搜索

第 2 章 核心服务器配置属性

download PDF

本节包含与核心服务器功能相关的配置属性的参考信息。有关更改服务器配置的详情,请参考 2.2.1.2 节"访问和修改服务器配置"。有关作为插件实施的服务器功能列表,请参阅 4.1 第 4.1 节"服务器插件功能参考"。有关实现自定义服务器功能的帮助,请联系目录服务器支持。

dse.ldif 文件中存储的配置信息被组织为常规配置条目 cn=config 下的信息树。

以下部分介绍了大多数配置树节点。

cn=plugins 节点在第 4 章介绍,插件实现的服务器功能参考。每个属性的描述包含其目录条目的 DN、其默认值、有效值范围以及其使用示例。

注意

本章中描述的一些条目和属性可能会在以后的版本中有所变化。

2.1. cn=config

目录服务器在 cn=config 条目中存储常规配置条目。此条目是 nsslapdConfig 对象类的实例,后者从 scalable Object 对象类继承。

2.1.1. nsslapd-accesslog

此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。日志文件中默认记录以下信息:

  • 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
  • 执行的操作(如搜索、添加和修改)。
  • 访问结果(例如,返回的条目数或错误代码)。

要启用访问日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled 配置属性必须在 切换到。表列出了这两个配置属性的四个可能值组合,以及禁用或启用访问日志时的结果。

表 2.1. dse.ldif File Attributes
属性启用或禁用日志记录

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

空字符串

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

filename

Enabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

空字符串

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

filename

Disabled

nsslapd-accesslog 参数描述:

参数描述

条目 DN

cn=config

有效值

任何有效的文件名。

默认值

/var/log/dirsrv/slapd-instance/access

语法

DirectoryString

示例

nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access

2.1.2. nsslapd-accesslog-compress

默认情况下,目录服务器不会压缩访问日志。将 nsslapd-accesslog-compress 设置为 on,以便在目录服务器轮转日志时启用访问日志压缩。

您不需要重新启动服务器以应用更改。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-accesslog-compress: on

2.1.3. nsslapd-accesslog-level

此属性控制记录到访问日志的内容。

您不必重启服务器才能使此设置生效。

参数描述

条目 DN

cn=config

有效值

* 0 - 无访问日志

* 4 - 内部访问操作的日志记录

* 256 - 连接、操作和结果的日志

* 512 - 用于访问条目和引用的日志

* 可将这些值添加到一起,以提供所需的准确日志类型;例如,516 (4 + 512)来获取内部访问操作、条目访问和引用日志。

默认值

256

语法

整数

示例

nsslapd-accesslog-level: 256

2.1.4. nsslapd-accesslog-list

此只读属性(无法设置)提供访问日志轮转中使用的访问日志文件列表。

参数描述

条目 DN

cn=config

有效值

 

默认值

语法

DirectoryString

示例

nsslapd-accesslog-list: accesslog2,accesslog3

2.1.5. nsslapd-accesslog-logbuffering

当设置为 off 时,服务器会将所有访问日志条目直接写入磁盘。缓冲允许服务器使用访问日志记录,即使负载过重,而不影响性能。但是,在调试时,在禁用缓冲区时,可以立即查看操作及其结果,而不必等待日志条目刷新到文件中。禁用日志缓冲可能会严重影响大量载入的服务器的性能。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-accesslog-logbuffering: off

2.1.6. nsslapd-accesslog-logexpirationtime

此属性指定日志文件在删除前允许达到的最长期限。此属性仅提供单元数量。该单元由 nsslapd-accesslog-logexpirationtimeunit 属性提供。

参数描述

条目 DN

cn=config

有效范围

-1 到最大 32 位整数值(2147483647)

