
以下部分中涵盖了其中大多数配置树节点。
cn=plugins 节点在 插件实现的服务器功能参考中 介绍。每个属性的描述包含详细信息,如其目录条目的 DN、其默认值、有效值范围和使用示例。
2.1. cn=config
目录服务器在 cn=config 条目中保存常规配置条目。此条目是 nsslapdConfig 对象类的实例,后者从 extensibleObject 对象类继承。
2.1.1. nsslapd-accesslog
此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。日志文件中默认记录以下信息:
- 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
- 执行的操作(如搜索、添加和修改)。
- 访问的结果(例如,返回的条目数或错误代码)。
若要启用日志,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用访问日志记录方面的结果。
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
nsslapd-accesslog 参数描述:
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名。 |
| 默认值 | /var/log/dirsrv/slapd-instance/access |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
2.1.2. nsslapd-accesslog-compress
默认情况下,目录服务器不会压缩访问日志。将 nsslapd-accesslog-compress 设置为 on,以在目录服务器轮转日志时启用访问日志压缩。
您不需要重新启动服务器来应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | nsslapd-accesslog-compress: on |
2.1.3. nsslapd-accesslog-level
此属性控制记录到访问日志的内容。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 - 无法访问日志记录 * 4 - 内部访问操作的日志记录 * 256 - 连接、操作和结果的日志 * 512 - 访问条目和引用的日志
* 这些值可以一起添加以提供确切的日志类型,例如 |
| 默认值 | 256 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-level: 256 |
2.1.4. nsslapd-accesslog-list
此 read-only 属性(不能设置)提供了访问日志轮转中使用的日志文件的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
2.1.5. nsslapd-accesslog-log-format
nsslapd-accesslog-log-format 属性设置访问日志记录的格式。
您可以设置以下访问日志格式:
-
default.以纯文本形式记录日志条目。这是访问日志记录的原始纯文本格式。 -
json.以紧凑 JSON 格式记录适合日志解析工具和分析的日志条目。 -
json-pretty.记录更易读的 JSON 格式的日志条目,适用于调试。请注意,json-pretty生成更大的日志文件。
当您切换到新的日志记录格式时,Directory 服务器会轮转当前日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | default, json, json-pretty |
| 默认值 | default |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-log-format: json |
2.1.6. nsslapd-accesslog-logbuffering
当设置为 off 时,服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器使用访问日志记录,即使负载过重,而不影响性能。但是,在调试时,有时要禁用缓冲,以便立即查看操作及其结果,而不必等待向该文件刷新日志条目。禁用日志缓冲会对大量负载的服务器的性能有严重影响。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logbuffering: off |
2.1.7. nsslapd-accesslog-logexpirationtime
此属性指定日志文件在删除前可访问的最长期限。此属性仅提供单位数。该单元由 nsslapd-accesslog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logexpirationtime: 2 |
2.1.8. nsslapd-accesslog-logexpirationtimeunit
此属性指定 nsslapd-accesslog-logexpirationtime 属性的单元。如果服务器未知单位,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logexpirationtimeunit: week |
2.1.9. nsslapd-accesslog-logging-enabled
禁用并启用 accesslog 日志记录,但仅与 nsslapd-accesslog 属性结合使用,该属性指定了用于记录每个数据库访问的日志的路径和参数。
若要启用访问日志记录,此属性必须切换到 上的,并且 nsslapd-accesslog 配置属性必须具有有效的 path 和 参数。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用访问日志记录方面的结果。
| 属性 | 值 | Logging Enabled 或 Disabled |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logging-enabled: off |
2.1.10. nsslapd-accesslog-logmaxdiskspace
此属性指定允许访问日志消耗的最大磁盘空间量,以 MB 为单位。如果超过这个值,则会删除最旧的访问日志。
在设置最大磁盘空间时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护了三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与访问日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示允许访问日志的磁盘空间大小无限。 |
| 默认值 | 500 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logmaxdiskspace: 500 |
2.1.11. nsslapd-accesslog-logminfreediskspace
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,会删除最旧的访问日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logminfreediskspace: -1 |
2.1.12. nsslapd-accesslog-logrotationsync-enabled
此属性设定访问日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使日志轮转与时间结束同步,此属性必须使用 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性值启用,以便轮转日志文件。
例如,要在每天的午夜轮转访问日志文件,请通过将值设为 on 来启用此属性,然后将 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationsync-enabled: on |
2.1.13. nsslapd-accesslog-logrotationsynchour
此属性设置轮转访问日志的天的小时。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsynchour: 23 |
2.1.14. nsslapd-accesslog-logrotationsyncmin
此属性设置轮转访问日志的当天的分钟。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsyncmin: 30 |
2.1.15. nsslapd-accesslog-logrotationtime
此属性设定访问日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-accesslog-logrotationtimeunit 属性提供。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然由于日志无限期增长,我们不建议指定日志轮转,但有两个方法指定这一点。将 nsslapd-accesslog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-accesslog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-accesslog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-accesslog-logrotationtime 属性。如需更多信息,请参阅 nsslapd-accesslog-maxlogsperdir。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示访问日志文件轮转之间的时间是无限的。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationtime: 100 |
2.1.16. nsslapd-accesslog-logrotationtimeunit
此属性设置 nsslapd-accesslog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | day |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationtimeunit: week |
2.1.17. nsslapd-accesslog-maxlogsize
此属性设置最大访问日志大小(以 MB 为单位)。当达到这个值时,访问日志会被轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-accesslog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑以下事项:
- 由于日志文件轮转而可以创建的日志文件总数。
- 目录服务器维护五个不同的日志文件:访问日志、审计日志、审计日志、错误日志、安全日志。每个日志文件都会消耗磁盘空间。
将这些注意事项与您要为访问日志设置的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsize: 100 |
2.1.18. nsslapd-accesslog-maxlogsperdir
此属性设置存储在访问日志的目录中的访问日志总数。每次轮转访问日志时,都会创建一个新的日志文件。当访问日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。出于性能的原因,请不要将此值设置为 1,因为服务器不会轮转日志,并无限期地增大。
如果此属性的值大于 1,请检查 nsslapd-accesslog-logrotationtime 属性,以确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 nsslapd-accesslog-logrotationtime。
根据 nsslapd-accesslog-logminfreediskspace 和 nsslapd-accesslog-maxlogsize 中设置的值,实际的日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir 中配置的值。例如,如果 nsslapd-accesslog-maxlogsperdir 使用默认的(10 文件,并将 nsslapd-accesslog-logminfreediskspace 设置为 500 MB,nsslapd-accesslog-maxlogsize 保留为 100 MB,目录服务器只保留 5 访问日志文件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsperdir: 10 |
2.1.19. nsslapd-accesslog-mode
此属性设置访问要创建的日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合(镜像数字或绝对 UNIX 文件权限)。该值必须是 3 位数字,从 0 到 7 的不同数字:
-
0- None -
1- 仅执行 -
仅限
2个写入 -
3- 写入和执行 -
4- 只读 -
5- 读取和执行 -
6- 读取和写入 -
7- 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-mode: 600 |
2.1.20. nsslapd-accesslog-time-format
在启用 JSON 日志记录时,使用 nsslapd-accesslog-time-format 配置属性自定义访问日志中的 local_time 字段值。它不会影响默认(纯文本)日志格式。
默认值为 %FT%T,它生成 2025-01-15T14:30:45 格式的时间(ISO 8601)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
任何时间格式代码在 |
| 默认值 | %FT%T |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-time-format: %FT%T |
2.1.21. nsslapd-allow-anonymous-access
如果用户在不提供任何绑定 DN 或密码的情况下尝试连接到目录服务器,则这是一个 匿名绑定。匿名绑定简化了常见的搜索和读操作,如检查电话号码或电子邮件地址的目录,不需要用户先向目录进行身份验证。
但是,匿名绑定存在风险。必须就适当的 ACI 来限制对敏感信息的访问,并禁止像修改和删除这样的操作。另外,匿名绑定可用于拒绝服务攻击或恶意人员访问服务器。
可以禁用匿名绑定来提高安全性(关闭)。默认情况下,允许匿名绑定(on)用于搜索和读取操作。这允许访问 常规目录条目,其中包括用户和组条目以及类似 root DSE 的配置条目。第三个选项 rootdse 允许匿名搜索和读取访问权限,以搜索 root DSE 本身,但限制对所有其他目录条目的访问。
另外,可以使用 nsslapd-anonlimitsdn 属性将资源限值放在匿名绑定中,如 nsslapd-anonlimitsdn 所述。
在服务器重启前,对这个值的更改不会生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off | rootdse |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-anonymous-access: on |
2.1.22. nsslapd-allowed-sasl-mechanisms
默认情况下,根 DSE 列出 SASL 库支持的所有机制。然而,在某些环境中,只首选某些环境。nsslapd-allowed-sasl-mechanisms 属性允许您仅启用一些定义的 SASL 机制。
机制名称必须包含大写字母、数字和下划线。每个机制都可以用逗号分开。
EXTERNAL 机制实际上没有被任何 SASL 插件使用。它是服务器内部,主要用于 TLS 客户端身份验证。因此,EXTERNAL 机制无法限制或控制。它始终会出现在支持的机制列表中,无论 nsslapd-allowed-sasl-mechanisms 属性中设置的内容是什么。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 SASL 机制 |
| 默认值 | none (允许所有 SASL 机制) |
| 语法 | DirectoryString |
| 示例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
2.1.23. nsslapd-allow-hashed-passwords
这个参数禁用预哈希密码检查。默认情况下,Directory 服务器不允许除 Directory Manager 以外的任何人设置预哈希密码。在将这个权限添加到 Password Administrators 组时,您可以将此权限委派给其他用户。然而,比如复制合作伙伴已控制预哈希密码检查时,必须在 Directory 服务器上禁用此功能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-hashed-passwords: off |
2.1.24. nsslapd-allow-unauthenticated-binds
未经身份验证的绑定是到提供空密码的目录服务器的连接。出于安全原因,使用默认设置时目录服务器拒绝此场景中的访问。
红帽建议不要启用未经身份验证的绑定。此验证方法允许用户在不提供密码作为任何帐户(包括目录管理器)的情况下绑定。绑定后,用户可以使用用来绑定的帐户的权限访问所有数据。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-unauthenticated-binds: off |
2.1.25. nsslapd-anonlimitsdn
资源限值可以在经过身份验证的绑定上设置。资源限值可在单个操作中设置可以搜索多少条目的上限(nsslapd-sizeLimit)、时间限制(nsslapd-timelimit)和 time out period (nsslapd-idletimeout) for 搜索,以及可以搜索的条目总数(nsslapd-lookthroughlimit)。这些资源限制可防止拒绝服务攻击以阻止目录资源,并提高整体性能。
资源限值在用户条目上设置。匿名绑定(很明显)没有与之关联的用户条目。这意味着资源限制通常不适用于匿名操作。
要为匿名绑定设置资源限值,可以创建一个带有适当资源限制的模板条目。然后,可以添加 nsslapd-anonlimitsdn 配置属性,指向此条目,并将资源限值应用到匿名绑定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
2.1.26. nsslapd-attribute-name-exceptions
此属性允许属性名称中的非标准字符向后兼容旧服务器,如模式定义属性中的 "_"。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-attribute-name-exceptions: on |
2.1.27. nsslapd-auditfaillog
此属性设置用于记录失败的 LDAP 修改的日志的路径和文件名。
如果启用了 nsslapd-auditfaillog-logging-enabled,并且未设置 nsslapd-auditfaillog,则审计失败事件将记录到 nsslapd-auditlog 中指定的文件。
如果将 nsslapd-auditfaillog 参数设置为与 nsslapd-auditlog 相同的路径,则两者都记录在同一文件中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled 属性必须设置为 on
2.1.28. nsslapd-auditfaillog-compress
目录服务器默认不会压缩审计日志。将 nsslapd-auditfaillog-compress 设置为 on,以在目录服务器轮转日志时启用审计日志压缩。
您不需要重新启动服务器来应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | nsslapd-auditfaillog-compress: on |
2.1.29. nsslapd-auditfaillog-list
提供审计失败日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
2.1.30. nsslapd-auditfaillog-logexpirationtime
此属性设置日志文件在删除前的最长期限。它提供给单位数。在 nsslapd-auditfaillog-logexpirationtimeunit 属性中指定单元,如 day、week、month 等。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logexpirationtime: 1 |
2.1.31. nsslapd-auditfaillog-logexpirationtimeunit
此属性设置 nsslapd-auditfaillog-logexpirationtime 属性的单元。如果服务器未知单位,日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
2.1.32. nsslapd-auditfaillog-logging-enabled
打开和关闭失败 LDAP 修改的日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logging-enabled: off |
2.1.33. nsslapd-auditfaillog-logmaxdiskspace
此属性设置审计日志可以消耗的最大磁盘空间量,以 MB 为单位。如果大小超过限制,将删除最旧的审计失败日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表允许审计日志的磁盘空间大小无限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
2.1.34. nsslapd-auditfaillog-logminfreediskspace
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间小于指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间被释放为止。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (无限)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
2.1.35. nsslapd-auditfaillog-logrotationsync-enabled
此属性设置审计日志轮转是与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使审计日志轮转与时间结束同步,必须使用 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性值启用此属性,以便轮转日志文件。
例如,要在每天的午夜轮转审计失败日志文件,将其值设为 on 来启用此属性,然后将 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
2.1.36. nsslapd-auditfaillog-logrotationsynchour
