オープンソースの 今 を 伝 える オープンソースカンファレンス2009 Tokyo/Fall 知 っておきたい OpenLDAPサポートツール 日 本 LDAPユーザ 会 伊 藤 忠 テクノソリューションズ 株 式 会 社 菊 池 研 自 1
はじめに OpenLDAPには にはslapXXX slapxxx Berkeley DBには にはdb_XXX db_xxxといっ た 使 いどころを 理 解 していると 便 利 なツール ツールがあります があります これらのツール ツールの 役 割 を 十 分 理 解 し 行 った 操 作 が 正 し いことを 管 理 者 が 自 ら 確 認 できれば 効 率 的 な 運 用 が 促 進 され 負 担 は 軽 減 されることでしょう 本 資 料 でのコマンド 例 の 表 記 は - Cent OS 5.x - OpenLDAP 2.4.x 及 び - Berkeley DB 4.6.x を ベースにしております 2
目 次 OpenLDAPサーバ 管 理 設 定 ファイル アクセス 権 インデックス 管 理 バックアップ リカバリ ログ 管 理 バックエンドDB(Berkeley DB) 管 理 GUI 管 理 ツール 3
設 定 ファイル -slaptest 4
背 景 設 定 ファイル OpenLDAP (ディレクトリサーバ)は 勤 怠 システムや メールサーバ ファ イルサーバなど 企 業 の 業 務 上 必 要 なシステムと 連 携 していることがある 管 理 者 は OpenLDAPサーバを 再 起 動 する 前 に 設 定 に 問 題 がないかを 確 認 したい 意 図 した 内 容 が 反 映 されることを 再 起 動 する 前 に 確 認 したい 5
解 決 slaptest slaptest を 利 用 したslapd.confの 確 認 slapd.confに 設 定 した 内 容 をOpenLDAPサーバがど のように 解 釈 するかを 確 認 可 能 再 起 動 することなく OpenLDAPサーバ 起 動 中 に 変 更 する 設 定 が 正 しく 解 釈 されることを 確 認 可 能 # slaptest -f./etc/openldap/slapd.conf -d config reading config file./etc/openldap/slapd.conf line 5 (include /usr/local/openldap-2.4.11/etc/openldap/schema/core.schema) reading config file /usr/local/openldap-2.4.11/etc/openldap/schema/core.schema...[ 略 ]... line 84 (rootdn "cn=manager,dc=my-domain,dc=com") line 88 (rootpw ***)...[ 略 ]... config file testing succeeded 6
参 考 slapd.confの 基 本 ルール OpenLDAPが 解 析 する 基 本 ルール slapd.conf # ルール1. シャープで 始 まる 行 は コメント コメントとして 無 視 # コメント 行 # ルール2. 空 白 で 始 まる 行 は 継 続 行 syncrepl rid=123 provider=ldap://provider.example.com:389 空 白 type=refreshonly # ルール3. それ 以 外 は パラメータ パラメータと 値 の 組 合 せ パラメータ 値 7
アクセス 権 -slapacl 8
背 景 アクセス 権 OpenLDAP (ディレクトリサーバ)は ネットワーク 上 にディレクトリのエントリ 情 報 を 提 供 している 為 セキュリティ 上 は エントリ 情 報 へのアクセス 権 を 必 要 最 低 限 に 絞 っておきたい 意 図 した 通 りのアクセス 権 が 設 定 される ことを 再 起 動 する 前 に 確 認 したい 再 起 動 し 設 定 を 恒 久 的 に 反 映 させる 前 に 問 題 がないことを 確 認 したい 9
解 決 slapacl slapacl を 利 用 したACL 確 認 再 起 動 することなく OpenLDAPサーバ 起 動 中 に 変 更 した 場 合 の 振 る 舞 いを 確 認 可 能 # slapacl -b "uid=test1003,ou=people,dc=mydomain,dc=com" "userpassword/auth" -d acl [ 略 ] <= check a_dn_pat: anonymous [ 略 ] => access_allowed: auth access granted by auth(=xd) auth access to userpassword: ALLOWED 10
