secldapclntd デーモン
目的
LDAP ロード・モジュールと LDAP Security Information Server 間の接続の提供と管理、およびトランザクションの処理を行います。
構文
/usr/sbin/secldapclntd [ -C CacheSize ] [ -p NumOfThread ] [ -t CacheTimeOut ] [ -T HeartBeatIntv ] [ -o ldapTimeOut ]
説明
secldapclntd デーモンは、LDAP ロード・モジュールからの要求を受け取り、それを LDAP Security Information Server に転送し、そして、そのサーバーから戻された結果を LDAP ロード・モジュールに渡します。このデーモンは、起動時に、/etc/security/ldap/ldap.cfg ファイルに定義されている構成情報を読み取り、指定された識別名およびパスワードを使用して LDAP Security Information Server に認証し、ローカル・ホストとこのサーバーの間の接続を確立します。
/etc/security/ldap/ldap.cfg ファイルで複数のサーバーが指定されている場合、secldapclntd デーモンは、それらすべてのサーバーに接続します。ただし、一度に対話できるのはその中の 1 つのサーバーだけです。 サーバー接続の優先順位は、サーバー・リスト内の位置によって決められます。最高優先順位のサーバーが最初にリストされています。 secldapclntd デーモンは、現在通信しているサーバーがダウンするとそれを検出して、別の使用可能なサーバーに自動的に切り替えます。 また、サーバーが再び使用可能になった場合もそれを検出し、そのサーバーとの接続を再確立します。 再接続されたサーバーが現行サーバーより優先順位が高い場合は、 再接続されたサーバーに通信が切り替えられます。この自動検出フィーチャーは、各サーバーを定期的に検査する secldapclntd デーモンによって提供されます。 次の検査までの時間間隔は、デフォルトで 300 秒ですが、これはデーモンの起動時にコマンド・ラインから -T オプションを指定するか、あるいは /etc/ security/ldap/ldap.cfg ファイルの heartbeatinterval 値を変更することにより、変更することができます。
起動時には、secldapclntd デーモンが LDAP サーバー への接続を確立しようとします。どのサーバーにも接続できない場合は、 スリープしてから、30 秒後に再試行します。このプロセスを 2 回繰り返し、 それでも接続を確立できない場合には、secldapclntd デーモン・ プロセスがあります。
secldapclntd デーモンは、マルチスレッド化されたプログラムです。このデーモンで使用されるスレッドの数は、デフォルトで 10 になっています。管理者は、このデーモンで使用するスレッドの数を調整することによって、システム・パフォーマンスを微調整できます。
secldapclntd デーモンは、パフォーマンス上の目的で、LDAP Security Information Server から取り出された情報をキャッシュに入れます。 要求されたデータがキャッシュの中に見つかり、キャッシュ・エントリーの有効期限が切 れていなければ、キャッシュのそのデータがリクエスターに戻されます。しかし、情報がキャッシュの中にない場合や、キャッシュにあっても有効期限が切れている場合には、secldapclntd デーモンが LDAP Security Information Server にその情報を要求します。
キャッシュ・エントリーの有効な数値は、ユーザーの場合は 100 から 10,000 の範囲、 グループの場合は 10 から 1,000 の範囲です。デフォルトでは、ユーザーのエントリー 数が 1000、グループは 100 エントリーです。
キャッシュ・タイムアウトつまり TTL (存続時間) は、60 秒から 1 時 間 (60*60=3600 秒) です。デフォルトでは、キャッシュ・エントリーの 有効期限は 300 秒になっています。キャッシュ・タイムアウトを 0 に設定すると、 キャッシング機能が使用不可になります。
secldapclntd デーモンと LDAP サーバー との通信は、非同期メソッドを使用して実行されます。 このため、デーモンは、サーバーに情報を要求しておき、要求が戻されるのを待つ間、他のステップを実行することができます。 クライアントがサーバーからの応答を待つ時間の長さは、管理者が構成できます。デフォルトは 60 秒です。
LDAP サーバーに接続する際、secldapclntd デーモンはホスト・ルックアップを行う必要があります。 nis_ldap リゾルバーが原因で、ルックアップの経路指定がデーモン自体に戻り、その結果ハング状態になることがあります。 この問題を避けるため、secldapclntd デーモンは、ネーム・レゾリューションのシステムの順序を無視します。 代わりに、/etc/security/ldap/ldap.cfg ファイルの nsorder 属性によって定義された順序を使用します。
フラグ
| フラグ | 説明 |
|---|---|
| -C CacheSize | secldapclntd デーモンが使用するキャッシュ・エントリーの最大数を、CacheSize に指定された数に設定します。ユーザー・キャッシュ・エントリー数の有効な範囲は 100 から 65536 です。デフォルト値は 1000 です。 グループ・キャッシュ・エントリーの有効な範囲は 10 から 65536 です。デフォルトは、値 100 です。start-secldapclntd コマンドで -C オプションを使用してユーザー・キャッシュ・エントリーを設定すると、グループ・キャッシュ・エントリーはユーザー・キャッシュ・エントリーの 10% に設定されます。 |
| -o ldapTimeOut | LDAP クライアントからサーバーへの要求のタイムアウト期間 (秒)。 この値は、クライアントが LDAP サーバーからの応答を待つ時間の長さを決定します。 有効範囲は 0 から 3600 (1 時間) です。 デフォルトは 60 秒です。 この値を 0 に設定すると、タイムアウトが使用不可になり、クライアントは無期限に待つことを強制されます。 |
| -p NumOfThread | secldapclntd デーモンが使用するスレッドの数を、NumOfThread に設定します。有効範囲は 1 から 256 です。デフォルト値は 10 です。 |
| -t CacheTimeout | キャッシュが CacheTimeout 秒で期限切れになるように設 定します。有効範囲は 60 から 3600 秒です。デフォルトは 300 秒です。 |
| -T HeartBeatIntv | このクライアントと LDAP サーバーの間の ハートビートの時間間隔を設定します。有効な値は 60 から 3,600 秒です。デフォルト値は 300 です。 |
例
- secldapclntd デーモンを開始するには、次のように入力します。
/usr/sbin/secldapclntd - 20 個のスレッドを使用し、キャッシュのタイムアウト値を 600 秒に設定して secldapclntd を開始するには、次のように入力します。
/usr/sbin/secldapclntd -p 20 -t 600
secldapclntd デーモンの起動には start-secldapclntd コマンドの使用をお勧めします。 また、コマンド・ライン・フラグを使用する代わりに、構成値を /etc/security/ldap/ldap.cfg ファイルに指定して、secldapclntd プロセスを開始するたびにこれらの値が使 用されるようにすることをお勧めします。