第 2 章 核心服务器配置属性
本节包含与核心服务器功能相关的配置属性的参考信息。有关更改服务器配置的详情,请参考 2.2.1.2 节"访问和修改服务器配置"。有关作为插件实施的服务器功能列表,请参阅 4.1 第 4.1 节"服务器插件功能参考"。有关实现自定义服务器功能的帮助,请联系目录服务器支持。
dse.ldif 文件中存储的配置信息被组织为常规配置条目 cn=config 下的信息树。
以下部分介绍了大多数配置树节点。
cn=plugins 节点在第 4 章介绍,插件实现的服务器功能参考。每个属性的描述包含其目录条目的 DN、其默认值、有效值范围以及其使用示例。
本章中描述的一些条目和属性可能会在以后的版本中有所变化。
2.1. cn=config
目录服务器在 cn=config 条目中存储常规配置条目。此条目是 nsslapdConfig 对象类的实例,后者从 scalable Object 对象类继承。
2.1.1. nsslapd-accesslog
此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。日志文件中默认记录以下信息:
- 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
- 执行的操作(如搜索、添加和修改)。
- 访问结果(例如,返回的条目数或错误代码)。
要启用访问日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled 配置属性必须在 上 切换到。表列出了这两个配置属性的四个可能值组合,以及禁用或启用访问日志时的结果。
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
nsslapd-accesslog 参数描述:
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名。 |
| 默认值 | /var/log/dirsrv/slapd-instance/access |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
2.1.2. nsslapd-accesslog-compress
默认情况下,目录服务器不会压缩访问日志。将 nsslapd-accesslog-compress 设置为 on,以便在目录服务器轮转日志时启用访问日志压缩。
您不需要重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-compress: on |
2.1.3. nsslapd-accesslog-level
此属性控制记录到访问日志的内容。
您不必重启服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 - 无访问日志 * 4 - 内部访问操作的日志记录 * 256 - 连接、操作和结果的日志 * 512 - 用于访问条目和引用的日志
* 可将这些值添加到一起,以提供所需的准确日志类型;例如, |
| 默认值 | 256 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-level: 256 |
2.1.4. nsslapd-accesslog-list
此只读属性(无法设置)提供访问日志轮转中使用的访问日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
2.1.5. nsslapd-accesslog-logbuffering
当设置为 off 时,服务器会将所有访问日志条目直接写入磁盘。缓冲允许服务器使用访问日志记录,即使负载过重,而不影响性能。但是,在调试时,在禁用缓冲区时,可以立即查看操作及其结果,而不必等待日志条目刷新到文件中。禁用日志缓冲可能会严重影响大量载入的服务器的性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logbuffering: off |
2.1.6. nsslapd-accesslog-logexpirationtime
此属性指定日志文件在删除前允许达到的最长期限。此属性仅提供单元数量。该单元由 nsslapd-accesslog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值为 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logexpirationtime: 2 |
2.1.7. nsslapd-accesslog-logexpirationtimeunit
此属性指定 nsslapd-accesslog-logexpirationtime 属性的单元。如果服务器未知单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logexpirationtimeunit: week |
2.1.8. nsslapd-accesslog-logging-enabled
禁用并启用 accesslog 日志记录,但仅与 nsslapd-accesslog 属性结合使用,用于指定用于记录每个数据库访问的日志的路径和参数。
要启用日志记录,必须在 上 切换到,nsslapd-accesslog 配置属性必须具有有效的 path 和 参数。表列出了这两个配置属性的四个可能值组合,以及禁用或启用访问日志时的结果。
| 属性 | 值 | Logging Enabled 或 Disabled |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logging-enabled: off |
2.1.9. nsslapd-accesslog-logmaxdiskspace
此属性指定允许使用访问日志的最大磁盘空间量(以 MB 为单位)。如果超过这个值,则会删除最旧的访问日志。
当设置最大磁盘空间时,请考虑可能会因为日志文件轮转而创建的日志文件总数。另外,请记住,目录服务器维护三个不同的日志文件(访问日志、审计日志和错误日志),每个日志文件消耗磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示允许访问日志的磁盘空间的大小没有限制。 |
| 默认值 | 500 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logmaxdiskspace: 500 |
2.1.10. nsslapd-accesslog-logminfreediskspace
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,将删除最旧的访问日志,直到释放足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logminfreediskspace: -1 |
2.1.11. nsslapd-accesslog-logrotationsync-enabled
此属性设定访问日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以在一天(例如每天午夜)的指定时间生成日志文件。这样可以更轻松地分析日志文件,因为它们然后直接映射到日历。
要使访问日志轮转与时间同步,必须使用 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性值设置为轮转日志文件的时间和分钟。
例如,要每天在午夜轮转访问日志文件,请通过在 上 将其值设置为,然后将 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性设为 0 来启用此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationsync-enabled: on |
2.1.12. nsslapd-accesslog-logrotationsynchour
此属性设置轮转访问日志的天数。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsynchour: 23 |
2.1.13. nsslapd-accesslog-logrotationsyncmin
此属性设置轮转访问日志的当天的分钟。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsyncmin: 30 |
2.1.14. nsslapd-accesslog-logrotationtime
此属性设置访问日志文件轮转之间的时间。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-accesslog-logrotationtimeunit 属性提供。
目录服务器在配置的时间间隔到期后,在第一次写入操作时轮转日志,而不考虑日志的大小。
虽然不建议以性能原因来指定日志轮转,因为日志无限期增长,但可以通过两种方式指定此功能。将 nsslapd-accesslog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-accesslog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-accesslog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-accesslog-logrotationtime 属性。请参阅 第 2.1.17 节 “nsslapd-accesslog-maxlogsperdir” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示访问日志文件轮转之间的时间没有限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationtime: 100 |
2.1.15. nsslapd-accesslog-logrotationtimeunit
此属性设置 nsslapd-accesslog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | week | day | hour | minute |
| 默认值 | day |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationtimeunit: week |
2.1.16. nsslapd-accesslog-maxlogsize
此属性以 MB 为单位设置最大访问日志大小。当达到这个值时,访问日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-accesslog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑以下几点:
- 由于日志文件轮转,可以创建的日志文件总数。
- 目录服务器维护五个不同的日志文件:访问日志、审计日志、审计失败日志、错误日志、安全日志。每个日志文件都会消耗磁盘空间。
将这些注意事项与您要为访问日志设置的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsize: 100 |
2.1.17. nsslapd-accesslog-maxlogsperdir
此属性设置存储了访问日志的目录中的访问日志总数。每次轮转访问日志时,都会创建一个新的日志文件。当访问日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。出于性能原因,请不要将此值设置为 1,因为服务器不会轮转日志,并且会无限期地增长。
如果此属性的值大于 1,请检查 nsslapd-accesslog-logrotationtime 属性来建立是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 2.1.14 节 “nsslapd-accesslog-logrotationtime” 了解更多信息。
根据 nsslapd-accesslog-logminfreediskspace 和 nsslapd-accesslog-maxlogsize 中设置的值,实际日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir 中配置的内容。例如,如果 nsslapd-accesslog-maxlogsperdir 使用默认值(10 文件),并将 nsslapd-accesslog-logminfreediskspace 设置为 500 MB,nsslapd-accesslog-maxlogsize 只保留 5 个访问日志文件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsperdir: 10 |
2.1.18. nsslapd-accesslog-mode
此属性设置创建访问日志文件的访问模式或文件权限。有效值是 000 到 777 ( 它们镜像编号或绝对 UNIX 文件权限)的组合。该值必须是 3 位数字,数字因 0 到 7 的不同:
-
0- None -
1- 只执行 -
2- 仅写入 -
3- 写入和执行 -
4- 只读 -
5- 读取和执行 -
6- 读取和写入 -
7- 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三个数字代表每个人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许每个人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式只会影响创建的新日志;当日志轮转到新文件时,会设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-mode: 600 |
2.1.19. nsslapd-allow-anonymous-access
如果用户尝试在不提供任何绑定 DN 或密码的情况下尝试连接到目录服务器,则这是 匿名绑定。匿名绑定简化了常见的搜索和读取操作,例如,通过不要求用户先向目录进行身份验证,例如检查电话号码或电子邮件地址的目录。
但是,匿名绑定存在风险。适当的 ACI 必须就位才能限制对敏感信息的访问以及禁止修改和删除等操作。此外,匿名绑定可用于拒绝服务攻击或恶意人员获得对服务器的访问。
可以禁用匿名绑定以提高安全性(off)。默认情况下,允许匿名绑定(on)搜索和读取操作。这样可以访问 常规目录条目,其中包括用户和组条目,以及 root DSE 等配置条目。第三个选项 rootdse 允许匿名搜索和读取访问权限来搜索 root DSE 本身,但限制对所有其他目录条目的访问。
另外,也可以使用 nsslapd-anonlimitsdn 属性将资源限值放在匿名绑定上,如 第 2.1.23 节 “nsslapd-anonlimitsdn” 所述。
对这个值的更改不会生效,直到服务器重启为止。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off | rootdse |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-anonymous-access: on |
2.1.20. nsslapd-allowed-sasl-mechanisms
默认情况下,root DSE 列出 SASL 库支持的所有机制。但是,在某些环境中,首选使用某些环境。nsslapd-allowed-sasl-mechanisms 属性允许您只启用一些定义的 SASL 机制。
机制名称必须包含大写字母、数字和下划线。每个机制可以使用逗号或空格分开。
EXTERNAL 机制实际上没有被任何 SASL 插件使用。它是服务器内部的,主要用于 TLS 客户端身份验证。因此,EXTERNAL 机制无法被限制或控制。它始终会出现在支持的机制列表中,无论 nsslapd-allowed-sasl-mechanisms 属性中设置什么。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 SASL 机制 |
| 默认值 | none (允许的所有 SASL 机制) |
| 语法 | DirectoryString |
| 示例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
2.1.21. nsslapd-allow-hashed-passwords
这个参数禁用预哈希密码检查。默认情况下,Directory 服务器不允许由 Directory Manager 以外的任何人设置预哈希密码。当您将这个特权添加到 Password Administrators 组时,您可以将这个特权委派给其他用户。然而,在某些情况下,如复制合作伙伴已经控制预哈希密码检查时,必须在 Directory 服务器上禁用此功能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-hashed-passwords: off |
2.1.22. nsslapd-allow-unauthenticated-binds
未经身份验证的绑定是用户提供空密码的目录服务器的连接。使用默认设置,出于安全原因,Directory 服务器拒绝在此场景中的访问。
红帽建议不要启用未经身份验证的绑定。这个验证方法允许用户在不以任何帐户形式提供密码的情况下绑定,包括 Directory Manager。绑定后,用户可以使用用于绑定的帐户的权限访问所有数据。
您不必重启服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-unauthenticated-binds: off |
2.1.23. nsslapd-anonlimitsdn
可以在经过身份验证的绑定上设置资源限值。资源限值可以设置可在单个操作中搜索多少个条目(nsslapd-sizeLimit)、时间限制(nsslapd-timelimit)和超时周期(nsslapd-idletimeout)用于搜索,以及可以搜索的条目总数(nsslapd-lookthroughlimit)。这些资源限制可防止拒绝服务攻击访问目录资源并改进整体性能。
在用户条目上设置资源限值。匿名绑定(明显)没有与之关联的用户条目。这意味着资源限值通常不适用于匿名操作。
要为匿名绑定设置资源限值,可以创建一个模板条目,并带有适当的资源限值。然后,可以添加 nsslapd-anonlimitsdn 配置属性来指向此条目,并将资源限值应用到匿名绑定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
2.1.24. nsslapd-attribute-name-exceptions
此属性允许属性名称中的非标准字符用于向后兼容旧的服务器,如 schema 定义的属性中的 "_"。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-attribute-name-exceptions: on |
2.1.25. nsslapd-auditfaillog
此属性设置用于记录失败的 LDAP 修改的日志的路径和文件名。
如果启用了 nsslapd-auditfaillog-logging-enabled,并且未设置 nsslapd-auditfaillog,则审计失败事件会记录到 nsslapd-auditlog 中指定的文件。
如果将 nsslapd-auditfaillog 参数设置为与 nsslapd-auditlog 相同的路径,则这两者都会记录到同一文件中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
要启用审计失败日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled 属性必须设置为 on
2.1.26. nsslapd-auditfaillog-compress
默认情况下,目录服务器不会压缩审计失败日志。将 nsslapd-auditfaillog-compress 设置为 on,以便在 Directory 服务器轮转日志时启用审计失败日志压缩。
您不需要重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-compress: on |
2.1.27. nsslapd-auditfaillog-list
提供审计失败日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
2.1.28. nsslapd-auditfaillog-logexpirationtime
此属性设置日志文件在删除前的最长期限。它为单位数提供。在 nsslapd-auditfaillog-logexpirationtimeunit 属性中指定单位,如 day, week, month 等。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值为 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logexpirationtime: 1 |
2.1.29. nsslapd-auditfaillog-logexpirationtimeunit
此属性设置 nsslapd-auditfaillog-logexpirationtime 属性的单元。如果服务器未知单元,日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | week |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
2.1.30. nsslapd-auditfaillog-logging-enabled
打开和关闭失败的 LDAP 修改的日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logging-enabled: off |
2.1.31. nsslapd-auditfaillog-logmaxdiskspace
此属性设置审计日志可以使用的最大磁盘空间量,以 MB 为单位。如果大小超过限制,则删除最旧的审计日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示允许审计失败的磁盘空间大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
