6.3. 服务器插件功能参考
本节概述了与 Directory Server 提供的插件,以及其可配置的选项、可配置参数、默认设置、依赖项、常规与性能相关的信息,以及进一步阅读。
6.3.1. 7 位检查插件
插件参数 | 描述 |
---|---|
Plug-in ID | NS7bitAtt |
配置条目的 DN | cn=7-bit check,cn=plugins,cn=config |
描述 | 检查某些属性是 7 位清理 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | on |
可配置参数 |
属性列表( |
依赖项 | 数据库 |
性能提升信息 | 无 |
更多信息 | 如果目录服务器使用非 ASCII 字符,如日语,请关闭此插件。 |
6.3.2. 帐户策略插件
可以设置帐户策略,以便在经过一定时间后自动锁定帐户。这可用于创建仅在预先设置的时间内有效临时帐户,或锁定在一定时间内不活跃的用户。
帐户策略插件本身仅在参数上接受,该参数指向插件配置条目。
dn: cn=Account Policy Plugin,cn=plugins,cn=config ... nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
帐户策略配置条目为整个服务器定义哪些属性用于帐户策略。大多数配置定义了用于评估帐户策略和过期时间的属性,但配置还定义了用来识别子树级别帐户策略定义的对象类。
dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config objectClass: top objectClass: extensibleObject cn: config ... attributes for evaluating accounts ... alwaysRecordLogin: yes stateattrname: lastLoginTime altstateattrname: createTimestamp ... attributes for account policy entries ... specattrname: acctPolicySubentry limitattrname: accountInactivityLimit
一个插件被全局配置,帐户策略条目可以在用户子树中创建,然后这些策略可以通过服务类应用到用户和角色。
例 6.1. 帐户策略定义
dn: cn=AccountPolicy,dc=example,dc=com objectClass: top objectClass: ldapsubentry objectClass: extensibleObject objectClass: accountpolicy # 86400 seconds per day * 30 days = 2592000 seconds accountInactivityLimit: 2592000 cn: AccountPolicy
任何条目(单独的用户和角色)或 CoS 模板可以是帐户策略子条目。每个帐户策略子条目都有一个创建和登录时间,针对任何过期策略进行跟踪。
例 6.2. 具有帐户策略的用户帐户
dn: uid=scarter,ou=people,dc=example,dc=com ... lastLoginTime: 20060527001051Z acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com
插件参数 | 描述 |
---|---|
Plug-in ID | none |
配置条目的 DN | cn=Account Policy Plugin,cn=plugins,cn=config |
描述 | 定义在特定过期时间或不活跃的时间后锁定用户帐户的策略。 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | 指向包含全局帐户策略设置的配置条目的指针。 |
依赖项 | 数据库 |
性能提升信息 | 无 |
更多信息 |
此插件配置指向一个配置条目,用于帐户不活动和过期数据的服务器端设置。单个(subtree-level 或 user-level)帐户策略可以定义为目录条目,作为 |
6.3.2.1. altstateattrname
帐户过期策略基于帐户的一些时间标准。例如,对于不活动策略,主要条件可以是最后的登录时间 lastLoginTime
。但是,可能存在实例,其中该属性在条目上不存在,例如从未登录其帐户的用户。altstateattrname
属性为服务器提供了一个 backup 属性,供引用来评估过期时间。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何基于时间的条目属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | altstateattrname: createTimeStamp |
6.3.2.2. alwaysRecordLogin
默认情况下,只有帐户策略直接应用到它们的条目 - 即,带有 acctPolicySubentry
属性的条目 - 会跟踪其登录时间。如果帐户策略通过服务或角色类别应用,则 acctPolicySubentry
属性位于模板或容器条目上,而不是用户条目本身。
alwaysRecordLogin
属性设置每个条目记录其最后一次登录时间。这允许使用 CoS 和角色来应用帐户策略。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 是 | 否 |
默认值 | 否 |
语法 | DirectoryString |
示例 | alwaysRecordLogin: no |
6.3.2.3. alwaysRecordLoginAttr
Account Policy
插件使用 alwaysRecordLoginAttr
参数中设置的属性名称,将这个属性最后一次成功登录的时间存储在用户的目录条目中。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何有效的属性名称 |
默认值 | stateAttrName |
语法 | DirectoryString |
示例 | alwaysRecordLoginAttr: lastLoginTime |
6.3.2.4. lastLoginHistSize
要保持成功登录的历史记录,您可以使用 lastLoginHistSize
属性来确定要存储的登录数量,并默认存储最后五次成功登录。
要使 lastLoginHistSize
属性用于存储上次登录,您必须启用 alwaysRecordLogin
属性。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 0 (disable)到最大 32 位整数值(2147483647) |
默认值 | 5 |
语法 | 整数 |
示例 | lastloginhistorysize: 10 |
6.3.2.5. limitattrname
用户目录中的帐户策略条目定义了帐户锁定策略的时间限制。这个时间限制可以在任何基于时间的属性中设置,策略条目可能会在 ti 中有多个基于时间的属性。策略中用于帐户取消激活限制的属性在 Account Policy Plug-in 的 limitattrname
属性中定义,它被全局应用于所有帐户策略。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何基于时间的条目属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | limitattrname: accountInactivityLimit |
6.3.2.6. specattrname
帐户策略实际上有两个配置条目:插件配置条目中的全局设置,然后在用户目录中的条目中 yser 或 subtree-level 设置。帐户策略可以直接在用户条目上设置,也可以设置为 CoS 或角色配置的一部分。插件识别哪些条目是帐户策略配置条目的方式是识别将其标记为帐户策略的条目上的特定属性。插件配置中的此属性是 specattrname
;它通常设置为 acctPolicySubentry
。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何基于时间的条目属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | specattrname: acctPolicySubentry |
6.3.2.7. stateattrname
帐户过期策略基于帐户的一些时间标准。例如,对于不活动策略,主要条件可以是最后的登录时间 lastLoginTime
。用于评估帐户策略的主要时间属性在 stateattrname
属性中设置。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何基于时间的条目属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | stateattrname: lastLoginTime |
6.3.3. 帐户 Usability 插件
插件参数 | 描述 |
---|---|
Plug-in ID | acctusability |
配置条目的 DN | cn=Account Usability Plugin,cn=plugins,cn=config |
描述 | 检查帐户的身份验证状态或可用性,而无需实际以给定用户身份进行身份验证 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | on |
依赖项 | 数据库 |
性能提升信息 | 无 |
6.3.4. ACL 插件
插件参数 | 描述 |
---|---|
Plug-in ID | acl |
配置条目的 DN | cn=ACL Plugin,cn=plugins,cn=config |
描述 | ACL 访问检查插件 |
类型 | accesscontrol |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 数据库 |
性能提升信息 | 访问控制会产生最小性能命中。保持此插件启用,因为它是服务器的访问控制的主要方法。 |
6.3.5. ACL 抢占插件
插件参数 | 描述 |
---|---|
Plug-in ID | acl |
配置条目的 DN | cn=ACL preoperation,cn=plugins,cn=config |
描述 | ACL 访问检查插件 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 数据库 |
性能提升信息 | 访问控制会产生最小性能命中。保持此插件启用,因为它是服务器的访问控制的主要方法。 |
6.3.6. AD DN 插件
AD DN 插件支持多个域配置。为每个域创建一个配置条目。
插件参数 | 描述 |
---|---|
Plug-in ID | addn |
配置条目的 DN | cn=addn,cn=plugins,cn=config |
描述 |
启用使用 Active Directory 格式的用户名,如 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | off |
可配置参数 |
|
依赖项 | 无 |
性能提升信息 | 无 |
6.3.6.1. addn_base
设置目录服务器搜索用户 DN 的基本 DN。
参数 | 描述 |
---|---|
条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有效的条目 | 任何有效的 DN |
默认值 | 无 |
语法 | DirectoryString |
示例 | addn_base: ou=People,dc=example,dc=com |
6.3.6.2. addn_filter
设置搜索过滤器。目录服务器自动将 %s
变量替换为身份验证用户的非域部分。例如,如果绑定中的用户名是 user_name@example.com
,则过滤器会搜索对应的 DN,其为 (& (objectClass=account) (uid=user_name))
。
参数 | 描述 |
---|---|
条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有效的条目 | 任何有效的 DN |
默认值 | 无 |
语法 | DirectoryString |
示例 | addn_filter: (&(objectClass=account)(uid=%s)) |
6.3.6.3. cn
设置配置条目的域名。该插件使用身份验证用户名中的域名来选择对应的配置条目。
参数 | 描述 |
---|---|
条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有效的条目 | 任何字符串 |
默认值 | 无 |
语法 | DirectoryString |
示例 | cn: example.com |
6.3.7. 别名条目插件
Alias Entries 插件检查对象类 别名
的基本条目,以及包含指向另一个条目的 DN 的 aliasedObjectName
属性(另一个条目的别名)。在搜索过程中,插件会将搜索基本 DN 修改为别名的 DN。
Alias Entries 插件仅支持基本级别搜索。使用 ldapsearch -a find
命令检索别名的条目。
要使插件返回别名条目,基本条目必须包含以下信息:
-
alias
对象类。 -
aliasedObjectName
属性(称为 X.500 中的aliasedEntryName
属性),DN 值指向另一个条目。
目录服务器可以返回到客户端,并显示以下错误:
-
如果缺少别名 DN,则
错误 32 (没有这样的对象)。
-
如果搜索
是非基础级搜索,则为 53 错误(不需要执行)。
解引用是将别名名称转换为对象名称。此过程可能需要检查多个别名条目。别名条目可以指向不是叶条目的条目。DIT 中的条目可能有多个别名名称,多个别名条目可能指向同一条目。
例 6.3. 具有别名的条目