值为 -1 或 0 表示日志永不过期。

默认值

-1

语法

整数

示例

nsslapd-accesslog-logexpirationtime: 2

2.1.7. nsslapd-accesslog-logexpirationtimeunit

此属性指定 nsslapd-accesslog-logexpirationtime 属性的单元。如果服务器未知单元,则日志永远不会过期。

参数描述

条目 DN

cn=config

有效值

month | 周 | 天

默认值

month

语法

DirectoryString

示例

nsslapd-accesslog-logexpirationtimeunit: week

2.1.8. nsslapd-accesslog-logging-enabled

禁用并启用 accesslog 日志记录,但仅与 nsslapd-accesslog 属性结合使用,用于指定用于记录每个数据库访问的日志的路径和参数。

要启用日志记录,必须在 切换到,nsslapd-accesslog 配置属性必须具有有效的 path 和 参数。表列出了这两个配置属性的四个可能值组合,以及禁用或启用访问日志时的结果。

表 2.2. dse.ldif Attributes
属性Logging Enabled 或 Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

空字符串

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

filename

Enabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

空字符串

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

filename

Disabled

参数描述

条目 DN

cn=config

有效值

on | off

默认值

on

语法

DirectoryString

示例

nsslapd-accesslog-logging-enabled: off

2.1.9. nsslapd-accesslog-logmaxdiskspace

此属性指定允许使用访问日志的最大磁盘空间量(以 MB 为单位)。如果超过这个值,则会删除最旧的访问日志。

当设置最大磁盘空间时,请考虑可能会因为日志文件轮转而创建的日志文件总数。另外,请记住,目录服务器维护三个不同的日志文件(访问日志、审计日志和错误日志),每个日志文件消耗磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示允许访问日志的磁盘空间的大小没有限制。

默认值

500

语法

整数

示例

nsslapd-accesslog-logmaxdiskspace: 500

2.1.10. nsslapd-accesslog-logminfreediskspace

此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,将删除最旧的访问日志,直到释放足够的磁盘空间来满足此属性。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647)

默认值

-1

语法

整数

示例

nsslapd-accesslog-logminfreediskspace: -1

2.1.11. nsslapd-accesslog-logrotationsync-enabled

此属性设定访问日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以在一天(例如每天午夜)的指定时间生成日志文件。这样可以更轻松地分析日志文件,因为它们然后直接映射到日历。

要使访问日志轮转与时间同步,必须使用 nsslapd-accesslog-logrotationsynchournsslapd-accesslog-logrotationsyncmin 属性值设置为轮转日志文件的时间和分钟。

例如,要每天在午夜轮转访问日志文件,请通过在 将其值设置为,然后将 nsslapd-accesslog-logrotationsynchournsslapd-accesslog-logrotationsyncmin 属性设为 0 来启用此属性。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-accesslog-logrotationsync-enabled: on

2.1.12. nsslapd-accesslog-logrotationsynchour

此属性设置轮转访问日志的天数。此属性必须与 nsslapd-accesslog-logrotationsync-enablednsslapd-accesslog-logrotationsyncmin 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 23

默认值

0

语法

整数

示例

nsslapd-accesslog-logrotationsynchour: 23

2.1.13. nsslapd-accesslog-logrotationsyncmin

此属性设置轮转访问日志的当天的分钟。此属性必须与 nsslapd-accesslog-logrotationsync-enablednsslapd-accesslog-logrotationsynchour 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 59

默认值

0

语法

整数

示例

nsslapd-accesslog-logrotationsyncmin: 30

2.1.14. nsslapd-accesslog-logrotationtime

此属性设置访问日志文件轮转之间的时间。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-accesslog-logrotationtimeunit 属性提供。

目录服务器在配置的时间间隔到期后,在第一次写入操作时轮转日志,而不考虑日志的大小。

虽然不建议以性能原因来指定日志轮转,因为日志无限期增长,但可以通过两种方式指定此功能。将 nsslapd-accesslog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-accesslog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-accesslog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-accesslog-logrotationtime 属性。请参阅 第 2.1.17 节 “nsslapd-accesslog-maxlogsperdir” 了解更多信息。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示访问日志文件轮转之间的时间没有限制。

默认值

1

语法

整数

示例

nsslapd-accesslog-logrotationtime: 100

2.1.15. nsslapd-accesslog-logrotationtimeunit

此属性设置 nsslapd-accesslog-logrotationtime 属性的单元。

参数描述

条目 DN

cn=config

有效值

month | week | day | hour | minute

默认值

day

语法

DirectoryString

示例

nsslapd-accesslog-logrotationtimeunit: week

2.1.16. nsslapd-accesslog-maxlogsize

此属性以 MB 为单位设置最大访问日志大小。当达到这个值时,访问日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-accesslog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。

