この章では、Oracle Directory Integration Platformに関連する問題について説明します。内容は次のとおりです。
この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。
インストーラの「インストールと構成」インストール・オプションまたはOracle Identity Management 11gリリース1(11.1.1)の構成ウィザードを使用してOracle Directory Integration Platformを既存のOracle Internet Directoryに対して構成する場合、完全修飾ドメイン名(myhost.example.comなど)を使用してOracle Internet Directoryのホスト名を指定する必要があります。Oracle Directory Integration PlatformとOracle Internet Directoryが同じホストに共存する場合でも、localhost
をOracle Internet Directoryのホスト名とし使用しないでください。
localhost
をOracle Internet Directoryのホスト名として使用すると、Oracle Directory Integration PlatformをホストするOracle WebLogic管理対象サーバーを起動できません。
データベース用などのすべての非LDAP同期プロファイルは、manageSyncProfiles
コマンドライン・ユーティリティを使用して作成および管理する必要があります。Fusion Middleware Controlを使用して非LDAP同期プロファイルを作成または管理しないでください。
syncProfileBootstrap
ユーティリティでは同期プロファイルまたはLDIFファイルに基づいて、接続されているターゲット・ディレクトリとOracle Internet Directoryとの間のデータの初期移行を行います。このユーティリティは、SSLモード2(サーバーのみの認証)に対してサポートされていません。
syncProfileBootstrap
ユーティリティでは、SSLモード0(SSLなし)およびSSLモード1(認証なし)のみサポートされています。
このリリース・ノートの発行時点では、DIPテスター・ユーティリティは、Oracle Directory Integration Platform 11gリリース1(11.1.1)に対してサポートされていません。
Oracle Directory Integration Platform 11gリリース1(11.1.1)でのDIPテスター・サポートについては、My Oracle Support(以前のMetaLink)で更新に注意してください。My Oracle Supportには、http://metalink.oracle.com
からアクセスできます。
DIPテスター・ユーティリティは、Oracle Directory Integration Platform 11gリリース1(11.1.1)に対して現在サポートされていませんが、manageSyncProfilesコマンドとtestProfile操作を使用して、無効化されている同期プロファイルで正常に同期を行えるかどうかをテストできます。testProfile操作の詳細は、『Oracle Fusion Middleware Oracle Identity Management統合ガイド』のmanageSyncProfilesを使用した同期プロファイルの管理に関する項を参照してください。
Fusion Middleware Controlの同期プロファイルの「マッピング」タブで使用可能な「すべてのマッピング・ルールの検証」機能は、SSLモード2(サーバーのみの認証)を使用するよう構成されているプロファイルに対してはサポートされていません。プロファイルがSSLモード2(サーバーのみの認証)用に構成されている場合、「すべてのマッピング・ルールの検証」機能を使用しないでください。
注意: 「すべてのマッピング・ルールの検証」機能は、SSLモード0(SSLなし)用に構成されているプロファイルに対してサポートされています。 |
Oracle Directory Integration Platformの11gリリース1(11.1.1)へのアップグレード後、manageSyncProfilesコマンドライン・ユーティリティを使用してプロファイルを登録解除、またはFusion Middleware Controlを使用してプロファイルを削除すると、例外メッセージが表示されることがあります。これらのメッセージは誤っており、表示された例外またはエラー・メッセージに関係なくプロファイルは削除されているため、無視できます。
この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。
Oracle Directory Integration PlatformがOracle Internet Directory用のデータベースと通信できない場合、DBConnection Failure例外がOracle Directory Integration Platformログ・ファイルに書き込まれます。manageDIPServerConfigコマンドライン・ユーティリティを使用してquartzdbretryintervalパラメータを調整し、これらの例外の頻度を制御できます。このパラメータによって、Oracle Directory Integration Platformのクォーツ・スケジューラでデータベースへの再接続を試行する頻度が決まります。次に例を示します。
manageDIPServerConfig set -h myhost.mycompany.com -p 7005 -D login_ID \ -attr quartzdbretryinterval -val 30
Fusion Middleware Controlインタフェースで表示されるためには、Oracle Directory Integration Platformコンポーネントは、正しいOracle Internet Directoryホスト、ポートおよびSSLモード接続情報で構成される必要があります。これらの構成設定は、manageDIPServerConfigコマンドライン・ユーティリティとこのリスト操作を使用して表示できます。エラーの場合、manageDIPServerConfigとこの設定操作を使用して設定を更新できます。