此属性设置审计日志轮转日的小时。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
2.1.37. nsslapd-auditfaillog-logrotationsyncmin
此属性设定审计日志轮转的分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
2.1.38. nsslapd-auditfaillog-logrotationtime
此属性设定审计日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditfaillog-logrotationtimeunit 属性提供。如果 nsslapd-auditfaillog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然不建议根据性能原因指定日志轮转,但随着日志无限期增长,但可以通过两种方式指定。将 nsslapd-auditfaillog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditfaillog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-auditfaillog-logrotationtime 属性。如需更多信息,请参阅 sslapd-auditfaillog。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表审计日志文件轮转之间的时间是无限的。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationtime: 100 |
2.1.39. nsslapd-auditfaillog-logrotationtimeunit
此属性设置 nsslapd-auditfaillog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationtimeunit: day |
2.1.40. nsslapd-auditfaillog-maxlogsize
此属性设置最大审计日志大小(以 MB 为单位)。达到这个值时,审计日志会轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-auditfaillog-maxlogsperdir 参数设置为 1,服务器会忽略此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsize: 50 |
2.1.41. nsslapd-auditfaillog-maxlogsperdir
此属性设定存储在审计日志的目录中的审计日志总数。每次轮转审计日志时,都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增大。
如果此属性的值大于 1,则检查 nsslapd-auditfaillog-logrotationtime 属性,以确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 nsslapd-auditfaillog-logexpirationtime。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
2.1.42. nsslapd-auditfaillog-mode
此属性设置创建审计失败日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,从 0 到 7 的数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-mode: 600 |
2.1.43. nsslapd-auditlog
此属性设置日志的路径和文件名,用于记录对每个数据库所做的更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用审计日志记录时的结果。
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
2.1.44. nsslapd-auditlog-display-attrs
使用 nsslapd-auditlog-display-attrs 属性,您可以设置目录服务器在审计日志中显示的属性,以提供有用的标识条目的信息。通过在审计日志中添加属性,您可以检查条目更新中的条目和详情中特定属性的当前状态。
您可以通过选择以下选项之一来显示日志中的属性:
- 要显示 Directory 服务器修改的条目的特定属性,请将属性名称作为值提供。
- 要显示多个属性,请将以空格分开的属性名称作为值提供。
- 要显示条目的所有属性,请使用星号 AssumeRole 作为值。
提供 Directory 服务器必须在审计日志中显示的空格分隔属性列表,或使用星号(*)作为值来显示正在修改的条目的所有属性。
例如,要将 cn 属性添加到审计日志输出中,请将 nsslapd-auditlog-display-attrs 属性设置为 cn。然后审计日志包含类似如下的条目:
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: John Smith
result: 0
changetype: modify
...| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
任何有效的属性名称和星号( |
| 默认值 | 无 |
| 语法 | DirectoryString |
| Example | nsslapd-auditlog-display-attrs: cn ou |
2.1.45. nsslapd-auditlog-compress
默认情况下,目录服务器不会压缩审计日志。将 nsslapd-auditlog-compress 设置为 on,以在 Directory 服务器轮转日志时启用审计日志压缩。
您不需要重新启动服务器来应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | nsslapd-auditlog-compress: on |
2.1.46. nsslapd-auditlog-list
提供审计日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
2.1.47. nsslapd-auditlog-log-format
nsslapd-auditlog-log-format 属性设置 audit 和 auditfail 日志记录的格式。
您可以设置以下日志格式:
-
default.以纯文本形式记录日志条目。这是访问日志记录的原始纯文本格式。 -
json.以紧凑 JSON 格式记录适合日志解析工具和分析的日志条目。 -
json-pretty.记录更易读的 JSON 格式的日志条目,适用于调试。请注意,json-pretty生成更大的日志文件。
当您切换到新的日志记录格式时,Directory 服务器会轮转当前日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | default, json, json-pretty |
| 默认值 | default |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-log-format: json |
2.1.48. nsslapd-auditlog-logbuffering
当 nsslapd-auditlog-logbuffering 属性设置为 off 时,服务器会将所有 audit 和 auditfail 日志条目直接写入磁盘。当将 nsslapd-auditlog-logbuffering 设置为 on 时,目录服务器也可以使用 audit 和 auditfail 日志记录,即使没有对服务器性能的影响。但是,在调试时,禁用缓冲,以便立即查看操作及其结果,而不必等待日志条目刷新到该文件。禁用日志缓冲会对大量负载的服务器的性能有严重影响。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logbuffering: off |
2.1.49. nsslapd-auditlog-logexpirationtime
此属性设置日志文件在删除前允许的最长时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logexpirationtime: 1 |
2.1.50. nsslapd-auditlog-logexpirationtimeunit
此属性设置 nsslapd-auditlog-logexpirationtime 属性的单元。如果服务器未知单位,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logexpirationtimeunit: day |
2.1.51. nsslapd-auditlog-logging-enabled
打开和关闭审计日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logging-enabled: off |
要启用审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到。表列出了这两个配置属性的值的 4 个可能组合及其在禁用或启用审计日志记录时的结果。
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
2.1.52. nsslapd-auditlog-logmaxdiskspace
此属性设置审计日志可以使用的最大磁盘空间量(以 MB 为单位)。如果超过这个值,则会删除最旧的审计日志。
在设置最大磁盘空间时,请考虑日志文件轮转可创建的日志文件总数。还请记住,目录服务器维护了三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 代表允许审计日志的磁盘空间大小无限。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
2.1.53. nsslapd-auditlog-logminfreediskspace
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间量低于此属性指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (无限)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logminfreediskspace: -1 |
2.1.54. nsslapd-auditlog-logrotationsync-enabled
此属性设置审计日志轮转是与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使审计日志轮转与时间结束同步,此属性必须使用 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性值启用,以便轮转日志文件。
例如,要在每天的午夜之间轮转审计日志文件,将其值设为 on 来启用此属性,然后将 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationsync-enabled: on |
2.1.55. nsslapd-auditlog-logrotationsynchour
此属性设置轮转审计日志的天的小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsynchour: 23 |
2.1.56. nsslapd-auditlog-logrotationsyncmin
此属性设置轮转审计日志的当天的分钟。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsyncmin: 30 |
2.1.57. nsslapd-auditlog-logrotationtime
此属性设定审计日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-auditlog-logrotationtimeunit 属性提供。如果 nsslapd-auditlog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然不建议根据性能原因指定日志轮转,但随着日志无限期增长,但可以通过两种方式指定。将 nsslapd-auditlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditlog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-auditlog-logrotationtime 属性。如需更多信息,请参阅 nsslapd-auditfaillog-maxlogsperdir。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示审计日志文件轮转之间的时间是无限的。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationtime: 100 |
2.1.58. nsslapd-auditlog-logrotationtimeunit
此属性设置 nsslapd-auditlog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationtimeunit: day |
2.1.59. nsslapd-auditlog-maxlogsize
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志会轮转。这意味着服务器开始将日志信息写入新的日志文件中。如果 nsslapd-auditlog-maxlogsperdir 为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑日志文件轮转可创建的日志文件总数。此外,请记住,目录服务器维护五种不同的日志文件(访问日志、审计日志、审计日志、错误日志、安全日志),各自消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示日志文件的大小不限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsize: 50 |
2.1.60. nsslapd-auditlog-maxlogsperdir
此属性设置存储在审计日志的目录中的审计日志总数。每次轮转审计日志时,都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增大。
如果此属性的值大于 1,则检查 nsslapd-auditlog-logrotationtime 属性,以确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 nsslapd-accesslog-logrotationtime。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsperdir: 10 |
2.1.61. nsslapd-auditlog-mode
此属性设置要创建的审计日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,从 0 到 7 的数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-mode: 600 |
2.1.62. nsslapd-auditlog-time-format
在启用 JSON 日志记录时,使用 nsslapd-auditlog-time-format 属性自定义 audit 和 auditfail 日志中的 local_time 字段值。它不会影响默认(纯文本)日志格式。
默认值为 %FT%T,它生成 2025-01-15T14:30:45 格式的时间(ISO 8601)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
任何时间格式代码在 |
| 默认值 | %FT%T |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-time-format: %FT%T |
2.1.63. nsslapd-bakdir
此参数设置默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地目录路径。 |
| 默认值 | /var/lib/dirsrv/slapd-instance/bak |
| 语法 | DirectoryString |
| 示例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
2.1.64. nsslapd-certdir
此参数定义目录服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。
作为回退,如果服务器无法将它们提取到私有命名空间中的 /tmp/ 目录中,则目录服务器提取私钥和证书到此目录。有关私有命名空间的详情,请查看 systemd.exec (5) 手册页中的 PrivateTmp 参数描述。
nsslapd-certdir 中指定的目录必须由服务器的用户 ID 所有,并且只有此用户 ID 必须在这个目录中具有读写权限。为安全起见,其他用户都不应具有读取和写入这个目录的权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 绝对路径 |
| 默认值 | /etc/dirsrv/slapd-instance_name/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
2.1.65. nsslapd-certmap-basedn
当使用 TLS 证书执行客户端身份验证时,可以使用此属性以避免在 /etc/dirsrv/slapd-instance_name/certmap.conf 文件中配置的安全子系统证书映射的限制。根据此文件中的配置,可使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN,则 nsslapd-certmap-basedn 属性可能会强制搜索基于 root 以外的其他条目。此属性的有效值为用于证书映射的后缀或子树的 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
2.1.66. nsslapd-close-on-failed-bind
如果 BIND 操作失败,请使用 nsslapd-close-on-failed-bind 配置属性来关闭来自服务器端的客户端连接。
启用此参数有助于在应用程序忽略 BIND 返回代码并继续发送请求时从 Directory 服务器减少负载。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | nsslapd-close-on-failed-bind: off |
2.1.67. nsslapd-cn-uses-dn-syntax-in-dns
这个参数允许您在 CN 值中启用 DN。
目录服务器 DN 规范化程序遵循 RFC4514,并在 RDN 属性类型不基于 DN 语法时保留空格。但是,Directory 服务器的配置条目有时会使用 cn 属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config 中,cn =config 应按 DN 语法规范化。
如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns 参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
2.1.68. nsslapd-config
这个 read-only 属性是配置 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的配置 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-config: cn=config |
2.1.69. nsslapd-connection-buffer
此属性设置连接缓冲行为。可能的值:
-
0:禁用缓冲。一次只能读取单个协议数据单元(PDU)。 -
1:常规固定大小LDAP_SOCKET_IO_BUFFER_SIZE为512字节。 -
2:可适应性缓冲区大小。
如果客户端一次发送大量数据,则值 2 提供了更好的性能。例如,这是大型添加和修改操作的情况,或者在复制期间通过单一连接接收多个异步请求时。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 | 1 | 2 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-connection-buffer: 1 |
2.1.70. nsslapd-connection-nocanon
这个选项允许您启用或禁用 SASL NOCANON 标志。禁用避免目录服务器为传出连接查找 DNS 反向条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-connection-nocanon: on |
2.1.71. nsslapd-counters
nsslapd-counters 属性启用和禁用目录服务器数据库和服务器性能计数器。
通过跟踪更大的计数器,可能会有性能影响。为计数器关闭 64 位整数可能会对性能有最小的改进,尽管它会影响长期统计跟踪。
默认启用此参数。要禁用计数器、停止目录服务器,直接编辑 dse.ldif 文件,然后重新启动服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-counters: on |
2.1.72. nsslapd-csnlogging
此属性设定在访问日志中是否记录更改序列号(CSN)。默认情况下打开 CSN 日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-csnlogging: on |
2.1.73. nsslapd-defaultnamingcontext
此属性提供所有配置的命名上下文,哪些客户端默认应用于搜索基础。这个值被复制到 root DSE 作为 defaultNamingContext 属性,它允许客户端查询 root DSE 获取上下文,然后发起使用适当的基础的搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 root 后缀 DN |
| 默认值 | 默认用户后缀 |
| 语法 | DN |
| 示例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
2.1.74. nsslapd-disk-monitoring
此属性可让线程每 10 (10)秒运行,以检查磁盘上的可用磁盘空间或挂载上运行 Directory Server 数据库的位置。如果可用磁盘空间低于配置的阈值,则服务器开始减少日志记录级别,禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器将正常关闭(在 wanring 和 grace period 后)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring: on |
2.1.75. nsslapd-disk-monitoring-grace-period