在设置最大日志大小时,请考虑以下几点:

  • 由于日志文件轮转,可以创建的日志文件总数。
  • 目录服务器维护五个不同的日志文件:访问日志、审计日志、审计失败日志、错误日志、安全日志。每个日志文件都会消耗磁盘空间。

将这些注意事项与您要为访问日志设置的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小没有限制。

默认值

100

语法

整数

示例

nsslapd-accesslog-maxlogsize: 100

2.1.17. nsslapd-accesslog-maxlogsperdir

此属性设置存储了访问日志的目录中的访问日志总数。每次轮转访问日志时,都会创建一个新的日志文件。当访问日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。出于性能原因,请不要将此值设置为 1,因为服务器不会轮转日志,并且会无限期地增长。

如果此属性的值大于 1,请检查 nsslapd-accesslog-logrotationtime 属性来建立是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 2.1.14 节 “nsslapd-accesslog-logrotationtime” 了解更多信息。

根据 nsslapd-accesslog-logminfreediskspacensslapd-accesslog-maxlogsize 中设置的值,实际日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir 中配置的内容。例如,如果 nsslapd-accesslog-maxlogsperdir 使用默认值(10 文件),并将 nsslapd-accesslog-logminfreediskspace 设置为 500 MB,nsslapd-accesslog-maxlogsize 只保留 5 个访问日志文件。

参数描述

条目 DN

cn=config

有效范围

1 到最大 32 位整数值(2147483647)

默认值

10

语法

整数

示例

nsslapd-accesslog-maxlogsperdir: 10

2.1.18. nsslapd-accesslog-mode

此属性设置创建访问日志文件的访问模式或文件权限。有效值是 000777 ( 它们镜像编号或绝对 UNIX 文件权限)的组合。该值必须是 3 位数字,数字因 07 的不同:

  • 0 - None
  • 1 - 只执行
  • 2 - 仅写入
  • 3 - 写入和执行
  • 4 - 只读
  • 5 - 读取和执行
  • 6 - 读取和写入
  • 7 - 读、写和执行

在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三个数字代表每个人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许每个人的写入权限都可能导致日志被任何人覆盖或删除。

新配置的访问模式只会影响创建的新日志;当日志轮转到新文件时,会设置模式。

参数描述

条目 DN

cn=config

有效范围

000 到 777

默认值

600

语法

整数

示例

nsslapd-accesslog-mode: 600

2.1.19. nsslapd-allow-anonymous-access

如果用户尝试在不提供任何绑定 DN 或密码的情况下尝试连接到目录服务器,则这是 匿名绑定。匿名绑定简化了常见的搜索和读取操作,例如,通过不要求用户先向目录进行身份验证,例如检查电话号码或电子邮件地址的目录。

但是,匿名绑定存在风险。适当的 ACI 必须就位才能限制对敏感信息的访问以及禁止修改和删除等操作。此外,匿名绑定可用于拒绝服务攻击或恶意人员获得对服务器的访问。

可以禁用匿名绑定以提高安全性(off)。默认情况下,允许匿名绑定(on)搜索和读取操作。这样可以访问 常规目录条目,其中包括用户和组条目,以及 root DSE 等配置条目。第三个选项 rootdse 允许匿名搜索和读取访问权限来搜索 root DSE 本身,但限制对所有其他目录条目的访问。

另外,也可以使用 nsslapd-anonlimitsdn 属性将资源限值放在匿名绑定上,如 第 2.1.23 节 “nsslapd-anonlimitsdn” 所述。

对这个值的更改不会生效,直到服务器重启为止。

参数描述

条目 DN

cn=config

有效值

on | off | rootdse

默认值

on

语法

DirectoryString

示例

nsslapd-allow-anonymous-access: on

2.1.20. nsslapd-allowed-sasl-mechanisms

默认情况下,root DSE 列出 SASL 库支持的所有机制。但是,在某些环境中,首选使用某些环境。nsslapd-allowed-sasl-mechanisms 属性允许您只启用一些定义的 SASL 机制。

机制名称必须包含大写字母、数字和下划线。每个机制可以使用逗号或空格分开。

注意

EXTERNAL 机制实际上没有被任何 SASL 插件使用。它是服务器内部的,主要用于 TLS 客户端身份验证。因此,EXTERNAL 机制无法被限制或控制。它始终会出现在支持的机制列表中,无论 nsslapd-allowed-sasl-mechanisms 属性中设置什么。

此设置不需要重启服务器才能生效。

参数描述

条目 DN

cn=config

有效值

任何有效的 SASL 机制

默认值

none (允许的所有 SASL 机制)

语法

DirectoryString

示例

nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP

2.1.21. nsslapd-allow-hashed-passwords

这个参数禁用预哈希密码检查。默认情况下,Directory 服务器不允许由 Directory Manager 以外的任何人设置预哈希密码。当您将这个特权添加到 Password Administrators 组时,您可以将这个特权委派给其他用户。然而,在某些情况下,如复制合作伙伴已经控制预哈希密码检查时,必须在 Directory 服务器上禁用此功能。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-allow-hashed-passwords: off

2.1.22. nsslapd-allow-unauthenticated-binds

未经身份验证的绑定是用户提供空密码的目录服务器的连接。使用默认设置,出于安全原因,Directory 服务器拒绝在此场景中的访问。

警告

红帽建议不要启用未经身份验证的绑定。这个验证方法允许用户在不以任何帐户形式提供密码的情况下绑定,包括 Directory Manager。绑定后,用户可以使用用于绑定的帐户的权限访问所有数据。

您不必重启服务器才能使此设置生效。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-allow-unauthenticated-binds: off

2.1.23. nsslapd-anonlimitsdn

可以在经过身份验证的绑定上设置资源限值。资源限值可以设置可在单个操作中搜索多少个条目(nsslapd-sizeLimit)、时间限制(nsslapd-timelimit)和超时周期(nsslapd-idletimeout)用于搜索,以及可以搜索的条目总数(nsslapd-lookthroughlimit)。这些资源限制可防止拒绝服务攻击访问目录资源并改进整体性能。

在用户条目上设置资源限值。匿名绑定(明显)没有与之关联的用户条目。这意味着资源限值通常不适用于匿名操作。

要为匿名绑定设置资源限值,可以创建一个模板条目,并带有适当的资源限值。然后,可以添加 nsslapd-anonlimitsdn 配置属性来指向此条目,并将资源限值应用到匿名绑定。

参数描述

条目 DN

cn=config

有效值

任何 DN

默认值

语法

DirectoryString

示例

nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com

2.1.24. nsslapd-attribute-name-exceptions

此属性允许属性名称中的非标准字符用于向后兼容旧的服务器,如 schema 定义的属性中的 "_"。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-attribute-name-exceptions: on

2.1.25. nsslapd-auditfaillog

此属性设置用于记录失败的 LDAP 修改的日志的路径和文件名。

如果启用了 nsslapd-auditfaillog-logging-enabled,并且未设置 nsslapd-auditfaillog,则审计失败事件会记录到 nsslapd-auditlog 中指定的文件。

如果将 nsslapd-auditfaillog 参数设置为与 nsslapd-auditlog 相同的路径,则这两者都会记录到同一文件中。

参数描述

条目 DN

cn=config

有效值

任何有效的文件名

默认值

/var/log/dirsrv/slapd-instance/audit

语法

DirectoryString

示例

nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit

要启用审计失败日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled 属性必须设置为 on

2.1.26. nsslapd-auditfaillog-compress

默认情况下,目录服务器不会压缩审计失败日志。将 nsslapd-auditfaillog-compress 设置为 on,以便在 Directory 服务器轮转日志时启用审计失败日志压缩。

您不需要重新启动服务器以应用更改。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditfaillog-compress: on

2.1.27. nsslapd-auditfaillog-list

提供审计失败日志文件列表。

参数描述

条目 DN

cn=config

有效值

 

默认值

语法

DirectoryString

示例

nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3

2.1.28. nsslapd-auditfaillog-logexpirationtime

此属性设置日志文件在删除前的最长期限。它为单位数提供。在 nsslapd-auditfaillog-logexpirationtimeunit 属性中指定单位,如 day, week, month 等。