Oracle Directory Integration Platformリリース10gに含まれていたMicrosoft Active Directory用外部セキュリティ・プリンシパル・ファイルactiveimp.cfg.fspは、11gリリース1(11.1.1)には含まれていません。このファイルは、複数のドメイン・コントローラ、および外部セキュリティ・プリンシパルをメンバーとして含むグローバル・グループからのエントリの同期をとる場合に必要です。activeimp.cfg.fspは、$ORACLE_HOME/ldap/odi/conf/ディレクトリにあります。
この問題を回避するには、テキスト・ファイルを開いて次の情報を入力し、activeimp.cfg.fspファイルを作成します。
注意: 次の例で、DOMAIN_BおよびDOMAIN_Cは、DOMAIN_Aの信頼できるドメインを表します。PROFILE_NAME_FOR_DOMAIN_BおよびPROFILE_NAME_FOR_DOMAIN_Cは、それぞれドメインBおよびCの同期に使用されるプロファイルを表します。 |
[INTERFACEDETAILS] Reader: oracle.ldap.odip.gsi.ActiveReader [TRUSTEDPROFILES] prof1: PROFILE_NAME_FOR_DOMAIN_B prof2: PROFILE_NAME_FOR_DOMAIN_C [FSPMAXSIZE] val: 1000 *
この項では、ドキュメントの訂正箇所を示します。内容は次のとおりです。
Oracle Directory Integration PlatformをSSLモード2(サーバーのみの認証)用に構成する手順に対する説明
ldapsearchユーティリティを使用したOracle Directory Integration Platform登録情報の表示の訂正
manageDIPServerConfigのドキュメントにquartzdbretryintervalパラメータの情報がない
Oracle Internet Directoryからサード・パーティ・ディレクトリへのパスワードの同期の有効化に関する説明
Oracle Password Filter for Microsoft Active Directoryのインストールの訂正
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』に記載されているOracle Directory Integration Platformログ・ファイルの場所が正しくありません。
Oracle Directory Integration Platformログ・ファイルの正しい場所は次のとおりです。
MW_HOME/user_projects/domains/DOMAIN_NAME/servers/NAME_OF_MANAGED_SERVER/logs/NAME_OF_MANAGED_SERVER-diagnostic.log
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』で、user_projectsディレクトリのパスへの参照に一部誤りがあります。user_projectsディレクトリはMW_HOMEディレクトリ下にあります。ここで、MW_HOMEは、Oracle Fusion Middlewareがインストールされているルート・ディレクトリを表します。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第4章「Oracle Directory Integration Platformの管理」で、Oracle Directory Integration PlatformをSSLモード2(サーバーのみの認証)用に構成する手順に説明が必要です。
正しいステップ8は次のとおりです。
keytool
を使用してJavaキーストアに証明書を格納します。keytoolは、$JAVA_HOME/binディレクトリにあります。次に例を示します。
keytool –importcert –trustcacerts –alias ALIAS –file PATH_TO_CERTIFICATE \ -keystore LOCATION_OF_JKS_FILE
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第17章「サード・パーティ・ディレクトリとの同期の構成」で、サード・パーティ・ディレクトリ・コネクタをSSLモードでの同期用に構成する手順に誤りがあります。
正しい手順は次のとおりです。
接続されているディレクトリ用の証明書を生成します。サーバーからのトラスト・ポイント証明書のみ必要です。接続されているディレクトリの証明書ストアに証明書を格納します。
信頼できる認証局(CA)証明書をBase 64エンコードされた形式にエクスポートします。
keytoolコマンドを使用して信頼できるCA証明書をJavaキーストア(JKS)にインポートします。Oracle Directory Integration Platformで既存のJKSをすでに使用している場合、-keystore
PATH_TO_JKS
オプションを使用して、その場所を特定します。Oracle Directory Integration Platformにまだ使用するJKSがない場合、-keystore
PATH_TO_JKS
オプションで特定した場所にkeytoolによって作成されます。
次に例を示します。
keytool –importcert –trustcacerts –alias mycert –file PATH_TO_CERTIFICATE \ -keystore PATH_TO_JKS
-keystore
PATH_TO_JKS
オプションで特定されたJKSを初めて使用する場合、パスワードを指定し、次のステップaおよびbも実行する必要があります。
manageDIPServerConfig
コマンドを使用してステップ3で使用された場所とパスワードでDirectory Integration Platform構成を更新します。次に例を示します。
manageDIPServerConfig set -h HOST –p PORT -D WLS_USER \ -attribute keystorelocation -value PATH_TO_CERTIFICATE
