利用環境に合わせたパラメーター

OpenLDAPのloglevelパラメーター設定

　OpenLDAPの解析などでログが必要となる場合もありますが、CentOS 5.2は初期設定状態では、ログファイルを出力しません。OpenLDAPのログはsyslog経由となるため、syslog設定でOpenLDAPのログを受ける設定が必要です。

　まずは/etc/syslog.confに以下の行を追加してsyslogdを再起動しておいてください。

local4.* -/var/log/ldap.log

　次にOpenLDAPのログに関する設定は、/etc/openldap/slapd.confのloglevelパラメーターに設定します。初期設定状態ではslapd.confファイル内にloglevelの記述はありませんが、256が初期値となっています。この時注意すべき点はsyslogにOpenLDAPのログを受ける設定を行っていなくても、OpenLDAP内部ではログをsyslogへ送っているため、相応の負荷は発生していることです。

　OpenLDAPのloglevelの種類は図3のような値となっていますので、取得したいログの数値を足した値をloglevelに設定しておきます。

　例えば図3-1の「パケット処理のログ」と「送受信したパケットのログ」を取得したい場合は、数値の2と16を足して、[loglevel 18]（=はつけません）と指定します。

loglevel 18

　通常の運用ではパフォーマンスを落とさないためにも[loglevel 0]に設定しておき、問題が合った場合に、必要なログレベルに設定するのが良いでしょう。

OpenLDAPのデータベースインデックス設定

　SambaのバックエンドデータベースにLDAPを利用している場合は、データベースに適切なインデックスが設定されていないと、認証に時間がかかってしまう可能性があります。また逆にインデックスが多過ぎるとデータの追加に時間がかかってしまうので注意が必要です。

　LDAPのデータ件数が多い場合は、データ作成時はインデックスの設定はせずに、後からインデックスの設定を追加してインデックスを作成することをおすすめします。

　Sambaのバックエンドとして利用するOpenLDAPのインデックスは図3-2、Sambaサーバー専用インデックスは図3-3の値を/etc/openldap/slapd.confに設定します。

　特に図3-3のSambaサーバー用のインデックスについて解説すると、SambaSID属性はユーザー／グループなど一意のセキュリティーIDを表します。この属性のインデックスにはeqとsubを指定していますが、Samba-3.0.25以降に含まれるsamba.schemaでのみ有効な設定です。samba-3.0.25より前のsamba.schemaを利用している場合はsubの指定は必要ありません。

　sambaPrimaryGroupSID属性はユーザーのプライマリグループのセキュリティーIDです。これはeqだけを指定します。sambaDomainName属性はユーザーの所属するドメインの名前です。これもeqだけを指定しています。

　次回はauditを利用したファイルアクセス監査と、smb.confのtips、これまでこの連載にて紹介したパラメーターについてまとめます。