参数描述

条目 DN

cn=config

有效范围

-1 到最大 32 位整数值(2147483647)

值为 -1 或 0 表示日志永不过期。

默认值

-1

语法

整数

示例

nsslapd-auditfaillog-logexpirationtime: 1

2.1.29. nsslapd-auditfaillog-logexpirationtimeunit

此属性设置 nsslapd-auditfaillog-logexpirationtime 属性的单元。如果服务器未知单元,日志永远不会过期。

参数描述

条目 DN

cn=config

有效值

month | 周 | 天

默认值

week

语法

DirectoryString

示例

nsslapd-auditfaillog-logexpirationtimeunit: day

2.1.30. nsslapd-auditfaillog-logging-enabled

打开和关闭失败的 LDAP 修改的日志。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditfaillog-logging-enabled: off

2.1.31. nsslapd-auditfaillog-logmaxdiskspace

此属性设置审计日志可以使用的最大磁盘空间量,以 MB 为单位。如果大小超过限制,则删除最旧的审计日志。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示允许审计失败的磁盘空间大小没有限制。

默认值

100

语法

整数

示例

nsslapd-auditfaillog-logmaxdiskspace: 10000

2.1.32. nsslapd-auditfaillog-logminfreediskspace

此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于指定的值时,将删除最旧的审计日志,直到释放足够的磁盘空间。

参数描述

条目 DN

cn=config

有效范围

-1 (unlimited)| 1 到最大 32 位整数值(2147483647)

默认值

-1

语法

整数

示例

nsslapd-auditfaillog-logminfreediskspace: -1

2.1.33. nsslapd-auditfaillog-logrotationsync-enabled

此属性设定审计日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以在一天(例如每天午夜)的指定时间生成日志文件。这样可以更轻松地分析日志文件,因为它们然后直接映射到日历。

要使审计日志轮转与时间同步,必须使用 nsslapd-auditfaillog-logrotationsynchournsslapd-auditfaillog-logrotationsyncmin 属性值设置为轮转日志文件的时间和分钟。

例如,要每天在午夜轮转审计失败日志文件,请通过在 将其值设置为,然后将 nsslapd-auditfaillog-logrotationsynchournsslapd-auditfaillog-logrotationsyncmin 属性设为 0 来启用此属性。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditfaillog-logrotationsync-enabled: on

2.1.34. nsslapd-auditfaillog-logrotationsynchour

此属性设置审计日志轮转天数的小时。此属性必须与 nsslapd-auditfaillog-logrotationsync-enablednsslapd-auditfaillog-logrotationsyncmin 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 23

默认值

none (因为 nsslapd-auditfaillog-logrotationsync-enabled 为 off)

语法

整数

示例

nsslapd-auditfaillog-logrotationsynchour: 23

2.1.35. nsslapd-auditfaillog-logrotationsyncmin

此属性设置审计失败日志轮转的时间。此属性必须与 nsslapd-auditfaillog-logrotationsync-enablednsslapd-auditfaillog-logrotationsynchour 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 59

默认值

none (因为 nsslapd-auditfaillog-logrotationsync-enabled 为 off)

语法

整数

示例

nsslapd-auditfaillog-logrotationsyncmin: 30

2.1.36. nsslapd-auditfaillog-logrotationtime

此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-auditfaillog-logrotationtimeunit 属性提供。如果 nsslapd-auditfaillog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。

目录服务器在配置的时间间隔到期后,在第一次写入操作时轮转日志,而不考虑日志的大小。

虽然不建议指定日志轮转的性能原因,但随着日志无限期增长,但可以通过两种方式指定此功能。将 nsslapd-auditfaillog-maxlogsperdir 属性值设为 1,或者将 nsslapd-auditfaillog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-auditfaillog-logrotationtime 属性。请参阅 第 2.1.25 节 “nsslapd-auditfaillog” 了解更多信息。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示审计失败日志文件轮转之间的时间没有限制。

默认值

1

语法

整数

示例

nsslapd-auditfaillog-logrotationtime: 100

2.1.37. nsslapd-auditfaillog-logrotationtimeunit

此属性设置 nsslapd-auditfaillog-logrotationtime 属性的单元。

参数描述

条目 DN

cn=config

有效值

month | week | day | hour | minute

默认值

week

语法

DirectoryString

示例

nsslapd-auditfaillog-logrotationtimeunit: day

2.1.38. nsslapd-auditfaillog-maxlogsize

此属性以 MB 为单位设置最大审计日志大小。当达到这个值时,审计失败日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditfaillog-maxlogsperdir 参数设置为 1,服务器会忽略此属性。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小没有限制。

默认值

100

语法

整数

示例

nsslapd-auditfaillog-maxlogsize: 50

2.1.39. nsslapd-auditfaillog-maxlogsperdir

此属性设置可包含在审计日志的目录中的审计日志总数。每次轮转审计失败日志时,都会创建新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增长。

如果此属性的值大于 1,请检查 nsslapd-auditfaillog-logrotationtime 属性来建立是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 2.1.28 节 “nsslapd-auditfaillog-logexpirationtime” 了解更多信息。

参数描述

条目 DN

cn=config

有效范围

1 到最大 32 位整数值(2147483647)

默认值

1

语法

整数

示例

nsslapd-auditfaillog-maxlogsperdir: 10

2.1.40. nsslapd-auditfaillog-mode

此属性设置创建审计日志文件的访问模式或文件权限。有效值是 000777 的组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字因 07 的不同:

  • 0 - None
  • 1 - 只执行
  • 2 - 仅写入
  • 3 - 写入和执行
  • 4 - 只读
  • 5 - 读取和执行
  • 6 - 读取和写入
  • 7 - 读、写和执行

在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三个数字代表每个人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许每个人的写入权限都可能导致日志被任何人覆盖或删除。

新配置的访问模式只会影响创建的新日志;当日志轮转到新文件时,会设置模式。

参数描述

条目 DN

cn=config

有效范围

000 到 777

默认值

600

语法

整数

示例

nsslapd-auditfaillog-mode: 600

2.1.41. nsslapd-auditlog

此属性设置日志的路径和文件名,用于记录对每个数据库所做的更改。

参数描述

条目 DN

cn=config

有效值

任何有效的文件名

默认值

/var/log/dirsrv/slapd-instance/audit

语法

DirectoryString

示例

nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit

要使审计日志记录启用,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须在 切换到。表列出了这两个配置属性的四个可能值组合,以及它们的结果在禁用或启用审计日志记录方面的结果。

表 2.3. nsslapd-auditlog 的可能组合
dse.ldif 中的属性启用或禁用日志记录

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

空字符串

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

filename

Enabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

空字符串

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

filename

Disabled

2.1.42. nsslapd-auditlog-display-attrs

使用 nsslapd-auditlog-display-attrs 属性,您可以设置目录服务器在审计日志中显示的属性,以提供有关被修改条目的有用识别信息。通过在审计日志中添加属性,您可以检查条目中特定属性的当前状态以及条目更新的详情。

您可以通过选择以下选项之一来显示日志中的属性:

  • 要显示 Directory 服务器修改的条目的特定属性,请将属性名称作为值提供。
  • 要显示多个属性,请提供以空格分隔的属性名称列表作为值。
  • 要显示条目的所有属性,请使用星号 packagemanifests 作为值。

提供目录服务器在审计日志中必须显示的属性列表,或使用星号(*)作为值来显示被修改的条目的所有属性。

例如,要将 cn 属性添加到审计日志输出中,请将 nsslapd-auditlog-display-attrs 属性设置为 cn。审计日志包含类似如下的条目:

time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: John Smith
result: 0
changetype: modify
...
参数描述

条目 DN

cn=config

有效值

任何有效的属性 name 和星号(*)

默认值

语法

DirectoryString

示例

nsslapd-auditlog-display-attrs: cn ou

2.1.43. nsslapd-auditlog-compress

默认情况下,目录服务器不会压缩审计日志。将 nsslapd-auditlog-compress 设置为 on,以便在目录服务器轮转日志时启用审计日志压缩。

您不需要重新启动服务器以应用更改。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditlog-compress: on