PASSWORD変数をキーストアの作成に使用したパスワードに置き換えて次のWLSTコマンドで使用し、資格証明ストア・フレームワーク(CSF)の資格証明を更新します。
createCred(map="dip", key="jksKey", user="jksUser",
password="PASSWORD",desc="jks password")
manageSyncProfilesコマンドの変更操作を使用して、ホスト名、プロファイルおよびconnectedDirectoryURL
属性を含むサード・パーティ・ディレクトリ接続情報を変更します。
manageSyncProfiles update -profile profile_name -file myMapFile
connectedDirectoryURL
属性を構成する場合、次の形式を使用します。
host:port:sslmode
sslmode
に対してサポートされる値は次のとおりです。
ステップ3で新規JKSを使用した場合、Oracle Directory Integration PlatformをSSLモードで再起動する必要があります。ステップ3で既存のJKSを使用した場合、6に進みます。
テスト・ユーザーを追加し、正常に同期されることを確認します。テスト・ユーザーが正常に同期されない場合、SSL構成をトラブルシューティングします。
注意: Oracle Directory Integration Platformでは、クライアント/サーバー認証モードでのSSLはサポートされません。 |
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第6章「ディレクトリ同期の構成」で、カスタム・プラグインを使用してマッピングを拡張する場合のマッピング・プラグインを追加する手順が正しくありません。
次に正しい手順を示します。
Oracle Directory Integration Platformコンポーネントでマッピング・プラグインJARファイルを次の場所にコピーします。
UNIXシステム:
MW_HOME/user_projects/domains/DOMAIN_NAME/servers/MANAGED_SERVER_NAME/ stage/DIP/11.1.1.1.0/DIP/APP-INF/lib/
Windowsシステム:
MW_HOME\user_projects\domains\DOMAIN_NAME\servers\MANAGED_SERVER_NAME\tmp\ _WL_user\DIP_11.1.1.1.0\RANDOM_CHARACTERS\APP-INF\lib\
注意: Windowsシステムでは、Java ClassLoaderでクラスのロード元のjarファイルがロックされます。これによって、展開されたアプリケーションのjarファイルが上書きされなくなります。Windowsシステムでマッピング・プラグインJARファイルを前述のディレクトリにコピーすると、展開されたアプリケーションのjarファイルを上書きできます。 |
Oracle Directory Integration PlatformをホストするWebLogic管理対象サーバーを再起動します。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』に、期限切れの証明書の検出および削除に関する情報が含まれていません。$JAVA_HOME/binディレクトリでkeytoolユーティリティを使用し、Oracle Directory Integration Platform証明書を管理します。
キーストア内の信頼できる証明書の有効期日をリストするには、次のようにkeytoolユーティリティを実行します。
$JAVA_HOME/bin/keytool -list -v -keystore PATH_TO_KEYSTORE
信頼できる証明書をキーストアから削除するには、次のようにkeytoolユーティリティを実行します。
$JAVA_HOME/bin/keytool -delete -alias mycert -keystore PATH_TO_KEYSTORE
注意: これらのコマンドの実行時、キーストアのパスワードが要求されます。 |
証明書の期限切れの詳細は、Oracle Fusion Middlewareの管理者ガイドの第7章「キーストア、ウォレットおよび証明書の管理」を参照してください。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第3章「Oracle Directory Integration Platformの管理」で、Fusion Middleware Controlの使用の手順に誤りがあります。
ステップ2には、現在次のように記載されています。「左パネルのトポロジ・ツリーでファーム→「Fusion Middleware」→「Identity and Access」と展開します。あるいは、ファームのホームページで「Fusion Middleware」→「Identity and Access」と展開します。Oracle Directory Integration Platformコンポーネントは両方の箇所にリストされます。」しかし、ファームのホームページには「Fusion Middleware」エントリはありますが、左パネルのトポロジ・ツリーには「Fusion Middleware」エントリはありません。
正しいステップ2は次のとおりです。「左パネルのトポロジ・ツリーでファーム→「Identity and Access」と展開します。あるいは、ファームのホームページで「Fusion Middleware」→「Identity and Access」と展開します。Oracle Directory Integration Platformコンポーネントは両方の箇所にリストされます。」
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第4章「Oracle Directory Integration Platformの管理」で、ldapsearchユーティリティを使用してOracle Directory Integration Platform登録情報を表示する手順に誤りがあります。
ldapsearchユーティリティを使用してOracle Directory Integration Platformコンポーネントの登録情報を表示するコマンド例に、必要なobjectclassオプションがありません。
ldapsearchユーティリティを使用してOracle Directory Integration Platformコンポーネントの登録情報を表示する正しいコマンドは、次のとおりです。
ldapsearch -p 3060 -h my_host -D binddn -q -b cn=odisrv,cn=Registered Instances,cn=Directory Integration Platform,cn=Products,cn=OracleContext -s base "objectclass=*"
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第4章「Oracle Directory Integration Platformの管理」、manageDIPServerConfigを使用したOracle Directory Integration Platformの管理に関する項に、quartzdbretryintervalパラメータに関する情報が含まれていません。
manageDIPServerConfigコマンドライン・ユーティリティを使用してquartzdbretryintervalパラメータを管理できます。このパラメータは、Oracle Directory Integration Platformのクォーツ・スケジューラでOracle Internet Directoryデータベースへの再接続を試行する頻度を制御します。次に例を示します。
manageDIPServerConfig set -h myhost.mycompany.com -p 7005 -D login_ID \ -attr quartzdbretryinterval -val 30
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第1章「Oracle Identity Management統合の概要」、Oracle Identity Managementのインストール・オプションに関する項に次の文が含まれています。
「デフォルトでは、Oracle Directory Integration PlatformはOracle Directory Servicesの一部としてインストールされます。」
Oracle Directory Integration Platformは、ドキュメントに記載されているようにOracle Directory Servicesの一部としてデフォルトでインストールされません。Oracle Directory Integration Platformは、他のOracle Identity Managementコンポーネントとともに、あるいは単独でインストールできます。Oracle Directory Integration Platformを単独でインストールするには、Oracle Internet Directoryコンポーネントがすでにインストールされている必要があります。
Oracle Directory Integration Platformのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』のいくつかの箇所でOracle Directory Synchronization ServiceおよびOracle Directory Integration Platform Synchronization Serviceという語が使用されています。これらの用語は、一般的にDIPSync Enterprise JavaBean(EJB)を指しています。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の第9章「リレーショナル・データベース表の同期化」のTESTDBIMPORT用ディレクトリ統合プロファイルに関する表に、TESTDBIMPORTサンプル統合プロファイル用の属性と値がリストされています。表26-2に、2つの属性と値を示します。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第6章「ディレクトリ同期の構成」、マッピング・ルールの構成に関する項に、次の2つの誤りがあります。
この項に含まれている次の情報は正しくありません。
「マッピング・ルールは固定の表形式で編成され、その形式に忠実に従う必要があります。マッピング・ルールの各セットは、DomainRulesという語のみを含む行と3つの番号記号(###)のみを含む行の間にあります。」
正しい情報は次のとおりです。
マッピング・ルールは固定の表形式で編成され、その形式に忠実に従う必要があります。マッピング・ルールの各セットは、DomainRulesまたはAttributeRulesという語のみを含む行と3つの番号記号(###)のみを含む行の間にあります。
属性レベルのマッピングに関する項に、「新たに作成された同期プロファイルでは、マッピング・ルールは空です。」と記載されています。
これは正しくありません。新たに作成された同期プロファイルには、デフォルトで属性マッピング・ルールが含まれています。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』に、サンプル・ブートストラップ・パラメータ・ファイルが$ORACLE_HOME/ldap/odi/samples/ディレクトリにあると記載されています。これは間違っています。
サンプル・ブートストラップ・パラメータ・ファイルは、$ORACLE_HOME/ldap/odi/conf/ディレクトリにあります。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第17章「サード・パーティ・ディレクトリとの同期の構成」で、Oracle Internet Directoryからサード・パーティ・ディレクトリへのパスワードの同期に関する項に説明が必要です。
この項には、「Oracle Internet Directoryからサード・パーティ・ディレクトリへパスワードを同期するには、Oracle Internet Directoryサーバーでパスワード・ポリシーと可逆パスワード暗号化を有効にする必要があります。」と記載されています。
