【TechTipsの紹介】PwdLastAuthTimeを記録する?記録しない?(PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog)
Translate to English : (Yahoo!)/ (Google)/ (Microsoft)火曜日 4 08, 2008
こんにちは。
今日は Tech Tips を紹介します。
PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog ということで、Jonathan Gershaterが Directory Serverで、pwdLastAuthTime という属性(6.0 から新しく加わったパスワード関連の属性で、ユーザが最後に認証した時間を記録します。)を記録するか、記録しないかというパスワードポリシーの設定方法に関して解説してくれています。
Directory Server 6.0 からは、ユーザが最後に認証した時間を記録することができるようになりました。ただ、この属性を記録するように設定するとパフォーマンスに影響がでる場合があります。どんなケースかというと、
- Native LDAP(UNIXの認証をLDAPで行なう)用に Directory Server を利用している。
- Proxyagent を使用して、Directory Server からユーザのDNを取得してから認証を行なうようにしている。
- Directory Server がマルチマスタ構成をとっている。
で、どういう流れでパフォーマンスに影響がでるかというと、、
- OS の認証のたびに、proxyagent でのBINDがかなりの数行なわれます。
- そうすると、proxyagent のエントリに対して、pwdLastAuthTime属性の値がアップデートされます。
- その情報がレプリケーションされます。
- つまり、認証のたびにLDAPにたいして変更を実施することになってしまいます。
Native LDAPで使用する場合だけでなく、OpenSSO や Access Manager でLDAP認証を行なう場合にも同様のことを考慮してあげたほうがいいですね。構築されるかたは頭の片隅にでも記憶しておいて頂ければと思います。
kimimasa's wikiのDirectory Server Tech Tipsにも追加しておきました。
ではまた。
_kimimasa
Like this post?
|
|
|
|
|
|
|
|
Posted at 05:12午後 4 08, 2008
by kimimasa in Identity Management
Tags: directoryserver howto identitymanagement replication techinical tips
Tags: directoryserver howto identitymanagement replication techinical tips