2.1.44. nsslapd-auditlog-list

提供审计日志文件列表。

参数描述

条目 DN

cn=config

有效值

 

默认值

语法

DirectoryString

示例

nsslapd-auditlog-list: auditlog2,auditlog3

2.1.45. nsslapd-auditlog-logexpirationtime

此属性设置在删除日志文件前允许的日志文件的最长期限。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-auditlog-logexpirationtimeunit 属性提供。

参数描述

条目 DN

cn=config

有效范围

-1 到最大 32 位整数值(2147483647)

值为 -1 或 0 表示日志永不过期。

默认值

-1

语法

整数

示例

nsslapd-auditlog-logexpirationtime: 1

2.1.46. nsslapd-auditlog-logexpirationtimeunit

此属性设置 nsslapd-auditlog-logexpirationtime 属性的单元。如果服务器未知单元,则日志永远不会过期。

参数描述

条目 DN

cn=config

有效值

month | 周 | 天

默认值

week

语法

DirectoryString

示例

nsslapd-auditlog-logexpirationtimeunit: day

2.1.47. nsslapd-auditlog-logging-enabled

打开和关闭审计日志记录。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditlog-logging-enabled: off

要使审计日志记录启用,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到。表列出了这两个配置属性的四个可能值组合,以及它们的结果在禁用或启用审计日志记录方面的结果。

表 2.4. nsslapd-auditlog 和 nsslapd-auditlog-logging-enabled 的可能组合
属性启用或禁用日志记录

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

空字符串

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

filename

Enabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

空字符串

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

filename

Disabled

2.1.48. nsslapd-auditlog-logmaxdiskspace

此属性设置审计日志允许使用的最大磁盘空间量,以 MB 为单位。如果超过这个值,则会删除最旧的审计日志。

当设置最大磁盘空间时,请考虑可能会因为日志文件轮转而创建的日志文件总数。还请记住,目录服务器维护三个不同的日志文件(访问日志、审计日志和错误日志),各自消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到 32 位整数值(2147483647),其中值为 -1 表示审计日志的磁盘空间的大小没有限制。

默认值

-1

语法

整数

示例

nsslapd-auditlog-logmaxdiskspace: 10000

2.1.49. nsslapd-auditlog-logminfreediskspace

此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性指定的值时,将删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。

参数描述

条目 DN

cn=config

有效范围

-1 (unlimited)| 1 到最大 32 位整数值(2147483647)

默认值

-1

语法

整数

示例

nsslapd-auditlog-logminfreediskspace: -1

2.1.50. nsslapd-auditlog-logrotationsync-enabled

此属性设定审计日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以在一天(例如每天午夜)的指定时间生成日志文件。这样可以更轻松地分析日志文件,因为它们然后直接映射到日历。

要使审计日志轮转与时间同步,必须使用 nsslapd-auditlog-logrotationsynchournsslapd-auditlog-logrotationsyncmin 属性值启用此属性。

例如,要每天在午夜轮转审计日志文件,请通过在 将其值设置为,然后将 nsslapd-auditlog-logrotationsynchournsslapd-auditlog-logrotationsyncmin 属性设为 0 来启用此属性。

参数描述

条目 DN

cn=config

有效值

on | off

默认值

off

语法

DirectoryString

示例

nsslapd-auditlog-logrotationsync-enabled: on

2.1.51. nsslapd-auditlog-logrotationsynchour

此属性设置轮转审计日志的日期的小时。此属性必须与 nsslapd-auditlog-logrotationsync-enablednsslapd-auditlog-logrotationsyncmin 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 23

默认值

none (因为 nsslapd-auditlog-logrotationsync-enabled 为 off)

语法

整数

示例

nsslapd-auditlog-logrotationsynchour: 23

2.1.52. nsslapd-auditlog-logrotationsyncmin

此属性设置轮转审计日志的日期的分钟数。此属性必须与 nsslapd-auditlog-logrotationsync-enablednsslapd-auditlog-logrotationsynchour 属性一起使用。

参数描述

条目 DN

cn=config

有效范围

0 到 59

默认值

none (因为 nsslapd-auditlog-logrotationsync-enabled 为 off)

