第 3 章 核心服务器配置参考
本章为所有核心(服务器相关)属性提供字母顺序参考。第 2.2.1.1 节 “Directory 服务器配置概述” 包含有关 Red Hat Directory Server 配置文件的良好概述。
3.1. 核心服务器配置属性参考
本节介绍与核心服务器功能相关的配置属性。有关更改服务器配置的详情,请参考 第 2.2.1.2 节 “访问和修改服务器配置”。有关作为插件实现的服务器功能列表,请参阅 第 4.1 节 “服务器插件功能参考”。为了帮助实施自定义服务器功能,请联络目录服务器支持。
dse.ldif
文件中的配置信息被组织为常规配置条目 cn=config
下的信息树,如下图所示。
图 3.1. 目录信息树显示配置数据
以下部分介绍了其中的大部分配置树节点。
第 4 章 插件实现的服务器功能参考 涵盖了 cn=plugins
节点。每个属性的描述包含其目录条目的 DN、其默认值、有效值及其用法示例。
本章节中描述的一些条目和属性可能会在以后的发行本中有所变化。
3.1.1. cn=config
常规配置条目存储在 cn=config
条目中。cn=config
条目是一个 nsslapdConfig
对象类的实例,它随后从 extensibleObject
对象类继承。
3.1.1.1. nsslapd-accesslog(Access Log)
此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。默认情况下,日志文件中会记录以下信息:
- 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
- 执行的操作(如搜索、添加和修改)。
- 访问的结果(例如,返回条目数或错误代码)。
有关关闭访问的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"一章。
要启用的访问日志,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled
配置属性必须切换到 上的
。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。
属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名。 |
默认值 | /var/log/dirsrv/slapd-instance/access |
语法 | DirectoryString |
示例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level(Access Log Level)
此属性控制日志记录到访问日志的内容。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 0 - 无访问日志 * 4 - 内部访问操作的日志记录 * 256 - 用于连接、操作和结果的日志记录 * 512 - 日志记录以访问一个条目和引用
* 这些值可以一起添加,以提供所需的确切的日志类型;例如, |
默认值 | 256 |
语法 | 整数 |
示例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list(Access Log Files)
此只读属性无法设置,提供访问日志轮转中使用的访问日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)
当设置为 off
时,服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器在负载过重的情况下使用访问日志,而不影响性能。但是,在调试时,有时禁用缓冲以便立即查看操作及其结果,而不必等待日志条目清空至文件。禁用日志缓冲会对负载较大服务器的性能有严重影响。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime(Access Log Expiration Time)
此属性指定在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。该单元由 nsslapd-accesslog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(Access Log Expiration Time unit)
此属性指定 nsslapd-accesslog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | month |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled(Access Log Enable Logging)
禁用并启用 accesslog 日志,但只能与 nsslapd-accesslog
属性结合使用,用于指定记录每个数据库访问的日志的路径和参数。
要启用的访问日志,此属性必须切换到 上的
,并且 nsslapd-accesslog
配置属性必须具有有效的 path 和 参数。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。
属性 | 值 | Enabled 或 Disabled 的日志记录 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)
此属性以 MB 为单位指定访问日志允许消耗的最大磁盘空间量。如果超过这个值,会删除最旧的访问日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许访问日志的磁盘空间没有限制。 |
默认值 | 500 |
语法 | 整数 |
示例 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace(Access Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的访问日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(Access Log Rotation Sync Enabled)
此属性设置是否与当天的特定时间同步访问日志轮转。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使日志轮转与定时天同步,必须使用 nsslapd-accesslog-logrotationsynchour
和 nsslapd-accesslog-logrotationsyncmin
属性值设置为轮转日志的小时和分钟。
例如,若要每天在午夜中轮转日志文件,请通过将其值设置为 on
来启用此属性,然后将 nsslapd-accesslog-logrotationsynchour
和 nsslapd-accesslog-logrotationsync
的值设置为
0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logrotationsync-enabled: |
3.1.1.11. nsslapd-accesslog-logrotationsynchour(Access Log Rotation Sync Hour)
此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enabled
和 nsslapd-accesslog-logrotationsyncmin
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin(Access Log Rotation Sync Minute)
此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enabled
和 nsslapd-accesslog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime(Access Log Rotation Time)
此属性设置访问日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-accesslog-logrotationtimeunit
属性提供。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然不建议指定日志轮转,因为日志已无限期地增长,但有两个方法可以指定这一点。将 nsslapd-accesslog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-accesslog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-accesslog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-accesslog-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.16 节 “nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示访问日志文件轮转之间的时间不受限制。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit(Access Log Rotation Time unit)
此属性设置 nsslapd-accesslog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | day |
语法 | DirectoryString |
示例 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize(Access Log Maximum Log Size)
此属性以 MB 为单位设置最大访问日志大小。达到这个值时,访问日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-accesslog-maxlogsperdir
属性被设置为 1
,服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)
此属性设置可在存储访问日志的目录中访问日志的总数。每次对访问日志进行轮转时,都会创建一个新日志文件。当访问日志目录中所含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。出于性能原因,红帽建议 不要将 这个值设置为 1
,因为服务器不会轮转日志,并无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-accesslog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.13 节 “nsslapd-accesslog-logrotationtime(Access Log Rotation Time)”。
请注意,根据 nsslapd-accesslog-logminfreediskspace
和 nsslapd-accesslog-maxlogsize
中设置的值,实际日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir
中配置的内容。例如: 如果 nsslapd-accesslog-maxlogsperdir
使用默认值(10 文件),并且您将 nsslapd-accesslog-logfreediskspace
设置为 500
MB,并且 nsslapd-accesslog-maxlogsize
设为 100
MB,Directory 服务器只保留 5 个访问文件。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 10 |
语法 | 整数 |
示例 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode(Access Log File Permission)
此属性设定了要创建访问日志文件的访问模式或文件权限。有效的值是 000
到 777(
其镜像编号或绝对 UNIX 文件权限)的任意组合。该值必须是 3 位数字,其数字从 0
到 7
的不同:
-
0
- none -
1
- 仅执行 -
2
- 仅写入 -
3
- 写入和执行 -
4
- 只读 -
5
- 读和执行 -
6
- 读和写 -
7
- 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
如果用户试图在没有提供任何绑定 DN 或密码的情况下连接到 Directory 服务器,则这是 匿名绑定。匿名绑定简化了通用搜索和读取操作,例如在不需要用户先向目录进行身份验证的情况下检查电话号码或电子邮件地址的目录。