2.1.32. nsslapd-auditfaillog-logminfreediskspace
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于指定的值时,将删除最旧的审计日志,直到释放足够的磁盘空间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
2.1.33. nsslapd-auditfaillog-logrotationsync-enabled
此属性设定审计日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以在一天(例如每天午夜)的指定时间生成日志文件。这样可以更轻松地分析日志文件,因为它们然后直接映射到日历。
要使审计日志轮转与时间同步,必须使用 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性值设置为轮转日志文件的时间和分钟。
例如,要每天在午夜轮转审计失败日志文件,请通过在 上 将其值设置为,然后将 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性设为 0 来启用此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
2.1.34. nsslapd-auditfaillog-logrotationsynchour
此属性设置审计日志轮转天数的小时。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
2.1.35. nsslapd-auditfaillog-logrotationsyncmin
此属性设置审计失败日志轮转的时间。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
2.1.36. nsslapd-auditfaillog-logrotationtime
此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-auditfaillog-logrotationtimeunit 属性提供。如果 nsslapd-auditfaillog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
目录服务器在配置的时间间隔到期后,在第一次写入操作时轮转日志,而不考虑日志的大小。
虽然不建议指定日志轮转的性能原因,但随着日志无限期增长,但可以通过两种方式指定此功能。将 nsslapd-auditfaillog-maxlogsperdir 属性值设为 1,或者将 nsslapd-auditfaillog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-auditfaillog-logrotationtime 属性。请参阅 第 2.1.25 节 “nsslapd-auditfaillog” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中 -1 表示审计失败日志文件轮转之间的时间没有限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationtime: 100 |
2.1.37. nsslapd-auditfaillog-logrotationtimeunit
此属性设置 nsslapd-auditfaillog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | week | day | hour | minute |
| 默认值 | week |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationtimeunit: day |
2.1.38. nsslapd-auditfaillog-maxlogsize
此属性以 MB 为单位设置最大审计日志大小。当达到这个值时,审计失败日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditfaillog-maxlogsperdir 参数设置为 1,服务器会忽略此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsize: 50 |
2.1.39. nsslapd-auditfaillog-maxlogsperdir
此属性设置可包含在审计日志的目录中的审计日志总数。每次轮转审计失败日志时,都会创建新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增长。
如果此属性的值大于 1,请检查 nsslapd-auditfaillog-logrotationtime 属性来建立是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 2.1.28 节 “nsslapd-auditfaillog-logexpirationtime” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
2.1.40. nsslapd-auditfaillog-mode
此属性设置创建审计日志文件的访问模式或文件权限。有效值是 000 到 777 的组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字因 0 到 7 的不同:
- 0 - None
- 1 - 只执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读取和执行
- 6 - 读取和写入
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三个数字代表每个人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许每个人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式只会影响创建的新日志;当日志轮转到新文件时,会设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-mode: 600 |
2.1.41. nsslapd-auditlog
此属性设置日志的路径和文件名,用于记录对每个数据库所做的更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
要使审计日志记录启用,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须在 上 切换到。表列出了这两个配置属性的四个可能值组合,以及它们的结果在禁用或启用审计日志记录方面的结果。
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
2.1.42. nsslapd-auditlog-display-attrs
使用 nsslapd-auditlog-display-attrs 属性,您可以设置目录服务器在审计日志中显示的属性,以提供有关被修改条目的有用识别信息。通过在审计日志中添加属性,您可以检查条目中特定属性的当前状态以及条目更新的详情。
您可以通过选择以下选项之一来显示日志中的属性:
- 要显示 Directory 服务器修改的条目的特定属性,请将属性名称作为值提供。
- 要显示多个属性,请提供以空格分隔的属性名称列表作为值。
- 要显示条目的所有属性,请使用星号 packagemanifests 作为值。
提供目录服务器在审计日志中必须显示的属性列表,或使用星号(*)作为值来显示被修改的条目的所有属性。
例如,要将 cn 属性添加到审计日志输出中,请将 nsslapd-auditlog-display-attrs 属性设置为 cn。审计日志包含类似如下的条目:
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: John Smith
result: 0
changetype: modify
...| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
任何有效的属性 name 和星号( |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-display-attrs: cn ou |
2.1.43. nsslapd-auditlog-compress
默认情况下,目录服务器不会压缩审计日志。将 nsslapd-auditlog-compress 设置为 on,以便在目录服务器轮转日志时启用审计日志压缩。
您不需要重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-compress: on |
2.1.44. nsslapd-auditlog-list
提供审计日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
2.1.45. nsslapd-auditlog-logexpirationtime
此属性设置在删除日志文件前允许的日志文件的最长期限。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-auditlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值为 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logexpirationtime: 1 |
2.1.46. nsslapd-auditlog-logexpirationtimeunit
此属性设置 nsslapd-auditlog-logexpirationtime 属性的单元。如果服务器未知单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | week |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logexpirationtimeunit: day |
2.1.47. nsslapd-auditlog-logging-enabled
打开和关闭审计日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logging-enabled: off |
要使审计日志记录启用,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到。表列出了这两个配置属性的四个可能值组合,以及它们的结果在禁用或启用审计日志记录方面的结果。
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
2.1.48. nsslapd-auditlog-logmaxdiskspace
此属性设置审计日志允许使用的最大磁盘空间量,以 MB 为单位。如果超过这个值,则会删除最旧的审计日志。
当设置最大磁盘空间时,请考虑可能会因为日志文件轮转而创建的日志文件总数。还请记住,目录服务器维护三个不同的日志文件(访问日志、审计日志和错误日志),各自消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到 32 位整数值(2147483647),其中值为 -1 表示审计日志的磁盘空间的大小没有限制。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
2.1.49. nsslapd-auditlog-logminfreediskspace
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性指定的值时,将删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logminfreediskspace: -1 |
2.1.50. nsslapd-auditlog-logrotationsync-enabled
此属性设定审计日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以在一天(例如每天午夜)的指定时间生成日志文件。这样可以更轻松地分析日志文件,因为它们然后直接映射到日历。
要使审计日志轮转与时间同步,必须使用 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性值启用此属性。
例如,要每天在午夜轮转审计日志文件,请通过在 上 将其值设置为,然后将 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性设为 0 来启用此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationsync-enabled: on |
2.1.51. nsslapd-auditlog-logrotationsynchour
此属性设置轮转审计日志的日期的小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsynchour: 23 |
2.1.52. nsslapd-auditlog-logrotationsyncmin
此属性设置轮转审计日志的日期的分钟数。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none (因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsyncmin: 30 |
2.1.53. nsslapd-auditlog-logrotationtime
此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-auditlog-logrotationtimeunit 属性提供。如果 nsslapd-auditlog-maxlogsperdir 属性设置为 1,服务器会忽略此属性。
目录服务器在配置的时间间隔到期后,在第一次写入操作时轮转日志,而不考虑日志的大小。
虽然不建议指定日志轮转的性能原因,但随着日志无限期增长,但可以通过两种方式指定此功能。将 nsslapd-auditlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditlog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-auditlog-logrotationtime 属性。请参阅 第 2.1.39 节 “nsslapd-auditfaillog-maxlogsperdir” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示审计日志文件轮转之间的时间没有限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationtime: 100 |
2.1.54. nsslapd-auditlog-logrotationtimeunit
此属性设置 nsslapd-auditlog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | week | day | hour | minute |
| 默认值 | week |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationtimeunit: day |
2.1.55. nsslapd-auditlog-maxlogsize
此属性以 MB 为单位设置最大审计日志大小。当达到这个值时,审计日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditlog-maxlogsperdir 到 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑可能会因为日志文件轮转而创建的日志文件总数。另外,请记住,Directory 服务器维护五个不同的日志文件(访问日志、审计日志、审计日志、错误日志、安全日志),每个日志文件消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsize: 50 |
2.1.56. nsslapd-auditlog-maxlogsperdir
此属性设置可包含审计日志的审计日志总数。每次轮转审计日志时,都会创建一个新的日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增长。
如果此属性的值大于 1,请检查 nsslapd-auditlog-logrotationtime 属性来建立是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 2.1.14 节 “nsslapd-accesslog-logrotationtime” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsperdir: 10 |
2.1.57. nsslapd-auditlog-mode
此属性设置创建审计日志文件的访问模式或文件权限。有效值是 000 到 777 的组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字因 0 到 7 的不同:
- 0 - None
- 1 - 只执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读取和执行
- 6 - 读取和写入
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三个数字代表每个人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许每个人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式只会影响创建的新日志;当日志轮转到新文件时,会设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-mode: 600 |
2.1.58. nsslapd-bakdir
此参数设置默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地目录路径。 |
| 默认值 | /var/lib/dirsrv/slapd-instance/bak |
| 语法 | DirectoryString |
| 示例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
2.1.59. nsslapd-certdir
此参数定义目录服务器用于存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。
作为回退,如果服务器无法将它们提取到私有命名空间中的 /tmp/ 目录中,则目录服务器会将私钥和证书提取到这个目录中。有关私有命名空间的详情,请查看 systemd.exec (5) 手册页中的 PrivateTmp 参数描述。
nsslapd-certdir 中指定的目录必须由服务器的用户 ID 所有,且只有此用户 ID 在这个目录中必须具有读写权限。为安全起见,其他用户不应具有读取或写入到此目录的权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 绝对路径 |
| 默认值 | /etc/dirsrv/slapd-instance_name/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
2.1.60. nsslapd-certmap-basedn
当使用 TLS 证书执行客户端身份验证时,可以使用此属性,以避免在 /etc/dirsrv/slapd-instance_name/certmap.conf 文件中配置的安全子系统证书映射的限制。根据此文件中的配置,证书映射可以使用基于根 DN 的目录子树搜索来完成。如果搜索基于根 DN,则 nsslapd-certmap-basedn 属性可能会强制搜索基于 root 以外的一些条目。此属性的有效值是用于证书映射的后缀或子树的 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
2.1.61. nsslapd-close-on-failed-bind
如果 BIND 操作失败,请使用 nsslapd-close-on-failed-bind 配置属性来关闭来自服务器端的客户端连接。
启用此参数有助于减少目录服务器的负载,如果应用程序忽略 BIND 返回代码并继续发送请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-close-on-failed-bind: off |
2.1.62. nsslapd-cn-uses-dn-syntax-in-dns
这个参数允许您在 CN 值中启用 DN。
目录服务器 DN 规范化程序遵循 RFC4514,并在 RDN 属性类型不基于 DN 语法时保留空格。但是 Directory 服务器的配置条目有时使用 cn 属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config 中,cn 应按照 DN 语法规范化。
如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns 参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
2.1.63. nsslapd-config
这个 read-only 属性是配置 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的配置 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-config: cn=config |
2.1.64. nsslapd-connection-buffer
此属性设置连接缓冲区行为。可能的值:
-
0: 禁用缓冲区。每次只读取单个协议数据单元(PDU)。 -
1:常规固定大小LDAP_SOCKET_IO_BUFFER_SIZE为512字节。 -
2:适应性缓冲区大小.
