红帽全球峰会6.3. 服务器插件功能参考
本节概述了 Directory Server 提供的插件,以及它们的可配置选项、可配置参数、默认设置、依赖项、常规与性能相关的信息,以及进一步阅读。
6.3.1. 7 位检查插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | NS7bitAtt |
| 配置条目的 DN | cn=7-bit check,cn=plugins,cn=config |
| 描述 | 检查某些属性为 7 位清理 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 |
属性列表( |
| 依赖项 | 数据库 |
| 性能有关的信息 | 无 |
| 更多信息 | 如果目录服务器使用非 ASCII 字符,如日语,请关闭此插件。 |
6.3.2. 帐户策略插件
可以设置帐户策略,以便在经过一定时间后自动锁定帐户。这可用于创建仅对预设置时间有效的临时帐户,或者锁定在一定时间内不活跃的用户。
帐户策略插件本身仅接受 参数,该参数指向插件配置条目。
dn: cn=Account Policy Plugin,cn=plugins,cn=config ... nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
dn: cn=Account Policy Plugin,cn=plugins,cn=config
...
nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config帐户策略配置条目为整个服务器定义,用于帐户策略的属性。大多数配置定义了用于评估帐户策略和过期时间的属性,但配置还定义了用来识别子树级帐户策略定义的对象类。
一个插件是全局配置的,可以在用户子树中创建帐户策略条目,然后通过服务类将这些策略应用到用户和角色。
例 6.1. 帐户策略定义
任何条目,单个用户和角色或 CoS 模板都可以是帐户策略子条目。每个帐户策略子条目都有自己的创建和登录时间,针对任何过期策略跟踪。
例 6.2. 带有帐户策略的用户帐户
dn: uid=scarter,ou=people,dc=example,dc=com ... lastLoginTime: 20060527001051Z acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com
dn: uid=scarter,ou=people,dc=example,dc=com
...
lastLoginTime: 20060527001051Z
acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Account Policy Plugin,cn=plugins,cn=config |
| 描述 | 定义在某个过期或不活跃期限后锁定用户帐户的策略。 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | 指向包含全局帐户策略设置的配置条目的指针。 |
| 依赖项 | 数据库 |
| 性能有关的信息 | 无 |
| 更多信息 |
此插件配置指向配置条目,用于帐户不活跃和过期数据的服务器端设置。单个(subtree-level 或 user-level)帐户策略可以定义为目录条目,作为 |
6.3.2.1. altstateattrname
帐户过期策略基于帐户的一些时间标准。例如,对于不活动策略,主标准可能是上次登录时间 lastLoginTime。但是,可能存在该条目上不存在该属性的实例,例如从不登录到其帐户的用户。altstateattrname 属性为服务器提供 backup 属性,以引用评估过期时间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | altstateattrname: createTimeStamp |
6.3.2.2. alwaysRecordLogin
默认情况下,只有直接应用帐户策略的条目 - 即带有 acctPolicySubentry 属性的条目 - 它们的登录时间被跟踪。如果通过服务或角色类应用帐户策略,则 acctPolicySubentry 属性位于模板或容器条目上,而不是用户条目本身。
alwaysRecordLogin 属性设置每个条目都记录其上次登录时间。这允许使用 CoS 和角色来应用帐户策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 是 | no |
| 默认值 | 否 |
| 语法 | DirectoryString |
| 示例 | alwaysRecordLogin: no |
6.3.2.3. alwaysRecordLoginAttr
Account Policy 插件使用 alwaysRecordLoginAttr 参数中设置的属性名称,将最后一个成功登录的时间存储在用户的目录条目中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的属性名称 |
| 默认值 | stateAttrName |
| 语法 | DirectoryString |
| 示例 | alwaysRecordLoginAttr: lastLoginTime |
6.3.2.4. lastLoginHistSize
要维护成功登录的历史记录,您可以使用 lastLoginHistSize 属性来确定要存储并默认存储最近五个成功登录的数量。
要使 lastLoginHistSize 属性存储最后一个登录,您必须启用 alwaysRecordLogin 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 0 (disable)到最大 32 位整数值(2147483647) |
| 默认值 | 5 |
| 语法 | 整数 |
| Example | lastloginhistorysize: 10 |
6.3.2.5. limitattrname
用户目录中的帐户策略条目定义帐户锁定策略的时间限制。此时间限制可以在任何基于时间的属性中设置,策略条目可以在 ti 中有多个基于时间的属性。用于帐户 inactivation 限制的策略中的属性在 Account Policy Plug-in 中的 limitattrname 属性中定义,它被全局应用到所有帐户策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | limitattrname: accountInactivityLimit |
6.3.2.6. specattrname
帐户策略实际上有两个配置条目:插件配置条目中的全局设置,然后在用户目录中条目中的 yser- 或 subtree-level 设置。可以在用户条目上直接设置帐户策略,也可以设置为 CoS 或角色配置的一部分。插件标识哪个条目是帐户策略配置条目的方式,其标识条目上的特定属性将其标记为帐户策略。插件配置中的此属性为 specattrname ;它通常设置为 acctPolicySubentry。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | specattrname: acctPolicySubentry |
6.3.2.7. stateattrname
帐户过期策略基于帐户的一些时间标准。例如,对于不活动策略,主标准可能是上次登录时间 lastLoginTime。用于评估帐户策略的主要时间属性在 stateattrname 属性中设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | stateattrname: lastLoginTime |
6.3.3. 帐户 Usability 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | cctusability |
| 配置条目的 DN | cn=Account Usability Plugin,cn=plugins,cn=config |
| 描述 | 检查帐户的身份验证状态或可用性,而无需以给定用户身份实际进行身份验证 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | on |
| 依赖项 | 数据库 |
| 性能有关的信息 | None |
6.3.4. ACL 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | acl |
| 配置条目的 DN | cn=ACL Plugin,cn=plugins,cn=config |
| 描述 | ACL 访问检查插件 |
| 类型 | accesscontrol |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 数据库 |
| 性能有关的信息 | 访问控制会导致最小性能命中。保留此插件启用,因为它是服务器的访问控制的主要方法。 |
6.3.5. ACL Preoperation 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | acl |
| 配置条目的 DN | cn=ACL preoperation,cn=plugins,cn=config |
| 描述 | ACL 访问检查插件 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 数据库 |
| 性能有关的信息 | 访问控制会导致最小性能命中。保留此插件启用,因为它是服务器的访问控制的主要方法。 |
6.3.6. AD DN 插件
AD DN 插件支持多个域配置。为每个域创建一个配置条目。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | addn |
| 配置条目的 DN | cn=addn,cn=plugins,cn=config |
| 描述 |
启用 Active Directory 格式的用户名(如 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 |
|
| 依赖项 | None |
| 性能有关的信息 | None |
6.3.6.1. addn_base
设置目录服务器在其中搜索用户的 DN 的基本 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何有效的 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | addn_base: ou=People,dc=example,dc=com |
6.3.6.2. addn_filter
设置搜索过滤器。目录服务器自动将 %s 变量替换为身份验证用户的非域部分。例如,如果绑定中的用户名是 user_name@example.com,过滤器会搜索对应的 DN,即 (& (objectClass=account) (uid=user_name))。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何有效的 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | addn_filter: (&(objectClass=account)(uid=%s)) |
6.3.6.3. cn
设置配置条目的域名。该插件使用身份验证用户名中的域名来选择对应的配置条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | cn: example.com |
6.3.7. 别名条目插件
Alias Entries 插件检查对象类 别名 的基本条目,以及包含到另一个条目的 DN (另一个条目的别名)的 aliasedObjectName 属性。在搜索过程中,插件会将搜索基本 DN 修改为此别名 DN。
Alias Entries 插件仅支持基本级别的搜索。使用 ldapsearch -a find 命令检索带有别名的条目。
对于插件返回别名条目,基本条目必须包含以下信息:
-
alias对象类。 -
aliasedObjectName属性(称为 X.500 中的aliasedEntryName属性),其 DN 值指向另一个条目。
目录服务器可以返回到客户端,以下错误:
-
如果缺少别名 DN,则
错误 32 (没有这样的对象)。 -
如果搜索是非基本搜索,则
错误 53 (不会执行)。
解引用是将别名名称转换为对象名称。这个过程可能需要检查多个别名条目。别名条目可以指向不是叶条目的条目。DIT 中的一个条目可能有多个别名名称,多个别名条目可能指向同一条目。