在达到 nsslapd-disk-monitoring-threshold 中设置一半磁盘空间限制后,设置在服务器关闭前等待的宽限期。这为管理员提供了清理磁盘并阻止关闭的时间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数(以分钟为单位) |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsslapd-disk-monitoring-grace-period: 45 |
2.1.76. nsslapd-disk-monitoring-logging-critical
如果日志目录传递磁盘空间限值 nsslapd-disk-monitoring-threshold 设置的一半,则设置是否关闭服务器。
如果启用了此项,则不会 禁用日志记录,并 不会删除 轮转的日志,因为服务器会减少磁盘用量。服务器只是进入关闭过程。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-logging-critical: on |
2.1.77. nsslapd-disk-monitoring-readonly-on-threshold
如果可用磁盘空间达到您在 nsslapd-disk-monitoring-threshold 参数中设置的值的一半,则目录服务器会在达到 nsslapd-disk-monitoring-grace-period 中设置宽限期后关闭实例。但是,如果磁盘在实例停机前耗尽空间,则数据可能会损坏。要防止这个问题,请启用 nsslapd-disk-monitoring-readonly-on-threshold 参数,在达到阈值时将实例设置为只读模式。
使用这个设置时,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold 中配置阈值的一半,则目录服务器不会启动。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
2.1.78. nsslapd-disk-monitoring-threshold
设置阈值(以字节为单位),用于评估服务器是否有足够可用磁盘空间。一旦空间达到这个阈值的一半,服务器就会启动一个关闭的进程。
例如,如果阈值是 2MB (默认),则当可用磁盘空间达到 1MB 后,服务器将开始关闭。
默认情况下,阈值会在配置、事务和数据库目录用于目录服务器实例的磁盘空间上评估。如果启用了 nsslapd-disk-monitoring-logging-critical 属性,则日志目录包含在评估中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 到 32 位最大整数值(2147483647)在 32 位系统中 * 0 到 64 位整数值(9223372036854775807)的最大 64 位整数值(9223372036854775807) |
| 默认值 | 2000000 (2MB) |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-threshold: 2000000 |
2.1.79. nsslapd-dn-validate-strict
nsslapd-syntaxcheck 属性使服务器能够验证任何新的或修改的属性值是否与该属性所需的语法匹配。
但是,DN 的语法规则的增长越来越严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用较旧的语法定义的许多服务器。默认情况下,nsslapd-syntaxcheck 使用 RFC 1779 或 RFC 2253 验证 DN。
根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict 属性明确为 DN 启用严格的语法验证。如果此属性设为 off (默认值),服务器会在检查它是否存在语法违反情况前对值进行规范化。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-dn-validate-strict: off |
2.1.80. nsslapd-ds4-compatible-schema
使 cn=schema 中的模式与 Directory Server 的 4.x 版本兼容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ds4-compatible-schema: off |
2.1.81. nsslapd-enable-turbo-mode
Directory Server turbo 模式是一个功能,它允许 worker 线程专用于连接,并从那个连接持续读取传入的操作。这可提高非常活跃的连接的性能,这个功能会被默认启用。
worker 线程处理服务器收到的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber 参数中定义。每 5 秒,每个 worker 线程评估其当前连接的活动级别是所有已建立的连接中最高的最高之一。目录服务器在最后一次检查后启动的操作数量时测量活动,如果当前连接的活动是最高的数量,则以 turbo 模式切换 worker 线程。
如果您在日志文件(日志文件中)遇到长时间执行时间(如一秒或更长时间),则停用 turbo 模式可以提高性能。然而,在某些情况下,绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-turbo-mode: on |
2.1.82. nsslapd-enable-upgrade-hash
在简单的绑定过程中,目录服务器可以访问纯文本密码,因为绑定操作的性质。如果启用了 nsslapd-enable-upgrade-hash 参数,且用户身份进行身份验证,Directory 服务器会检查用户的 userPassword 属性是否使用 passwordStorageScheme 属性中设置的哈希算法。如果算法不同,服务器会使用来自 passwordStorageScheme 的算法对纯文本密码进行哈希处理,并更新用户的 userPassword 属性的值。
例如,如果您使用弱算法哈希的密码导入用户条目,服务器将使用 passwordStorageScheme 中设置的算法(默认为 PBKDF2_SHA256 )在用户首次登录时自动重新哈希密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-upgrade-hash: on |
2.1.83. nsslapd-enquote-sup-oc
此属性已弃用,并将在以后的 Directory Server 版本中删除。
此属性控制 cn=schema 条目中包含的 objectclass 属性中的引用是否符合互联网草案 RFC 2252 所指定的 quoting。默认情况下,Directory 服务器符合 RFC 2252,这表示这个值不应加引号。在 上,只有非常旧的客户端需要将此值设置为,因此请 将其关闭。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-enquote-sup-oc: off |
2.1.84. nsslapd-entryusn-global
nsslapd-entryusn-global 参数定义 USN 插件是否在所有后端数据库间分配唯一的更新序列号(USN)或单独分配给每个数据库。对于所有后端数据库的唯一 USN,请在 上 将此参数设置为。
详情请查看 entryUSN。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-global: off |
2.1.85. nsslapd-entryusn-import-initval
当从一台服务器导出条目并导入到另一个服务器(包括初始化数据库以进行复制时),条目更新序列号(USN)不会被保留。默认情况下,导入条目的条目 USNs 被设置为零。
可以使用 nsslapd-entryusn-import-initval 为条目 USNs 配置不同的初始值。这会设置起始 USN,用于所有导入的条目。
nsslapd-entryusn-import-initval 有两个可能的值:
- 整数,这是每个导入条目的显式开始号。
- 接下来,这意味着每个导入的条目都使用服务器上最高条目 USN 值,然后再以 1 递增。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 | 下一个 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-import-initval: next |
2.1.86. nsslapd-errorlog
此属性设置用于记录目录服务器生成的错误消息的路径和文件名。这些消息可以描述错误条件,但更频繁地包含信息性条件,例如:
- 服务器启动和关闭时间。
- 服务器使用的端口号。
根据 Log Level 属性的当前设置,此日志包含不同数量的信息。如需更多信息,请参阅 nsslapd-errorlog-level。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/errors |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的值的四个可能组合及其在禁用或启用错误日志记录方面的结果。
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | Enabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
2.1.87. nsslapd-errorlog-compress
目录服务器默认不会压缩错误日志。将 nsslapd-errorlog-compress 设置为 on,以在 Directory 服务器轮转日志时启用错误日志压缩。
您不需要重新启动服务器来应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | nsslapd-errorlog-compress: on |
2.1.88. nsslapd-errorlog-json-format
nsslapd-errorlog-json-format 属性设置错误日志记录的格式。
您可以设置以下格式:
-
default.以纯文本形式记录日志条目。这是错误日志记录的原始纯文本格式。 -
json.以紧凑 JSON 格式记录适合日志解析工具和分析的日志条目。 -
json-pretty.记录更易读的 JSON 格式的日志条目,适用于调试。请注意,json-pretty生成更大的日志文件。
当您切换到新的日志记录格式时,Directory 服务器会轮转当前日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | default, json, json-pretty |
| 默认值 | default |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-json-format: json |
2.1.89. nsslapd-errorlog-level
此属性设置 Directory 服务器的日志记录级别。日志级别为 additive;即,指定值 3 包括级别 1 和 2。
nsslapd-errorlog-level 的默认值为 16384。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 有关错误日志级别的完整列表,请参阅 错误日志级别。 |
| 默认值 | 16384 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-level: 8192 |
2.1.90. nsslapd-errorlog-list
此 read-only 属性提供错误日志文件的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
2.1.91. nsslapd-errorlog-logbuffering
当 nsslapd-errorlog-logbuffering 属性设置为 off 时,服务器会将所有错误日志条目直接写入磁盘。当将 nsslapd-errorlog-logbuffering 设置为 on 时,目录服务器可以使用错误日志记录,即使在负载过重时,不会影响服务器性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logbuffering: on |
2.1.92. nsslapd-errorlog-logexpirationtime
此属性设置日志文件在删除前允许访问的最长期限。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-errorlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logexpirationtime: 1 |
2.1.93. nsslapd-errorlog-logexpirationtimeunit
此属性设置 nsslapd-errorlog-logexpirationtime 属性的单元。如果服务器未知单位,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logexpirationtimeunit: week |
2.1.94. nsslapd-errorlog-logging-enabled
打开和关闭错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logging-enabled: on |
2.1.95. nsslapd-errorlog-logmaxdiskspace
此属性设置允许错误日志消耗的最大磁盘空间量,以 MB 为单位。如果超过这个值,则会删除最旧的错误日志。
在设置最大磁盘空间时,请考虑日志文件轮转可创建的日志文件总数。另外,请记住,Directory 服务器维护了三个不同的日志文件(访问日志、审计日志和错误日志)。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示允许错误日志的磁盘空间大小无限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
2.1.96. nsslapd-errorlog-logminfreediskspace
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,最旧的错误日志会被删除,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (无限)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logminfreediskspace: -1 |
2.1.97. nsslapd-errorlog-logrotationsync-enabled
此属性设置错误日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
要使错误日志轮转与时间结束同步,此属性必须使用 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性值启用,以便轮转日志文件。
例如,要在每天的午夜轮转错误日志文件,将其值设为 on 来启用此属性,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationsync-enabled: on |
2.1.98. nsslapd-errorlog-logrotationsynchour
此属性设置轮转错误日志的小时。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsynchour: 23 |
2.1.99. nsslapd-errorlog-logrotationsyncmin
此属性设置轮转错误日志的分钟。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsyncmin: 30 |
2.1.100. nsslapd-errorlog-logrotationtime
此属性设定错误日志文件轮转之间的时间。此属性仅提供单位数。单元(day、week、month 等)由 nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit)属性提供。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,无论日志的大小如何。
虽然不建议根据性能原因指定日志轮转,但随着日志无限期增长,但可以通过两种方式指定。将 nsslapd-errorlog-maxlogsperdir 属性设置为 1,或者将 nsslapd-errorlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-errorlog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-errorlog-logrotationtime 属性。如需更多信息,请参阅 nsslapd-errorlog-maxlogsperdir。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示错误日志文件轮转之间的时间没有限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationtime: 100 |
2.1.101. nsslapd-errorlog-logrotationtimeunit
此属性设置 nsslapd-errorlog-logrotationtime 的单元(Error Log Rotation Time)。如果服务器未知单位,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationtimeunit: day |
2.1.102. nsslapd-errorlog-maxlogsize
此属性以 MB 为单位设置最大错误日志大小。达到这个值时,会轮转错误日志,服务器开始将日志信息写入新的日志文件。如果 nsslapd-errorlog-maxlogsperdir 设为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑日志文件轮转可创建的日志文件总数。此外,请记住,目录服务器维护五种不同的日志文件(访问日志、审计日志、审计日志、错误日志、安全日志),各自消耗磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小不限。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsize: 100 |
2.1.103. nsslapd-errorlog-maxlogsperdir
此属性设置存储在错误日志的目录中的错误日志总数。每次轮转错误日志时,都会创建一个新的日志文件。当错误日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增大。
如果此属性的值大于 1,请检查 nsslapd-errorlog-logrotationtime 属性,以确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 nsslapd-errorlog-logrotationtime。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsperdir: 10 |
2.1.104. nsslapd-errorlog-mode
此属性设置创建错误日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,与 0 到 7 的不同数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响创建的新日志;当日志轮转到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-mode: 600 |
2.1.105. nsslapd-errorlog-time-format
在启用 JSON 日志记录时,使用 nsslapd-errorlog-json-format 配置属性在错误日志中自定义 local_time 字段值。它不会影响默认(纯文本)日志格式。
默认值为 %FT%T,它生成 2025-01-15T14:30:45 格式的时间(ISO 8601)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
任何时间格式代码在 |
| 默认值 | %FT%T |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-time-format: %FT%T |
2.1.106. nsslapd-external-libs-debug-enabled
要在目录服务器中启用第三方日志记录,请使用 nsslapd-external-libs-debug-enabled 属性。
库(如 libldap 和 libber )执行错误和调试日志记录,但这些记录在 Directory Server 日志中不可用。当在 上将 nsslapd-external-libs-debug-enabled 属性设置为,目录服务器可以使用 libldap 和 libber 软件包提供的所有日志级别。
仅为调试目的启用 nsslapd-external-libs-debug-enabled 属性,因为它为所有操作生成详细日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | nsslapd-external-libs-debug-enabled: off |
2.1.107. nsslapd-force-sasl-external
在建立 TLS 连接时,客户端首先发送其证书,然后使用 SASL/EXTERNAL 机制发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭证用于 TLS 握手。但是,有些客户端在发送其 BIND 请求时不使用 SASL/EXTERNAL,因此 Directory 服务器将绑定作为简单身份验证请求或匿名请求处理,并且 TLS 连接失败。
nsslapd-force-sasl-external 属性强制基于证书的身份验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | 字符串 |
| 示例 | nsslapd-force-sasl-external: on |
2.1.108. nsslapd-groupevalnestlevel
此属性已弃用,此处仅记录用于历史目的。
Access Control Plug-in 不使用 nsslapd-groupevalnestlevel 属性指定的值来设置访问控制为组评估执行的嵌套级别数。相反,嵌套级别的数量被硬编码为 5。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-groupevalnestlevel: 5 |
2.1.109. nsslapd-haproxy-trusted-ip
nsslapd-haproxy-trusted-ip 属性配置可信代理服务器的列表。当您设置 nsslapd-haproxy-trusted-ip 时,Directory 服务器使用 HAProxy 协议通过额外的 TCP 标头接收客户端 IP 地址,以正确评估访问控制指令(ACI)并记录客户端流量。
如果不受信任的代理服务器启动绑定请求,Directory 服务器会拒绝请求,并将以下信息记录到错误日志文件中:
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
要设置可信代理服务器的列表,请使用 dsconf 工具。例如,如果目录服务器信任 127.0.0.1,127.0.0.2,127.0.0.3 IP 地址,请运行:
# dsconf instance_name config replace nsslapd-haproxy-trusted-ip=127.0.0.1 nsslapd-haproxy-trusted-ip=127.0.0.2 nsslapd-haproxy-trusted-ip=127.0.0.3| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| Example | nsslapd-haproxy-trusted-ip: 127.0.0.1 |
2.1.110. nsslapd-idletimeout
此属性设定服务器关闭闲置 LDAP 客户端连接的时间(以秒为单位)。0 表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当处理 connection 表时,闲置超时会被强制使用,当 poll () 没有返回零时。因此,只有一个连接的服务器永远不会强制执行闲置超时。
使用 nsIdleTimeout 操作属性(可添加到用户条目)来覆盖分配给此属性的值。
对于非常大的数据库,此属性必须具有足够高的值,在线初始化过程可以完成,或者与服务器连接超时时,复制将失败。或者,nsIdleTimeout 属性可以设置为用作供应商绑定 DN 的条目的高值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-idletimeout: 3600 |
2.1.111. nsslapd-ignore-virtual-attrs
这个参数允许在搜索条目中禁用虚拟属性查找。
如果您不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| Example | nsslapd-ignore-virtual-attrs: on |
2.1.112. nsslapd-instancedir
此属性已弃用。现在,对于特定于实例的路径有单独的配置参数,如 nsslapd-certdir 和 nsslapd-lockdir。有关设置的特定目录路径,请参阅文档。
2.1.113. nsslapd-ioblocktimeout
此属性以秒为单位设置到停止的 LDAP 客户端的连接关闭的时间长度。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) ( ticks) |
| 默认值 | 10000 |
| 语法 | 整数 |
| 示例 | nsslapd-ioblocktimeout: 10000 |
2.1.114. nsslapd-lastmod
此属性设置目录服务器是否为新创建的条目维护 creatorsName,createTimestamp,modifiersName, 和 modifyTimestamp 操作属性。
红帽建议不要禁用跟踪这些属性。如果禁用,条目不会获得 nsUniqueID 属性中分配的唯一 ID,且复制无法正常工作。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-lastmod: on |
2.1.115. nsslapd-ldapiautobind
nsslapd-ldapiautobind 设置服务器是否允许用户使用 LDAPI 自动将绑定到目录服务器。Autobind 将系统用户的 UID 或 GUID 编号映射到目录服务器用户,并根据这些凭证自动向目录服务器验证用户。目录服务器连接通过 UNIX 套接字进行。
除了启用自动绑定外,配置 autobind 需要配置映射条目。nsslapd-ldapimaprootdn 将系统上的 root 用户映射到目录管理器。nsslapd-ldapimaptoentries 根据 nsslapd-ldapiuidnumbertype、nsslapd-ldapigidnumbertype 和 nsslapd-ldapientrysearchbase 属性中定义的参数将常规用户映射到 Directory Server 用户。
只有启用了 LDAPI 时,才能启用 Autobind,这意味着 nsslapd-ldapilisten 为 on,并且 nsslapd-ldapifilepath 属性设置为 LDAPI 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiautobind: off |
2.1.116. nsslapd-ldapientrysearchbase
使用 autobind 时,可以根据系统用户的 UID 和 GUID 号,将系统用户映射到目录服务器用户条目。这需要为哪个属性设置目录服务器参数,用于 UID 号(nsslapd-ldapiuidnumbertype)和 GUID 号(nsslapd-ldapigidnumbertype),并设置搜索基础来搜索匹配的用户条目。
nsslapd-ldapientrysearchbase 给出用于自动绑定的用户条目的子树。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | DN |
| 默认值 |
创建服务器实例时创建的后缀,如 |
| 语法 | DN |
| 示例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
2.1.117. nsslapd-ldapifilepath
LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI,服务器必须配置为通过 UNIX 套接字进行通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath 属性中设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录路径 |
| 默认值 | /var/run/dirsrv/slapd-example.socket |
| 语法 | case-exact 字符串 |
| 示例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
2.1.118. nsslapd-ldapigidnumbertype
Autobind 可用于自动对服务器验证系统用户,并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户以进行身份验证,系统用户的 UID 和 GUID 编号应映射为 Directory Server 属性。nsslapd-ldapigidnumbertype 属性指向 Directory Server 属性,将系统 GUID 映射到用户条目。
只有启用了 LDAPI 时,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind 被启用(nsslapd-ldapiautobind),并为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录服务器属性 |
| 默认值 | gidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapigidnumbertype: gidNumber |
2.1.119. nsslapd-ldapilisten
nsslapd-ldapilisten 启用 LDAPI 连接到目录服务器。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了启用 LDAPI 外,通过将 nsslapd-ldapilisten 设置为 on,还必须在 nsslapd-ldapifilepath 属性中为 LDAPI 设置 UNIX 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapilisten: on |
2.1.120. nsslapd-ldapimaprootdn
nsslapd-ldapimaprootdn 属性已弃用。使用 nsslapd-rootdn 参数将系统 root 条目映射到根 DN 条目。
使用 autobind 时,系统用户映射到目录服务器用户,然后通过 UNIX 套接字自动向 Directory 服务器进行身份验证。
root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn 属性中指定的任何目录服务器条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | cn=Directory Manager |
| 语法 | DN |
| 示例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
2.1.121. nsslapd-ldapimaptoentries
使用 autobind 时,系统用户映射到目录服务器用户,然后通过 UNIX 套接字自动向 Directory 服务器进行身份验证。对于 root 用户,这个映射是自动的,但必须通过 nsslapd-ldapimaptoentries 属性为常规用户启用该映射。将此属性设置为 on 可启用常规用户到目录服务器条目的映射。如果没有启用此属性,则只有 root 用户可以使用 autobind 向 Directory 服务器进行身份验证,所有其他用户都匿名连接。
映射本身通过 nsslapd-ldapiuidnumbertype 和 nsslapd-ldapigidnumbertype 属性配置,它将 Directory Server 属性映射到用户的 UID 和 GUID 号。
如果启用了 LDAPI,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)并启用 autobind (nsslapd-ldapiautobind)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapimaptoentries: on |
2.1.122. nsslapd-ldapiuidnumbertype
Autobind 可用于自动对服务器验证系统用户,并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户以进行身份验证,系统用户的 UID 和 GUID 号必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype 属性指向 Directory Server 属性,将系统 UID 映射到用户条目。
只有启用了 LDAPI 时,用户只能使用 autobind 连接到服务器(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind 被启用(nsslapd-ldapiautobind),并为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录服务器属性 |
| 默认值 | uidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiuidnumbertype: uidNumber |
2.1.123. nsslapd-ldifdir
在使用 db2ldif 或 db2ldif.pl 时,目录服务器会将 LDAP 数据交换格式(LDIF)格式的文件导出到此参数中设置的目录。目录必须由 Directory Server 用户和组所有。只有此用户和组必须在此目录中具有读写访问权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory Server 用户可写入的任何目录 |
| 默认值 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
2.1.124. nsslapd-listen-backlog-size
此属性设置套接字连接积压的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 最大 64 位整数值(9223372036854775807) |
| 默认值 | 128 |
| 语法 | 整数 |
| 示例 | nsslapd-listen-backlog-size: 128 |
2.1.125. nsslapd-listenhost
此属性允许多个目录服务器实例在多主目录机器上运行(或使可以限制侦听多主目录计算机的一个接口)。同一名可以有多个 IP 地址,这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将 Directory Server 实例限制为单个 IP 接口。
如果将主机名指定为 nsslapd-listenhost 值,则目录服务器会响应与主机名关联的每个接口的请求。如果单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost 值,目录服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-listenhost: ldap.example.com |
2.1.126. nsslapd-localhost
此属性指定目录服务器在其上运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障切换节点的高可用性配置中,引用应指向集群的虚拟名称,而不是本地主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何完全限定主机名。 |
| 默认值 | 安装的机器的主机名。 |
| 语法 | DirectoryString |
| 示例 | nsslapd-localhost: phonebook.example.com |
2.1.127. nsslapd-localssf
nsslapd-localssf 参数为 LDAPI 连接设置安全强度因素(SSF)。只有在 nsslapd-localssf 中设置的值大于或等于 nsslapd-minssf 参数中设置的值时,目录服务器才会允许 LDAPI 连接。因此,LDAPI 连接符合 nsslapd-minssf 中设置的最小 SSF。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 71 |
| 语法 | 整数 |
| 示例 | nsslapd-localssf: 71 |
2.1.128. nsslapd-localuser
此属性将用户设置为 Directory 服务器运行。用户运行的组通过检查用户的主组来派生出此属性。如果用户更改,则此实例的所有实例相关文件和目录都需要使用 chown 等工具更改为由新用户所有。
在配置服务器实例时,最初设置 nsslapd-localuser 的值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的用户 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-localuser: dirsrv |
2.1.129. nsslapd-lockdir
这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-instance。在服务器重启前,对这个值的更改不会生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 服务器用户 ID 拥有的目录的绝对路径,对服务器 ID 具有写入访问权限 |
| 默认值 | /var/lock/dirsrv/slapd-instance |
| 语法 | DirectoryString |
| 示例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
2.1.130. nsslapd-malloc-mmap-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 /etc/sysconfig/dirsrv 或 /etc/ 文件中设置它们。详情请查看 systemd.exec(3) man page。
sysconfig/dirsrv -instance_name
nsslapd-malloc-mmap-threshold 参数允许您在 Directory Server 配置中设置 M_MMAP_THRESHOLD 环境变量,而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_MMAP_THRESHOLD 参数描述。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 33554432 |
| 默认值 |
请参阅 mallopt(3) man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mmap-threshold: 33554432 |
2.1.131. nsslapd-malloc-mxfast
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 /etc/sysconfig/dirsrv 或 /etc/ 文件中设置它们。详情请查看 systemd.exec(3) man page。
sysconfig/dirsrv -instance_name
nsslapd-malloc-mxfast 参数允许您在 Directory Server 配置中设置 M_MXFAST 环境变量,而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_MXFAST 参数描述。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 80 * (sizeof(size_t) / 4) |
| 默认值 |
请参阅 mallopt(3) man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mxfast: 1048560 |
2.1.132. nsslapd-malloc-trim-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 /etc/sysconfig/dirsrv 或 /etc/ 文件中设置它们。详情请查看 systemd.exec(3) man page。
sysconfig/dirsrv -instance_name
nsslapd-malloc-trim-threshold 参数允许您在 Directory Server 配置中设置 M_TRIM_THRESHOLD 环境变量,而不是手动编辑服务文件。详情请查看 mallopt(3) man page 中的 M_TRIM_THRESHOLD 参数描述。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 2^31-1 |
| 默认值 |
请参阅 mallopt(3) man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-trim-threshold: 131072 |
2.1.133. nsslapd-maxbersize
定义传入消息允许的最大大小,以字节为单位。这限制了目录服务器可处理的 LDAP 请求大小。限制请求大小可防止某种形式拒绝服务攻击。
限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。
此设置不需要服务器重启来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 2GB (2,147,483,647 字节)
零 |
| 默认值 | 2097152 |
| 语法 | 整数 |
| 示例 | nsslapd-maxbersize: 2097152 |
2.1.134. nsslapd-maxdescriptors
nsslapd-maxdescriptors 属性设置目录服务器可以使用的最大平台相关文件描述符。每当客户端连接到服务器以及某些服务器活动(如索引维护)时,都会使用文件描述符。日志文件、数据库文件(索引和事务日志)也使用文件描述符,作为到其他服务器的传出连接的套接字进行复制和链。
用于提供客户端连接的描述符数量等于 nsslapd-maxdescriptors 属性减去 nsslapd-reservedescriptors 属性决定的非客户端连接的文件描述符数量。如需了解更多详细信息,请参阅 nsslapd-reservedescriptors。
为 nsslapd-maxdescriptors 属性设置的数字不能超过操作系统允许 ns-slapd 进程使用的文件描述符总数。这个数字根据操作系统的不同而有所不同。有关文件描述符限制和配置的详情,请查看操作系统文档。您可以使用 dsktune 程序建议更改系统内核或 TCP/IP 调整属性。
如果将 nsslapd-maxdescriptors 属性的值过高,Directory 服务器会查询操作系统以获取最大允许值,然后使用这个值。目录服务器在错误日志中发出警告。如果您使用 ldapmodify 远程设置无效的值,服务器会拒绝新值,保留旧值,并响应错误。
如果 Directory Server 拒绝连接,则增加 nsslapd-maxdescriptors 属性值,因为它没有文件描述符,并将以下信息写入 Directory Server 错误日志文件:
Not listening for new connections -- too many fds open
UNIX shell 通常对文件描述符数量具有可配置的限制。有关 限制和 ulimit 的更多信息,请参阅操作系统文档,因为这些限制可能会导致问题。
您必须重启服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 依赖操作系统 |
| 默认值 | 1048576.服务器运行的操作系统的文件描述符限制 |
| 语法 | 整数 |
| Example | nsslapd-maxdescriptors: 64000 |
2.1.135. nsslapd-maxsasliosize
当用户通过 SASL GSS-API 向 Directory 服务器进行身份验证时,服务器必须根据客户端请求的内存数量,为客户端分配一定数量的内存。攻击者可能会发送这样的大型数据包大小,使其使目录服务器崩溃或作为拒绝服务攻击的一部分无限期出现。
可以使用 nsslapd-maxsasliosize 属性来限制目录服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大 SASL IO 数据包大小。
当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize 限制时,服务器会立即断开客户端,并将消息记录到错误日志中,以便管理员可以调整设置。
此属性值以字节为单位指定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | * -1 (无限)在 32 位系统上,最大 32 位整数值(2147483647) * -1 (无限)在 64 位系统上,最大 64 位整数值(9223372036854775807) |
| 默认值 | 2097152 (2MB) |
| 语法 | 整数 |
| 示例 | nsslapd-maxsasliosize: 2097152 |
2.1.136. nsslapd-maxthreadsperconn
定义连接应使用的最大线程数。对于客户端绑定且仅在未绑定前执行一个或多个操作的常规操作,请使用默认值。对于客户端绑定和同时发出多个请求的情况,请增加这个值,以便每个连接有足够的资源来执行所有操作。服务器控制台不提供此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 用于最大线程数 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-maxthreadsperconn: 5 |
