この章では、Oracle Internet Directoryが『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従ってインストールおよび構成されていることを前提としています。この章では、Oracle Internet Directoryの管理インタフェースと、Oracle Internet Directoryの管理者として実行する必要がある初期タスクについて説明します。
この項の項目は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlを使用したOracle Internet Directoryの管理
Oracle Directory Services Managerを使用したOracle Internet Directoryの管理
Oracle Internet Directoryのインストールおよび基本構成の完了後、次のタスクを実行します。
Oracle Internet Directoryのデフォルト構成では、ほとんどすべてのデプロイメントでチューニングを必要とします。デプロイメントに応じて特定の構成属性の値を変更する必要があります。「基本的なチューニング推奨事項」(特に表33-1「Oracle Databaseインスタンス・パラメータの最小値」および表33-2「LDAPサーバーの属性のチューニング」)を参照してください。
チューニングの詳細は、第33章「Oracle Internet Directoryのチューニングとサイズ設定」を参照してください。すべての属性の説明は、第9章「システム構成属性の管理」および第39章「レプリケーション構成属性の管理」を参照してください。
ルートDSE以外に対する匿名検索はデフォルトでは無効になっています。一部には、クライアントでルートDSE以外へのアクセスが必要なデプロイメント環境もあります。そのようなデプロイメントの場合、orclanonymousbindsflag
属性を1に設定します。詳細は、「匿名ユーザーによるバインドの管理」を参照してください。
多くのオペレーティング・システムでは、スーパーユーザー権限で実行されているプロセスのみが1024以外のポート番号を使用できます。デフォルトでは、Oracle Identity Management 11gのインストーラはOracle Internet Directoryに特権ポートを割り当てません。しかし、staticports.ini
を使用してデフォルトをオーバーライドできます。(『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。)
SSLおよび非SSLポートを、インストール後に特権付きの範囲の番号に変更する場合、次の手順に従います。
root
ユーザーでORACLE_HOME
/oidRoot.sh
を実行します。
次のいずれかの方法でポート番号を再度割り当てます。
「サーバー・プロパティの構成」に記載のように、Oracle Enterprise Manager Fusion Middleware Controlの「サーバー・プロパティ」ページの「一般」タブで、「SSLポート」および「非SSLポート」の値を変更します。
「ldapmodifyを使用したシステム構成属性の設定」に記載のように、ldapmodify
を使用してインスタンス固有の構成エントリのorclnonsslport
およびorclsslport
の値を変更します。
コマンドラインを使用してポートを変更した場合、「opmnctlを使用したOracleインスタンスのコンポーネント登録の更新」に記載のようにopmnctl
updatecomponentregistration
を実行します。(「Oracle Internet Directoryインスタンスの追加作成」に記載のとおり、Oracle Internet Directoryのスタンドアロン・インスタンスを実行している場合は、この手順は必要ありません。)
「Oracle Enterprise Manager Fusion Middleware Controlを使用したOracle Internet Directoryサーバーの再起動」または「opmnctlを使用したOracle Internet Directoryサーバーの再起動」に記載のように、Oracle Internet Directoryを再起動します。
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Fusion Middleware用の包括的なシステム管理プラットフォームを提供するグラフィカル・ユーザー・インタフェースです。Fusion Middleware Controlでは、様々なパフォーマンス・データおよび管理機能を、ドメイン、Oracleインスタンス、ミドルウェア・システム・コンポーネントおよびアプリケーション用の個別のWebベースのホームページへと編成します。
注意: Oracle Internet Directoryのインストール時、ドメインに「なし」を選択した場合、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerは使用できません。 |
Oracle Internet Directoryは、Oracle Enterprise Manager Fusion Middleware Controlのターゲット・タイプです。Oracle Internet Directoryのインタフェースを使用する手順は、次のとおりです。
Fusion Middleware Controlに接続します。
注意: Oracle Directory Services Managerに対してサポートされているブラウザの詳細は、Oracle Technology Network WebサイトのOracle Identity Managementの動作要件情報を参照してください。Oracle Technology Network Webサイトには、http://www.oracle.com/technology/index.html からアクセスできます。 |
URLの形式は次のとおりです。
https://host:port/em