例 6.3. 具有别名的条目
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 别名条目 |
| 配置条目的 DN | cn=Alias Entries, cn=plugins, cn=config |
| 描述 |
在 基本级别 搜索过程中检查别名对象类和 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 |
|
| 依赖项 | 数据库 |
| 性能有关的信息 |
每个别名条目必须属于 |
| 更多信息 |
|
6.3.8. 属性唯一插件
Attribute Uniqueness 插件确保属性的值在目录或子树中是唯一的。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | NSUniqueAttr |
| 配置条目的 DN | cn=Attribute Uniqueness,cn=plugins,cn=config |
| 描述 | 每次修改条目时,检查指定属性的值是否都是唯一的。例如,大多数站点都要求用户 ID 和电子邮件地址是唯一的。 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 |
要检查所有列出的子树中的 UID 属性唯一性,请输入 |
| 依赖项 | 数据库 |
| 性能有关的信息 | 目录服务器默认提供 UID 唯一插件。为确保其他属性的唯一值,请为这些属性创建属性的属性实例。 默认情况下,UID 唯一插件是禁用的,因为在多层次复制环境中启用插件前需要解决的操作限制。开启插件可能会降低目录服务器性能。 |
6.3.8.1. cn
设置 属性唯一插件配置 记录的名称。您可以使用任何字符串,但红帽建议您命名配置记录 attribute_name Attribute 唯一性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | cn: mail Attribute Uniqueness |
6.3.8.2. uniqueness-across-all-subtrees
如果启用 (在 上),插件将检查属性在设置的所有子树中是否是唯一的。如果将属性设置为 off,则仅在更新条目的子树中强制实施唯一性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_entry_name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | uniqueness-across-all-subtrees: off |
6.3.8.3. uniqueness-attribute-name
设置其值必须是唯一的的属性的名称。此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_entry_name,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-attribute-name: mail |
6.3.8.4. uniqueness-exclude-subtrees
设置 DN,其中插件会跳过属性值的唯一验证。此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_entry_name,cn=plugins,cn=config |
| 有效值 | 任何有效的子树 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| Example | uniqueness-exclude-subtrees: dc=private,dc=people,dc=example,dc=com |
6.3.8.5. uniqueness-subtree-entries-oc
另外,在使用 uniqueness-top-entry-oc 参数时,您可以配置 Attribute Uniqueness 插件仅验证属性是否是唯一的,如果条目包含此参数中设置的对象类。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_entry_name,cn=plugins,cn=config |
| 有效值 | 任何有效的对象类 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-subtree-entries-oc: inetOrgPerson |
6.3.8.6. uniqueness-subtrees
设置 DN,该插件会在其下检查属性值的唯一性。此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_entry_name,cn=plugins,cn=config |
| 有效值 | 任何有效的子树 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-subtrees: ou=Sales,dc=example,dc=com |
6.3.8.7. uniqueness-top-entry-oc
目录服务器在更新对象的父条目中搜索此对象类。如果没有找到,则搜索将继续到目录树的根目录的下一个更高级别的条目。如果找到对象类,Directory 服务器会验证 uniqueness-attribute-name 中设置的属性值是否在此子树中是唯一的。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_entry_name,cn=plugins,cn=config |
| 有效值 | 任何有效的对象类 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-top-entry-oc: nsContainer |
6.3.9. auto Membership 插件
自动成员规则本质上允许静态组像动态组一样操作。不同的自动成员定义会创建搜索,这些搜索会在所有新目录条目上自动运行。自动成员规则搜索和识别匹配条目 - 与动态搜索过滤器 - 非常相似,然后将这些条目作为成员明确添加到指定的静态组中。
Auto Membership 插件本身是一个容器条目。每个自动成员定义都是 Auto Membership 插件的子级。automember 定义定义定义 LDAP 搜索基础,并过滤用于识别要将其添加到的条目和默认组。
每个自动成员定义都可以有自己的子条目,用于定义将条目分配给组的额外条件。正则表达式可用于包含或排除条目,并根据这些条件将它们分配到特定的组。
如果条目与主定义匹配,而不是任何正则表达式条件,则它将使用主定义中的组。如果与正则表达式条件匹配,则它将添加到正则表达式条件组中。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | auto Membership |
| 配置条目的 DN | cn=Auto Membership,cn=plugins,cn=config |
| 描述 | 用于自动成员定义的容器条目。自动成员定义会搜索新条目,如果它们匹配定义的 LDAP 搜索过滤器和正则表达式条件,则会自动将条目添加到指定的组中。 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | 对于主插件条目,没有。定义条目必须指定 LDAP 范围、LDAP 过滤器、默认组和成员属性格式。可选的正则表达式子条目可以指定 inclusive 和 exclusive 表达式,以及不同的目标组。 |
| 依赖项 | 数据库 |
| 性能有关的信息 | 无。 |
6.3.9.1. autoMemberDefaultGroup
此属性设置 default 或 fallback 组,将条目作为成员添加到 中。如果只使用定义条目,则这是所有匹配条目添加到的组。如果使用正则表达式条件,则当与 LDAP 搜索过滤器匹配的条目与任何正则表达式不匹配时,此组将用作回退。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何现有的 Directory Server 组 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberDefaultGroup: cn=hostgroups,ou=groups,dc=example,dc=com |
6.3.9.2. autoMemberDefinition (对象类)
此属性将条目识别为自动成员定义。此条目必须是 Auto Membership 插件的子组,cn=Auto Membership Plugin,cn=plugins,cn=config。
允许的属性
- autoMemberScope
- autoMemberFilter
- autoMemberDefaultGroup
- autoMemberGroupingAttr
6.3.9.3. autoMemberExclusiveRegex
此属性设置单个正则表达式,用于识别 要排除的 条目。如果条目与排除条件匹配,则它不会 包含在组中。可以使用多个正则表达式,如果某个条目与这些表达式中的任何一个匹配,则它将包含在组中。
表达式的格式是 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的详情,请查看 pcresyntax (3)手册页。
排除条件首先评估,优先于 include 条件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何正则表达式 |
| 默认值 | 无 |
| 单或多值 | 多值 |
| 语法 | DirectoryString |
| 示例 | autoMemberExclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
6.3.9.4. autoMemberFilter
此属性设置标准 LDAP 搜索过滤器,用于搜索匹配条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 LDAP 搜索过滤器 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberFilter:objectclass=ntUser |
6.3.9.5. autoMemberGroupingAttr
此属性提供 group 条目中的 member 属性的名称,以及提供 member 属性值的对象条目中的属性,格式为 group_member_attr:entry_attr。
这结构了 Automembership 插件如何向组添加成员,具体取决于组配置。例如,对于 groupOfUniqueNames 用户组,每个成员都添加为 uniqueMember 属性。uniqueMember 的值是用户条目的 DN。在本质上,每个组成员都由 uniqueMember 的 attribute-value 对标识: user_entry_DN。然后,成员条目格式是 uniqueMember:dn。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberGroupingAttr: member:dn |
6.3.9.6. autoMemberInclusiveRegex
此属性设置单个正则表达式,用于识别 要包含的 条目。可以使用多个正则表达式,如果某个条目与这些表达式中的任何一个匹配,则它包含在组中(假设它与排除表达式不匹配)。
表达式的格式是 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的详情,请查看 pcresyntax (3)手册页。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何正则表达式 |
| 默认值 | 无 |
| 单或多值 | 多值 |
| 语法 | DirectoryString |
| 示例 | autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
6.3.9.7. autoMemberProcessModifyOps
默认情况下,Directory 服务器调用 Automembership 插件来添加和修改操作。使用这个设置时,当向用户添加组条目或修改用户的组条目时,插件会更改组。如果将 autoMemberProcessModifyOps 设置为 off,则目录服务器仅在向用户添加组条目时调用 Automembership 插件。在这种情况下,如果管理员更改了用户条目,并且该条目会影响用户所属的 Automembership 组,则插件不会从旧组中删除该用户,仅添加新组。要更新旧组,您必须手动运行修复任务。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberProcessModifyOps: on |
