[[up>コンピュータ系/ソフトウェア/OpenLDAP/設定/ファイル]] ---- -ディレクトリ: -ファイル名: -役割: -備考: --ln -s /usr/local/etc/openldap /etc/openldapとして,/etcの下に設定ファイルをまとめておくと分かりやすい. --pkgsrcを使ってインストールした場合,ディレクトリ構造が多少違っている. ---- #contents ---- **例: [#u02f470e] [[include>#include]] /usr/local/etc/openldap/schema/core.schema~ ~ [[pidfile>#pidfile]] /usr/local/var/run/slapd.pid~ [[argsfile>#argsfile]] /usr/local/var/run/slapd.args~ ~ [[allow>#allow]] bind_anon_cred~ [[allow>#allow]] bind_anon_dn~ ~ [[access>#access]] to attrs=userPassword~ by self write~ by dn="cn=Manager,dc=my-domain,dc=com" write~ by anonymous auth~ by * none~ [[access>#access]] to *~ by self =rwcsx~ by dn="cn=Manager,dc=my-domain,dc=com" =rwcsx~ by * read~ ~ [[database>#database]] bdb~ [[suffix>#suffix]] "dc=my-domain,dc=com"~ [[rootdn>#rootdn]] "cn=Manager,dc=my-domain,dc=com"~ [[rootpw>#rootpw]] secret~ [[directory>#directory]] /usr/local/var/openldap-data~ [[index>#index]] objectClass eq~ ~ **例:プロバイダ設定 [#rb476c51] ...~ [[overlay>#overlay]] syncprov~ [[syncprov-sessionlog>#syncprov-sessionlog]] 100~ ...~ **例:コンシューマ設定 [#c73fd1c2] ...~ [[syncrepl>#syncrepl]] rid=123~ type=refreshAndPersist~ interval=00:00:05:00~ provider=ldap://192.168.1.179:389/~ bindmethod=simple~ binddn="cn=Admin,dc=my-domain,dc=com"~ credentials=admin~ searchbase="dc=my-domain,dc=com"~ filter=(objectClass=*)~ scope=sub~ ~ **コマンド一覧 [#u5cb89fb] ***access &aname(access); [#x19951a5] -エントリや属性へのアクセス制御機能 --書式: ---access to <what> --- by <target> <access> [control] --書式:<what> ---アクセス制御する対象 ---*:すべてのエントリが対象 ---dn=<dn>:アクセス対象のエントリを指定 ---filter=<ldapfilter>:<ldapfilter>で指定した条件に一致するエントリを対象 ---attrs<attrlist>:指定した属性だけをアクセス対象に.複数の属性を指定する場合,コンマで区切る --書式:<target> ---許可を与えるアクセス者 ---*:すべてのユーザ ---anonymous:匿名ユーザ ---users:認証したユーザ ---self:ユーザ自身 ---dn=<regex>:正規表現<regex>に一致したユーザ --書式:<access>:=をつけると設定,+をつけると追加設定 ---レベル:レベルの略語:意味 ---none::アクセス権なし ---disclose:d:エラー情報の開示 ---auth:x:バインド可能 ---compare:c:比較可能 ---search:s:検索フィルタ実行可能 ---read:r:検索結果参照可能 ---write:w:更新可能 ***allow &aname(allow); [#m73e78bd] -匿名接続の範囲のコントロール --書式:allow <option> --<option>: ---bind_anon_cred:anonymousでのリクエストを受け付ける ---bind_anon_dn:DNが指定されていて認証できない場合でもanonymousでのリクエストとして受け付ける ---update_anon:anonymousの権限で,LDAPデータベース更新要求を受け付ける(non-recommended) ***argsfile &aname(argsfile); [#q7789217] -slapdが起動された引数の情報を保管するファイルの指定. --slapdが読み込み/書き込みできる必要がある.よってこのファイルの所有権をslapdを動作させるユーザ/グループにしておく. ***database &aname(database); [#d30d7dbc] -LDAPのデータを保管するデータベースを指定. --bdb ---Berkeley DBを使って作成されるデータベース. --hdb ---Berkeley DBを使って作成されるデータベース.各エントリを階層構造のまま管理. ***directory &aname(directory); [#k5ec088d] -データベースを保管するディレクトリ ***include &aname(include); [#m3712131] -スキーマファイルの読み込み --主なスキーマ ---core.schema:core.必須 ***index &aname(index); [#d9fbe2f6] 役割:インデックスをつける~ 書式:index <attrlist> <type> -<attrlist> --インデックスの設定を行う属性を指定.複数の属性を指定する場合にはコンマ","で区切る -<type> --インデックスの種類.複数ある場合はコンマ","で区切る ---pres:属性の存在そのものに対する検索(存在検索)に適したインデックス ---eq:文字列や数値の完全一致での検索(等価検索)に適したインデックス --approx:近似検索に適したインデックス --sub:文字列の部分一致に適したインデックス --none:インデックスなし -その他 --index default pres,eq ---他のインデックスの時,<type>を指定するとdefaultで指定されたインデックスとなる ***overlay &aname(overlay); [#f3df962c] -同期プロバイダのオーバーレイを有効にする ***pidfile &aname(pidfile); [#xc873e2e] -slapdのプロセス番号を保管するファイルの指定. --slapdが読み込み/書き込みできる必要がある.よってこのファイルの所有権をslapdを動作させるユーザ/グループにしておく. ***rootdn &aname(rootdn); [#eadc40a8] -LDAPディレクトリの管理者DN. ***rootpw &aname(rootpw); [#s81df46c] -LDAPディレクトリの管理者のパスワード. --slappasswdコマンドでパスワードを作成してコピペ. ***suffix &aname(suffix); [#g2336438] -LDAPデータの識別名. ***syncprov-sessionlog &aname(syncprov-sessionlog); [#f5ed4f01] -セッションログの最大保存数 --ログに保管されているよりも前の情報が必要になると,全てのデータを転送. ***syncrepl &aname(syncrepl); [#s6bcb882] 役割:同期の方法~ 書式:設定できるパラメータ~ -rid=*** --***:0〜999の数字 ---コンシューマ識別用.他のコンシューマと同じ番号にならないように. -type=*** --***:refreshOnly | refreshAndPersist ---[[データの更新方式>../../../同期レプリケーションについて]] -interval=dd:hh:mm:ss --dd:日にち,hh:時間,mm:分,ss:秒 ---更新感覚 -provider=*** --***:プロバイダのアドレスとポート(URI形式) ---ldap://アドレス:ポート/ -bindmethod=*** --***:simple ---認証方法 -binddn="***" --***:接続するときのDN -credentials=*** --***:binddnに対するパスワード -searchbase="***" --検索のベースDN -filter=*** --検索フィルタ -scope=*** --***:sub | one | base ---スコープ