但是,存在与匿名绑定相关的风险。适当的 ACI 必须就位限制为限制对敏感信息的访问,以及不允许修改和删除等操作。另外,匿名绑定可用于拒绝服务攻击或恶意人员获得对服务器的访问权限。
可以禁用匿名绑定来提高安全性(off)。默认情况下,允许匿名绑定(on)搜索和读取操作。这允许访问 常规目录条目,其中包括用户和组条目以及诸如 root DSE 的配置条目。第三个选项 rootdse
允许匿名搜索和读取访问权限来搜索 root DSE 本身,但限制对所有其他目录条目的访问。
另外,还可使用 nsslapd-anonlimitsdn
属性将资源限值放在匿名绑定中,如 第 3.1.1.22 节 “nsslapd-anonlimitsdn” 所述。
对此值的更改将在服务器重启前生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off | rootdse |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-allow-anonymous-access: |
3.1.1.19. nsslapd-allow-hashed-passwords
这个参数禁用预先哈希的密码检查。默认情况下,目录服务器不允许由 Directory Manager 以外的任何人设置预哈希密码。将这个权限添加到 Password Administrators 组时,您可以将此权限委派给其他用户。然而,在某些情况下,像复制合作伙伴已控制预先哈希的密码检查时,必须在 Directory 服务器上禁用此功能。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
未经身份验证的绑定是连接到 Directory 服务器的连接,用户提供了一个空密码。使用默认设置时,出于安全原因,Directory 服务器拒绝访问。
红帽建议不要启用未经身份验证的绑定。这个验证方法允许用户在不以任何帐户身份提供密码的情况下绑定,包括 Directory Manager。绑定后,用户可以通过用来绑定的帐户的权限访问所有数据。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
对于每个默认,root DSE 列出了 SASL 库支持的所有机制。但是,在某些环境中,只需要某些特定的环境。nsslapd-allowed-sasl-mechanisms
属性可让您只启用某些定义的 SASL 机制。
机制名称必须包含大写字母、数字和下划线。每个机制都可以使用逗号分开,或者有空格。
EXTERNAL
机制实际上没有被任何 SASL 插件使用。它是服务器内部的,主要用于 TLS 客户端身份验证。因此,EXTERNAL
机制无法被限制或控制。无论 nsslapd-allowed-sasl-mechanisms
属性中的内容,它始终出现在支持的机制列表中。
此设置不需要服务器重启才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 SASL 机制 |
默认值 | none(允许的所有 SASL 机制) |
语法 | DirectoryString |
示例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
可以在经过身份验证的绑定上设置资源限制。资源限制可以针对单个操作(nsslapd-sizeLimit
)、一个时间限制(nsslapd-timelimit
)和超时期限(nsslapd-idletimeout
)进行搜索,以及可以搜索的项总数(nsslapd-
idletimeout )。这些资源限制可防止拒绝服务攻击,从而破坏目录服务器并改进整体性能。
在用户条目上设置资源限制。一个匿名绑定,很明显,没有关联用户条目。这意味着资源限制通常不适用于匿名操作。
要为匿名绑定设置资源限值,可以创建模板条目,并具有正确的资源限制。然后,可以添加 nsslapd-anonlimitsdn
配置属性,该属性指向此条目并将资源限制应用到匿名绑定。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 DN |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
此属性允许使用在属性名称中的非标准字符与旧的服务器向后兼容,如 schema 定义的属性中的 "_"。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog(Audit Log)
此属性设置用于记录对每个数据库所做的更改的日志的路径和文件名。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名 |
默认值 | /var/log/dirsrv/slapd-instance/audit |
语法 | DirectoryString |
示例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled
配置属性必须切换到 上的
。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。
dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.25. nsslapd-auditlog-display-attrs
使用 nsslapd-auditlog-display-attrs
属性,您可以设置目录服务器在审计日志中显示的属性,以提供有关要修改的条目的有用识别信息。通过在审计日志中添加属性,您可以检查条目中特定属性的当前状态以及条目更新的详情。
您可以通过选择以下选项之一来显示日志中的属性:
- 要显示 Directory 服务器修改的条目的特定属性,请提供属性名称作为值。
- 要显示多个属性,请将以空格分隔的属性名称列表作为值。
- 要显示条目的所有属性,请使用星号 nologin 作为值。
提供目录服务器必须在审计日志中显示的属性列表,或使用星号 nologin 作为值来显示正在修改的条目的所有属性。
例如,您要将 cn
属性添加到审计日志输出中。当您将 nsslapd-auditlog-display-attrs
属性设置为 cn
时,审计日志会显示以下输出:
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的属性名称。如果要显示审计日志中条目的所有属性,请使用星号。 |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
提供审计日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime(Audit Log Expiration Time)
此属性设置在删除日志文件前允许的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit(Audit Log Expiration 计时器单元)
此属性设置 nsslapd-auditlog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled(Audit Log Enable Logging)
打开和关闭审计日志记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logging-enabled: off |
对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且必须切换到 上的
nsslapd-auditlog-logging-enabled
配置属性。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。
属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace(Audit Log Maximum Disk Space)
此属性设置审计日志允许使用的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的审计日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另请注意,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,各自消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示对审计日志允许的磁盘空间没有限制。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreediskspace(Audit Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled(Audit Log Rotation Sync Enabled)
此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditlog-logrotationsynchour
和 nsslapd-auditlog-logrotationsyncmin
属性值将日志记录设置为当天的小时和分钟。
例如,若要每天在午夜中轮转审计日志文件,请通过将其值设置为 on
来启用此属性,然后将 nsslapd-auditlog-logrotationsynchour
和 nsslapd-auditlog-logrotationsync
的值设置为
0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logrotationsync-enabled: |
3.1.1.33. nsslapd-auditlog-logrotationsynchour(Audit Log Rotation Sync Hour)
此属性设置轮转审计日志的当日小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled
和 nsslapd-auditlog-logrotationsyncmin
属性结合使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 |
none(因为 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin(Audit Log Rotation Sync Minute)
此属性设置轮转审计日志的当天的时间。此属性必须与 nsslapd-auditlog-logrotationsync-enabled
和 nsslapd-auditlog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 |
none(因为 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)
此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logrotationtimeunit
属性提供。如果 nsslapd-auditlog-maxlogsperdir
属性被设置为 1
,则服务器会忽略此属性。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditlog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-auditlog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-auditlog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-auditlog-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.38 节 “nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志文件轮转之间的时间无限。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit(Audit Log Rotation 时区)
此属性设置 nsslapd-auditlog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize(Audit Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditlog-maxlogsperdir
到 1
,服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)
此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次轮转审计日志时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1