6.3.9.8. autoMemberRegexRule (对象类)
此属性将条目识别为正则表达式规则。此条目必须是自动成员定义的子级(objectclass: autoMemberDefinition)。
允许的属性
- autoMemberInclusiveRegex
- autoMemberExclusiveRegex
- autoMemberTargetGroup
6.3.9.9. autoMemberScope
此属性设置子树 DN 以搜索条目。这是搜索基础。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器子树 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberScope: dc=example,dc=com |
6.3.9.10. autoMemberTargetGroup
此属性设置将条目作为成员添加到 的组(如果它满足正则表达式条件)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 组 |
| 默认值 | 无 |
| 单或多值 | single |
| 语法 | DirectoryString |
| 示例 | autoMemberTargetGroup: cn=webservers,cn=hostgroups,ou=groups,dc=example,dc=com |
6.3.10. 二进制语法插件
二进制语法已弃用。改为使用 Octet String 语法。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | bin-syntax |
| 配置条目的 DN | cn=Binary Syntax,cn=plugins,cn=config |
| 描述 | 处理二进制数据的语法。 |
| 类型 | syntax |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.11. 位字符串语法插件
6.3.12. 位插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 位 |
| 配置条目的 DN | cn=Bitwise Plugin,cn=plugins,cn=config |
| 描述 | 匹配针对 LDAP 服务器执行位操作的规则 |
| 类型 | matchingrule |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.13. 布尔值语法插件
6.3.14. case Exact String Syntax 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | ces-syntax |
| 配置条目的 DN | cn=Case Exact String Syntax,cn=plugins,cn=config |
| 描述 | 支持区分大小写的匹配或目录字符串、IA5 字符串和相关语法。这不是一个区分大小写的语法;此插件为不同的字符串语法提供区分大小写的匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.15. case Ignore String Syntax 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | directorystring-syntax |
| 配置条目的 DN | cn=Case Ignore String Syntax,cn=plugins,cn=config |
| 描述 | 支持目录字符串、IA5 字符串和相关语法不区分大小写的匹配规则。这不是区分大小写的语法;此插件为不同的字符串语法提供区分大小写的匹配规则。 |
| 类型 | syntax |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.16. 链数据库插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 链数据库 |
| 配置条目的 DN | cn=Chaining database,cn=plugins,cn=config |
| 描述 | 启用链接后端数据库 |
| 类型 | database |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | 链数据库涉及许多与性能相关的调整参数。 |
| 更多信息 | 串联数据库也称为 数据库链接。 |
6.3.17. Service 插件类
| 插件参数 | 描述 |
|---|---|
| 插件 ID | CoS |
| 配置条目的 DN | cn=Class of Service,cn=plugins,cn=config |
| 描述 | 允许在条目间共享属性 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | * 类型: Database * named: State Change Plug-in * named: Views Plug-in |
| 性能有关的信息 | 不要修改此插件的配置。使此插件始终保持运行。 |
6.3.18. 内容同步插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | content-sync-plugin |
| 配置条目的 DN | cn=Content Synchronization,cn=plugins,cn=config |
| 描述 |
根据 RFC 4533 启用对目录服务器中的 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | 无 |
| 依赖项 | retro Changelog 插件 |
| 性能有关的信息 |
如果您知道哪个后端或子树客户端访问同步数据,请相应地限制 |
6.3.19. 国家字符串语法插件
6.3.20. 交付方法语法插件
6.3.21. deref 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 解引用 |
| 配置条目的 DN | cn=deref,cn=plugins,cn=config |
| 描述 | 在目录搜索中解引用控制 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 数据库 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.22. 区分名称语法插件
6.3.23. 分布式数字分配插件
分布式数字分配插件管理数字范围,并将该范围内的唯一数字分配给条目。通过将数字分配分成范围,分布式数字分配插件允许多个服务器分配数字而不冲突。该插件还管理分配给服务器的范围,以便在一个实例通过其范围快速运行时,可以从其他服务器请求其他范围。
分布式数字分配可以配置为处理单一属性类型或多个属性类型,并且仅应用到子树中的特定后缀和特定条目。
分布式数字分配按属性处理,仅适用于子树中的特定后缀和特定条目。
| 插件信息 | 描述 |
|---|---|
| 插件 ID | 分布式数字分配 |
| 配置条目 DN | cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 描述 | 分布式数字分配插件 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | |
| 依赖项 | 数据库 |
| 性能有关的信息 | None |
6.3.23.1. dnaFilter
此属性设置 LDAP 过滤器,用于搜索并识别要应用分布式数字分配范围的条目。
需要 dnaFilter 属性来为属性设置分布式数字分配。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaFilter: (objectclass=person) |
6.3.23.2. dnaHostname
此属性标识共享范围内的服务器的主机名,作为多层次复制中该特定主机的 DNA 范围配置的一部分。可用的范围由主机跟踪,范围信息在所有供应商间复制,以便在任何供应商在可用数量上运行低时,可以使用主机信息联系其他供应商并请求新的范围。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString |
| 有效范围 | 任何有效的主机名 |
| 默认值 | 无 |
| 示例 | dnahostname: ldap1.example.com |
6.3.23.3. dnaInterval
此属性设定一个间隔,用于通过范围中的数字递增。本质上,这会以预定义的率跳过数字。如果间隔为 3,并且范围中的第一个数字是 1,则范围中使用的下一个数字为 4,然后 7,然后是 10,每新编号分配递增 3。
在复制环境中,dnaInterval 可让多个服务器共享相同的范围。但是,当您配置共享相同范围的不同服务器时,相应地设置 dnaInterval 和 dnaNextVal 参数,以便不同的服务器不会生成相同的值。如果您在复制拓扑中添加新服务器,还必须考虑这一点。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何整数 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | dnaInterval: 1 |
6.3.23.4. dnaMagicRegen
此属性设置用户定义的值,以指示插件为条目分配新值。magic 值可用于为现有条目分配新的唯一数字,或者在添加新条目时作为标准设置。
magic 条目应位于服务器定义的范围之外,以便意外地触发它。请注意,在 DirectoryString 或其他字符类型中使用此属性时,此属性不必是一个数字。但是,在大多数情形中,DNA 插件仅用于仅接受整数值的属性,在这种情况下,dnamagicregen 值也必须是整数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaMagicRegen: -1 |
6.3.23.5. dnaMaxValue
此属性设置可以为范围分配的最大值。默认值为 -1,它与设置最高 64 位整数相同。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统的最大 32 位整数,以及 64 位系统上的最大 64 位整数; -1 代表没有限制 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | dnaMaxValue: 1000 |
6.3.23.6. dnaNextRange
此属性定义在当前范围耗尽时使用的下一个范围。这个值会在服务器间传输范围时自动设置,但也可以手动设置它,以便在不使用范围请求时将范围添加到服务器。
只有当需要为其他服务器分配特定范围时,才应明确设置 dnaNextRange 属性。dnaNextRange 属性中设置的任何范围都必须从其他服务器可用的范围内唯一,以避免重复。如果没有来自其他服务器的请求,并且明确设置了 dnaNextRange 的服务器达到其 set dnaMaxValue,则会从这个 deck 中分配下一个值集合( dnaNextRange的一部分)。
dnaNextRange 分配也受 DNA 配置中设置的 dnaThreshold 属性的限制。为 dnaNextRange 分配给另一个服务器的任何范围都无法违反服务器的阈值,即使该范围在 dnaNextRange 上可用。
如果没有明确设置,如果在内部处理 dnaNextRange 属性。当它被自动处理时,dnaMaxValue 属性充当下一个范围的上限。
属性设置范围,格式为 lower_range-upper_range。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统上的最大 32 位整数,以及 64 位系统上为较低和大写的 64 位整数 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaNextRange: 100-500 |
6.3.23.7. dnaNextValue
此属性提供可分配的下一个可用数字。最初在配置条目中设置后,此属性由分布式数字分配插件管理。
