LDAP Linux HOWTO <author>Luiz Ernesto Pinheiro Malere, <tt/malere@yahoo.com/ <date>v1.03, 28 September 2000 <trans>和訳：稲地稔 <<tt/inachi@earth.interq.or.jp/> <tdate>v1.03j, 21 December 2000 <abstract>  この文書は、Linux マシンにおける LDAP (Lightweight Directory Access Protocol)サーバのインストール、設定、実行、管理に関する情報を載せています。また、LDAP データベースの作成方法、データベース中の情報の更新と削除、ローミングアクセスを実現する方法、Netscape のアドレス帳の利用方法についての詳細も載せています。この文書の大部分は、ミシガン大学の LDAP 情報ページと OpenLDAP Administrator's Guide を基にしました。 </abstract>  <toc>   <sect>はじめに  この文書の主な目的は、Linux マシン上に LDAP ディレクトリサーバをセットアップして利用することです。読者は、LDAP サーバをインストール、設定、実行、管理する方法について学びます。その後、LDAP クライアントとユーティリティを用いてディレクトリ中の情報を格納、取得、更新する方法についても学びます。LDAP ディレクトリサーバのデーモンは <it/slapd/ とよばれ、様々な UNIX プラットフォームで動作します。  LDAP サーバ間の複製をつかさどる別のデーモンがあります。このデーモンは <it/slurpd/ とよばれていますが、さしあたりこれについて気にする必要はありません。この文書では、あなたのローカルドメインにディレクトリサービスを提供する slapd を実行します。複製はしないので slurpd は使いません。  この文書で説明するのは、初心者にとってちょうどよい程度の簡単なサーバの環境構築ですが、望むなら後で別の設定にアップグレードすることも簡単です。この文書に載せている情報は、LDAP プロトコルを利用するよい足ががりとなります。おそらくこの文書を読んだ後には、サーバの能力を拡張したり、さらには C, C++, Java 開発キットなどを使ってクライアントを書きたくなったりすることでしょう。  <sect1>LDAP とは？  LDAP とは、ディレクトリサービスにアクセスするためのクライアントサーバプロトコルです。これは当初 X.500 のフロントエンドとして使われていましたが、スタンドアローンのディレクトリサーバや他の種類のディレクトリサーバでも使えるようになりました。  <sect1>ディレクトリサービスとは？  ディレクトリはデータベースに似ていますが、より記述的で属性ベースの情報を含むようになっています。一般にディレクトリ中の情報は、書込みよりも読出しの方がずっと多く行われます。したがって、一般的なデータベースで大量の複雑な更新を行うために用いられる複雑なトランザクションやロールバック機構をディレクトリでは通常実装しません。ディレクトリの更新は、普通は all-or-nothing の単純な書き換えに過ぎません。  ディレクトリは、大量の照会あるいは検索操作に即応できるように最適化されています。稼働率と信頼性を向上、かつレスポンスタイムを減らすために、ディレクトリには情報を広く複製する能力があります。ディレクトリ情報が複製されている場合、一時的な不整合が発生するかもしれませんが、定期的に同期をとるようにしておけば問題ありません。  ディレクトリサービスの提供方法には色々な種類があります。このため、ディレクトリに保存する情報の種類が多様になり、一方では情報の参照、問合せ、更新や、認証されないアクセスからどのように情報を守るかなどに関して色々な要求が生じます。局所的で、限られた対象(たとえば、単一のマシンの finger サービスなど)のみへのサービスを提供するようなディレクトリサービスがある一方、大域的で、はるかに広い対象にサービスを提供するようなサービスもあります。  <sect1>LDAP はどのように動作するのか？  LDAP ディレクトリサービスは、クライアントサーバモデルを基にしています。一つ以上のディレクトリサーバが、LDAP ディレクトリツリーあるいは LDAP バックエンドデータベースを構成するデータを保有しています。 LDAP クライアントは LDAP サーバに接続し、そのサーバに対して質問します。この質問に対してサーバは回答を返すか、クライアントがさらに情報を探し出せる場所へのポインタ(通常は別のLDAPサーバ)を返します。クライアントからは、どの LDAP サーバに接続してもディレクトリは同じように見えます。ある LDAP サーバに提示した名前は別の LDAP サーバでも同じエントリを参照します。これは、LDAP のような大域的ディレクトリサービスの重要な特性です。  <sect1>LDAP のバックエンド、オブジェクト、属性  slapd には種類の異なる三つのバックエンドデータベースが付属していて、どれを選ぶかはユーザの自由です。LDBM はディスクベースの高速なデータベースです。SHELL は UNIX コマンドあるいはスクリプトに対するデータベースインタフェースです。PASSWD は簡単なパスワードファイルデータベースです。  この文書では LDBM データベースを選択するものとします。  LDBM データベースは、データベース中の各エントリに４バイトのコンパクトで一意な識別子を割り当てることによって成り立っています。この識別子は索引中のエントリを参照するために使われます。データベースには、id2entry という一つの主索引ファイルが含まれます。これは、エントリの一意な識別子(EID)をエントリ自体のテキスト表現にマップします。その他の索引ファイルも同様に管理されます。  LDAP ベースのディレクトリサーバ間でディレクトリ情報をインポートおよびエクスポートしたり、ディレクトリに適用される１セットの変更を記述するには、普通 LDIF (LDAP Data Interchange Format)というフォーマットが使われます。 LDIF は、エントリのオブジェクト指向の階層で情報を格納します。これから利用する LDAP ソフトウェアパッケージには、 LDIF ファイルを LDBM フォーマットに変換するユーティリティが付属しています。  一般の LDIF ファイルは次のような内容になっています。   <tscreen><verb> dn: o=TUDelft, c=NL o: TUDelft objectclass: organization dn: cn=Luiz Malere, o=TUDelft, c=NL cn: Luiz Malere sn: Malere mail: malere@yahoo.com objectclass: person </verb></tscreen>  上に示したとおり、各エントリは識別名(distinguished name: DN)で一意に識別されます。DN は、エントリの名前とエントリをディレクトリ階層の最上位にさかのぼった名前のパスとからなります。  LDAP では、オブジェクトクラスはエントリを定義するために使える属性の集まりを定義します。LDAP の標準では、次のようなオブジェクトクラスの基本型を提供しています。 <itemize>  <item>ディレクトリ中のグループ -- これには、個々のオブジェクトの順序なしリストあるいはオブジェクトのグループが含まれます。  <item>所在 -- 国名や記述など。  <item>ディレクトリ中の組織。  <item>ディレクトリ中の人々。 </itemize>  エントリは二つ以上のオブジェクトクラスに所属できます。たとえば、人のためのエントリは、オブジェクトクラス <it/person/ で定義しますが、オブジェクトクラス inetOrgPerson, groupOfNames, organization の属性によっても定義できます。サーバのオブジェクトクラス構造(そのスキーマ)は、特定のエントリに要求された属性と許されている属性のリスト全体を決定します。 <bf>[訳注]</bf> ここでは「所属(belong)」という言葉があいまいに使われています。inetOrgPerson は person から派生しているので、 inetOrgPerson のエントリは両方のオブジェクトクラスのエントリと言えます。また、構造型のオブジェクトクラスと補助型のオブジェクトクラスを組み合わせたエントリを作った場合も複数のオブジェクトクラスに「所属」していると言えるでしょう。しかし、groupOfNames と organization は人を定義するものではなく、人を表現するエントリを DN で参照できるだけです。  ディレクトリのデータは、属性と値のペアとして表現されます。情報のいかなる部分も記述的な属性と関連付けられています。  たとえば、属性 commonName (cn)は、人の名前を格納するために使います。名前が Jonas Salk である人は、ディレクトリでは次のように表せます。 <tscreen><verb> cn: Jonas Salk </verb></tscreen>  ディレクトリに格納する各人は、オブジェクトクラス <it/person/ 中の属性の集まりによって定義されます。このエントリを定義するために使われる他の属性には次のようなものがあります。 <tscreen><verb> givenname: Jonas surname: Salk mail: jonass@airius.com </verb></tscreen>  必要属性(required attribute)とは、オブジェクトクラスを使うエントリに与えなければならない属性のことです。すべてのエントリは objectClass 属性を必要とします。これはそのエントリが所属するオブジェクトクラスのリストを指定するものです。  許可属性(allowed attribute)とは、オブジェクトクラスを使うエントリに与えることのできる属性のことです。たとえば、オブジェクトクラス person において、属性 cn と sn は必要属性であり、属性 description, telephoneNumber, seeAlso, userpassword は許可属性であって必要属性ではありません。  各属性は、対応するシンタックス定義を持っています。このシンタックス定義は、属性によって提供される情報のタイプを記述します。  <descrip> <tag/bin/バイナリ <tag/ces/英大小文字を区別する文字列(比較の際に英大小文字の違いを無視しない) <tag/cis/英大小文字を区別しない文字列(比較の際に英大小文字の違いは無視する) <tag/tel/電話番号の文字列(cis に似ているが、比較の際にブランクとダッシュ `-' を無視する) <tag/dn/識別名 </descrip>  オブジェクトクラスと属性の定義がシステムのどこにあるかを知るには、 <ref id="3" name="LDAP サーバの設定">の最初の段落を参照してください。  <sect1>この文書の新しいバージョン  この文書は、読者より受け取ったフィードバックをベースにして修正と更新を行っています。この HOWTO の新しいバージョンは次のところで見れます。  <htmlurl url="http://www.mobilesoft.com.br/HOWTO/LDAP-HOWTO.html" name=" http://www.mobilesoft.com.br/HOWTO/LDAP-HOWTO.html">    <sect1>意見と提案  この文書にある情報について何らかの疑問があれば、email で私に連絡してください。(malere@yahoo.com)   コメントや提案がある場合も私に知らせてください。  <sect1>リリース履歴  この節には、この文書のリリース一覧を日付順に載せています。各リリースについては、前バージョンからの変更点、新規追加項目、修正点を記しています。  v1.0: 20 June 1999, 初期バージョン  v1.01: 15 February 2000, 次の節を追加 <itemize> <item>LDAP Migration Tools <item>LDAP を用いた認証 <item>グラフィカルな LDAP ツール <item>RFC </itemize>  v1.02: 13 September 2000, 誤字の修正および次の節の追加 <itemize> <item>リリース履歴 </itemize>  v1.03: 28 September 2000, OpenLDAP 2.0 の説明の追加。これは Ldap v3 (<url url="ftp://ftp.isi.edu/in-notes/rfc2251.txt" name="RFC2251">) を取り込んでいます。 <bf>[訳注]</bf> 短期間で OpenLDAP 2.0 の情報を取り込んでくれたのはよいのですが、そのせいか OpenLDAP 1.2,x の情報と 2.0.x の情報が混乱しています。訳者の気づいたところは訳注で示しておきます。  <sect1>謝辞  この HOWTO 文書は、オランダの TUDelft 大学で私が勉強がてら作成したものの成果です。この文書を書くように強く勧めてくれた人々、 Rene van Leuken と Wim Tiwon に感謝したい。本当にありがとう。彼らも私と同じ Linux ファンです。  それから、私の文書に貢献してくれたドイツ語版 LDAP-HOWTO の翻訳者である Thomas Bendler と、LDP プロジェクトの偉大なるボランティアである Joshua Go にも感謝したい。  <sect1>著作権と免責   この LDAP Linux HOWTO の著作権は、1999 年以降 Luiz Ernesto Pinheiro Malere にあります。この文書は自由に配布できます。この文書を変更してはなりません。何らかの提案がある場合には email で私に連絡してください (その提案が有効なら、私が文書を変更します)。  ポルトガル語などに翻訳したい場合も email で私に連絡してください。   この文書の内容については一切の責任を負いません。この文書にある手順に従った結果について、私は一切の責任を持ちません。  この件について疑問点があるならば、Linux HOWTO 管理者に連絡してください (linux-howto@metalab.unc.edu)。  <sect>LDAP サーバのインストール  LDAP サーバをインストールするには、事前に必要なパッケージのインストール (既にインストールされていない場合)、LDAP サーバソフトウエェアのダウンロード、ソフトウェアの展開、Makefile の設定、サーバの作成の五つのステップが必要です。  <sect1>事前に必要なもの <bf>[訳注]</bf> この節は基本的に OpenLDAP 2.0.x に関して説明しています。  LDAPv3 に完全準拠するために、OpenLDAP のクライアントとサーバは次にあげるソフトウェアがインストールされていることを必要とします。  <it/OpenSSL TLS ライブラリ/  OS によってはこのライブラリが基盤システムの一部あるいはオプションのソフトウェアコンポーネントとして提供されているかもしれませんが、OpenSSL はたいてい別にインストールが必要となります。 OpenSSL は <url url="http://www.openssl.org" name="http://www.openssl.org"> から入手できます。  <it/Kerberos 認証サービス/  OpenLDAP のクライアントとサーバは、Kerberos ベースの認証サービスをサポートします。特に OpenLDAP では、Heimdal か MIT Kerberos V パッケージのいずれかを用いた SASL/GSSAPI 認証機構をサポートします。 Kerberos ベースの SASL/GSSAPI 認証を使うのであれば、 Heimdal か MIT Kerberos V をインストールしておいてください。 