如果客户端一次发送大量数据,则值 2 会提供更好的性能。例如,这适用于大型添加和修改操作,或者在复制过程中通过单一连接接收多个异步请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 | 1 | 2 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-connection-buffer: 1 |
2.1.65. nsslapd-connection-nocanon
这个选项允许您启用或禁用 SASL NOCANON 标志。禁用 Directory 服务器避免了为出站连接查找 DNS 反向条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-connection-nocanon: on |
2.1.66. nsslapd-counters
nsslapd-counters 属性启用和禁用目录服务器数据库和服务器性能计数器。
通过跟踪更大的计数器,可能会有性能影响。为计数器关闭 64 位整数可降低性能,尽管对长期统计跟踪造成负面影响。
默认启用此参数。要禁用计数器,停止目录服务器,直接编辑 dse.ldif 文件,然后重新启动服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-counters: on |
2.1.67. nsslapd-csnlogging
此属性设定是否要在访问日志中记录序列号(CSN) (如果可用)。默认情况下启用 CSN 日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-csnlogging: on |
2.1.68. nsslapd-defaultnamingcontext
此属性为所有配置的命名上下文提供命名上下文,客户端应默认使用这些命名上下文作为搜索基础。这个值作为 defaultNamingContext 属性复制到 root DSE,它允许客户端查询 root DSE 获取上下文,然后使用适当的基础启动搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 root 后缀 DN |
| 默认值 | 默认用户后缀 |
| 语法 | DN |
| 示例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
2.1.69. nsslapd-disk-monitoring
此属性可让线程每十(10)秒运行一次的线程,以检查磁盘上的可用磁盘空间或挂载到 Directory Server 数据库运行的挂载。如果可用磁盘空间低于配置的阈值,则服务器开始减少日志级别、禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器将正常关闭(在 wanring 和 grace 期间之后)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring: on |
2.1.70. nsslapd-disk-monitoring-grace-period
设置在服务器关闭前等待的宽限期,达到 第 2.1.73 节 “nsslapd-disk-monitoring-threshold” 中设置的磁盘空间限制的一半。这让管理员有时间来清理磁盘并防止关闭。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数(以分钟为单位的设置值) |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsslapd-disk-monitoring-grace-period: 45 |
2.1.71. nsslapd-disk-monitoring-logging-critical
设定在日志目录通过磁盘空间限制 第 2.1.73 节 “nsslapd-disk-monitoring-threshold” 中设置的半向点时是否关闭服务器。
如果启用了,则不会 禁用日志记录,也不会 删除轮转日志,因为会减少服务器的磁盘用量。服务器只需进入关闭过程即可。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-logging-critical: on |
2.1.72. nsslapd-disk-monitoring-readonly-on-threshold
如果可用磁盘空间达到 nsslapd-disk-monitoring-threshold 参数中设置的值的一半,则目录服务器会在 nsslapd-disk-monitoring-grace-period 中设置宽限期后关闭实例。但是,如果磁盘在实例停机前耗尽空间,数据可能会损坏。要防止这个问题,启用 nsslapd-disk-monitoring-readonly-on-threshold 参数,在达到阈值时目录服务器会将实例设置为只读模式。
使用这个设置时,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold 中配置阈值的一半,则目录服务器不会启动。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
2.1.73. nsslapd-disk-monitoring-threshold
设置阈值(以字节为单位)来评估服务器是否有足够可用磁盘空间。当空间达到这个阈值的一半后,服务器就开始关闭过程。
例如,如果阈值是 2MB (默认),则当可用磁盘空间达到 1MB 后,服务器将开始关闭。
默认情况下,对目录服务器实例的配置、事务和数据库目录使用的磁盘空间评估阈值。如果启用了 第 2.1.71 节 “nsslapd-disk-monitoring-logging-critical” 属性,则日志目录包含在评估中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 到最大 32 位整数值(2147483647)在 32 位系统中 * 0 到最大 64 位整数值(9223372036854775807) |
| 默认值 | 2000000 (2MB) |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-threshold: 2000000 |
2.1.74. nsslapd-dn-validate-strict
nsslapd-syntaxcheck 属性使服务器能够验证任何新的或修改的属性值是否与该属性所需的语法匹配。
但是,DN 的语法规则变得更为严格。试图在 RFC 4514 中强制执行 DN 语法规则可能会破坏许多使用旧语法定义的服务器。默认情况下,nsslapd-syntaxcheck 使用 RFC 1779 或 RFC 2253 验证 DN。
根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict 属性明确为 DN 启用严格的语法验证。如果此属性设为 off (默认值),服务器会在检查该值以进行语法违反情况前对值进行规范化。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-dn-validate-strict: off |
2.1.75. nsslapd-ds4-compatible-schema
使 cn=schema 中的 schema 与 4.x 版本的 Directory Server 兼容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ds4-compatible-schema: off |
2.1.76. nsslapd-enable-turbo-mode
目录服务器 turbo 模式是一个功能,它允许 worker 线程专用于连接,并持续从该连接读取传入的操作。这可以在非常活跃的连接中提高性能,这个功能会被默认启用。
Worker 线程正在处理服务器接收的 LDAP 操作。在 nsslapd-threadnumber 参数中定义 worker 线程数量。每 5 秒,每个 worker 线程评估其当前连接的活动级别是否是所有已建立连接的最高级别之一。目录服务器将活动测量为自上一次检查以来启动的操作数量,如果当前连接的活动是最高状态,则以 turbo 模式切换 worker 线程。
如果您遇到长时间执行时间(日志文件中的etime 值)用于绑定操作(如一秒或更长时间),则停用 turbo 模式可能会提高性能。然而,在某些情况下,较长的绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-turbo-mode: on |
2.1.77. nsslapd-enable-upgrade-hash
在简单绑定过程中,Directory 服务器可能会因为绑定操作性质访问纯文本密码。如果启用了 nsslapd-enable-upgrade-hash 参数且用户身份验证,Directory 服务器会检查用户的 userPassword 属性是否使用 passwordStorageScheme 属性中设置的哈希算法。如果算法不同,服务器将使用 passwordStorageScheme 的算法哈希纯文本密码,并更新用户的 userPassword 属性的值。
例如,如果您导入了带有使用弱算法哈希的密码的用户条目,服务器会使用 passwordStorageScheme 中设置的算法自动重新哈希用户 上的密码,即 PBKDF2_SHA256。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-upgrade-hash: on |
2.1.78. nsslapd-enquote-sup-oc
此属性已弃用,并将在以后的目录服务器版本中删除。
此属性控制 cn=schema 条目中包含的 objectclass 属性中的引用是否符合互联网草案 RFC 2252 指定的引用。默认情况下,Directory 服务器符合 RFC 2252,这表示不应用引号括起此值。在 上,只有非常旧的客户端需要将此值设置为,因此将其保留为 off。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-enquote-sup-oc: off |
2.1.79. nsslapd-entryusn-global
nsslapd-entryusn-global 参数定义 USN 插件是否为所有后端数据库或单独为每个数据库分配唯一的更新序列号(USN)。对于所有后端数据库的唯一 USN,请在 上 将此参数设置为。
详情请查看 第 10.8 节 “entryusn”。
您不必重启服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-global: off |
2.1.80. nsslapd-entryusn-import-initval
当条目从一个服务器导出并导入到另一个服务器时,条目更新序列号(USN)不会被保留,包括在初始化用于复制的数据库时。默认情况下,导入条目的条目 USNs 被设置为零。
可以使用 nsslapd-entryusn-import-initval 为条目 USNs 配置不同的初始值。这会设置一个起始 USN,用于所有导入的条目。
nsslapd-entryusn-import-initval 有两个可能的值:
- 一个整数,它是每个导入的条目使用的显式开始号。
- 接下来,这意味着每个导入的条目都使用服务器的最高条目 USN 值,然后再导入操作,并递增一个。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 | 下一个 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-import-initval: next |
2.1.81. nsslapd-errorlog
此属性设置日志的路径和文件名,用于记录 Directory Server 生成的错误消息。这些消息可能会描述错误条件,但它们通常包含信息性条件,例如:
- 服务器启动和关闭时间.
- 服务器使用的端口号。
此日志包含不同的信息量,具体取决于 Log Level 属性的当前设置。请参阅 第 2.1.83 节 “nsslapd-errorlog-level” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/errors |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled 配置属性必须在 上 切换到。表列出了这两个配置属性的四个可能值组合,以及它们的结果在禁用或启用错误日志方面的结果。
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | Enabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
2.1.82. nsslapd-errorlog-compress
默认情况下,目录服务器不会压缩错误日志。将 nsslapd-errorlog-compress 设置为 on,以便在目录服务器轮转日志时启用错误日志压缩。
您不需要重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-compress: on |
2.1.83. nsslapd-errorlog-level
此属性设置目录服务器的日志记录级别。日志级别是可添加的;即,指定值 3 包括级别 1 和 2。
nsslapd-errorlog-level 的默认值为 16384。
您不必重启服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 有关错误日志级别的完整列表,请参阅 错误日志记录级别。 |
| 默认值 | 16384 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-level: 8192 |
2.1.84. nsslapd-errorlog-list
此 read-only 属性提供错误日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
2.1.85. nsslapd-errorlog-logexpirationtime
此属性设置日志文件在删除前允许达到的最长期限。此属性仅提供单元数量。单位(天、每周、月份等)由 nsslapd-errorlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值为 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logexpirationtime: 1 |
2.1.86. nsslapd-errorlog-logexpirationtimeunit
此属性设置 nsslapd-errorlog-logexpirationtime 属性的单元。如果服务器未知单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logexpirationtimeunit: week |
2.1.87. nsslapd-errorlog-logging-enabled
打开和关闭错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logging-enabled: on |
2.1.88. nsslapd-errorlog-logmaxdiskspace
此属性设置允许错误日志使用的最大磁盘空间量,以 MB 为单位。如果超过这个值,则会删除最旧的错误日志。
当设置最大磁盘空间时,请考虑可能会因为日志文件轮转而创建的日志文件总数。另外,请记住,目录服务器维护三个不同的日志文件(访问日志、审计日志和错误日志),每个日志文件消耗磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示允许错误日志的磁盘空间的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
2.1.89. nsslapd-errorlog-logminfreediskspace
此属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间量低于此属性中指定的值时,将删除最旧的错误日志,直到释放足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 (unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logminfreediskspace: -1 |
2.1.90. nsslapd-errorlog-logrotationsync-enabled
此属性设定错误日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以在一天(例如每天午夜)的指定时间生成日志文件。这样可以更轻松地分析日志文件,因为它们然后直接映射到日历。
要使错误日志轮转与时间同步,必须使用 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性值设置为轮转日志文件的时间和分钟。
例如,要每天在午夜轮转错误日志文件,请通过在 上 将其值设置为,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性设为 0 来启用此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationsync-enabled: on |
2.1.91. nsslapd-errorlog-logrotationsynchour
此属性设置轮转错误日志的一天小时。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsynchour: 23 |
2.1.92. nsslapd-errorlog-logrotationsyncmin
此属性设置轮转错误日志的当天的分钟。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsyncmin: 30 |
2.1.93. nsslapd-errorlog-logrotationtime
此属性设置错误日志文件轮转之间的时间。此属性仅提供单元数量。单位(天、星期、月份等等)由 nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit)属性提供。
目录服务器在配置的时间间隔到期后,在第一次写入操作时轮转日志,而不考虑日志的大小。
虽然不建议指定日志轮转的性能原因,但随着日志无限期增长,但可以通过两种方式指定此功能。将 nsslapd-errorlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-errorlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-errorlog-maxlogsperdir 属性,如果此属性值大于 1,则服务器会检查 nsslapd-errorlog-logrotationtime 属性。请参阅 第 2.1.96 节 “nsslapd-errorlog-maxlogsperdir” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值为 -1 表示错误日志文件轮转之间的时间没有限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationtime: 100 |
2.1.94. nsslapd-errorlog-logrotationtimeunit
此属性设置 nsslapd-errorlog-logrotationtime (Error Log Rotation Time)的单元。如果服务器未知单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | week | day | hour | minute |
| 默认值 | week |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationtimeunit: day |
2.1.95. nsslapd-errorlog-maxlogsize
此属性以 MB 为单位设置最大错误日志大小。当达到这个值时,错误日志会被轮转,服务器开始向新日志文件写入日志信息。如果 nsslapd-errorlog-maxlogsperdir 设置为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑可能会因为日志文件轮转而创建的日志文件总数。另外,请记住,Directory 服务器维护五个不同的日志文件(访问日志、审计日志、审计日志、错误日志、安全日志),每个日志文件消耗磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到 32 位整数值(2147483647),其中值为 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsize: 100 |
2.1.96. nsslapd-errorlog-maxlogsperdir
此属性设置可包含在错误日志的目录中的错误日志总数。每次轮转错误日志时,都会创建一个新的日志文件。当错误日志目录中包含的文件数量超过此属性中存储的值时,会删除日志文件的最老版本。默认值为 1 日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增长。
如果此属性的值大于 1,请检查 nsslapd-errorlog-logrotationtime 属性来建立是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime 属性的值为 -1,则没有日志轮转。请参阅 第 2.1.93 节 “nsslapd-errorlog-logrotationtime” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsperdir: 10 |
2.1.97. nsslapd-errorlog-mode
此属性设置创建日志文件的访问模式或文件权限。有效值是 000 到 777 的组合,因为它们镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,数字因 0 到 7 的不同而有所不同:
- 0 - None
- 1 - 只执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读取和执行
- 6 - 读取和写入
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三个数字代表每个人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许每个人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式只会影响创建的新日志;当日志轮转到新文件时,会设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-mode: 600 |
2.1.98. nsslapd-external-libs-debug-enabled
要在目录服务器中启用第三方日志记录,请使用 nsslapd-external-libs-debug-enabled 属性。
libldap 和 libber 等库会执行错误和调试日志,但这些记录在 Directory Server 日志中不可用。当 nsslapd-external-libs-debug-enabled 属性设置为 on 时,目录服务器可以使用 libldap 和 libber 软件包提供的所有日志级别。
仅为调试目的启用 nsslapd-external-libs-debug-enabled 属性,因为它为所有操作生成详细的日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-external-libs-debug-enabled: off |
