| Oracle Fusion Middleware Oracle Internet Directory管理者ガイド 11gリリース1(11.1.1) B55919-01 |
|
 戻る |
 次へ |
この章の項目は次のとおりです。
この章では、アカウントおよびパスワードに関する管理タスクについて説明します。
|
注意: この章で言及するセルフサービス・コンソールはすべて、Oracle Delegated Administration Services 10g(10.1.4.3.0)以上に含まれるコンソールのことです。これはOracle Internet Directory 11gリリース1(11.1.1)と互換性があります。10g(10.1.4.0.1)ライブラリの『Oracle Identity Management委任管理ガイド』を参照してください。 |
コマンドライン・ツールまたはセルフサービス・コンソールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。セキュリティ管理者グループのメンバーの場合、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
コマンドライン・ツールを使用して、ユーザーが初めてログインする場合、ユーザーに対してパスワードの変更を強制できます。
パスワードを忘れた場合や、アカウントがロックアウトされた場合は、パスワードを再設定できます。これは、セルフサービス・コンソールを使用して実行できます。この場合、パスワード検証属性セットに値を入力して、サーバーに対して本人確認を行う必要があります。この操作は、以前回答を指定したパスワードのヒントの質問に答えるという形をとります。
スーパーユーザーは、ディレクトリ情報への完全なアクセス権限を持つ特別なディレクトリ管理者です。スーパーユーザーのデフォルトのユーザー名はorcladminです。パスワードはインストール時に管理者によって設定されます。
|
注意: このパスワードは、インストール後にすぐに変更することをお薦めします。 |
Oracle Enterprise Managerまたはldapmodifyのどちらかを使用して、スーパーユーザーのパスワードを管理できます。
もう1つの特権アカウントは、管理者(cn=emd admin,cn=oracle internet directory)です。このアカウントは、Oracle Internet Directoryサーバーの管理機能情報の収集の開始または停止に使用されます。Oracle Enterprise Manager Fusion Middleware ControlによるOracle Internet Directoryの構成の変更にも使用されます。これらの変更はセキュアな接続を介して行われます。
このアカウントのパスワードは、「EMD管理者アカウントのパスワードの変更」で説明されている手順を使用しなければ変更できません。oidpasswdツールでは、このパスワードの変更はサポートされていません。
この項の項目は次のとおりです。
コマンドライン・ツールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。
アカウントを永続的に無効にするには、orclisenabled属性をDISABLEDに設定します。この属性に他の値を設定すると、アカウントは有効になります。
アカウントを無効にした後、有効にするには、この属性をエントリから削除します。
特定の期間、アカウントを有効にするには、ユーザー・エントリ内のorclActiveStartDateおよびorclActiveEndDate属性を、UTC(協定世界時)書式による適切な値に設定します。たとえば、次のようなコマンドラインを使用できます。
ldapmodify -p port -h host -D cn=orcladmin -q -v -f my.ldif
この場合、my.ldifには次が含まれます。
dn:cn=John Doe,cn=users,o=my_company,dc=com orclactivestartdate:20030101000000z orclactiveenddate: 20031231000000z
この例で、John Doeは、2003年1月1日から2003年12月31日までの期間ログインできます。2003年1月1日より前、または2003年12月31日より後はログインできません。この間John Doeのアカウントを無効にする場合は、orclisenabled属性をDISABLEDに設定します。
セキュリティ管理者グループのメンバーの場合、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
アカウントのロックを解除するには、orclpwdaccountunlock属性を1に設定します。
次の例では、John Doeというユーザーのアカウントのロックを解除します。
ldapmodify -p port -h host -D cn=orcladmin -q -v -f file.ldif
dn: cn=John Doe,cn=users,o=my_company,dc=com changetype: modify add: orclpwdaccountunlock orclpwdaccountunlock: 1
