ldapmemberconvert

説明

LDAP グループエントリーの "Member" 属性値から、LDAP メンバー (ユーザまたはテンプレート) エントリーの "MemberOf" 属性値へ移植する LDAP ユーティリティーです。

このユーティリティーは、LDAP サーバのデータを "MemberOf" モード、または "Both" モードで動作するように変換するものです。このユーティリティは、1 つ以上の "Member" 属性値を保持する指定されたすべてのグループまたはテンプレートエントリを検索し、各値を変更します。このユーティリティは、指定されたすべてのグループ/テンプレートエントリを検索し、その "Member" 属性値を取得します。

各値は、メンバエントリのDNである。このDNで識別されるエントリは、手元のグループ/テンプレートDNの"MemberOf"属性値に追加される。さらに、このコマンドを "Both" モードで実行しない限り、グループ/テンプレートから "Member" 属性値が削除されます。

このコマンドを実行すると、現在の作業ディレクトリにログファイルldapmemberconvert.log が作成されます。このコマンドは、実行されたすべての変更と遭遇したエラーをそのログファイルに記録します。

重要- LDAP サーバのデータベースをバックアップしてくださいbefore この変換ユーティリティを実行します。

注:

このコマンドは、エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。でのみ実行可能です。

マルチドメインサーバでは、該当するドメイン管理サーバのコンテキストでこのコマンドを実行する必要があります。

mdsenv <IP Address or Name of Domain Management Server>

構文

ldapmemberconvert [-d <Debug Level>] -h <LDAP Server> -p <LDAP Server Port> -D <LDAP Admin DN> -w <LDAP Admin Password> -m <Member Attribute Name> -o <MemberOf Attribute Name> -c <Member ObjectClass Value> [-B] [-f <File> | -g <Group DN>] [-L <LDAP Server Timeout>] [-M <Number of Updates>] [-S <Size>] [-T <LDAP Client Timeout>] [-Z]

パラメータ

説明

-d <Debug Level>

指定されたTDERRORデバッグレベルでデバッグモードでコマンドを実行します。

有効な値は、0（無効）～5（最大レベル、推奨）です。

-h <LDAP Server>

LDAPサーバのコンピュータを、IPアドレスまたは解決可能なホスト名で指定します。

LDAP サーバを明示的に指定しない場合、このコマンドはlocalhost に接続します。

-p <LDAP Server Port>

LDAPサーバのポートを指定します。デフォルトは389。

-D <LDAP Admin DN>

LDAPサーバの管理者識別名を指定します。

-w <LDAP Admin Password>

LDAPサーバの管理者パスワードを指定します。

-m <Member Attribute Name>

グループMember の属性値を取得し、（場合によっては）削除する際の LDAP 属性名を指定します。

-o <MemberOf Attribute Name>

LDAP の "MemberOf" 属性値を追加する際の LDAP 属性名を指定します。

-c <Member ObjectClass Value>

LDAP の "ObjectClass" 属性値を指定します。この値は、変更するメンバの種類を定義します。

この構文では、複数の属性値を指定することができます。

-c <Member Object Class 1> -c <Member Object Class 2> ... -c <Member Object Class N>

-B

"Both" モードで実行することを指定します。

-f <File>

グループDNのリストを改行で区切って格納したファイルを指定する。

<Group DN 1>

<Group DN 2>

...

<Group DN N>

1行の長さは256文字までです。

-g <Group DN>

変換の対象となるグループまたはテンプレートの識別名を指定します。

この構文では、複数のグループDNを指定することができます。

-g <Group DN 1> -g <Group DN 2> ... -g <Group DN N>

-L <LDAP Server Timeout>

LDAP操作のサーバ側の時間制限を秒単位で指定します。

デフォルト値はneverです。

-M <Number of Updates>

メンバLDAPの同時更新の最大数を指定します。

デフォルトは 20 です。

-S <Size>

LDAP操作のサーバ側のサイズ制限をエントリ数で指定します。

デフォルト値はnoneです。

-T <LDAP Client Timeout>

LDAP操作のクライアント側のタイムアウトをミリ秒単位で指定します。

デフォルト値はneverです。

-Z

SSL接続を使用することを指定します。

注

2つの "GroupMembership" モードがあります。これらのモードを統一しておく必要があります。

template-to-groups
user-to-groups

例えば、LDAPユーザに対して、そのグループの"MemberOf"属性を含むように変換を適用する場合、そのグループのLDAP定義テンプレートにもこの変換が適用されなければなりません。

トラブルシューティング

Symptom:

パラメータ-M <Number of Updates> を指定してコマンドを実行すると、接続が予期せず停止した旨のエラーメッセージが表示されて失敗します。

Root Cause:

LDAPサーバは、同時にそれだけのLDAPリクエストを処理することができず、接続を終了しました。

Solution:

-M" のパラメータを小さくして、再度コマンドを実行します。デフォルトの値で十分ですが、極端な状況では接続障害を引き起こす可能性もあります。コマンドが正常に実行されるまで、値を下げ続けてください。同じグループを使ってコマンドを実行するたびに、コマンドは中断したところから続行されます。

例

例1

グループは、DN "cn=cpGroup,ou=groups,ou=cp,c=us" と以下の属性で定義されます。

...

cn=cpGroup

uniquemember="cn=member1,ou=people,ou=cp,c=us"

uniquemember="cn=member2,ou=people,ou=cp,c=us"

...

2つのメンバエントリの場合。

...

cn=member1

objectclass=fw1Person

...

および:

...

cn=member2

objectclass=fw1Person

...

次を実行します:

[Expert@MGMT:0]# ldapconvert -g cn=cpGroup,ou=groups,ou=cp,c=us -h MyLdapServer -d cn=admin -w secret -m uniquemember -o memberof -c fw1Person

グループDNの結果は

...

cn=cpGroup

...

2つのメンバエントリの結果は、次のようになります。

...

cn=member1

objectclass=fw1Person

memberof="cn=cpGroup,ou=groups,ou=cp,c=us"

...

および:

...

cn=member2

objectclass=fw1Person

memberof="cn=cpGroup,ou=groups,ou=cp,c=us"

...

同じコマンドを "-B" パラメータ付きで実行しても、同じ結果が得られますが、グループエントリーは変更されません。