需要 dnaNextValue 属性来为属性设置分布式数字分配。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统的最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | dnaNextValue: 1 |
6.3.23.8. dnaPluginConfig (对象类)
此对象类用于配置分配给条目的 DNA 插件和数字范围的条目。
此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.324
允许的属性
- dnaType
- dnaPrefix
- dnaNextValue
- dnaMaxValue
- dnaInterval
- dnaMagicRegen
- dnaFilter
- dnaScope
- dnaSharedCfgDN
- dnaThreshold
- dnaNextRange
- dnaRangeRequestTimeout
- cn
6.3.23.9. dnaPortNum
此属性提供用于连接到 dnaHostname 中标识的主机的标准端口号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | 整数 |
| 有效范围 | 0 到 65535 |
| 默认值 | 389 |
| 示例 | dnaPortNum: 389 |
6.3.23.10. dnaPrefix
此属性定义一个前缀,该前缀可以添加到属性生成的数字值前。例如,若要生成用户 ID,如 user1000,dnaPrefix 设置将是 用户。
dnaPrefix 可以存放任何类型的字符串。但是,dnaType 的一些可能值(如 uidNumber 和 gidNumber)只需要整数值。要使用前缀字符串,请考虑对允许字符串的 dnaType 使用自定义属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何字符串 |
| 默认值 | 无 |
| 示例 | dnaPrefix: id |
6.3.23.11. dnaRangeRequestTimeout
分布式数字分配插件的一个潜在情况是,一个服务器开始耗尽要分配的数字。dnaThreshold 属性在范围内设置可用数字的阈值,以便服务器可以在无法执行编号分配前从其他服务器请求额外的范围。
dnaRangeRequestTimeout 属性为范围请求设置一个超时时间(以秒为单位),以便服务器不会停止等待一个服务器的新范围,并可以从新的服务器请求范围。
若要执行范围请求,必须设置 dnaSharedCfgDN 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统的最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | dnaRangeRequestTimeout: 15 |
6.3.23.12. dnaRemainingValues
此属性包含剩余的值数,并可供服务器分配到条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | 整数 |
| 有效范围 | 任何整数 |
| 默认值 | 无 |
| 示例 | dnaRemainingValues: 1000 |
6.3.23.13. dnaRemoteBindCred
指定 Replication Manager 的密码。如果您在需要身份验证的 dnaRemoteBindMethod 属性中设置了 bind 方法,还要为 cn=config 条目下插件配置条目的复制部署中的各个服务器设置 dnaRemoteBindDN 和 dnaRemoteBindCred 参数。
以纯文本形式设置 参数。该值会在存储前自动 AES 加密。
需要重新启动服务器才能使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString {AES} encrypted_password |
| 有效值 | 任何有效的 AES 加密密码。 |
| 默认值 | |
| 示例 | dnaRemoteBindCred: {AES-TUhNR0NTcUdTSWIzRFFFRkRUQm1NRVVVHQ1NxR1NYjNEUUVGRERBNEJDUmxObUk0WXpjM1l5MHdaVE5rTXpZNA0KTNxaE9XSMMOHTXRHTKUTKUTT |
6.3.23.14. dnaRemoteBindDN
指定复制管理器 DN。如果您在需要身份验证的 dnaRemoteBindMethod 属性中设置了 bind 方法,还要为 cn=config 条目下的插件配置中的复制部署中的各个服务器设置 dnaRemoteBindDN 和 dnaRemoteBindCred 参数。
需要重新启动服务器才能使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString |
| 有效值 | 任何有效的复制管理器 DN。 |
| 默认值 | |
| 示例 | dnaRemoteBindDN: cn=replication manager,cn=config |
6.3.23.15. dnaRemoteBindMethod
指定远程绑定方法。如果您在此属性中设置了需要身份验证的 bind 方法,还要在 cn=config 条目下的插件配置条目中为每个服务器设置 dnaRemoteBindDN 和 dnaRemoteBindCred 参数。
需要重新启动服务器才能使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | DirectoryString |
| 有效值 |
|
| 默认值 | |
| 示例 | dnaRemoteBindMethod: SIMPLE |
6.3.23.16. dnaRemoteConnProtocol
指定远程连接协议。
需要重新启动服务器才能使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | DirectoryString |
| 有效值 |
|
| 默认值 | |
| 示例 | dnaRemoteConnProtocol: LDAP |
6.3.23.17. dnaScope
此属性设置基本 DN 以搜索应用分布式数字分配的条目。这与 ldapsearch 中的基本 DN 类似。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器条目 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaScope: ou=people,dc=example,dc=com |
6.3.23.18. dnaSecurePortNum
此属性提供用来连接到 dnaHostname 中标识的主机的安全(TLS)端口号。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | 整数 |
| 有效范围 | 0 到 65535 |
| 默认值 | 636 |
| 示例 | dnaSecurePortNum: 636 |
6.3.23.21. dnaThreshold
分布式数字分配插件的一个潜在情况是,一个服务器开始耗尽要分配的数字,这可能会导致出现问题。分布式数字分配插件允许服务器从其他服务器上可用范围请求新范围。
因此,服务器可以在达到其分配的范围结束时识别,dnaThreshold 属性设置 范围内的剩余可用数字阈值。当服务器达到阈值时,它会为新范围发送请求。
若要执行范围请求,必须设置 dnaSharedCfgDN 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统的最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | dnaThreshold: 100 |
6.3.23.22. dnaType
此属性设定为它们生成有唯一数字的属性。在这种情况下,每当属性添加到带有 magic 号的条目时,会自动提供一个分配的值。
需要此属性来为属性设置分布式数字分配。
如果设置了 dnaPrefix 属性,则前缀值会添加到由 dnaType 生成的任何值。dnaPrefix 值可以是任何类型的字符串,但 dnaType 的一些合理的值(如 uidNumber 和 gidNumber)只需要整数值。要使用前缀字符串,请考虑对允许字符串的 dnaType 使用自定义属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 无 |
| 示例 | dnaType: uidNumber |
6.3.24. 增强的指南语法插件
6.3.25. Facsimile Telephone Number Syntax plug-in
6.3.26. 传真语法插件
6.3.27. 常规时间语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | time-syntax |
| 配置条目的 DN | cn=Generalized Time Syntax,cn=plugins,cn=config |
| 描述 | 支持处理日期、时间和时区的语法和相关匹配规则;通过 RFC 4517。 |
| 类型 | syntax |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
| 更多信息 | Generalized Time String 由四位数字的年份、两位数字个月(例如,1 月 1 日)、两位数字、两位小时、两位数、两位数、第二个数字组成,一个可选十进制部分,一个时区表示。红帽强烈建议使用 Z 时区表示 Greenwich Mean Time。 另请参阅 RFC 4517。 |
6.3.28. 指南语法插件
此语法已弃用。改为使用增强指南语法。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | guide-syntax |
| 配置条目的 DN | cn=Guide Syntax,cn=plugins,cn=config |
| 描述 | 基于属性和过滤器创建复杂条件的语法,用于构建搜索 |
| 类型 | syntax |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
| 更多信息 | 此语法已过时。应改为使用增强指南语法。 |
6.3.29. HTTP 客户端插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | http-client |
| 配置条目的 DN | cn=HTTP Client,cn=plugins,cn=config |
| 描述 | HTTP 客户端插件 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 数据库 |
| 性能有关的信息 |
6.3.30. 整数语法插件
6.3.31. 国际化插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | orderingrule |
| 配置条目的 DN | cn=Internationalization Plugin,cn=plugins,cn=config |
| 描述 | 启用国际化字符串在目录中排序 |
| 类型 | matchingrule |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 |
国际化插件具有一个参数,该参数不得修改,该参数指定 |
| 依赖项 | 无 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.32. JPEG 语法插件
6.3.33. ldbm 数据库插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | ldbm-backend |
| 配置条目的 DN | cn=ldbm database,cn=plugins,cn=config |
| 描述 | 实现本地数据库 |
| 类型 | database |
| 可配置选项 | |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | * 语法 * matchingRule |
| 性能有关的信息 |
6.3.34. 链接的属性插件
许多时候,条目彼此具有固有的关系(如经理和员工、文档条目及其作者或特殊组和组成员)。虽然属性存在反映这些关系,但必须在每个条目上手动添加和更新这些属性。这可能导致目录数据集缓慢不一致,其中这些条目关系不明确、过期或缺失。