ユーザーが初めてログインする場合、ユーザーに対してパスワードの変更を強制できます。これを行うには、pwdpolicyエントリ内のpwdMustChange属性を1に設定し、パスワードを再設定します。この場合、ユーザーがログインしてパスワードを変更できるように、ユーザーに新しいパスワードを明示的に通知する必要があります。
|
関連項目:
|
この項の項目は次のとおりです。
Oracle Internet Directoryセルフサービス・コンソールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。
|
関連項目: Oracle Internet Directorセルフサービス・コンソールを使用してアカウントを有効化および無効化する手順は、10g(10.1.4.0.1)ライブラリの 『Oracle Identity Management委任管理ガイド』のアカウントの管理に関する項を参照してください。 |
セキュリティ管理者グループのメンバーの場合、アカウントがロックされると、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
|
関連項目: Oracle Internet Directorセルフサービス・コンソールを使用してアカウントのロックを解除する手順は、10g(10.1.4.0.1)ライブラリの 『Oracle Identity Management委任管理ガイド』のアカウントの管理に関する項を参照してください。 |
パスワードを忘れた場合や、アカウントがロックアウトされた場合は、パスワードを再設定できます。この場合、パスワード検証属性セットに値を入力して、サーバーに対して本人確認を行う必要があります。この操作は、以前回答を指定したパスワードのヒントの質問に答えるという形をとります。
|
関連項目: Oracle Internet Directorセルフサービス・コンソールを使用してパスワードを再設定する手順は、10g(10.1.4.0.1)ライブラリの 『Oracle Identity Management委任管理ガイド』のパスワードを忘れた場合の再設定に関する項を参照してください。 |
Oracle Enterprise Manager Fusion Middleware Controlを使用してスーパーユーザーのパスワードを変更する手順は、次のとおりです。
「Oracle Internet Directory」メニューから「管理」を選択し、「共有プロパティ」を選択します。
「スーパーユーザー・パスワードの変更」タブをクリックします。
古いパスワードを指定します。
新しいパスワードを指定します。
新しいパスワードを確認します。
「適用」をクリックします。
構成属性orclsupasswordはDSEルートの属性です。
スーパーユーザーcn=orcladminは、複数の権限グループ内のメンバーシップから権限を取得します。これらのグループを問い合せるには、uniquemember=cn=orcladminを持つエントリを検索します。次に例を示します。
ldapsearch -p port -h host -b "cn=subschemasubentry" -q \ -s base "uniquemember=cn=orcladmin"
2つ目のスーパーユーザー・アカウントを作成するには、同じグループに属する別のユーザー・エントリを作成します。
スーパーユーザーのユーザー名またはパスワードを設定または変更するには、ldapmodifyを使用して、DSEルートの属性orclsunameまたはorclsupasswordをそれぞれ変更します。スーパーユーザーのユーザー名の変更は非常に影響が大きく、お薦めしません。
スーパーユーザーのパスワードをsuperuserpasswordに変更するには、次のように記述したLDIFファイルを使用します。
dn: changetype:modify replace:orclsupassword orclsupassword:superuserpassword
|
関連項目: ldapmodifyの構文と使用方法は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のldapmodifyコマンドライン・ツールのリファレンスを参照してください。 |
Oracle Internet Directoryは、独自に指定されたOracleデータベースへの接続時にパスワードを使用します。Oracle Internet Directoryインストール時のこのパスワードのデフォルトは、Oracle Fusion Middleware管理者のパスワードと同じです。oidpasswdを使用して、このパスワードを変更できます。
次の例は、データベースは同じマシン上にあるものと仮定した場合の、Oracle Internet Directoryデータベースのパスワードの変更方法を示しています。
oidpasswd connect=dbs1 change_oiddb_pwd=true current password: oldpassword new password: newpassword confirm password: newpassword password set.