日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-auditlog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.35 节 “nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode(Audit Log File Permission)
此属性设置要创建审计日志文件的访问模式或文件权限。有效的值是 000
到 777
的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 0
到 7
的不同数字:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog(Audit Fail Log)
此属性设置用于记录 LDAP 修改的日志的路径和文件名。
如果启用了 nsslapd-auditfaillog-logging-enabled
,并且未设置 nsslapd-auditfaillog
,审计失败事件将记录到 nsslapd-auditlog
中指定的文件。
如果您将 nsslapd-auditfaillog
参数设置为与 nsslapd-auditlog
相同的路径,则两者都会在同一文件中记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名 |
默认值 | /var/log/dirsrv/slapd-instance/audit |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志失败日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled
属性必须设置为 on
3.1.1.41. nsslapd-auditfaillog-list
提供审计失败日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime(Audit Fail Log Expiration Time)
此属性在删除日志文件前设置日志文件的最长期限。它为单元数量提供。指定 nsslapd-auditfaillog-logexpirationtimeunit
属性中的 day、week 和 month 等。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration 计时器单元)
此属性设置 nsslapd-auditfaillog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-enabled(Audit Fail Log Enable Logging)
打开和关闭失败的 LDAP 修改的日志记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail Log Maximum Disk Space)
此属性设定审计日志可以使用的最大磁盘空间量(以 MB 为单位)。如果大小超过限制,会删除最旧的审计日志。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计失败日志的磁盘空间没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace(Audit Fail Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled(Audit Fail Log Rotation Sync Enabled)
此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditfaillog-logrotationsynchour
和 nsslapd-auditfaillog-logrotationsyncmin
属性值将设置为一天的小时和分钟。
例如,要每天在午夜中轮转审计失败的日志文件,通过将其值设置为 nsslapd-auditfaillog-logrotationsynchour,并将 nsslapd-auditfaillog-logrotationsynchour
和 nsslapd-auditfaillog-logrotationmin
属性设置为 0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logrotationsync-enabled: |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour(Audit Fail Log Rotation Sync Hour)
此属性设置审计日志的轮转前一天的小时数。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled
和 nsslapd-auditfaillog-logrotationsyncmin
属性结合使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 |
none(因为 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin(Audit Fail Log Rotation Sync Minute)
此属性设置审计日志的轮转前一分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled
和 nsslapd-auditfaillog-logrotationsynchour
属性结合使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 |
none(因为 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)
此属性设置审计失败日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditfaillog-logrotationtimeunit
属性提供。如果 nsslapd-auditfaillog-maxlogsperdir
属性被设置为 1
,则服务器会忽略此属性。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditfaillog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-auditfaillog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-auditfaillog-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.53 节 “nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志失败日志文件轮转之间的时间无限。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit(Audit Fail Log Rotation Time unit)
此属性设置 nsslapd-auditfaillog-logrotationtime
属性的单元。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize(Audit Fail Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志的轮转日志。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditfaillog-maxlogsperdir
参数设为 1
,则服务器会忽略此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)
此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次审计日志轮转失败时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1
日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-auditfaillog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.50 节 “nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode(Audit Fail Log File Permission)
此属性设置创建审计失败日志文件的访问模式或文件权限。有效的值是 000
到 777
的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 0
到 7
的不同数字:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir(默认备份目录)
此参数设置到默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。
此设置不需要服务器重启才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何本地目录路径。 |
默认值 | /var/lib/dirsrv/slapd-instance/bak |
语法 | DirectoryString |
示例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir(Certificate 和 Key Database Directory)
此参数定义 Directory 服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。
作为回退,如果服务器无法将其提取到 /tmp/
目录中,目录服务器会将私钥和证书提取到该目录。有关私有命名空间的详情,请查看 systemd.exec(5) man page 中的 PrivateTmp
参数描述。
nsslapd-certdir
中指定的目录必须由服务器的用户 ID 所有,只有该用户 ID 必须在此目录中具有读写权限。出于安全考虑,其他用户都应该拥有读取或写入到此目录的权限。
服务必须重启才能使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 绝对路径 |
默认值 | /etc/dirsrv/slapd-instance_name/ |
语法 | DirectoryString |
示例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn(Certificate Map Search Base)
使用 TLS 证书执行客户端身份验证时,可以使用此属性来避免 /etc/dirsrv/slapd-instance_name/certmap.conf
文件中配置的安全子系统证书映射的限制。根据此文件中的配置,可以使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN,则 nsslapd-certmap-basedn
属性可能会强制搜索在 root 以外的某个条目上基于。此属性的有效值是用于证书映射的后缀或子树的 DN。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的 DN |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
这个 read-only 属性是配置 DN。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的配置 DN |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
此参数允许您在 CN 值内启用 DN。
目录服务器 DN 规范化程序为 RFC4514,如果 RDN 属性类型不是基于 DN 语法,则保留空格。但是,Directory 服务器的配置条目有时使用 cn
属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config
, cn
should be normalized with the DN 语法。
如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns
参数。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer
此属性设置连接缓冲行为。可能的值:
-
0
:禁用缓冲。次只读取单一协议数据单位(PDU)。 -
1:
常规固定大小LDAP_SOCKET_IO_BUFFER_SIZE
为512
字节。 -
2:
可以适应的缓冲区大小.