参 考 slapaclの 使 い 所 # slapacl -b "uid=test1003,ou=people,dc=mydomain,dc=com" "userpassword/auth" -d acl dc=my-domain,dc=com ou=people uid=test1003 dn:uid=test1003 cn: sn: uid: userpassword: xxx: -D オプション 匿 名 ユーザ (-D なし) uid=test1004 uid=test1005 -b オプション 認 証 処 理 の 為 の アクセスは 可 能 か? 11
参 考 slapaclの 使 い 方 -bオプション 検 証 対 象 のエントリ 誰 の に 相 当 する 部 分 -Dオプション 検 証 対 象 のユーザ 誰 に に 相 当 する 部 分 省 略 時 は 匿 名 (Anonymous)ユーザとなる 検 証 対 象 の 属 性 値 / 検 証 対 象 の 処 理 # slapacl -b "uid=test1003,ou=people,dc=mydomain,dc=com" "userpassword/auth" -d acl 12
インデックス 管 理 -slapindex 13
背 景 インデックス 管 理 OpenLDAP (ディレクトリサーバ)は 大 量 のエントリ 情 報 を 蓄 積 することも ある また 検 索 される 方 式 に 対 応 で きるようしっかりとインデックス 用 意 し ておきたい 設 定 ファイル 上 のインデックス 設 定 を 変 更 したけど それだけで 良 いの? 利 用 していないインデックスファイルが 残 っているけど どうすれば 良 いの? 14
背 景 インデックス 管 理 OpenLDAPの 設 定 ファイル 上 のイン デックス 設 定 を 変 更 したけれども 既 存 のインデックスファイルは 変 更 され ていないし また 該 当 の 検 索 処 理 の スピードもアップしていない 既 存 データに 対 し slapindexコマ ンドを 利 用 し OpenLDAPの 設 定 ファ イルに 指 定 された 通 りのインデック スの 再 構 築 が 可 能 になる! 15
解 決 slapindex slapindex を 利 用 したインデックス 再 構 築 1. OpenLDAPサーバの 停 止 2. slapd.confの index を 更 新 3. slapindexを 実 行 # slapindex -b dc=my-domain,dc=com -v indexing id=00000001 indexing id=00000002 indexing id=00000003 indexing id=00000004 [ 略 ] 属 性 名.bdb cn.bdb ou.bdb xx.bdb yy.bdb 16
参 考 slapindexの 使 い 勝 手 slapindexのデフォルト 動 作 は slapd.confに 記 述 された 最 初 に 利 用 可 能 なバックエンドDBを 対 象 にインデックスを 構 築 -bオプションでのsuffix 指 定 が 明 示 的 で 安 心 slapd.conf database bdb suffix dc=my-domain,dc=com [ 略 ] database bdb suffix dc=example,dc=com [ 略 ] グローバルセクション バックエンドDB #0 バックエンドDB #1 17
参 考 slapindexの 使 い 勝 手 (2) slapindexは slapindexの 実 行 ユーザでインデッ クスファイルを 作 成 OpenLDAP 実 行 ユーザが インデックスファイル を 利 用 できることの 確 認 を 忘 れずに 1 slapindex chown 2 cn.bdb ou.bdb xx.bdb yy.bdb slapd slapindexでは では -u ユーザ オプション オプションが 利 用 できない 18
解 決 利 用 しなくなったインデックス ファイルのメンテナンス 不 要 なインデックスファイルの 削 除 1. OpenLDAPサーバを 停 止 2. slapd.confの index の 更 新 3. 不 要 なインデックスファイルの 削 除 インデックスファイル dn2id.bdb 属 性 名.bdb ou.bdb id2entry.bdb cn.bdb xxx.bdb 19
バックアップ リカバリ -slapcat -slapadd 20
背 景 バックアップ リカバリ OpenLDAP (ディレクトリサーバ)は 企 業 内 で 様 々なシステムと 連 携 する 大 切 なデータが 蓄 積 されている 為 万 一 に 備 えてバックアップ リカバリ 手 法 を 確 立 しておきたい ある 時 点 のデータを 2 次 媒 体 に 保 存 し ておきたい 随 時 更 新 されるレプリケーション 構 成 で なく ある 時 点 のデータに 戻 せるようにし ておきたい 21
背 景 バックアップ リカバリ OpenLDAPを 運 用 している 環 境 提 供 するサービスレベルに 合 わせたバック アップ リカバリ 手 法 が 確 立 したい S 停 止 して バックアップ 不 可 能 (ホットバックアップ ホットバックアップ) 可 能 (コールドバックアップ コールドバックアップ) システム 側 コマンドで 取 得 OpenLDAP 提 供 コマンドで 取 得 22
参 考 コールドバックアップする Berkeley DBファイルの 目 安 必 須 DB_CONFIG db.[00x] alock ファイル 名 役 割 Berkeley DBの 設 定 ファイル Berkeley DBが 共 有 利 用 するメモリ 領 域 がマッ プされたファイル OpenLDAPがBerkeley DBの 重 複 利 用 や 正 常 停 止 を 管 理 するファイル dn2id.bdb id2entry.bdb log.[000000000x] [インデックス 指 定 属 性 名 ].bdb OpenLDAPのエントリ 情 報 を 蓄 積 するデータ ファイル OpenLDAPではメインのデータファ イル Berkeley DBのトランザクションログファイル 最 新 の1ファイルは 必 須 OpenLDAPのインデックス 情 報 を 蓄 積 するデー タファイル OpenLDAPの 設 定 ファイルslapd.conf 変 更 があればスキーマファイルも 忘 れずに 23
解 決 Berkeley DB 関 連 ファイルの コールドバックアップ OpenLDAPを 停 止 してバックアップ # cp -p DB_CONFIG alock *.bdb log.* /path/to/backup [/path/to/backup] id2entry.bdb dn2id.bdb xx.bdb id2entry.bdb dn2id.bdb xx.bdb DB_CONFIG log.n DB_CONFIG log.n alock db.001 alock 24
解 決 slapcat (ホットバックアップ) OpenLDAP 起 動 中 にバックアップ ディレクトリデータをLDIF(LDAPでのデータ 交 換 用 フォーマット) 形 式 でファイルへ 抽 出 # slapcat -b suffix -l /path/to/backup.ldif slapcat バックエンドDB LDIF バックアップ ファイル slapd.conf DB_CONFIGに 加 え 変 更 があった 場 合 スキーマファイルも 忘 れずに 25
解 決 slapadd (ホットバックアップからのリストア) OpenLDAPを 停 止 してリストア LDIF 形 式 のディレクトリデータをリストア # slapadd -b suffix -l /path/to/backup.ldif slapcat LDIF バックアップ ファイル バックエンドDB slapd.conf DB_CONFIG スキーマファイルを slapaddの 実 行 より 先 にリストア 26
参 考 slapcat slapaddの 使 い 勝 手 slapcat slapaddでは -bオプションでのsuffix 指 定 が 明 示 的 で 安 心 slapaddの 実 行 後 は ファイルの 所 有 権 に 注 意 slapd.conf database bdb suffix dc=my-domain,dc=com [ 略 ] database bdb suffix dc=example,dc=com [ 略 ] dn2id.bdb slapadd id2entry.bdb xx.bdb 27
ログ 管 理 -syslog -logrotate 28
背 景 ログ 出 力 OpenLDAP (ディレクトリサーバ)は 企 業 内 で 様 々なシステムと 連 携 する 大 切 なサーバの1つ 大 切 なサーバ だからこそ 不 都 合 がないかを 把 握 で きるようにしておきたい 不 都 合 があっても ものを 言 わないサー バだからこそログを 出 力 させ 管 理 したい デフォルトでは どこにログが 出 力 されて いるか 分 からない 29
背 景 ログ 出 力 OpenLDAPの 設 定 ファイル 上 でログ (loglevel)の 設 定 を 行 ったけれど ど こにもログが 出 力 されていない ログ 出 力 されないのは 正 しい 動 作? OpenLDAPでは では デフォルト デフォルトでは ではロ グが 記 録 されない 為 ログ ログを 記 録 さ せる 為 の 設 定 が 必 要! 30
解 決 Step 1. ログ 取 得 の 準 備 OpenLDAPは デフォルトでLOCAL4ファシリティ を 用 いてログメッセージを 送 付 syslog 側 で LOCAL4ファシリティログを 受 け 取 る 設 定 が 必 要 # vi /etc/syslog.conf [ 略 ] local4.* [ 略 ] /var/log/ldap.log syslog 再 起 動 31
解 決 Step 2. ログ 送 信 の 準 備 ログの 出 力 内 容 (レベル)を 設 定 # vi slapd.conf グローバル セクション include [ 略 ] loglevel 256 [ 略 ] loglevelディレクティブを 指 定 しない 場 合 でも デフォルトの 256(0x100 stats)となる バックエンドDB セクション slapd 再 起 動 32
参 考 ログ 出 力 内 容 (レベル) 一 覧 Level (10 進 数 ) Level (16 進 数 ) Level ( 文 字 列 ) 説 明 -1 0 0x0 any enable all debugging no debugging 1 0x1 trace trace function calls 2 0x2 packet debug packet handling 4 0x4 args heavy trace debugging (function args) 8 0x8 conns connection management 16 0x10 BER print out packets sent and received 32 0x20 filter search filter processing 33
参 考 ログ 出 力 内 容 (レベル) 一 覧 (2) Level (10 進 数 ) Level (16 進 数 ) Level ( 文 字 列 ) 説 明 128 256 0x80 0x100 ACL stats access control list processing stats log connections/operations/results 64 0x40 config configuration file processing 512 0x200 stats2 stats log entries sent 1024 0x400 shell print communication with shell backends 2048 0x800 parse entry parsing 16384 0x4000 sync LDAPSync replication 32768 0x8000 none only messages that get logged whatever log level is set 34
背 景 ログの 活 用 ログが 記 録 されるようになったけど 活 用 しなければ ディスク 容 量 を 圧 迫 し また 時 間 のかかるディスクI/Oを 伴 い 性 能 を 劣 化 させるだけ ログを 見 る 時 のポイントは? OpenLDAPのログ ログを 見 るコツ コツを 理 解 すれば トラブル 対 応 時 にも 役 立 ちます! 35
loglevel 256 でのログ 出 力 ldapsearchを 実 行 しログ 出 力 を 確 認 ldapsearch -x -D DN -w passwd filter attr # ldapsearch -x -D uid=test1001,ou=people,dc=my-domain,dc=com -w 3edcvfr4 uid=test1001 dn -LLL dn: uid=test1001,ou=people,dc=my-domain,dc=com tail -f /var/log/ldap.log Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 fd=13 ACCEPT from IP=127.0.0.1:38379 (IP=0.0.0.0:389) Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=0 BIND dn="uid=test1001,ou=people,dc=my-domain,dc=com" method=128 Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=0 BIND dn="uid=test1001,ou=people,dc=my-domain,dc=com" mech=simple ssf=0 Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=0 RESULT tag=97 err=0 text= Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=1 SRCH base="dc=my-domain,dc=com" scope=2 deref=0 filter="(uid=test1001)" Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=1 SRCH attr=dn Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=2 UNBIND Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 fd=13 closed 36