dn: cn=Barbara Jensen,ou=Engineering,dc=example,dc=com objectClass: top objectClass: alias objectClass: extensibleObject cn: Barbara Jensen aliasedObjectName: cn=Barbara Smith,ou=Engineering,dc=example,dc=com
插件参数 | 描述 |
---|---|
Plug-in ID | 别名条目 |
配置条目的 DN | cn=Alias Entries, cn=plugins, cn=config |
描述 |
在 基本级别 搜索过程中,检查别名对象类和 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | off |
可配置参数 |
别名条目属于
|
依赖项 | 数据库 |
性能提升信息 |
每个别名条目都必须属于 |
更多信息 |
|
6.3.8. 属性唯一插件
Attribute Uniqueness 插件确保属性值在目录或子树之间是唯一的。
插件参数 | 描述 |
---|---|
Plug-in ID | NSUniqueAttr |
配置条目的 DN | cn=Attribute Uniqueness,cn=plugins,cn=config |
描述 | 每次在条目上发生修改时,检查指定属性的值都是唯一的。例如,大多数站点要求用户 ID 和电子邮件地址是唯一的。 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | off |
可配置参数 |
要检查所有列出的子树中的 UID 属性唯一性,请输入 |
依赖项 | 数据库 |
性能提升信息 | 目录服务器默认提供 UID 唯一插件。为确保其他属性的唯一值,请为这些属性创建属性插件的实例。 UID 唯一插件默认是 off,因为在多层次复制环境中启用插件前需要解决的操作限制。打开插件可能会减慢目录服务器性能。 |
6.3.8.1. cn
设置 属性唯一插件配置 记录的名称。您可以使用任何字符串,但红帽建议将配置记录命名为 attribute_name Attribute Uniqueness
。
参数 | 描述 |
---|---|
条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有效值 | 任何有效的字符串 |
默认值 | 无 |
语法 | DirectoryString |
示例 | cn: mail 属性唯一性 |
6.3.8.2. uniqueness-across-all-subtrees
如果启用(在 上
),插件将检查属性是否在所有子树集中是唯一的。如果将属性设为 off
,则仅在更新条目的子树中强制执行唯一性。
参数 | 描述 |
---|---|
条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | uniqueness-across-all-subtrees: off |
6.3.8.3. uniqueness-attribute-name
设置值必须是唯一的的属性的名称。此属性是多值。
参数 | 描述 |
---|---|
条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有效值 | 任何有效的属性名称 |
默认值 | 无 |
语法 | DirectoryString |
示例 | uniqueness-attribute-name: mail |
6.3.8.4. uniqueness-subtree-entries-oc
另外,在使用 uniqueness-top-entry-oc
参数时,您可以配置 Attribute Uniqueness 插件,仅验证属性是否是唯一的,如果条目包含此参数中设置的对象类。
参数 | 描述 |
---|---|
条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有效值 | 任何有效的对象类 |
默认值 | 无 |
语法 | DirectoryString |
示例 | uniqueness-subtree-entries-oc: inetOrgPerson |
6.3.8.5. uniqueness-subtrees
设置插件检查属性值的唯一性的 DN。此属性是多值。
参数 | 描述 |
---|---|
条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有效值 | 任何有效的子树 DN |
默认值 | 无 |
语法 | DirectoryString |
示例 | uniqueness-subtrees: ou=Sales,dc=example,dc=com |
6.3.8.6. uniqueness-top-entry-oc
目录服务器在更新对象的父条目中搜索此对象类。如果没有找到,则搜索将继续进入目录树的根目录。如果找到了对象类,Directory 服务器会验证此子树中 uniqueness-attribute-name
中设置的属性值是否是唯一的。
参数 | 描述 |
---|---|
条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有效值 | 任何有效的对象类 |
默认值 | 无 |
语法 | DirectoryString |
示例 | uniqueness-top-entry-oc: nsContainer |
6.3.9. auto Membership 插件
自动成员规则基本上允许静态组充当动态组。不同的自动成员资格定义创建在所有新目录条目上自动运行的搜索。自动成员规则搜索和识别匹配条目 - 就像动态搜索过滤器 - 相似,然后明确将这些条目作为成员添加到指定的静态组中。
Auto Membership 插件本身是一个容器条目。每个自动成员定义都是 Auto Membership 插件的子项。automember 定义定义 LDAP 搜索基础,并过滤标识条目和默认组以将它们添加到其中。
dn: cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberDefinition cn: Hostgroups autoMemberScope: dc=example,dc=com autoMemberFilter: objectclass=ipHost autoMemberDefaultGroup: cn=systems,cn=hostgroups,ou=groups,dc=example,dc=com autoMemberGroupingAttr: member:dn
每个自动成员定义可以有自己的子条目,用于定义将条目分配给组的额外条件。正则表达式可用于包含或排除条目,并根据这些条件将它们分配到特定的组。
dn: cn=webservers,cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberRegexRule description: Group for webservers cn: webservers autoMemberTargetGroup: cn=webservers,cn=hostgroups,dc=example,dc=com autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com
如果条目与主定义匹配,而不是任何正则表达式条件,则它将使用主定义中的组。如果匹配正则表达式条件,则会将其添加到正则表达式条件组中。
插件参数 | 描述 |
---|---|
Plug-in ID | auto Membership |
配置条目的 DN | cn=Auto Membership,cn=plugins,cn=config |
描述 | 自动成员规则定义的容器条目。自动成员规则定义搜索新条目,如果它们匹配定义的 LDAP 搜索过滤器和正则表达式条件,则会自动将条目添加到指定的组中。 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | none 对于主插件条目。定义条目必须指定 LDAP 范围、LDAP 过滤器、默认组和成员属性格式。可选的正则表达式子条目可以指定 inclusive 和 exclusive 表达式,以及不同的目标组。 |
依赖项 | 数据库 |
性能提升信息 | 无。 |
6.3.9.1. autoMemberDefaultGroup
此属性设置 default 或 fallback 组,以将条目作为成员添加到 中。如果只使用定义条目,则这是所有匹配条目的组。如果使用正则表达式条件,如果与 LDAP 搜索过滤器匹配的条目与任何正则表达式不匹配,则此组将用作回退。
参数 | 描述 |
---|---|
条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有效范围 | 任何现有的 Directory Server 组 |
默认值 | 无 |
单值或多值 | 单个 |
语法 | DirectoryString |
示例 | autoMemberDefaultGroup: cn=hostgroups,ou=groups,dc=example,dc=com |
6.3.9.2. autoMemberDefinition (对象类)
此属性将条目标识为自动成员定义。此条目必须是 Auto Membership 插件 cn=Auto Membership Plugin,cn=plugins,cn=config
的子级。
允许的属性
- autoMemberScope
- autoMemberFilter
- autoMemberDefaultGroup
- autoMemberGroupingAttr
6.3.9.3. autoMemberExclusiveRegex
此属性设置单一正则表达式,用于识别 要排除的 条目。如果条目与排除条件匹配,则 不会包含在 组中。可以使用多个正则表达式,如果条目与这些表达式中的任何一个匹配,则组中排除了它。
表达式的格式是 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的更多信息,请参阅 pcresyntax (3) man page。
排除条件会首先评估,优先于包括条件。
参数 | 描述 |
---|---|
条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有效范围 | 任何正则表达式 |
默认值 | 无 |
单值或多值 | 多值 |
语法 | DirectoryString |
示例 | autoMemberExclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
6.3.9.4. autoMemberFilter
此属性设置标准 LDAP 搜索过滤器,用于搜索匹配条目。
参数 | 描述 |
---|---|
条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有效范围 | 任何有效的 LDAP 搜索过滤器 |
默认值 | 无 |
单值或多值 | 单个 |
语法 | DirectoryString |
示例 | autoMemberFilter:objectclass=ntUser |
6.3.9.5. autoMemberGroupingAttr
此属性提供组条目中 member 属性的名称,以及提供成员属性值的对象条目中的属性,格式为 group_member_attr:entry_attr。
根据组配置,自动成员插件如何将成员添加到组中。例如,对于 groupOfUniqueNames
用户组,每个成员都添加为 uniqueMember
属性。uniqueMember
的值是用户条目的 DN。本质上,每个组成员都由 uniqueMember:
user_entry_DN 的 attribute-value 对标识。member 条目格式是 uniqueMember:dn
。
参数 | 描述 |
---|---|
条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器属性 |
默认值 | 无 |
单值或多值 | 单个 |
语法 | DirectoryString |
示例 | autoMemberGroupingAttr: member:dn |
6.3.9.6. autoMemberInclusiveRegex
此属性设置单一正则表达式,用于识别要包含 的条目。可以使用多个正则表达式,如果条目与其中一个表达式匹配,它将包含在组中(假设它与 exclude 表达式不匹配)。
表达式的格式是 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的更多信息,请参阅 pcresyntax (3) man page。
参数 | 描述 |
---|---|
条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有效范围 | 任何正则表达式 |
默认值 | 无 |
单值或多值 | 多值 |
语法 | DirectoryString |
示例 | autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
6.3.9.7. autoMemberProcessModifyOps
默认情况下,目录服务器调用 Automembership 插件来添加和修改操作。使用这个设置时,当向用户添加组条目或修改用户的组条目时,插件会更改组。如果将 autoMemberProcessModifyOps
设置为 off
,则目录服务器仅在向用户添加组条目时调用 Automembership 插件。在这种情况下,如果管理员更改了用户条目,并且该条目会影响用户所属的 Automembership 组,则插件不会从旧组中删除该用户,仅添加新组。要更新旧组,您必须手动运行修复任务。
参数 | 描述 |
---|---|
条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有效值 | on | off |
默认值 | on |
单值或多值 | 单个 |
语法 | DirectoryString |
示例 | autoMemberProcessModifyOps: on |
