利用環境に合わせたパラメーター

2009年1月20日(火)
唐木 大介

OpenLDAPのloglevelパラメーター設定

 OpenLDAPの解析などでログが必要となる場合もありますが、CentOS 5.2は初期設定状態では、ログファイルを出力しません。OpenLDAPのログはsyslog経由となるため、syslog設定でOpenLDAPのログを受ける設定が必要です。

 まずは/etc/syslog.confに以下の行を追加してsyslogdを再起動しておいてください。

local4.* -/var/log/ldap.log

 次にOpenLDAPのログに関する設定は、/etc/openldap/slapd.confのloglevelパラメーターに設定します。初期設定状態ではslapd.confファイル内にloglevelの記述はありませんが、256が初期値となっています。この時注意すべき点はsyslogにOpenLDAPのログを受ける設定を行っていなくても、OpenLDAP内部ではログをsyslogへ送っているため、相応の負荷は発生していることです。

 OpenLDAPのloglevelの種類は図3のような値となっていますので、取得したいログの数値を足した値をloglevelに設定しておきます。

 例えば図3-1の「パケット処理のログ」と「送受信したパケットのログ」を取得したい場合は、数値の2と16を足して、[loglevel 18](=はつけません)と指定します。

loglevel 18

 通常の運用ではパフォーマンスを落とさないためにも[loglevel 0]に設定しておき、問題が合った場合に、必要なログレベルに設定するのが良いでしょう。

OpenLDAPのデータベースインデックス設定

 SambaのバックエンドデータベースにLDAPを利用している場合は、データベースに適切なインデックスが設定されていないと、認証に時間がかかってしまう可能性があります。また逆にインデックスが多過ぎるとデータの追加に時間がかかってしまうので注意が必要です。

 LDAPのデータ件数が多い場合は、データ作成時はインデックスの設定はせずに、後からインデックスの設定を追加してインデックスを作成することをおすすめします。

 Sambaのバックエンドとして利用するOpenLDAPのインデックスは図3-2、Sambaサーバー専用インデックスは図3-3の値を/etc/openldap/slapd.confに設定します。

 特に図3-3のSambaサーバー用のインデックスについて解説すると、SambaSID属性はユーザー/グループなど一意のセキュリティーIDを表します。この属性のインデックスにはeqとsubを指定していますが、Samba-3.0.25以降に含まれるsamba.schemaでのみ有効な設定です。samba-3.0.25より前のsamba.schemaを利用している場合はsubの指定は必要ありません。

 sambaPrimaryGroupSID属性はユーザーのプライマリグループのセキュリティーIDです。これはeqだけを指定します。sambaDomainName属性はユーザーの所属するドメインの名前です。これもeqだけを指定しています。

 次回はauditを利用したファイルアクセス監査と、smb.confのtips、これまでこの連載にて紹介したパラメーターについてまとめます。

オープンソース・ソリューション・テクノロジ株式会社
ハードウエア保守、サーバーベンダーのサポート、WindowsネットワークならびにNotesDomino管理を経由し、2002年から某Linuxディストリビューターにて、OSの開発とサポート、コンサルティングを担当し、現在はそのときの上司の下でコンサルタントをしています。得意分野はLinuxとHAクラスタソフトウェア、特にハードウエアとOSの境目が好き!http://www.osstech.co.jp/

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています