| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-02 |
|
前 |
次 |
この章では、Oracle Directory Integration Platformについて説明し、その構成方法と管理方法を示します。内容は次のとおりです。
Fusion Middleware Controlを使用したOracle Directory Integration Platformの管理
manageDIPServerConfigを使用したOracle Directory Integration Platformの管理
|
関連項目: Oracle Directory Integration Platformにより実行される機能の概要は、「Oracle Directory Integration Platform」を参照してください。 |
|
注意: セキュリティ上の理由から、Oracleバックエンド・ディレクトリと同じホスト上でOracle Directory Integration Platformを実行することをお薦めします。Oracle Directory Integration PlatformとOracleバックエンド・ディレクトリを異なるホスト上で実行する場合は、SSLを使用して実行することをお薦めします。 |
この項では、Oracle Directory Integration Platformの構造および操作方法について説明します。内容は次のとおりです。
Oracle Directory Integration Platformでは、ディレクトリ同期プロファイルとディレクトリ・プロビジョニング・プロファイルという2種類のプロファイルを作成できます。ディレクトリ同期プロファイルは、Oracleバックエンド・ディレクトリと接続ディレクトリとの間で同期が実行される方法を記述します。ディレクトリ同期プロファイルは、インポート・プロファイルとエクスポート・プロファイルの2種類を作成できます。インポート・プロファイルは、接続ディレクトリからOracleバックエンド・ディレクトリに変更をインポートするのに対し、エクスポート・プロファイルは、Oracleバックエンド・ディレクトリから接続ディレクトリに変更をエクスポートします。ディレクトリ・プロビジョニング・プロファイルは、Oracle Directory Integration Platformからディレクトリ対応アプリケーションに送信されるプロビジョニング関連の通知の性質を記述します。プロビジョニング・プロファイルも、アプリケーションのデータソースに発生した変更についてOracleバックエンド・ディレクトリに通知するように構成されていることがあります。複数のプロファイルを同時に使用できます。
プロファイルの各タイプは特殊な種類のディレクトリ統合プロファイルで、Oracle Directory Integration Platformと外部システムとの通信方法と通信内容を記述するOracleバックエンド・ディレクトリ内のエントリです。
Oracleバックエンド・ディレクトリ・マルチマスター環境では、1つのOracleバックエンド・ディレクトリ・ノード上でのディレクトリ同期プロファイルへの変更を、すべてのセカンダリ・ノードにレプリケートまたはコピーする必要があります。これにより、プライマリ・ノード上で問題が発生した場合、ディレクトリ同期プロファイルをセカンダリ・ノードで実行できます。
Oracle Universal DirectoryまたはOracle Directory Server Enterprise Editionマルチマスター環境では、DIPメタデータを含む接尾辞がレプリケーション用に選択されると、プロファイルが自動的にレプリケートされます。
一方、Oracle Internet Directoryマルチマスター・レプリケーション環境では、あるOracle Internet Directoryノードでのディレクトリ同期プロファイルへの変更は、他のOracle Internet Directoryノードに自動的にはレプリケートされません。このため、プライマリ・ノードのプロファイルをすべてのセカンダリ・ノードにコピーする必要があります。手順は次の項を参照してください。
|
注意: ディレクトリ同期プロファイルのorcllastapplicedchangenumber属性に割り当てられた値は、プロファイルがあるOracle Internet Directoryノードのローカルな値です。つまり、ディレクトリ同期プロファイルをあるOracle Internet Directoryノードから別のノードにコピーしても、同期またはイベント伝播の正しい状態は維持されません。 |
プライマリ・ノードのプロファイルをセカンダリ・ノードにコピーする場合は、lastchangenumber属性をターゲット・ノードの値で次のように更新してください。この手順は、プロファイルの設定後に一度行う必要があります。
Oracleバックエンド・ディレクトリがOracle Internet Directoryである場合、この更新は必須です。Oracleバックエンド・ディレクトリがOracle Unified DirectoryまたはOracle Directory Server Enterprise Editionのいずれかである場合、レプリケーションを使用するかわりに、DIPメタデータを含む接尾辞をプライマリ・ノードからセカンダリ・ノードにコピーする場合にのみ、この手順が必要です。
同期プロファイルを無効化します。
ldapsearchコマンドを使用して、ターゲット・ノードでlastchangenumber属性の値を取得します。
ldapsearchを使用して、プロファイル・エントリのLDIFダンプを取得します。
ldapaddを使用して、他のOracleバックエンド・ディレクトリ・インスタンスにプロファイルを追加します。
manageSyncProfilesコマンドのupdatechgnum操作を使用して、ターゲット・ノードにコピーしたエクスポート・プロファイルのlastchangenumber属性を、手順2で取得した値で更新します。
同期プロファイルを有効化します。
デフォルトのOracle Internet Directoryマルチマスター・レプリケーション環境では、Oracle Directory Integration PlatformはプライマリOracle Internet Directoryと同じ場所にインストールされます。プライマリ・ノードに障害が発生した場合、そのノードにあるすべてのプロファイルに対するイベント伝播は停止します。イベントはキューに入れられ、プライマリ・ノードの停止中にも失われませんが、どのアプリケーションにも伝播されません。プライマリ・ノードが停止したときにも、イベントが引き続き伝播されることを保証するには、Oracle Internet Directoryマルチマスター環境で、バージョン1.0およびバージョン2.0のディレクトリ・プロビジョニング・プロファイルを他のセカンダリ・ノードにコピーする必要があります。バージョン3.0のディレクトリ・プロビジョニング・プロファイルは、自動的にレプリケートされます。
|
注意: プロビジョニング・プロファイルは、アプリケーションがインストールされた直後、Oracle Internet Directoryでユーザー変更が行われる前にしか、プライマリ・ノードからセカンダリ・ノードに対してコピーされません。 |
ディレクトリ・プロビジョニング・プロファイルをプライマリ・ノードからセカンダリ・ノードにコピーするには、manageSyncProfilesコマンドのupdate操作を使用します。
|
関連項目: manageSyncProfilesコマンドの詳細は、『Oracle Identity Managementユーザー・リファレンス』のOracle Directory Integration Platformの章を参照してください。 |
この項では、Oracle Directory Integration Platformで、ステータスおよび登録情報を表示する方法について説明します。内容は次のとおりです。
dipStatusユーティリティを使用したOracle Directory Integration Platformのステータスの表示
ldapsearchユーティリティを使用したOracle Directory Integration Platformの登録情報の表示
ORACLE_HOME/binディレクトリにあるdipStatusユーティリティを使用すると、Oracle Directory Integration Platformのステータスと、登録済かどうかを確認できます。
|
注意:
|
dipStatus
dipStatus -h HOST -p PORT -D wlsuser [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-help]
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Server。
-p | -port
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | -wlsuser
Oracle WebLogic ServerのログインID。
|
注意: Oracle WebLogic Serverのログイン・パスワードを要求されます。パスワードをコマンドライン引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトから |
-ssl
SSLモードでコマンドを実行します。
|
注意: Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Managed Serverは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。 |
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePathで識別されるキーストアのタイプ。たとえば、-keystorePath jksまたは-keystorePath PKCS12などです。
-help
コマンドの使用方法のヘルプを提供します。
ldapsearchユーティリティを使用してOracle Directory Integration Platformコンポーネントの登録情報を表示するには、エントリでベース検索を実行します。次に例を示します。
ldapsearch -h oid_host -p port -D cn=orcladmin -q -s base -b
"cn=odisrv,cn=Registered Instances,cn=Directory Integration
Platform,cn=Products,cn=OracleContext" objectclass=*
|
注意: パスワードを要求されます。 |
この例の検索では、次の情報が返されます。
Dn: cn=odisrv,cn=Registered Instances,cn=Directory Integration
Platform,cn=Products,cn=OracleContext
userpassword: {SHA}+vk5wSvnVoXCBCRyBWJnH0S33zc=
orclaci: access to entry by self (add,delete,browse,proxy); access to attr=(*) by
self (search,read,write,compare)
orclversion: 3.0
cn: odisrv
objectclass: orclodiserver; top;
authpassword;oid: {SASL/MD5}2NOnGTWkSP9c1w7R/o9Djw==
{SASL/MD5-DN}ezUTC3k7rSL41ZxdxhlXxw==;{SASL/MD5-U}kEQcl+/AZEXVukeA5YPnog==
この項では、Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformを管理する方法について説明します。内容は次のとおりです。
Fusion Middleware Controlを使用したOracle Directory Integration Platformのランタイム情報の表示
Fusion Middleware Controlを使用したOracle Directory Integration Platformの起動
Fusion Middleware Controlを使用したOracle Directory Integration Platformの停止
Fusion Middleware Controlを使用したOracle Directory Integration Platformのロギングの管理
Fusion Middleware Controlを使用したOracle Directory Integration Platformの監査
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformコンポーネントのランタイム情報を表示するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、ランタイム情報を表示するDIPコンポーネントを選択します。Oracle Enterprise Manager Fusion Middleware Controlによって、次の情報を含むOracle Directory Integration Platformのホームページが開かれます。
同期プロファイル: 構成されている同期プロファイルの概要。
プロビジョニング・プロファイル: 構成されているプロビジョニング・プロファイルの概要。
リソース使用率: Oracle Directory Integration Platformホストで使用されているCPUおよびメモリーの割合を示すグラフ。
|
ヒント: Oracle Enterprise Manager Fusion Middleware ControlでOracle Directory Integration Platformの他のページに移動した後にOracle Directory Integration Platformのホームページに戻るには、「DIPサーバー」メニューで「ホーム」をクリックします。 |
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformを起動するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、起動するDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「コントロール」を選択し、次に「起動」をクリックします。
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformを停止するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、停止するDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「コントロール」を選択し、次に「停止」をクリックします。
確認ダイアログが表示されたら、「はい」をクリックします。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Directory Integration Platform Serverのリフレッシュ間隔およびOracleバックエンド・ディレクトリへの接続設定を構成するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。Oracle Enterprise Manager Fusion Middleware Controlのホームページが開きます。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、管理するDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「サーバー・プロパティ」をクリックします。
「DIPサーバー構成」ページが表示されます。
次のリストに、「DIPサーバー構成」ページのフィールドとオプションを示します。
サーバー・リフレッシュ間隔(秒): Oracle Directory Integration Platformサーバーがプロファイル構成の詳細をリフレッシュする頻度を制御する時間間隔(単位は秒)。
OID接続設定/OUD接続設定/ODSEE接続設定: Oracle Directory Integration Platform構成を保存するOracleバックエンド・ディレクトリのホスト名とポートを入力します。
OID接続SSLモード/OUD接続SSLモード/ODSEE接続SSLモード: Directory Integration PlatformがOracleバックエンド・ディレクトリへの接続に使用するモードを指定します。
|
注意: Oracle Internet Directoryでは、Oracle Enterprise Manager Fusion Middleware Controlを使用してOracleバックエンド・ディレクトリに接続する場合、Directory Integration Platformが使用するモードに、SSLなし(モード0)を指定することはできません。Oracle Unified DirectoryおよびOracle Directory Server Enterprise Editionでは、SSLなし(モード0)を指定できます。 |
サポートされているオプションは次のとおりです。
認証なし(モード1): Directory Integration PlatformはSSLによる暗号化のみを使用してOracleバックエンド・ディレクトリに接続します。
このオプションは、Oracle Internet DirectoryがOracleバックエンド・ディレクトリである場合にのみ使用できます。Oracle Unified DirectoryまたはOracle Directory Server Enterprise EditionがOracleバックエンド・ディレクトリである場合、これは使用できません。
サーバーのみ(モード2): Directory Integration Platformは、Oracleバックエンド・ディレクトリに接続し、Oracleバックエンド・ディレクトリによってのみ認証されます。
|
注意: 「サーバーのみ(モード2)」オプションを選択する場合、コマンドラインから、SSLモード2のサーバーのみ認証用にOracle Directory Integration Platformを構成する必要があります。詳細は「SSLモード2のサーバーのみ認証用のOracle Directory Integration Platformの構成」を参照してください。 |
オプションで、「接続テスト」をクリックすると、ターゲットのOracleバックエンド・ディレクトリへの接続をテストできます。
必要な変更を行い「適用」ボタンをクリックします。
Oracle Enterprise Manager Fusion Middleware Controlでは、Oracle Fusion Middlewareコンポーネント全体のログ・ファイルの一覧表示、検索および構成を行えます。Oracle Enterprise Manager Fusion Middleware Controlからログ・ファイルを表示することや、別のツールを使用して、ログ・ファイルをダウンロードして表示することができます。WLSTコマンドライン・ツールを使用してログ・ファイルを一覧表示および検索することも可能です。
|
関連項目: Oracle Enterprise Manager Fusion Middleware Controlを使用したロギングの詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。 |
Oracle Directory Integration Platformは、コンプライアンス、監視および分析のためにOracle Application Server 11gインフラストラクチャの共通監査フレームワークを使用します。Oracle Enterprise Manager Fusion Middleware Controlを使用すると、Oracle Directory Integration Platformの監査データやイベント設定の表示、検索および管理が可能です。監査の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
WebLogic Scripting Tool(WLST)を使用してコマンドラインからOracle Directory Integration Platformを起動または停止するには、WebLogic Admin Serverに接続して、startApplication("DIP")コマンドまたはstopApplication("DIP")コマンドを実行します。
|
関連項目:
|
DIPサーバーの構成管理ユーティリティ(manageDIPServerConfig)では、Oracle Directory Integration Platform Serverの構成を管理できます。manageDIPServerConfigユーティリティは、ORACLE_HOME/binディレクトリにあります。
|
注意:
|
manageDIPServerConfig
manageDIPServerConfig {get | set} -h HOST -p PORT -D wlsuser -attribute {sslmode |
refreshinterval | quartzthreadcount | quartzdbretryinterval | oidhostport |
keystorelocation} [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE]
[-value ATTRIBUTE_VALUE] [-help]
get | set
実行する操作。
get: DIP構成ファイルに含まれるconfigパラメータの現在の値を表示します。
set: DIP構成ファイルに含まれるconfigパラメータの値を更新します。
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | -wlsuser
Oracle WebLogic ServerのログインID。
|
注意: Oracle WebLogic Serverのログイン・パスワードを要求されます。パスワードをコマンドライン引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからmanageDIPServerConfigを実行する必要がある場合、Oracle WebLogic Serverパスワードを含むファイルから、入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。 |
-attr | -attribute
manageDIPServerConfigの操作実行対象である属性を特定します。manageDIPServerConfigの操作実行対象となることができる属性のリストと説明を次に示します。
sslmode: Oracle Directory Integration PlatformがOracleバックエンド・ディレクトリへの接続に使用するSSLモード。サポートされている値は1および2です。1は、SSLモード1(認証なし)を使用してOracleバックエンド・ディレクトリに接続する場合に使用します。(SSLモード1は、Oracle Internet DirectoryがOracleバックエンド・ディレクトリである場合にのみサポートされます。)2は、SSLモード2(サーバー認証のみ)を使用してOracleバックエンド・ディレクトリに接続する場合に使用します。
refreshinterval: Oracle Directory Integration Platformサーバーがプロファイル構成の詳細をリフレッシュする頻度を制御する時間間隔(単位は秒)。
quartzthreadcount: 同時にスケジュールできるプロファイルの数を制御します。デフォルト値は15です。15を超えるプロファイルがある場合は、それに応じてquartzthreadcount属性を増やします。
quartzdbretryinterval: Oracle Directory Integration Platformのクォーツ・スケジューラがOracleバックエンド・ディレクトリ・データベースへの再接続を試行する頻度を制御します。
oidhostport: Oracle Directory Integration Platformに関連付けられているOracleバックエンド・ディレクトリのホストとポートを指定します。oidhostport属性の値は、host:portの形式で指定します。
keystorelocation: Oracle Directory Integration Platformがデプロイされているホストに基づいて、Javaキーストア(JKS)への絶対パスを指定します。keystorelocation属性の値を指定する場合、必ず適切なパス・セパレータを使用してください(UNIXおよびLinuxプラットフォームでは「/」、Windowsプラットフォームでは「\」)。
-ssl
SSLモードでコマンドを実行します。
|
注意: Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Managed Serverは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。 |
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePathで識別されるキーストアのタイプ。たとえば、-keystorePath jksまたは-keystorePath PKCS12などです。
-val | -value
属性に対して設定される値。このパラメータはset操作に必要です。
-help
コマンドの使用方法のヘルプを提供します。
manageDIPServerConfig get -h myhost.mycompany.com -p 7005 -D login_ID \
-attr sslmode
manageDIPServerConfig set -h myhost.mycompany.com -p 7005 -D login_ID \
-attr sslmode -val 2
manageDIPServerConfig set -h myhost.mycompany.com -p 7005 -D login_ID \ -attr oidhostport -value OID_host:OID_SSL_port
Oracle Internet Directory以外のディレクトリでのSSL認証用にDIPを構成する方法は、第4.6.3項を参照してください。それ以外の場合は、4.6.2項でSSLモードを使用するようにOracle Directory Integration Platformを構成する前に、第4.6.1項でSSLサーバー認証用にOracleバックエンド・ディレクトリを構成してください。
|
注意: ここでは、単一コンポーネントのSSL構成について説明します。複数のコンポーネントにSSLを構成する場合は、Oracle SSL自動化ツールを使用すると、ドメイン固有のCAを使用して複数のコンポーネントにSSLを構成できます。Oracle SSL自動化ツールの詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。 |
SSLモードを使用するようにOracle Directory Integration Platformソフトウェアを構成する前に、次の手順を実行します。SSL認証用にOracle Internet Directoryソフトウェアを構成済の場合は、この項をスキップして第4.6.2項に進みます。
oid1のデフォルト構成を変更するのではなく、新しいOIDコンポーネントを作成してSSLサーバー認証モード用に構成することをお薦めします。
新しいOracle Internet Directoryコンポーネントを作成します。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のopmnctlを使用したOracle Internet Directoryコンポーネントの作成に関する説明の手順に従います。
新しいOracle Internet Directoryコンポーネントにoid2などの名前を付けます。
新しいOracle Internet Directoryコンポーネント(oid2)用にSSLを構成します。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のFusion Middleware Controlを使用したSSLの構成に関する説明の手順に従います。
この手順では、Oracle Internet DirectoryでのSSL認証用にOracle Directory Integration Platformを構成する方法について説明します。他のディレクトリでのSSL認証用にOracle Directory Integration Platformを構成する方法は、第4.6.3項「OID以外のディレクトリでのSSL認証用のOracle Directory Integration Platformの構成方法」を参照してください。
開始する前に、Oracle Internet DirectoryがSSLサーバー認証用に構成されていることを確認します。必要に応じて、この項の手順を試行する前に第4.6.1項の手順を実行します。
次のコマンドを実行して、信頼できる証明書をOracle Internet Directoryウォレットからエクスポートします。
orapki wallet export -wallet Path_to_OID_wallet -dn Subject_DN_of_trusted_certificate -cert path_to_certificate_file
Oracle Internet Directoryウォレットは、Fusion Middlewareのユーザー・インタフェースを使用して作成した場合、$ORACLE_INSTANCE/OID/admin/wallet_nameにあります。
次に例を示します。
orapki wallet export
-wallet /home/Middleware/asinst_1/OID/admin/oidwallet
-dn "cn=ldap.oracle.com"
-cert /home/Middleware/asinst_1/OID/admin/oidcert.txt
keytoolを使用してJavaキーストア(JKS)を作成し、前の手順でエクスポートした信頼できる証明書をJKSにインポートします。
keytool -importcert -trustcacerts -alias Some_alias_name
-file-keystore path_to_keystore
次に例を示します。
keytool -importcert -trustcacerts -alias OID2
-file /home/Middleware/asinst_1/OID/admin/oidcert.txt -keystore /home/Middleware/dip.jks
システムからキーストア・パスワードが要求されます。このキーストアの新しいパスワードを入力します。
|
注意:
|
次のコマンドを実行して、Oracle Directory Integration PlatformのJavaキーストアの場所を更新します。
manageDIPServerConfig set -attr keystorelocation full_path_to_keystore
-val-h weblogic_host -p weblogic_managed_server_port -wlsuser weblogic_user
|
注意: full_path_to_keystoreはOracle Directory Integration Platformがデプロイされているホストに基づいて、Javaキーストア(JKS)への絶対パスを表します。JKSへの絶対パスを指定する場合は、適切なパス・セパレータを使用します(UNIXおよびLinuxプラットフォームでは「/」、Windowsプラットフォームでは「\」)。 |
次に例を示します。
manageDIPServerConfig set -attr keystorelocation
-val /home/Middleware/dip.jks -h host -p 7005
-wlsuser weblogic
システムからWebLogicパスワードが要求されます。
次のコマンドを実行してCSF資格証明を作成し、Javaキーストア・パスワードを更新します。
次のコマンドを実行して、WLSTプロンプトを開きます。
$ORACLE_HOME/common/bin/wlst.sh
WebLogic管理サーバーに接続します。
connect('Weblogic_User', 'Weblogic_password',Weblogic_Host:Weblogic_AdminServer_Port
't3://')
資格証明を作成して、Javaキーストア・パスワードを更新します。
createCred(map="dip", key="jksKey", user="jksuser", password="JKS_password_created_previously_in_step_2")
Fusion Middlewareユーザー・インタフェースにログインして、Oracle Directory Integration PlatformのSSL構成を更新します。
「DIP」→「サーバー・プロパティ」を選択し、「SSLモード」を2、「ポート値」をOracle Internet DirectoryのSSLポートに設定します。
Oracle WebLogic Managed Serverを再起動します。
Oracle Directory Integration Platformは、SSLサーバー認証モードでOracle Internet Directoryに接続するようになります。
この項では、Oracle Directory Server Enterprise Edition(旧称Sun Java System Directory Server)やOracle Universal Directory(OUD)など、OID以外のディレクトリでのSSL認証用にOracle Directory Integration Platformを構成する方法について説明します。
信頼できる証明書をディレクトリからエクスポートしてファイルに保存します。
ディレクトリからの信頼できる証明書をJavaキーストア(JKS)にインポートします。
keytool -importcert -trustcacerts -alias Some_alias_name
-file-keystore path_to_keystore
次に例を示します。
keytool -importcert -trustcacerts -alias sunone
-file /home/Middleware/sunone.cert -keystore /home/Middleware/dip.jks
|
注意:
|
プロファイルの作成時に、SSLオプションを選択してサード・パーティ・ディレクトリのSSLポートを指定します。
Oracle Directory Integration Platformは、SSLを使用してOracleバックエンド・ディレクトリおよび接続ディレクトリと接続できます。Oracleバックエンド・ディレクトリへの接続に認証なしのSSLを使用する場合、証明書は不要です。ただし、サーバー認証のあるSSLを使用してOracleバックエンド・ディレクトリに接続する場合は、LDAPサーバーに接続するためのトラスト・ポイント証明書が必要です。Oracle Directory Integration Platformは、証明書がJavaキーストア(JKS)にあるものと想定します。
manageDIPServerConfigコマンドにkeystorelocation引数を付けて使用することで、キーストアの場所を管理でき、WLST資格証明ストア・コマンドにmap="dip"引数およびkey="jksKey"引数を付けて使用することで、キーストアのパスワードを管理できます。
|
関連項目:
|
$JAVA_HOME/binディレクトリのkeytoolユーティリティを使用して、Oracle Directory Integration Platformの期限が切れた証明書を検出して削除できます。
キーストア内の信頼できる証明書の有効期日をリストするには、次のようにkeytoolユーティリティを実行します。
$JAVA_HOME/bin/keytool -list -v -keystore PATH_TO_KEYSTORE
信頼できる証明書をキーストアから削除するには、次のようにkeytoolユーティリティを実行します。
$JAVA_HOME/bin/keytool -delete -alias mycert -keystore PATH_TO_KEYSTORE
|
注意: これらのコマンドの実行時、キーストアのパスワードが要求されます。 |
証明書の期限切れの詳細は、『Oracle Fusion Middleware管理者ガイド』の第7章「キーストア、ウォレットおよび証明書の管理」を参照してください。
高可用性アーキテクチャでは、Oracle Directory Integration Platformは、2台以上のサーバーをクラスタの一部として含んでいるOracle WebLogicクラスタにデプロイされます。Oracle WebLogic Serverは、クラスタ内のOracle Directory Integration Platformを起動、停止および監視します。デフォルトで、Oracle Directory Integration Platformは、その基盤となるOracle WebLogicクラスタの高可用性機能を利用します。ハードウェア障害などの障害の場合には、セッション状態を、障害が発生したノードの作業を再開できる他のクラスタ・ノードが利用できます。
高可用性環境では、ノード・マネージャがOracle WebLogic Serverを監視するように構成されます。障害の場合は、ノード・マネージャがOracle WebLogic Serverを再起動します。ノード・マネージャがサーバーを再起動できない場合、フロントエンドとなっているロード・バランシング・ルーターがクラスタ内のWebLogicインスタンスの障害を検出し、稼働インスタンスに通信量をルーティングします。
Oracleバックエンド・ディレクトリがアクティブ-アクティブの高可用性構成でデプロイされている場合、そのクラスタに属するすべてのOracleバックエンド・ディレクトリ・インスタンスが同じデータベースを共有します。いずれかのOracleバックエンド・ディレクトリ・ノードのOracle Directory Integration Platformに加えられた変更は、クラスタ内のすべてのOracleバックエンド・ディレクトリ・インスタンスに自動的に伝播されます。
|
関連項目: 高可用性を目的とした場合のOracle Directory Integration Platformの詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。 |
