| Oracle Fusion Middleware Oracle Internet Directory管理者ガイド 11gリリース1(11.1.1) B55919-01 |
|
 戻る |
 次へ |
ディレクトリ・サーバー・チェーンは、10g(10.1.4.0.1)で導入されたOracle Internet Directoryの新機能です。これは新しいJavaプラグイン・フレームワークを使用して実装されました。
この章の項目は次のとおりです。
|
注意: この章で言及するOracle Single Sign-Onはすべて、Oracle Single Sign-On 10g(10.1.4.3.0)以上のことです。 |
サーバー・チェーンを使用すると、サード・パーティのLDAPディレクトリにあるエントリを、ディレクトリ・ツリーの一部にマップし、同期やデータの移行なしに、Oracle Internet Directoryを介してアクセスできます。サーバー・チェーンにより、アイデンティティ・データがOracle Internet Directoryの外部にある場合も、Oracle Internet Directoryの認可フレームワークを使用できます。サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとの組合せでのみ動作保証されています。他のOracleアプリケーションは、サーバー・チェーンと組み合せて使用できません。
サーバー・チェーンは、Oracle Directory Integration Platformにかわるものではありません。実際には、Oracle Directory Integration Platformに補完的な機能を提供します。
サーバー・チェーンは、仮想ディレクトリとは異なります。Oracle Virtual Directoryなどの仮想ディレクトリは、複数のアイデンティティ・リポジトリとアプリケーションの間の柔軟な仮想化レイヤーです。仮想ディレクトリは、アイデンティティの同期化やディレクトリ・サーバーに補完的サービスを提供します。仮想ディレクトリを使用すると、組織は、複数のディレクトリやデータベースにまたがる可能性のあるデータの統合された、論理(仮想)ビューを作成できます。
サーバー・チェーンはより簡単で柔軟性のあるソリューションで、Oracle Internet Directoryサーバーに組み込まれています。また、エンタープライズ・ユーザー・セキュリティの顧客に特に適しています。管理や更新が簡単です。特別な構成の手順を実行せずに、Oracle Internet Directoryの認可フレームワークも提供できます。
11gリリース1(11.1.1)では、SSLを使用するようにサーバー・チェーンを構成できます。
Oracle Internet Directoryサーバー・チェーンは、次の外部サーバーをサポートします。
Oracle Internet Directoryの実装では、1つのActive Directoryサーバー、1つのSun Java System Directory Server、1つのNovell eDirectory、またはこれらの3つすべてと接続できます。
|
注意: Oracle Internet Directoryサーバー・チェーンではActive Directory Lightweight Directory Service(AD LDS、以前のADAM)はサポートされません。 |
次の製品が、Oracle Internet Directoryサーバー・チェーンに統合されました。
Oracle Single Sign-On 10g(10.1.4.3.0)以上
エンタープライズ・ユーザー・セキュリティ
サーバー・チェーンが有効な場合、外部ディレクトリのユーザーは、Oracle Internet Directory内(外部リポジトリではなく)でローカルに認証された場合と同様にOracle Single Sign-Onを介してログインできます。
Oracle Internet Directoryサーバー・チェーンにより、アイデンティティ・データをOracle Internet Directoryと同期させることなく、Oracle Directory Integration Platformを介してエンタプライズ・ユーザー・セキュリティを実装できます。アイデンティティ・データは外部リポジトリに置かれたままで、Oracle Internet Directoryのデータ・ストアにはエンタプライズ・ユーザー・セキュリティ関連のメタデータのみが格納されます。
Sun Java System Directory Serverが外部ディレクトリの場合、サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとのパスワードベースの認証をサポートします。詳細は、http://metalink.oracle.comのMy Oracle Support(以前のMetaLink)でNote 802927.1を参照してください。
Active Directoryが外部ディレクトリの場合、サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとのKerberosベースの認証およびパスワードベースの認証をサポートします。外部ユーザーは、エンタープライズ・ユーザー・セキュリティの認証設定が完了すると、Oracle Databaseにログインできます。詳細は、http://metalink.oracle.comにあるMy Oracle Support(以前のMetaLink)のNote 452385.1に基づいた「パスワード変更通知のActive Directoryプラグインの構成」を参照してください。