2.1.99. nsslapd-force-sasl-external
在建立 TLS 连接时,客户端会首先发送其证书,然后使用 SASL/EXTERNAL 机制发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器在 TLS 握手中使用证书中的凭证。但是,一些客户端在发送其 BIND 请求时不使用 SASL/EXTERNAL,因此目录服务器将绑定作为简单身份验证请求或匿名请求处理,并且 TLS 连接失败。
nsslapd-force-sasl-external 属性强制基于证书验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | 字符串 |
| 示例 | nsslapd-force-sasl-external: on |
2.1.100. nsslapd-groupevalnestlevel
此属性已弃用,在此处记录仅用于历史目的。
Access Control 插件不使用 nsslapd-groupevalnestlevel 属性指定的值来设置对组评估执行的嵌套级别数量。相反,嵌套的级别数量被硬编码为 5。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-groupevalnestlevel: 5 |
2.1.101. nsslapd-haproxy-trusted-ip
nsslapd-haproxy-trusted-ip 属性配置可信代理服务器列表。设置 nsslapd-haproxy-trusted-ip 时,目录服务器使用 HAProxy 协议通过额外的 TCP 标头接收客户端 IP 地址,以正确评估访问控制指令(ACI)并记录客户端流量。
如果不受信任的代理服务器启动绑定请求,Directory 服务器会拒绝请求,并将以下信息记录到错误日志文件中:
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-haproxy-trusted-ip: 127.0.0.1 |
2.1.102. nsslapd-idletimeout
此属性设置服务器关闭闲置 LDAP 客户端连接后的时间(以秒为单位)。0 表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当连接表被遍历时,会强制闲置超时,当 poll () 不返回零时。因此,具有单一连接的服务器永远不会强制执行空闲超时。
使用 nsIdleTimeout 操作属性(可添加到用户条目中)来覆盖分配给此属性的值。
对于具有数百万条目的大型数据库,此属性必须具有足够高的值,在线初始化过程可以完成或复制在与服务器超时时失败。或者,nsIdleTimeout 属性可以设置为用作供应商绑定 DN 的条目上的高值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-idletimeout: 3600 |
2.1.103. nsslapd-ignore-virtual-attrs
此参数允许在搜索条目中禁用虚拟属性查找。
如果不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ignore-virtual-attrs: on |
2.1.104. nsslapd-instancedir
此属性已弃用。现在,有单独的配置参数用于特定于实例的路径,如 nsslapd-certdir 和 nsslapd-lockdir。有关所设置的特定目录路径,请参阅文档。
2.1.105. nsslapd-ioblocktimeout
此属性设置与停滞 LDAP 客户端关闭后的时间(以毫秒为单位)。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) in ticks |
| 默认值 | 10000 |
| 语法 | 整数 |
| 示例 | nsslapd-ioblocktimeout: 10000 |
2.1.106. nsslapd-lastmod
此属性设置 Directory 服务器是否为新创建或更新的条目维护 creatorsName,createTimestamp,modifiersName, 和 modifyTimestamp 操作属性。
红帽建议不要禁用跟踪这些属性。如果禁用,条目不会获得 nsUniqueID 属性中分配的唯一 ID,复制不起作用。
您不必重启服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-lastmod: on |
2.1.107. nsslapd-ldapiautobind
nsslapd-ldapiautobind 设置服务器是否允许用户使用 LDAPI 自动绑定到目录服务器。Autobind 将系统用户的 UID 或 GUID 号映射到目录服务器用户,并根据这些凭证自动将用户验证到目录服务器。目录服务器连接通过 UNIX 套接字进行。
除了启用自动绑定外,配置 autobind 需要配置映射条目。nsslapd-ldapimaprootdn 将系统上的 root 用户映射到 Directory Manager。nsslapd-ldapimaptoentries 将常规用户映射到目录服务器用户,具体取决于 nsslapd-ldapiuidnumbertype,nsslapd-ldapigidnumbertype, 和 nsslapd-ldapientrysearchbase 属性中定义的参数。
只有启用了 LDAPI 时,才可启用 Autobind,即 nsslapd-ldapilisten 并且 nsslapd-ldapifilepath 属性设置为 LDAPI 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiautobind: off |
2.1.108. nsslapd-ldapientrysearchbase
通过自动绑定,可以根据系统用户的 UID 和 GUID 号将系统用户映射到目录服务器用户条目。这需要为 UID 号(nsslapd-ldapiuidnumbertype)和 GUID 号(nsslapd-ldapigidnumbertype)设置 Directory Server 参数,并设置搜索基础,用于搜索匹配的用户条目。
nsslapd-ldapientrysearchbase 提供子树来搜索用于 autobind 的用户条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | DN |
| 默认值 |
创建服务器实例时创建的后缀,如 |
| 语法 | DN |
| 示例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
2.1.109. nsslapd-ldapifilepath
LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。为了配置 LDAPI,服务器必须配置为通过 UNIX 套接字进行通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath 属性中设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录路径 |
| 默认值 | /var/run/dirsrv/slapd-example.socket |
| 语法 | case-exact 字符串 |
| 示例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
2.1.110. nsslapd-ldapigidnumbertype
Autobind 可用于系统用户自动向服务器验证服务器,并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户进行身份验证,系统用户的 UID 和 GUID 号应映射到目录服务器属性。nsslapd-ldapigidnumbertype 属性指向 Directory Server 属性,将系统 GUID 映射到用户条目。
如果启用了 LDAPI (nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind 被启用(nsslapd-ldapiautobind),并且为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries),并且为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录服务器属性 |
| 默认值 | gidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapigidnumbertype: gidNumber |
2.1.111. nsslapd-ldapilisten
nsslapd-ldapilisten 启用 LDAPI 连接到目录服务器。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了通过将 nsslapd-ldapilisten 设置为 on 来启用 LDAPI 外,nsslapd-ldapifilepath 属性中还必须为 LDAPI 设置 UNIX 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapilisten: on |
2.1.112. nsslapd-ldapimaprootdn
nsslapd-ldapimaprootdn 属性已弃用。使用 nsslapd-rootdn 参数将系统根条目映射到 root DN 条目。
使用 autobind 时,系统用户映射到目录服务器用户,然后通过 UNIX 套接字自动向目录服务器进行身份验证。
root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn 属性中指定的任何目录服务器条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | cn=Directory Manager |
| 语法 | DN |
| 示例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
2.1.113. nsslapd-ldapimaptoentries
使用 autobind 时,系统用户映射到目录服务器用户,然后通过 UNIX 套接字自动向目录服务器进行身份验证。这个映射对 root 用户自动进行,但必须通过 nsslapd-ldapimaptoentries 属性为常规系统用户启用它。将此属性设置为 on,为常规系统用户启用到目录服务器条目的映射。如果没有启用此属性,则只有 root 用户可以使用 autobind 对目录服务器进行身份验证,所有其他用户则匿名连接。
映射本身通过 nsslapd-ldapiuidnumbertype 和 nsslapd-ldapigidnumbertype 属性进行配置,这会将目录服务器属性映射到用户的 UID 和 GUID 号。
如果启用了 LDAPI (nsslapd-ldapilisten 和 nsslapd-ldapifilepath),并且启用了 autobind (nsslapd-ldapiautobind),用户只能连接到具有 autobind 的服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapimaptoentries: on |
2.1.114. nsslapd-ldapiuidnumbertype
Autobind 可用于系统用户自动向服务器验证服务器,并使用 UNIX 套接字连接到服务器。要将系统用户映射到目录服务器用户进行身份验证,系统用户的 UID 和 GUID 号必须映射到目录服务器属性。nsslapd-ldapiuidnumbertype 属性指向 Directory Server 属性,将系统 UID 映射到用户条目。
如果启用了 LDAPI (nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind 被启用(nsslapd-ldapiautobind),并且为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries),并且为常规用户启用了 autobind 映射(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录服务器属性 |
| 默认值 | uidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiuidnumbertype: uidNumber |
2.1.115. nsslapd-ldifdir
在使用 db2ldif 或 db2ldif.pl 时,目录服务器以 LDAP 数据交换格式(LDIF)格式将文件导出到此参数中设置的目录。该目录必须由 Directory Server 用户和组所有。只有此用户和组必须在这个目录中具有读写访问权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory 服务器用户可写入的任何目录 |
| 默认值 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
2.1.116. nsslapd-listen-backlog-size
此属性设置套接字连接 backlog 的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置套接字队列(sockfd)在拒绝连接前可以增长的最大长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 最大 64 位整数值(9223372036854775807) |
| 默认值 | 128 |
| 语法 | 整数 |
| 示例 | nsslapd-listen-backlog-size: 128 |
2.1.117. nsslapd-listenhost
此属性允许多个目录服务器实例在多主目录计算机上运行(或者,可以限制侦听多主目录计算机的一个接口)。可能存在多个与单个hos tname 关联的 IP 地址,这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将 Directory 服务器实例限制为单个 IP 接口。
如果为主机名提供 nsslapd-listenhost 值,则目录服务器会响应与主机名关联的每个接口的请求。如果给出一个 IP 接口(IPv4 或 IPv6)作为 nsslapd-listenhost 值,目录服务器只响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重启服务器才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-listenhost: ldap.example.com |
2.1.118. nsslapd-localhost
此属性指定目录服务器在其上运行的主机机器。此属性创建组成 MMR 协议一部分的引用 URL。在带有故障转移节点的高可用性配置中,引用应指向集群的虚拟名称,而不是本地主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何完全限定主机名。 |
| 默认值 | 安装的机器的主机名。 |
| 语法 | DirectoryString |
| 示例 | nsslapd-localhost: phonebook.example.com |
2.1.119. nsslapd-localssf
nsslapd-localssf 参数为 LDAPI 连接设置安全强度因子(SSF)。只有 nsslapd-localssf 中设置的值大于或等于 nsslapd-minssf 参数中设置的值时,目录服务器才允许 LDAPI 连接。因此,LDAPI 连接满足 nsslapd-minssf 中设置的最小 SSF。
您不必重启服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 71 |
| 语法 | 整数 |
| 示例 | nsslapd-localssf: 71 |
2.1.120. nsslapd-localuser
此属性将用户设置为目录服务器运行。用户运行的组派生自此属性的组,方法是检查用户的主组。如果用户更改,那么此实例的所有特定文件和目录都需要使用 chown 等工具更改为由新用户所有。
在配置服务器实例时,首先设置 nsslapd-localuser 的值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的用户 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-localuser: dirsrv |
2.1.121. nsslapd-lockdir
这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-实例。对这个值的更改不会生效,直到服务器重启为止。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 由服务器用户 ID 拥有的目录的绝对路径,其对服务器 ID 具有写入访问权限 |
| 默认值 | /var/lock/dirsrv/slapd-instance |
| 语法 | DirectoryString |
| 示例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
2.1.122. nsslapd-logging-hr-timestamps-enabled
控制日志是否使用高分辨率时间戳和纳秒精度,或使用带有一秒精度的标准解析时间戳。默认启用此选项。将这个选项设置为 off,将日志时间戳恢复为一秒精度。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
|
| 默认值 |
|
| 语法 | DirectoryString |
| 示例 | nsslapd-logging-hr-timestamps-enabled: on |
2.1.123. nsslapd-malloc-mmap-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 文件中设置它们。详情请查看 systemd.exec(3) man page。
/etc/sysconfig/dirsrv -instance_name
nsslapd-malloc-mmap-threshold 参数可让您在 Directory Server 配置中设置值,而不是手动编辑服务文件来设置 M_MMAP_THRESHOLD 环境变量。详情请查看 mallopt(3)手册页中的 M_MMAP_THRESHOLD 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 33554432 |
| 默认值 |
请参阅 mallopt(3)手册页中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mmap-threshold: 33554432 |
2.1.124. nsslapd-malloc-mxfast
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 文件中设置它们。详情请查看 systemd.exec(3) man page。
/etc/sysconfig/dirsrv -instance_name
nsslapd-malloc-mxfast 参数允许您设置目录服务器配置中的值,而不是手动编辑服务文件来设置 M_MXFAST 环境变量。详情请查看 mallopt(3) man page 中的 M_MXFAST 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 80 * (sizeof(size_t) / 4) |
| 默认值 |
请参阅 mallopt(3) man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mxfast: 1048560 |
2.1.125. nsslapd-malloc-trim-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则环境变量不会传递给服务器,除非您在 文件中设置它们。详情请查看 systemd.exec(3) man page。
/etc/sysconfig/dirsrv -instance_name
nsslapd-malloc-trim-threshold 参数可让您在 Directory Server 配置中设置值,而不是手动编辑服务文件来设置 M_TRIM_THRESHOLD 环境变量。详情请查看 mallopt(3) man page 中的 M_TRIM_THRESHOLD 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 2^31-1 |
| 默认值 |
请参阅 mallopt(3)手册页中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-trim-threshold: 131072 |
2.1.126. nsslapd-maxbersize
定义传入消息允许的最大大小(以字节为单位)。这限制了目录服务器可处理的 LDAP 请求大小。限制请求大小可防止某种形式拒绝服务攻击。
限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 2GB (2,147,483,647 字节)
零 |
| 默认值 | 2097152 |
| 语法 | 整数 |
| 示例 | nsslapd-maxbersize: 2097152 |
2.1.127. nsslapd-maxdescriptors
nsslapd-maxdescriptors 属性设置目录服务器可以使用的最大平台依赖文件描述符数。当客户端连接到服务器以及某些服务器活动(如索引维护)时,都会使用文件描述符。文件描述符也供日志文件、数据库文件(索引和事务日志)使用,作为到其他服务器的套接字,以进行复制和链的传出连接。
用于 TCP/IP 用于服务客户端连接的描述符数量等于 nsslapd-maxdescriptors 属性减去 nsslapd-reservedescriptors 属性决定的非客户端连接的文件描述符数量。如需了解更多详细信息,请参阅 nsslapd-reservedescriptors。
您为 nsslapd-maxdescriptors 属性设置的数量不能大于操作系统允许 ns-slapd 进程使用的文件描述符总数。这个数字因操作系统而异。有关文件描述符限制和配置的详情,请查看操作系统文档。您可以使用 dsktune 程序建议对系统内核或 TCP/IP 调优属性的更改。
如果您设置了 nsslapd-maxdescriptors 属性的值过高,Directory 服务器会查询操作系统以获得最大允许值,然后使用这个值。目录服务器也会在错误日志中发出警告。如果您使用 ldapmodify 远程设置无效的值,服务器会拒绝新值,保留旧值,并返回错误。
如果 Directory 服务器拒绝连接,请增加 nsslapd-maxdescriptors 属性值,因为它没有文件描述符,并将以下信息写入 Directory Server 错误日志文件中:
Not listening for new connections -- too many fds open
UNIX shell 通常对文件描述符数量有可配置的限制。有关 限制和 ulimit 的更多信息,请参阅操作系统文档,因为这些限制通常会导致问题。
您必须重启服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 依赖操作系统 |
| 默认值 | 1048576.服务器在其上运行的操作系统的文件描述符限制 |