Heimdal Kerberos は <url url="http://www.pdc.kth.se/heimdal" name="http://www.pdc.kth.se/heimdal"> から入手できます。  MIT Kerberos は <url url="http://web.mit.edu/kerberos/www" name="http://web.mit.edu/kerberos/www"> から入手できます。 Kerberos が提供するような強固な認証サービスの利用を強く勧めます。  <it/Cyrus&dquot;s Simple Authentication and Security Layer ライブラリ/  OS によってはこのライブラリが基盤システムの一部あるいはオプションのソフトウェアコンポーネントとして提供されているかもしれませんが、 Cyrus SASL はたいてい別にインストールが必要となります。 Cyrus SASL は <url url="http://asg.web.cmu.edu/sasl/sasl-library.html" name="http://asg.web.cmu.edu/sasl/sasl-library.html"> から入手できます。Cyrus SASL は、OpenSSL と Kerberos/GSSAPI のライブラリがインストールされていれば、それらを使うようになります。  <it/データベースソフトウェア/  OpenLDAP の slapd の主要なデータベースバックエンド LDBM は、エントリストレージに使うデータベースパッケージを必要とします。 LDBM のデータベースには Sleepycat Software の BerkeleyDB (推奨)あるいは Free Software Foundation の GNU Database Manager (GDBM) を利用できます。 configure スクリプトを実行するときに、これらのパッケージのどちらも利用できなければ、この主要なデータベースバックエンドをサポートした slapd を構築できません。  これら二つのパッケージは、どちらかが基盤システムの一部あるいはオプションのソフトウェアコンポーネントとして提供されているかもしれませんし、自分でソフトウェアを入手してインストールする必要があるかもしれません。  BerkeleyDB は Sleepycat Software のダウンロードページ <url url="http://www.sleepycat.com/download.html" name="http://www.sleepycat.com/download.html"> から入手できます。これを書いている時点での最新リリースであるバージョン 3.1 がお勧めです。  GDBM は FSF のダウンロードサイト <url url="ftp://ftp.gnu.org/pub/gnu/gdbm" name="ftp://ftp.gnu.org/pub/gnu/gdbm"> から入手できます。これを書いている時点でバージョン 1.8 が最新リリースです。  <it/スレッド/  OpenLDAP はスレッドの利点を活かせるように設計されています。 OpenLDAP は POSIX pthreads, Mach CThreads などといったさまざまなスレッド処理系をサポートしています。<it/configure/ スクリプトが適正なスレッドサブシステムを検出できない場合、 configure は不平を言ってきます。これが起きた場合には、OpenLDAP FAQ <url url="http://www.openldap.org/faq" name="http://www.openldap.org/faq"> の Software - Installation - Platform Hints のセクションを調べてみてください。 <it/TCP Wrappers/  TCP wrappers (IP レベルのアクセス制御フィルタ)が事前にインストールされていれば、<it/slapd/ はそれをサポートします。非公開の情報を持つサーバについては TCP wrappers やその他の IP レベルのアクセスフィルタ(IP レベルのファイヤウォールに提供されるものなど)の利用を勧めます。  <sect1>パッケージのダウンロード  フリーに配布されている LDAP サーバには、ミシガン大学の LDAP サーバと OpenLDAP サーバの二つがあります。また、特定の条件の下でのみフリーであるものに Netscape ディレクトリサーバがあります(たとえば、教育機関はフリーで利用できます)。OpenLDAP サーバは、ミシガン大学のサーバの最新バージョンを基にしていて、メーリングリストと OpenLDAP で役立つ追加の文書があります。この文書では、OpenLDAP を利用することにします。  OpenLDAP の最新の tar+gzip バージョンは、次のところから入手できます。  <tscreen> <htmlurl url="http://www.openldap.org" name="http://www.openldap.org"> </tscreen>  ミシガン大学のサーバの最新バージョンが欲しいなら、次のところから入手できます。  <tscreen> <htmlurl url="ftp://terminator.rs.itd.umich.edu/ldap" name="ftp://terminator.rs.itd.umich.edu/ldap"> </tscreen>  この文書を書く際には二つのバージョンの OpenLDAP パッケージを使いました。一つは最新の安定版 1.2.11 で、もう一つは新規にリリースされた 2.0.4 です。私が使っている OS はカーネル 2.2.13 の Slackware Linux です。  OpenLDAP のサイトには、OpenLDAP サーバの最新の開発版と安定版が置かれています。この文書を更新した時点で、最新の安定版は openldap-stable-20000704.tgz です。最新の開発版は openldap-2.0.4.tgz です。 <bf>[訳注]</bf> ここでいう開発版は実際にはリリース版です。翻訳時点での最新のリリース版は openldap-2.0.7.tgz で、開発版はありません。安定版は OpenLDAP 1.2.11 ベースのものです。  <sect1>サーバの展開  さて、ローカルマシンに gzip で固められたパッケージをもってきて、それを展開することにしましょう。  まず、このパッケージを /usr/local などの望みのディレクトリにコピーします。  そして次のコマンドを実行します。 <tscreen><verb> tar xvzf openldap-stable.tgz </verb></tscreen>  次のコマンドでも同じことができます。 <tscreen><verb> gunzip openldap-stable.tgz | tar xvf - </verb></tscreen>  <sect1>ソフトウェアの設定  いくつかのオプションが用意されていて、これらをカスタマイズすることにより、インストールするサイトに最適なソフトウェアが作成できます。  このソフトウェアの設定には、二つのステップしか必要ありません。 <itemize>  <item>ソフトウェアを展開したディレクトリ配下のサブディレクトリ <it/include/ にあるファイル <it/ldapconfig.h.edit/ を編集する。   <item>configure スクリプトを実行する(あなたがタフガイならば、configure スクリプトを実行する代わりに Make-common ファイルを編集することもできます :^)。 </itemize> <bf>[訳注]</bf> 現在の OpenLDAP には Make-common ファイルは存在しません。  ファイル include/ldapconfig.h.edit では、slapd と slurpd デーモンの所在などのオプションを設定できます。このファイル自体よく注釈がつけられていて、デフォルトの設定は最も一般的な管理者の選択を反映しているので、急いでいるならこのステップを省略してください。 <tscreen><verb> vi include/ldapconfig.h.edit </verb></tscreen>  OpenLDAP サーバの配布ソースには、インストールするディレクトリやコンパイラとリンカのフラグなどのオプションを指定するための設定スクリプトが付属しています。ソフトウェアを展開したディレクトリで次のようにタイプしてください。 <tscreen><verb> ./configure --help </verb></tscreen>   これは、ソフトウェアを作成する前に configure スクリプトでカスタマイズできるすべてのオプションを印字します。インストールするディレクトリを設定するには、<tt/--prefix=pref/, <tt/--exec-prefix=eprefix/, <tt/--bindir=dir/ のオプションが有用です。普通にオプションなしで configure を実行すれば、適切な設定を自動検出し、デフォルトの一般的な場所にインストールするように準備します。ということで、そのようにしてみましょう。 <tscreen><verb> ./configure </verb></tscreen>  出力を調べて、すべてうまくいったかを確認してください。  <sect1>サーバの作成  ソフトウェアを設定し終えたら、ソフトウェアの作成をはじめることができます。まず、次のコマンドを使って依存関係を作成します。 <tscreen><verb> make depend </verb></tscreen>  その後、次のコマンドを使ってサーバを作成します。 <tscreen><verb> make </verb></tscreen>  すべてうまくいったなら、設定したとおりに作成されているでしょう。そうでなければ、前のステップに戻って設定した内容を調べてください。ソフトウェアを展開してできたディレクトリの下のパス doc/install/hints にあるプラットフォーム固有のヒントを確認してみてください。  さあ、バイナリと man ページをインストールしましょう。これを行うには(インストールする場所にもよりますが)スーパユーザになる必要があるでしょう。 <tscreen><verb> su make install </verb></tscreen>  これで完了です。あなたはサーバのバイナリとその他いくつかのユーティリティのバイナリを手に入れました。<ref id="3" name="LDAP サーバの設定">に進んで、 LDAP サーバの設定方法を見てください。  OpwnLDAP 2.0 サーバのバイナリは <it/slapd/ という名前です。 OpenLDAP 2.0 は 8 月 30 日に正式にリリースされました。これは RFC 2251 に定義された LDAP プロトコル v3 を取り込んでいます。  OpenLDAP 2.0 の主な特徴を次にあげます。 <itemize>  <item>LDAPv2 と LDAPv3 (RFC2251-2256,2829-2831) のサポート  <item>既存のクライアントとの互換性の維持  <item>IPv4 と IPv6 のサポート  <item>強力な認証機構(SASL) (RFC2829) <item>Start TLS (RFC2830)  <item>言語タグ(RFC2596) <item>DNSベースのサービスロケーション(RFC2247+"locate" インターネットドラフト) <item>スタンドアローンサーバの強化 <item>名前つき参照/ManageDsaIT ("nameref" インターネットドラフト) <item>アクセス制御サブシステムの強化 <item>スレッドプーリング <item>プリエンプティブスレッドのサポート <item>複数リスナのサポート <item>LDIFv1 (RFC2849)  <item>プラットフォーム/サブシステムの検出の改善 </itemize>  注記：Linux Documentation Project (LDP)では LDAP Implementation HOWTO という文書を用意する予定です。この文書は OpenLDAP 2.0 の新機能を調べたい人にとってすばらしい情報源となるでしょう。この文書は 2000 年の 12 月中にリリースされる予定です。  OpenLDAP パッケージの最新版では、今作成したバイナリをテストすることもできます。パッケージにはテストスクリプトが付属していて、次のようにして実行できます。 <tscreen><verb> make test </verb></tscreen> <bf>[訳注]</bf> このテスト方法は OpenLDAP 2.0.x の場合です。 OpenLDAP 1.2.x では tests サブディレクトリに移ってから make します。  スクリプトで何か悪いことが起きたなら Ctrl-C を入力してスクリプトの実行を中断できます。私の場合、スクリプトの実行が完全に終了する前にスクリプトの実行が停止しました。ともかくも、私の OpenLDAP の設定でもいくつかの成功(successfull)のメッセージを確認できています <bf>[訳注]</bf> 訳者の環境(Vine Linux 2.1 + OpenLDAP 2.0.7)で試したところでは、問題なくすべてのテストをパスしました。  <sect>LDAP サーバの設定<label id="3"> <bf>[訳注]</bf> この章の説明は基本的に OpenLDAP 2.0.x に基づいています。   ソフトウェアのインストールが完了したら、あなたのサイトで利用するための設定をしましょう。slapd ラインタイム設定のすべては、slapd.conf ファイルをとおして行います。このファイルは configure スクリプトで指定した prefix ディレクトリ(デフォルトは /usr/local/etc/openldap)にインストールされています。  この節では <it/slapd.conf/ でよく使われる設定ディレクティブについて詳しく説明します。全ディレクティブのリストについては slapd.conf(5) マニュアルページを参照してください。。設定ファイルのディレクティブは、グローバル、バックエンド固有、データ固有のカテゴリに分けています。各ディレクティブについては、その説明とともに(もしあれば)そのデフォルト値と設定例を示します。  <sect1>設定ファイルのフォーマット  ファイル slapd.conf は、グローバル、バックエンド固有、データベース固有の３タイプの設定情報から成ります。まず最初に指定するのはグローバル情報であり、その後に特定のバックエンド種別に関連した情報が続き、さらにその後に特定のデータベース実体に関連した情報が続きます。  グローバルディレクティブは後のバックエンドやデータベース設定のディレクティブで上書きでき、バックエンド設定ディレクティブはデータベース設定ディレクティブで上書きできます。  ブランク行と '#' 文字で始まるコメント行は無視されます。行が空白で始まっている場合、前の行からの継続であるとみなされます。 slapd.conf の一般的なフォーマットは次のようになります。  <tscreen><verb> # グローバル設定ディレクティブ <グローバル設定ディレクティブ> # バックエンド定義 backend <typeA> <バックエンド固有ディレクティブ> # １番目のデータベース定義 & 設定ディレクティブ database <typeA> <データベース固有ディレクティブ> # ２番目のデータベース定義 & 設定ディレクティブ database <typeB> <データベース固有ディレクティブ> # 続きのデータベース定義 & 設定ディレクティブ ... </verb></tscreen>  設定ディレクティブの中には引数をとるものがあります。引数のある場合には空白で区切って並べます。引数に空白を含めたい場合には、引数を二重引用符で囲みます。