|
関連項目: エンタープライズ・ユーザー・セキュリティのパスワード認証およびKerberos認証用の構成の詳細は、『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照してください。 |
バインド
比較
変更
検索
比較、変更および検索操作は、構成パラメータの設定により有効または無効にできます。
Oracle Internet Directoryクライアント・アプリケーションからLDAP検索リクエストが発行されると、Oracle Internet Directoryは自身のデータと外部ディレクトリからの検索結果を統合します。
Oracle Internet Directoryクライアント・アプリケーションからLDAPバインド、比較または変更リクエストが発行されると、Oracle Internet Directoryはリクエストを外部ディレクトリにリダイレクトします。
10g(10.1.4.0.1)以上では、比較操作はuserpassword属性でのみサポートされています。
10g(10.1.4.0.1)以上では、次の2つの場合に属性変更がサポートされます。
外部属性は、Oracle Internet Directory属性と同じ名前を持っています。これは大部分のLDAP属性についても当てはまります。
外部属性はOracle Internet Directory属性にマップされ、外部属性とOracle Internet Directory属性のどちらも操作属性ではありません。
|
注意: Active Directoryユーザー・パスワードは、Oracle Internet Directoryからサーバー・チェーンを介して変更できません。 |
Oracle Internet Directoryには、サーバー・チェーンの無効のサンプル・エントリが付属しています。
Active Directoryの場合、サーバー・チェーン・エントリの識別名は次のようになります。
cn=oidscad,cn=OID Server Chaining,cn=subconfigsubentry
Sun Java System Directory Serverの場合、エントリ識別名は次のようになります。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry
Novell eDirectoryの場合、エントリ識別名は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry
これらのエントリを自分の環境に合うようにカスタマイズし、それらを有効にすることで、サーバー・チェーンを構成します。これは、コマンドラインから実行することも、Oracle Directory Managerを使用して実行することもできます。
この項の項目は次のとおりです。
Oracle Directory Services Managerには、Oracle Internet Directoryサーバー・チェーン構成エントリの変更に便利なインタフェースが備わっています。Oracle Directory Services Managerを使用してサーバー・チェーンを構成するには、次の手順を実行します。
「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。
タスク選択バーで、「拡張」を選択します。
「サーバー・チェーン」を展開します。左側のパネルにサーバー・チェーンのエントリが表示されます。現在のエントリにiPlanet(Sun Java System Directory Server)とActive Directoryが含まれています。
サーバー・チェーン構成エントリを変更するには、そのエントリを選択します。右側のペインに「サーバー・チェーン管理」タブが表示されます。
必要に応じて「外部ホスト名」、「外部ポート番号」、「ログイン・ユーザーDN」および「ログイン・ユーザー・パスワード」を変更します。
サーバー・チェーンの認証、変更または検索を有効にするには、対応するチェック・ボックスを選択します。
必要に応じて他のフィールドを変更します。
外部ユーザー・コンテナ、グループ・コンテナまたはログイン資格証明の変更後、それぞれ「ユーザー・コンテナの検証」、「グループ・コンテナの検証」または「ログイン資格証明の検証」 をクリックして値を検証します。
検証に失敗した場合、入力した値に誤りがないか確認します。問題が解消されない場合、外部ディレクトリ管理者に連絡し、入力した値が正しいかどうかを確認します。
属性マッピングを追加する場合は、「属性マッピング」の下の「属性マッピングをリストに追加」アイコンをクリックします。既存のマッピングを編集するには、マッピングを選択して「属性マッピング」の下の「属性マッピングの編集」アイコンをクリックします。新規属性マッピング・ウィンドウが表示されます。「外部ディレクトリ属性」および「OID属性」を入力します。参照によってOracle Internet Directory属性を特定するには、「選択」をクリックして属性の選択ウィンドウで属性を選択します。
「OK」をクリックしてマッピングを作成するか、「取消」をクリックして破棄します。