| 语法 | 整数 |
| 示例 | nsslapd-maxdescriptors: 64000 |
2.1.128. nsslapd-maxsasliosize
当用户通过 SASL GSS-API 向目录服务器进行身份验证时,服务器必须为客户端分配一定数量的内存来执行 LDAP 操作,具体取决于客户端请求的内存量。攻击者可能会发送此类大型数据包大小,它会使目录服务器崩溃或将其无限绑定,作为拒绝服务攻击的一部分。
使用 nsslapd-maxsasliosize 属性可以限制目录服务器允许 SASL 客户端的数据包大小。此属性设置服务器将接受的最大允许 SASL IO 数据包大小。
当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize 限制时,服务器会立即断开客户端,并将信息记录到错误日志中,以便管理员根据需要调整设置。
此属性值以字节为单位指定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | * -1 (无限)到最大 32 位整数值(2147483647) * -1 (unlimited)到 64 位系统上最大 64 位整数值(9223372036854775807) |
| 默认值 | 2097152 (2MB) |
| 语法 | 整数 |
| 示例 | nsslapd-maxsasliosize: 2097152 |
2.1.129. nsslapd-maxthreadsperconn
定义连接应使用的最大线程数。对于客户端绑定的正常操作,且仅在未绑定前执行一个或多个操作,请使用默认值。对于客户端绑定和同时发出多个请求的情况,请增加这个值以允许每个连接有足够的资源来执行所有操作。此属性无法从服务器控制台获得。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 threadnumber |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-maxthreadsperconn: 5 |
2.1.130. nsslapd-minssf
安全强度因素是 根据连接关键强度的相对衡量方式。SSF 决定 TLS 或 SASL 连接的安全程度。nsslapd-minssf 属性为服务器的任何连接设置最小 SSF 要求;任何比最小 SSF 更弱的连接尝试都会被拒绝。
TLS 和 SASL 连接可以在与目录服务器的连接中混合使用。这些连接通常具有不同的 SSF。两个 SSF 的更高用于与最低 SSF 要求进行比较。
将 SSF 值设置为 0 表示没有最小设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0 (off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf: 128 |
2.1.131. nsslapd-minssf-exclude-rootdse
安全强度因素是 根据连接关键强度的相对衡量方式。SSF 决定 TLS 或 SASL 连接的安全程度。
nsslapd-minssf-exclude-rootdse 属性为任何与服务器的连接设置最小 SSF 要求,除了查询 root DSE。这对大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取服务器配置所需的信息,而无需首先建立安全连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0 (off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf-exclude-rootdse: 128 |
2.1.132. nsslapd-moddn-aci
此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-moddn-aci: on |
2.1.133. nsslapd-nagle
当此属性的值为 off 时,会设置 TCP_NODELAY 选项,以便 LDAP 响应(如条目或结果消息)立即发送到客户端。当属性打开时,会应用默认的 TCP 行为;特别是,发送数据会延迟,以便可将额外的数据分组到底层网络 MTU 大小的一个数据包中,通常为以太网的 1500 字节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-nagle: off |
2.1.134. nsslapd-ndn-cache-enabled
规范化可区分名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,Directory 服务器会在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size 参数,以设置此缓存的最大大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ndn-cache-enabled: on |
2.1.135. nsslapd-ndn-cache-max-size
规范化可区分名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,Directory 服务器会在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size 参数设置此缓存的最大大小。
如果请求的 DN 尚未缓存,它将被规范化并添加。当超过缓存大小限制时,目录服务器会从缓存中删除最近使用的 10,000 DN。但是,至少 10,000 个 DN 会被缓存。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 20971520 |
| 语法 | 整数 |
| 示例 | nsslapd-ndn-cache-max-size: 20971520 |
2.1.136. nsslapd-outbound-ldap-io-timeout
此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000 毫秒(5 分钟)。值 0 表示服务器不会对 I/O 等待时间施加限制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 300000 |
| 语法 | DirectoryString |
| 示例 | nsslapd-outbound-ldap-io-timeout: 300000 |
2.1.137. nsslapd-pagedsizelimit
此属性设置从搜索操作返回的最大条目数,特别是使用简单页面的结果控制。这会覆盖 paged 搜索的 nsslapd-sizelimit 属性。
如果这个值为零,则使用 nsslapd-sizelimit 属性进行分页搜索和非页搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsslapd-pagedsizelimit: 10000 |
2.1.138. nsslapd-plug-in
此只读属性列出了插件条目的 DN,用于服务器加载的语法和匹配的规则插件。
2.1.139. nsslapd-plugin-binddn-tracking
将用于操作的绑定 DN 设置为条目的修饰符,即使操作本身是由服务器插件启动的。执行操作的特定插件列在单独的操作属性 internalModifiersname 中。
一个更改可以触发目录树中的其他自动更改。例如,当删除用户时,该用户会自动从其所属的任何组中删除,这些组通过引用完整性插件自动移除。用户的初始删除由与服务器绑定的任何用户帐户执行,但对组(默认)的更新显示为由插件执行的,不显示有关哪个用户启动该更新的信息。nsslapd-plugin-binddn-tracking 属性允许服务器跟踪哪个用户源自更新操作,以及实际执行它的内部插件。例如:
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
此属性默认为禁用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-binddn-tracking: on |
2.1.140. nsslapd-plugin-logging
默认情况下,即使将访问日志记录设置为记录内部操作,插件内部操作也不会记录在访问日志文件中。您可以使用此参数在全局范围内启用日志记录,而不是在每个插件配置中启用日志记录。
启用后,插件会使用此全局设置,并在启用时记录访问和审计事件。
如果启用了 nsslapd-plugin-logging,并且 nsslapd-accesslog-level 设置为记录内部操作,未索引的搜索和其他内部操作会记录到访问日志文件中。
如果没有设置 nsslapd-plugin-logging,则插件中的未索引搜索仍然记录在 Directory Server 错误日志中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-logging: off |
2.1.141. nsslapd-port
此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS,请使用 Start TLS 扩展操作。这个所选端口在主机系统中必须是唯一的;确保其他应用程序不会尝试使用相同的端口号。指定小于 1024 的端口号表示目录服务器必须以 root 用户身份启动。
服务器在启动时将其 uid 设置为 nsslapd-localuser 值。在更改配置目录的端口号时,必须更新配置目录中对应的服务器实例条目。
必须重新启动服务器,才能考虑端口号更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 65535 |
| 默认值 | 389 |
| 语法 | 整数 |
| 示例 | nsslapd-port: 389 |
如果启用了 LDAPS 端口,将端口号设为0以禁用 LDAP 端口。
2.1.142. nsslapd-privatenamespaces
此 read-only 属性包含私有命名上下文 cn=config、cn=schema 和 cn=monitor 的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | cn=config, cn=schema, 和 cn=monitor |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-privatenamespaces: cn=config |
2.1.143. nsslapd-pwpolicy-inherit-global
如果没有设置精细的密码语法,即使配置了全局密码语法,也不会检查新的或更新的密码。要继承全局细粒度密码语法,请在 上 将此属性设置为。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-inherit-global: off |
2.1.144. nsslapd-pwpolicy-local
打开和关闭细粒度(subtree- 和用户级)密码策略。
如果此属性的值为 off,则目录中所有条目( cn=Directory Manager除外)都受到全局密码策略的影响;服务器会忽略任何定义的子树/用户级别密码策略。
如果此属性在 上具有,则服务器会在子树和用户级别检查密码策略并强制实施这些策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-local: off |
2.1.145. nsslapd-readonly
此属性设置整个服务器是否处于只读模式,这意味着不可修改数据库或配置信息中的数据。任何尝试以只读模式修改数据库会返回一个错误,表示服务器不会执行该操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-readonly: off |
2.1.146. nsslapd-referral
这个多值属性指定当服务器接收不属于本地树的条目请求时,后缀返回的 LDAP URL。也就是说,后缀与任何后缀属性上指定的值不匹配。例如,假设服务器仅包含条目:
ou=People,dc=example,dc=com
但是请求用于此条目:
ou=Groups,dc=example,dc=com
在这种情况下,引用将传递回客户端,以便 LDAP 客户端找到包含请求条目的服务器。虽然每个目录服务器实例只允许一个引用,但这个引用可以有多个值。
要使用 TLS 通信,引用属性应采用 ldaps://server-location 的形式。
启动 TLS 不支持引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
2.1.147. nsslapd-referralmode
设置后,此属性会返回任何后缀上任何请求的引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referralmode: ldap://ldap.example.com |
2.1.148. nsslapd-require-secure-binds
这个参数要求用户通过 TLS、StartTLS 或 SASL 等受保护的连接验证目录,而不是常规连接。
这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成,即使启用了 nsslapd-require-secure-binds。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-secure-binds: on |
2.1.149. nsslapd-requiresrestart
此参数列出在修改后需要重启服务器的其他核心配置属性。这意味着,如果 nsslapd-requiresrestart 中列出的任何属性已更改,则新设置在服务器重启后不会生效。属性列表可在 ldapsearch 中返回:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
此属性是多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何核心服务器配置属性 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-requiresrestart: nsslapd-cachesize |
2.1.150. nsslapd-reservedescriptors
nsslapd-reservedescriptors 属性指定目录服务器为管理非客户端连接而保留的文件描述符数量,如索引管理和管理复制。
您不需要为大多数目录服务器安装更改 nsslapd-reservedescriptors 属性值。但是,如果以下所有都为 true,请考虑在此属性上增加值:
- 服务器复制到大量消费者服务器(超过 10 个),或者服务器维护大量索引文件(超过 30 个)。
- 服务器服务了大量 LDAP 连接。
- 错误消息报告服务器无法打开文件描述符(实际错误消息因服务器尝试执行的操作而异,但这些错误消息与管理客户端 LDAP 连接 无关。
如果您增大此属性的值,则更多 LDAP 客户端可能无法访问该目录。除了增加 nsslapd-reservedescriptors 值外,还必须增加 nsslapd-maxdescriptors 属性的值。如果服务器已使用操作系统允许进程使用的最大文件描述符数,则可能无法增加 nsslapd-maxdescriptors 值。如果出现这种情况,则通过导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。详情请查看操作系统文档和 nsslapd-maxdescriptors 属性描述。
要协助计算为 nsslapd-reservedescriptors 属性设置的文件描述符数量,请使用以下公式:
nsslapd-reservedescriptor = 20 + (pass:quotes[NldbmBackends] * 4) + pass:quotes[NglobalIndex] + pass:quotes[ReplicationDescriptor] + pass:quotes[ChainingBackendDescriptors] + pass:quotes[PTADescriptors] + pass:quotes[SSLDescriptors]
- NldbmBackends 是 ldbm 数据库的数量。
- NglobalIndex 是所有数据库配置的索引的总数,包括系统索引。(默认为 8 个系统索引和每个数据库 17 个额外的索引)。
- 复制描述符 是 8 (8),以及服务器中可以充当供应商或中心的副本数(NSupplierReplica)。
-
ChainingBackendDescriptors 是 NchainingBackend times the nsOperationConnectionsLimit (一个 chaining 或 database link configuration 属性,默认为
10)。 -
如果尚未配置 PTA,则 PTADescriptors 为
3;如果尚未配置 PTA,则 PTADescriptors 为 0。 -
如果配置了 TLS,则 SSLDescriptors 为
5 (4 文件 + 1 listensocket),如果未配置 TLS,则为 0。
重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 64 |
| 语法 | 整数 |
| 示例 | nsslapd-reservedescriptors: 64 |
2.1.151. nsslapd-return-exact-case
返回客户端请求的属性类型名称的确切情况。虽然 LDAPv3 兼容客户端必须忽略属性名称的情况,但有些客户端应用程序需要属性名称来完全匹配属性的大小,因为它在 Directory Server 返回属性时列在 schema 中,作为搜索或修改操作的结果。但是,大多数客户端应用程序会忽略属性的情况;因此,默认情况下,此属性被禁用。不要修改它,除非有传统客户端可以检查从服务器返回的属性名称时。
必须重启服务器才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-return-exact-case: off |
2.1.152. nsslapd-return-original-entrydn
使用 nsslapd-return-original-entrydn 参数来管理目录服务器在搜索操作期间如何将可分辨名称(DN)返回给客户端应用程序。
当在 上将 nsslapd-return-original-entrydn 参数设置为 时,目录服务器通过获取操作属性 dsEntryDN 的值来返回它最初添加到数据库中的方式。因此,如果您添加或修改了条目 uid=User,ou=PEople,dc=ExaMPlE,DC=COM, Directory Server 返回相同的 DN uid=User,ou=PEople,dc=ExaMPlE,DC=COM。
当 nsslapd-return-original-entrydn 参数设置为 off 时,目录服务器会通过将条目和基本 DN 的 Relative DN (RDN)放在一起来生成条目 DN。目录服务器将条目的基本 DN 存储在 cn=userroot,cn=ldbm database,cn=plugins,cn=config 下的数据库后缀配置中,操作属性 nsslapd-suffix。因此,如果您添加了一个 uid=User,ou=PEople,dc=ExaMPlE,DC=COM 条目,但基本 DN 为 ou=people,dc=example,dc=com,则目录服务器在搜索过程中返回 uid=User,ou=people,dc=example,dc=com。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-return-original-entrydn: on |
2.1.153. nsslapd-rewrite-rfc1274
此属性已弃用,并将在以后的版本中删除。
此属性仅用于需要属性类型通过 RFC 1274 名称返回的 LDAPv2 客户端。为这些客户端将 的值设为 on。默认值为 off。
2.1.154. nsslapd-rootdn
此属性设置条目的可分辨名称(DN),不受到访问控制限制、对目录操作的管理限制或常规资源限制。不需要与此 DN 对应的条目,默认情况下,这个 DN 没有条目,因此接受 cn=Directory Manager 等值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的可分辨名称 |
| 默认值 | |
| 语法 | DN |
| 示例 | nsslapd-rootdn: cn=Directory Manager |
2.1.155. nsslapd-rootpw
此属性设置与 Manager DN 关联的密码。当提供 root 密码时,它会根据为 nsslapd-rootpwstoragescheme 属性选择的加密方法进行加密。从服务器控制台查看时,此属性显示值 *。从 dse.ldif 文件查看时,此属性显示加密方法,后跟密码的加密字符串。示例显示 dse.ldif 文件中显示的密码,而不是实际密码。
当在服务器设置时配置根 DN 时,需要一个 root 密码。但是,可以通过直接编辑 文件,从 dse.ldif 中删除 root 密码。在这种情况下,根 DN 只能获得对该目录的相同访问,才能进行匿名访问。当为数据库配置了根 DN 时,始终确保在 dse.ldif 中定义 root 密码。pwdhash 命令行工具可以创建新的 root 密码。
从命令行重置目录管理器的密码时,请勿在 密码中使用大括号({})。root 密码以 {password-storage-scheme}hashed_password 格式保存。大括号中的任何字符都由服务器解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案,或者未正确哈希后的密码,则 Directory Manager 无法绑定到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的密码,由 第 6.3.44 节 “密码存储方案” 描述的任何加密方法加密。 |
| 默认值 | |
| 语法 | DirectoryString {encryption_method }encrypted_Password |
| 示例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
2.1.156. nsslapd-rootpwstoragescheme
此属性设定用于加密 nsslapd-rootpw 属性中存储的目录服务器管理器密码的方法。详情请查看 第 6.3.44 节 “密码存储方案”。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 请参阅 第 6.3.44 节 “密码存储方案”。 |
| 默认值 | PBKDF2-SHA512 |
| 语法 | DirectoryString |
| 示例 | nsslapd-rootpwstoragescheme: PBKDF2-SHA512 |
2.1.157. nsslapd-rundir
此参数设置目录服务器在其中存储运行时信息的目录的绝对路径,如 PID 文件。该目录必须由 Directory Server 用户和组所有。只有此用户和组必须在这个目录中具有读写访问权限。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory 服务器用户可写入的任何目录 |
| 默认值 | /var/run/dirsrv/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-rundir: /var/run/dirsrv/ |
2.1.158. nsslapd-sasl-mapping-fallback
默认情况下,只检查第一个匹配的 SASL 映射。如果这个映射失败,则绑定操作也会失败,即使还有其他匹配的映射可能已经正常工作。SASL 映射回退将持续检查所有匹配的映射。
您不必重启服务器才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-sasl-mapping-fallback: off |
2.1.159. nsslapd-sasl-max-buffer-size
此属性设置最大 SASL 缓冲区大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 67108864 (64 KB) |
| 语法 | 整数 |
| 示例 | nsslapd-sasl-max-buffer-size: 67108864 |
2.1.160. nsslapd-saslpath
设置包含 Cyrus-SASL SASL2 插件的目录的绝对路径。设置此属性可让服务器使用自定义或非标准 SASL 插件库。这通常在安装过程中正确设置,红帽强烈建议不要更改此属性。如果属性不存在或者值为空,这意味着目录服务器使用系统提供的 SASL 插件库,它们是正确的版本。
如果设置了此参数,服务器将使用指定的路径来加载 SASL 插件。如果没有设置此参数,服务器将使用 SASL_PATH 环境变量。如果没有设置 nsslapd-saslpath 或 SASL_PATH,服务器将从默认位置加载 SASL 插件 /usr/lib/sasl2。
对此属性所做的更改不会生效,直到服务器重启为止。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 插件目录的路径。 |
| 默认值 | 依赖平台 |
| 语法 | DirectoryString |
| 示例 | nsslapd-saslpath: /usr/lib/sasl2 |
2.1.161. nsslapd-schemacheck
此属性设置在添加或修改条目时是否强制实施数据库模式。当此属性的值为 时,目录服务器不会检查现有条目的架构,直到它们被修改为止。数据库架构定义数据库中允许的信息类型。默认架构可以使用对象类和属性类型扩展。
红帽强烈建议不要关闭模式检查。这可能导致严重的互操作性问题。这通常用于必须导入到目录服务器中的非常旧的或非标准 LDAP 数据。如果没有大量具有此问题的条目,请考虑在这些条目中使用 scalableObject 对象类来根据每个条目禁用 schema 检查。
在使用 LDAP 客户端进行数据库修改时,架构检查默认可以正常工作,如 ldapmodify,或使用 ldif2db 从 LDIF 导入数据库。如果关闭了 schema 检查,则必须手动验证每个条目,以查看它们是否符合该架构。如果打开了架构检查,服务器会发送一条错误消息,其中列出了与架构不匹配的条目。确保 LDIF 语句中创建的属性和对象类都正确拼写,并在 dse.ldif 中识别。在 schema 目录中创建 LDIF 文件,或将元素添加到 99user.ldif。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemacheck: on |
2.1.162. nsslapd-schemadir
这是包含特定于 Directory 服务器实例模式文件的目录的绝对路径。当服务器启动时,它会从这个目录中读取模式文件,以及通过 LDAP 工具修改模式时,会更新此目录中的模式文件。该目录必须由服务器用户 ID 所有,并且该用户必须具有目录的读写权限。
对此属性所做的更改不会生效,直到服务器重启为止。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | /etc/dirsrv/instance_name/schema |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
2.1.163. nsslapd-schema-ignore-trailing-spaces
忽略对象类名称中的结尾空格。默认情况下关闭属性。如果目录包含以一个或多个空格结尾的对象类值的条目,请打开此属性。最好删除尾部空格,因为 LDAP 标准不允许它们。
出于性能原因,需要重新启动服务器才能使更改生效。
当包含尾部空格的对象类添加到条目时,默认会返回一个错误。另外,在添加、修改和导入等操作期间(当对象类扩展并且添加缺失的优越时),忽略尾随空格(如果适用)。这意味着,即使 nsslapd-schema-ignore-trailing-spaces 位于,即使 top 已有值(如 top )不会被添加。如果找不到对象类并且包含尾随空格,则会记录错误消息并返回到客户端。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-schema-ignore-trailing-spaces: on |
2.1.164. nsslapd-schemamod
在线模式修改需要锁定保护,这会影响性能。如果禁用了模式修改,将此参数设置为 off 可以提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemamod: on |
2.1.165. nsslapd-schemareplace
决定在 cn=schema 条目中是否允许替换属性值的操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off | replication-only |
| 默认值 | replication-only |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemareplace: replication-only |
2.1.166. nsslapd-search-return-original-type-switch
如果传递给搜索的属性列表包含空格,后接其他字符,则同一字符串将返回到客户端。例如:
# ldapsearch -b <basedn> "(filter)" "sn someothertext" dn: <matched dn> sn someothertext: <sn>
这个行为默认为禁用,但可使用此配置参数启用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-search-return-type-switch: off |
2.1.167. nsslapd-securelistenhost
此属性允许多个目录服务器实例在多主目录计算机上运行(或者,可以限制侦听多主目录计算机的一个接口)。单个主机名可以有多个 IP 地址,这些 IP 地址可以是 IPv4 和 IPv6 的组合。这个参数可用于将 Directory 服务器实例限制为单个 IP 接口;此参数还特别设定用于 TLS 流量的接口,而不是常规 LDAP 连接。
如果为主机名提供 nsslapd-securelistenhost 值,则目录服务器会响应与主机名关联的每个接口的请求。如果给出一个 IP 接口(IPv4 或 IPv6)作为 nsslapd-securelistenhost 值,目录服务器只响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重启服务器才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何安全主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-securelistenhost: ldaps.example.com |
2.1.168. nsslapd-securePort
此属性设置用于 TLS 通信的 TCP/IP 端口号。这个所选端口在主机系统中必须是唯一的;确保其他应用程序不会尝试使用相同的端口号。指定小于 1024 的端口号要求以 root 用户身份启动目录服务器。服务器在启动时将其 uid 设置为 nsslapd-localuser 值。
如果服务器配置了私钥和证书,并且 nsslapd-security 设置为 on,则服务器才会侦听此端口。否则,它不会侦听此端口。
必须重新启动服务器,才能考虑端口号更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 636 |
| 语法 | 整数 |
| 示例 | nsslapd-securePort: 636 |
2.1.169. nsslapd-securitylog-compress
目录服务器默认压缩轮转的安全日志。使用 nsslapd-securitylog-compress 属性来管理安全日志文件压缩。
您不需要重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-securitylog-compress: on |
2.1.170. nsslapd-security
此属性设置目录服务器是否接受其加密端口上的 TLS 通信。此属性应设置为 上的,以进行安全连接。要使用安全性运行,除了其他 TLS 配置外,还必须使用私钥和服务器证书配置服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-security: off |
2.1.171. nsslapd-securitylog
nsslapd-securitylog 属性设置专用安全日志的路径和文件名,该日志记录身份验证攻击、授权问题、DOS/TCP 攻击和其他安全事件。
要启用安全日志记录,nsslapd-securitylog 属性必须具有有效的路径,并且 nsslapd-securitylog-logging-enabled 配置属性必须在 上 设置为。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance_name/security |
| 语法 | DirectoryString |
| 示例 | nsslapd-securitylog: /var/log/dirsrv/slapd-instance_name/security |
2.1.172. nsslapd-securitylog-list
nsslapd-securitylog-list 属性提供安全日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-securitylog-list: securitylog2,securitylog3 |
2.1.173. nsslapd-securitylog-logbuffering
当设置为 off 时,服务器会将所有安全日志条目直接写入磁盘。使用缓冲时,即使负载过重,服务器也使用安全日志,而不影响性能。但是,在调试时,禁用缓冲区以查看操作及其结果,而不必等待日志条目刷新到文件中。禁用日志缓冲可能会严重影响大量载入的服务器的性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-security-logbuffering: on |
2.1.174. nsslapd-securitylog-logging-enabled
nsslapd-securitylog-logging-enabled 属性打开和关闭安全日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-security-logging-enabled: on |
2.1.175. nsslapd-securitylog-logexpirationtime
nsslapd-securitylog-logexpirationtime 属性设置安全日志文件的最长时间,然后再删除它。
当 nsslapd-securitylog-logexpirationtime 属性提供单元(如 day, week, month 等)时,nsslapd-securitylog-logexpirationtimeunit 属性才会提供单元 的数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值为 -1 或 0 表示日志永不过期。 |
| 默认值 | 12 |
| 语法 | 整数 |
| 示例 | nsslapd-securitylog-logexpirationtime: 12 |
2.1.176. nsslapd-securitylog-logexpirationtimeunit
nsslapd-securitylog-logexpirationtimeunit 属性设置 nsslapd-securitylog-logexpirationtime 属性的单位。如果您没有为安全日志最长年龄指定单元,或者服务器无法识别该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-securitylog-logexpirationtimeunit: week |
2.1.177. nsslapd-securitylog-logminfreediskspace
nsslapd-securitylog-logminfreediskspace 属性以 MB 为单位设置允许的最小可用磁盘空间。当可用磁盘空间的数量低于此属性中指定的值时,服务器会删除最旧的安全日志,直到出现足够的磁盘空间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-securitylog-logminfreediskspace: 5 |
2.1.178. nsslapd-securitylog-logrotationsync-enabled
nsslapd-securitylog-logrotationsync-enabled 属性设置安全日志轮转是否与一天的特定时间同步。以这种方式同步日志轮转,可以在一天(例如每天午夜)的指定时间生成日志文件。这样可以更轻松地分析日志文件,因为它们然后直接映射到日历。
要使安全日志轮转与时间同步,您必须启用 nsslapd-securitylog-logrotationsync-enabled 属性以及配置的 nsslapd-securitylog-logrotationsynchour 和 nsslapd-securitylog-logrotationsyncmin 属性。
例如,要在每天午夜轮转安全日志文件,请通过在 上 将其值设置为,然后将 nsslapd-securitylog-logrotationsynchour 和 nsslapd-securitylog-logrotationsyncmin 属性设为 0 来启用此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-securitylog-logrotationsync-enabled: off |
2.1.179. nsslapd-securitylog-logrotationsynchour
nsslapd-securitylog-logrotationsynchour 属性设置安全日志轮转一天的小时。您必须将属性与 nsslapd-securitylog-logrotationsync-enabled 和 nsslapd-securitylog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-securitylog-logrotationsynchour: 23 |
2.1.180. nsslapd-securitylog-logrotationsyncmin
nsslapd-securitylog-logrotationsyncmin 属性设置轮转安全日志的当天的分钟。您必须将属性与 nsslapd-securitylog-logrotationsync-enabled 和 nsslapd-securitylog-logrotationsynchour 属性结合使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-securitylog-logrotationsyncmin: 30 |
2.1.181. nsslapd-securitylog-logrotationtime
nsslapd-securitylog-logrotationtime 属性设置安全日志文件轮转之间时间的单位 数。使用另一个配置属性 nsslapd-securitylog-logrotationtimeunit 设置单位(天、每周、月份和其他)。
如果 nsslapd-securitylog-maxlogsperdir 属性设置为 1,服务器会忽略 nsslapd-securitylog-logrotationtime 属性。
目录服务器在配置的时间间隔到期后,在第一次写入操作时轮转日志,而不考虑日志的大小。
您可以使用两种方式指定 没有日志轮转 策略。将 nsslapd-securitylog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-securitylog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-securitylog-maxlogsperdir 属性,如果属性值大于 1,则服务器会检查 nsslapd-securitylog-logrotationtime 属性。请参阅 第 2.1.171 节 “nsslapd-securitylog” 了解更多信息。
使用 日志轮转 策略会使日志无限期增长,并可能会影响服务器性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647)。-1 值表示安全日志文件轮转之间的时间没有限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-securitylog-logrotationtime: 5 |
2.1.182. nsslapd-securitylog-logrotationtimeunit
nsslapd-securitylog-logrotationtimeunit 属性设置 nsslapd-securitylog-logrotationtime (安全日志轮转时间) 的单位。如果您没有为安全日志轮转策略指定单元,或者服务器无法识别该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | month | week | day | hour | minute |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-securitylog-logrotationtimeunit: week |
2.1.183. nsslapd-securitylog-maxlogsize
nsslapd-securitylog-maxlogsize 属性以 MB 为单位设置最大安全日志大小。当达到属性值时,Directory 服务器会轮转安全日志,并开始将日志信息写入新日志文件。如果将 nsslapd-securitylog-maxlogsperdir 设置为 1,服务器会忽略 nsslapd-securitylog-maxlogsize 属性。
在设置最大日志大小时,请考虑以下几点:
- 由于日志文件轮转,可以创建的日志文件总数。
- 目录服务器维护五个不同的日志文件:访问日志、审计日志、审计失败日志、错误日志、安全日志。每个日志文件都会消耗磁盘空间。
将这些注意事项与您要为安全日志设置的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647)。-1 值表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-securitylog-maxlogsize: 100 |
2.1.184. nsslapd-securitylog-maxlogsperdir
nsslapd-securitylog-maxlogsperdir 属性设置目录服务器存储在日志文件目录中的安全日志总数。每次轮转安全日志时,都会创建一个新的日志文件。当安全日志目录中包含的文件数量超过 nsslapd-securitylog-maxlogsperdir 属性的值时,目录服务器会删除日志文件的最老版本。
如果 nsslapd-securitylog-maxlogsperdir 属性的值大于 1,请检查 nsslapd-securitylog-logrotationtime 属性,以了解是否设置了日志轮转。如果 nsslapd-securitylog-logrotationtime 属性的值为 -1,则不会发生日志轮转。请参阅 第 2.1.181 节 “nsslapd-securitylog-logrotationtime” 了解更多信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsslapd-securitylog-maxlogsperdir: 5 |
2.1.185. nsslapd-securitylog-mode
nsslapd-securitylog-mode 属性设置目录服务器创建安全日志文件的访问模式或文件权限。有效值是 000 到 777 的组合,因为它们镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字因 0 到 7 的不同:
- 0 - None
- 1 - 只执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读取和执行
- 6 - 读取和写入
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三个数字代表每个人的权限。更改默认值时,请记住 000 不允许访问日志,并且允许每个人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响服务器所创建的新日志。当日志轮转到新文件时,会设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-securitylog-mode: 600 |
2.1.186. nsslapd-sizelimit
此属性设置从搜索操作返回的最大条目数。如果达到这个限制,ns-slapd 会返回任何与搜索请求匹配的条目,以及超过大小限制错误。
如果没有设置限制,ns-slapd 会将每个匹配条目返回到客户端,而不考虑找到的数量。要设置目录服务器无限期等待搜索完成的限制值,请在 dse.ldif 文件中为此属性指定一个 -1。
这个限制适用于每个人,无论其机构是什么。
dse.ldif 文件中的此属性值 -1 与在服务器控制台中保留属性为空相同,这会导致不使用限制。这无法在 dse.ldif 文件中有一个 null 值,因为它不是有效的整数。可以将其设置为 0, 它会返回 超过每个搜索的大小限制。
对应的 user-level 属性是 nsSizeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsslapd-sizelimit: 2000 |
2.1.187. nsslapd-snmp-index
此参数控制目录服务器实例的 SNMP 索引号。
如果您在同一主机上有多个目录服务器实例侦听端口 389,但在不同网络接口上,此参数允许您为每个实例设置不同的 SNMP 索引号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-snmp-index: 0 |
2.1.188. nsslapd-ssl-check-hostname
此属性设置支持 TLS 的目录服务器是否应该通过与所出示证书中分配给通用名称(cn)属性的值匹配来验证请求的真实性。默认情况下,上的 属性设置为。如果主机名与证书的 cn 属性不匹配,则会记录适当的错误和审计信息。
例如,在复制环境中,如果找到对等服务器的主机名与证书中指定的名称不匹配,则类似以下内容的消息会记录在供应商服务器的日志文件中:
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
Unable to communicate securely with peer: requested domain name does not
match the server's certificate.)