解 決 Step 1. 処 理 フローの 把 握 ログの 左 側 部 分 に 着 目 日 時 ホスト プロセス Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 fd=13 ACCEPT Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=0 BIND Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=0 BIND Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=0 RESULT Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=1 SRCH Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=1 SRCH Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=1 SEARCH RESULT Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 op=2 UNBIND Feb 14 04:39:44 CentOSa slapd[9733]: conn=5 fd=13 closed 1conn# (connection 番 号 ) が 同 一 の 出 力 をピックアップし 追 跡 すること 2 同 一 conn# 中 で 増 加 する op# (operation 番 号 ) より 処 理 フローの 概 要 を 掴 むこと 37
解 決 Step 1. で 確 認 できた 処 理 フロー conn=5 ldapsearch 接 続 開 始 BIND( 認 証 ) BIND( 認 証 ) 結 果 検 索 検 索 結 果 UNBIND 接 続 終 了 OpenLDAP server op=0 op=1 op=2 38
解 決 Step 2. 処 理 内 容 と 結 果 の 把 握 ログの 右 側 部 分 に 着 目 fd=13 ACCEPT from IP=127.0.0.1:38379 (IP=0.0.0.0:389) op=0 BIND dn="uid=test1001,ou=people,dc=my-domain,dc=com" method=128 op=0 BIND dn="uid=test1001,ou=people,dc=my-domain,dc=com" mech=simple ssf=0 op=0 RESULT tag=97 err=0 text= op=1 SRCH base="dc=my-domain,dc=com" scope=2 deref=0 filter="(uid=test1001)" op=1 SRCH attr=dn op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= op=2 UNBIND 3カテゴリ 分 けした 処 理 内 容 の 詳 細 を 把 握 すること 4 各 処 理 毎 に 対 応 する 結 果 を 確 認 すること fd=13 closed 39
解 決 Step 2.で 確 認 できた 処 理 と 結 果 ldapsearch OpenLDAP server ローカルホストからの 接 続 conn=5 DN=test1001の 簡 易 認 証 要 求 認 証 は 成 功 ベースDNからsubスコープで 検 索 検 索 は 成 功 結 果 は1エントリ 分 UNBIND 無 事 接 続 は 終 了 op=0 op=1 op=2 40
参 考 今 すぐ 使 える 便 利 ツール statslog ログを 整 形 する 便 利 ツール contrib/slapd-tools ディレクトリにあるperlスクリプト loglevel 256 (stats)で 出 力 されたログをコネクション 番 号 をベースにソートし 直 す 便 利 ツール コネクションが 入 り 乱 れているログで 便 利 正 規 表 現 を 用 いて 欲 しいログを 選 択 可 能 使 い 方 は # cd openldap-2.4.xx/contrib/slapd-tools #./statslog --usage 41
参 考 今 すぐ 使 える 便 利 ツール statslog 例 ) 2 月 に 認 証 に 失 敗 しているTLS 接 続 は # cd openldap-2.4.xx/contrib/slapd-tools #./statslog -i ^Feb.*err=49 -i TLS /var/log/ldap.log Feb 7 00:28:51 CentOSa slapd[7376]: conn=3 fd=15 ACCEPT from IP=127.0.0.1:52996 (IP=0.0.0.0:636) Feb 7 00:28:52 CentOSa slapd[7376]: conn=3 fd=15 TLS established tls_ssf=256 ssf=256 Feb 7 00:28:52 CentOSa slapd[7376]: conn=3 op=0 BIND dn="cn=manager,dc=my-domain1,dc=com" method=128 Feb 7 00:28:52 CentOSa slapd[7376]: send_ldap_result: conn=3 op=0 p=3 Feb 7 00:28:52 CentOSa slapd[7376]: conn=3 op=0 RESULT tag=97 err=49 text= Feb 7 00:28:52 CentOSa slapd[7376]: connection_closing: readying conn=3 sd=15 for close Feb 7 00:28:53 