2.1.137. nsslapd-minssf
安全强度因素是 根据其关键强度调查连接的相对度。SSF 确定 TLS 或 SASL 连接的安全。nsslapd-minssf 属性为服务器的任何连接设置最小 SSF 要求;任何比最小 SSF 更弱的连接尝试都会被拒绝。
TLS 和 SASL 连接可以在与目录服务器的连接中混合。这些连接通常具有不同的 SSF。这两个 SSF 越高用于与最小 SSF 要求进行比较。
将 SSF 值设置为 0 表示没有最小设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0 (off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf: 128 |
2.1.138. nsslapd-minssf-exclude-rootdse
安全强度因素是 根据其关键强度调查连接的相对度。SSF 确定 TLS 或 SASL 连接的安全。
nsslapd-minssf-exclude-rootdse 属性为服务器的任何连接设置最小 SSF 要求,除了对 root DSE 的查询除外。这为大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取有关服务器配置的必要信息,而无需先建立安全连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0 (off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf-exclude-rootdse: 128 |
2.1.139. nsslapd-moddn-aci
此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-moddn-aci: on |
2.1.140. nsslapd-nagle
当此属性的值 关闭 时,会设置 TCP_NODELAY 选项,以便 LDAP 响应(如条目或结果消息)会立即发回到客户端。打开属性时,会应用默认的 TCP 行为;特别是,发送数据会延迟到底层网络 MTU 大小的一个数据包中,通常为 1500 字节用于以太网。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-nagle: off |
2.1.141. nsslapd-ndn-cache-enabled
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器会在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size 参数,以设置此缓存的最大大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ndn-cache-enabled: on |
2.1.142. nsslapd-ndn-cache-max-size
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器会在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size 参数设置此缓存的最大大小。
如果请求的 DN 尚未缓存,它会被规范化并添加。超过缓存大小限制时,目录服务器会从缓存中删除最早使用的 10,000 个 DN。但是,最少 10,000 个 DN 始终会被缓存。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 20971520 |
| 语法 | 整数 |
| 示例 | nsslapd-ndn-cache-max-size: 20971520 |
2.1.143. nsslapd-outbound-ldap-io-timeout
此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000 毫秒(5 分钟)。值 0 表示服务器不会对 I/O 等待时间施加限制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 300000 |
| 语法 | DirectoryString |
| 示例 | nsslapd-outbound-ldap-io-timeout: 300000 |
2.1.144. nsslapd-pagedsizelimit
此属性设置从搜索操作( 特别是使用简单页面结果控制 )返回的最大条目数。这会覆盖用于页搜索的 nsslapd-sizelimit 属性。
如果将此值设置为零,则使用 nsslapd-sizelimit 属性用于页搜索以及非页搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsslapd-pagedsizelimit: 10000 |
2.1.145. nsslapd-plug-in
此 read-only 属性列出了服务器加载的语法和匹配规则插件的插件的 DN。
2.1.146. nsslapd-plugin-binddn-tracking
将用于操作的绑定 DN 设置为条目的修饰符,即使操作本身是由服务器插件启动的。执行该操作的特定插件列在单独的操作属性 internalModifiersname 中。
一个更改可以在目录树中触发其他的自动更改。例如,当用户被删除时,该用户将自动从其所属的任何组中移除,由 referential Integrity 插件自动从其所属的组中删除。用户的初始删除由任何用户帐户绑定到服务器执行,但对组(默认)的更新显示为由插件执行,没有关于哪个用户启动该更新的信息。nsslapd-plugin-binddn-tracking 属性允许服务器跟踪哪个用户源自更新操作,以及实际执行它的内部插件。例如:
dn: cn=my_group,ou=groups,dc=example,dc=com
modifiersname: uid=jsmith,ou=people,dc=example,dc=com
internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config此属性默认为禁用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-binddn-tracking: on |
2.1.147. nsslapd-plugin-logging
默认情况下,即使访问日志记录被设置为记录内部操作,插件内部操作也不会记录在访问日志文件中。您可以使用此参数全局控制它,而不是在每个插件配置中启用日志记录。
启用后,插件会使用此全局设置,并在启用后记录访问和审计事件。
如果启用了 nsslapd-plugin-logging,并且 nsslapd-accesslog-level 设置为记录内部操作,则未索引搜索和其他内部操作将登录到访问日志文件中。
如果没有设置 nsslapd-plugin-logging,则来自插件的未索引搜索仍然记录在 Directory Server 错误日志中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-logging: off |
2.1.148. nsslapd-port
此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS,请使用 Start TLS 扩展操作。此所选端口在主机系统上必须是唯一的;确保没有其他应用程序试图使用相同的端口号。指定小于 1024 的端口号表示目录服务器必须以 root 用户身份启动。
服务器在启动时将其 uid 设置为 nsslapd-localuser 值。更改配置目录的端口号时,必须更新配置目录中对应的服务器实例条目。
必须重新启动服务器,以便考虑端口号更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 65535 |
| 默认值 | 389 |
| 语法 | 整数 |
| 示例 | nsslapd-port: 389 |
将端口号设置为零(0),以禁用 LDAP 端口(如果启用了 LDAPS 端口)。
2.1.149. nsslapd-privatenamespaces
此 read-only 属性包含私有命名上下文 cn=config、cn=schema 和 cn=monitor 的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | cn=config, cn=schema, 和 cn=monitor |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-privatenamespaces: cn=config |
2.1.150. nsslapd-pwpolicy-inherit-global
如果没有设置细粒度密码语法,则即使配置了全局密码语法,也不会检查新的或更新的密码。要继承全局细粒度密码语法,请将此属性设置为 上的。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-inherit-global: off |
2.1.151. nsslapd-pwpolicy-local
打开和关闭细粒度(subtree- 和 user-level)密码策略。
如果此属性的值为 off,则目录中的所有条目( cn=Directory Manager除外)都受到全局密码策略的影响;服务器会忽略任何定义的子树/用户级别密码策略。
如果此属性在 上具有 值,服务器会在子树和用户级别上检查密码策略,并强制实施这些策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-local: off |
2.1.152. nsslapd-readonly
此属性设置整个服务器是否处于只读模式,这意味着数据库中的数据也不会修改配置信息。任何尝试以只读模式修改数据库都会返回一个错误,表示服务器无法了解如何执行操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-readonly: off |
2.1.153. nsslapd-referral
此多值属性指定在服务器收到不属于本地树的条目请求时的后缀返回的 LDAP URL;即,后缀的条目与任何后缀属性中指定的值不匹配。例如,假设服务器只包含条目:
ou=People,dc=example,dc=com但是,请求用于这个条目:
ou=Groups,dc=example,dc=com在这种情况下,引用会被传递回客户端,以便 LDAP 客户端找到包含请求条目的服务器。虽然每个目录服务器实例只允许一个引用,但此引用可以有多个值。
要使用 TLS 通信,referral 属性的格式应为 ldaps:// <server_location >。
启动 TLS 不支持引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
2.1.154. nsslapd-referralmode
设置后,此属性向任何后缀上的任何请求发回引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referralmode: ldap://ldap.example.com |
2.1.155. nsslapd-require-secure-binds
这个参数要求用户通过受保护的连接(如 TLS、StartTLS 或 SASL)而不是常规连接对目录进行身份验证。
这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成,即使启用了 nsslapd-require-secure-binds。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-secure-binds: on |
2.1.156. nsslapd-requiresrestart
此参数列出其他核心配置属性要求修改后重新启动服务器。这意味着,如果 nsslapd-requiresrestart 中列出的任何属性已更改,则新设置在服务器重启后才会生效。可在 ldapsearch 中返回属性列表:
ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何核心服务器配置属性 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-requiresrestart: nsslapd-cachesize |
2.1.157. nsslapd-reservedescriptors
nsslapd-reservedescriptors 属性指定目录服务器为管理非客户端连接而保留的文件描述符数量,如索引管理和管理复制。
对于大多数目录服务器安装,您不需要更改 nsslapd-reservedescriptors 属性值。但是,如果所有以下都为 true,请考虑增加此属性的值:
- 服务器复制到大量消费者服务器(超过 10),或者服务器维护大量索引文件(超过 30)。
- 服务器为大量 LDAP 连接提供服务。
- 错误消息报告服务器无法打开文件描述符(实际错误消息取决于服务器正在尝试执行的操作),但这些错误消息与管理客户端 LDAP 连接 无关。
如果您增加此属性的值,则更多 LDAP 客户端可能无法访问该目录。除了增加 nsslapd-reservedescriptors 值外,还必须增加 nsslapd-maxdescriptors 属性的值。如果服务器已使用操作系统允许进程可以使用的最大文件描述符数,则可能无法增加 nsslapd-maxdescriptors 值。如果是这种情况,请通过导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。详情请查看操作系统文档和 nsslapd-maxdescriptors 属性描述。
要协助计算为 nsslapd-reservedescriptors 属性设置的文件描述符数量,请使用以下公式:
nsslapd-reservedescriptor = 20 + (pass:quotes[NldbmBackends] * 4) + pass:quotes[NglobalIndex] +
pass:quotes[ReplicationDescriptor] + pass:quotes[ChainingBackendDescriptors] + pass:quotes[PTADescriptors] + pass:quotes[SSLDescriptors]- NldbmBackends 是 ldbm 数据库的数量。
- NglobalIndex 是所有数据库(包括系统索引)配置的索引总数。(默认为 8 个系统索引和每个数据库 17 个额外索引)。
- ReplicationDescriptor 为 8 (8)以及服务器中可以充当供应商或 hub 的副本数(NSupplierReplica)。
-
ChainingBackendDescriptors 是 nsOperationConnectionsLimit (a chaining or database link configuration attribute;
10default)的 NchainingBackend times。 -
如果配置了 PTA,PTADescriptors 为
3,如果没有配置 PTA,则为 0。 -
如果配置了 TLS,则 SSLDescriptors 为
5 (4 个文件 + 1 侦听套接字),如果未配置 TLS,则为 0。
重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 64 |
| 语法 | 整数 |
| 示例 | nsslapd-reservedescriptors: 64 |
2.1.158. nsslapd-return-exact-case
返回客户端请求的属性类型名称的确切情况。虽然兼容 LDAPv3 的客户端必须忽略属性名称的情况,但有些客户端应用程序需要属性名称来完全匹配,当 Directory 服务器返回属性时,它会被 Directory Server 返回。但是,大多数客户端应用程序会忽略属性的大小写,因此默认禁用此属性。不要修改它,除非有旧的客户端可以在从服务器返回的结果中检查属性名称的情况。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-return-exact-case: off |
2.1.159. nsslapd-return-original-entrydn
使用 nsslapd-return-original-entrydn 参数来管理在搜索操作过程中目录服务器如何将条目的可分辨名称(DN)返回给客户端应用程序。
当将 nsslapd-return-original-entrydn 参数设置为 on 时,Directory 服务器通过从 operational 属性 dsEntryDN 获取值来准确返回最初添加到数据库中的 DN。因此,如果您添加或修改了条目 uid=User,ou=PEople,dc=ExaMPlE,DC=COM,Directory 服务器会为该条目返回相同的 DN uid=User,ou=PEople,dc=ExaMPlE,DC=COM。
当 nsslapd-return-original-entrydn 参数设置为 off 时,Directory 服务器通过放入条目的 Relative DN (RDN)和基本 DN 来生成条目 DN。目录服务器在 operational 属性 nsslapd-suffix 中的 cn=userroot,cn=ldbm database,cn=plugins,cn=config 下将条目的基本 DN 存储在数据库后缀配置中。因此,如果您添加了一个条目 uid=User,ou=PEople,dc=ExaMPlE,DC=COM,但基本 DN 为 ou=people,dc=example,dc=com,则目录服务器在搜索过程中返回 uid=User,ou=people,dc=example,dc=com。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| Example | nsslapd-return-original-entrydn: on |
2.1.160. nsslapd-rewrite-rfc1274
此属性已弃用,并将在以后的发行版本中删除。
此属性仅用于需要使用 RFC 1274 名称返回属性类型的 LDAPv2 客户端。将这些客户端的值设为 on。默认值为 off。
2.1.161. nsslapd-rootdn
此属性设置条目的可分辨名称(DN),它不受到访问控制限制、对目录的操作管理限制或一般资源限制。不必是与此 DN 对应的条目,默认情况下,这个 DN 没有条目,因此 cn=Directory Manager 等值可以接受。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的可分辨名称 |
| 默认值 | |
| 语法 | DN |
| 示例 | nsslapd-rootdn: cn=Directory Manager |
2.1.162. nsslapd-rootpw
此属性设置与 Manager DN 关联的密码。提供 root 密码后,它会根据 nsslapd-rootpwstoragescheme 属性所选的加密方法进行加密。从服务器控制台查看时,此属性显示值 *。从 dse.ldif 文件查看时,此属性显示加密方法,后跟密码的加密字符串。示例中显示了 dse.ldif 文件中显示的密码,而不是实际密码。
当在服务器设置中配置根 DN 时,需要一个 root 密码。但是,可以通过直接编辑 文件,从 dse.ldif 中删除 root 密码。在这种情况下,根 DN 只能获得与目录相同的访问权限,以便进行匿名访问。当为数据库配置了根 DN 时,始终确保在 dse.ldif 中定义 root 密码。pwdhash 命令行工具可以创建一个新的 root 密码。
从命令行重置目录管理器的密码时,请勿在 密码中使用大括号({})。root 密码以 {password-storage-scheme}hashed_password 格式保存。服务器将大括号中的任何字符解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案,或者下面的密码没有正确哈希,则目录管理器无法绑定到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的密码,由任何加密方法加密,这些加密方法是 密码存储方案 中描述的。 |
| 默认值 | |
| 语法 | DirectoryString {encryption_method }_encrypted_Password_ |
| Example | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
2.1.163. nsslapd-rootpwstoragescheme
此属性设定用于加密存储在 nsslapd-rootpw 属性中的目录服务器管理器密码的方法。详情请查看 密码存储方案(如推荐强密码存储方案 )。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 请参阅 密码存储方案。 |
| 默认值 | PBKDF2-SHA512 |
| 语法 | DirectoryString |
| Example | nsslapd-rootpwstoragescheme: PBKDF2-SHA512 |
2.1.164. nsslapd-rundir
此参数设置目录服务器存储运行时信息的目录的绝对路径,如 PID 文件。目录必须由 Directory Server 用户和组所有。只有此用户和组必须在此目录中具有读写访问权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory Server 用户可写入的任何目录 |
| 默认值 | /var/run/dirsrv/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-rundir: /var/run/dirsrv/ |
2.1.165. nsslapd-sasl-mapping-fallback
默认情况下,只检查第一个匹配的 SASL 映射。如果此映射失败,则绑定操作也会失败,即使其他匹配的映射可能已经正常工作。SASL 映射回退将持续检查所有匹配的映射。
您不必重新启动服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-sasl-mapping-fallback: off |
2.1.166. nsslapd-sasl-max-buffer-size
此属性设置最大 SASL 缓冲区大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 2097152 (2 MB) |
| 语法 | 整数 |
| 示例 | nsslapd-sasl-max-buffer-size: 2097152 |
2.1.167. nsslapd-saslpath
设置包含 Cyrus-SASL SASL2 插件的目录的绝对路径。设置此属性允许服务器使用自定义或非标准 SASL 插件库。这通常在安装过程中正确设置,红帽强烈建议您不要更改此属性。如果属性不存在或值为空,这意味着 Directory Server 使用系统提供的 SASL 插件库,这是正确的版本。
如果设置了此参数,服务器将使用指定的路径来加载 SASL 插件。如果没有设置此参数,服务器将使用 SASL_PATH 环境变量。如果没有设置 nsslapd-saslpath 或 SASL_PATH,服务器会尝试从默认位置加载 SASL 插件,/usr/lib/sasl2。
对此属性所做的更改在服务器重启之前不会生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 插件目录的路径。 |
| 默认值 | 依赖平台 |
| 语法 | DirectoryString |