Linked Attributes Plug-in 允许一个属性(在一个条目中设置)来自动更新另一个条目中的另一个属性。第一个属性具有一个指向要更新的条目的 DN 值;第二个条目属性也具有 DN 值,它是第一个条目的 back-pointer。由用户以及受影响条目中的动态更新"managed"属性的 link 属性都由 Linked Attributes Plug-in 实例中的管理员定义。
在概念上,这类似于 MemberOf 插件使用组条目中的 member 属性来设置用户条目中的 memberOf 属性的方式。只有 Linked Attributes 插件时,所有 link/managed 属性都是用户定义的,可以有多个插件实例,每个插件都会反映不同的链接管理关系。
链接属性有几个注意事项:
- link 属性和 managed 属性都必须将 DN 作为值。link 属性中的 DN 指向条目,以将 managed 属性添加到其中。managed 属性包含链接条目 DN 作为其值。
- managed 属性必须是 multi-valued。否则,如果多个链接属性指向同一受管条目,则不会准确更新 managed 属性值。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 链接的属性 |
| 配置条目的 DN | cn=Linked Attributes,cn=plugins,cn=config |
| 描述 |
linked-managed 属性配置条目的容器条目。容器下的每个配置条目都将一个属性链接到另一个属性,以便在一个条目更新时(如管理器条目),然后与该条目关联的任何条目(如自定义 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | 对于主插件条目,没有。每个插件实例都有三个可能的属性: * linkType,它将插件的主要属性设置为监控 * managedType,它设定在修改 linkType 中的属性时插件动态管理的属性 * linkScope,它将插件活动限制为目录树中的特定子树 |
| 依赖项 | 数据库 |
| 性能有关的信息 | linkType 中设置的任何属性都必须只允许 DN 格式的值。managedType 中设置的任何属性都必须是 multi-valued。 |
6.3.34.1. linkScope
这会限制插件的范围,因此它只在特定子树或后缀中运行。如果未指定范围,则插件将更新目录树的任何部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何 DN |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | linkScope: ou=People,dc=example,dc=com |
6.3.34.2. linkType
这将设置 user-managed 属性。此属性由用户修改和维护,然后在此属性值更改时,链接的属性会在目标条目中自动更新。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | linkType: directReport |
6.3.34.3. managedType
这将设置 managed, 或 plug-in maintained, 属性。此属性由 Linked Attributes 插件实例动态管理。每当对 managed 属性进行更改时,插件都会更新目标条目上的所有链接的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | managedType: manager |
6.3.35. 受管条目插件
在一些特殊情况下,在创建另一个条目时自动创建的条目很有用。例如,这可以是 Posix 集成的一部分,方法是在创建新用户时创建特定的组条目。Managed Entries 插件的每个实例标识两个区域:
- 插件的范围,即子树和搜索过滤器,用于识别需要相应受管条目的条目
- 定义受管条目应是什么的模板条目,如下所示
| 插件信息 | 描述 |
|---|---|
| 插件 ID | 受管条目 |
| 配置条目 DN | cn=Managed Entries,cn=plugins,cn=config |
| 描述 | 自动生成的目录条目的容器条目。每个配置条目都定义了目标子树和模板条目。当创建目标子树中的匹配条目时,插件会根据模板自动创建一个新的相关条目。 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | 对于主插件条目,没有。每个插件实例都有 4 个可能的属性: * originScope,它设置搜索基础 * originFilter,它为匹配条目设置搜索基础 * managedScope,它设置子树,以便在下创建新受管条目 * managedTemplate,这是用于创建受管条目的模板条目 |
| 依赖项 | 数据库 |
| 性能有关的信息 | None |
6.3.35.1. managedBase
此属性设置在其中创建受管条目的子树。这可以是目录树中的任何条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何目录服务器子树 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | managedBase: ou=groups,dc=example,dc=com |
6.3.35.2. managedTemplate
此属性标识用于创建受管条目的模板条目。此条目可以位于目录树中的任何位置,但建议此条目位于复制后缀中,以便复制中的所有供应商和消费者都使用相同的模板。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 |
|
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | managedTemplate: cn=My Template,ou=Templates,dc=example,dc=com |
6.3.35.3. originFilter
此属性设置搜索过滤器,用于搜索和识别需要受管条目的子树中的条目。过滤器允许受管条目行为限制为特定类型的条目或条目子集。语法与常规搜索过滤器相同。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | originFilter: objectclass=posixAccount |
6.3.35.4. originScope
此属性设置用于查看插件监控器的条目的搜索范围。如果在范围子树中创建新条目,则 Managed Entries 插件会创建一个与它对应的新受管条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何目录服务器子树 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | originScope: ou=people,dc=example,dc=com |
6.3.36. memberOf 插件
组成员资格使用成员等属性在组条目中定义。搜索 member 属性可以更轻松地列出组的所有成员。但是,组成员资格不会反映在成员的用户条目中,因此无法通过查看用户条目来告知用户所属的组。
MemberOf 插件通过将组成员中的组成员资格与组成员的单个目录条目同步,方法是识别组条目中特定 成员属性(如成员)的更改,然后重新将成员资格更改写入到成员用户条目中的特定属性。
| 插件信息 | 描述 |
|---|---|
| 插件 ID | memberOf |
| 配置条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 描述 |
根据组条目中的成员属性,管理用户条目上的 |
| 类型 | Postoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 |
*
* |
| 依赖项 | 数据库 |
| 性能有关的信息 | None |
6.3.36.1. cn
设置插件实例的名称。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: MemberOf Plugin 实例示例 |
6.3.36.2. memberOfAllBackends
此属性指定是否在搜索用户条目或所有可用后缀。这可以在目录树中取用,用户可以在多个数据库中分发用户,以便全面、一致地评估组成员资格。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | memberOfAllBackends: on |
6.3.36.3. memberOfAttr
此属性指定 Directory Server 的用户条目中的属性,以反映组成员资格。MemberOf 插件会在成员的目录条目中生成此处指定的属性值。用户所属的每个组都有单独的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 支持 DN 语法的任何目录服务器属性 |
| 默认值 | memberOf |
| 语法 | DirectoryString |
| 示例 | memberOfAttr: memberOf |
6.3.36.4. memberOfAutoAddOC
要启用 memberOf 插件,将 memberOf 属性添加到用户,用户对象必须包含允许此属性的对象类。如果条目没有允许 memberOf 属性的对象类,则 memberOf 插件将自动添加 memberOfAutoAddOC 参数中列出的对象类。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | 任何目录服务器对象类 |
| 默认值 | nsMemberOf |
| 语法 | DirectoryString |
| 示例 | memberOfAutoAddOC: nsMemberOf |
6.3.36.5. memberOfDeferredUpdate
在带有 Berkeley Database (BDB)的实例中,如果对静态组的更改会影响多个成员,如向组添加超过 10,000 个成员,这个更改会触发所有组成员的大量内部更新。目录服务器处理一个可以存放敏感数据库页面的事务中的所有更新,并阻止其他搜索等待更新完成。
将 memberOfDeferredUpdate 属性设置为 on,以延迟成员的更新。在这种情况下,目录服务器在单独的事务中执行成员更新,改进了服务器响应速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | memberOfDeferredUpdate: off |
6.3.36.6. memberOfEntryScope
如果您配置了几个后端或多个嵌套后缀,则多值 memberOfEntryScope 参数允许您设置 MemberOf 插件可以正常工作的后缀。如果没有设置参数,则插件适用于所有后缀。memberOfEntryScopeExcludeSubtree 参数中设置的值比 memberOfEntryScope 中设置的值高。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器条目 DN。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | memberOfEntryScope: ou=people,dc=example,dc=com |
6.3.36.7. memberOfEntryScopeExcludeSubtree
如果您配置了几个后端或多个嵌套后缀,则多值 memberOfEntryScopeExcludeSubtree 参数允许您设置 MemberOf 插件排除的后缀。memberOfEntryScopeExcludeSubtree 参数中设置的值比 memberOfEntryScope 中设置的值高。如果这两个参数中设置的范围都重叠,MemberOf 插件仅适用于非覆盖的目录条目。
此设置不需要重新启动服务器来生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器条目 DN。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | memberOfEntryScopeExcludeSubtree: ou=sample,dc=example,dc=com |
6.3.36.8. memberOfGroupAttr