CentOSa slapd[7376]: conn=3 fd=15 closed (connection lost) Feb 14 05:57:14 CentOSa slapd[9978]: conn=0 fd=15 ACCEPT from IP=127.0.0.1:50294 (IP=0.0.0.0:636) Feb 14 05:57:14 CentOSa slapd[9978]: conn=0 fd=15 TLS established tls_ssf=256 ssf=256 Feb 14 05:57:14 CentOSa slapd[9978]: conn=0 op=0 BIND dn="uid=test1001,ou=people,dc=my-domain,dc=com" method=128 Feb 14 05:57:14 CentOSa slapd[9978]: conn=0 op=0 RESULT tag=97 err=49 text= Feb 14 05:57:14 CentOSa slapd[9978]: conn=0 fd=15 closed (connection lost) 42
背 景 ログ 削 除 日 々 延 々と 増 えるOpenLDAPログは ディスクを 圧 迫 している 要 因 に syslogに 送 ったログは どうするの? OpenLDAPがsyslogに 送 ったログ は そのままでは 削 除 されない 為 何 らかの 方 法 で 定 期 的 なメンテナン スを 行 う 必 要 がある! 43
解 決 logrotate 例 えば logrotateに 任 せる # vi /etc/logrotate.d/syslog /var/log/ldap.log /var/log/messages /var/log/cron { sharedscripts postrotate /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /bin/kill -HUP `cat /var/run/rsyslogd.pid 2> /dev/null` 2> endscript } 44
目 次 OpenLDAPサーバ 管 理 バックエンドDB(Berkeley DB) 管 理 設 定 ファイル 統 計 情 報 トランザクションログ 管 理 バックアップ リカバリ GUI 管 理 ツール 45
Berkeley DB 設 定 ファイル - DB_CONFIG 46
背 景 Berkeley DB 設 定 ファイル バックエンドデータベースBerkeley DBの 設 定 ファイルが 見 当 たらない # tail -f /var/log/ldap.log Berkeley DBの 設 定 ファイルがないと OpenLDAP 起 動 時 に 毎 回 警 告 が 出 力 される Expect poor performanceって 不 安 Oct 14 01:57:59 CentOS53a slapd[24651]: bdb_db_open: warning - no DB_CONFIG file found in directory /usr/local/openldap-2.4.16/var/openldap-data: (2). Expect poor performance for suffix "dc=my-domain,dc=com". 47
解 決 サンプルファイルのコピー デフォルトでは Berkeley DBの 設 定 ファイルは 存 在 しない サンプルファイルで 提 供 される DB_CONFIG.exampleをコピーして 利 用 可 能 DB_CONFIG. example [ etc/openldap ] cp DB_CONFIG [ var/openldap-data ] cp 後 slapd 実 行 ユーザがDB_CONFIGファイルを 利 用 できるよう 所 有 権 にも 注 意 48
解 決 サンプルファイルの 内 容 256MBytesのバッファを 確 保 DB_CONFIG slapd 256M dn2id.bdb xx.bdb id2entry.bdb yy.bdb # one 0.25 GB cache set_cachesize 0 268435456 1 db.003 256K デフォルトの256KB から 256MBへ 49
参 考 サンプルファイルの 内 容 (2) 2MBのログバッファを 確 保 DB_CONFIG # Transaction Log settings set_lg_regionmax 262144 set_lg_bsize 2097152 slapd ログバッファ 2M db.004 ログ 領 域 256K ログバッファを32KB から 2MBへ ログ 領 域 を64KBから から 256KBへ log.n 50
Berkeley DB 統 計 情 報 - db_stat 51
背 景 Berkeley DB 統 計 情 報 サンプルのBerkeley DB 設 定 ファイル をコピーしたけど それでいいの? サンプルファイルの 値 で 大 丈 夫? ハード 資 源 をしっかり 利 用 できてる? Berkeley DBに 付 属 するツール ツールを 利 用 して Berkeley DBの 運 用 状 況 を 把 握 することが 可 能! 52