| 示例 | nsslapd-saslpath: /usr/lib/sasl2 |
2.1.168. nsslapd-schemacheck
此属性设置在添加或修改条目时是否强制执行数据库模式。当此属性的值为 上的 时,Directory 服务器不会检查现有条目的模式,直到它们被修改为止。数据库架构定义数据库中允许的信息类型。默认架构可以使用对象类和属性类型进行扩展。
红帽强烈建议不要关闭模式检查。这可能导致严重的互操作性问题。这通常用于必须导入到目录服务器中的非常旧的或非标准 LDAP 数据。如果没有此问题的许多条目,请考虑使用这些条目中的 extensibleObject 对象类来基于每个条目禁用模式检查。
当使用 LDAP 客户端进行数据库修改时,架构检查会默认工作,如 ldapmodify,或使用 ldif2db 从 LDIF 导入数据库。如果关闭了 schema 检查,则必须手动验证每个条目,才能看到它们符合 schema。如果打开了架构检查,服务器会发送一条错误消息,列出与 schema 不匹配的条目。确保 LDIF 语句中创建的属性和对象类都正确拼写,并在 dse.ldif 中识别。在 schema 目录中创建 LDIF 文件,或将元素添加到 99user.ldif。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemacheck: on |
2.1.169. nsslapd-schemadir
这是包含 Directory Server 实例特定模式文件的目录的绝对路径。当服务器启动时,它会从此目录读取架构文件,当通过 LDAP 工具修改模式时,会更新此目录中的模式文件。该目录必须由服务器用户 ID 所有,并且该用户必须具有对该目录的读取和写入权限。
对此属性所做的更改在服务器重启之前不会生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | /etc/dirsrv/instance_name/schema |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
2.1.170. nsslapd-schema-ignore-trailing-spaces
忽略对象类名称中的结尾空格。默认情况下,属性为 off。如果目录包含带有以一个或多个空格结尾的对象类值的条目,请打开此属性。最好删除尾随空格,因为 LDAP 标准不允许它们。
出于性能考虑,需要重启服务器才能使更改生效。
当对象类添加到条目中时,默认会返回一个错误。另外,在添加、修改和导入等操作期间(当扩展对象类时,会忽略缺少的高级空间)。如果适当,则忽略尾随空格。这意味着,即使 nsslapd-schema-ignore-trailing-spaces 位于,即使没有 top 值,则不会添加 top 值。如果找不到对象类且包含尾随空格,则会记录错误消息并返回到客户端。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-schema-ignore-trailing-spaces: on |
2.1.171. nsslapd-schemamod
在线模式修改需要影响性能的锁定保护。如果禁用了模式修改,则将此参数设置为 off 可提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemamod: on |
2.1.172. nsslapd-schemareplace
决定是否修改在 cn=schema 条目上允许替换属性值的操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 在 | off | replication-only |
| 默认值 | replication-only |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemareplace: replication-only |
2.1.173. nsslapd-scheme-list-no-upgrade-hash
nsslapd-scheme-list-no-upgrade-hash 属性定义在成功绑定后必须排除密码存储方案的列表。例如,如果您将 MD5 密码存储方案添加到 nsslapd-scheme-list-no-upgrade-hash 中,则用户成功绑定到服务器时,如果使用 MD5 对密码进行哈希,则不会更新用户密码的哈希值。
有关支持的密码存储方案的详情,请查看 第 6.3.44 节 “密码存储方案”
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 目录服务器支持的任何密码存储方案 |
| 默认值 | CRYPT, CLEAR |
| 语法 | DirectoryString |
| 示例 | nsslapd-scheme-list-no-upgrade-hash: CRYPT, CLEAR, MD5 |
2.1.174. nsslapd-search-return-original-type-switch
如果传递给搜索的属性列表包含空格,后跟其他字符,则向客户端返回相同的字符串。例如:
# ldapsearch -b <basedn> "(filter)" "sn someothertext"
dn: <matched dn>
sn someothertext: <sn>默认情况下禁用此行为,但可使用此配置参数启用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-search-return-type-switch: off |
2.1.175. nsslapd-securelistenhost
此属性允许多个目录服务器实例在多主目录机器上运行(或使可以限制侦听多主目录计算机的一个接口)。单个主机名可以有多个 IP 地址,这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将目录服务器实例限制为单个 IP 接口;此参数还专门设置要用于 TLS 流量的接口,而不是常规的 LDAP 连接。
如果将主机名指定为 nsslapd-securelistenhost 值,则目录服务器会响应与主机名关联的每个接口的请求。如果单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-securelistenhost 值,目录服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何安全主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-securelistenhost: ldaps.example.com |
2.1.176. nsslapd-securePort
此属性设置用于 TLS 通信的 TCP/IP 端口号。此所选端口在主机系统上必须是唯一的;确保没有其他应用程序试图使用相同的端口号。指定小于 1024 的端口号要求以 root 用户身份启动目录服务器。服务器在启动时将其 uid 设置为 nsslapd-localuser 值。
只有当服务器配置了私钥和证书并且 nsslapd-security 设置为 on 时,服务器才会侦听这个端口。否则,它不会监听这个端口。
必须重新启动服务器,以便考虑端口号更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 636 |
| 语法 | 整数 |
| 示例 | nsslapd-securePort: 636 |
2.1.177. nsslapd-securitylog-compress
目录服务器默认压缩轮转的安全日志。使用 nsslapd-securitylog-compress 属性来管理安全日志文件压缩。
您不需要重新启动服务器来应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| Example | nsslapd-securitylog-compress: on |
2.1.178. nsslapd-security
此属性设置目录服务器是否在其加密端口上接受 TLS 通信。对于安全连接,此属性应设置为 on。若要在 上使用安全性运行,除其他 TLS 配置之外,还必须使用私钥和服务器证书配置服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-security: off |
2.1.179. nsslapd-securitylog
nsslapd-securitylog 属性设置特殊安全日志的路径和文件名,记录身份验证攻击、授权问题、DOS/TCP 攻击和其他安全事件。
要启用安全日志记录,nsslapd-securitylog 属性必须具有有效的路径,并且 nsslapd-securitylog-logging-enabled 配置属性必须在 上 设置为。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance_name/security |
| 语法 | DirectoryString |
| Example | nsslapd-securitylog: /var/log/dirsrv/slapd- <instance_name>/security |
2.1.180. nsslapd-securitylog-list
nsslapd-securitylog-list 属性提供安全日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| Example | nsslapd-securitylog-list: securitylog2,securitylog3 |
2.1.181. nsslapd-securitylog-logbuffering
当设置为 off 时,服务器会将所有安全日志条目直接写入磁盘。使用缓冲时,服务器使用安全日志记录,即使在负载过重时,也不会影响性能。但是,在调试时,禁用缓冲区以查看操作及其结果,而不必等待向该文件刷新日志条目。禁用日志缓冲会对大量负载的服务器的性能有严重影响。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| Example | nsslapd-security-logbuffering: on |
2.1.182. nsslapd-securitylog-logging-enabled
nsslapd-securitylog-logging-enabled 属性打开和关闭安全日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| Example | nsslapd-security-logging-enabled: on |
2.1.183. nsslapd-securitylog-logexpirationtime
nsslapd-securitylog-logexpirationtime 属性会在删除前设置安全日志文件的最长期限。
nsslapd-securitylog-logexpirationtime 属性仅提供单元数,当 nsslapd-securitylog-logexpirationtimeunit 属性提供单元(如 day、week、month 等)用于日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) -1 或 0 表示日志永不过期。 |
| 默认值 | 12 |
| 语法 | 整数 |
| Example | nsslapd-securitylog-logexpirationtime: 12 |
2.1.184. nsslapd-securitylog-logexpirationtimeunit
nsslapd-securitylog-logexpirationtimeunit 属性设置 nsslapd-securitylog-logexpirationtime 属性的单元。如果您没有为安全日志最长期限指定单位,或者服务器无法识别单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| Example | nsslapd-securitylog-logexpirationtimeunit: week |
2.1.185. nsslapd-securitylog-logminfreediskspace
nsslapd-securitylog-logminfreediskspace 属性设置以 MB 为单位的最小允许可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,服务器会删除最旧的安全日志,直到显示足够的磁盘空间为止。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 5 |
| 语法 | 整数 |
| Example | nsslapd-securitylog-logminfreediskspace: 5 |
2.1.186. nsslapd-securitylog-logrotationsync-enabled
nsslapd-securitylog-logrotationsync-enabled 属性设置安全日志轮转是否必须与一天的特定时间同步。以这种方式同步日志轮转,可以每天的指定时间生成日志文件,例如每天的午夜到午夜生成日志文件。这样可以更轻松地分析日志文件,因为它们随后直接映射到日历。
对于与时间结束同步的安全日志轮转,您必须启用 nsslapd-securitylog-logrotationsync-enabled 属性以及配置的 nsslapd-securitylog-logrotationsynchour 和 nsslapd-securitylog-logrotationsyncmin 属性。
例如,要在每天的午夜轮转安全日志文件,将其值设置为 on 来启用此属性,然后将 nsslapd-securitylog-logrotationsynchour 和 nsslapd-securitylog-logrotationsyncmin 属性的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | nsslapd-securitylog-logrotationsync-enabled: off |
2.1.187. nsslapd-securitylog-logrotationsynchour
nsslapd-securitylog-logrotationsynchour 属性设置安全日志轮转日的小时。您必须将属性与 nsslapd-securitylog-logrotationsync-enabled 和 nsslapd-securitylog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| Example | nsslapd-securitylog-logrotationsynchour: 23 |
2.1.188. nsslapd-securitylog-logrotationsyncmin
nsslapd-securitylog-logrotationsyncmin 属性设置轮转安全日志的当天的分钟。您必须结合使用属性和 nsslapd-securitylog-logrotationsync-enabled 和 nsslapd-securitylog-logrotationsynchour 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| Example | nsslapd-securitylog-logrotationsyncmin: 30 |
2.1.189. nsslapd-securitylog-logrotationtime
nsslapd-securitylog-logrotationtime 属性设置安全日志文件轮转之间的时间单位。使用另一个配置属性 nsslapd-securitylog-logrotationtimeunit 来设置单元(day、week、month 等)。
如果 nsslapd-securitylog-maxlogsperdir 属性设置为 1,服务器会忽略 nsslapd-securitylog-logrotationtime 属性。
在配置的间隔过期后,目录服务器会在第一个写入操作中轮转日志,而不考虑日志的大小。
您可以使用两种方式指定 无日志轮转 策略。将 nsslapd-securitylog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-securitylog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-securitylog-maxlogsperdir 属性,如果属性值大于 1,则服务器会检查 nsslapd-securitylog-logrotationtime 属性。如需更多信息,请参阅 nsslapd-securitylog。
不使用日志轮转 策略会导致日志无限期增长,并可能会影响服务器性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647)。-1 值表示安全日志文件轮转之间的时间没有限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| Example | nsslapd-securitylog-logrotationtime: 5 |
2.1.190. nsslapd-securitylog-logrotationtimeunit
nsslapd-securitylog-logrotationtimeunit 属性设置 nsslapd-securitylog-logrotationtime (安全日志轮转时间) 的单元。如果您没有为安全日志轮转策略指定单元,或者服务器无法识别单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 | 小时 | 分钟 |
| 默认值 | month |
| 语法 | DirectoryString |
| Example | nsslapd-securitylog-logrotationtimeunit: week |
2.1.191. nsslapd-securitylog-maxlogsize
nsslapd-securitylog-maxlogsize 属性以 MB 为单位设置最大安全日志大小。当达到属性值时,Directory 服务器会轮转安全日志,并开始将日志信息写入新的日志文件。如果 nsslapd-securitylog-maxlogsperdir 设为 1,服务器会忽略 nsslapd-securitylog-maxlogsize 属性。
在设置最大日志大小时,请考虑以下事项:
- 由于日志文件轮转而可以创建的日志文件总数。
- 目录服务器维护五个不同的日志文件:访问日志、审计日志、审计日志、错误日志、安全日志。每个日志文件都会消耗磁盘空间。
将这些注意事项与您要为安全日志设置的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647)。-1 值表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| Example | nsslapd-securitylog-maxlogsize: 100 |
2.1.192. nsslapd-securitylog-maxlogsperdir
nsslapd-securitylog-maxlogsperdir 属性设置目录服务器存储在日志文件中的安全日志总数。每次轮转安全日志时,都会创建一个新的日志文件。当安全日志目录中包含的文件数量超过 nsslapd-securitylog-maxlogsperdir 属性的值时,Directory 服务器会删除日志文件的最旧的版本。
如果 nsslapd-securitylog-maxlogsperdir 属性的值大于 1,请检查 nsslapd-securitylog-logrotationtime 属性以了解是否设置了日志轮转。如果 nsslapd-securitylog-logrotationtime 属性的值为 -1,则不会发生日志轮转。如需更多信息,请参阅 nsslapd-securitylog-logrotationtime。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 10 |
| 语法 | 整数 |
| Example | nsslapd-securitylog-maxlogsperdir: 5 |
2.1.193. nsslapd-securitylog-mode
nsslapd-securitylog-mode 属性设置 Directory 服务器创建安全日志文件的访问模式或文件权限。有效值是 000 到 777 的任意组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,从 0 到 7 的数字不同:
- 0 - None
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读取和写入
- 7 - 读取、写入和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字表示组的权限,第三个数字表示任何人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许任何人对任何人的写入权限都可能会覆盖或删除日志。
新配置的访问模式仅影响服务器创建的新日志。当日志轮转为新文件时,会设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| Example | nsslapd-securitylog-mode: 600 |
2.1.194. nsslapd-sizelimit
此属性设置搜索操作返回的最大条目数。如果达到这个限制,ns-slapd 会返回与搜索请求匹配的任何条目,以及超过大小限制错误。
如果没有设置限制,ns-slapd 会将每个匹配条目返回到客户端,而不考虑找到的数字。要设置限制值,在 Directory 服务器无限期等待搜索完成,请在 dse.ldif 文件中为此属性指定 -1 值。
这个限制适用于每个人,无论其机构是什么。
dse.ldif 文件中的此属性上的 -1 值与在服务器控制台中将属性留空时相同,因为它会导致不使用限制。这无法在 dse.ldif 文件中有一个 null 值,因为它不是一个有效的整数。可以将其设置为 0, 这会返回每个搜索所 超过的大小限制。
对应的 user-level 属性是 nsSizeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsslapd-sizelimit: 2000 |
2.1.195. nsslapd-snmp-index
此参数控制 Directory 服务器实例的 SNMP 索引号。
如果您在同一主机上有多个目录服务器实例,但在端口 389 上,但在不同的网络接口中,则此参数允许您为每个实例设置不同的 SNMP 索引号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-snmp-index: 0 |
2.1.196. nsslapd-ssl-check-hostname
此属性设置启用了 TLS 的目录服务器是否应该通过将主机名与提供给证书中主题名称(subjectDN 字段)属性的值匹配来验证请求的真实性。默认情况下,属性在 上 设置为。如果是 on,如果主机名与证书的 cn 属性不匹配,则会记录适当的错误和审计消息。
例如,在复制环境中,如果找到对等服务器的主机名与证书中指定的名称不匹配,则类似以下内容的消息会记录在供应商服务器的日志文件中:
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
Unable to communicate securely with peer: requested domain name does not
match the server's certificate.)