6.3.9.8. autoMemberRegexRule (对象类)
此属性将条目标识为正则表达式规则。此条目必须是自动成员定义的子(objectclass: autoMemberDefinition
)。
允许的属性
- autoMemberInclusiveRegex
- autoMemberExclusiveRegex
- autoMemberTargetGroup
6.3.9.9. autoMemberScope
此属性设置子树 DN 以搜索条目。这是搜索基础。
参数 | 描述 |
---|---|
条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器子树 |
默认值 | 无 |
单值或多值 | 单个 |
语法 | DirectoryString |
示例 | autoMemberScope: dc=example,dc=com |
6.3.9.10. autoMemberTargetGroup
如果满足正则表达式条件,此属性设置要将条目作为成员添加到 的组。
参数 | 描述 |
---|---|
条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器组 |
默认值 | 无 |
单值或多值 | 单个 |
语法 | DirectoryString |
示例 | autoMemberTargetGroup: cn=webservers,cn=hostgroups,ou=groups,dc=example,dc=com |
6.3.10. 二进制语法插件
二进制语法已弃用。改为使用 Octet 字符串语法。
插件参数 | 描述 |
---|---|
Plug-in ID | bin-syntax |
配置条目的 DN | cn=Binary Syntax,cn=plugins,cn=config |
描述 | 处理二进制数据的语法。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.11. 位字符串语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | bitstring-syntax |
配置条目的 DN | cn=Bit String Syntax,cn=plugins,cn=config |
描述 | 支持来自 RFC 4517 的位字符串语法值和相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.12. 位插件
插件参数 | 描述 |
---|---|
Plug-in ID | 位 |
配置条目的 DN | cn=Bitwise Plugin,cn=plugins,cn=config |
描述 | 对 LDAP 服务器执行位操作的匹配规则 |
类型 | matchingrule |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.13. 布尔值语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | boolean-syntax |
配置条目的 DN | cn=Boolean Syntax,cn=plugins,cn=config |
描述 | 支持布尔值(TRUE 或 FALSE)以及来自 RFC 4517 的相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.14. case Exact String Syntax 插件
插件参数 | 描述 |
---|---|
Plug-in ID | ces-syntax |
配置条目的 DN | cn=Case Exact String Syntax,cn=plugins,cn=config |
描述 | 支持区分大小写的匹配或目录字符串、IA5 字符串和相关语法。这不是一个 case-exact 语法;此插件为不同的字符串语法提供区分大小写的匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.15. case Ignore String Syntax 插件
插件参数 | 描述 |
---|---|
Plug-in ID | directorystring-syntax |
配置条目的 DN | cn=Case Ignore String Syntax,cn=plugins,cn=config |
描述 | 支持用于目录字符串、IA5 字符串和相关语法的不区分大小写匹配规则。这不是不区分大小写的语法;此插件为不同的字符串语法提供区分大小写的匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.16. 链数据库插件
插件参数 | 描述 |
---|---|
Plug-in ID | 串联数据库 |
配置条目的 DN | cn=Chaining database,cn=plugins,cn=config |
描述 | 启用链接后端数据库 |
类型 | database |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 有许多与性能相关的调优参数,它们涉及链数据库。 |
更多信息 | 链数据库也称为 数据库链接。 |
6.3.17. Service 插件类
插件参数 | 描述 |
---|---|
Plug-in ID | COS |
配置条目的 DN | cn=Class of Service,cn=plugins,cn=config |
描述 | 允许在条目间共享属性 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | * 类型: database * 命名: 状态更改插件 * named: Views Plug-in |
性能提升信息 | 不要修改此插件的配置。保持此插件始终运行。 |
6.3.18. 内容同步插件
插件参数 | 描述 |
---|---|
Plug-in ID | content-sync-plugin |
配置条目的 DN | cn=Content Synchronization,cn=plugins,cn=config |
描述 |
根据 RFC 4533,启用对目录服务器中的 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | 无 |
依赖项 | retro Changelog 插件 |
性能提升信息 |
如果您知道哪些后端或子树客户端访问来同步数据,请相应地限制 |
6.3.19. Country String Syntax 插件
插件参数 | 描述 |
---|---|
Plug-in ID | countrystring-syntax |
配置条目的 DN | cn=Country String Syntax,cn=plugins,cn=config |
描述 | 支持跨国家命名语法值以及来自 RFC 4517 的相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.20. 交付方法语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | delivery-syntax |
配置条目的 DN | cn=Delivery Method Syntax,cn=plugins,cn=config |
描述 | 支持值是来自 RFC 4517 的首选交付方法和相关匹配规则的列表。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.21. deref plug-in
插件参数 | 描述 |
---|---|
Plug-in ID | 解引用 |
配置条目的 DN | cn=deref,cn=plugins,cn=config |
描述 | 在目录搜索中解引用控制 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 数据库 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.22. 区分名称语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | dn-syntax |
配置条目的 DN | cn=Distinguished Name Syntax,cn=plugins,cn=config |
描述 | 支持来自 RFC 4517 的 DN 值语法和相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.23. 分布式数字分配插件
分布式数字分配插件管理数字范围,并将该范围内的唯一数字分配给条目。通过将数字分配划分成范围,分布式数字分配插件允许多个服务器分配数字,而不发生冲突。该插件还管理分配给服务器的范围,以便在一个实例通过其范围快速运行时,它可以从其他服务器请求其他范围。
分布式数字分配可以配置为处理单个属性类型或多个属性类型,并且仅应用于子树中的特定后缀和特定条目。
分布式数字分配按属性处理,且仅适用于子树中的特定后缀和特定条目。
插件信息 | 描述 |
---|---|
Plug-in ID | 分布式数字分配 |
配置条目 DN | cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
描述 | 分布式数字分配插件 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | |
依赖项 | 数据库 |
性能提升信息 | 无 |
6.3.23.1. dnaFilter
此属性设置一个 LDAP 过滤器,用于搜索和识别要应用分布式数字分配范围的条目。
为属性设置分布式数字分配需要 dnaFilter
属性。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 任何有效的 LDAP 过滤器 |
默认值 | 无 |
语法 | DirectoryString |
示例 | dnaFilter: (objectclass=person) |
6.3.23.2. dnaHostname
此属性标识共享范围内的服务器的主机名,作为多层次复制中该特定主机的 DNA 范围配置的一部分。可用的范围由主机跟踪,范围信息在所有供应商间复制,以便在任何供应商在可用数字上运行较低时,可以使用主机信息联系另一个供应商并请求新的范围。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
语法 | DirectoryString |
有效范围 | 任何有效的主机名 |
默认值 | 无 |
示例 | dnahostname: ldap1.example.com |
6.3.23.3. dnaInterval
此属性设置一个间隔,用于递增范围中的数字。本质上,这会以预定义的速率跳过数字。如果间隔为 3
,且范围中的第一个数字为 1
,则范围中使用的下一个数字为 4
,然后是 7
,然后是 10
,每新数字分配增加三。
在复制环境中,dnaInterval
启用多个服务器共享相同的范围。但是,当您配置共享同一范围的不同服务器时,请相应地设置 dnaInterval
和 dnaNextVal
参数,以便不同的服务器不会生成相同的值。如果您在复制拓扑中添加新服务器,还必须考虑这一点。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 任何整数 |
默认值 | 1 |
语法 | 整数 |
示例 | dnaInterval: 1 |
6.3.23.4. dnaMagicRegen
此属性设置用户定义的值,指示插件为条目分配新值。magic 值可用于为现有条目分配新唯一数字,或者在添加新条目时作为标准设置。
magic 条目应位于服务器的定义范围之外,以便无法被意外触发。请注意,在 DirectoryString 或者其它字符类型中使用时,此属性不必是一个数字。但是,在大多数情形中,DNA 插件用于只接受整数值的属性,在这种情况下,dnamagicregen
值也必须是整数。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 任何字符串 |
默认值 | 无 |
语法 | DirectoryString |
示例 | dnaMagicRegen: -1 |
6.3.23.5. dnaMaxValue
此属性设置可为范围分配的最大值。默认值为 -1,
它与设置最高的 64 位整数相同。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 1 到 32 位系统上最大 32 位整数,以及 64 位系统上的最大 64 位整数;-1 代表无限 |
默认值 | -1 |
语法 | 整数 |
示例 | dnaMaxValue: 1000 |
6.3.23.6. dnaNextRange
此属性定义在当前范围耗尽时要使用的下一个范围。这个值会在服务器间传输范围时自动设置,但也可以手动设置将范围添加到服务器(如果没有使用范围请求)。
只有在必须将特定范围分配给其他服务器时,才应明确设置 dnaNextRange
属性。dnaNextRange
属性中设置的任何范围都必须在可用范围内为其他服务器唯一,以避免重复。如果没有来自其他服务器的请求,并且设置了 dnaNextRange
的服务器已明确达到其 set dnaMaxValue
,则从此 deck 中分配下一个值(除 dnaNextRange
)中。
dnaNextRange
分配也限制在 DNA 配置中设置的 dnaThreshold
属性。为 dnaNextRange
分配给其他服务器的任何范围都无法违反服务器的阈值,即使范围在 dnaNextRange
的 deck 上可用。
如果没有明确设置,如果在内部处理 dnaNextRange
属性。当它被自动处理时,dnaMaxValue
属性充当下一个范围的上限。
属性设置格式为 lower_range-upper_range 的范围。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 1 到 32 位系统中最大 32 位整数,以及 64 位系统上用于低和大写的 64 位整数 |
默认值 | 无 |
