14.8 LDAPサーバを使ってディレクトリを検索する

常にチェーンする

［常にチェーンする］オプションは、「まったく参照しない」ように設定するオプションです。このオプションを選択すると、eDirectory LDAPサーバは、eDirectoryツリー内にある他のeDirectoryサーバに参照先を返しません。LDAPサーバは、要求を出したクライアントに代わって他のLDAPサーバをチェックし、クライアントに参照先を返します。

［常にチェーンする］オプションは、eDirectoryをグローバル連結ツリーのサブオーディネートサーバとして使用している場合に適しています。

この参照先オプションは、eDirectoryツリー内の参照先の処理設定にのみ使用します。このオプションがeDirectoryサーバ以外のサーバの参照の動作に影響することはありません。

他のディレクトリサーバへの参照をブロックすることにあまり意味はありませんが、これが重要になる場合もあります。eDirectory 8.7以降のサーバ上の信頼されていないデータを古いバージョンのeDirectoryサーバ上で複製すると、古いサーバを参照したときにクライアントアプリケーションのグローバルツリーが歪んで表示されることがあります。

たとえば、LDAPクライアントはLDAPサーバの参照をキャッシュし、最後に通信したサーバに要求を送信するとします。クライアントが上方参照をサポートするeDirectoryサーバに要求を送信するよう設定されている場合、クライアントのグローバルツリーは正常に表示されます。

しかし、eDirectory 8.7以前のLDAPサーバは、信頼されていない領域と上方参照を認識しません。このため、クライアントがeDirectoryツリー内の以前のバージョンのeDirectoryサーバの参照に従い、要求をそのサーバに送信し続けると、以前のバージョンのLDAPサーバにより、信頼されていないデータが実際のディレクトリツリーデータであるかのように表示されてしまいます。

ただし、クライアントによっては、RootDSEのsupportedFeatures属性を取得し、サーバが上方参照をサポートしているか確認するものもあります。

チェーンを優先する

［チェーンを優先する］オプションを選択すると、通常、検索操作で参照先は返されません。LDAPサーバはその代わり、すべてのeDirectory DSAに対する検索操作を実行します。

ただし、持続的検索制御を設定して検索を実行する場合は例外となります。NetIQが実装する持続的検索ではチェーンがサポートされていないため、検索スコープがローカルに限られていなければ参照が送信されます。

LDAPサーバが検索操作を受信します。ツリーのエントリがローカルに格納されていない場合、サーバは自動的に他のサーバにチェーンします。エントリの検出後、LDAPサーバはLDAPクライアントのプロキシとして機能します。LDAPサーバはLDAPクライアントがバインドされたものと同じ識別情報を使用してリモートサーバの認証を受け、そこで検索操作を続行します。

最初に要求を受信したLDAPサーバが、LDAPクライアントにすべての検索エントリと検索結果を送信します。このLDAPサーバが要求をすべて処理するため、LDAPクライアントからは他のサーバが関与していることはわかりません。

eDirectoryでチェーンを使用すると、あるLDAPサーバに多くのデータがない場合でも、そのサーバがツリー全体のデータを保持しているかのように見えます。

［チェーンを優先する］は、パーティションに深くかかわるオプションです。

あるLDAPクライアントが検索を要求します。DAir43は、エントリをローカルで検索しますが、データが一部しか見つかりません。DAir43は、要求されたエントリを持つDigitalAir44に自動的にチェーンします。DAir44は、DAir43にデータを送信し、DAir43は、LDAPクライアントにエントリを送信します。

［チェーンを優先する］オプションを使用すると、操作が持続的検索である場合を除き、LDAPサーバは必要に応じて検索を他のサーバにチェーンします。持続的検索の詳細については、「セクション 14.10, 持続的検索: eDirectoryイベントの設定」を参照してください。

参照を優先する

［参照を優先する］オプションを選択すると、必要に応じ、参照の検索結果がeDirectoryツリー内の他のeDirectoryサーバに返されます。この参照は、データを持つサーバが動作可能であり、LDAPサービスが稼動していることをローカルサーバが確認した場合のみ送信されます。それ以外の場合、操作は他のサーバにチェーンされるか、他のサーバが動作していない場合は処理に失敗します。

パーティションが2つあり、サブツリー検索を実行するとします。ローカルサーバから検索エントリがすべて検出されるまで検索が実行されます。そこで、今度は他のサーバの検索を実行します。データのレプリカ(そのパーティション)を持つサーバがnldap.nlmも実行している場合、LDAPサーバはLDAP参照を確立し、それをLDAPクライアントに返します。

レプリカのあるサーバがnldap.nlmを実行していない場合、LDAPサーバは要求を他のサーバにチェーンし、そこで検索を完了します。

nldap.nlmが起動されると、LDAPサーバはそのLDAPサーバが参照先となっているeDirectoryと通信します。クライアントが参照を受信したのに、その参照が停止した場合は、LDAPサーバが実行されていません。

常に参照する

［参照を優先する］オプションは、デフォルト参照がさまざまなフェイルオーバー(たとえば、オブジェクトが見つからなかったり、サーバがダウンしているなど)の状況で送信される場合を除き、［参照を優先する］と同じロジックに従います。