如果客户端一次性发送大量数据,则值 2
会提供更好的性能。例如,大型添加和修改操作的情况,或者在复制期间通过单个连接接收多个异步请求。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 0 | 1 | 2 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
这个选项允许您启用或禁用 SASL NOCANON
标志。禁用 可避免 Directory 服务器为出站连接查找 DNS 反向条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
此属性设置连接表大小,它决定了服务器支持的连接总数。
如果 Directory 服务器拒绝连接,则增加此属性的值,因为它不在连接插槽中。发生这种情况时,Directory 服务器的错误日志文件会记录消息 Not listening for new connection the the new connection the the the many fds open
。
可能需要为启动 Directory 服务器的 shell 中增加打开文件和打开的文件数量的操作系统限制,可能需要增加
。
ulimit
-n
连接表的大小是 nsslapd-maxdescriptor
的 cap。如需更多信息,请参阅 第 3.1.1.119 节 “nsslapd-maxdescriptors(最大文件描述符)”。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 依赖于操作系统 |
默认值 |
Directory 服务器进程可以打开的最大文件数。请参阅 |
语法 | 整数 |
示例 | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters
属性启用和禁用 Directory Server 数据库和服务器性能计数器。
通过跟踪更大的计数器,这可能会对性能产生影响。关闭计数器的 64 位整数可能会对性能产生最小的改进,但会对长期统计跟踪产生负面影响。
默认启用此参数。要禁用计数器,停止 Directory 服务器,直接编辑 dse.ldif
文件,然后重新启动服务器。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
此属性会设置更改序列号(CSN)是否可用后才能登录访问日志。默认情况下打开 CSN 日志记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
此属性为所有配置的命名上下文提供命名上下文,默认情况下客户端默认使用作为搜索基础。这个值作为 defaultNamingContext
属性复制到 root DSE,它允许客户端查询 root DSE 来获取上下文,然后使用适当的基础启动搜索。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何根后缀 DN |
默认值 | 默认用户后缀 |
语法 | DN |
示例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
此属性启用一个线程,它每十(10)秒运行一次,以检查磁盘上的可用磁盘空间或挂载目录服务器数据库运行的位置。如果可用的磁盘空间低于配置的阈值,则服务器开始减少日志级别、禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器会正常关闭(在机和宽限期后)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
在服务器达到 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold” 中设置的一半磁盘空间限制后,将宽限期设置为在关闭服务器前等待。这可让管理员清理磁盘并阻止关闭。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何整数值(以分钟为单位) |
默认值 | 60 |
语法 | 整数 |
示例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
如果日志目录通过磁盘空间限制中设定的一半点 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold”,则设置是否关闭服务器。
如果启用此功能,则不会 禁用日志,且不会 删除轮转的日志,因为减少服务器磁盘用量。服务器只需进入关闭过程。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
如果可用磁盘空间达到 nsslapd-disk-monitoring-threshold
参数中设置的一半值,Directory 服务器会在 nsslapd-disk-monitoring-grace-period
中设置的宽限期后关闭实例。但是,如果磁盘在实例停机之前耗尽空间,则可能会损坏数据。要防止这个问题,请在达到阈值时启用 nsslapd-disk-monitoring-readonly-on-threshold
参数,Directory 服务器将实例设置为只读模式。
使用这个设置,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold
中配置的阈值,Directory 服务器不会启动。
服务必须重启才能使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
设置阈值(以字节为单位),用于评估服务器是否有足够可用磁盘空间。当空间达到这个阈值的一半后,服务器开始关闭进程。
例如,如果阈值是 2MB(默认),那么当可用磁盘空间达到 1MB 后,服务器将开始关闭。
默认情况下,阈值会评估在由 Directory 服务器实例配置、事务和数据库目录使用的磁盘空间上。如果启用了 第 3.1.1.68 节 “nsslapd-disk-monitoring-logging-critical” 属性,则会在评估中包含日志目录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 0 到 32 位整数值(2147483647)) * 0 到 64 位整数值(9223372036854775807) |
默认值 | 2000000 (2MB) |
语法 | DirectoryString |
示例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
第 3.1.1.168 节 “nsslapd-syntaxcheck” 属性可让服务器验证任何新的或修改的属性值是否与那个属性所需的语法匹配。
但是,DN 的语法规则日趋严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用旧语法定义的许多服务器。默认情况下,nsslapd-syntaxcheck
使用 RFC 1779 或 RFC 2253 验证 DN。
根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict
属性明确为 DN 启用严格的语法验证。如果此属性设置为 off
(默认值),服务器会在检查语法违反前对值进行规范化。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
使 cn=schema
与 Directory Server 的 4.x 版本兼容。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server turbo 模式是一个功能,它允许 worker 线程专用于连接,并持续从那个连接读取传入的操作。这可以提高对非常活跃连接的性能,且功能默认是启用的。
Worker 线程处理服务器接收的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber
参数中定义。每 5 秒,每个 worker 线程评估其当前连接的活动级别是所有已建立的连接的最高值之一。目录服务器测量活动,作为自上检查开始的操作数量,并在当前连接的活动是最高状态时,将 worker 线程切换为 turbo 模式。
如果您遇到较长的执行时间(日志文件中的etime
值)用于绑定操作,如一秒或更长时间,取消激活 turbo 模式可以提高性能。然而,在有些情况下,绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
在简单的绑定过程中,Directory 服务器由于绑定操作的性质可以访问纯文本密码。如果启用了 nsslapd-enable-upgrade-hash
参数,且用户进行身份验证,Directory 服务器会检查用户的 userPassword
属性是否使用了 passwordStorageScheme
属性中设置的哈希算法。如果算法不同,服务器会将纯文本密码与来自 passwordStorageScheme
的算法哈希,并更新用户 userPassword
属性的值。
例如,如果您导入使用弱算法进行哈希的用户条目,服务器会自动使用 passwordStorageScheme
中设置的算法在用户在第一次登录时重新哈希密码,即 PBKDF2_SHA256
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc(启用 Superior 对象类 Enquoting)
此属性已弃用,并将在以后的 Directory Server 版本中删除。
此属性控制 cn=schema
条目中包含的 objectclass
属性中的引用是否符合互联网草案 RFC 2252 指定的引用。默认情况下,Directory 服务器符合 RFC 2252,这表示这个值不应加引号。在 上只有非常旧的客户端需要将此值设置为
,因此请将它保留为 off
。
在 或 off 上打开此属性不会影响 Directory Server 控制台。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global
参数定义了 USN 插件在所有后端数据库或单独为每个数据库分配唯一的更新序列数字(USN)。对于所有后端数据库的唯一 USN,请在 上
将此参数设置为。
详情请查看 第 6.8 节 “entryusn”。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