语法 | DirectoryString |
示例 | dnaNextRange: 100-500 |
6.3.23.7. dnaNextValue
此属性提供可以分配的下一个可用数字。在最初在配置条目中设置后,此属性由分布式数字分配插件管理。
为属性设置分布式数字分配需要 dnaNextValue
属性。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 1 到 32 位系统上最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
默认值 | -1 |
语法 | 整数 |
示例 | dnaNextValue: 1 |
6.3.23.8. dnaPluginConfig (对象类)
此对象类用于配置分配给条目的 DNA 插件和数字范围的条目。
此对象类在 Directory Server 中定义。
优越的类
top
OID
2.16.840.1.113730.3.2.324
允许的属性
- dnaType
- dnaPrefix
- dnaNextValue
- dnaMaxValue
- dnaInterval
- dnaMagicRegen
- dnaFilter
- dnaScope
- dnaSharedCfgDN
- dnaThreshold
- dnaNextRange
- dnaRangeRequestTimeout
- cn
6.3.23.9. dnaPortNum
此属性提供用于连接到 dnaHostname
中指定的主机的标准端口号。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
语法 | 整数 |
有效范围 | 0 到 65535 |
默认值 | 389 |
示例 | dnaPortNum: 389 |
6.3.23.10. dnaPrefix
此属性定义一个前缀,可以添加到属性生成的数字值中。例如,要生成用户 ID,如 user1000
,dnaPrefix
设置应为 用户
。
dnaPrefix
可以保存任何类型的字符串。但是,dnaType
(如 uidNumber
和 gidNumber
)的一些可能值只需要整数值。要使用前缀字符串,请考虑为 dnaType
使用自定义属性,允许字符串。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 任何字符串 |
默认值 | 无 |
示例 | dnaPrefix: id |
6.3.23.11. dnaRangeRequestTimeout
分布式数字分配插件的一个潜在情况是,一个服务器开始耗尽要分配的数字。dnaThreshold
属性设置范围内可用数字的阈值,以便服务器可以在无法执行编号分配前从其他服务器请求额外的范围。
dnaRangeRequestTimeout
属性为范围请求设置一个超时周期(以秒为单位),以便服务器不会停止等待一个服务器的新范围,并可以从新服务器请求范围。
对于要执行的范围请求,必须设置 dnaSharedCfgDN
属性。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 1 到 32 位系统上最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
默认值 | 10 |
语法 | 整数 |
示例 | dnaRangeRequestTimeout: 15 |
6.3.23.12. dnaRemainingValues
此属性包含剩余的值数,并可用于分配给条目的服务器。
参数 | 描述 |
---|---|
条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
语法 | 整数 |
有效范围 | 任何整数 |
默认值 | 无 |
示例 | dnaRemainingValues: 1000 |
6.3.23.13. dnaRemoteBindCred
指定 Replication Manager 的密码。如果您在需要身份验证的 dnaRemoteBindMethod
属性中设置了 bind 方法,请在 cn=config
条目下为复制部署中的每个服务器设置 dnaRemoteBindCred
参数。
以纯文本设置参数。该值会在存储前自动使用 AES 加密。
需要重新启动服务器才能使更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
语法 | DirectoryString {AES} encrypted_password |
有效值 | 任何有效的 AES 加密密码。 |
默认值 | |
示例 | dnaRemoteBindCred: {AES-TUhNR0NTcUdTSWIzRFFFRkRUQm1NRVVHQ1NxR1NJYjNEUUVGRERBNEJDUmxObUk0WXpjM1l5MHdaVE5rTXpZNA0KTnkxaEUVGRERBNEJDUmxObUk |
6.3.23.14. dnaRemoteBindDN
指定复制管理器 DN。如果您在需要身份验证的 dnaRemoteBindMethod
属性中设置了 bind 方法,请在 cn=config
条目下为复制部署中的每个服务器设置 dnaRemoteBindCred
参数。
需要重新启动服务器才能使更改生效。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
语法 | DirectoryString |
有效值 | 任何有效的 Replication Manager DN。 |
默认值 | |
示例 | dnaRemoteBindDN: cn=replication manager,cn=config |
6.3.23.15. dnaRemoteBindMethod
指定远程绑定方法。如果您在需要身份验证的此属性中设置 bind 方法,还要在 cn=config
条目下为复制部署中的每个服务器设置 dnaRemoteBindDN
和 dnaRemoteBindCred
参数。
需要重新启动服务器才能使更改生效。
参数 | 描述 |
---|---|
条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
语法 | DirectoryString |
有效值 |
|
默认值 | |
示例 | dnaRemoteBindMethod: SIMPLE |
6.3.23.16. dnaRemoteConnProtocol
指定远程连接协议。
需要重新启动服务器才能使更改生效。
参数 | 描述 |
---|---|
条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
语法 | DirectoryString |
有效值 |
|
默认值 | |
示例 | dnaRemoteConnProtocol: LDAP |
6.3.23.17. dnaScope
此属性设置基本 DN,以搜索要应用分布式数字分配的条目。这与 ldapsearch
中的基本 DN 类似。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器条目 |
默认值 | 无 |
语法 | DirectoryString |
示例 | dnaScope: ou=people,dc=example,dc=com |
6.3.23.18. dnaSecurePortNum
此属性提供用于连接到 dnaHostname
中指定的主机的安全(TLS)端口号。
参数 | 描述 |
---|---|
条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
语法 | 整数 |
有效范围 | 0 到 65535 |
默认值 | 636 |
示例 | dnaSecurePortNum: 636 |
6.3.23.21. dnaThreshold
分布式数字分配插件的一个潜在情况是,其中一个服务器开始耗尽数字来分配数字,这可能会导致问题。分布式数字分配插件允许服务器从其他服务器上的可用范围请求新范围。
因此,服务器可以在达到其分配范围的末尾识别,因此 dnaThreshold
属性会在范围内设置剩余的可用数字的阈值。当服务器达到阈值时,它会发送新范围的请求。
对于要执行的范围请求,必须设置 dnaSharedCfgDN
属性。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 1 到 32 位系统上最大 32 位整数,以及 64 位系统上的最大 64 位整数 |
默认值 | 100 |
语法 | 整数 |
示例 | dnaThreshold: 100 |
6.3.23.22. dnaType
此属性设置哪些属性具有为其生成唯一数字。在这种情况下,每当属性通过 magic 数字添加到条目中时,会自动提供分配的值。
为属性设置分布式数字分配需要此属性。
如果设置了 dnaPrefix
属性,则前缀值会添加到 dnaType
生成的任何值前。dnaPrefix
值可以是任意字符串类型,但 dnaType
(如 uidNumber
和 gidNumber
)的一些合理值只需要整数值。要使用前缀字符串,请考虑为 dnaType
使用自定义属性,允许字符串。
参数 | 描述 |
---|---|
条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器属性 |
默认值 | 无 |
示例 | dnaType: uidNumber |
6.3.24. 增强的指南语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | enhancedguide-syntax |
配置条目的 DN | cn=Enhanced Guide Syntax,cn=plugins,cn=config |
描述 | 支持基于属性和过滤器创建复杂条件的语法和相关匹配规则,从 RFC 4517 构建搜索。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.25. Facsimile Telephone Number Syntax 插件
插件参数 | 描述 |
---|---|
Plug-in ID | facsimile-syntax |
配置条目的 DN | cn=Facsimile Telephone Number Syntax,cn=plugins,cn=config |
描述 | 支持传真号码的语法和相关匹配规则;来自 RFC 4517。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.26. 传真语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | fax-syntax |
配置条目的 DN | cn=Fax Syntax,cn=plugins,cn=config |
描述 | 支持语法和相关匹配规则,用于存储传真对象的镜像;来自 RFC 4517。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.27. 常规化时间语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | time-syntax |
配置条目的 DN | cn=Generalized Time Syntax,cn=plugins,cn=config |
描述 | 支持处理日期、时间和时区的语法和相关匹配规则;来自 RFC 4517。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 | Generalized Time String 包括四位数、两位月(例如,1 月 1 日)、两位数天、两位数小时、两位数、两位数、两位数秒、一个可选的十进制部分,以及一个时区表示。红帽强烈建议您使用 Z 时区表示 Greenwich Mean Time。 另请参阅 RFC 4517。 |
6.3.28. 指南语法插件
这个语法已弃用。改为使用 Enhanced Guide 语法。
插件参数 | 描述 |
---|---|
Plug-in ID | guide-syntax |
配置条目的 DN | cn=Guide Syntax,cn=plugins,cn=config |
描述 | 基于属性和过滤器创建复杂条件的语法,用于构建搜索 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 | 这个语法已过时。应使用增强的指南语法。 |
6.3.29. HTTP 客户端插件
插件参数 | 描述 |
---|---|
Plug-in ID | http-client |
配置条目的 DN | cn=HTTP Client,cn=plugins,cn=config |
描述 | HTTP 客户端插件 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 数据库 |
性能提升信息 |
6.3.30. 整数语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | int-syntax |
配置条目的 DN | cn=Integer Syntax,cn=plugins,cn=config |
描述 | 支持来自 RFC 4517 的整数语法和相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.31. 国际化插件
插件参数 | 描述 |
---|---|
Plug-in ID | orderingrule |
配置条目的 DN | cn=Internationalization Plugin,cn=plugins,cn=config |
描述 | 启用国际化字符串在目录中排序 |
类型 | matchingrule |
可配置选项 | on | off |
默认设置 | on |
可配置参数 |
国际插件有一个参数,不得修改该参数,该参数指定 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.32. JPEG 语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | jpeg-syntax |
配置条目的 DN | cn=JPEG Syntax,cn=plugins,cn=config |
描述 | 支持 JPEG 镜像数据的语法和相关匹配规则;来自 RFC 4517。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.33. ldbm database plug-in
插件参数 | 描述 |
---|---|
Plug-in ID | ldbm-backend |
配置条目的 DN | cn=ldbm database,cn=plugins,cn=config |
描述 | 实施本地数据库 |
类型 | database |
可配置选项 | |
默认设置 | on |
可配置参数 | 无 |
依赖项 | * 语法 * matchingRule |
性能提升信息 | 有关数据库配置的详情,请查看 第 6.4 节 “数据库插件属性”。 |
6.3.34. 链接的属性插件
多次,条目彼此之间具有固有的关系(如经理和员工、记录条目及其作者、或特殊组和组成员)。虽然存在反映这些关系的属性,但必须在每个条目上手动添加和更新这些属性。这会导致目录数据集合不一致,其中这些条目关系不明确、过时或缺失。
Linked Attributes Plug-in 允许一个属性(在一个条目中设置)来自动更新另一个条目中的另一个属性。第一个属性具有一个指向要更新的条目的 DN 值;第二个条目属性也具有 DN 值,它是第一个条目的 back-pointer。受用户设置的 link 属性以及受影响条目中的动态更新的"managed"属性都由 Linked Attributes Plug-in 实例中管理员定义。
从概念上讲,这与 MemberOf 插件使用 group 条目中的 member
属性在用户条目中设置 memberOf
属性的方式类似。只有在 Linked 属性插件中,所有 link/managed 属性都是用户定义的,并可有多个插件实例,各自反映不同的链接管理的关系。
链接属性有几个注意事项:
- link 属性和 managed 属性必须具有 DN 作为值。link 属性中的 DN 指向要向其添加 managed 属性的条目。managed 属性包含链接的条目 DN 作为其值。
- managed 属性必须是 multi-valued。否则,如果多个链接属性指向同一受管条目,则不会准确更新 managed 属性值。
插件参数 | 描述 |
---|---|
Plug-in ID | 链接的属性 |
配置条目的 DN | cn=Linked Attributes,cn=plugins,cn=config |
描述 |
链接管理的属性配置条目的容器条目。容器下的每个配置条目都会从一个属性链接到另一个属性,以便在更新一个条目时(如管理器条目),然后与该条目关联的任何条目(如自定义 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | none 对于主插件条目。每个插件实例都有三个可能的属性: * linkType,它为插件设置要监控的主要属性 * managedType,它设置每当修改 linkType 中的属性时由插件动态管理的属性 * linkScope,将插件活动限制为目录树中的特定子树 |
依赖项 | 数据库 |
性能提升信息 | linkType 中设置的任何属性都必须只允许 DN 格式的值。managedType 中设置的任何属性都必须是多值。 |
6.3.34.1. linkScope
这限制了插件的范围,因此它只在特定子树或后缀中运行。如果未指定范围,则插件将更新目录树的任何部分。
参数 | 描述 |
---|---|
条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
有效范围 | 任何 DN |
默认值 | 无 |
语法 | DN |
示例 | linkScope: ou=People,dc=example,dc=com |
6.3.34.2. linkType
这将设置 user-managed 属性。此属性由用户修改和维护,然后在此属性值更改时,目标条目中会自动更新链接的属性。
参数 | 描述 |
---|---|
条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
有效范围 | 任何目录服务器属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | linkType: directReport |
6.3.34.3. managedType
这将设置 managed, 或 插件维护的属性。此属性由 Linked 属性插件实例动态管理。每当对 managed 属性进行更改时,插件会更新目标条目上的所有链接属性。
参数 | 描述 |
---|---|
条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
有效范围 | 任何目录服务器属性 |
默认值 | 无 |
语法 | DN |
示例 | managedType: manager |
6.3.35. 受管条目插件
在某些唯一情况下,在创建另一个条目时自动创建条目非常有用。例如,这可以是 Posix 集成的一部分,方法是在创建新用户时创建特定的组条目。Managed Entries 插件的每个实例都标识两个区域:
- 插件的范围,即子树和搜索过滤器,用于识别需要对应受管条目的条目
- 定义受管条目应是什么的模板条目
插件信息 | 描述 |
---|---|
Plug-in ID | 受管条目 |
配置条目 DN | cn=Managed Entries,cn=plugins,cn=config |
描述 | 自动生成的目录条目的容器条目。每个配置条目都会定义一个目标子树和模板条目。创建目标子树中的匹配条目时,插件会自动基于模板创建新的相关条目。 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | none 对于主插件条目。每个插件实例都有 4 个可能的属性: * originScope,它设定搜索基础 * originFilter,它为匹配条目设置搜索基础 * managedScope,它设置在其下创建新的受管条目的子树 * managedTemplate,这是用于创建受管条目的模板条目 |
依赖项 | 数据库 |
性能提升信息 | 无 |
6.3.35.1. managedBase
此属性设置在其中创建受管条目的子树。这可以是目录树中的任何条目。
参数 | 描述 |
---|---|
条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有效值 | 任何目录服务器子树 |
默认值 | 无 |
语法 | DirectoryString |
示例 | managedBase: ou=groups,dc=example,dc=com |
6.3.35.2. managedTemplate
此属性标识用于创建受管条目的模板条目。此条目可以位于目录树中的任何位置,但建议此条目位于复制后缀中,以便复制中的所有供应商和消费者都使用相同的模板。
用于创建受管条目模板的属性在 Red Hat Directory Server Configuration, Command, and File Reference 中进行了描述。
参数 | 描述 |
---|---|
条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有效值 |
|
默认值 | 无 |
语法 | DirectoryString |
示例 | managedTemplate: cn=My Template,ou=Templates,dc=example,dc=com |
6.3.35.3. originFilter
此属性设置搜索过滤器,用于搜索和识别需要受管条目的子树中的条目。过滤器允许受管条目行为限制为特定类型的条目或条目子集。语法与常规搜索过滤器相同。
参数 | 描述 |
---|---|
条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有效值 | 任何有效的 LDAP 过滤器 |
默认值 | 无 |
语法 | DirectoryString |
示例 | originFilter: objectclass=posixAccount |
6.3.35.4. originScope
此属性设置搜索范围,用于查看插件监控的条目。如果在范围子树中创建了新条目,则 Managed Entries 插件会创建一个对应的新受管条目。
参数 | 描述 |
---|---|
条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有效值 | 任何目录服务器子树 |
默认值 | 无 |
语法 | DirectoryString |
示例 | originScope: ou=people,dc=example,dc=com |
6.3.36. memberOf 插件
组成员资格使用 成员
等属性在组条目内定义。通过搜索 member
属性,可以轻松地列出组的所有成员。但是,组成员资格不会反映在成员的用户条目中,因此无法通过查看用户条目来告知个人所属的组。
MemberOf 插件通过识别组条目中特定成员属性(如成员)的更改,将组成员中的组成员资格与 成员
的单个目录条目同步,然后重新写入成员用户条目中的特定属性的成员资格更改。
插件信息 | 描述 |
---|---|
Plug-in ID | memberOf |
配置条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
描述 |
根据组条目中的成员属性,管理用户条目上的 |
类型 | Postoperation |
可配置选项 | on | off |
默认设置 | off |
可配置参数 |
*
* |
依赖项 | 数据库 |
性能提升信息 | 无 |
6.3.36.1. cn
设置插件实例的名称。
参数 | 描述 |
---|---|
条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有效值 | 任何有效的字符串 |
默认值 | |
语法 | DirectoryString |
示例 | cn: MemberOf Plugin 实例示例 |
6.3.36.2. memberOfAllBackends
此属性指定是否为用户条目或所有可用后缀搜索本地后缀。这可以在目录树中实现,在多个数据库中分发用户,以便全面且一致地评估组成员资格。
参数 | 描述 |
---|---|
条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有效值 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | memberOfAllBackends: on |
6.3.36.3. memberOfAttr
此属性指定 Directory Server 的用户条目中的属性,用于反映组成员资格。MemberOf 插件为成员的目录条目生成此处指定的属性值。用户所属的每个组都有一个单独的属性。
参数 | 描述 |
---|---|
条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器属性 |
默认值 | memberOf |
语法 | DirectoryString |
示例 | memberOfAttr: memberOf |
6.3.36.4. memberOfAutoAddOC
要启用 memberOf
插件向用户添加 memberOf
属性,用户对象必须包含允许此属性的对象类。如果条目没有允许 memberOf
属性的对象类,则 memberOf
插件将自动添加 memberOfAutoAddOC
参数中列出的对象类。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有效值 | 任何目录服务器对象类 |
默认值 | nsMemberOf |
语法 | DirectoryString |
示例 | memberOfAutoAddOC: nsMemberOf |
6.3.36.5. memberOfEntryScope
如果您配置了几个后端或多个嵌套后缀,则多值 memberOfEntryScope
参数允许您设置 MemberOf
插件工作的后缀。如果没有设置该参数,则插件可用于所有后缀。memberOfEntryScopeExcludeSubtree
参数中设置的值的优先级高于 memberOfEntryScope
中设置的值。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器条目 DN。 |
默认值 | |
语法 | DirectoryString |
示例 | memberOfEntryScope: ou=people,dc=example,dc=com |
6.3.36.6. memberOfEntryScopeExcludeSubtree
如果您配置了几个后端或多个嵌套后缀,则多值 memberOfEntryScopeExcludeSubtree
参数可让您设置 MemberOf
插件排除的后缀。memberOfEntryScopeExcludeSubtree
参数中设置的值的优先级高于 memberOfEntryScope
中设置的值。如果两个参数中设置的范围重叠,则 MemberOf
插件仅适用于非重叠的目录条目。
此设置不需要重启服务器才能生效。
参数 | 描述 |
---|---|
条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器条目 DN。 |
默认值 | |
语法 | DirectoryString |
示例 | memberOfEntryScopeExcludeSubtree: ou=sample,dc=example,dc=com |
6.3.36.7. memberOfGroupAttr
此属性指定组条目中的属性,用于识别组成员的 DN。默认情况下,这是 member
属性,但可以是包含 DN 值的任何成员资格属性,如 uniquemember
或 member
。
任何属性都可用于 memberOfGroupAttr