参 考 256Kバッファと 256Mバッファからの 読 込 み slapd 256K dn2id.bdb id2entry.bdb xx.bdb yy.bdb slapd 256M dn2id.bdb xx.bdb id2entry.bdb yy.bdb db.003 db.003 53
解 決 db_stat -M A または-m 256K 256M Pool File: id2entry.bdb [ 略 ] Pool File: id2entry.bdb 314017 Requested pages found in the cache (98%) [ 略 ] 319318 Requested pages found in the cache (99%) Pool File: uid.bdb [ 略 ] Pool File: uid.bdb 10 Requested pages found in the cache (3%) [ 略 ] バッファヒット 率 の 表 示 243 Requested pages found in the cache (85%) 54
参 考 32KBログバッファと 2MBログバッファへの 書 込 み データ 変 更 処 理 32K データ 変 更 処 理 2M db.004 db.004 log.n log.n 55
解 決 db_stat -L A または-l 32K 2M 31KB 256B Log record cache size [ 略 ] 1419374 Records entered into the log 2MB Log record cache size [ 略 ] [ 略 ] 20147 Total log file I/O writes 1419374 Records entered into the log 103 Total log file I/O writes due [ to 略 ] overflow 20044 Total log file flushes 20044 Total log file I/O writes ログバッファのオーバフロー により 発 生 した 書 込 み 数 の 表 示 0 Total log file I/O writes due to overflow 20044 Total log file flushes 56
トランザクションログ 管 理 - db_checkpoint - db_archive - DB_CONFIG 57
背 景 トランザクションログ 管 理 OpenLDAPへの 更 新 がある 度 に 増 え るBerkeley DBのトランザクションログ ファイルは ディスクを 圧 迫 している デフォルトでは 削 除 されない どのファイルを 削 除 して 良 いか 知 りたい log.0000000011 log.0000000012 58
参 考 トランザクションログファイル 削 除 の 基 本 ルール 次 の3つを 満 たす 場 合 削 除 可 能 1. 実 行 中 のトランザクションに 関 連 しない 2. 次 のトランザクションファイルが 作 成 され チェックポ イントが 実 行 されている 3. 唯 一 のトランザクションファイルでない log.0000000011 log.0000000012 id2entry.bdb xxx.bdb チェックポイント dn2id.bdb xxx.bdb 59
解 決 トランザクション ログファイルの 削 除 削 除 可 能 なトランザクションログファイルの 表 示 # db_archive チェックポイントの 実 行 と 削 除 可 能 ログの 表 示 # db_checkpoint -1; db_archive トランザクションログファイルの 削 除 # db_archive -d 60
解 決 トランザクション ログファイルの 自 動 削 除 データ 変 更 処 理 DB_CONFIG ログバッファ set_flags DB_LOG_AUTOREMOVE db.004 条 件 にマッチ マッチする するファイル ファイルを 自 動 削 除 log.n 61
バックアップ リカバリ - db_hotbackup - db_printlog - db_recover 62
背 景 バックアップ リカバリ slapcatによるホットバックアップに 不 満 がある slapcat 読 み 出 し 位 置 処 理 の 流 れ ディレクトリデータ 1 2 3 4 5 変 更 エントリ slapcatでの 取 得 データ LDIF 63
解 決 トランザクションログファイル を 利 用 したバックアップ Berkeley DB 付 属 ツールを 利 用 したバックアップ # db_hotbackup -cb /path/to/backup [ var/openldap-data ] [ /path/to/backup ] id2entry.bdb xxx.bdb id2entry.bdb xxx.bdb dn2id.bdb 3 dn2id.bdb 1db_checkpoint 処 理 log.n-1 2 log.n 4 log.n 5db_recover 処 理 64