当条目从一个服务器导出并导入到另一个服务器时,条目更新序列号(USN)不会被保留,包括在初始化用于复制的数据库时。默认情况下,导入的条目的条目 USN 被设置为零。
可以使用 nsslapd-entryusn-import-initval
为条目 USN 配置不同的初始值。这将设置一个起始 USN,用于所有导入的条目。
nsslapd-entryusn-import-initval
有两个可能的值:
- 整数,这是每个导入条目使用的显式起始号。
- 接下来,这意味着每个导入条目都使用在导入操作前在服务器上使用任意最高条目 USN 值,并递增一次。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何整数 | 旁边 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog(错误日志)
此属性设置用于记录 Directory 服务器生成的错误消息的日志的路径和文件名。这些信息可能会描述错误条件,但更频繁地包含参考条件,例如:
- 服务器启动和关闭时间。
- 服务器使用的端口号。
根据 Log Level 属性的当前设置,此日志包含不同数量的信息。如需更多信息,请参阅 第 3.1.1.79 节 “nsslapd-errorlog-level(错误日志级别)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的文件名 |
默认值 | /var/log/dirsrv/slapd-instance/errors |
语法 | DirectoryString |
示例 | nsslapd-errorlog: /var/log/dirsrv/slapd-实例/errors |
要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled
配置属性必须切换到 上的
。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用错误日志记录方面的结果。
dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
---|---|---|
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空字符串 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | Enabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空字符串 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
3.1.1.79. nsslapd-errorlog-level(错误日志级别)
此属性设置 Directory 服务器的日志记录级别。日志级别是可添加的;即,指定值 3
包含了级别 1
和 2
。
nsslapd-errorlog-level
的默认值为 16384
。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | * 1 - 跟踪功能调用。当服务器进入并退出功能时,记录一条消息。 * 2 - 调试数据包处理。 * 4 - 大量追踪输出调试。 * 8 - 连接管理。 * 16 - 显示发送/收到的数据包。 * 32 - 搜索过滤器处理。 * 64 - 配置文件处理。 * 128 - 访问控制列表处理。 * 1024 - 使用 shell 数据库的日志通信。 * 2048 - 日志条目解析调试。 * 4096 - 内部处理线程调试。 * 8192 - 复制调试。 * 16384 - 默认日志记录级别,用于始终写入错误的其他消息,如服务器启动消息。无论日志级别的设置是什么,此级别的消息始终包含在错误日志中。 * 32768 - 数据库缓存调试。
* 65536 - 服务器插件调试。当服务器插件调用
* 262144 - 访问控制概述信息,比级别 * 524288 - LMDB 数据库调试。 |
默认值 | 16384 |
语法 | 整数 |
示例 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
这个 read-only 属性提供错误日志文件列表。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime(Error Log Expiration Time)
此属性设置在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logexpirationtimeunit
属性提供。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit(错误日志过期时间单元)
此属性设置 nsslapd-errorlog-logexpirationtime
属性的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 |
默认值 | month |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled(启用 Error Logging)
打开和关闭错误记录。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace(Error Log Maximum Disk Space)
此属性设置允许消耗错误日志的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的错误日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许错误日志的磁盘空间没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace(Error Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的错误日志,直到有足够的磁盘空间来满足此属性。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
默认值 | -1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled(Error Log Rotation Sync Enabled)
此属性会设置错误日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要与天同步的错误日志轮转,必须使用 nsslapd-errorlog-logrotationsynchour
和 nsslapd-errorlog-logrotationsyncmin
属性值设置为轮转日志文件的小时和分钟(分钟)启用。
例如,要在 中每天轮转错误日志文件,通过将其值设置为,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsynchour
和 nsslapd-errorlog-logrotationmin
属性设置为 0。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logrotationsync-enabled: |
3.1.1.87. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)
此属性设置当天轮转错误日志的小时数。此属性必须与 nsslapd-errorlog-logrotationsync-enabled
和 nsslapd-errorlog-logrotationsyncmin
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 23 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)
此属性设置当天轮转错误日志的时间。此属性必须与 nsslapd-errorlog-logrotationsync-enabled
和 nsslapd-errorlog-logrotationsynchour
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 59 |
默认值 | 0 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime(错误日志轮转时间)
此属性设置错误日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logrotationtimeunit
(Error Log Rotation Time Unit)属性指定。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-errorlog-maxlogsperdir
属性值设置为 1
,或者将 nsslapd-errorlog-logrotationtime
属性设置为 -1
。服务器首先检查 nsslapd-errorlog-maxlogsperdir
属性,如果此属性值大于 1
,服务器会检查 nsslapd-error-logrotationtime
属性。如需更多信息,请参阅 第 3.1.1.92 节 “nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示错误日志文件轮转之间的时间无限。 |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time unit)
此属性设置 nsslapd-errorlog-logrotationtime
(Error Log Rotation Time)的单元。如果服务器知道该单元,则日志永远不会过期。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
默认值 | 周 |
语法 | DirectoryString |
示例 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize(最大错误日志大小)
此属性以 MB 为单位设置最大错误日志大小。达到这个值时,错误日志会被轮转,服务器开始将日志信息写入新日志文件中。如果 nsslapd-errorlog-maxlogsperdir
设置为 1
,则服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
默认值 | 100 |
语法 | 整数 |