[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
Replication bind with SSL client authentication failed:
LDAP error 81 (Can't contact LDAP server)红帽建议在 上打开此属性来保护目录服务器的出站 TLS 连接,以防出现中间人(MITM)攻击。
必须正确设置 DNS 和反向 DNS 才能正常工作;否则,服务器无法将对等 IP 地址解析为证书中的主题 DN 中的主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ssl-check-hostname: on |
2.1.189. nsslapd-SSLclientAuth
nsslapd-SSLclientAuth 参数将在以后的发行版本中弃用,并当前被维护以向后兼容。使用存储在 cn=encryption,cn=config 下的新参数 nsSSLClientAuth。请参阅 第 2.3.5 节 “nsSSLClientAuth”。
2.1.190. nsslapd-statlog-level
使用 nsslapd-statlog-level 参数在访问日志中启用每个操作的统计信息,而不影响目录服务器性能。
目录服务器支持与搜索操作中使用的索引相关的统计集合。当您将 nsslapd-statlog-level 设置为 1 时,访问日志开始为索引中的每个键收集索引查找数(数据库读取操作)。
例如,一个目录有一个 M uid 条目,其值以 user_ 开头,搜索操作则使用过滤器 (uid=useruildDefaults)。目录服务器创建 ^us,使用、ser 和 er_ 索引键。使用设置 nsslapd-statlog-level=1 时,访问日志会显示以下信息:
STAT read index: attribute=uid key(sub)=er_ count 1000000 STAT read index: attribute=uid key(sub)=ser count 1000000 STAT read index: attribute=uid key(sub)=use count 1000000 STAT read index: attribute=uid key(sub)=^us count 1000000 STAT read index: duration 0.001010276
了解查找数量和索引查找的整个持续时间有助于诊断为什么过滤器,如 (uid=useruildDefaults),非常昂贵。
您需要重新启动服务器以应用更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
|
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-statlog-level: 1 |
2.1.191. nsslapd-syntaxcheck
此属性验证对条目属性的所有修改,以确保新的或更改的值符合该属性类型所需的语法。当启用此属性时,任何不符合正确语法的更改都会被拒绝。所有属性值都会根据 RFC 4514 中的语法定义进行验证。
默认情况下启用此设置。
语法验证仅针对新的或修改后的属性运行;它不会验证现有属性值的语法。为添加和修改等 LDAP 操作触发语法验证;在复制等操作后不会发生语法验证,因为应在原始供应商上检查属性语法的有效性。
这会验证目录服务器的所有支持的属性类型,但二进制语法(无法验证)和非标准语法(没有定义的必要格式)除外。未验证的 语法如下:
- 传真(二进制)
- OctetString (binary)
- JPEG (binary)
- 二进制(非标准)
- 空格代表敏感字符串(非标准)
- URI (非标准)
nsslapd-syntaxcheck 属性设定是否验证和拒绝属性修改。这可与 nsslapd-syntaxlogging 属性一起使用,将有关无效属性值的警告信息写入错误日志中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxcheck: on |
2.1.192. nsslapd-syntaxlogging
此属性设定是否将语法验证失败记录到错误日志中。默认情况下关闭它。
如果启用了 nsslapd-syntaxcheck 属性(默认),并且还启用了 nsslapd-syntaxlogging 属性,则任何无效的属性更改都会被拒绝,并写入错误日志中。如果只启用 nsslapd-syntaxlogging,并且禁用 nsslapd-syntaxcheck,则允许无效的更改进行,但会在错误日志中写入警告信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxlogging: off |
2.1.193. nsslapd-threadnumber
此与性能调优相关的值设置线程数量,目录服务器在启动时创建。如果值设为 -1 (默认),目录服务器会根据可用的硬件启用优化的自动调整。请注意,如果启用了自动调整,nsslapd-threadnumber 会在目录服务器运行时显示自动生成的线程数量。
红帽建议使用自动调整设置来优化性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到系统线程和处理器支持的最大线程数。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-threadnumber: -1 |
2.1.194. nsslapd-timelimit
此属性设置为搜索请求分配的最大秒数。如果达到这个限制,Directory 服务器会返回与搜索请求匹配的任何条目,以及超过的时间限制错误。
如果没有设置限制,ns-slapd 会将每个匹配条目返回到客户端,而不考虑它所需的时间。要设置目录服务器无限期等待搜索完成的限制值,请在 dse.ldif 文件中为此属性指定一个 -1。值为零(0)会导致不允许时间进行搜索。最小时间限制为 1 秒。
dse.ldif 中的此属性值 -1 与在服务器控制台中保留属性 blank 相同,这会导致不使用限制。但是,无法在服务器控制台的此字段中设置负整数,而 null 值无法在 dse.ldif 条目中使用,因为它不是有效的整数。
对应的 user-level 属性是 nsTimeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) (以秒为单位) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-timelimit: 3600 |
2.1.195. nsslapd-tmpdir
这是服务器用于临时文件的目录的绝对路径。目录必须由服务器用户 ID 所有,用户必须具有读写访问权限。没有其他用户 ID 应该对该目录具有读取或写入操作。默认值为 /tmp。
对此属性所做的更改不会生效,直到服务器重启为止。
2.1.196. nsslapd-unhashed-pw-switch
当您更新 userPassword 属性时,Directory 服务器会加密密码并将其存储在 userPassword 中。然而,在某些情况下,例如,当将密码与 Active Directory (AD)同步时,目录服务器必须将未加密的密码传递给插件。在这种情况下,服务器将未加密的密码存储在 so-called 条目扩展 中的临时未哈希的 #user#password 属性中,并根据情况,在 changelog 中。请注意,目录服务器不会在服务器的硬盘 中保存临时未哈希的"${user"密码 属性。
nsslapd-unhashed-pw-switch 参数控制目录服务器是否存储未加密的密码。例如,您必须将 nsslapd-unhashed-pw-switch 设置为 on,以便将 Directory Server 的密码同步到 Active Directory。
您可以将参数设置为以下值之一:
-
off:目录服务器不会在条目扩展或更改日志中存储未加密的密码。如果不使用与 AD 的密码同步,或者任何需要访问未加密的密码的插件,则设置这个值。 -
在 上:目录服务器在条目扩展和更改日志中存储未加密的密码。如果您使用 AD 配置密码同步,请设置这个值。 -
nolog:目录服务器仅将未加密的密码存储在条目扩展中,而不存储在 changelog 中。如果本地 Directory 服务器插件需要访问未加密的密码,则设置这个值,但没有配置 AD 的密码同步。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | off | on | nolog |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-unhashed-pw-switch: off |
2.1.197. nsslapd-validate-cert
如果目录服务器配置为在 TLS 中运行,其证书过期,则无法启动目录服务器。nsslapd-validate-cert 参数设置目录服务器在尝试使用过期证书启动时应如何响应:
-
warn允许 Directory 服务器成功使用过期的证书启动,但会发送一条警告信息,但会发送证书已过期的警告信息。这是默认设置。 -
on验证证书,并将阻止服务器在证书过期时重新启动。这会为过期的证书设置硬故障。 -
off禁用所有证书过期验证,因此服务器可以从过期的证书开始,而无需记录警告。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | warn | on | off |
| 默认值 | warn |
| 语法 | DirectoryString |
| 示例 | nsslapd-validate-cert: warn |
2.1.198. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema 参数定义 Directory 服务器如何使用没有在 schema 中指定的属性验证搜索过滤器。
您可以将 nsslapd-verify-filter-schema 设置为以下选项之一:
-
reject-invalid:如果包含任何未知元素,目录服务器会拒绝带有错误的过滤器。 process-safe: Directory Server 将未知组件替换为空集,并使用/var/log/dirsrv/slapd-instance_name/access日志文件中的notes=F标志记录警告。在将
nsslapd-verify-filter-schema从warn-invalid或off切换到process-safe之前,请监控访问日志,并修复导致notes=F标志的日志条目的查询。否则,操作结果会改变,Directory 服务器可能无法返回所有匹配的条目。-
warn-invalid:目录服务器使用/var/log/dirsrv/slapd-instance_name/access日志文件中的notes=F标志记录警告,并继续扫描完整的数据库。 -
off:目录服务器不会验证过滤器。
请注意,例如,如果您将 nsslapd-verify-filter-schema 设置为 warn-invalid 或 off,则过滤器 (如(& ( 会评估 non_exististent_attribute=example ) (uid=user_name))uid=user_name 条目,且仅在它包含 non_existent_attribute=example 时才返回。如果将 nsslapd-verify-filter-schema 设置为 process-safe,目录服务器不会评估该条目,且不会返回它。
将 nsslapd-verify-filter-schema 设置为 reject-invalid 或 process-safe 可防止因为未索引搜索在 schema 中指定的属性造成高负载。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | reject-invalid, process-safe, warn-invalid, off |
| 默认值 | process-safe |
| 语法 | DirectoryString |
| 示例 | nsslapd-verify-filter-schema: process-safe |
2.1.199. nsslapd-versionstring
此属性设置服务器版本号。当显示 version 字符串时,构建数据会自动附加。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的服务器版本号。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-versionstring: Red Hat-Directory/{VER} |
2.1.200. nsslapd-workingdir
这是服务器在启动后将 用作其当前工作目录的目录的绝对路径。这是服务器返回 getcwd () 函数的值,系统进程表显示的值显示为其当前工作目录。这是生成核心文件的目录。服务器用户 ID 必须具有目录的读写访问权限,而其他用户 ID 应该对其具有读取或写入访问权限。此属性的默认值是包含错误日志的目录,通常为 /var/log/dirsrv/slapd-实例。
对此属性所做的更改不会生效,直到服务器重启为止。
2.1.201. nsslapd-numlisteners
nsslapd-numlisteners 属性指定目录服务器可用于监控已建立的连接的监听程序线程数量。您可以通过增加属性值来提高服务器遇到大量客户端连接时的响应时间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 1 - 4 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-numlisteners: 2 |
您必须在更改 nsslapd-numlisteners 属性的值后重启服务器。
2.1.202. passwordAdminSkipInfoUpdate
使用 cn=config 条目下的新的 passwordAdminSkipInfoUpdate: on/off 设置,您可以对密码管理员管理的密码更新执行精细的控制。当您在 上将 此设置设置为 时,目录服务器只更新密码,且不更新属性,如 passwordHistory、passwordExpirationTime、passwordRetryCount、pwdReset、passwordExpWarned。
密码管理员可以使用此设置来绕过在使用 passwordExpirationTime 和 pwdMustChange 属性的全局和本地登录策略中配置的密码语法检查和密码过期设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordAdminSkipInfoUpdate: on |
2.1.203. passwordAllowChangeTime
此属性指定在允许用户更改其密码之前必须经过的时长。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | passwordAllowChangeTime: 5h |
2.1.204. passwordBadWords
passwordBadWords 参数定义一个以逗号分隔的字符串列表,用户不允许在密码中使用。
请注意,目录服务器对字符串进行不区分大小写的比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何字符串 |
| 默认值 | "" |
| 语法 | DirectoryString |
| 示例 | passwordBadWords: example |
2.1.205. passwordChange
指明用户是否可以更改密码。
这可以缩写为 pwdAllowUserChange。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordChange: on |
2.1.206. passwordCheckSyntax
此属性设置在保存密码前是否检查密码语法。密码语法检查机制检查密码是否满足或超过密码最小长度要求,并且字符串不包含任何简单词语,如用户名或用户 ID 或存储在 uid、cn、n、gn、geName、ou 或 mail 属性中的任何属性值。
密码语法包括几个不同的类别用于检查:
- 在检查密码中简单词语时要比较的字符串或令牌的长度(例如,如果令牌长度为三个,则用户 UID、名称、电子邮件地址或其他参数中的字符串没有字符串)
- 最小字符数(0-9)
- 最低大写 ASCII 字母字符数
- 最低小写 ASCII 字母字符数
-
最小特殊 ASCII 字符数,如
!@#$ - 最小 8 位字符数
- 每个密码所需的最小字符类别数;类别可以是大写或小写字母、特殊字符、数字或 8 位字符
这可以缩写为 pwdCheckSyntax。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordCheckSyntax: off |
2.1.207. passwordDictCheck
如果设置为 on,则 passwordDictCheck 参数会根据 CrackLib 字典检查密码。如果新密码包含字典单词,则目录服务器会拒绝密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordDictCheck: off |
2.1.208. passwordExp
指明用户密码在指定秒数后是否过期。默认情况下,用户密码不会过期。启用密码过期后,使用 passwordMaxAge 属性设置密码过期的秒数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordExp: on |
2.1.209. passwordExpirationTime
此属性指定在用户密码过期前传递的时间长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 整数中的任何日期 |
| 默认值 | none |
| 语法 | GeneralizedTime |
| 示例 | passwordExpirationTime: 202009011953 |
2.1.210. passwordExpWarned
此属性表示密码到期警告已发送给用户。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | true | false |
| 默认值 | none |
| 语法 | DirectoryString |
| 示例 | passwordExpWarned: true |
2.1.211. passwordGraceLimit
此属性仅在启用了密码过期时才适用。用户密码已过期后,服务器允许用户连接更改密码的目的。这称为 宽限期。服务器仅允许在完全锁定用户之前进行一定的尝试。此属性是允许的宽限期数量。值 0 表示服务器不允许安全登录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 (off)到任何合理的整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordGraceLimit: 3 |