左パネルのトポロジ・ツリーで、ドメインを展開して、「Fusion Middleware」→「Identity and Access」を選択します。あるいは、ドメインのホームページから「Fusion Middleware」→「Identity and Access」と展開します。Oracle Internet Directoryのインスタンスが両方の箇所に表示されます。コンポーネント・インスタンスの完全名を表示するには、インスタンス名の上にマウスを移動します。
管理するOracle Internet Directoryコンポーネントを選択します。
「Oracle Internet Directory」メニューを使用してタスクを選択します。
表7-1に示すとおり、「Oracle Internet Directory」メニューを使用して、Oracle Internet Directory用の他のFusion Middleware Controlページに移動したり、Oracle Internet Directory用のOracle Directory Services Managerページに移動したり、他のタスクを実行できます。
表7-1 「Oracle Internet Directory 」メニューの使用
関連項目:
|
Oracle Directory Services Managerは、Oracle Internet DirectoryおよびOracle Virtual Directoryのインスタンスを管理するインタフェースです。これは、非推奨となったOracle Directory Managerのかわりに使用します。Oracle Directory Services Managerでは、ディレクトリの構造の構成、ディレクトリ内のオブジェクトの定義、ユーザーやグループなどのエントリの追加および構成が可能です。ODSMは、エントリ、スキーマ、セキュリティおよび他のディレクトリ機能の管理に使用するインタフェースです。
ODSMはシステム構成属性の管理にも使用できます。この機能は、Fusion Middleware Controlが使用できない場合、またはFusion Middleware Controlインタフェースのない属性を変更する必要がある場合に便利です。「Oracle Directory Services Managerデータ・ブラウザを使用したシステム構成属性の管理」および「Oracle Directory Services Managerを使用したエントリの管理」を参照してください。
この項の項目は次のとおりです。
Oracle Directory Services Managerの起動は、直接、またはOracle Enterprise Manager Fusion Middleware Controlから実行できます。
注意: Oracle Directory Services Managerに対してサポートされているブラウザの詳細は、Oracle Technology Network WebサイトのOracle Identity Managementの動作要件情報を参照してください。Oracle Technology Network Webサイトには、http://www.oracle.com/technology/index.html からアクセスできます。 |
Oracle Directory Services Managerを直接起動するには、ブラウザのアドレス・フィールドに次のURLを入力します。
http://host:port/odsm
Oracle Directory Services ManagerにアクセスするURLで、hostはOracle Directory Services Managerが稼働している管理対象サーバーの名前で、portはWebLogicサーバーからの管理対象サーバーのポート番号です。正確なポート番号は、$Fusion_Middleware_Home/Oracle_Identity_Management_domain/servers/wls_ods/data/nodemanager/wls_ods1.urlファイル( Fusion_Middleware_HomeはFusion Middlewareがインストールされているルート・ディレクトリ)で確認できます。
Fusion Middleware ControlからOracle Directory Services Managerを起動するには、Oracle Internet Directoryターゲットの「Oracle Internet Directory」メニューから「Directory Services Manager」を選択し、「データ・ブラウザ」、「スキーマ」、「セキュリティ」または「拡張」を選択します。
あるいは、Oracle Virtual Directoryターゲットの「Oracle Virtual Directory」メニューから「Directory Services Manager」を選択し、「データ・ブラウザ」、「スキーマ」、「アダプタ」、「拡張機能」または「クイック構成ウィザード」を選択します。
ODSMのようこそ画面を含む新規ブラウザ・ウィンドウがポップアップ表示されます。
ODSMのようこそ画面が表示されたら、Oracle Internet DirectoryサーバーまたはOracle Virtual Directoryサーバーに接続できます。
この項の項目は次のとおりです。
注意:
|
次のようにしてOracle Directory Services Managerからディレクトリ・サーバーの非SSLポートにログインします。
ラベル「クリックしてディレクトリに接続」の右側にある小さい矢印をクリックします。3つのセクションを含むダイアログ・ボックスが開きます。
ライブ接続: 戻ることのできる現在の接続。
切断されている接続: 一度接続した後、切断したディレクトリ・サーバーのリスト。Oracle Directory Services Managerでは、以前に使用した接続に関する情報を保存し、オプション名別またはサーバー別にリストし、その接続を再選択できるようにします。
新規接続: 新規接続の開始に使用されます。
ライブ接続に再接続するには、クリックします。