此属性指定组条目中的属性,用于识别组成员的 DN。默认情况下,这是 member 属性,但可以是包含 DN 值的任何成员资格相关属性,如 uniquemember 或 member。
任何属性都可用于 memberOfGroupAttr 值,但 MemberOf 插件仅在 target 属性的值包含成员条目的 DN 时才有效。例如,member 属性包含成员用户条目的 DN:
member: uid=jsmith,ou=People,dc=example,dc=com
member: uid=jsmith,ou=People,dc=example,dc=com
某些与成员相关的属性不包含 DN,如 memberURL 属性。此属性将不作为 memberOfGroupAttr 的值工作。memberURL 值是一个 URL,一个非DN 值无法用于 MemberOf 插件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器属性 |
| 默认值 | 成员 |
| 语法 | DirectoryString |
| 示例 | memberOfGroupAttr: member |
6.3.36.9. memberOfSkipNested
如果您没有在目录中使用嵌套组,请将 memberOfSkipNested 属性设置为 on 来跳过嵌套组检查。当目录服务器需要计算更多 10000 条目中的成员资格时,它会显著提高更新操作的响应时间。
您不需要重新启动服务器来应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| Example | memberOfSkipNested: off |
6.3.37. multi-supplier Replication 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | replication-multisupplier |
| 配置条目的 DN | cn=Multisupplier Replication Plugin,cn=plugins,cn=config |
| 描述 | 启用两个当前目录服务器之间的复制 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | * named: ldbm database * 命名: DES * 命名: 服务类 |
| 性能有关的信息 | |
| 更多信息 | 如果一个服务器永远不会复制,请关闭此插件。 |
6.3.38. Name 和 Optional UID 语法插件
6.3.39. 数字字符串语法插件
6.3.40. octet String Syntax 插件
使用 Octet String 语法而不是 Binary,它已被弃用。
6.3.41. OID 语法插件
6.3.42. PAM 通过 Auth 插件传递
Unix 系统上的本地 PAM 配置可为 LDAP 用户利用外部身份验证存储。这是一种直通身份验证形式,它允许 Directory 服务器使用外部存储的用户凭据来访问目录。
PAM 直通身份验证在 PAM Pass Through Auth 插件容器条目的子条目中进行配置。PAM 身份验证的所有可能配置属性(在 60pam-plugin.ldif 架构文件中定义)可用于子条目;子条目必须是 PAM 配置对象类的实例。
例 6.4. 通过身份验证条目传递的 PAM 示例
至少,PAM 配置必须定义一个映射方法(用来确定 PAM 用户 ID 来自于 Directory Server 条目)、PAM 服务器所使用的 PAM 服务器,以及是否使用到服务的安全连接。
pamIDMapMethod: RDN pamSecure: FALSE pamService: ldapserver
pamIDMapMethod: RDN
pamSecure: FALSE
pamService: ldapserver可以针对特殊设置扩展配置,如排除或专门包含子树,或者将特定的属性值映射到 PAM 用户 ID。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | pam_passthruauth |
| 配置条目的 DN | cn=PAM Pass Through Auth,cn=plugins,cn=config |
| 描述 | 为 PAM 启用直通身份验证,这意味着 PAM 服务可以将 Directory Server 用作其用户身份验证存储。 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 数据库 |
| 性能有关的信息 |
6.3.42.1. pamConfig (对象类)
此对象类用于定义 PAM 配置,以便与目录服务交互。此对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.318
允许的属性
-
pamExcludeSuffix -
pamIncludeSuffix -
pamMissingSuffix -
pamFilter -
pamIDAttr -
pamIDMapMethod -
pamFallback -
pamSecure -
pamService -
nsslapd-pluginConfigArea
6.3.42.2. pamExcludeSuffix
此属性指定要从 PAM 身份验证中排除的后缀。
| OID | 2.16.840.1.113730.3.1.2068 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
6.3.42.3. pamFallback
如果 PAM 身份验证失败,则设置是否回退到常规 LDAP 身份验证。
| OID | 2.16.840.1.113730.3.1.2072 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
6.3.42.4. pamFilter
设置 LDAP 过滤器,用于识别所含后缀中的特定条目,以使用 PAM 直通身份验证。如果没有设置,则后缀中的所有条目都由配置条目为目标。
| OID | 2.16.840.1.113730.3.1.2131 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
6.3.42.5. pamIDAttr
此属性包含用于存放 PAM 用户 ID 的属性名称。
| OID | 2.16.840.1.113730.3.1.2071 |
| 语法 | DirectoryString |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
6.3.42.6. pamIDMapMethod
提供使用 将 LDAP 绑定 DN 映射到 PAM 身份的方法。
Directory Server 用户帐户仅在使用 ENTRY 映射方法进行验证。使用 RDN 或 DN 时,其帐户处于激活的目录服务器用户仍然可以成功绑定到服务器。
| OID | 2.16.840.1.113730.3.1.2070 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
6.3.42.7. pamIncludeSuffix
此属性设置为 PAM 身份验证包含的后缀。
| OID | 2.16.840.1.113730.3.1.2067 |
| 语法 | DN |
| 多或单值 | 多值 |
| 定义于 | 目录服务器 |
6.3.42.8. pamMissingSuffix
标识如何处理缺少的 include 或 exclude 后缀。选项是 ERROR (这会导致绑定操作失败);ALLOW,它会记录错误,但允许操作继续; 和 IGNORE,允许操作并记录任何错误。
| OID | 2.16.840.1.113730.3.1.2069 |
| 语法 | DirectoryString |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
6.3.42.9. pamModuleIsThreadSafe
默认情况下,Directory 服务器会序列化可插拔验证模块(PAM)身份验证。如果您在 上将 pamModuleIsThreadSafe 属性设置为,目录服务器将开始并行执行 PAM 身份验证。但是,请确保您使用的 PAM 模块是一个 thread-safe 模块。
目前,您可以使用 ldapmodify 工具来配置 pamModuleIsThreadSafe 属性:
ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: cn=Example PAM config entry,cn=PAM Pass Through Auth,cn=plugins,cn=config
changetype: modify
add: pamModuleIsThreadSafe
pamModuleIsThreadSafe: on要应用更改,请重新启动服务器。
| OID | 2.16.840.1.113730.3.1.2399 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
6.3.42.10. pamSecure
需要安全 TLS 连接进行 PAM 身份验证。
| OID | 2.16.840.1.113730.3.1.2073 |
| 语法 | 布尔值 |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
6.3.42.11. pamService
包含要传递给 PAM 的服务名称。这假设指定的服务在 /etc/pam.d/ 目录中有一个配置文件。
pam_fprintd.so 模块不能位于 PAM 直通身份验证插件配置的 pamService 属性引用的配置文件中。使用 PAM pam_fprintd.so 模块可使 Directory 服务器达到最大文件描述符限制,并可能导致 Directory Server 进程中止。
pam_fprintd.so 模块不能位于 PAM 直通身份验证插件配置的 pamService 属性引用的配置文件中。使用 PAM fprintd 模块会导致目录服务器达到最大文件描述符限制,并可能导致 Directory Server 进程终止。
| OID | 2.16.840.1.113730.3.1.2074 |
| 语法 | IA5String |
| 多或单值 | 单值 |
| 定义于 | 目录服务器 |
6.3.43. 通过身份验证插件传递
| 插件参数 | 描述 |
|---|---|
| 插件 ID | passthruauth |
| 配置条目的 DN | cn=Pass Through Authentication,cn=plugins,cn=config |
| 描述 | 启用 直通身份验证,此机制允许一个目录查询另一个目录来验证绑定请求。 |
| 类型 | preoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | ldap://example.com:389/o=example |
| 依赖项 | 数据库 |
| 性能有关的信息 | 直通身份验证会减慢绑定请求的速度很小,因为它们必须向远程服务器提供额外的跃点。 |
6.3.44. 密码存储方案
目录服务器实施密码存储方案作为插件。但是,cn=Password Storage Schemes,cn=plugins,cn=config 条目本身只是容器,而不是插件条目。所有密码存储方案插件都作为此容器的子条目存储。
要显示所有密码存储方案插件,请输入:
dsconf <instance_name> pwpolicy list-schemes
# dsconf <instance_name> pwpolicy list-schemes不要禁用密码方案插件或更改插件的配置,以防止无法预计的身份验证行为。
强大的密码存储方案
仅使用以下强密码存储方案(最先使用):
-
PBKDF2-SHA512(默认)。PBKDF2-SHA512比PBKDF2_SHA256更安全。
基于密码的密钥派生函数 2 (PBKDF2)旨在利用资源来反复攻击。PBKDF2 支持大量迭代来应用哈希算法。更高的迭代提高了安全性,但需要更多硬件资源。要应用 PBKDF2-SHA512 算法,目录服务器使用 10,000 个迭代。
Red Hat Enterprise Linux 6 中的网络安全服务(NSS)数据库不支持 PBKDF2。因此,您不能在目录服务器 9 的复制拓扑中使用此密码方案。
-
SSHA512
salted 安全哈希算法(SSHA)实施安全哈希算法(SHA)的增强版本,它使用随机生成的 salt 来提高散列密码的安全性。SSHA512 使用 512 位实施哈希算法。