マッピングを削除するには、マッピングを選択して「選択した属性マッピングの削除」アイコンをクリックします。削除の確認ダイアログが表示されたら、「削除」をクリックしてマッピングを削除するか、「取消」削除を取り止めます。
「OK」をクリックして構成の変更を有効にするか、「取消」をクリックして変更を破棄します。
コマンドラインからサーバー・チェーンを構成するには、次の手順を実行します。
LDIFファイルを作成して、手動でユーザーおよびグループのコンテナを追加します。これらのコンテナの識別名を決定するには、「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。たとえば、ユーザー検索ベースがcn=users,dc=us,dc=oracle,dc=com、グループ検索ベースがcn=groups,dc=us,dc=oracle,dc=comの場合、LDIFファイルで次のエントリを使用します。
dn: cn=AD,cn=users,dc=us,dc=oracle,dc=com cn: AD objectclass: orclcontainer objectclass: top dn: cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com cn: iPlanet objectclass: orclcontainer objectclass: top dn: cn=AD,cn=groups,dc=us,dc=oracle,dc=com cn: AD objectclass: orclcontainer objectclass: top dn: cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com cn: iPlanet objectclass: orclcontainer objectclass: top
ldapaddと、エントリを追加するために作成したLDIFファイルを使用します。
ldapadd -p port -h host -D "binddn" -q -v -f container_ldif_file_name
もう1つのLDIFファイルを作成し、サーバー・チェーン構成エントリを変更し、有効にします。LDIFファイルの例は、「Active Directoryの例」および「Sun Java System Directory Server(iPlanet)の例」を参照してください。属性の表は、「サーバー・チェーン構成エントリの作成」にあります。属性のマッピングについては、「属性マッピング」で説明しています。
ldapmodifyコマンドと作成したLDIFファイルを使用してサーバー・チェーン構成エントリを変更します。次の形式のコマンドラインを使用します。
ldapmodify -D "cn=orcladmin" -q -p port -h host -D "binddn" \ -v -f entry_ldif_file_name
この項の項目は次のとおりです。
表36-1は、サーバー・チェーンの構成エントリ属性を示しています。
表36-1 サーバー・チェーンの構成エントリ属性
| 属性 | 必須 | 説明 |
|---|---|---|
|
|
○ |
外部ディレクトリ・ホストのホスト名。これは単一値属性です。 |
|
|
○ |
外部ディレクトリ・ホストのポート番号。これは単一値属性です。デフォルト値は3060です。 |
|
|
○ |
外部ディレクトリの識別名。サーバー・チェーンは、検索および変更操作を実行するために、このアイデンティティを使用して、外部ディレクトリに対してバインドされます。このアイデンティティには、操作を実行するために十分な権限が必要です。これは単一値属性です。 |
|
|
○ |
外部ディレクトリの識別名のパスワード。これは単一値属性です。ユーザーがこの属性をクリアテキストで取得できないようにするため、必ずプライバシ・モードを有効にします。「受信した機密の属性のプライバシの構成」を参照してください。 |
|
|
○ |
ユーザー検索操作を実行する外部ディレクトリ内のユーザー・コンテナ。これは単一値属性です。 |
|
|
○ |
グループ検索操作を実行する外部ディレクトリ内のグループ・コンテナ。これは単一値属性です。 外部ユーザー・コンテナと外部グループ・コンテナが同じ場合、この属性はオプションです。この場合、グループ検索操作は、外部ユーザー・コンテナで実行されます。 |
|
|
○ |
外部ユーザーが存在するOracle Internet Directory内のユーザー・コンテナ。詳細は、「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。 |
|
|
○ |
外部グループが存在するOracle Internet Directory内のグループ・コンテナ。詳細は、「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。 |
|
|
× |
外部ディレクトリとOracle Internet Directory間の各属性マッピングを指定します。たとえば、
詳細は、「属性マッピング」を参照してください。 |
|
|
○ |
外部検索機能。 |
|
|
○ |
外部変更機能。 |
|
|
○ |
外部認証機能。 |
|
|
× |
外部ディレクトリへのSSL接続。0 = 無効(デフォルト)、1 = 有効。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
|
× |