切断されている接続を選択するには、エントリをクリックします。大部分のフィールドが入力された簡易版のログイン・ダイアログが表示されます。選択をリストから削除するには、選択後「削除」を選択します。
新規ディレクトリ・サーバーへの接続を開始するには、「新規接続の作成」をクリックするか、[Ctrl]キーを押しながら[N]キーを押します。「新規接続」ダイアログが表示されます。
「OID」または「OVD」を選択します。
オプションで、このエントリを切断されている接続リストで識別する別名を入力します。
管理するOracle Internet DirectoryまたはOracle Virtual Directoryのインスタンスのサーバーおよび非SSLポートを入力します。
「SSL有効」を選択解除します。
ユーザー(通常はcn=orcladmin
)とパスワードを入力します。
ログイン後に開く「開始」ページを選択します。
「接続」をクリックします。
Oracle Internet DirectoryまたはOracle Virtual Directoryサーバーにログインした後は、ナビゲーション・タブを使用して他のページを選択できます。
Oracle Internet DirectoryおよびOracle Virtual Directory用のOracle Directory Services Managerのホームページには、ディレクトリとデータベースに関するバージョン情報に加えて、Oracle Directory Services Manager自体のバージョン情報が表示されます。ディレクトリ統計も表示されます。
SSL認証モードについてよく知らない場合は、「SSL認証モード」を参照してください。
サーバーのSSLポートにログインする場合、「Oracle Directory Services Managerからディレクトリ・サーバーへのログイン」の手順に従います。ただし、手順5でSSLポートを指定し、手順6で「SSL有効」を選択解除しません。手順9での「接続」のクリック後、SSL認証のタイプによっては証明書が提示される場合があります。
ディレクトリ・サーバーがSSL認証なしモード(デフォルト)で稼働している場合、証明書は提示されません。SSL認証なしでは、データの機密性と整合性は保証されますが、X509証明書を使用した認証は行われません。
ディレクトリ・サーバーでSSLサーバー認証のみモードを使用している場合、手順9で「接続」をクリックすると、サーバーの証明書が提示されます。サーバー証明書の正統性を手動で確認した後、証明書を恒久的に受け入れるか、現在のセッションに対してのみ受け入れるか、証明書を拒否します。証明書を恒久的に受け入れる場合、証明書はJavaキー・ストア(JKS)に格納されます。以降は、そのサーバーに接続する際、証明書を受け入れるよう要求されません。現在のセッションに対してのみ受け入れた場合、サーバーに接続するたびに証明書を受け入れるか拒否するかを確認されます。証明書を拒否した場合、ODSMでサーバーへの接続を閉じます。
サーバーでSSLクライアントとサーバー認証モードを使用している場合、手順9で「接続」をクリックすると、証明書が提示されます。「SSLサーバーのみ認証」の手順に従います。
OSDMはサーバーの証明書を受け入れた後、認証用に自身の証明書をサーバーに送信します。その証明書が信頼できる証明書のリスト内にある場合、サーバーでODSMの証明書が受け入れられます。
ODSMの証明書の識別名がサーバー内にある場合、接続ダイアログでユーザー名とパスワードを入力する必要がありません。
ODSMの証明書の識別名がサーバー内にない場合、ユーザー名とパスワードを入力する必要があります。
ODSMの証明書は自己署名証明書です。CAによって署名された証明書をODSMに割り当てるには、keytool
コマンドを使用する必要があります。付録O「Oracle Directory Services Managerキーストアの管理」を参照してください。
クラスタ化されたOracle WebLogic Server環境でOracle Directory Services Managerのリクエストを複数のOracle WebLogic ServerにルーティングするようOracle HTTP Serverを構成するには、次の手順に従います。
Oracle HTTP Serverのhttpd.conf
ファイルのバックアップ・コピーを作成します。この手順の実行後に問題が起きた場合、バックアップ・コピーがあると、元の状態に戻すことができます。
次のテキストをOracle HTTP Serverのhttpd.conf
ファイルの最後に追加し、変数プレースホルダ値を環境に固有のホスト名と管理対象サーバー・ポート番号に置き換えます。エントリの最初の行として<Location /odsm/ >
を必ず使用します。<Location /odsm/faces >
または<Location /odsm/faces/odsm.jspx >
を使用すると、Oracle Directory Services Managerインタフェースの外観に問題が起こることがあります。
<Location /odsm/ > SetHandler weblogic-handler WebLogicCluster host-name-1:managed-server-port,host-name_2:managed_server_port </Location>
注意: 接続先のクラスタ内のOracle WebLogic Serverが停止すると、Oracle Directory Services Managerで接続が失われ、セッション・タイムアウト・メッセージが表示されます。Oracle Directory Services Managerにログインしなおすと、Oracle Directory Services Managerのリクエストは、httpd.confファイルで指定したクラスタ内の2番目のOracle WebLogic Serverにルーティングされます。 |
sqlplusなどのデータベース・クライアント・ユーティリティやOracle Internet Directoryコマンドライン・ユーティリティを使用するには、通常、次の環境変数を設定する必要があります。
ORACLE_HOME