示例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)
此属性设置可在存储错误日志的目录中包含的错误日志总数。每次轮转错误日志时,都会创建一个新日志文件。当错误日志目录中包含的文件数量超过此属性所存储的值时,会删除最旧的日志文件版本。默认值为 1
日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增加。
如果此属性的值大于 1
,请检查 nsslapd-errorlog-logrotationtime
属性来确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime
属性的值为 -1
,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.89 节 “nsslapd-errorlog-logrotationtime(错误日志轮转时间)”。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到最大 32 位整数值(2147483647) |
默认值 | 1 |
语法 | 整数 |
示例 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode(Error Log File Permission)
此属性设置了创建错误日志文件的访问模式或文件权限。有效的值是 000
到 777
的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,数字从 0
到 7
的不同:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000
不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 000 到 777 |
默认值 | 600 |
语法 | 整数 |
示例 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
在建立 TLS 连接时,客户端首先发送其证书,然后使用 SASL/EXTERNAL 机制向 BIND 请求发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭据用于 TLS 握手。但是,有些客户端在发送 BIND 请求时不使用 SASL/EXTERNAL,因此目录服务器以简单的身份验证请求或匿名请求形式处理绑定,并且 TLS 连接会失败。
nsslapd-force-sasl-external
属性强制使用基于证书的验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | 字符串 |
示例 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
此属性已弃用,在此处记录仅用于历史目的。
Access Control Plug-in 不使用 nsslapd-groupevalnestlevel
属性指定的值,以设置用于组评估时访问控制执行的嵌套级别数量。相反,嵌套的级别数量被硬编码为 5
。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到 5 |
默认值 | 5 |
语法 | 整数 |
示例 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-haproxy-trusted-ip (HAProxy Trusted IP)
nsslapd-haproxy-trusted-ip
属性配置可信代理服务器列表。设置 nsslapd-haproxy-trusted-ip
时,目录服务器使用 HAProxy 协议通过额外的 TCP 标头接收客户端 IP 地址,以正确评估访问控制指令(ACI)并记录客户端流量。
如果一个不信任的代理服务器发起了一个绑定请求,目录服务器会拒绝请求,并将以下信息记录到错误日志文件中:
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | IPv4 或 IPv6 地址 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-haproxy-trusted-ip: 127.0.0.1 |
3.1.1.97. nsslapd-idletimeout(默认 Idle Timeout)
此属性以秒为单位设定了服务器关闭闲置 LDAP 客户端连接的时间长度(以秒为单位)。值为 0
表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当连接表时,当 poll()
不会返回零时,闲置超时会强制使用。因此,具有单一连接的服务器不会强制实施闲置超时。
使用 nsIdleTimeout
操作属性(可添加到用户条目中)覆盖分配给此属性的值。详情请参阅 Red Hat Directory Server Administration Guide 中的"基于绑定 DN 设置资源限制"一节。
对于非常大的数据库,使用数百万条目时,该属性必须具有足够高的值,在线初始化过程可以完成或复制,在连接到服务器的连接超时时会失败。另外,还可在用作供应商绑定 DN 的条目上将 nsIdleTimeout
属性设为 high 值。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到最大 32 位整数值(2147483647) |
默认值 | 3600 |
语法 | 整数 |
示例 | nsslapd-idletimeout: 3600 |
3.1.1.98. nsslapd-ignore-virtual-attrs
此参数允许在搜索条目中禁用虚拟属性查找。
如果不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ignore-virtual-attrs: off |
3.1.1.99. nsslapd-instancedir(Instance Directory)
此属性已弃用。现在,有针对实例专用路径的配置参数,如 nsslapd-certdir
和 nsslapd-lockdir
。有关设置的具体目录路径,请参阅相关文档。
3.1.1.100. nsslapd-ioblocktimeout(IO Block Time Out)
此属性以秒为单位设定连接被停止的 LDAP 客户端的时间长度(以毫秒为单位)。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 到最大 32 位整数值(2147483647) |
默认值 | 10000 |
语法 | 整数 |
示例 | nsslapd-ioblocktimeout: 10000 |
3.1.1.101. nsslapd-lastmod(Track Modification Time)
此属性设置 Directory 服务器是否维护 创建者名称
、createTimestamp
、ScottsName
以及修改Timestamp
操作属性(针对新创建或更新的条目)。
红帽建议不要禁用跟踪这些属性。如果禁用,条目不会在 nsUniqueID
属性中分配唯一 ID,而复制不起作用。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-lastmod: on |
3.1.1.102. nsslapd-ldapiautobind(Enable Autobind)
nsslapd-ldapiautobind
会设置服务器是否允许用户使用 LDAPI 自动绑定到 Directory 服务器。Autobind 将系统用户的 UID 或 GUID 号映射到 Directory Server 用户,并根据这些凭证自动验证用户到目录服务器。Directory 服务器连接发生于 UNIX 套接字。
除了启用 autobind 外,配置 autobind 还需要配置映射条目。nsslapd-ldapimaprootdn
将系统上的 root 用户映射到 Directory Manager。nsslapd-ldapimaptoen
尝试根据 nsslapd-ldapientry type、nsslapd-ldapientry
searchbase 属性和
属性中定义的参数,将常规用户映射到 Directory Server 用户。
nsslapd-ldapientry
searchbase
Autobind 只能在 LDAPI 已启用时启用 Autobind,即 nsslapd-ldapilisten
位于 nsslapd-ldapifilepath 属性,并且将 nsslapd-ldapifilepath
属性设置为 LDAPI 套接字。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ldapiautobind: off |
3.1.1.103. nsslapd-ldapientrysearchbase(搜索 Base for LDAPI Authentication Entries)
使用 autobind 时,可以根据系统用户的 UID 和 GUID 号将系统用户映射到 Directory Server 用户条目。这需要设置 Directory Server 参数,用于 UID 号(nsslapd-ldapiuidnumbertype
)和 GUID 号(nsslapd-ldapigidnumbertype
),并设置搜索基础来搜索匹配的用户条目。
nsslapd-ldapientrysearchbase
可使子树搜索用于 autobind 的用户条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | DN |
默认值 |
创建服务器实例时创建的后缀,如 |
语法 | DN |
示例 | nsslapd-ldapientrysearchbase: ou=body,dc=example,dc=om |
3.1.1.104. nsslapd-ldapifilepath( LDAPI 套接字的文件位置)
LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI,服务器必须配置为通过 UNIX 套接字通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath
属性中设置。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何目录路径 |