弱密码存储方案
除了推荐的强密码存储方案外,目录服务器还支持以下弱方案以向后兼容:
-
AES -
CLEAR -
CRYPT -
CRYPT-MD5 -
CRYPT-SHA256,CRYPT-SHA512 -
GOST_YESCRYPT -
MD5 -
NS-MTA-MD5.目录服务器只支持使用这个方案进行身份验证。您无法再使用它来加密密码。 -
SHA(160 位)、SHA256、SHA384、SHA512 -
SMD5 -
SSHA ,SSHA256,SSHA384
仅在短时间内继续使用弱方案,因为它会增加安全风险。
6.3.45. POSIX Winsync API 插件
默认情况下,在 Active Directory 和 Red Hat Directory Server 之间不会同步与 Posix 相关的属性。在 Linux 系统上,系统用户和组被识别为 Posix 条目,LDAP Posix 属性则包含所需信息。但是,当 Windows 用户同步时,它们会自动添加 ntUser 和 ntGroup 属性,以将其识别为 Windows 帐户,但没有同步 Posix 属性(即使它们存在于 Active Directory 条目中),且在 Directory 服务器上添加 Posix 属性。
Posix Winsync API 插件在 Active Directory 和 Directory Server 条目之间同步 POSIX 属性。
所有 POSIX 属性(如 uidNumber、gidNumber 和 homeDirectory)都在 Active Directory 和 Directory Server 条目之间同步。但是,如果新的 POSIX 条目或 POSIX 属性添加到 Directory 服务器中的现有条目中,则只有 POSIX 属性同步到 Active Directory 对应的条目。POSIX 对象类(posixAccount 用于用户,posixGroup 用于组)不会添加到 Active Directory 条目中。
此插件默认是禁用的,且必须在从 Active Directory 条目同步到 Directory 服务器条目之前启用。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | posix-winsync-plugin |
| 配置条目的 DN | cn=Posix Winsync API,cn=plugins,cn=config |
| 描述 | 为 Active Directory 用户和组条目上设置的 Posix 属性启用和配置 Windows 同步。 |
| 类型 | preoperation |
| 可配置参数 | * on | off * memberuid 映射(组) * 在小写(组)中转换和排序 memberUID 值 * memberOf 修复的任务带有同步操作 * 使用 Windows 2003 Posix 模式 |
| 默认设置 | off |
| 可配置参数 | 无 |
| 依赖项 | database |
6.3.45.1. posixWinsyncCreateMemberOfTask
此属性设置在同步运行后立即运行 memberOf 修复任务,以更新同步用户的组成员资格。默认情况下禁用此设置,因为 memberOf 修复任务可以是资源密集型,如果运行太频繁,则会导致性能问题。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncCreateMemberOfTask: false |
6.3.45.2. posixWinsyncLowerCaseUID
此属性设置是否在小写中存储(以及转换) memberUID 属性中的 UID 值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncLowerCaseUID: false |
6.3.45.3. posixWinsyncMapMemberUID
此属性设置是否将 Active Directory 组中的 memberUID 属性映射到 Directory Server 组中的 uniqueMember 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | true |
| 示例 | posixWinsyncMapMemberUID: false |
6.3.45.4. posixWinsyncMapNestedGrouping
当 Active Directory POSIX 组中的 memberUID 属性发生变化时,posixWinsyncMap NestedGrouping 参数管理嵌套组是否被更新。更新嵌套组支持 5 级的深度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncMapNestedGrouping: false |
6.3.45.5. posixWinsyncMsSFUSchema
当从 Active Directory 同步 Posix 属性时,此属性设置到用于 Unix 3.0 (msSFU30)模式的旧 Microsoft System Services。默认情况下,Posix Winsync API 插件对现代 Active Directory 服务器使用 Posix 模式:2005、2008 及更新的版本。Windows Server 2003 和较旧的 Windows 服务器所使用的现代 Active Directory Posix 模式和 Posix 模式之间存在略微差别。如果 Active Directory 域使用旧的模式,则可以改为使用旧的模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncMsSFUSchema: true |
6.3.46. postal Address String Syntax 插件
6.3.47. 可打印的字符串语法插件
6.3.48. 参考完整性插件
参考完整性可确保当您对目录中条目执行更新或删除操作时,服务器也会更新引用已删除/更新的条目的信息。例如,如果用户的条目从目录中删除,并且启用了引用完整性,服务器也会从用户所属的任何组中删除该用户。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | referint |
| 配置条目的 DN | cn=Referential Integrity Postoperation,cn=plugins,cn=config |
| 描述 | 启用服务器以确保引用完整性 |
| 类型 | Postoperation |
| 可配置选项 | 所有配置和 | 关闭 |
| 默认设置 | off |
| 可配置参数 |
启用后,后操作引用完整性插件会在 delete 或 rename 操作后立即对 |
| 依赖项 | 数据库 |
| 性能有关的信息 | referential Integrity 插件应在多层次复制环境中在所有供应商上启用。在链服务器上启用插件时,请务必分析性能资源和时间需求以及完整性需求;完整性检查可以花费大量时间和 CPU 要求。对于存在和相等,所有指定的属性都必须被索引。 |
6.3.48.1. nsslapd-pluginAllowReplUpdates
参考完整性是一个非常要求的资源。因此,如果您配置了多层次复制,则 referential Integrity 插件将默认忽略复制更新。但是,有时无法启用 referential Integrity 插件,或者插件不可用。
例如,复制拓扑中的一个供应商是 Active Directory (请参阅 Windows 同步 章节),其不支持引用完整性。在这种情况下,您可以允许另一个供应商的 Referential Integrity 插件使用 nsslapd-pluginAllowReplUpdates 属性处理复制更新。
在 多层次复制拓扑中,只有一个供应商必须具有 nsslapd-pluginAllowReplUpdates 属性值。否则,可能会导致复制错误,并需要完全初始化来解决这个问题。另一方面,必须在可能的情况下在所有节点上启用 referential Integrity 插件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=referential integrity postoperation,cn=plugins,cn=config |
| 有效范围 | on/off |
| 默认值 | off |
| 语法 | 布尔值 |
| Example | nsslapd-pluginAllowReplUpdates: off |
6.3.49. retro Changelog 插件
两种不同类型的更改日志由 Directory Server 维护。第一个类型称为 更改日志,它被多层次复制使用,第二个更改日志(称为 retro changelog )用于维护与目录服务器 4.x 版本的应用程序兼容性。
此 Retro Changelog 插件用于记录对供应商服务器的修改。当供应商服务器的目录被修改时,条目将写入包含以下内容的 Retro Changelog 中:
- 唯一标识修改的数字。这个数字遵循 changelog 中的其他条目。
- 修改操作是修改目录的方式。
它通过 Retro Changelog 插件,使用搜索 cn=changelog 后缀来访问对目录服务器所做的更改。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | retrocl |
| 配置条目的 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 描述 |
LDAP 客户端用于维护与目录服务器 4.x 版本的应用程序兼容性。维护在 Directory Server 中发生的所有更改的日志。retro changelog 提供与 Directory Server 4.x 版本中的 changelog 相同的功能。此插件将 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | 有关此插件的配置属性的更多信息,请参阅 Retr o Changelog 插件。 |
| 依赖项 | * 类型: Database * 命名: 服务类 |
| 性能有关的信息 | 可能会在目录服务器更新性能下降。 |
6.3.49.1. isReplicated
此可选属性设置标志,以指示 changelog 中的更改是新在该服务器上进行的更改还是从其他服务器复制。
| 参数 | 描述 |
|---|---|
| OID | 2.16.840.1.113730.3.1.2085 |
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | 无 |
| 语法 | 布尔值 |
| 示例 | isReplicated: true |
6.3.49.2. nsslapd-attribute
此属性明确指定另一个目录服务器属性,它必须包含在 retro changelog 条目中。
许多操作属性和其他类型的属性通常不包括在 retro changelog 中,但第三方应用程序可能需要存在这些属性才能使用 changelog 数据。这可以通过使用 nsslapd-attribute 参数列出 retro changelog 插件配置中的属性来完成。
还可以在 nsslapd-attribute 值中指定属性的可选别名。
nsslapd-attribute: attribute:_alias_
nsslapd-attribute: attribute:_alias_对属性使用别名有助于避免与外部服务器或应用中的其他属性冲突,这些属性可能使用 retro changelog 记录。
将 nsslapd-attribute 属性的值设置为 isReplicated 是一种在 retro changelog 条目本身中指示的方式,无论修改是在本地服务器上完成(即,更改是否为原始更改)还是将更改复制到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的目录属性(标准或自定义) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-attribute: nsUniqueId: uniqueID |
6.3.49.3. nsslapd-changelogdir
此属性指定在第一次插件时创建 changelog 数据库的目录名称。默认情况下,数据库会与所有其他数据库存储在 /var/lib/dirsrv/slapd-instance/changelogdb 下。
出于性能考虑,将此数据库存储在不同的物理磁盘中。