明確に言うと、Oracle Internet Directoryとサード・パーティ・ディレクトリとの間のハッシュ・アルゴリズムに互換性がないか、サポートされていない場合のみ、Oracle Internet Directoryサーバーで可逆パスワード暗号化を有効にする必要があります。
たとえば、IBM Tivoli Directory ServerとSun Java System Directory Serverでは、Oracle Internet Directoryと同様のハッシュ・アルゴリズムがサポートされています。したがって、Oracle Internet DirectoryからIBM Tivoli Directory ServerまたはSun Java System Directory Serverへパスワードを同期するには、Oracle Internet Directoryサーバーでパスワード・ポリシーのみ有効にする必要があります。
しかし、Oracle Internet DirectoryからMicrosoft Active DirectoryまたはNovell eDirectoryへパスワードを同期する場合、両方ともOracle Internet Directoryと同様のハッシュ・アルゴリズムをサポートしないため、Oracle Internet Directoryサーバーでパスワード・ポリシーと可逆パスワード暗号化を有効にする必要があります。
詳細は、『Oracle Fusion Middleware Oracle Identity Management統合ガイド』のOracle Internet Directoryからサード・パーティ・ディレクトリへのパスワードの同期に関する項を参照してください。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第6章「ディレクトリ同期の構成」で、1対1識別名マッピングに関する例に誤りがあります。
例には次のテキストが含まれています。
cn=users,dc=us,dc=mycompany,dc=com
下のエントリcn=groups,dc=us,dc=mycompany,dc=com
を同期する場合、ドメイン・マッピング・ルールは次のとおりです。
cn=groups,dc=us,dc=mycompany,dc=com:cn=users,dc=us,dc=mycompany,dc=com
このサンプル・ドメイン・マッピング・ルールは正しくありません。cn=users,dc=us,dc=mycompany,dc=com
下のエントリcn=groups,dc=us,dc=mycompany,dc=com
を同期する正しいドメイン・マッピング・ルールは次のとおりです。
cn=groups,dc=us,dc=mycompany,dc=com:cn=groups,cn=users,dc=us,dc=mycompany,dc=com
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第6章「ディレクトリ同期の構成」で、サポートされる属性マッピング・ルールと例に関する項に次の訂正が必要です。
truncl(str, char)
: 指定したchar
の最初の出現まで(最初の出現を含む)文字列を切り捨てます。次に例を示します。
mail : : : : uid : : inetorgperson : truncl(mail,'@')
truncr(str, char)
: 文字列内の指定したchar
の右側をすべて切り捨てます。次に例を示します。
mail : : : : uid : : inetorgperson : truncr(mail,'@')
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第23章「サード・パーティ・ディレクトリとの統合の管理」で、サード・パーティ・ディレクトリとの構成後のタスクに関する項に誤りがあります。
ステップ3に「プロファイルの構成設定と対応する構成設定を使用してOracle Directory Integration Platformを起動します。」と記載されていますが、これは正しくなく、必要ありません。
このステップは無視してください。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』でldapbindssl
コマンドの例に、パスワードをコマンドラインで渡すのではなく、パスワード入力が要求されるようにする-q
オプションが使用されています。-q
オプションは、ldapbindssl
コマンドに対してサポートされていません。ldapbindssl
コマンドを実行する場合、-w
オプションを使用してコマンドラインでパスワードを指定する必要があります。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第19章「Oracle Password Filter for Microsoft Active Directoryのデプロイ」で、Oracle Password Filter for Microsoft Active Directoryをインストールする手順に誤りがあります。
ステップ16に次のように記載されています。
「これが初めてのOracle Password Filterのインストールの場合、要求されたら「はい」を選択してOracle Internet Directoryにスキーマ拡張をアップロードします。そうでない場合は「いいえ」を選択します。ドメイン・コントローラのリブート・ページが表示されます。」
これは間違っています。常に「いいえ」を選択する必要があります。Microsoft Active Directory Passwordフィルタに必要なスキーマ拡張属性が事前ロードされるため、Oracle Internet Directoryにスキーマ拡張をアップロードしません。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の第17章「サード・パーティ・ディレクトリとの同期の構成」で、expressSyncSetupコマンドの理解に関する項に次のように記載されています。
「マスター・ドメイン・マッピング・ルールは、$ORACLE_HOME/ldap/odi/samplesにあります。」
これは間違っています。マスター・ドメイン・マッピング・ルールは、$ORACLE_HOME/ldap/odi/conf/ディレクトリにあります。