默认值 | /var/run/dirsrv/slapd-example.socket |
语法 | case-exact 字符串 |
示例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.105. nsslapd-ldapigidnumbertype(System GUID Number 的Attribute 映射)
可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory Server 用户以进行身份验证,系统用户的 UID 和 GUID 号应映射到 Directory Server 属性。nsslapd-ldapigidnumbertype
属性指向 Directory Server 属性,以将系统 GUID 映射到用户条目。
如果启用了 LDAPI(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)、autobind is enabled(nsslapd-ldapiautobind
),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries
)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 Directory Server 属性 |
默认值 | gidNumber |
语法 | DirectoryString |
示例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.106. nsslapd-ldapilisten(Enable LDAPI)
nsslapd-ldapilisten
启用到 Directory 服务器的 LDAPI 连接。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了通过在 nsslapd-ldapifilepath
属性中,将 nsslapd-ldapilisten
设置为,还必须为 LDAPI 设置 UNIX 套接字。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-ldapilisten: on |
3.1.1.107. nsslapd-ldapimaprootdn(Autobind Mapping for Root User)
使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。
root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn
属性中指定的任何 Directory Server 条目。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 DN |
默认值 | cn=Directory Manager |
语法 | DN |
示例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.108. nsslapd-ldapimaptoentries(为普通用户启用自动绑定映射)
使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。这个映射是 root 用户自动的,但必须通过 nsslapd-ldapimaptoentries
属性为常规用户启用它。将此属性设置为 on
可启用常规系统用户到 Directory Server 条目的映射。如果没有启用此属性,则只有 root 用户才能使用 autobind 向 Directory 服务器进行身份验证,所有其他用户匿名连接。
映射本身通过 nsslapd-ldapiuidnumbertype
和 nsslapd-ldapigidnumbertype
属性进行配置,它会将目录服务器属性映射到用户的 UID 和 GUID 编号。
如果启用了 LDAPI(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)并且 autobind 被启用,则用户只能通过 autobind
连接到服务器。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | nsslapd-ldapimaptoentries: on |
3.1.1.109. nsslapd-ldapiuidnumbertype
可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory 服务器用户以进行身份验证,系统用户的 UID 和 GUID 数字必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype
属性指向 Directory Server 属性,以将系统 UID 映射到用户条目。
如果启用了 LDAPI(nsslapd-ldapilisten
和 nsslapd-ldapifilepath
)、autobind is enabled(nsslapd-ldapiautobind
),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries
)。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何 Directory Server 属性 |
默认值 | uidNumber |
语法 | DirectoryString |
示例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.110. nsslapd-ldifdir
在使用 db2ldif 或
时,目录服务器以 LDAP Data Interchange Format(LDIF)格式将文件导出到此参数中设置的目录中。目录必须由 Directory Server 用户和组所有。只有这个用户和组必须在这个目录中具有读写权限。
db2ldif
.pl
服务必须重启才能使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | Directory Server 用户可写入的任何目录 |
默认值 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
语法 | DirectoryString |
示例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.111. nsslapd-listen-backlog-size
此属性设置套接字连接 backlog 的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 最高 64 位整数值(9223372036854775807) |
默认值 | 128 |
语法 | 整数 |
示例 | nsslapd-listen-backlog-size: 128 |
3.1.1.112. nsslapd-listenhost(Listen to IP Address)
此属性允许多个 Directory 服务器实例在多设备计算机上运行(或者可以将其限制为多个homed 计算机的一个接口)。可以有多个与一个 hos tname 关联的 IP 地址,这些 IP 地址可以同时是 IPv4 和 IPv6。此参数可用于将 Directory 服务器实例限制为一个 IP 接口。
如果主机名以 nsslapd-listenhost
值形式提供,则 Directory 服务器会响应与主机名关联的每个接口的请求。如果为单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost
值,则 Directory 服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何本地主机名、IPv4 或 IPv6 地址 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-listenhost: ldap.example.com |
3.1.1.113. nsslapd-localhost(本地主机)
此属性指定 Directory 服务器运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障转移节点的高可用性配置中,引用应该指向集群的虚拟机名称,而不是本地主机名。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何完全限定主机名。 |
默认值 | 安装的机器的主机名。 |
语法 | DirectoryString |
示例 | nsslapd-localhost: phonebook.example.com |
3.1.1.114. nsslapd-localuser(本地用户)
此属性将运行 Directory 服务器的用户设置为运行。用户运行的组通过检查用户的主组从此属性派生而来。用户应更改,然后使用 chown
等工具将这个实例的所有文件和目录更改为归新用户所有。
nsslapd-localuser
的值在配置了服务器实例时首先设置。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何有效的用户 |
默认值 | |
语法 | DirectoryString |
示例 | nsslapd-localuser: dirsrv |
3.1.1.115. nsslapd-lockdir(服务器锁定文件目录)
这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-实例
。对此值的更改将在服务器重启前生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 指向由服务器用户 ID 拥有且对服务器 ID 的写入权限的绝对路径 |
默认值 | /var/lock/dirsrv/slapd-instance |
语法 | DirectoryString |
示例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-实例 |
3.1.1.116. nsslapd-localssf
nsslapd-localssf
参数为 LDAPI 连接设置安全强度因数(SSF)。只有在 nsslapd-localsf 中设置的值大于或等于