必须重新启动服务器,才能使此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 到目录的任何有效路径 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb |
6.3.49.4. nsslapd-changelogmaxage
nsslapd-changelogmaxage 属性设置 changelog 中任何条目的最长期限。changelog 包含每个目录修改的记录,并在同步消费者服务器时使用。每个记录包含一个时间戳。任何带有时间戳比此属性中指定的值旧的记录都会被删除。默认情况下,Directory 服务器会删除 7 天以上的记录。如果将此属性设置为 0,则更改 更改记录没有期限限制,目录服务器会保留所有记录。
当您设置较低值时,重新更改日志的大小会自动减少。
如果协议已超过最长期限,则不会删除过期的 changelog 记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效范围 | 0 (注意条目没有根据其年龄删除)到最大 32 位整数值(2147483647) |
| 默认值 | 7d |
| 语法 | DirectoryString IntegerAgeID,其中 AgeID 为:
如果您只设置没有 AgeID 的整数值,则 Directory Server 将它取为秒。 |
| Example | nsslapd-changelogmaxage: 30d |
6.3.49.5. nsslapd-exclude-attrs
nsslapd-exclude-attrs 参数存储从 retro changelog 数据库中排除的属性名称。要排除多个属性,请为每个要排除的属性添加一个 nsslapd-exclude-attrs 参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-exclude-attrs: example |
6.3.49.6. nsslapd-exclude-suffix
nsslapd-exclude-suffix 参数存储从 retro changelog 数据库中排除的后缀。您可以多次添加该参数以排除多个后缀。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-exclude-suffix: ou=demo,dc=example,dc=com |
6.3.50. roles 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | roles |
| 配置条目的 DN | cn=Roles Plugin,cn=plugins,cn=config |
| 描述 | 在目录服务器中启用角色 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | * 类型: Database * named: State Change Plug-in * named: Views Plug-in |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.51. rootdn Access Control 插件
root DN cn=Directory Manager 是一个在普通用户数据库之外定义的特殊用户条目。普通的访问控制规则不适用于根 DN,但由于 root 用户的强大性质,将某种类型的访问控制规则应用到 root 用户会很有帮助。
RootDN 访问控制插件对 root 用户设置正常的访问控制 - 主机和 IP 地址限制、时间限制和星期几限制。
此插件默认为禁用。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | rootdn-access-control |
| 配置条目的 DN | cn=RootDN Access Control,cn=plugins,cn=config |
| 描述 | 启用并配置用于根 DN 条目的访问控制。 |
| 类型 | internalpreoperation |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置属性 | * rootdn-open-time 和 rootdn-close-time 用于基于时间的访问控制 * rootdn-days-allowed 用于基于日期的访问控制 * rootdn-allow-host、rootdn-deny-host、rootdn-allow-ip 和 rootdn-deny-ip 用于基于主机的访问控制 |
| 依赖项 | None |
6.3.51.1. rootdn-allow-host
这将根据完全限定域名设置哪些主机,即 root 用户被允许用来访问目录服务器。任何未列出的主机都会隐式被拒绝。
允许通配符。
此属性可以多次使用来指定多个主机、域或子域。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的主机名或域,包括通配符的星号 rolebinding |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-allow-host: *.example.com |
6.3.51.2. rootdn-allow-ip
这会设置允许 root 用户访问目录服务器的机器的 IPv4 或 IPv6 的 IP 地址。任何未列出的 IP 地址都会隐式被拒绝。
允许通配符。
此属性可以多次使用来指定多个地址、域或子网。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 IPv4 或 IPv6 地址,包括通配符的星号 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-allow-ip:192.168. |
6.3.51.3. rootdn-close-time
当允许 root 用户访问目录服务器时,这设定一个时间段或范围的一部分。当基于时间的访问 结束时 设置,当 root 用户不再被允许访问目录服务器时。
这与 rootdn-open-time 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的时间,采用 24 小时格式 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | rootdn-close-time: 1700 |
6.3.51.4. rootdn-days-allowed
这以逗号分隔的 root 用户被允许用来访问目录服务器的天数的列表。列出的任何天数都会被隐式拒绝。这可以与 rootdn-close-time 和 rootdn-open-time 一起使用,以组合基于时间的访问和星期日,或者可供其自身使用(允许的天数允许所有小时)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效值 | * Sun * mon * 周二 * wed * 周四 * 周五 * sat |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-days-allowed: Mon, Tue, Wed, Thu, Fri |
6.3.51.5. rootdn-deny-ip
这会为 不允许 root 用户用于访问目录服务器的机器设置 IPv4 或 IPv6 的 IP 地址。任何未列出的 IP 地址都会隐式允许。
拒绝规则监管允许规则,因此,如果 IP 地址同时列在 rootdn-allow-ip 和 rootdn-deny-ip 属性中,则会被拒绝访问。
允许通配符。
此属性可以多次使用来指定多个地址、域或子网。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 IPv4 或 IPv6 地址,包括通配符的星号 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-deny-ip: 192.168.0.0 |
6.3.51.6. rootdn-open-time
当允许 root 用户访问目录服务器时,这设定一个时间段或范围的一部分。当基于时间的访问 开始时,该设定。
这与 rootdn-close-time 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的时间,采用 24 小时格式 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | rootdn-open-time: 0800 |
6.3.52. 模式 Reload 插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | schemareload |
| 配置条目 DN | cn=Schema Reload,cn=plugins,cn=config |
| 描述 | 重新加载模式文件的任务插件 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 |
6.3.53. 区分大小写的字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Space Insensitive String Syntax,cn=plugins,cn=config |
| 描述 | 处理空格敏感值的语法 |
| 类型 | syntax |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
| 更多信息 | 此插件可让 Directory 服务器支持 空间,且不区分大小写 的值。这允许应用使用带 ASCII 空格字符的条目搜索目录。
例如,使用 |
6.3.54. 状态更改插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | statechange |
| 配置条目的 DN | cn=State Change Plugin,cn=plugins,cn=config |
| 描述 | 启用 state-change-notification 服务 |
| 类型 | Postoperation |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 |
6.3.55. 语法验证任务插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Syntax Validation Task,cn=plugins,cn=config |
| 描述 | 为属性值启用语法验证 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | 无 |
| 性能有关的信息 | |
| 更多信息 | 此插件实施语法验证任务。执行语法验证的实际进程由各个特定的语法插件执行。 |
6.3.56. telephone Syntax 插件
6.3.57. Teletex Terminal Identifier Syntax 插件
6.3.58. Telex Number Syntax 插件
6.3.59. URI 语法插件
6.3.60. USN 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | USN |
| 配置条目的 DN | cn=USN,cn=plugins,cn=config |
| 描述 | 每当有修改时,在条目上为条目设置更新序列号(USN),包括添加和删除条目和修改属性值。 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | off |
| 可配置参数 | 无 |
| 依赖项 | 数据库 |
| 性能有关的信息 |
对于复制,建议使用部分复制排除 |
6.3.61. View 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 视图 |
| 配置条目的 DN | cn=Views,cn=plugins,cn=config |
| 描述 | 启用在目录服务器数据库中使用视图。 |
| 类型 | 对象 |
| 可配置选项 | on | off |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | * 类型: Database * named: State Change Plug-in |
| 性能有关的信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}