|
関連項目: 『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のoidpasswdコマンドライン・ツールのリファレンス |
|
注意: ここで説明したアカウントは、サーバー管理機能情報へのアクセスに使用されるODSSMアカウントとは異なります。このアカウントは、「サーバー管理機能情報にアクセスするために使用されるアカウント」で説明されています。このアカウントの変更方法は、「ODSSM管理者アカウントのパスワードの変更」を参照してください。 |
Oracle Internet Directoryスーパーユーザー(cn=orcladmin)のパスワードを忘れた場合は、oidpasswdツールを使用してパスワードを再設定できます。Oracle Internet Directoryデータベースのパスワードを指定する必要があります。Oracle Internet Directoryを初めてインストールする場合、スーパーユーザーのパスワードとOracle Internet Directoryデータベースのパスワードは同じです。ただし、インストール後は、ldapmodifyを使用してOracle Internet Directoryスーパーユーザーのパスワードを変更できます。Oracle Internet Directoryスーパーユーザーのパスワードを忘れた場合は、oidpasswdツールを使用してパスワードを再設定できます。
次の例は、Oracle Internet Directoryスーパーユーザーのパスワードを再設定する方法を示しています。oidpasswdツールは、Oracle Internet Directoryデータベースのパスワードを要求します。
例:
oidpasswd connect=dbs1 reset_su_password=true
OID DB user password: oid_db_password
password: new_su_password
confirm password: new_su_password
OID superuser password reset successfully
EMD管理者アカウントcn=emd admin,cn=oracle internet directoryの権限は非常に制限されており、主にOracle Internet Directoryサーバーの管理機能情報の収集を開始または停止するために使用されます。
EMD管理者のパスワードを変更するには、Oracle Internet Directoryでこのパスワードを変更してから、WebLogicドメインのサーバーとドメイン内の各Oracleインスタンスの両方でこのパスワードを変更する必要があります。次の手順に従ってください。
ldapmodifyを使用して、Oracle Internet Directoryのアカウントcn=emd admin,cn=oracle internet directoryのuserpasswordを変更します。
wlstを起動してWebLogicサーバーに接続します。
java weblogic.WLST
connect('weblogic', 'weblogic_user_password', 'protocol:host:port')
次のWLSTコマンドを実行します。
upupdateCred(map='emd',keu='EMD_instance_name', password='newpassword',user='EMD')
WebLogicドメインの各Oracleインスタンスで、次のコマンドラインを実行します。
ORACLE_HOME/ldap/bin/oidcred emd update [instanceName]
「opmnctlを使用したOracleインスタンスのコンポーネント登録の更新」に記載のとおり、Oracleインスタンスのコンポーネント登録を更新します。
Oracle Internet Directoryでは、スキーマの作成時にODSスキーマに指定されたパスワードを使用してOracle Databaseに接続します。メトリックを取得するためにも、スキーマの作成時に付与されたODSSMスキーマ・パスワードを使用して接続します。インストールの終了時、Oracle Enterprise Manager Fusion Middleware Controlのデフォルト・パスワードはODSSMパスワードと同じです。
ODSSM管理者のパスワードを変更するには、Oracle Databaseでこのパスワードを変更してから、WebLogicドメインのサーバーとドメイン内の各Oracleインスタンスの両方でこのパスワードを変更する必要があります。次の手順に従ってください。
SQLPlusまたは同様のツールを使用して、データベースでパスワードを変更します。
wlstを起動してWebLogicサーバーに接続します。
java weblogic.WLST
connect('weblogic', 'weblogic_user_password', 'protocol:host:port')
次のWLSTコマンドを実行します。
upupdateCred(map='odssm',keu='ODSSM_instance_name', password='newpassword',user='ODSSM')
WebLogicドメインの各Oracleインスタンスで、次のコマンドラインを実行します。
ORACLE_HOME/ldap/bin/oidcred odssm update [instanceName]
「opmnctlを使用したOracleインスタンスのコンポーネント登録の更新」に記載のとおり、Oracleインスタンスのコンポーネント登録を更新します。