参数中设置的值时,目录服务器才会允许 LDAPI 连接。因此,LDAPI 连接会满足 nsslapd-minssf
nsslapd-minssf
中最小 SSF 设置。
您不必重新启动服务器,才能使此设置生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 0 到最大 32 位整数值(2147483647) |
默认值 | 71 |
语法 | 整数 |
示例 | nsslapd-localssf: 71 |
3.1.1.117. nsslapd-logging-hr-timestamps-enabled(启用或禁用高分辨率日志 Timestamps)
控制日志是否使用高分辨率时间戳,以精确度为纳秒,或者采用一秒精确的标准分辨率时间戳。默认启用此选项。将此选项设置为 off
,将日志时间戳恢复为一秒的精度。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 |
|
默认值 |
|
语法 | DirectoryString |
示例 | nsslapd-logging-hr-timestamps-enabled: |
3.1.1.118. nsslapd-maxbersize(最大消息大小)
定义传入消息允许的最大大小,以字节为单位。这将限制由 Directory 服务器处理的 LDAP 请求的大小。限制请求大小可防止某种形式拒绝服务攻击。
限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。
此设置不需要服务器重启才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 2GB(2,147,483,647 字节)
零 |
默认值 | 2097152 |
语法 | 整数 |
示例 | nsslapd-maxbersize: 2097152 |
3.1.1.119. nsslapd-maxdescriptors(最大文件描述符)
此属性设置 Directory 服务器尝试使用的最大、平台相关的文件描述符。每当客户端连接到服务器时,会使用文件描述符。访问日志、错误日志、数据库文件(索引和事务日志)以及到其他服务器的套接字(用于复制和链)也使用文件描述符。
用于提供客户端连接的 TCP/IP 可用描述符数由 nsslapd-conntablesize
属性决定。这个属性的默认值被设置为文件描述符软限制,默认值为 1024。但是,如果您手动配置此属性,服务器会更新进程文件描述符软限制以匹配。
如果这个值设置得太高,Directory 服务器会查询操作系统以获取最大允许值,然后使用该值。它还会在错误日志中记录信息。如果此值远程设置为无效值,使用 Directory Server Console 或 ldapmodify
,服务器会拒绝新值,保留旧值,并出现错误。
有些操作系统允许用户配置可供进程使用的文件描述符数。有关文件描述符限制和配置的详情,请查看操作系统文档。可以使用 dsktune
程序(在 Red Hat Directory Server 安装指南中介绍)来推荐系统内核或 TCP/IP 调整属性的更改,包括根据需要增加文件描述符数量。如果 Directory 服务器拒绝连接,则这个属性的值会增加,因为它没有文件描述符。当发生这种情况时,以下信息会写入 Directory Server 的错误日志文件中:
Not listening for new connections -- too many fds open
有关增加进入连接数量的更多信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
UNIX shell 通常对文件描述符的数量具有可配置的限制。有关 限制和
ulimit
的更多信息,请参阅操作系统文档,因为这些限制通常会导致问题。
必须重新启动服务器,以使对此属性的更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1 到 65535 |
默认值 | 4096 |
语法 | 整数 |
示例 | nsslapd-maxdescriptors: 4096 |
3.1.1.120. nsslapd-maxsasliosize(最大 SASL 数据包大小)
当用户通过 SASL GSS-API 对 Directory 服务器进行身份验证时,服务器必须根据客户端请求的内存数量来为客户端分配一定内存量来执行 LDAP 操作。攻击者可以发送一个大型数据包的大小,导致 Directory 服务器崩溃或者将其作为拒绝服务攻击的一部分会被无限期地绑定。
可使用 nsslapd-maxsasliosize
属性限制 Directory 服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大允许 SASL IO 数据包大小。
当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize
限制时,服务器会立即断开客户端并将消息记录到错误日志,因此管理员可以在必要时调整设置。
此属性值以字节为单位指定。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | * -1(无限)到 32 位系统中最大 32 位整数值(2147483647) * -1(无限)到 64 位系统中的最多 64 位整数值(9223372036854775807) |
默认值 | 2097152 (2MB) |
语法 | 整数 |
示例 | nsslapd-maxsasliosize: 2097152 |
3.1.1.121. nsslapd-maxthreadsperconn(每个连接的最大线程数)
定义连接应使用的最大线程数。对于客户端绑定并且仅在 unbinding 前执行一两个操作的一个正常操作,请使用默认值。对于客户端绑定和同时发出许多请求的情况,请增加这个值,从而使每个连接有足够的资源执行所有操作。此属性在服务器控制台上不可用。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 1,最大线程数 |
默认值 | 5 |
语法 | 整数 |
示例 | nsslapd-maxthreadsperconn: 5 |
3.1.1.122. nsslapd-minssf
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。nsslapd-minssf
属性设置到服务器的任何连接的最小 SSF 要求;任何比最小 SSF 弱的连接尝试都会被拒绝。
TLS 和 SASL 连接可以在与 Directory 服务器的连接中混合使用。这些连接通常有不同的 SSF。两个 SSFs 的使用高于最低 SSF 要求。
将 SSF 值设置为 0 表示没有最小设置。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何正整数 |
默认值 | 0(off) |
语法 | DirectoryString |
示例 | nsslapd-minssf: 128 |
3.1.1.123. nsslapd-minssf-exclude-rootdse
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。
nsslapd-minssf-exclude-rootdse
属性可为任何与服务器的连接设置最低 SSF 要求,除了查询 root DSE 之外。这会对大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取服务器配置所需的信息,而无需首先建立安全连接。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | 任何正整数 |
默认值 | 0(off) |
语法 | DirectoryString |
示例 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.124. nsslapd-moddn-aci
此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效值 | on | off |
默认值 | on |
语法 | DirectoryString |
示例 | nsslapd-moddn-aci: on |
3.1.1.125. nsslapd-malloc-mmap-threshold
如果使用 systemctl
实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/
服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv
-name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_MMAP_THRESHOLD
环境变量,nsslapd-malloc-mmap-threshold
参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_MMAP_THRESHOLD
参数描述。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 33554432 |
默认值 |
请参阅 mallopt(3)man page 中的 |
语法 | 整数 |
示例 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.126. nsslapd-malloc-mxfast
如果使用 systemctl
实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/
服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv
-name 文件中设置环境变量,否则不会将环境变量传递给
通过编辑服务文件来设置 M_MXFAST
环境变量,nsslapd-malloc-mxfast
参数可让您在 Directory 服务器配置中设置值。详情请查看 mallopt(3)man page 中的 M_MXFAST
参数描述。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=config |
有效范围 | 0 - 80 * (sizeof(size_t) / 4) |
默认值 |
请参阅 mallopt(3)man page 中的 |
语法 | 整数 |
示例 | nsslapd-malloc-mxfast: 1048560 |