[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
Replication bind with SSL client authentication failed:
LDAP error 81 (Can't contact LDAP server)红帽建议打开此属性来保护目录服务器的出站 TLS 连接,防止中间人(MITM)攻击。
必须正确设置 DNS 和反向 DNS 才能正常工作;否则,服务器无法将对等 IP 地址解析为证书中主题 DN 中的主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ssl-check-hostname: on |
2.1.197. nsslapd-SSLclientAuth
nsslapd-SSLclientAuth 参数将在以后的版本中被弃用,目前为向后兼容而维护。使用新的参数 nsSSLClientAuth,存储在 cn=encryption,cn=config 下。请参阅 nsSSLClientAuth。
2.1.198. nsslapd-statlog-level
使用 nsslapd-statlog-level 参数,在访问日志中为每个操作启用统计日志,而不影响 Directory Server 性能。
目录服务器支持与搜索操作中使用的索引相关的统计信息集合。当您将 nsslapd-statlog-level 设置为 1 时,访问日志开始收集索引查找(数据库读取操作)的数量。
例如,一个目录有 100万的 uid 条目,其值以 user_ 开头,搜索操作使用过滤器 (uid=user PPK)。目录服务器创建 ^us,使用、ser 和 er_ 索引键。使用设置 nsslapd-statlog-level=1 时,访问日志会显示以下信息:
STAT read index: attribute=uid key(sub)=er_ count 1000000
STAT read index: attribute=uid key(sub)=ser count 1000000
STAT read index: attribute=uid key(sub)=use count 1000000
STAT read index: attribute=uid key(sub)=^us count 1000000
STAT read index: duration 0.001010276
了解查找数量和索引查找的整体持续时间有助于诊断为什么过滤器,如 (uid=user PPK)。
您需要重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
|
| 默认值 | 0 |
| 语法 | 整数 |
| Example | nsslapd-statlog-level: 1 |
2.1.199. nsslapd-syntaxcheck
此属性验证对条目属性的所有修改,以确保新的或更改的值符合该属性类型所需的语法。当启用此属性时,任何不符合正确语法的更改都会被拒绝。根据 RFC 4514 的语法定义验证所有属性值。
默认情况下打开它。
语法验证仅针对新的或修改的属性运行,它不验证现有属性值的语法。为 LDAP 操作(如添加和修改)触发语法验证;它不会在复制等操作后发生,因为原始供应商应检查属性语法的有效性。
这会验证 Directory 服务器的所有支持的属性类型,但二进制语法(无法验证)和非标准语法除外,它们没有定义所需的格式。未验证的 语法如下:
- 传真(二进制)
- OctetString (binary)
- JPEG (binary)
- 二进制(非标准)
- 空格(敏感的字符串)(非标准)
- URI (非标准)
nsslapd-syntaxcheck 属性设置是否验证和拒绝属性修改。这可以与 nsslapd-syntaxlogging 属性一起使用,将有关无效属性值的警告信息写入错误日志中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxcheck: on |
2.1.200. nsslapd-syntaxlogging
此属性设置是否将语法验证失败记录到错误日志中。默认情况下关闭它。
如果启用了 nsslapd-syntaxcheck 属性(默认),并且启用了 nsslapd-syntaxlogging 属性,则任何无效的属性更改都会被拒绝,并写入错误日志。如果只启用 nsslapd-syntaxlogging,并且禁用 nsslapd-syntaxcheck,则允许无效的更改,但会将警告信息写入错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxlogging: off |
2.1.201. nsslapd-threadnumber
这个与性能调优相关的值会设置线程数量,Directory 服务器在启动时创建。如果值设为 -1 ( 默认),则目录服务器会根据可用的硬件启用优化的自动调整。请注意,如果启用了 auto-tuning,nsslapd-threadnumber 会在 Directory 服务器运行时显示自动生成的线程数量。
红帽建议使用 auto-tuning 设置来优化性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到系统线程和处理器支持的最大线程数。限制 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-threadnumber: -1 |
2.1.202. nsslapd-timelimit
此属性设定为搜索请求分配的最大秒数。如果达到这个限制,Directory 服务器会返回所有与搜索请求匹配的条目,以及超过的时间限制错误。
如果没有设置限制,ns-slapd 会将每个匹配条目返回到客户端,无论其所需的时间如何。要设置限制值,在 Directory 服务器无限期等待搜索完成,请在 dse.ldif 文件中为此属性指定 -1 值。值为零(0)会导致不允许时间进行搜索。最小时间限制为 1 秒。
dse.ldif 中的此属性上的 -1 值与在服务器控制台中将属性留空时相同,这会导致不使用限制。但是,在服务器控制台的此字段中无法设置负整数,且无法在 dse.ldif 条目中使用 null 值,因为它不是有效的整数。
对应的 user-level 属性是 nsTimeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-timelimit: 3600 |
2.1.203. nsslapd-tmpdir
这是服务器用于临时文件的目录的绝对路径。目录必须由服务器用户 ID 所有,并且该用户必须具有读写访问权限。没有其他用户 ID 应具有对目录的读取或写入权限。默认值为 /tmp。
对此属性所做的更改在服务器重启之前不会生效。
2.1.204. nsslapd-unhashed-pw-switch
当您更新 userPassword 属性时,Directory 服务器会加密密码并将其存储在 userPassword 中。然而,在某些情况下,例如将密码与 Active Directory (AD)同步时,目录服务器必须将未加密的密码传递给插件。在这种情况下,服务器将未加密的密码存储在 so-called entry 扩展 中的临时 unhashed""user#password 属性中,并根据情况在更改日志中。请注意,Directory 服务器不会将临时 unhashed"user""password 属性存储在服务器的硬盘中。
nsslapd-unhashed-pw-switch 参数控制目录服务器是否以及目录服务器如何存储未加密的密码。例如,您必须将 nsslapd-unhashed-pw-switch 设置为 on,才能将密码从 Directory Server 同步到 Active Directory。
您可以将参数设置为以下值之一:
-
off: Directory Server 不会将未加密的密码存储在条目扩展名或更改日志中。如果您没有将密码与 AD 或需要访问未加密的密码的任何插件进行密码同步,则设置这个值。 -
在 : Directory Server
上,将未加密的密码存储在条目扩展名和更改日志中。如果您使用 AD 配置密码同步,则设置这个值。 -
nolog: Directory 服务器仅将未加密的密码存储在条目扩展名中,而不存储在更改日志中。如果本地目录服务器插件需要访问未加密的密码,但没有配置与 AD 的密码同步,则设置这个值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | off | on | nolog |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-unhashed-pw-switch: off |
2.1.205. nsslapd-validate-cert
如果目录服务器配置为在 TLS 中运行并且其证书过期,则无法启动目录服务器。nsslapd-validate-cert 参数设置在尝试使用过期证书启动时目录服务器应如何响应:
-
warn允许 Directory 服务器成功启动过期证书,但它会发送一条证书已过期的警告信息。这是默认设置。 -
在 上,验证证书,如果证书已过期,将阻止服务器重新启动。这为过期的证书设置硬失败。 -
off禁用所有证书过期验证,因此服务器可以在不记录警告的情况下以过期的证书开始。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Warn | on | off |
| 默认值 | warn |
| 语法 | DirectoryString |
| 示例 | nsslapd-validate-cert: warn |
2.1.206. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema 参数定义目录服务器如何使用 schema 中未指定的属性验证搜索过滤器。
您可以将 nsslapd-verify-filter-schema 设置为以下选项之一:
-
reject-invalid: 如果目录服务器包含任何未知元素,则目录服务器会拒绝过滤器并带有错误。 process-safe: Directory Server 使用空集替换未知组件,并使用/var/log/dirsrv/slapd-instance_name/access日志文件中的notes=F标志记录警告信息。在将
nsslapd-verify-filter-schema从warn-invalid或off切换到process-safe之前,请监控访问日志并修复导致日志条目带有notes=F标志的应用程序的查询。否则,操作结果会改变,目录服务器可能无法返回所有匹配的条目。-
warn-invalid: Directory Server 在/var/log/dirsrv/slapd-instance_name/access日志文件中记录带有notes=F标记的警告,并继续扫描完整的数据库。 -
off:目录服务器不验证过滤器。
请注意,例如,如果您将 nsslapd-verify-filter-schema 设置为 warn-invalid 或 off,则过滤器 (如(& (non_exististent_attribute=example) (uid=user_name)) 评估 uid=user_name 条目,并仅在包含 non_exististent_attribute=example )时返回。如果将 nsslapd-verify-filter-schema 设置为 process-safe,目录服务器不会评估该条目,也不会返回它。
将 nsslapd-verify-filter-schema 设置为 reject-invalid 或 process-safe 可防止因为未索引的搜索模式中指定的属性而造成高负载。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | reject-invalid, process-safe, warn-invalid, off |
| 默认值 | process-safe |
| 语法 | DirectoryString |
| Example | nsslapd-verify-filter-schema: process-safe |
2.1.207. nsslapd-versionstring
此属性设置服务器版本号。当显示 version 字符串时,构建数据会自动附加。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的服务器版本号。 |
| 默认值 | |
| 语法 | DirectoryString |
| Example | nsslapd-versionstring: Red Hat-Directory/{VER} |
2.1.208. nsslapd-workingdir
这是服务器在启动时用作当前工作目录的目录的绝对路径。这是服务器将返回 getcwd () 函数的值,以及系统进程表显示为其当前工作目录的值。这是生成核心文件的目录。服务器用户 ID 必须对该目录具有读写访问权限,而其他用户 ID 则不应对其具有读取或写入访问权限。此属性的默认值是包含错误日志的同一目录,通常是 /var/log/dirsrv/slapd-instance。
对此属性所做的更改在服务器重启之前不会生效。
2.1.209. nsslapd-numlisteners
nsslapd-numlisteners 属性指定目录服务器可用于监控已建立的连接的监听程序线程数量。您可以通过增加属性值来提高服务器遇到大量客户端连接的响应时间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 1 - 4 |
| 默认值 | 1 |
| 语法 | 整数 |
| Example | nsslapd-numlisteners: 2 |
在更改 nsslapd-numlisteners 属性的值后,您必须重启服务器。
2.1.210. passwordAdminSkipInfoUpdate
使用 cn=config 条目下的新 passwordAdminSkipInfoUpdate: on/off 设置,您可以对密码管理员管理的密码更新进行精细的控制。当您在 上将 此设置设置为 时,目录服务器只更新密码,且不会更新密码,如 passwordHistory、passwordExpirationTime、passwordRetryCount、pwdReset、passwordExpWarned。
密码管理员可以使用此设置绕过使用 passwordExpirationTime 和 pwdMustChange 属性的全局和本地登录策略中配置的密码语法检查和密码过期设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | passwordAdminSkipInfoUpdate: on |
2.1.211. passwordAllowChangeTime
此属性指定在允许用户更改其密码之前必须传递的时间长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | passwordAllowChangeTime: 5h |
2.1.212. passwordBadWords
passwordBadWords 参数定义一个以逗号分隔的字符串列表,用户不允许在密码中使用。
请注意,目录服务器对字符串进行不区分大小写的比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何字符串 |
| 默认值 | "" |
| 语法 | DirectoryString |
| 示例 | passwordBadWords: example |
2.1.213. passwordChange
指明用户是否可以更改其密码。
这可以缩写为 pwdAllowUserChange。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordChange: on |
2.1.214. passwordCheckSyntax
此属性设定在保存密码前是否检查密码语法。密码语法检查机制检查密码是否满足或超过密码最小长度要求,并且字符串不包含任何微小的词语,如用户名或用户 ID 或存储在 uid、cn、sn、givenName、ou 或 mail 属性中的任何属性值。
密码语法包括几个不同的类别用于检查:
- 在检查密码中普通单词时要比较的字符串或令牌长度(例如,如果令牌长度为 3,则用户 UID、名称、电子邮件地址或其他参数中的三个后续字符的字符串,可以在密码中使用。)
- 最小数字字符数(0-9)
- 最小大写 ASCII 字母字符数
- 最小小写 ASCII 字母字符数
-
最少特殊 ASCII 字符数,如
!@#$ - 最小 8 位字符数
- 每个密码所需的最少字符类别数;类别可以是大写或小写字母、特殊字符、数字或 8 位字符
这可以缩写为 pwdCheckSyntax。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordCheckSyntax: off |
2.1.215. passwordDictCheck
如果设置为 on,则 passwordDictCheck 参数会根据 CrackLib 字典检查密码。如果新密码包含字典词语,则目录服务器会拒绝密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordDictCheck: off |
2.1.216. passwordExp
指明用户密码是否在指定秒数后过期。默认情况下,用户密码不会过期。启用密码过期后,设定密码使用 passwordMaxAge 属性过期的秒数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordExp: on |
2.1.217. passwordExpirationTime
此属性指定在用户的密码过期前经过的时间长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何日期,单位为整数 |
| 默认值 | none |
| 语法 | GeneralizedTime |
| 示例 | passwordExpirationTime: 202009011953 |
2.1.218. passwordExpWarned
此属性表示向用户发送密码过期警告。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | true | false |
| 默认值 | none |
| 语法 | DirectoryString |
| 示例 | passwordExpWarned: true |
2.1.219. passwordGraceLimit
此属性仅在启用了密码过期时才适用。在用户密码到期后,服务器允许用户连接以更改密码。这称为 宽限期。服务器在完全锁定用户前只允许有一定数量的尝试。此属性是允许的宽限期数。值 0 表示服务器不允许宽限期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 (off)到任何合理的整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordGraceLimit: 3 |
2.1.220. passwordHistory
启用密码历史记录。密码历史记录指的是是否允许用户重复使用密码。默认情况下,密码历史记录被禁用,用户可以重复使用密码。如果在 上 将此属性设置为,则目录会存储指定数量的旧密码,并防止用户重复使用任何存储的密码。使用 passwordInHistory 属性设置目录服务器存储的旧密码数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordHistory: on |
2.1.221. passwordInHistory
指明目录服务器在历史记录中存储的密码数量。存储在历史记录中的密码无法被用户重复使用。默认情况下,密码历史记录功能被禁用,这意味着目录服务器不会存储任何旧密码,因此用户可以重复使用密码。使用 passwordHistory 属性启用密码历史记录。
要防止用户通过跟踪的密码数量快速利用,请使用 passwordMinAge 属性。
这可以缩写为 pwdInHistory。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 |
0 到 24 密码。 |
| 默认值 | 6 |
| 语法 | 整数 |
| 示例 | passwordInHistory: 7 |
2.1.222. passwordIsGlobalPolicy
此属性控制是否复制密码策略属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordIsGlobalPolicy: off |
2.1.223. passwordLegacyPolicy
启用旧的密码行为。旧的 LDAP 客户端预期在超过最大故障限制后收到一个错误,以锁定用户帐户。例如,如果限制是三个失败,则帐户在第四次尝试失败时锁定。但是,当达到故障限制时,较新的客户端应该会收到错误消息。例如,如果限制是三个失败,则应在第三个尝试失败时锁定帐户。
因为当超过失败限制时锁定帐户是旧的行为,所以被视为旧的行为。它默认是启用的,但可以禁用以允许新的 LDAP 客户端在预期时间接收错误。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordLegacyPolicy: on |
2.1.224. passwordLockout
指明用户在给定数量的绑定尝试失败后将用户锁定在目录中。默认情况下,在绑定尝试失败后,用户不会锁定在目录中。如果启用了帐户锁定,请设置用户使用 passwordMaxFailure 属性锁定用户的失败尝试次数。
这可以缩写为 pwdLockOut。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordLockout: off |
2.1.225. passwordLockoutDuration
表示用户在帐户锁定后锁定目录的时间(以秒为单位)。帐户锁定功能可防止黑客通过重复尝试猜测用户密码来进入该目录。使用 passwordLockout 属性启用和禁用帐户锁定功能。
这可以缩写为 pwdLockoutDuration。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | passwordLockoutDuration: 3600 |
2.1.226. passwordMaxAge
表示用户密码到期后的秒数。要使用此属性,必须使用 passwordExp 属性启用密码过期。
这可以缩写为 pwdMaxAge。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 8640000 (100 天) |
| 语法 | 整数 |
| 示例 | passwordMaxAge: 100 |
2.1.227. passwordMaxClassChars
如果将 passwordMaxClassChars 参数设置为大于 0 的值,目录服务器会阻止设置具有相同类别的连续字符的密码,与参数中设置的值相比。如果启用,Directory 服务器会检查以下类别的连续字符:
- 数字
- 字母字符
- 小写
- 大写
例如,如果您将 passwordMaxClassChars 设置为 3,则不允许包含 jdif 或 1947 的密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)最大 32 位整数(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxClassChars: 0 |
2.1.228. passwordMaxFailure
表示在用户锁定出目录后的失败绑定尝试次数。默认情况下禁用帐户锁定。通过修改 passwordLockout 属性来启用帐户锁定。
这可以缩写为 pwdMaxFailure。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 用于最大整数绑定失败 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | passwordMaxFailure: 3 |
2.1.229. passwordMaxRepeats
同一字符可以在密码中按顺序显示的次数上限。零(0)已关闭。整数值拒绝任何使用超过该时间字符的密码;例如,1 拒绝一次使用的字符(a)和 2 拒绝一次使用的字符(aaa)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxRepeats: 1 |
2.1.230. passwordMaxSeqSets
如果将 passwordMaxSeqSets 参数设置为大于 0 的值,则目录服务器会拒绝带有重复 monotonic 序列的密码超过参数中设置的长度。例如,如果您将 passwordMaxSeqSets 设置为 2,则将密码设为 azXYZ_XYZ-g,因为 XYZ 在密码中显示两次。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxSeqSets: 0 |
2.1.231. passwordMaxSequence
如果将 passwordMaxSequence 参数设置为大于 0 的值,目录服务器会拒绝新密码,其序列比 passwordMaxSequence 中设置的值更长。例如,如果您将 参数设置为 3,Directory 服务器会拒绝包含字符串的密码,如 1234 或 dcba。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxSequence: 0 |
2.1.232. passwordMin8Bit
这会设置密码必须包含最少 8 位字符数。
必须禁用对 userPassword 的 7 位检查才能使用它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMin8Bit: 0 |
2.1.233. passwordMinAge
表示在用户更改其密码前必须经过的秒数。将此属性与 passwordInHistory (要记住的密码数)属性一起使用,以防止用户通过密码快速利用其旧密码,以便他们再次使用旧密码。值为零(0)表示用户可以立即更改密码。
这可以缩写为 pwdMaxFailure。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到有效的最大整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinAge: 150 |
2.1.234. passwordMinAlphas
此属性设置必须包含最少字母字符密码的数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinAlphas: 4 |
2.1.235. passwordMinCategories
这将设置密码中代表的最小字符类别数。类别有:
- 小写字母字符
- 大写字母字符
- 数字
- 特殊 ASCII 字符,如 $ 和标点标记
- 8 位字符
例如,如果此属性的值设置为 2,并且用户尝试将密码更改为 aaaaa,服务器将拒绝密码,因为它仅包含小写字符,因此仅包含一个类别中的字符。aA aA 的密码会被传递,因为它包含来自两个类别(大写和小写)的字符。
默认值为 3,这意味着如果启用了密码语法检查,有效的密码必须具有三类字符。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinCategories: 2 |
2.1.236. PasswordMinDigits
这会设置密码必须包含的最小数字数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinDigits: 3 |
2.1.237. passwordMinLength
此属性指定目录服务器用户密码属性必须使用的最少字符数。通常,较短的密码更易于破解。目录服务器强制使用八个字符的最小密码。这很难破解但很短,用户可以在不写出密码的情况下记住密码。
这可以缩写为 pwdMinLength。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 2 到 512 个字符 |
| 默认值 | 8 |
| 语法 | 整数 |
| 示例 | passwordMinLength: 8 |
2.1.238. PasswordMinLowers
此属性设置小写字母密码必须包含的最小数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinLowers: 1 |
2.1.239. PasswordMinSpecials
此属性设置密码必须包含的最小 特殊 数量(或不是字母数字字符)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinSpecials: 1 |
2.1.240. PasswordMinTokenLength
此属性设置用于 简单 词语检查的最小属性值长度。例如,如果 PasswordMinTokenLength 设为 3,则 givenName 为 DJ 并不会导致拒绝 DJ 存在于密码的策略,但策略会拒绝包含 givenName 的 Bob 的密码。
目录服务器会根据以下属性中的值检查最小令牌长度:
-
uid -
cn -
sn -
givenName -
mail -
ou
如果目录服务器应检查附加属性,您可以在 passwordUserAttributes 参数中设置它们。详情请参阅 passwordUserAttributes。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 64 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | passwordMinTokenLength: 3 |
2.1.241. PasswordMinUppers
这会设置大写字母密码的最小数量必须包含。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinUppers: 2 |
2.1.242. passwordMustChange
指明用户在第一次绑定到目录服务器时或管理器 DN 重置密码时,是否必须更改密码。
这可以缩写为 pwdMustChange。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordMustChange: off |
2.1.243. passwordPalindrome
如果启用了 passwordPalindrome 参数,如果新密码包含 palindrome,则目录服务器会拒绝密码。
palindrome 是一个读取与后向相同的字符串,如 abc11cba。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordPalindrome: off |
2.1.244. passwordResetFailureCount
表示密码失败计数器重置的时间(以秒为单位)。每次从用户帐户发送无效的密码时,密码失败计数器都会递增。如果在 上将 passwordLockout 属性设置为,则当计数器达到 passwordMaxFailure 属性指定的故障数时(默认为 600 秒)时,用户将被锁定在目录中。在 passwordLockoutDuration 属性指定的时间后,失败计数器将重置为零(0)。
这可以缩写为 pwdFailureCountInterval。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | passwordResetFailureCount: 600 |
2.1.245. passwordSendExpiringTime
当客户端请求密码过期控制时,只有在密码处于警告期间,目录服务器才会返回 "time to expire" 值。为了提供始终返回这个值的现有客户端的兼容性 - 无论密码过期时间是否在警告期间内,可以在 上将 passwordSendExpiringTime 参数设置为。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordSendExpiringTime: off |
2.1.246. passwordStorageScheme
此属性设定用于加密 userPassword 属性中存储的用户密码的方法。详情请查看 密码存储方案(如推荐强密码存储方案 )。
红帽建议不要设置此属性。如果没有设置值,Directory 服务器会自动使用可用的最强支持的密码存储方案。如果将来的目录服务器更新更改了默认值以提高安全性,如果用户设置密码,密码将自动使用新的存储方案加密。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | PBKDF2-SHA512 |
| 语法 | DirectoryString |
| Example | passwordStorageScheme: PBKDF2-SHA512 |
2.1.247. passwordTPRDelayExpireAt
passwordTPRDelayExpireAt 属性是密码策略的一部分。在管理员为用户帐户设置临时密码后,passwordTP RDelayExpireAt 定义临时密码过期前的时间(以秒为单位)。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRDelayExpireAt: 3600 |
2.1.248. passwordTPRDelayValidFrom
passwordTPRDelayValidFrom 属性是密码策略的一部分。在管理员为用户帐户设置临时密码后,passwordTPR DelayValidFrom 定义使用临时密码前的时间(以秒为单位)。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRDelayValidFrom: 60 |
2.1.249. passwordTPRMaxUse
passwordTPRMaxUse 属性是密码策略的一部分。属性设置用户可以在临时密码过期之前成功或不进行身份验证的次数。如果身份验证成功,目录服务器只允许用户在进行其他操作前更改密码。如果用户没有更改密码,则操作将被终止。验证尝试数量的计数器会增加,无论身份验证是否成功。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRMaxUse: 5 |
2.1.250. passwordTrackUpdateTime
设置是否记录独立时间戳,专门用于最后一次更改条目密码的时间。如果启用此项,它会将 pwdUpdateTime 操作属性添加到用户帐户条目(与其他更新时间分离,如 modifyTime)。
使用此时间戳可以更轻松地在不同 LDAP 存储(如 Active Directory)之间同步密码更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordTrackUpdateTime: off |
2.1.251. passwordUnlock
指明用户是否在指定时间内锁定在目录中,或者直到管理员在帐户锁定后重置密码。帐户锁定功能可防止尝试通过重复尝试猜测用户密码来破坏目录的恶意参与者。如果此 passwordUnlock 属性设置为 off,并且 operational 属性 accountUnlockTime 的值为 0, 则帐户将无限期锁定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordUnlock: off |
2.1.252. passwordUserAttributes
默认情况下,如果您在 passwordMinTokenLength 参数中设置了最小令牌长度,目录服务器只根据某些属性检查令牌。详情请查看 PasswordMinTokenLength。
passwordUserAttributes 参数允许您设置目录服务器应检查的额外属性列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何字符串 |
| 默认值 | "" |
| 语法 | DirectoryString |
| 示例 | passwordUserAttributes: telephoneNumber, l |
2.1.253. passwordWarning
表示用户密码到期前的秒数,让用户在下一次 LDAP 操作上收到密码过期警告控制。根据 LDAP 客户端,用户也可能会在发送警告时提示更改密码。
这可以缩写为 pwdExpireWarning。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647),以秒为单位 |
| 默认值 | 86400 (1 天) |
| 语法 | 整数 |
| 示例 | passwordWarning: 86400 |
2.1.254. retryCountResetTime
retryCountResetTime 属性包含 UTC-format 中的日期和时间,passwordRetryCount 属性将重置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 任何有效的时间戳(UTC 格式) |
| 默认值 | none |
| 语法 | 常规时间 |
| 示例 | retryCountResetTime: 20190618094419Z |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}