| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-02 |
|
前 |
次 |
この章では、Oracle Identity ManagementとOracle Directory Server Enterprise Edition(以前のSun Java System Directory Server、その前はSunONE iPlanet)を統合する手順について説明します。内容は次のとおりです。
|
注意: この章に進む前に、前の章で説明している概念を理解している必要があります。次の章は特に重要です。Oracle Directory Server Enterprise Edition(Sun Java System Directory Server)との統合のデモンストレーションを構成する場合は、Oracle Technology Network( |
Oracle Directory Server Enterprise Edition(以前のSun Java System Directory Server)で基本同期または拡張同期を構成するには、「同期要件の確認」の指示に従い、使用する環境で必要な同期要件が満たされていることを確認してください。Oracle Directory Server Enterprise Editionと同期化する前に、次の手順も実行する必要があります。
インポート操作とエクスポート操作の実行に十分な権限を持つユーザー・アカウントをOracle Directory Server Enterprise Editionに作成する際に、tombstoneの読取りに十分な権限を必ず割り当てます。
Oracle Directory Server Enterprise Editionで変更ログを有効にします。
Retro Change Logプラグインを有効にします。
expressSyncSetupコマンドを使用すると、Oracleバックエンド・ディレクトリとOracle Directory Server Enterprise Edition(以前のSun Java System Directory Server)間の同期を迅速に確立できます。expressSyncSetupコマンドでは、デフォルトの設定を使用してすべての必須構成を自動的に実行し、インポート用とエクスポート用の2つの同期プロファイルも作成します。expressSyncSetupコマンドを使用してOracle Directory Server Enterprise Editionと同期化するには、「expressSyncSetupを使用したインポートおよびエクスポートの同期プロファイルの作成」を参照してください。
Oracle Directory Integration Platformのインストール時に、Oracle Directory Integration Platformが接続できるサポート対象のディレクトリごとに、サンプルのインポートおよびエクスポート同期プロファイルが自動的に作成されます。Oracle Directory Server Enterprise Edition用に作成された同期プロファイルのサンプルは、次のとおりです。
iPlanetImport - Oracle Directory Server Enterprise EditionからOracleバックエンド・ディレクトリに変更をインポートするためのプロファイル
iPlanetExport - Oracleバックエンド・ディレクトリからOracle Directory Server Enterprise Editionに変更をエクスポートするためのプロファイル
expressSyncSetupコマンドまたはOracle Enterprise Manager Fusion Middleware Controlを使用して、追加の同期プロファイルを作成することもできます。インストール・プロセス時またはexpressSyncSetupコマンドによって作成されたインポートおよびエクスポートの同期プロファイルは、Oracleバックエンド・ディレクトリとOracle Directory Server Enterprise Editionの統合をデプロイする際に使用する開始点としてのみ利用されます。デフォルトの同期プロファイルは事前定義の仮定を使用して作成されるため、次の手順を順序どおりに実行して、環境に合せてそれらをさらにカスタマイズする必要があります。
第16章「接続ディレクトリ統合の概念と考慮事項」、特に「Oracle Directory Server Enterprise Edition(Sun Java System Directory Server)統合の概念」を読んで、統合を計画します。「同期プロファイルの作成」の指示に従い、既存のOracle Directory Server Enterprise EditionまたはSun Java System Directory Serverのテンプレート・プロファイルをコピーして、必ず新規のプロファイルを作成します。
「レルムの構成」の指示に従い、レルムを構成します。
「Access制御リストのカスタマイズ」で説明されているように、ACLをカスタマイズします。
Oracle Directory Server Enterprise Editionと統合する場合は、次の属性レベル・マッピングがすべてのオブジェクトに対して必須です。
Targetdn:1: :person:orclsourceobjectdn: : orclSUNOneobject:
例20-1 Oracle Directory Server Enterprise Edition(Sun Java System Directory Server)のユーザー・オブジェクト用の属性レベル・マッピング
Cn:1: :person: cn: :person: sn:1: :person: sn: :person:
例20-2 Oracle Directory Server Enterprise Edition(Sun Java System Directory Server)のグループ・オブジェクト用の属性レベル・マッピング
Cn:1: :groupofname: cn:groupofuniquenames
この例では、Oracle Directory Server Enterprise EditionのCnおよびsnは、それぞれOracleバックエンド・ディレクトリのcnおよびsnにマップされます。
「マッピング・ルールのカスタマイズ」の指示に従い、属性マッピングをカスタマイズします。
削除の同期が必要で、マッピング・ルールに必須属性がある場合、tombstoneが正しく構成されていることを確認してください。
Oracle Directory Server Enterprise Editionでtombstoneが構成されていることを確認するには、次のコマンドを実行します。
$ORACLE_HOME/bin/ldapsearch -h connected_directory_host \ -p connected_directory_port -D connected_directory_account -q \ -b source_domain -s sub "objectclass=nstombstone"
|
注意: パスワードを要求されます。 |
このコマンドにより、すべての削除済エントリの情報が得られます。
|
関連項目: tombstoneの構成の詳細は、Oracle Directory Server Enterprise EditionまたはSun Java System Directory Serverのドキュメントを参照してください。 |
|
注意: レプリケーションが有効な場合、tombstoneはOracle Directory Server Enterprise Editionに対して自動的に構成されます。 |
Oracleバックエンド・ディレクトリおよびOracle Directory Server Enterprise Editionでは、同じ一連のパスワード・ハッシング技術をサポートしています。Oracle Internet DirectoryとOracle Directory Server Enterprise Edition間でパスワードを同期化するには、両方のディレクトリに対してSSLサーバー認証モードが構成され、次のマッピング・ルールがマッピング・ファイルに存在する必要があります。
Userpassword: : :person:userpassword: :person
Oracleバックエンド・ディレクトリがOracle Unified Directoryである場合、Oracle Directory Integration Platformでは、Oracle Unified DirectoryからOracle Directory Server Enterprise Editionへのパスワードの同期をサポートしません。Oracle Directory Server Enterprise EditionからOracle Unified Directoryバックエンド・ディレクトリへの一方向のパスワードの同期はサポートされます。
「SSLモードでの同期用接続ディレクトリ・コネクタの構成」の指示に従い、SSLモードでの同期用にOracle Directory Server Enterprise Editionを構成します。
「外部認証プラグインの構成」の指示に従い、Oracle Directory Server Enterprise Edition(Sun Java System Directory Server)外部認証プラグインを構成します。
構成後タスクおよび継続的な管理タスクの詳細は、第23章「接続ディレクトリとの統合の管理」を参照してください。