引数に二重引用符やバックスラッシュ文字 `\' を含めたい場合には、その文字の前にバックスラッシュ文字 `\' を置きます。  OpenLDAP の配布物の中には設定ファイルのサンプルが付いてきます。これは普通 /usr/local/etc/openldap ディレクトリにインストールされます。スキーマ定義(属性型とオブジェクトクラス)を含んだファイルも /usr/local/etc/openldap/schema ディレクトリに提供されています。  <sect1>グローバルディレクティブ<label id="3.2">  この節で説明するディレクティブは、バックエンドまたはデータベースの定義で特に上書きしない限り、すべてのバックエンドとデータベースに適用されます。実際のテキストで置き換えるディレクティブの引数はブラケット <> で示します。 <descrip><tag/ access to <what> [ by <who> <accesslevel> <control> ]+ /  このディレクティブは、エントリや属性の１セット(<what> に指定)に対するアクセス権(<accesslevel> に指定)を１人以上の要求者(<who> に指定)に与えます。より詳しくは「アクセス制御」の例を参照してください。 <tag/ attributetype <RFC2252 Attribute Type Description> /  このディレクティブは属性型を定義します。 <tag/ defaultaccess { none | compare | search | read | write } /  このディレクティブは、access ディレクティブが指定されていないときに、要求者に与えるデフォルトのアクセス権を指定します。どのアクセス権レベルもより下位のアクセス権レベルを暗に与えます (たとえば read アクセス権は、search, compare アクセス権を暗に与えますが write アクセス権は与えません)。 デフォルトの設定は次のとおりです。 <verb> defaultaccess read </verb> <tag/ idletimeout <integer> /  アイドル状態のクライアント接続を強制的に切断するまでの秒数を指定します。idletimeout の値が 0 であると(デフォルト) この機能は無効になります。 <tag/ include <filename> /  このディレクティブは、slapd が現在のファイルの次の行に進む前に、与えたファイルから追加の設定情報を読み込むことを指定します。取り込むファイルは、通常の slapd 設定ファイルのフォーマットに従います。ファイルの取込みは一般にスキーマ指定の記述されたファイルを取り込むのに使われます。  注記：このディレクティブの取扱いには注意してください - 入れ子になった include ディレクティブに制限はなく、include がループになった場合でも検出されません。 <tag/ loglevel <integer> /   このディレクティブは、デバッグ情報と操作の統計値を syslog に出力するレベルを指定します(現在のところ、syslogd(8) の LOG_LOCAL4 ファシリティに記録されます)。このオプションが有効になるようにするには OpenLDAP を --enable-debug 付き(デフォルト)で configure しなければなりません(統計に関する二つのレベルは例外で、これらは常に利用可能です)。どのデバックに何の数が対応しているのかを調べるには -d ? を指定して slapd を起動するか、以下の表を参考にしてください。<integer> に指定可能な値には次のものがあります。 <bf>[訳注]</bf> OpenLDAP 2.0.x では slapd の -d ? 指定が無くなりました。  <verb> -1 すべてのデバッグレベルを有効にする 0 デバッグしない 1 関数呼出しのトレース 2 パケット処理のデバッグ 4 詳細なデバッグトレース 8 接続管理 16 パケット送受信の印字 32 検索フィルタ処理 64 設定ファイル処理 128 アクセス制御リスト処理 256 接続/操作/結果の統計ログ 512 エントリ送信の統計ログ 1024 shell バックエンドとの通信の印字 2048 エントリ解析のデバッグ印字 </verb>  たとえば次のように指定します。 <verb> loglevel 255 あるいは loglevel -1 </verb> このように設定すると、大量のデバッグ情報が記録されます。 デフォルトの設定は次のとおりです。 <verb> loglevel 256 </verb> <tag/ objectclass <RFC2252 Object Class Description> /  このディレクティブはオブジェクトクラスを定義します。  <tag/referral <URI>/  このディレクティブは、要求を処理するためのローカルデータベースを見つけられなかった場合に、クライアントに戻す紹介先を指定します。  たとえば次のように指定します。 <verb> referral ldap://root.openldap.org </verb>  これは、OpenLDAP プロジェクトのグローバルルート LDAP サーバに非ローカルな問合せを紹介することを指定します。賢い LDAP クライアントなら戻されるサーバに再要求をするでしょうが、そのようなクライアントのほとんどは、ホスト名の部分とオプションの識別名の部分とを持った単純な LDAP URL の処理方法を知っているだけです。  <tag/sizelimit <integer>/  このディレクティブは、検索操作から返すエントリの最大数を指定します。  デフォルトの設定は次のとおりです。 <verb> sizelimit 500 </verb>  <tag/timelimit <integer>/  このディレクティブは、slapd が検索要求の応答に使う最大秒数(実時間)を指定します。この時間内に要求が達せられなければ、時間制限を超過したことを示す結果を返します。  デフォルトの設定は次のとおりです。 <verb> timelimit 3600 </verb> </descrip>  <sect1>一般バックエンドディレクティブ  この節のディレクティブは、そのディレクティブが定義されているバックエンドにのみ適用されます。これらのディレクティブは全種別のバックエンドでサポートされます。バックエンドディレクティブは、同種別のすべてのデータベース実体に適用しますが、ディレクティブによってはデータベースディレクティブで上書きされます。 <descrip> <tag/ backend <type> /  このディレクティブは、バックエンド定義の始まりを示します。 <type> には、ldbm, shell, passwd などサポートされているバックエンド種別のどれかを指定します。 </descrip>  <sect1>一般データベースディレクティブ  この節のディレクティブは、そのディレクティブが定義されているデータベースにのみ適用されます。これらのディレクティブは全種別のデータベースでサポートされます。 <descrip> <tag/ database <type> /  このディレクティブは新しいデータベース実体定義の始まりを示します。<type> には、ldbm, shell, passwd など、サポートされているデータベースの種別のいずれかを指定します。  たとえば次のように指定します。 <verb> database ldbm </verb>  この設定は、新しい LDBM バックエンドデータベース実体定義の始まりを示します。 <tag/ readonly { on | off } /  このディレクティブは、データベースを「読取り専用」モードにします。このモードでデータベースを更新しようとすると "unwilling to perform" エラーが返ります。  デフォルトの設定は次のとおりです。 <verb> readonly off </verb>  <tag/replica/ <-- [orig] replica host=<hostname>[:<port>] [bindmethod={ simple | kerberos | sasl }] ["binddn=<DN>"] [mech=<mech>] [authcid=<identity>] [authzid=<identity>] [credentials=<password>] [srvtab=<filename>] --> <verb> replica host=<hostname>[:<port>] [bindmethod={ simple | kerberos | sasl }] ["binddn=<DN>"] [mech=<mech>] [authcid=<identity>] [authzid=<identity>] [credentials=<password>] [srvtab=<filename>] </verb>  このディレクティブは、このデータベースの複製サイトを指定します。パラメータ host= は、スレーブ slapd の実体があるホストとポート(オプション)を指定します。<hostname> はドメイン名あるいは IP アドレスを使って指定します。<port> が与えられていなければ、標準の LDAP ポート番号(389)が使われます。  パラメータ binddn= は、スレーブ slapd の更新でバインドするための DN を与えます。これは、スレーブ slapd のデータベースに対してアクセス権 read/write を持った DN にしなければなりません。通常はスレーブ slapd の設定ファイルにある rootdn に指定してあるものを与えます。またこの DN は、スレーブ slapd 設定ファイルの updatedn ディレクティブに指定したものと一致していなければなりません。 DN にはスペースが入っていることが多いので、"binddn=<DN>" 文字列は二重引用符で囲っておくとよいでしょう。  bindmethod は、スレーブ slapd への接続に使う認証がパスワードベースのものか、Kerberos か、SASL かによって simple か kerberos か sasl になります。  簡易認証は十分な一貫性と機密性の保護(TLS や IPSEC など)がなければ使うべきではありません。簡易認証は binddn と credentials パラメータの指定を必要とします。  Kerberos 認証は、SASL 認証のせいで時代遅れになっています。 (特に KERBEROS_V4 と GSSAPI)。Kerberos 認証は binddn と srvtab パラメータの指定を必要とします。  一般には SASL 認証を使うことを勧めます。SASL 認証は mech パラメータを使った機構の指定が必要です。指定する機構に依存して、認証アイデンティティや証明書を authcid と credentials を使って指定できます。認証アイデンティティの指定には authzid パラメータを使うかもしれません。 <tag/ replogfile <filename> /  このディレクティブは、slapd が変更を記録する複製ログファイルの名前を指定します。複製ログは通常 slapd が書き出し、slurpd が読み取ります。通常このディレクティブは、データベースを複製するために slurpd が使われている場合にのみ利用します。しかし slurpd を実行していなくても、トランザクションログの生成に使えます。この場合、複製ログファイルは無限に増え続けるので定期的に切り詰める必要があります。 <tag/ rootdn <dn> /  このディレクティブは、このデータベースに対するアクセス権制御あるいは管理限度の制限に従わない DN を指定します。この DN はディレクトリ中のエントリである必要はありません。この DN には SASL アイデンティティを使えます。  エントリベースの例： <verb> rootdn "cn=Manager,dc=example,dc=com" </verb> SASL ベースの例： <verb> rootdn "uid=root@EXAMPLE.COM" </verb> <tag/ rootpw <password> /  このディレクティブは、上のオプションで与えた DN のエントリが存在するか、そのエントリがパスワードを持っているかにかかわらず、常に適用するパスワードを指定します。このディレクティブは SASL 認証のせいで時代遅れになっています。  たとえば次のように指定します。 <verb> rootpw secret </verb> <tag/ suffix <dn suffix> /  このディレクティブは、このバックエンドデータベースに渡す問合せの DN 接尾辞を指定します。複数の suffix 行を与えてもよいですが、各データベース定義に少なくとも一つは必要です。  たとえば次のように指定します。 <verb> suffix "dc=example,dc=com" </verb>  この指定では、DN の末尾に "dc=example, dc=com" の付いた問合せがこのバックエンドに渡されます。  注記：問合せを渡すバックエンドが選択されるとき、slapd は各データベースの suffix 行を設定ファイルに現れる順番に見ていきます。したがって、あるデータベースの接尾辞が別のデータベースの接頭辞になっている場合には、設定ファイルのより後のほうに現れるようにしなければなりません。 <tag/ updatedn <dn> /  このディレクティブはスレーブの slapd にのみ適用できます。このディレクティブは複製の変更を許す DN を指定します。これには、複製の変更をするときに slurpd(8) がバインドする DN、あるいは SASL アイデンティティと関連した DN を指定します。  エントリベースの例： <verb> updatedn "cn=Update Daemon,dc=example,dc=com" </verb> SASL ベースの例： <verb> updatedn "uid=slurpd@EXAMPLE.COM" </verb> <tag/ updateref <URL> /  このディレクティブはスレーブの slapd にのみ適用できます。これは複製の更新要求を送るクライアントに戻す URL を指定します。このディレクティブはいくつも指定でき、各 URL が戻されます。   たとえば次のように指定します。 <verb> updateref ldap://master.example.net </verb> </descrip>  <sect1>LDBM バックエンド固有ディレクティブ  このカテゴリのディレクティブは、LDBM バックエンドデータベースにのみ適用されます。すなわち、"database ldbm" とある行の後で、次の "database" 行が現れる前になければなりません。 <descrip> <tag/ cachesize <integer> /  このディレクティブは、LDBM バックエンドデータベースの実体によって管理されるメモリ内キャッシュのエントリ数を指定します。  デフォルトの設定は次のとおりです。 <verb> cachesize 1000 </verb> <tag/ dbcachesize <integer> /  このディレクティブは、オープンされている索引ファイルそれぞれと関連づけられているメモリ内キャッシュのサイズをバイト数で指定します。基板のデータベース方式でサポートされなければ、このディレクティブは黙って無視されます。この数を増やすとより多くのメモリを使いますが、劇的な性能の向上が得られます。特に更新と索引の作成で性能の向上が顕著です。  デフォルトの設定は次のとおりです。 <verb> dbcachesize 100000 </verb> <tag/ dbnolocking /  このディレクティブが指定されるとデータベースのロックが無効になります。このディレクティブは、データのセキュリティを犠牲にしてでも性能を上げたい場合に使います。  <tag/dbnosync/  このディレクティブは、変更に対するメモリ内の変更をディスク上の内容とすぐには同期をとらないようにします。このディレクティブは、データのセキュリティを犠牲にしてでも性能を上げたい場合に使います。 <tag/ directory <directory> /  このディレクティブは、データベースと関連する索引を含んだ LDBM ファイル郡を置くディレクトリを指定します。  デフォルトの設定は次のとおりです。 <verb> directory /usr/local/var/openldap-ldbm </verb> <tag/ index {<attrlist> | default} [pres,eq,approx,sub,none] /  このディレクティブは、与えた属性について管理する索引を指定します。 <attrlist%gt; だけが与えられた場合、デフォルトの索引が管理されます。  たとえば次のように指定します。 <verb> index default pres,eq index objectClass,uid index cn,sn eq,sub,approx </verb>  １行目は、索引のデフォルトセットを存在と等価性を管理するように設定します。２行目は、objectClass と uid 属性型についてデフォルトの索引(pres, eq)を管理すように設定します。３行目は、cn と sn 属性型について等価性、部分文字列、近似の索引を管理するように設定します。  <tag/mode <integer>/  このディレクティブは、新たに作成されるデータベース索引ファイルの持つファイル保護モードを指定します。  デフォルトの設定は次のとおりです。 <verb> mode 0600 </verb> </descrip>  <sect1>他のバックエンドデータベース  <it/slapd/ は、デフォルトの LDBM の他にもいくつものバックエンドデータベース種別をサポートしています。  <itemize> <item>ldbm: Berkeley または GNU DBM 互換のバックエンド <item>passwd: /etc/passwd への読取り専用のアクセスを提供 <item>shell: シェル(外部プログラム)バックエンド <item>sql: SQL プログラムが可能なバックエンド </itemize>  詳しくは {{slapd.conf}}(5) manpage を参照してください。  <sect1>アクセス制御の例  <ref id="3.2" name="グローバルディレクティブ">の説明にあるアクセス制御機能は実に強力です。この節では、アクセス制御の利用例をいくつか示します。まずは、簡単な例から。 <tscreen><verb> access to * by * read </verb></tscreen>  この access ディレクティブは、あらゆる人に読取り(read)アクセス権を与えます。これだけを指定した場合には、次の defaultaccess 行と同じことになります。 <tscreen><verb> defaultaccess read </verb></tscreen>  次の例は、DN でエントリを選択するのに正規表現を利用しているところを示しています。この二つのアクセス権宣言の順番は重要です。   <tscreen><verb> access to dn=".*, o=U of M, c=US" by * search access to dn=".*, c=US" by * read </verb></tscreen>   この例では、読取り(read)アクセス権が c=US サブツリー配下のエントリに与えられますが、"o=U of M, c=US" サブツリー配下に限っては検索(search) アクセス権しか与えられません。このアクセス権指定の順序を逆にすると、すべての "U of M" エントリは "c=US" エントリでもあるので、 "U of M" の方の指定が全く適用されなくなってしまいます。  次の例も順序の重要性を示していますが、今度はアクセス権指定の他に "by" 節の順序についても示しています。またこの例では、特定の属性へのアクセス権を与える属性セレクタと、さまざまな <who> セレクタの利用法についても示しています。   <tscreen><verb> access to dn=".*, o=U of M, c=US" attr=homePhone by self write by dn=".*, o=U of M, c=US" search by domain=.*\.umich\.edu read by * compare access to dn=".*, o=U of M, c=US" by self write by dn=".*, o=U of M, c=US" search by * none </verb></tscreen>   この例は、"o=U of M, c=US" サブツリーのエントリに適用されます。属性 homePhone を除くすべての属性に対し、当該エントリ自体には書込み権(write)を与え、他の "U of M" 配下のエントリには検索権(search)を与え、その他のエントリにはアクセス権を与えません。属性 homePhone に対しては、当該エントリ自体には書込み権(write)を与え、他の "U of M" エントリには検索権(search)を与え、umich.edu ドメイン内のどこからか接続するクライアントには読取り権を与え、その他のエントリには比較権(compare)を与えます。   特定の DN に属性の追加と除去を許すことが有用なことがあります。たとえば、あるグループを作成し、人々に member 属性への追加と除去を自分自身の DN に限ってできるようにしたい場合、次のようなアクセス権宣言で実現できます。   <tscreen><verb> access to attr=member,entry by dnattr=member selfwrite </verb></tscreen>  セレクタ dnattr <who> は、アクセス権が member 属性にリストされているエントリに適用されることを指定します。アクセス権セレクタ selfwrite は、そのような member 達が自分自身の DN だけを属性から追加/削除できることを指定します。また、entry 属性を追加しておくことが必要です。なぜなら、エントリのどの属性にアクセスするにせよ、エントリへのアクセス権が必要になるからです。 <bf>[訳注]</bf> "entry" はエントリ内に実在しない特殊な属性で、属性へのアクセス権指定でエントリへのアクセス権を指定するために使うものです。  <what> 節の中の attr=member 構成要素は、節 "dn=* attr=member" の省略形であることに注目してください(すなわち、すべてのエントリの member 属性に一致します)。  注記：LDAP のアクセス制御についてもっと知りたければ OpenLDAP Administrator's Guide (<htmlurl url="http://openldap.org" name="http://www.openldap.org">) を調べてください。  <sect1>設定ファイルの例  以下は設定ファイルの例です。例の所々には説明をつけてあります。これは二つのデータベースを定義していて、それぞれ X.500 ツリーの別々の部分を処理します。両方ともデータベースには LDBM を使っています。説明の都合上、例には行番号をつけていますが、実際のファイルには行番号をつけません。まずはグローバル設定セクションから説明します。 <tscreen><verb> 1. # example config file - global configuration section 2. include /usr/local/etc/schema/core.schema 3. referral ldap://root.openldap.org 4. access to * by * read </verb></tscreen>  行 1 はコメントです。行 2 は core スキーマ定義を含んだ別の設定ファイルを取り込みます。行 3 の referral ディレクティブは、後に定義するデータベースのどれかにローカルでない問合せについて、ホスト root.openldap.org で動作している標準ポート(389)の LDAP サーバを参照することを意味します。  行 4 はグローバルなアクセス制御です。これは、データベースのアクセス制御に一致するものがない場合、あるいは、アクセスの対象となるオブジェクトが (Root DSE のように)どのデータベースの制御下にもない場合にのみ使われます。  設定ファイルの例の次の部分は、ツリーの "dc=example,dc=com" 配下にあるものについての問合せを処理する LDBM バックエンドを定義します。このデータベースは二つのスレーブ slapd に複製されます。スレーブの一つは truelies で、もう一つは judgmentday です。いくつかの属性について索引が管理され、<it/userPassword/ 属性は認証されていないものからのアクセスから保護されます。 <tscreen><verb> 5. # ldbm definition for the example.com 6. database ldbm 7. suffix "dc=example, dc=com" 8. directory /usr/local/var/openldap 9. rootdn "cn=Manager, dc=example, dc=com" 10. rootpw secret 11. # replication directives 12. replogfile /usr/local/var/openldap/slapd.replog 13. replica host=slave1.example.com:389 14. binddn="cn=Replicator, dc=example, dc=com" 15. bindmethod=simple credentials=secret 16. replica host=slave2.example.com 17. binddn="cn=Replicator, dc=example, dc=com" 18. bindmethod=simple credentials=secret 19. # indexed attribute definitions 20. index uid pres,eq 21. index cn,sn,uid pres,eq,approx,sub 22. index objectClass eq 23. # ldbm access control definitions 24. access to attr=userPassword 25. by self write 26. by anonymous auth 27. by dn="cn=Admin,dc=example,dc=com" write 28. by * none 29. access to * 30. by self write 31. by dn="cn=Admin,dc=example,dc=com" write 32. by * read </verb></tscreen>  行 5 はコメントです。データベース定義の始まりは、行 6 の database キーワードで示します。行 7 は、このデータベースに渡す問合せのための DN 接尾辞を指定します。行 8 は、データベースファイルを置くディレクトリを指定します。  行 9 と 10 は、このデータベースの「スーパユーザ」エントリとそのパスワードを指定します。このエントリはアクセス制御あるいはサイズ/時間制限に従いません。  行 11 から 18 は複製の設定です。行 11 は複製ログファイルを指定します(データベースの変更が記録されます - このファイルには slapd が書き込み、slurpd が読み出します)。行 12 から 14 は複製が作られるホスト、更新を行うときのバインドのための DN、バインド方法(簡易認証)、binddn のための証明書(パスワード)を指定します。行 15 から 18 は、第２の複製サイトを指定します。  行 20 から 22 は、さまざまな属性のために管理する索引を指定します。  行 24 から 32 は、データベース内のエントリのためのアクセス制御を指定します。すべてのエントリの {{EX:userPassword}} 属性は、そのエントリ自身および "admin" エントリから更新可能です。この属性は認証の目的には使えますが読み取れません。その他すべての属性は、そのエントリ自身および "admin" エントリから更新可能で、認証されたユーザから読み取れます。  設定ファイルの例の次の部分は、別の LDBM データベースを定義します。この LDBM データベースは dc=example,dc=net サブツリーに関する問合せを処理します。行 38 がないと、行 4 のグローバルアクセス規則により読み取りアクセスが許可されることに注意してください。 <tscreen><verb> 33. # ldbm definition for example.net 34. database ldbm 35. suffix "dc=example, dc=net" 36. directory /usr/local/var/ldbm-example-net 37. rootdn "cn=Manager, dc=example, dc=com" 38. access to * by users read </verb></tscreen>  <sect>LDAP サーバの実行<label id="4"> <bf>[訳注]</bf> この章の説明は基本的に OpenLDAP 2.0.x に基づいています。  <it/slapd/ はスタンドアローンサーバとして動作するように設計されています。これによりサーバは、キャッシング、基盤データベースにおける並行処理問題の管理、システムリソースの維持といった利点が得られます。inetd(8) から実行するオプションはなくなりました。  <sect1>コマンドラインオプション<label id="4.1">  <it/slapd/ は、マニュアルページに詳説されているように多くのコマンドラインオプションをサポートしています。この節ではよく使われる少数のオプションについて詳説します。 <descrip> <tag/ -f <filename> /  このオプションは、slapd の設定ファイルを明示します。デフォルトは普通 /usr/local/etc/openldap/slapd.conf です。 <tag/ -h <URLs> /  このオプションは代替のリスナ設定を指定します。デフォルトは ldap:/// です。これはデフォルトの LDAP ポート 389 ですべてのインタフェースを扱う TCP上の LDAP を意味します。このオプションには、特定のポスト/ポートのペアもしくは他のプロトコルスキーム(ldaps:// や ldapi:// など)を指定できます。たとえば -h "ldaps:// ldap://127.0.0.1:667" は、二つのリスナを作成します。一つはデフォルトの LDAP/SSL ポート 636 ですべてのインタフェースを扱う SSL 上の LDAP です。もう一つはポート 667 で localhost (loopback)のインタィェースを扱う TCP上の LDAP です。ホストは、IPv4 の数値とドットを使った形式でもホスト名ででも指定できます。 <tag/ -n <service-name> /  このオプションは、ログ採取などで使われるサービス名を指定します。デフォルトのサービス名は slapd です。 <tag/ -l <syslog-local-user> /  このオプションは syslog(8) 機能のローカルユーザを指定します。値は LOCAL0, LOCAL1, LOCAL2, から LOCAL7 まで指定できます。デフォルトは LOCAL4 です。このオプションはシステムによってサポートされていないことがあります。 <tag/ -u user -g group /  これらのオプションは、それぞれ slapd を実行するためのユーザとグループを指定します。user にはユーザ名か uid を指定します。group にはグループ名か gid を指定します。 <tag/ -r directory /  このオプションは実行時ディレクトリを指定します。 slapd はリスナをオープンした後、設定ファイルの読込みやバックエンドの初期化をする前に、このディレクトリに chroot(2) します。 <tag/ -d <level> | ? /  このオプションは slapd のデバッグレベルを <level> に設定します。レベルが `?' 文字の場合、さまざまなデバッグレベルを表示し、他のオプション指定を無視して slapd は終了します。現在サポートされているデバッグレベルには次のものがあります。  <verb> -1 すべてのデバッグレベルを有効にする 0 デバッグしない 1 関数呼出しのトレース 2 パケット処理のデバッグ 4 詳細なデバッグトレース 8 接続管理 16 パケット送受信の印字 32 検索フィルタ処理 64 設定ファイル処理 128 アクセス制御リスト処理 256 接続/操作/結果の統計ログ 512 エントリ送信の統計ログ 1024 shell バックエンドとの通信の印字 2048 エントリ解析のデバッグ印字 </verb>  複数のデバッグレベルを有効にすることもできます。要求するレベルそれぞれについてデバッグオプションを指定してもよいですし、デバッグレベルを加算して指定してもかまいません。つまり、関数呼出しのトレースと設定ファイルの処理の観察を行いたければ、レベルをその二つのレベルの合計に設定すればよいのです(この場合は -d 65)。また、そのような加算を slapd にさせることもできます(たとえば -d 1 -d 64)。より詳しくは <ldap.h%gt; ファイルを参照してください。  注記：統計ログを出力する二つのレベル以外のデバッグ情報を出力できるようにするには、slapd を -DLDAP_DEBUG 付きで slapd をコンパイルしておかなければなりません。 <bf>[訳注]</bf> OpenLDAP 2.0.x では -d ? 指定が無くなりました。 </descrip>  <sect1>LDAP サーバの起動  一般に slapd は次のように実行します。  <verb> /usr/local/etc/libexec/slapd [<option>]* </verb>  ここで /usr/local/etc/libexec は、configure スクリプトで決定された場所で、<option> は前述した(あるいは slapd(8) に説明のある)オプションです。デバッグレベルを指定しなければ(レベルに 0 を指定した場合も含めて)、slapd は自動的に fork し、制御端末から自分を切り離してバックグラウンドで動作します。  <sect1>LDAP サーバの終了<label id="4.2">  安全に slapd を終了させるには、次のようにコマンドを与えます。 kill -TERM `cat $(ETCDIR)/slapd.pid` <bf>[訳注]</bf> OpenLDAP 2.0.x では `-TERM' ではなく `-INT' を指定することになっていなす。   slapd が終了する前にはさまざまなバッファをフラッシュする必要があるため、より強制的に終了させる手段を使うと LDBM データベースが不正になる恐れがあります。slapd は、slapd.conf ファイルに設定したディレクトリの slapd.pid というファイル(たとえば /usr/local/var/slapd.pid) に pid を書き込みます。   include/ldapconfig.h.edit 中の SLAPD_PIDFILE を変更することによって、この pid ファイルの位置を変更できます。 <bf>[訳注]</bf> 現在の OpenLDAP では slapd.conf のグローバルオプションで pid ファイルの位置を設定するように変更されています。たとえば `<tt>pidfile /usr/local/var/slapd.pid</tt>' と指定します。  また、slapd は、slapd.conf ファイルに設定したディレクトリの slapd.args というファイル(たとえば /usr/local/var/slapd.args)に slapd の引数を書き込みます。   include/ldapconfig.h.edit 中の SLAPD_ARGSFILE を変更することによって、この引数ファイルの位置を変更できます。 <bf>[訳注]</bf> 現在の OpenLDAP では slapd.conf のグローバルオプションで引数ファイルの位置を設定するように変更されています。たとえば `<tt>argsfile /usr/local/var/slapd.args</tt>' と指定します。  <sect>データベース作成/管理ツール  この節では、slapd データベースを 0 から作成する方法と、問題が発生したときのトラブルシューティングについて説明します。データベースを作成するのには二つの方法があります。その一つは LDAP を用いてオンラインでデータベースを作成するというものです。この方法では、単純に slapd を起動し、適当な LDAP クライアントを用いてエントリを追加します。この方法は、比較的小さなデータベース(用件に応じて数百から千程度)の作成に適しています。  データベースを作成するもう一つの方法は、slapd 用に提供される特殊なユーティリティを用いてオフラインで行うというものです。この方法は、LDAP を使っていては耐えられないほどの長い時間がかかってしまうような何千以上ものエントリがある場合、もしくはデータベースの作成中にデータベースへのアクセスが無いようにすることを保証したい場合に最適な方法です。  <sect1>オンラインでデータベースを作成する方法  OpenLDAP ソフトウェアパッケージには ldapadd というツールが付属していて、これは動作している LDAP サーバに対してエントリを追加するために利用します。オンラインでデータベースを作成するつもりなら、エントリの追加に ldapadd ツールを使えます。最初にエントリを追加した後に、さらにエントリを追加するのにも ldapadd を使えます。slapd を始動する前に slapd.conf ファイルにある次の設定オプションを設定しておいてください。  <verb> suffix <dn> </verb>  <ref id="3" name="LDAP サーバの設定">で説明したように、このオプションには、このデータベースに格納されるエントリ群が何であるかを記述します。これは作成しようとしているサブツリーのルートの DN に設定します。たとえば次のように設定します。  <verb> suffix "o=TUDelft, c=NL" </verb>  索引ファイルを作成するディレクトリを設定してください。  <verb> directory <directory> </verb>  たとえば次のように設定します。  <verb> directory /usr/local/tudelft </verb>  エントリを追加する権限を持ったユーザで slapd に接続できるように設定する必要があります。これはデータベース定義中の二つのオプションを用いて行います。    <verb> rootdn <dn> rootpw <passwd> /* ここのパスワードに crypt を使うのを忘れないで !!! */ </verb> <bf>[訳注]</bf> 実際には /* ～ */ でコメントを入れることはできません。  これらのオプションは、データベースの「スーパユーザ」エントリ(すなわち何でもできるエントリ)として認証するのに使う DN とパスワードを指定します。これで指定する DN とパスワードは、実際にこの名前のエントリがあるか、そして指定のパスワードを持っているかにかかわらず常に有効です。これは、まだ何もエントリが無い状態での認証とエントリの追加をどうするかという「鶏と卵」問題を解決します。  最後に、データベース定義に望む索引定義を含めます。  <verb> index {<attrlist> | default } [pres,eq,approx,sub,none] </verb>  たとえば、cn, sn, uid, objectclass 属性に索引をつけるには、次のような index 設定行を使います。  <verb> index cn,sn,uid index objectclass pres,eq index default none </verb>  ここまで設定したら slapd を起動して、あなたの LDAP クライアントで接続して、エントリの追加を開始してください。たとえば、TUDelft エントリとそれに属する Postmaster エントリを ldapadd ツールを用いて追加するには、その内容を記述した /tmp/newentry というファイルを作成します。  <verb> o=TUDelft, c=NL objectClass=organization o=TUDelft description=Technical University of Delft Netherlands cn=Postmaster, o=TUDelft, c=NL objectClass=organizationalRole cn=Postmaster description= TUDelft postmaster - postmaster@tudelft.nl </verb>  実際にエントリを作成するには次のようなコマンドを使います。  <verb> ldapadd -f /tmp/newentry -D "cn=Manager, o=TUDelft, c=NL" -w secret </verb>  上のコマンド利用例では、rootdn が "cn=Manager, o=TUDelft, c=NL"、 rootpw が "secret" に設定されているものとします。コマンドラインにパスワードをタイプしたくなければ、ldapadd コマンドのオプション -w "password" の代わりに -W オプションを使ってください。そうすると、次のようにパスワードの入力が要求されるようになります。  <verb> ldapadd -f /tmp/newentry -D "cn=Manager, o=TUDelft, c=NL" -W Enter LDAP Password: </verb>  <sect1>オフラインでデータベースを作成する方法 <bf>[訳注]</bf> この節の説明は基本的に OpenLDAP 2.0.x に基づいています。  データベースを作成する第２の方法は、後述する索引生成ツールを用いてオフラインで行うことです。何千以上ものエントリを格納する必要があり、前述の LDAP を利用した方法を使ったのでは時間がかかりすぎるような場合には、オフラインで生成するのが最適です。このツールは、slapd 用の設定ファイルと、追加するエントリのテキスト表現が書かれた入力 LDIF ファイルとを読み込み、LDBM 索引ファイルを直接作成します。まずは、設定ファイルのデータベース定義に設定しておくべき重要な設定オプションがいくつかあります。  <verb> suffix <dn> </verb>  前述したように、このオプションは、このデータベースに格納されるエントリ群が何であるかを示しています。これは作成しようとしているサブツリーのルートの DN に設定すべきです。たとえば次のように設定します。  <verb> suffix "o=TUDelft, c=NL" </verb>  索引ファイルを作成するディレクトリを設定してください。  <verb> directory <directory> </verb>  たとえば次のように設定します。  <verb> directory /usr/local/tudelft </verb>  次に、オープンされている各索引ファイルによって利用されるメモリ内キャッシュのサイズを増やしておくとよいでしょう。索引の作成時に最高の性能を出すためには、全体の索引がメモリに納まるようにします。このようにするにはデータが大きすぎる、あるいはメモリが少なすぎる場合でも、キャッシュサイズをできるだけ大きくしましょう。後はページングシステムが作業してくれます。このサイズは次のオプションで設定します。  <verb> dbcachesize <integer> </verb>  たとえば次のように設定します。  <verb> dbcachesize 50000000 </verb>  これは 50MB というかなり大きなサイズのキャッシュを作成します(ミシガン大学では、データベースが約 125K エントリ、最大の索引ファイルが約 45MB です)。このキャッシュサイズと並行度(後述)を実験してみて、システムが最適に動作するようにしてください。索引ファイルを作成したら、slapd を実行する前にキャッシュサイズを小さな値に戻しておくのを忘れないでください。  最後に、作成する索引を指定する必要があります。これは、一つ以上の index オプションによって行われます。  <verb> index {<attrlist> | default} [pres,eq,approx,sub,none] </verb>  たとえば次のように設定します。  <verb> index cn,sn,uid pres,eq,approx index default none </verb>  これは、属性 cn, sn, and uid について存在、等価性、近似の索引を作成し、他の属性については索引を作成しません。このオプションについて詳しくは <ref id="3" name="LDAP サーバの設定">の設定ファイルを参照してください。  ここまで設定したら、slapadd(8) プログラムを実行して主データベースと関連する索引を作成します。  <verb> slapadd -l <inputfile> -f <slapdconfigfile> [-d <debuglevel>] [-n <integer>|-b <suffix>] </verb>  引数の意味は次のとおりです。  <descrip> <tag/-l <inputfile>/  追加するエントリをテキスト形式で記述した LDIF 入力ファイルを指定します (LDIF については次節を参照)。  <tag/-f <slapdconfigfile>/  索引を作成する場所、作成する索引などを知らせる slapd 設定ファイルを指定します。  <tag/-d <debuglevel>/  <debuglevel> で指定したデバッグモードにします。指定するデバッグレベルは slapd と同じです。「LDAP サーバの実行」の章の「<ref id="4.1" name="コマンドラインオプション">」を参照してください。   どのデータベースを更新するかを指定するオプション引数。設定ファイル中に定義されている最初のデータベースは 1、２番目のデータベースは 2 というように指定します。デフォルトでは、設定ファイルに定義されている最初の ldbm データベースが使われます。オプション -b と併せて指定してはなりません。  <tag/-b <suffix>/  どのデータベースを更新するかを指定するオプション引数。与えるサフィックスは、データベース番号を決定するために、データベースの suffix ディレクティブと照合されます。オプション -n と併せて指定してはなりません。 </descrip>  時には索引の再作成が必要になることもあります(slapd.conf(5) を変更した後など)。このようなことは、slapindex(8) プログラムを使ってできます。slapindex は次の書式で起動します。  <verb> slapindex -f <slapdconfigfile> [-d <debuglevel>] [-n <databasenumber>|-b <suffix>] </verb>  オプション -f, -d, -n, -b の意味は slapadd(1) プログラムと同じです。 