值,但只有 target 属性的值包含成员条目的 DN 时,MemberOf 插件才有效。例如,member
属性包含成员用户条目的 DN:
member: uid=jsmith,ou=People,dc=example,dc=com
某些与成员相关的属性不包含 DN,如 memberURL
属性。该属性不能作为 memberOfGroupAttr
的值。memberURL
值是一个 URL,非DN 值无法使用 MemberOf 插件。
参数 | 描述 |
---|---|
条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有效范围 | 任何目录服务器属性 |
默认值 | 成员 |
语法 | DirectoryString |
示例 | memberOfGroupAttr: member |
6.3.36.8. memberOfSkipNested
如果您没有在目录中使用嵌套组,请将 memberOfSkipNested
属性设置为 on
,以跳过嵌套组检查。当目录服务器需要更多的 10000 条目中计算成员资格时,它显著提高更新操作的响应时间。
您不需要重新启动服务器以应用更改。
参数 | 描述 |
---|---|
条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有效范围 | on | off |
默认值 | off |
语法 | DirectoryString |
示例 | memberOfSkipNested: off |
6.3.37. multi-supplier Replication 插件
插件参数 | 描述 |
---|---|
Plug-in ID | replication-multisupplier |
配置条目的 DN | cn=Multisupplier Replication Plugin,cn=plugins,cn=config |
描述 | 启用两个当前目录服务器之间的复制 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | * named: ldbm database * named: DES * 命名: 服务类 |
性能提升信息 | |
更多信息 | 如果一个服务器永远不会复制,则关闭此插件。 |
6.3.38. 名称和可选 UID 语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | nameoptuid-syntax |
配置条目的 DN | cn=Name and Optional UID Syntax,cn=plugins,cn=config |
描述 | 支持语法和相关匹配规则,以存储和搜索具有可选唯一 ID 的 DN;来自 RFC 4517。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 | 可选 UID 用于区分可能具有相同 DN 或命名属性的条目。 另请参阅 RFC 4517。 |
6.3.39. 数字字符串语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | numstr-syntax |
配置条目的 DN | cn=Numeric String Syntax,cn=plugins,cn=config |
描述 | 支持用于字符串数字和空格的语法和相关匹配规则;来自 RFC 4517。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.40. octet String Syntax 插件
使用 Octet String 语法而不是 Binary,它已被弃用。
插件参数 | 描述 |
---|---|
Plug-in ID | octetstring-syntax |
配置条目的 DN | cn=Octet String Syntax,cn=plugins,cn=config |
描述 | 支持来自 RFC 4517 的 octet 字符串语法和相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.41. OID 语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | oid-syntax |
配置条目的 DN | cn=OID Syntax,cn=plugins,cn=config |
描述 | 支持对象标识符(OID)语法以及 RFC 4517 中相关的匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.42. PAM Pass Through Auth 插件
Unix 系统上的本地 PAM 配置可为 LDAP 用户利用外部身份验证存储。这是直通身份验证的一种形式,允许 Directory 服务器使用外部存储的用户凭证来访问目录。
PAM 直通身份验证是在 PAM Pass Through Auth Plug-in 容器条目下的子条目中配置的。所有可能的配置属性用于 PAM 身份验证(在 60pam-plugin.ldif
架构文件中定义)可用于子条目;子条目必须是 PAM 配置对象类的实例。
例 6.4. PAM Pass Auth 配置条目示例
dn: cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: PAM Pass Through Auth nsslapd-pluginPath: libpam-passthru-plugin nsslapd-pluginInitfunc: pam_passthruauth_init nsslapd-pluginType: preoperation pass:quotes[nsslapd-pluginEnabled: on
] nsslapd-pluginLoadGlobal: true nsslapd-plugin-depends-on-type: database nsslapd-pluginId: pam_passthruauth nsslapd-pluginVersion: 9.0.0 nsslapd-pluginVendor: Red Hat nsslapd-pluginDescription: PAM pass through authentication plugin dn: cn=Example PAM Config,cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: Example PAM Config pamMissingSuffix: ALLOW pass:quotes[pamExcludeSuffix: cn=config
] pass:quotes[pamIDMapMethod: RDN ou=people,dc=example,dc=com
] pass:quotes[pamIDMapMethod: ENTRY ou=engineering,dc=example,dc=com
] pass:quotes[pamIDAttr: customPamUid
] pass:quotes[pamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)
] pamFallback: FALSE pass:quotes[pamSecure: TRUE
] pass:quotes[pamService: ldapserver
]
在最低程度上,PAM 配置必须定义一个映射方法(确定 PAM 用户 ID 来自 Directory Server 条目)、要使用的 PAM 服务器,以及是否使用安全连接。
pamIDMapMethod: RDN pamSecure: FALSE pamService: ldapserver
可以为特殊设置扩展配置,如排除或专门包含子树,或者将特定属性值映射到 PAM 用户 ID。
插件参数 | 描述 |
---|---|
Plug-in ID | pam_passthruauth |
配置条目的 DN | cn=PAM Pass Through Auth,cn=plugins,cn=config |
描述 | 为 PAM 启用直通身份验证,这意味着 PAM 服务可以使用目录服务器作为其用户身份验证存储。 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 数据库 |
性能提升信息 |
6.3.42.1. pamConfig (对象类)
此对象类用于定义与目录服务交互的 PAM 配置。此对象类在 Directory Server 中定义。
优越的类
top
OID
2.16.840.1.113730.3.2.318
允许的属性
-
pamExcludeSuffix
-
pamIncludeSuffix
-
pamMissingSuffix
-
pamFilter
-
pamIDAttr
-
pamIDMapMethod
-
pamFallback
-
pamSecure
-
pamService
-
nsslapd-pluginConfigArea
6.3.42.2. pamExcludeSuffix
此属性指定要从 PAM 身份验证中排除的后缀。
OID | 2.16.840.1.113730.3.1.2068 |
语法 | DN |
multi- 或 Single-Valued | 多值 |
定义在 | 目录服务器 |
6.3.42.3. pamFallback
设置在 PAM 身份验证失败时是否回退到常规 LDAP 身份验证。
OID | 2.16.840.1.113730.3.1.2072 |
语法 | 布尔值 |
multi- 或 Single-Valued | 单值 |
定义在 | 目录服务器 |
6.3.42.4. pamFilter
设置 LDAP 过滤器,用于识别包含的后缀中的特定条目,以使用 PAM 直通身份验证。如果没有设置,则后缀中的所有条目都由配置条目为目标。
OID | 2.16.840.1.113730.3.1.2131 |
语法 | 布尔值 |
multi- 或 Single-Valued | 单值 |
定义在 | 目录服务器 |
6.3.42.5. pamIDAttr
此属性包含用于存放 PAM 用户 ID 的属性名称。
OID | 2.16.840.1.113730.3.1.2071 |
语法 | DirectoryString |
multi- 或 Single-Valued | 多值 |
定义在 | 目录服务器 |
6.3.42.6. pamIDMapMethod
给出将 LDAP 绑定 DN 映射到 PAM 身份的方法。
取消激活目录服务器用户帐户仅使用 ENTRY 映射方法进行验证。使用 RDN 或 DN 时,其帐户处于激活的目录服务器用户仍然可以成功绑定到服务器。
OID | 2.16.840.1.113730.3.1.2070 |
语法 | DirectoryString |
multi- 或 Single-Valued | 单值 |
定义在 | 目录服务器 |
6.3.42.7. pamIncludeSuffix
此属性将包含的后缀设置为 PAM 身份验证。
OID | 2.16.840.1.113730.3.1.2067 |
语法 | DN |
multi- 或 Single-Valued | 多值 |
定义在 | 目录服务器 |
6.3.42.8. pamMissingSuffix
标识如何处理缺少的 include 或 exclude 后缀。选项为 ERROR (这会导致 bind 操作失败);ALLOW,它会记录错误,但允许操作继续进行;IGNORE 允许操作且不记录任何错误。
OID | 2.16.840.1.113730.3.1.2069 |
语法 | DirectoryString |
multi- 或 Single-Valued | 单值 |
定义在 | 目录服务器 |
6.3.42.9. pamSecure
需要安全 TLS 连接才能进行 PAM 身份验证。
OID | 2.16.840.1.113730.3.1.2073 |
语法 | 布尔值 |
multi- 或 Single-Valued | 单值 |
定义在 | 目录服务器 |
6.3.42.10. pamService
包含要传递给 PAM 的服务名称。这假定指定的服务在 /etc/pam.d/
目录中有一个配置文件。
pam_fprintd.so
模块不能位于 PAM Pass-Through 身份验证插件配置的 pamService
属性引用的配置文件中。使用 PAM pam_fprintd.so
模块会导致目录服务器达到最大文件描述符限制,并可能导致 Directory Server 进程中止。
pam_fprintd.so
模块不能位于 PAM Pass-Through 身份验证插件配置的 pamService
属性引用的配置文件中。使用 PAM fprintd
模块会导致目录服务器达到最大文件描述符限制,并可能导致 Directory 服务器进程中止。
OID | 2.16.840.1.113730.3.1.2074 |
语法 | IA5String |
multi- 或 Single-Valued | 单值 |
定义在 | 目录服务器 |
6.3.43. 透传身份验证插件
插件参数 | 描述 |
---|---|
Plug-in ID | passthruauth |
配置条目的 DN | cn=Pass Through Authentication,cn=plugins,cn=config |
描述 | 启用 直通身份验证,此机制允许一个目录查阅另一个目录来验证绑定请求。 |
类型 | preoperation |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | ldap://example.com:389/o=example |
依赖项 | 数据库 |
性能提升信息 | 直通身份验证会稍微减慢绑定请求,因为它们必须向远程服务器创建额外的跃点。 |
6.3.44. 密码存储方案
目录服务器将密码存储方案实施为插件。但是,cn=Password 存储 Schemes,cn=plugins,cn=config
条目本身只是一个容器,而不是插件条目。所有密码存储方案插件都作为该容器的子条目存储。
要显示所有密码存储方案插件,请输入:
# ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x \
-b "cn=Password Storage Schemes,cn=plugins,cn=config" -s sub "(objectclass=*)" dn
红帽建议不要禁用密码方案插件,也不要更改插件的配置,以防止无法预计的身份验证行为。
强大的密码存储方案
红帽建议只使用以下强大的密码存储方案(最首先):
-
PBKDF2-SHA512
(默认)。PBKDF2-SHA512
比PBKDF2_SHA256
更安全。
基于密码的密钥派生功能 2 (PBKDF2)旨在减少资源以对恶意的强制攻击。PBKDF2 支持变量迭代来应用哈希算法。更高的迭代提高了安全性,但需要更多硬件资源。要应用 PBKDF2-SHA512 算法,目录服务器使用 10,000 迭代。
Red Hat Enterprise Linux 6 中的网络安全服务(NSS)数据库不支持 PBKDF2。因此,您无法在 Directory Server 9 的复制拓扑中使用此密码方案。
-
SSHA512
salt 的安全哈希算法(SSHA)实施安全哈希算法(SHA)的改进版本,它使用随机生成的 salt 来提高哈希密码的安全性。SSHA512
使用 512 位实施哈希算法。
弱密码存储方案
除了推荐的强密码存储方案外,目录服务器还支持以下弱点方案以向后兼容:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
目录服务器只支持使用此方案进行身份验证。您无法再使用它来加密密码。
[b]
160 位
|
仅在短时间内继续使用弱方案,因为它会增加安全风险。
6.3.45. POSIX Winsync API 插件
默认情况下,与 Posix 相关的属性不会在 Active Directory 和 {PRODUCT} 之间同步。在 Linux 系统中,系统用户和组被识别为 Posix 条目,LDAP Posix 属性包含该所需信息。但是,当 Windows 用户同步时,它们会自动添加 ntUser
和 ntGroup
属性,将其识别为 Windows 帐户,但没有同步 Posix 属性(即使它们存在于 Active Directory 条目上),也不会在 Directory Server 端添加 Posix 属性。
Posix Winsync API 插件在 Active Directory 和 Directory Server 条目之间同步 POSIX 属性。
所有 POSIX 属性(如 uidNumber
、gidNumber
和 homeDirectory
)都在 Active Directory 和 Directory Server 条目之间同步。但是,如果将新的 POSIX 条目或 POSIX 属性添加到目录服务器的现有条目中,则只有 POSIX 属性与 Active Directory 对应的条目同步。POSIX 对象类(posixAccount
用于用户,posixGroup
用于组)不会添加到 Active Directory 条目。
此插件默认为禁用,必须在任何 Posix 属性将从 Active Directory 条目同步到 Directory Server 条目前启用。
插件参数 | 描述 |
---|---|
Plug-in ID | posix-winsync-plugin |
配置条目的 DN | cn=Posix Winsync API,cn=plugins,cn=config |
描述 | 为 Active Directory 用户和组条目上设置的 Posix 属性启用并配置 Windows 同步。 |
类型 | preoperation |
可配置参数 | * on | off * memberuid 映射(groups) * 在小写(组)中转换并排序 memberUID 值 * memberOf fix-up 任务与同步操作 * 使用 Windows 2003 Posix 模式 |
默认设置 | off |
可配置参数 | 无 |
依赖项 | database |
6.3.45.1. posixWinsyncCreateMemberOfTask
此属性设置是否在同步运行后立即运行 memberOf fix-up 任务,以便更新同步用户的组成员资格。这默认是禁用的,因为 memberOf 修复任务可能会大量资源,并在运行太频繁时导致性能问题。
参数 | 描述 |
---|---|
条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
有效范围 | true | false |
默认值 | false |
示例 | posixWinsyncCreateMemberOfTask: false |
6.3.45.2. posixWinsyncLowerCaseUID
此属性设定是否要在小写的 memberUID
属性中存储(以及转换)UID 值。
参数 | 描述 |
---|---|
条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
有效范围 | true | false |
默认值 | false |
示例 | posixWinsyncLowerCaseUID: false |
6.3.45.3. posixWinsyncMapMemberUID
此属性设置是否将 Active Directory 组中的 memberUID
属性映射到目录服务器组中的 uniqueMember
属性。
参数 | 描述 |
---|---|
条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
有效范围 | true | false |
默认值 | true |
示例 | posixWinsyncMapMemberUID: false |
6.3.45.4. posixWinsyncMapNestedGrouping
当 Active Directory POSIX 组中的 memberUID
属性改变时,posixWinsyncMap NestedGrouping
参数会管理。更新嵌套组受到支持 5 级的深度。
参数 | 描述 |
---|---|
条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
有效范围 | true | false |
默认值 | false |
示例 | posixWinsyncMapNestedGrouping: false |
6.3.45.5. posixWinsyncMsSFUSchema
此属性设置在从 Active Directory 同步 Posix 属性时是否为 Unix 3.0 (msSFU30)模式的旧 Microsoft System Services。默认情况下,Posix Winsync API 插件将 Posix 模式用于现代 Active Directory 服务器:2005、2008 及更新版本。现代 Active Directory Posix 模式与 Windows Server 2003 和较旧的 Windows 服务器使用的 Posix 模式之间存在一些区别。如果 Active Directory 域使用较旧的样式模式,则可以改为使用较早样式的模式。
参数 | 描述 |
---|---|
条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
有效范围 | true | false |
默认值 | false |
示例 | posixWinsyncMsSFUSchema: true |
6.3.46. 邮政地址字符串语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | postaladdress-syntax |
配置条目的 DN | cn=Postal Address Syntax,cn=plugins,cn=config |
描述 | 支持来自 RFC 4517 的邮政地址语法和相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.47. 可打印字符串语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | printablestring-syntax |
配置条目的 DN | cn=Printable String Syntax,cn=plugins,cn=config |
描述 | 支持字母数字字符的语法和匹配规则,然后选择标点字符串(字符串符合 RFC 4517中定义的可打印字符串)。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.48. 参考完整性插件
插件参数 | 描述 |
---|---|
Plug-in ID | referint |
配置条目的 DN | cn=Referential Integrity Postoperation,cn=plugins,cn=config |
描述 | 启用服务器以确保引用完整性 |
类型 | Postoperation |
可配置选项 | 所有配置以及 | off |
默认设置 | off |
可配置参数 |
启用后相关的引用完整性插件会在删除或重命名操作后立即对 |
依赖项 | 数据库 |
性能提升信息 | referential Integrity 插件应在多层次复制环境中的所有供应商上启用。在连锁服务器上启用插件时,请务必分析性能资源和时间需求以及完整性需求;完整性检查可能会花费大量时间,且要求在内存和 CPU 上。指定的所有属性都必须索引,才能同时存在和相等。 |
6.3.49. retro Changelog 插件
两种不同类型的更改日志由目录服务器维护。第一种类型(称为 更改日志 )被多层次复制使用,第二个更改日志称为 retro changelog,供 LDAP 客户端用于维护与目录服务器 4.x 版本的兼容性。
这个 Retro Changelog 插件用于记录对供应商服务器的修改。修改供应商服务器的目录时,会将一个条目写入 Retro Changelog 中,其中包含以下任一操作:
- 唯一标识修改的数字。这个数字是与更改日志中的其他条目相关的顺序。
- 修改操作;即,精确地修改目录。
它通过 Retro Changelog 插件,通过搜索 cn=changelog
后缀来访问对目录服务器所做的更改。
插件参数 | 描述 |
---|---|
Plug-in ID | retrocl |
配置条目的 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
描述 |
LDAP 客户端用来维护与目录服务器 4.x 版本的兼容性。维护目录服务器中发生的所有更改的日志。retro changelog 提供了与 Directory Server 4.x 版本中的 changelog 相同的功能。此插件将 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | 有关此插件配置属性的详情,请参考 第 6.3.49 节 “retro Changelog 插件”。 |
依赖项 | * 类型: database * 命名: 服务类 |
性能提升信息 | 可能会减慢目录服务器更新性能的速度。 |
6.3.49.1. isReplicated
此可选属性设置一个标志,以指示更改更改是否在该服务器上新做更改,还是将其从其他服务器复制。
参数 | 描述 |
---|---|
OID | 2.16.840.1.113730.3.1.2085 |
条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有效值 | true | false |
默认值 | 无 |
语法 | 布尔值 |
示例 | isReplicated: true |
6.3.49.2. nsslapd-attribute
此属性明确指定另一个目录服务器属性,该属性必须包含在 retro changelog 条目中。
许多操作属性和其他类型的属性通常不包括在 retro changelog 中,但可能需要为第三方应用程序提供这些属性以使用 changelog 数据。这可以通过使用 nsslapd-attribute
参数列出 retro changelog 插件配置中的属性。
也可以在 nsslapd-attribute
值中为指定属性指定可选别名。
nsslapd-attribute: attribute:pass:attributes[{blank}]alias
对属性使用别名可帮助避免与外部服务器或应用程序中的其他属性冲突,这些属性可能会使用 retro changelog 记录。
将 nsslapd-attribute
属性的值设置为 Replicated 是一种
表示方式,在 retro changelog 条目本身中,是否在本地服务器上进行了修改(即,无论更改是原始更改),还是将更改复制到服务器。
参数 | 描述 |
---|---|
条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有效值 | 任何有效的目录属性(standard 或 custom) |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-attribute: nsUniqueId: uniqueID |
6.3.49.3. nsslapd-changelogdir
此属性指定在插件第一次运行时创建 changelog 数据库的目录名称。默认情况下,数据库与 /var/lib/dirsrv/slapd-instance/changelogdb
下的所有其他数据库存储。
出于性能原因,请将此数据库存储在不同的物理磁盘中。
必须重启服务器才能使此属性生效。
参数 | 描述 |
---|---|
条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有效值 | 该目录的任何有效路径 |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb |
6.3.49.4. nsslapd-changelogmaxage
nsslapd-changelogmaxage
属性设置 changelog 中任何条目的最长期限。更改日志包含每个目录修改的记录,并在同步消费者服务器时使用。每个记录都包含一个时间戳。任何包含比此属性中指定的值旧的时间戳的记录都会被删除。默认情况下,Directory 服务器会删除 7 天以上的记录。如果将此属性设置为 0,则对
更改日志没有年龄限制,而目录服务器会保留所有记录。
当您设置较低值时,retro changelog 的大小会自动减少。
如果协议超过最长期限,则不会删除过期的更改记录。
参数 | 描述 |
---|---|
条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有效范围 | 0 (表示条目不会根据年龄删除)到最大 32 位整数值(2147483647) |
默认值 | 7d |
语法 | DirectoryString IntegerAgeID,其中 AgeID 是:
如果您只设置了不带 AgeID 的整数值,则 Directory 服务器将其取为秒。 |
示例 | nsslapd-changelogmaxage: 30d |
6.3.49.5. nsslapd-exclude-attrs
nsslapd-exclude-attrs
参数存储从 retro changelog 数据库中排除的属性名称。要排除多个属性,请为要排除的每个属性添加一个 nsslapd-exclude-attrs
参数。
参数 | 描述 |
---|---|
条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有效值 | 任何有效的属性名称 |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-exclude-attrs: example |
6.3.49.6. nsslapd-exclude-suffix
nsslapd-exclude-suffix
参数存储从 retro changelog 数据库中排除的后缀。您可以多次添加参数以排除多个后缀。
参数 | 描述 |
---|---|
条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有效值 | 任何有效的属性名称 |
默认值 | 无 |
语法 | DirectoryString |
示例 | nsslapd-exclude-suffix: ou=demo,dc=example,dc=com |
6.3.50. roles 插件
插件参数 | 描述 |
---|---|
Plug-in ID | roles |
配置条目的 DN | cn=Roles Plugin,cn=plugins,cn=config |
描述 | 启用在 Directory 服务器中使用角色 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | * 类型: database * 命名: 状态更改插件 * named: Views Plug-in |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
6.3.51. rootdn Access Control 插件
root DN cn=Directory Manager 是在普通用户数据库外定义的特殊用户条目。普通的访问控制规则不适用于 root DN,但由于 root 用户强大的性质,将某种访问控制规则应用到 root 用户非常有用。
RootDN 访问控制插件在 root 用户上设置普通访问控制 - 主机和 IP 地址限制、日常限制以及每周天数的限制。
此插件默认为禁用。
插件参数 | 描述 |
---|---|
Plug-in ID | rootdn-access-control |
配置条目的 DN | cn=RootDN Access Control,cn=plugins,cn=config |
描述 | 启用并配置用于根 DN 条目的访问控制。 |
类型 | internalpreoperation |
可配置选项 | on | off |
默认设置 | off |
可配置属性 | * rootdn-open-time 和 rootdn-close-time 用于基于时间的访问控制 * 基于日常的访问控制的 rootdn-days-allowed * rootdn-allow-host, rootdn-deny-host, rootdn-allow-ip, 和 rootdn-deny-ip 用于基于主机的访问控制 |
依赖项 | 无 |
6.3.51.1. rootdn-allow-host
这会按完全限定的域名设置哪些主机,root 用户被允许用于访问目录服务器。未列出的任何主机都会隐式拒绝。
允许通配符。
此属性可多次使用,以指定多个主机、域或子域。
参数 | 描述 |
---|---|
条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
有效范围 | 任何有效的主机名或域,包括通配符的星号 packagemanifests |
默认值 | 无 |
语法 | DirectoryString |
示例 | rootdn-allow-host: *.example.com |
6.3.51.2. rootdn-allow-ip
这会设置哪些 IP 地址,可以是 IPv4 或 IPv6,供 root 用户用于访问目录服务器的机器。没有列出的 IP 地址都会被隐式拒绝。
允许通配符。
此属性可多次使用,以指定多个地址、域或子网。
参数 | 描述 |
---|---|
条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
有效范围 | 任何有效的 IPv4 或 IPv6 地址,包括通配符的星号 packagemanifests |
默认值 | 无 |
语法 | DirectoryString |
示例 | rootdn-allow-ip: 192.168.. |
6.3.51.3. rootdn-close-time
这会在允许 root 用户访问目录服务器时设置时间段或范围的一部分。当 root 用户不再允许访问目录服务器时,这将设置。
这与 rootdn-open-time
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
有效范围 | 任何有效时间,采用 24 小时格式 |
默认值 | 无 |
语法 | 整数 |
示例 | rootdn-close-time: 1700 |
6.3.51.4. rootdn-days-allowed
这提供了允许 root 用户用于访问目录服务器的天数的逗号分隔列表。隐式列出的任何天数都会被拒绝。这可以与 rootdn-close-time
和 rootdn-open-time
一起使用,将基于时间的访问和天-周组合,也可以被自身使用(允许的时间允许的所有小时)。
参数 | 描述 |
---|---|
条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
有效值 | * Sun * mon * Tue * 周三 * 周 * Fri * sat |
默认值 | 无 |
语法 | DirectoryString |
示例 | rootdn-days-allowed: Mon, Tue, Wed, Thu, Fri |
6.3.51.5. rootdn-deny-ip
这为 不允许 root 用户访问目录服务器的机器设置 IP 地址(IPv4 或 IPv6)。没有列出的 IP 地址都会被隐式允许。
拒绝规则 supercede allow 规则,因此如果 rootdn-allow-ip
和 rootdn-deny-ip
属性中都列出了 IP 地址,它将被拒绝访问。
允许通配符。
此属性可多次使用,以指定多个地址、域或子网。
参数 | 描述 |
---|---|
条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
有效范围 | 任何有效的 IPv4 或 IPv6 地址,包括通配符的星号 packagemanifests |
默认值 | 无 |
语法 | DirectoryString |
示例 | rootdn-deny-ip: 192.168.0.0 |
6.3.51.6. rootdn-open-time
这会在允许 root 用户访问目录服务器时设置时间段或范围的一部分。当基于时间的访问 开始时,此设置。
这与 rootdn-close-time
属性一起使用。
参数 | 描述 |
---|---|
条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
有效范围 | 任何有效时间,采用 24 小时格式 |
默认值 | 无 |
语法 | 整数 |
示例 | rootdn-open-time: 0800 |
6.3.52. schema Reload 插件
插件信息 | 描述 |
---|---|
Plug-in ID | schemareload |
配置条目 DN | cn=Schema Reload,cn=plugins,cn=config |
描述 | 用于重新加载模式文件的任务插件 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 |
6.3.53. 空格代表敏感字符串语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | none |
配置条目的 DN | cn=Space Insensitive String Syntax,cn=plugins,cn=config |
描述 | 处理空间敏感值的语法 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 | 这个插件可让 Directory 服务器在敏感值 中支持空间和大小写。这允许应用程序使用 ASCII 空格字符的条目搜索目录。
例如,如果使用 |
6.3.54. 状态更改插件
插件参数 | 描述 |
---|---|
Plug-in ID | statechange |
配置条目的 DN | cn=State Change Plugin,cn=plugins,cn=config |
描述 | 启用 state-change-notification 服务 |
类型 | Postoperation |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 |
6.3.55. 语法验证任务插件
插件参数 | 描述 |
---|---|
Plug-in ID | none |
配置条目的 DN | cn=Syntax Validation Task,cn=plugins,cn=config |
描述 | 为属性值启用语法验证 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | |
更多信息 | 此插件实施语法验证任务。执行语法验证的实际进程由每个特定的语法插件执行。 |
6.3.56. telephone Syntax 插件
插件参数 | 描述 |
---|---|
Plug-in ID | tele-syntax |
配置条目的 DN | cn=Telephone Syntax,cn=plugins,cn=config |
描述 | 支持来自 RFC 4517 的电话号码语法和相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.57. Teletex Terminal Identifier Syntax 插件
插件参数 | 描述 |
---|---|
Plug-in ID | teletextermid-syntax |
配置条目的 DN | cn=Teletex Terminal Identifier Syntax,cn=plugins,cn=config |
描述 | 支持来自 RFC 4517 的国际电话号码语法和相关匹配规则。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.58. Telex Number Syntax 插件
插件参数 | 描述 |
---|---|
Plug-in ID | telex-syntax |
配置条目的 DN | cn=Telex Number Syntax,cn=plugins,cn=config |
描述 | 支持用于电话号、国家代码和电话端点代码的语法和相关匹配规则;来自 RFC 4517。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |
更多信息 |
6.3.59. URI 语法插件
插件参数 | 描述 |
---|---|
Plug-in ID | none |
配置条目的 DN | cn=URI Syntax,cn=plugins,cn=config |
描述 | 支持用于唯一资源标识符(URI)的语法和相关匹配规则,包括唯一资源定位器(URL);来自 RFC 4517。 |
类型 | syntax |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | 无 |
依赖项 | 无 |
性能提升信息 | 不要修改此插件的配置。如果启用,红帽建议始终保留此插件运行。 |
更多信息 |
6.3.60. USN 插件
插件参数 | 描述 |
---|---|
Plug-in ID | USN |
配置条目的 DN | cn=USN,cn=plugins,cn=config |
描述 | 为每个目录中的每个条目设置更新序列号(USN),包括添加和删除条目以及修改属性值。 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | off |
可配置参数 | 无 |
依赖项 | 数据库 |
性能提升信息 |
对于复制,建议使用部分复制排除 |
6.3.61. 查看插件
插件参数 | 描述 |
---|---|
Plug-in ID | 视图 |
配置条目的 DN | cn=Views,cn=plugins,cn=config |
描述 | 在目录服务器数据库中启用视图。 |
类型 | 对象 |
可配置选项 | on | off |
默认设置 | on |
可配置参数 | 无 |
依赖项 | * 类型: database * 命名: 状态更改插件 |
性能提升信息 | 不要修改此插件的配置。红帽建议始终运行此插件。 |