2.1.212. passwordHistory
启用密码历史记录。密码历史记录指的是是否允许用户重复使用密码。默认情况下禁用密码历史记录,用户可以重复使用密码。如果在 上 将此属性设置为,则目录会存储给定数量的旧密码,并防止用户重复使用任何存储的密码。使用 passwordInHistory 属性设置目录服务器存储的旧密码数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordHistory: on |
2.1.213. passwordInHistory
表示目录服务器存储在历史记录中的密码数量。用户无法重复使用存储在历史记录中的密码。默认情况下,密码历史记录功能被禁用,这意味着目录服务器不存储任何旧密码,因此用户可以重复使用密码。使用 passwordHistory 属性启用密码历史记录。
要防止用户通过跟踪的密码数量快速循环,请使用 passwordMinAge 属性。
这可以缩写为 pwdInHistory。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 24 个密码 |
| 默认值 | 6 |
| 语法 | 整数 |
| 示例 | passwordInHistory: 7 |
2.1.214. passwordIsGlobalPolicy
此属性控制是否复制密码策略属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordIsGlobalPolicy: off |
2.1.215. passwordLegacyPolicy
启用旧的密码行为。旧的 LDAP 客户端预期在超过最大失败限制后收到一个错误,以锁定用户帐户。例如,如果限制有三个失败,则帐户在第四个失败尝试时被锁定。但是,较新的客户端可能会在达到失败限制时收到错误消息。例如,如果限制是三个失败,则应在第三个失败尝试时锁定帐户。
因为在超过失败限制时锁定帐户是旧的行为,所以它被视为旧的行为。它默认是启用的,但可以禁用以允许新的 LDAP 客户端在预期时间收到错误。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordLegacyPolicy: on |
2.1.216. passwordLockout
指明用户在给定数量的绑定尝试失败后是否锁定了目录。默认情况下,在一系列绑定尝试失败后,用户不会被锁定在目录中。如果启用了帐户锁定,请设置使用 passwordMaxFailure 属性锁定用户被锁定的绑定尝试次数。
这可以缩写为 pwdLockOut。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordLockout: off |
2.1.217. passwordLockoutDuration
表示用户在帐户锁定后锁定目录的时间(以秒为单位)。帐户锁定功能可防止尝试通过重复尝试猜测用户密码来进入该目录的黑客。使用 passwordLockout 属性启用和禁用帐户锁定功能。
这可以缩写为 pwdLockoutDuration。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) (以秒为单位) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | passwordLockoutDuration: 3600 |
2.1.218. passwordMaxAge
表示用户密码过期的秒数。要使用此属性,必须使用 passwordExp 属性启用密码过期。
这可以缩写为 pwdMaxAge。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) (以秒为单位) |
| 默认值 | 8640000 (100 天) |
| 语法 | 整数 |
| 示例 | passwordMaxAge: 100 |
2.1.219. passwordMaxClassChars
如果将 passwordMaxClassChars 参数设置为大于 0 的值,Directory 服务器会阻止设置具有比参数中设置的值相同的连续字符的密码。如果启用,Directory 服务器会检查以下类别的连续字符:
- 数字
- alpha 字符
- 小写
- 大写
例如,如果您将 passwordMaxClassChars 设置为 3,则不允许包含 jdif 或 1947 的密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)最大 32 位整数(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxClassChars: 0 |
2.1.220. passwordMaxFailure
表示在用户锁定目录后绑定尝试失败的次数。默认情况下禁用帐户锁定。通过修改 passwordLockout 属性来启用帐户锁定。
这可以缩写为 pwdMaxFailure。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 用于最大整数绑定失败 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | passwordMaxFailure: 3 |
2.1.221. passwordMaxRepeats
同一字符可以按顺序显示在密码中的最大次数。零(0)已关闭。整数值拒绝任何使用字符超过该次数的密码;例如,1 拒绝一次使用的字符(一个 )和 2 拒绝字符超过两次(aa
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxRepeats: 1 |
2.1.222. passwordMaxSeqSets
如果将 passwordMaxSeqSets 参数设置为大于 0 的值,Directory 服务器会拒绝带有重复 monotonic 序列超过参数中设置的长度的密码。例如,如果您将 passwordMaxSeqSets 设置为 2,则将密码设置为 azXYZ_XYZ-g,因为 XYZ 出现在密码中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxSeqSets: 0 |
2.1.223. passwordMaxSequence
如果将 passwordMaxSequence 参数设置为大于 0 的值,Directory 服务器会拒绝使用 monotonic 序列的新密码,超过 passwordMaxSequence 中设置的值。例如,如果您将 参数设置为 3,则目录服务器会拒绝包含字符串的密码,如 1234 或 dcba。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxSequence: 0 |
2.1.224. passwordMin8Bit
这会设置密码必须包含的最小 8 位字符数。
必须禁用对 userPassword 的 7 位检查才能使用它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMin8Bit: 0 |
2.1.225. passwordMinAge
表示在用户更改密码前必须经过的秒数。将此属性与 passwordInHistory (要记住的密码数)一起使用,以防止用户通过密码快速循环,以便他们可以再次使用旧密码。值为零(0)表示用户可以立即更改密码。
这可以缩写为 pwdMaxFailure。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到有效的最大整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinAge: 150 |
2.1.226. passwordMinAlphas
此属性设置最少的字母字符密码数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinAlphas: 4 |
2.1.227. passwordMinCategories
这将设置密码中代表的最小字符类别数。类别是:
- 小写字母字符
- 大写字母字符
- Number
- 特殊 ASCII 计费,如 $ 和 punctuation 标记
- 8 位字符
例如,如果此属性的值设为 2,并且用户尝试将密码更改为 aaaaa,则服务器将拒绝密码,因为它仅包含小写字符,因此仅包含一个类别中的字符。A AaA 的密码会传递,因为它包含两个类别(大写和小写)中的字符。
默认值为 3,这意味着如果启用了密码语法检查,则有效的密码必须具有三种字符类别。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinCategories: 2 |
2.1.228. PasswordMinDigits
这会设置密码必须包含的最小数字数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinDigits: 3 |
2.1.229. passwordMinLength
此属性指定目录服务器用户密码属性中必须使用的最小字符数。通常,较短的密码更容易破解。目录服务器强制使用八个字符的最小密码。这很难破解但很短,用户可以在不写出密码的情况下记住密码。
这可以缩写为 pwdMinLength。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 2 到 512 个字符 |
| 默认值 | 8 |
| 语法 | 整数 |
| 示例 | passwordMinLength: 8 |
2.1.230. PasswordMinLowers
此属性设置字符密码必须包含的最小小写字母数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinLowers: 1 |
2.1.231. PasswordMinSpecials
此属性设置密码必须包含的最小 特殊,或不是字母数字字符。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinSpecials: 1 |
2.1.232. PasswordMinTokenLength
此属性设置用于 简单 词语检查的最小属性值长度。例如,如果 PasswordMinTokenLength 设为 3,则给定名称 DJ 不会造成拒绝 DJ 的策略,但策略会拒绝 DJ 的密码组成了 bob 的 。givenName
目录服务器根据以下属性中的值检查最小令牌长度:
-
uid -
cn -
sn -
givenName -
mail -
ou
如果目录服务器应检查其他属性,您可以在 passwordUserAttributes 参数中设置它们。详情请查看 第 2.1.244 节 “passwordUserAttributes”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 64 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | passwordMinTokenLength: 3 |
2.1.233. PasswordMinUppers
这设置大写字母密码必须包含的最小大写字母数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinUppers: 2 |
2.1.234. passwordMustChange
指明用户在首次绑定到目录服务器时或何时由 Manager DN 重置密码时,是否需要更改其密码。
这可以缩写为 pwdMustChange。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordMustChange: off |
2.1.235. passwordPalindrome
如果启用了 passwordPalindrome 参数,如果新密码包含 palindrome,目录服务器会拒绝密码。
palindrome 是一个字符串,它读取与后相同的转发,如 abc11cba。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordPalindrome: off |
2.1.236. passwordResetFailureCount
表示密码失败计数器重置的时间(以秒为单位)。每次从用户帐户发送无效的密码时,密码失败计数器都会递增。如果在 上将 passwordLockout 属性设置为 on,则当计数器达到 passwordMaxFailure 属性指定的故障数量(默认为 600 秒)时,用户会被锁定。在 passwordLockoutDuration 属性指定的时间长度后,失败计数器将重置为零(0)。
这可以缩写为 pwdFailureCountInterval。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) (以秒为单位) |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | passwordResetFailureCount: 600 |
2.1.237. passwordSendExpiringTime
当客户端请求密码过期时,Directory 服务器仅在密码位于警告期间时返回"time to expire"值。为提供始终期望返回这个值的现有客户端的兼容性 - 无论密码过期时间是否在警告期间内 - passwordSendExpiringTime 参数可以设为 on。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordSendExpiringTime: off |
2.1.238. passwordStorageScheme
此属性设定用于加密存储在 userPassword 属性中的用户密码的方法。详情请查看 第 6.3.44 节 “密码存储方案”。
红帽建议不要设置此属性。如果没有设置值,Directory 服务器会自动使用最强支持的密码存储方案。如果将来的目录服务器更新更改了默认值以提高安全性,如果用户设置密码,则会自动使用新的存储方案加密密码。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | PBKDF2-SHA512 |
| 语法 | DirectoryString |
| 示例 | passwordStorageScheme: PBKDF2-SHA512 |
2.1.239. passwordTPRDelayExpireAt
passwordTPRDelayExpireAt 属性是密码策略的一部分。当管理员将临时密码设置为用户帐户后,passwordTPR DelayExpireAt 会在临时密码过期前定义时间(以秒为单位)。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRDelayExpireAt: 3600 |
2.1.240. passwordTPRDelayValidFrom
passwordTPRDelayValidFrom 属性是密码策略的一部分。当管理员将临时密码设置为用户帐户后,password TPRDelayValidFrom 定义可以使用临时密码前的时间(以秒为单位)。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRDelayValidFrom: 60 |
2.1.241. passwordTPRMaxUse
passwordTPRMaxUse 属性是密码策略的一部分。属性设置用户成功验证的次数,或者在临时密码过期前无法验证。如果身份验证成功,目录服务器仅允许用户在进行其他操作前更改密码。如果用户没有更改密码,则操作将终止。无论身份验证是成功,验证尝试次数的计数器都会增加。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1 (禁用)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRMaxUse: 5 |
2.1.242. passwordTrackUpdateTime
设置是否记录一个单独的时间戳,特别是最后一次更改条目密码的时间。如果启用了,它会将 pwdUpdateTime 操作属性添加到用户帐户条目(与其它更新时间(如 modifyTime)添加。
使用这个时间戳可以更轻松地在不同 LDAP 存储(如 Active Directory)间同步密码更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordTrackUpdateTime: off |
2.1.243. passwordUnlock
指明用户是否被锁定在指定时间内被锁定的目录,或直到管理员在帐户锁定后重置密码为止。帐户锁定功能可防止尝试通过重复尝试猜测用户密码来破坏目录的恶意参与者。如果此 passwordUnlock 属性设置为 off,并且操作属性 accountUnlockTime 的值为 0, 则帐户将无限期锁定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordUnlock: off |
2.1.244. passwordUserAttributes
默认情况下,如果您在 passwordMinTokenLength 参数中设置了最小令牌长度,Directory 服务器只检查特定属性的令牌。详情请查看 第 2.1.232 节 “PasswordMinTokenLength”。
passwordUserAttributes 参数允许您设置目录服务器应检查的额外属性的逗号分隔列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何字符串 |
| 默认值 | "" |
| 语法 | DirectoryString |
| 示例 | passwordUserAttributes: telephoneNumber, l |
2.1.245. passwordWarning
表示用户密码之前的秒数,因为用户在下次 LDAP 操作中收到密码过期警告控制。根据 LDAP 客户端,在发送警告时,用户也可以提示更改密码。
这可以缩写为 pwdExpireWarning。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) (以秒为单位) |
| 默认值 | 86400 (1 天) |
| 语法 | 整数 |
| 示例 | passwordWarning: 86400 |
2.1.246. retryCountResetTime
retryCountResetTime 属性包含 UTC-format 中的日期和时间,在 passwordRetryCount 属性将重置为 0 后。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 任何 UTC 格式的有效时间戳 |
| 默认值 | none |
| 语法 | 常规时间 |
| 示例 | retryCountResetTime: 20190618094419Z |