语法

整数

示例

nsslapd-auditlog-logrotationsyncmin: 30

2.1.53. nsslapd-auditlog-logrotationtime

此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-auditlog-logrotationtimeunit 属性提供。如果 nsslapd-auditlog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。

目录服务器在配置的时间间隔到期后,在第一次写入操作时轮转日志,而不考虑日志的大小。

虽然不建议指定日志轮转的性能原因,但随着日志无限期增长,但可以通过两种方式指定此功能。将 nsslapd-auditlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditlog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-auditlog-logrotationtime 属性。请参阅 第 2.1.39 节 “nsslapd-auditfaillog-maxlogsperdir” 了解更多信息。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示审计日志文件轮转之间的时间没有限制。

默认值

1

语法

整数

示例

nsslapd-auditlog-logrotationtime: 100

2.1.54. nsslapd-auditlog-logrotationtimeunit

此属性设置 nsslapd-auditlog-logrotationtime 属性的单元。

参数描述

条目 DN

cn=config

有效值

month | week | day | hour | minute

默认值

week

语法

DirectoryString

示例

nsslapd-auditlog-logrotationtimeunit: day

2.1.55. nsslapd-auditlog-maxlogsize

此属性以 MB 为单位设置最大审计日志大小。当达到这个值时,审计日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditlog-maxlogsperdir1,服务器会忽略此属性。

在设置最大日志大小时,请考虑可能会因为日志文件轮转而创建的日志文件总数。另外,请记住,Directory 服务器维护五个不同的日志文件(访问日志、审计日志、审计日志、错误日志、安全日志),每个日志文件消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。

参数描述

条目 DN

cn=config

有效范围

-1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小没有限制。

默认值

100

语法

整数

示例

nsslapd-auditlog-maxlogsize: 50

2.1.56. nsslapd-auditlog-maxlogsperdir

此属性设置可包含审计日志的审计日志总数。每次轮转审计日志时,都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增长。

如果此属性的值大于 1,请检查 nsslapd-auditlog-logrotationtime 属性来建立是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 2.1.14 节 “nsslapd-accesslog-logrotationtime” 了解更多信息。

参数描述

条目 DN

cn=config

有效范围

1 到最大 32 位整数值(2147483647)

默认值

1

语法

整数

示例

nsslapd-auditlog-maxlogsperdir: 10

2.1.57. nsslapd-auditlog-mode

此属性设置创建审计日志文件的访问模式或文件权限。有效值是 000777 的组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字因 07 的不同:

  • 0 - None
  • 1 - 只执行
  • 2 - 仅写入
  • 3 - 写入和执行
  • 4 - 只读
  • 5 - 读取和执行
  • 6 - 读取和写入
  • 7 - 读、写和执行

在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三个数字代表每个人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许每个人的写入权限都可能导致日志被任何人覆盖或删除。

新配置的访问模式只会影响创建的新日志;当日志轮转到新文件时,会设置模式。

参数描述

条目 DN

cn=config

有效范围

000 到 777

默认值

600

语法

整数

示例

nsslapd-auditlog-mode: 600

2.1.58. nsslapd-bakdir

此参数设置默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。

此设置不需要重启服务器才能生效。

参数描述

条目 DN

cn=config

有效值

任何本地目录路径。

默认值

/var/lib/dirsrv/slapd-instance/bak

语法

DirectoryString

示例

nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak

2.1.59. nsslapd-certdir

此参数定义目录服务器用于存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。

作为回退,如果服务器无法将它们提取到私有命名空间中的 /tmp/ 目录中,则目录服务器会将私钥和证书提取到这个目录中。有关私有命名空间的详情,请查看 systemd.exec (5) 手册页中的 PrivateTmp 参数描述。

nsslapd-certdir 中指定的目录必须由服务器的用户 ID 所有,且只有此用户 ID 在这个目录中必须具有读写权限。为安全起见,其他用户不应具有读取或写入到此目录的权限。

必须重启该服务才能使此属性生效。

参数描述

条目 DN

cn=config

有效值

绝对路径

默认值

/etc/dirsrv/slapd-instance_name/