解 決 ポイントインタイムリカバリを 目 的 としたバックアップ 1はじめに トランザクションログを 繰 り 返 しバックアップ # cp -p `db_archive -s` /path/to/backup (はじめに) # cp -p `db_archive -l` /path/to/backup ( 繰 り 返 し) id2entry.bdb xxx.bdb id2entry.bdb xxx.bdb dn2id.bdb dn2id.bdb 2 繰 り 返 し log.n log.n 65
解 決 ポイントインタイムリカバリ トランザクションログを 確 認 し 時 間 指 定 でリカバリ # db_printlog > /tmp/recovery_point_check # less /tmp/recovery_point_check # db_recover -cf -t YYYYMMDDHHMI.SS id2entry.bdb dn2id.bdb xxx.bdb db_recover 処 理 時 間 指 定 でリカバリ log.n-1 log.n 66
目 次 OpenLDAPサーバ 管 理 バックエンドDB(Berkeley DB) 管 理 GUI 管 理 ツール Apache Directory Studio LDAP Account Manager Ldap Admin phpldapadmin その 他 のGUIツール 67
背 景 GUI 管 理 ツール ディレクトリデータの 操 作 はコマンドラ インでの 操 作 のみ?ディレクトリツリー のイメージが 直 感 的 に 把 握 しづらいし コマンドラインだけでは 作 業 効 率 が 良 くないのでは? OpenLDAPには には GUIでの でのデータ 管 理 ツールが 付 属 していない しか しか し 無 償 / 有 償 のGUIツール ツールを 別 途 取 得 し 利 用 することが 可 能! 68
参 考 Apache Directory Studio (http://directory.apache.org/studio/) 69
参 考 Apache Directory Studio 概 要 動 作 環 境 依 存 プログラム 日 本 語 表 示 データ 操 作 バックアップ ACL 設 定 サーバ 設 定 Apacheプロジェクトから 提 供 される EclipseベースのLDAPブラウザ&ツール Mac OS X Linux Windows Java (プラグイン 利 用 は Eclipseも) ( 英 語 フランス 語 ドイツ 語 ) (エントリデータ 操 作 スキーマ 参 照 ) LDIF Excel (CSV)などで 出 力 可 能 (Apache DSに 対 して 可 ) (Apache DSに 対 して 可 ) 70
参 考 LDAP Account Manager (http://www.ldap-account-manager.org/) 71
参 考 LDAP Account Manager 概 要 動 作 環 境 依 存 プログラム 日 本 語 表 示 データ 操 作 バックアップ ACL 設 定 サーバ 設 定 元 々は Sambaアカウントを 管 理 する 為 に 開 発 されたWebベースのツール Linux (Unix 系 ) Apache PHP Perl ( 日 本 語 を 含 め 15の 言 語 に 対 応 ) (エントリデータ 操 作 スキーマ 参 照 ) LDIF CSV (PDF)などで 出 力 可 能 72
参 考 LDAP Admin (http://ldapadmin.sourceforge.net/) 73
参 考 LDAP Admin 概 要 動 作 環 境 依 存 プログラム 日 本 語 表 示 データ 操 作 バックアップ ACL 設 定 サーバ 設 定 Windows 上 で 動 作 するLDAPサーバ 管 理 ツール Windows なし ( 英 語 のみ) (エントリデータ 操 作 スキーマ 参 照 ) LDIFで 出 力 可 能 74
参 考 phpldapadmin (http://phpldapadmin.sourceforge.net/) 75
参 考 phpldapadmin 概 要 動 作 環 境 依 存 プログラム 日 本 語 表 示 データ 操 作 バックアップ ACL 設 定 サーバ 設 定 WebベースのLDAPサーバ 管 理 ツール ( 実 装 の 一 部 はLAMに 採 用 されている) Linux Unix 系 Apache PHP ( 日 本 語 を 含 め 18の 言 語 に 対 応 ) (エントリデータ 操 作 スキーマ 参 照 ) LDIF CSVなどで 出 力 可 能 76
参 考 その 他 のGUI 管 理 ツール Coral Directory GQ LDAP client これらGUI 管 理 ツールの 使 い 勝 手 は 本 カ ンファレンスの 開 催 中 日 本 LDAPユーザ 会 のブースでお 楽 しみ 下 さい 77
ご 清 聴 ありがとうございました 日 本 LDAPユーザ 会 は こちらから http://www.ldap.jp/ 78