: Oracle Identity Managementのインストール内の書込み不可ファイルの場所。
ORACLE_INSTANCE
: Oracle Identity Managementのインストール内の書込み可能ファイルの場所。
TNS_ADMIN
: データベース接続文字列がtnsnames.oraファイルに定義されているディレクトリ。デフォルトでは$ORACLE_INSTANCE/config
ディレクトリになります。tnsnames.ora
に定義されているデータベース接続の別名は、デフォルトではOIDDB
になります。
NLS_LANG
(APPROPRIATE_LANGUAGE
.AL32UTF8
): インストール時のデフォルトの言語セットはAMERICAN_AMERICA
です。
PATH
: 次のディレクトリ位置をPATH
に追加する必要があります。
$
ORACLE_HOME
/bin
$
ORACLE_HOME
/ldap/bin
$
ORACLE_INSTANCE
/bin
コマンドラインで実行できる多くのアクティビティは、Oracle Enterprise Manager Fusion Middleware ControlまたはOracle Directory Services Managerでも実行できます。一部の機能には、コマンドライン以外では実行できないものもあります。
Oracle Internet Directoryでは標準LDAPコマンドライン・ユーティリティ(ldapadd
、ldapaddmt
、ldapbind
、ldapcompare
、ldapdelete
、ldapmoddn
、ldapmodify
、ldapmodifymt
およびldapsearch
)がサポートされます。次に例を示します。
ldapbind -D "cn=orcladmin" -q -h "myserver.example.com" -p 3060 ldapsearch -b "cn=subschemasubentry" -s base "objectclass=*" -p 3060 \ -D "cn=orcladmin" -q
このマニュアルには、LDAPツールの使用方法の例が多数含まれています。
関連項目: 各ツールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の「Oracle Internet Directoryデータ管理ツール」を参照してください。 |
セキュリティ上の理由から、コマンドラインでパスワードを入力することはできるかぎり避けてください。コマンドラインで入力したパスワードは画面上に表示され、ログ・ファイルや、ps
コマンドからの出力に表示される場合があります。プロンプトでパスワードを入力すると、画面上やps
出力またはログ・ファイルには表示されません。-P
password
オプションおよび-w
password
オプションではなく、-q
オプションおよび-Q
オプションをそれぞれ使用してください。
LDAP
ツールは、環境変数LDAP_PASSWORD_PROMPTONLY
がTRUE
または1
に設定されている場合、オプション-w
password
および-P
password
を無効にするよう変更されています。この機能をできるかぎり使用してください。
関連項目: 『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のコマンドライン・ツールでのパスワードの使用に関する項。 |
Oracle Internet Directoryには、多数のエントリの管理に役立つ複数のツールが用意されています。第14章「バルク操作の実行」を参照してください。
関連項目: 各ツールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の「Oracle Internet Directoryデータ管理ツール」を参照してください。 |
Oracle WebLogic Scripting Tool(WLST)は、Jythonベースのコマンドライン・スクリプト環境であり、WebLogic Serverドメインの管理および監視に使用できます。これを使用してOracle Internet Directoryを管理および監視するには、Oracle Internet Directoryが配置されているカスタムMBeanツリーに移動する必要があります。そこで、Oracle Internet Directoryリソースを表すマネージドBean(MBean)のリストの作成、値の取得および値の変更が可能です。「WLSTを使用したシステム構成属性の管理」および「WLSTを使用したSSLの構成」を参照してください。
この項では、Oracle Internet Directoryの基本環境を構成および管理するために実行する必要のある手順の概要を示します。
LDAPサーバーを起動および停止します。第8章を参照してください。
システム構成属性を管理します。第9章を参照してください。
ディレクトリ・エントリを管理します。第13章を参照してください。
ディレクトリ・スキーマを管理します。第19章を参照してください。
監査を構成します。第21章を参照してください。
ログ・ファイルを管理します。第22章を参照してください。
SSLを構成します。第25章を参照してください。
パスワード・ポリシーを構成します。第27章を参照してください。
アクセス制御を構成します。第28章を参照してください。
Oracle Internet Directoryのデプロイメントに関するサイズ設定とチューニングの推奨事項を取得します。「チューニングとサイズ設定ウィザードを使用した推奨事項の取得」を参照してください。
アドバンスト・レプリケーション・ベースのレプリケーション承諾からLDAPベースのレプリケーション承諾へ変換します。「Oracle Databaseアドバンスト・レプリケーション・ベースの承諾からLDAPベースの承諾へのremtoolを使用した変換」を参照してください。
既存のレプリケーション設定を変更します。第40章を参照してください。
このガイドでは、実際のOracle Fusion Middleware環境に応じて実行する必要があるタスクなど、他のタスクについても説明しています。