slapindex は、現在のデータベースの内容を基にすべての索引を再作成します。  データベースを LDIF ファイルにダンプするのに使う slapcat というプログラムが用意されています。これは、データベースの可読性のあるバックアップをとりたいとき、データベースをオフラインで編集したいときなどに有用です。このプログラムは次の書式で起動します。  <verb> slapcat -l <filename> -f <slapdconfigfile> [-d <debuglevel>] [-n <databasenumber>|-b <suffix>] </verb>  オプション -n または -b は、{{EX:-f}} で指定する slapd.conf(5) に設定されているデータベースを選ぶのに使います。相当する LDIF 出力は、標準出力か -l オプションで指定するファイルに書き出されます。  <sect1>LDIF フォーマットについてさらに <bf>[訳注]</bf> この節の説明は基本的に OpenLDAP 2.0.x に基づいています。  LDAP データ交換フォーマット(LDIF - LDAP Data Interchange Format)は、 LDAP エントリを簡単なテキストフォーマットで表現するために利用されます。エントリの基本的な形式は次のようなものです。  <verb> # コメント dn: <識別名> <属性記述子>: <属性値> <属性記述子>: <属性値> ... </verb>  文字 '#' で始まる行はコメントです。属性記述子は、 cn, objectClass, 1.2.3 (属性型の OID)のような単なる属性型であり、 cn;lang_en_US, userCertificate;binary のようにオプションも付けられます。  行を単一のスペースまたはタブ文字で開始すると前の行に継続できます。たとえば次のようにできます。 <tscreen><verb> dn: cn=Barbara J Jensen, dc=example, dc= com cn: Barbara J Jensen </verb></tscreen>  これは次のものと同等です。 <tscreen><verb> dn: cn=Barbara J Jensen, dc=example, dc=com cn: Barbara J Jensen </verb></tscreen>  属性値が複数ある場合は行を分けて指定します。たとえば次のようになります。 <tscreen><verb> cn: Barbara J Jensen cn: Babs Jensen </verb></tscreen>  <属性値> に印字できない文字が含まれていたり、スペース、コロン(':')、小なり記号('{{EX:<}}')で始まる場合には、<属性記述子> に続けてコロンを二つ置き、base64 表記でエンコードした値を書きます。たとえば、値が " begins with a space" であるときは次のようになります。 <tscreen><verb> cn:: IGJlZ2lucyB3aXRoIGEgc3BhY2U= </verb></tscreen>  属性値を保持した URL を指定することもできます。次に示す例は、jpegPhoto の値をファイル /path/to/file.jpeg から得ることを指定します。   <tscreen><verb> cn:< file:///path/to/file.jpeg </verb></tscreen>  同じ LDIF 中の複数のエントリは空行で分離します。次に示すのは、三つのエントリを含んだ LDIF ファイルの例です。   <tscreen><verb> # Barbara's Entry dn: cn=Barbara J Jensen,dc=example,dc=com cn: Barbara J Jensen cn: Babs Jensen objectClass: person sn: Jensen # Bjorn's Entry dn: cn=Bjorn J Jensen,dc=example,dc=com cn: Bjorn J Jensen cn: Bjorn Jensen objectClass: person sn: Jensen # Base64 encoded JPEG photo jpegPhoto:: /9j/4AAQSkZJRgABAAAAAQABAAD/2wBDABALD A4MChAODQ4SERATGCgaGBYWGDEjJR0oOjM9PDkzODdASFxOQ ERXRTc4UG1RV19iZ2hnPk1xeXBkeFxlZ2P/2wBDARESEhgVG # Jennifer's Entry dn: cn=Jennifer J Jensen,dc=example,dc=com cn: Jennifer J Jensen cn: Jennifer Jensen objectClass: person sn: Jensen # JPEG photo from file jpegPhoto:< file:///path/to/file.jpeg </verb></tscreen>  ここで、Bjorn のエントリ中の jpegPhoto が base 64 エンコードで、Jennifer のエントリ中の jpegPhoto が URL によって示された場所から取得されることに注目してください。  LDIF ファイルにおいて、値の後に続くスペースが切捨てられることはありません。また、値の中のスペースが縮められることもありません。データ中にスペースを置きたくない場合は、LDIF にもスペースを置いてはなりません。  <sect1>ldapsearch, ldapdelete, ldapmodify ユーティリティ <bf>[訳注]</bf> この節の説明は基本的に OpenLDAP 1.2.x に基づいています。 OpenLDAP 2.0.x ではオプションがいくつか追加/変更されています。  ldapsearch - ldapsearch は、ldap_search(3) ライブラルコールに対応するコマンドラインインタフェースです。このユーティリティは、LDAP データベースバックエンド中のエントリを検索するために使います。  ldapsearch を起動する書式は次のとおりです(各オプションの意味は ldapsearch の man ページを見てください)。  <tscreen><verb> ldapsearch [-n] [-u] [-v] [-k] [-K] [-t] [-A] [-B] [-L] [-R] [-d debuglevel] [-F sep] [-f file] [-D binddn] [-W] [-w bindpasswd] [-h ldaphost] [-p ldapport] [-b searchbase] [-s base|one|sub] [-a never|always|search|find] [-l timelimit] [-z sizelimit] filter [attrs...] </verb></tscreen>  ldapsearch は LDAP サーバへに対してコネクションを張り、バインドした後、フィルタ filter を用いて検索します。この filter は、RFC 1558 に定義されている LDAP フィルタの文字列表現に従わねばなりません。ldapsearch が１個以上のエントリを見つけると、attrs に指定した属性が取り出され、そのエントリと値が標準出力に印字されます。attrs の指定がなければ、全属性が返されます。  次に ldapsearch の利用例をいくつか示します。 <tscreen><verb> ldapsearch -b 'o=TUDelft,c=NL' 'objectclass=*' ldapsearch -b 'o=TUDelft,c=NL' 'cn=Rene van Leuken' ldasearch -u -b 'o=TUDelft,c=NL' 'cn=Luiz Malere' sn mail </verb></tscreen>  オプション -b は検索ベース(先頭の検索ポイント)を指定し、-u オプションはユーザフレンドリ形式を出力に含めることを指定します。  ldapdelete - ldapdelete は、ldap_delete(3) ライブラルコールに対応するコマンドラインインタフェースです。このユーティリティは、LDAP データベースバックエンド中のエントリを削除するために使います。  ldapdelete を起動する書式は次のとおりです(各オプションの意味は ldapdelete の man ページを見てください)。  <tscreen><verb> ldapdelete [-n] [-v] [-k] [-K] [-c] [-d debuglevel] [-f file] [-D binddn] [-W] [-w passwd] [-h ldaphost] [-p ldapport] [dn]... </verb></tscreen>  ldapdelete は LDAP サーバに対してコネクションを張り、バインドした後、１個以上のエントリを削除します。１個以上の dn 引数が与えられていれば、その識別名を持つエントリが削除されます。個々の dn は、RFC 1779 に定義されている文字列表現の DN でなければなりません。引数 dn が与えられていなければ、標準入力(あるいは -f フラグで指定したファイル file)から DN のリストを読み込みます。  次に ldapdelete の利用例をいくつか示します。 <tscreen><verb> ldapdelete 'cn=Luiz Malere,o=TUDelft,c=NL' ldapdelete -v 'cn=Rene van Leuken,o=TUDelft,c=NL' -D 'cn=Luiz Malere,o=TUDelft,c=NL' -W </verb></tscreen>  オプション -v は冗長モードにすることを指定し、-D オプションはバインドする dn (認証の対象となる dn)を指定し、-W オプションはパスワードの入力を要求することを指定します。  ldapmodify - ldapmodify は、ldap_modify(3) と ldap_add(3) のライブラリコールに対応するコマンドラインインタフェースです。このユーティリティは、 LDAP データベースバックエンド中のエントリを更新するために使います。  ldapmodify を起動する書式は次のとおりです(各オプションの意味は ldapmodify の man ページを見てください)。  <tscreen><verb> ldapmodify [-a] [-b] [-c] [-r] [-n] [-v] [-k] [-d debuglevel] [-D binddn] [-W] [-w passwd] [-h ldaphost] [-p ldapport] [-f file] ldapadd [-b] [-c] [-r] [-n] [-v] [-k] [-K] [-d debuglevel] [-D binddn] [-w passwd] [-h ldaphost] [-p ldapport] [-f file] </verb></tscreen>  ldapadd は、ldapmodify ツールへのハードリンクになっています。ldapadd として起動されると、フラグ -a (新しいエントリの追加)が暗黙に指定されたものとみなします。ldapmodify は LDAP サーバへに対してコネクションを張り、バインドした後、エントリを更新/追加します。エントリ情報は標準入力あるいは -f オプションで指定したファイル file から読み込まれます。  次に ldapmodify の利用例をいくつか示します。  ファイル /tmp/entrymods があり、その内容は次のようになっているとします。 <tscreen><verb> dn: cn=Modify Me, o=University of Michigan, c=US changetype: modify replace: mail mail: modme@terminator.rs.itd.umich.edu - add: title title: Grand Poobah - add: jpegPhoto jpegPhoto: /tmp/modme.jpeg - delete: description - </verb></tscreen>  次のコマンドを実行します。 <tscreen><verb> ldapmodify -b -r -f /tmp/entrymods </verb></tscreen>  これにより、エントリ "Modify Me" の mail 属性の内容を値 "modme@terminator.rs.itd.umich.edu" で置換し、 "Grand Poobah" の title を追加して、ファイル "/tmp/modme.jpeg" の内容を jpegPhoto として追加して、description 属性を完全に除去します。  次の古い ldapmodify 入力フォーマットを用いても、上と同じ更新が行えます。 <tscreen><verb> cn=Modify Me, o=University of Michigan, c=US mail=modme@terminator.rs.itd.umich.edu +title=Grand Poobah +jpegPhoto=/tmp/modme.jpeg -description </verb></tscreen>  この場合も同様に ldapmodify を起動します。 <tscreen><verb> ldapmodify -b -r -f /tmp/entrymods </verb></tscreen>  ファイル /tmp/newentry があり、その内容は次のようになっているとします。 <tscreen><verb> dn: cn=Barbara Jensen, o=University of Michigan, c=US objectClass: person cn: Barbara Jensen cn: Babs Jensen sn: Jensen title: the world's most famous manager mail: bjensen@terminator.rs.itd.umich.edu uid: bjensen </verb></tscreen>  次のコマンドを実行します。 <tscreen><verb> ldapadd -f /tmp/entrymods </verb></tscreen>  ファイル /tmp/newentry があり、その内容は次のようになっているとします。 <tscreen><verb> dn: cn=Barbara Jensen, o=University of Michigan, c=US changetype: delete </verb></tscreen>  次のコマンドを実行します。 <tscreen><verb> ldapmodify -f /tmp/entrymods </verb></tscreen>  これは、Babs Jensen のエントリを除去します。  オプション -f は(標準入力の代わりに更新情報を読み込む) ファイルを指定し、-b オプションはバイナリを指定し (入力ファイル中で '/' で始まる値はバイナリであると解釈される)、-r は更新(デフォルトで既存の値を更新)を指定します。  <sect>追加情報と補足  この節には、ディレクトリへの問合せに使える Netscape のアドレス帳 (Address Book)についての情報があります。また、バージョン 4.5 以上の Netscape Navigator と LDAP サーバを使ってローミングアクセスを実現する方法について詳しく説明します。OpenLDAP のメーリングリストでは、ローミングアクセスについて多くの議論がありました。それはこの機能がうまく実現できないためです。大部分の人々は Netscape Navigator がダウンロードとアップロードするのに LDAP サーバを使うのを好みません。