4.2. 通过过期属性跟踪条目修改
使用默认设置,Directory 服务器会为每个条目跟踪以下操作属性:
creatorsName:最初创建该条目的用户的可分辨名称(DN)。createTimestamp:创建条目时,Greenwich Mean Time (GMT)格式的时间戳。modifiersName:上次修改条目的用户的可分辨名称。modifyTimestamp:最后一次修改条目时 GMT 格式的时间戳。
请注意,操作属性不会在默认搜索中返回。您必须在查询中明确请求这些属性。详情请查看 第 14.4.7 节 “搜索过期属性”。
重要
红帽建议不要禁用跟踪这些操作属性。如果禁用,条目不会获得在
nsUniqueID 属性中分配的唯一 ID,且复制不起作用。
4.2.1. 数据库链接修改或创建的条目
当通过数据库链接创建或修改条目时,Creatings
Name 和 modifiersName 属性包含在远程服务器上授予代理授权权限的用户的名称。在这种情况下,属性不显示条目的原始创建者或最新的修饰符。但是,访问日志会显示代理用户(dn)和原始用户(authzid)。例如:
[23/May/2018:18:13:56.145747965 +051800] conn=1175 op=0 BIND dn="cn=proxy admin,ou=People,dc=example,dc=com" method=128 version=3 [23/May/2018:18:13:56.575439751 +051800] conn=1175 op=0 RESULT err=0 tag=97 nentries=0 etime=0 dn="cn=proxy admin,ou=people,dc=example,dc=com" [23/May/2018:18:13:56.744359706 +051800] conn=1175 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(objectClass=*)" attrs=ALL authzid="uid=user_name,ou=People,dc=example,dc=com"
4.2.2. 启用修改的跟踪
默认情况下,Directory 服务器跟踪操作属性中的修改。
注意
红帽建议不要禁用此功能。
这部分论述了如何在禁用该功能时重新启用修改跟踪。
4.2.2.1. 使用命令行启用跟踪修改
使用命令行重新启用条目修改的跟踪:
- 将
nsslapd-lastmod参数设置为 on :# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-lastmod=on
- (可选)要重新生成缺少的
nsUniqueID属性:- 将数据库导出到 LDAP 数据交换格式(LDIF)文件中。请参阅 第 6.2.1 节 “使用命令行将数据导出到 LDIF 文件中”。
- 从 LDIF 文件导入数据库。请参阅 第 6.1.2 节 “使用命令行导入”。