残りのデータのある他のサーバでLDAPサービスが実行されていない場合、最初のLDAPサーバは要求を第2のサーバへチェーンしません。

［常に参照する］オプションを設定している場合には、デフォルト参照を指定することができます。［デフォルトの照会先］フィールドで2つの異なるベンダのLDAPサーバを結合し、独自のディレクトリツリーを構築することができます。

ベースDNを解決できないため、LDAPサーバは［デフォルトの照会先］フィールドに入力された文字列をクライントに送ります。LDAPクライアントはこの参照のURLで指定された場所を参照してiPlanetサーバに接続し、ここで検索は完了します。

デフォルト参照が設定されており、サーバが探しているベースDNを見つけられない場合、クライアントはデフォルト参照を受け取ります。

参照の形式は、LDAP URLです。例: LDAP://123.23.45.6:389

LDAPサーバがデフォルト参照をクライアントに送信するとき(ベースDNが利用できない場合)は、サーバはこれにスラッシュ(/)とクライアントが検索中のDNを追加します。デフォルト参照と追加された情報がクライアントに送信されます。クライアントはデフォルト参照で指定したサーバに検索要求を送信します。

LDAPグループオブジェクトには、デフォルト参照の文字列フィールドがあります。LDAPサーバは、そのデータを文字列として扱います。このとき、確認は行われません。入力された文字列が、参照の先頭に追加されます。また、なんらかのデータが参照に追加されます。LDAPサーバが受け入れる文字列の形式は、URLのような形式になります。

LDAPが実行されている他のeDirectoryサーバの参照がクライアントに返されるとき、クライアントは1つのサーバにつき2つの参照を受信します。

2つの参照を区別するために、クリアテキスト参照にはldap://、セキュアポートの表示にはldaps://が付きます。

サーバからの参照の場合は、ポート番号を追加します。

参照フィルタリング

ツリーで実行されている複数のレプリカサーバがあり［参照を優先する/常に照会］オプションを使用して参照を返すようにLDAPサーバを設定してある場合、要求された操作内のDNによって識別されるオブジェクトがローカルに存在しないと、LDAPサーバは参照を返します。そのような場合、LDAPクライアントはサーバに要求を送信し、サーバはそのオブジェクトを保持しているすべてのLDAPサーバの参照リストを返します。この参照リストを使用して、LDAPクライアントはこれらの参照のいずれかに従って操作を実行します。クライアントがリソース不足のサーバまたは低速リンクを経由するサーバへの参照に従うことを選択した場合、クライアントはサーバから応答が遅いと認識する場合があります。この場合、LDAPクライアントのパフォーマンスが影響を受けます。LDAPアプリケーション開発者はサーバとネットワークの構成に関する完全な知識を持っていないため、この問題の解決策は、LDAPサーバに参照フィルタリングメカニズムを提供し、特定のサーバの参照を返すことです。管理者は、ネットワークおけるLDAPサーバの性質やネットワークリンクの速度など、必要な知識を持ち、参照フィルタリングの適切な設定を行うことができる場合があります。

属性「referralIncludeFilter」と「referralExcludeFilter」を使用して、LDAPグループオブジェクトに参照フィルタを設定します。これらの属性でこれらのフィルタを設定すると、このLDAPグループオブジェクトに属するすべてのLDAPサーバにこの設定が適用されます。LDAPサーバは、referralIncludeListフィルタに一致するすべてのLDAP参照を返し、referralExcludeFilterフィルタに一致するものをドロップします。

referralIncludeFilterのみを指定した場合、referralIncludeFilter値に一致するLDAP参照がLDAPクライアントに返され、それ以外のすべての参照は参照リストから除外されます。同様に、referralExcludeFilterのみを指定した場合、referralExcludeFilter値に一致しないLDAP参照がLDAPクライアントに返されます。両方のフィルタが存在し、参照がこれらのフィルタのどちらにも一致しない場合、参照は除外されます。

使用可能なすべての参照がフィルタによって許可されていない場合、サーバは使用可能な参照がないかのように動作し、LDAP_OTHER (80)を返します。一部のクライアントツールはこれを「不明なエラー」としてレポートします。これらのフィルタ属性を追加または変更した後、LDAPサーバがリフレッシュされなかった場合、変更内容は次の自動リフレッシュ後に有効になります。

現時点では、これらのフィルタ属性の追加または変更は、iManagerのタブでのみ実行できます。

[ldap://] | [ldaps://] IPAdress[:port]

ここで、クリアテキストポートまたはTLSポートを指定することは、先頭にldap://またはldaps://文字列を付加することと同じです。ldapまたはldapsのどちらも指定しない場合、一致検索フィルタはクリアテキスト参照とTLS参照の両方に適用されます。

例:

これらのフィルタ属性(referralIncludeFilterおよびreferralExcludeFilter)は複数値です。必要な数の一致フィルタを選択できます。

サンプルシナリオ

「.2.3.4」または「*.2.3.4」は、IPアドレスX.2.3.4に一致しません。

「2.3.4*」は2.3.41または2.3.42のようなIPアドレスに一致しません。

sever1.mydomain.comまたは*.mydomain.comのようなDNS名はサポートされていません。最初のポートから最後のポートまでを指定した参照IPアドレスの許可など、フィルタにポート範囲を追加することはできません。これらの属性にこれらのフィルタの値を追加する前に、検証チェックは行われません。ただし、無効なフィルタの場合、LDAPサーバはそれらのフィルタを無視し、ログをndsd.logファイルに記録します。