火曜日 4 08, 2008

【TechTipsの紹介】PwdLastAuthTimeを記録する?記録しない?(PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog)


こんにちは。

今日は Tech Tips を紹介します。 PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog ということで、Jonathan Gershaterが Directory Serverで、pwdLastAuthTime という属性(6.0 から新しく加わったパスワード関連の属性で、ユーザが最後に認証した時間を記録します。)を記録するか、記録しないかというパスワードポリシーの設定方法に関して解説してくれています。

Directory Server 6.0 からは、ユーザが最後に認証した時間を記録することができるようになりました。ただ、この属性を記録するように設定するとパフォーマンスに影響がでる場合があります。どんなケースかというと、
  • Native LDAP(UNIXの認証をLDAPで行なう)用に Directory Server を利用している。
  • Proxyagent を使用して、Directory Server からユーザのDNを取得してから認証を行なうようにしている。
  • Directory Server がマルチマスタ構成をとっている。
ような場合です。

で、どういう流れでパフォーマンスに影響がでるかというと、、
  1. OS の認証のたびに、proxyagent でのBINDがかなりの数行なわれます。
  2. そうすると、proxyagent のエントリに対して、pwdLastAuthTime属性の値がアップデートされます。
  3. その情報がレプリケーションされます。
  4. つまり、認証のたびにLDAPにたいして変更を実施することになってしまいます。
という感じになります。回避策としては、「proxyagent に対しては、pwdLastAuthTime属性を記録しないような設定にする」があります。この方法を解説しています。

Native LDAPで使用する場合だけでなく、OpenSSO や Access Manager でLDAP認証を行なう場合にも同様のことを考慮してあげたほうがいいですね。構築されるかたは頭の片隅にでも記憶しておいて頂ければと思います。

kimimasa's wikiDirectory Server Tech Tipsにも追加しておきました。
ではまた。
_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日