したがって、これを読んでローミングアクセスが思うように動作しないということがわかっても気にしないでください。多くの人々が既にこの状況を経験しているのです。ここでこの機能を紹介する目的は、LDAP プロトコルの可能性についてのアイデアを人々により多く与えるためです。最後には、 slapd プロセスを安全に中断する方法や slapd のログについての情報があります。  <sect1>ローミングアクセス <bf>[訳注]</bf> この節の説明は基本的に OpenLDAP 1.2.x に基づいています。 OpenLDAP 2.0.x では属性やオブジェクトクラスの拡張方法などが変更になっています。  ローミングアクセスの目的は、ネット上のどこにいても Netscape Navigator と LDAP サーバを用いて、ブックマーク、設定、メールフィルタなどを取り出せるようにすることです。これは非常に便利な機能です。あなたがどこで Web にアクセスしようとも、そこで使うブラウザにはあなた自身の設定があるのです。もしあなたが旅行に出た先で、あなたのローカルブックマークに登録してある相場のサイトにアクセスしたい場合も心配ありません。ブックマークや設定ファイルは LDAP サーバにアップロードされ、後であなたがどこにいようともブックマークや設定ファイルをすべて取り出せます。 <bf>[訳注]</bf> 残念ながら Netscape 6 ではローミングアクセス機能が無くなりました。  ローミングアクセスを実現するには次のステップに従う必要があります。  <enum> <item>属性記述ファイルを変更する <item>オブジェクトクラス記述ファイルを変更する <item>プロファイルを格納するための LDIF ファイルを作成する <item>ローミングアクセスサーバとして LDAP サーバを使うように Netscape Navigator を設定する <item>新しい設定で LDAP サーバを再起動する </enum>  <sect2>属性ファイルの変更 slapd.at.conf (これは slapd.conf に取り込まれるファイルで、通常 /usr/local/etc/openldap にあります)に与えられている属性の一覧に次の新しい属性を追加する必要があります。   <tscreen><verb> attribute nsLIPtrURL ces attribute nsLIPrefs ces attribute nsLIProfileName cis attribute nsLIData bin attribute nsLIElementType cis attribute nsLIServerType cis attribute nsLIVersion cis attribute nsServerPort cis </verb></tscreen> <bf>[訳注]</bf> OpenLDAP 2.0.x の場合、/usr/local/etc/openldap/schema/ に適当なファイルを用意して次の定義を追加し、それを slapd.conf に取り込むようにします。 <tscreen><verb> attributetype ( 2.16.840.1.113730.3.1.70 NAME 'serverRoot' EQUALITY caseIgnoreMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) attributetype ( 2.16.840.1.113730.3.1.76 NAME 'serverHostName' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) attributetype ( 2.16.840.1.113730.3.1.280 NAME 'nsServerPort' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) attributetype ( 2.16.840.1.113730.3.1.399 NAME 'nsLIPtrURL' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) attributetype ( 2.16.840.1.113730.3.1.400 NAME 'nsLIPrefs' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) attributetype ( 2.16.840.1.113730.3.1.401 NAME 'nsLIProfileName' EQUALITY caseIgnoreMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) attributetype ( 2.16.840.1.113730.3.1.402 NAME 'nsLIData' EQUALITY bitStringMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 ) attributetype ( 2.16.840.1.113730.3.1.403 NAME 'nsLIElementType' EQUALITY caseIgnoreMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) attributetype ( 2.16.840.1.113730.3.1.404 NAME 'nsLIServerType' EQUALITY caseIgnoreMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) attributetype ( 2.16.840.1.113730.3.1.405 NAME 'nsLIVersion' EQUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 ) </verb></tscreen>  <sect2>オブジェクトクラスファイルの変更 slapd.oc.conf (これは slapd.conf に取り込まれるファイルで、普通 /usr/local/etc/openldap にあります)に次の新しいクラスを追加する必要があります。   <tscreen><verb> objectclass nsLIPtr requires objectclass allows nsliptrurl, owner objectclass nsLIProfile requires objectclass, nsliprofilename allows nsliprefs, uid, owner objectclass nsLIProfileElement requires objectclass, nslielementtype allows owner, nslidata, nsliversion objectclass nsLIServer requires objectclass, serverhostname allows description, cn, nsserverport, nsliservertype, serverroot </verb></tscreen> <bf>[訳注]</bf> OpenLDAP 2.0.x の場合、/usr/local/etc/openldap/schema/ に適当なファイルを用意して次の定義を追加し、それを slapd.conf に取り込むようにします。 <tscreen><verb> objectclass ( 2.16.840.1.113730.3.2.74 NAME 'nsLIPtr' SUP top MUST objectClass MAY ( nsLIPtrURL $ owner ) ) objectclass ( 2.16.840.1.113730.3.2.75 NAME 'nsLIProfile' SUP top MUST ( objectClass $ nsLIProfileName ) MAY ( nsLIPrefs $ uid $ owner ) ) objectclass ( 2.16.840.1.113730.3.2.76 NAME 'nsLIProfileElement' SUP top MUST ( objectClass $ nsLIElementType ) MAY ( owner $ nsLIData $ nsLIVersion ) ) objectclass ( 2.16.840.1.113730.3.2.77 NAME 'nsLIServer' SUP top MUST ( objectClass $ serverHostName ) MAY ( cn $ description $ nsLIServerType $ nsServerPort $ serverRoot ) ) </verb></tscreen>  <sect2>LDIF ファイルの作成  <bf>[訳注]</bf> このステップに入る前に slapd.conf の設定をしておきましょう。まず OpenLDAP 1.2.x の場合 `lastmod on' にして運用属性 modifyTimestamp が自動的に管理されるようにしなければなりません。さらに、次のアクセス権を設定して slapd を再起動してください。 <verb> OpenLDAP 1.2.x の場合： access to dn=".*,ou=Roaming,o=myOrg,c=NL" by dnattr=owner write access to attr=userpassword by * none by self write OpenLDAP 2.0.x の場合： access to dn=".*,ou=Roaming,o=myOrg,c=NL" by dnattr=owner write access to attr=userpassword by self write by anonymous auth by dn="cn=Manager,o=myOrg,c=NL" write by * none access to * by self write by anonymous auth </verb> 次に LDIF ファイルを作成する必要があります。Netscape のローミンングアクセス機能を使ってみたい各ユーザ用に、プロファイルエントリを追加します。以下に、プロファイルエントリを持つ LDIF ファイルの簡単な例を示します。    <tscreen><verb> dn: o=myOrg,c=NL objectClass: top objectClass: organization o: myOrg dn: ou=People,o=myOrg,c=NL objectClass: top objectClass: organizationalUnit ou: People dn: cn=seallers,ou=People,o=myOrg,c=NL userPassword: myPassword objectClass: top objectClass: person cn: seallers sn: seallers dn: ou=Roaming,o=myOrg,c=NL objectClass: top objectClass: organizationalUnit ou: Roaming dn: nsLIProfileName=seallers,ou=Roaming,o=myOrg,c=NL objectClass: top objectClass: nsLIProfile nsLIProfileName: seallers owner: cn=seallers,ou=People,o=myOrg,c=NL </verb></tscreen> <bf>[訳注]</bf> もちろん、LDIF ファイルを作成するだけではなくて、これを実際に ldapadd などを使ってディレクトリに格納してください。  <sect2>Netscape Navigator の設定 次のステップは、LDAP サーバに対してローミングアクセスが可能となるように Netscape Navigator を設定することです。  <itemize> <item>メニュー「編集」→「設定」→「ローミングユーザ」を選択します。 </itemize>  まず、このプロファイルでローミングアクセスを可能にしなければなりません。当該のチェックボックスをクリックします。   <itemize> <item>ユーザ名のボックスに適切な値、たとえば seallers を入力します。 </itemize>  「設定」ウィンドウの左側にある「ローミングユーザ」オプションの矢印をプルダウンして、ローミングアクセスのサブオプションを表示します。  <itemize> <item>「サーバ情報」をクリックして「LDAP ディレクトリサーバ」オプションを有効にし、ボックスに次のような情報を入力します。  <tscreen><verb> Address: ldap://myHost/nsLIProfileName=$USERID,ou=Roaming,o=myOrg,c=NL User DN: cn=$USERID,ou=People,o=myOrg,c=NL </verb></tscreen> </itemize>   重要：Netscape は、ブラウザを実行する前に、あなたが選択したプロファイルの名前で $USERID を自動的に置き換えます。したがって、あなたがプロファイル seallers を選択していれば $USERID は seallers に置き換わり、プロファイル gonzales を選択していれば $USERID は gonzales に置き換わります。プロファイルについてよく知らなければ、 Netscape Comunicator パッケージについてくる Profile Manager アプリケーションを起動してください。これは、同じマシン上で複数ユーザが安全にブラウザを扱えるよう設計されたアプリケーションであり、個々のユーザが自分だけのブラウザ設定を保有できます。 <bf>[訳注]</bf> 訳者が確認したところでは、$USERID はローミングユーザの設定で入力したユーザ名で置き換わるようです。   <sect2>LDAP サーバの再起動 最終ステップは、サーバの再起動です。LDAP サーバを安全に終了させる方法については <ref id="4.2" name="LDAP サーバを終了する方法">、再び起動する方法については<ref id="4" name="LDAP サーバの実行">を参照してください。 <bf>[訳注]</bf> 訳者が確認したところでは、ここで再起動する必要があるのは LDAP サーバではなくて Netscape です。  <sect1>Netscape のアドレス帳  LDAP サーバが実行していれば、いろいろなクライアント(たとえば ldapsearch コマンドラインユーティリティ)で LDAP サーバにアクセスできます。非常に興味深いクライアントに Netscape のアドレス帳があります。これは Netscape のバージョン 4.x から利用できるようになっていますが、LDAP サーバと安全にやりとりするためには 4.5 以上のものを使う必要があります。 <bf>[訳注]</bf> 残念ながら Netscape 6 では LDAP サーバへのアクセス機能が無くなりました。  アドレス帳を使えるようにするには次のようにしてください。  Netscape Navigator の起動 -> Communicator メニューの選択 -> アドレス帳(Address Book)  Netscape のアドレス帳には、デフォルトの LDAP ディレクトリが既にいくつか登録されています。あなたの LDAP ディレクトリも登録する必要があります！  ファイル(File)メニューの選択 -> 新しいディレクトリ(New Directory)  あなたのサーバの情報を入力します。たとえば次のように設定します。  <itemize> <item>Description : TUDelft <item>LDAP Server : dutedin.et.tudelft.nl <item>Server Root : o=TUDelft, c=NL </itemize>  デフォルトの LDAP ポートは 389 であり、サーバ側でこのオプションを変更しているのでない限りポートを変更しないでください。  これで、ボックス Show Names Containing を使ってあなたのサーバに簡単な問合せができますし、Search ボタンで複雑な問合せもできるようになっています。 <sect1>LDAP Migration Tools   LDAP Migration Tools は、設定ファイル(configuration files)を LDIF フォーマットに変換する Perl スクリプト集です。このスクリプト集は PADL Software Ltd によって提供されていて、利用する前にライセンス条項に目をとおしておくことを勧めますが、とにかくフリーです。ユーザの認証に LDAP サーバを利用しようとしているなら、このツールは非常に有用です。 Migration Tools は、NIS やパスワードのアーカイブを LDIF に変換し、それらのファイルと互換のある情報を LDAP サーバで使えるようにします。また、ユーザ、グループ、hosts, aliases, netgroups, networks, protocols, RPC そして既存のネームサービス(NIS、フラットファイル、NetInfo)のサービスを LDIF フォーマットに移行するのにも、この Perl スクリプト集を適用してください。LDAP Migration Tools のダウンロードとさらなる情報を入手するには、次のアドレスに行ってください。 <tscreen><htmlurl url="http://www.padl.com/tools.html" name="http://www.padl.com/tools.html"></tscreen>  このパッケージには README ファイルが付いていて、スクリプトファイルの名前は機能を表しています。まずは README ファイルに目をとおして、その後にスクリプトの適用を開始してください。  <sect1>LDAP を用いた認証  PAM (Pluggable Authentication Modules)という機構を用いて、LDAP はユーザを認証できます。UNIX が登場した当時からユーザの認証は、ユーザがパスワードを入力し、その入力されたパスワードが /etc/passwd に格納されている暗号化された正式なパスワードに該当するかをシステムが検査することにより行われてきました。   これは初期のことであり、その後、多くのユーザの認証が一般的になりました。その中には /etc/passwd をより複雑にしたものや、スマートカードというハードウェアデバイスもありました。このような認証の問題は、新しい認証方式が開発されるたびに、その新しい認証方法をサポートするために認証が必要なプログラム(login, ftpd など)のすべてを書き換えなければならないことです。 PAM は、認証方式から独立してプログラムを開発する手段を提供します。このようなプログラムは、実行時に認証を行うために接続する「認証モジュール」を必要とします。  LDAP のための認証モジュールは次のアドレスから tar ball の形式で入手できます。 <tscreen><htmlurl url="http://www.padl.com/pam_ldap.html" name="http://www.padl.com/pam_ldap.html"></tscreen>  ここでは、既に Linux ディストリビューションに PAM が用意されているものとします。もし PAM が用意されていなければ <htmlurl url="http://www.kernel.org/pub/linux/libs/pam" name="http://www.kernel.org/pub/linux/libs/pam"> を参照してください。実際のところ、さまざまな Linux ディストリビューションでの PAM の標準設定はそれぞれ違っています。普通、PAM の設定ファイルは <tt>/etc/pam.d/</tt> ディレクトリに存在します。このディレクトリには、マシンで実行する各サービスごとに一つのファイルがあります。たとえば、Linux のブートアップの後でユーザのログイン処理に LDAP サーバを使いたいなら、(この段落の最初に説明してあるように)あなたの Linux で PAM を使えるようにし、LDAP PAM モジュールをインストールし、/etc/pam.d/ ディレクトリにある login という PAM 設定ファイルを編集して次のような内容にします。 <tscreen><verb> #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_nologin.so auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix_auth.so try_first_pass account sufficient /lib/security/pam_ldap.so account required /lib/security/pam_unix_acct.so password required /lib/security/pam_cracklib.so password required /lib/security/pam_ldap.so password required /lib/security/pam_pwdb.so use_first_pass session required /lib/security/pam_unix_session.so </verb></tscreen>  <bf>[訳注]</bf> pam_ldap は認証を行うだけなので、uid, gid, ホームディレクトリなどの読出しも LDAP でできるように NSS (Name Service Switch)のモジュール nss_ldap をインストールしておく必要があるでしょう。nss_ldap も PADL Software の Web サイトから入手できます。また、ディレクトリ内のエントリの作成には、前述の LDAP Migration Tools を使うとよいでしょう。  <sect1>グラフィカルな LDAP ツール <itemize> <item>Kldap </itemize>  <tscreen> Kldap は KDE のために書かれたグラフィカルな LDAP クライアントです。Kldap はよいインタフェースを持ち、ディレクトリに格納された情報ツリーをすべて参照できます。次の Web サイトで、このアプリケーションのスクリーンショットのチェックとダウンロードができます。 </tscreen> <tscreen><htmlurl url="http://www.mountpoint.ch/oliver/kldap/" name="http://www.mountpoint.ch/oliver/kldap "></tscreen> <itemize> <item>GQ </itemize>  <tscreen> GQ という簡潔なインタフェースを備えたグラフィカル LDAP クライアントもあります。これは GNOME のために書かれたものです。GQ は KDE でも動作しますし、 Kldap も GNOME で動かせます。次の Web サイトで、ダウンロードやさらなる情報を取得できます。 </tscreen> <tscreen><htmlurl url="http://biot.com/gq/" name="http://biot.com/gq/"></tscreen> <sect1>Logs  slapd はログを生成するのに syslog(8) 機能を用います。syslog(8) 機能のデフォルトユーザは LOCAL4 ですが、LOCAL0, LOCAL1 から LOCAL7 までのどれかにすることもできます。  ログを生成をできるようにするには、たいていは /etc ディレクトリにある syslog.conf ファイルを編集しなければなりません。  次のような行を追加します。  <tscreen><verb> local4.* /usr/adm/ldalog </verb></tscreen>   この設定では syslog 機能にデフォルトユーザ LOCAL4 を使います。この行の構文を知らなければ、syslog, syslog.conf, syslogd の man ページを見てください。デフォルトユーザを変更したり、生成するログのレベルを指定するには、slapd を起動するときに次のオプションを指定します。 -s syslog-level   <tscreen> このオプションは、syslog(8) 機能にどのレベルのデバッグ情報を出力するかを slapd に伝えます。このレベルはメッセージの重大度を述べていて、次に(高いほうから低いほうに)あげるキーワードのいずれかである：emerg, alert, crit, err, warning, notice, info, debug. たとえば次のように指定します。 <tscreen><verb> slapd -f myslapd.conf -s debug </verb></tscreen> <bf>[訳注]</bf> この説明は何かの勘違いのようです。実際にはどのデバッグ情報を出力するかを数値で指定します。指定する数値については slapd.conf の loglevel オプションを参照してください。 </tscreen> -l syslog-local-user  <tscreen> syslog(8) 機能のローカルユーザを指定します。値には LOCAL0, LOCAL1 など LOCAL7 まで指定できます。デフォルトは LOCAL4 です。しかし、このオプションは syslog(8) 機能でローカルユーザをサポートするシステムでのみ許されます。 </tscreen>  さて、生成されたログを見てみてください。このログは、問合せ、更新、バインドなどで起きる問題を解決するのに大きな助けとなります。  <sect>情報源  この節では、LDAP についてさらに知りたい人のために、有用な URL、クールな書籍、RFC仕様を紹介します。 <sect1>URLs  次に示すのは LDAP について非常に有用な情報を含んだ URL です。この HOWTO はこれらの URL から作ったので、この文書を読んだ後でより詳細な情報が必要なら、これらの URL で見つけられるかもしれません。 <itemize> <item>  ミシガン大学の LDAP ページ： </itemize>  <tscreen> <htmlurl url="http://www.umich.edu/˜dirsvcs/ldap/index.html" name=" http://www.umich.edu/˜dirsvcs/ldap/index.html"> </tscreen> <itemize> <item>  ミシガン大学の LDAP 文書ページ： </itemize>  <tscreen> <htmlurl url="http://www.umich.edu/˜dirsvcs/ldap/doc/" name=" http://www.umich.edu/˜dirsvcs/ldap/doc/"> </tscreen> <itemize> <item>OpenLDAP Administrator's Guide: </itemize>  <tscreen> <htmlurl url="http://www.openldap.org/doc/admin" name="http://www.openldap.org/doc/admin"> </tscreen> <itemize> <item>  Netscape のローミングアクセスを手作業で実現する方法： </itemize>  <tscreen> <htmlurl url="http://help.netscape.com/products/client/communicator/manual_roaming2.html" name=" http://help.netscape.com/products/client/communicator/manual_roaming2.html"> </tscreen> <itemize> <item>  Netscape Communicator 4.5 の LDAP 設定のカスタマイズ： </itemize>  <tscreen> <htmlurl url="http://developer.netscape.com/docs/manuals/communicator/ldap45.htm" name=" http://developer.netscape.com/docs/manuals/communicator/ldap45.htm"> </tscreen> <itemize> <item> Introducing to Directory Service (X.500): </itemize>  <tscreen> <htmlurl url="http://www.nic.surfnet.nl/surfnet/projects/x500/introducing/" name=" http://www.nic.surfnet.nl/surfnet/projects/x500/introducing/"> </tscreen> <itemize> <item> Linux Directory Service: </itemize>  <tscreen> <htmlurl url="http://www.rage.net/ldap/" name="http://www.rage.net/ldap/"> </tscreen>   <sect1>書籍  これらは LDAP について最もよく知られた有用な書籍です。 <itemize> <item>Implementing LDAP by Mark Wilcox <item>LDAP: Programming Directory-Enabled Applications with Lightweight Directory Access Protocol by Howes and Smith [松島栄樹、岡薫訳「LDAP インターネットディレクトリアプリケーションプログラミング」、ピアソン刊] <item>Understanding and Deploying LDAP Directory Servers by Howes, Smith, and Good </itemize>  <sect1>RFC  LDAP の開発をサポートする RFC です。 <itemize> <item>RFC 1558: A String Representation of LDAP Search Filters <item>RFC 1777: Lightweight Directory Access Protocol <item>RFC 1778: The String Representation of Standard Attribute Syntaxes <item>RFC 1779: A String Representation of Distinguished Names <item>RFC 1781: Using the OSI Directory to Achieve User Friendly Naming <item>RFC 1798: Connectionless LDAP <item>RFC 1823: The LDAP Application Programming Interface <item>RFC 1959: An LDAP URL Format <item>RFC 1960: A String Representation of LDAP Search Filters <item>RFC 2251: Lightweight Directory Access Protocol (v3) <item>RFC 2307: LDAP as a Network Information Service </itemize> </article>