外部ディレクトリ・ホストのSSLポート番号。これは単一値属性です。 |
|
|
× |
外部ディレクトリのサーバー証明書が格納されているウォレットのファイル名とパス。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
|
× |
ウォレット・パスワード。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
|
× |
OID属性uidのActive Directoryの属性へのマッピングを指定します。uidは、Active Directoryに定義されている任意の非バイナリ属性にマップできます。デフォルト値はnameです。これは単一値属性です。 |
|
|
× |
グループ・コンテナに対する検索において、baseの場合、オブジェクト・クラス・グループとともにエントリを表示し(デフォルト)、subの場合、オブジェクト・クラスuserおよびcomputerなしでエントリを表示します。これは単一値属性です。Active Directoryでのみ適用可能です。 |
|
|
× |
ユーザー・コンテナの1レベル下にあるエントリをベースとして使用した1レベル検索において、baseの場合、いずれのエントリも表示せず(デフォルト)、subの場合、検索のベースの1レベル下位にあるエントリを表示します。これは単一値属性です。Active Directoryでのみ適用可能です。 |
|
|
× |
オブジェクト・クラス・ユーザーを持つエントリにorcluserv2オブジェクト・クラスを追加します。0 = 無効(デフォルト)、1 = 有効。これは単一値属性です。Active Directoryでのみ適用可能です。 |
ターゲットのユーザー・コンテナおよびグループ・コンテナは、Oracle Single Sign-Onと連携させるために、Oracle Internet Directory検索ベースの下に置く必要があります。Active Directoryにはcn=AD、Sun Java System Directory Server(iPlanet)にはcn=iPlanetというコンテナ名を使用します。たとえば、ユーザー検索ベースが次の場合について考えます。
cn=users,dc=us,dc=oracle,dc=com
この場合、Active Directoryユーザーのターゲット・ユーザー・コンテナとして、
cn=AD,cn=users,dc=us,dc=oracle,dc=com
を使用し、Sun Java System Directory Serverユーザー用のターゲット・ユーザー・コンテナとして、
cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com
を使用します。同様に、グループ検索ベースの場合について考えます。
cn=groups,dc=us,dc=oracle,dc=com
この場合、Active Directoryグループのターゲット・コンテナとして、
cn=AD,cn=groups,dc=us,dc=oracle,dc=com
を使用し、Sun Java System Directory Serverグループ用のターゲット・コンテナとして、
cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com
を使用します。
ターゲットのユーザー・コンテナおよびグループ・コンテナは、外部ディレクトリ専用のものです。これらのノードの下に表示されるユーザーおよびグループはすべて、外部ディレクトリによりデータが移入されます。これらのコンテナの下に、Oracle Internet Directoryから直接エントリを追加しないでください。
外部ディレクトリの属性とOracle Internet Directory属性が同じ場合、マッピングは不要です。サーバー・チェーンは、デフォルトでいくつかの属性マッピングを実行します。デフォルト・マッピングのリストは次のとおりです。
表36-2 Active Directoryに対するデフォルトの属性マッピング
| Oracle Internet Directory属性 | Active Directory属性 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
Active Directoryサーバー・チェーンの場合、mapUIDtoADAttribute属性を使用して、Active Directoryに定義されている任意の非バイナリ属性にuidをマップできます。
表36-3 Sun Java System Directory Serverに対するデフォルトの属性マッピング
| Oracle Internet Directory属性 | Sun Java System Directory Server属性 |
|---|---|
|
|
|
|
|
|
|
|
|
表36-4 Novell eDirectoryに対するデフォルトの属性マッピング
| Oracle Internet Directory属性 | Novell eDirectory属性 |
|---|---|
|
|
|
|
|
|
|
|
|
次のオブジェクトはマップできません。
操作属性
オブジェクト・クラス
Oracle Internet Directory固有の属性。これらの属性には通常、orclで始まる名前が付いています。
次の例は、Active Directoryサーバーdlin-pc9.us.example.com、ポート3060を、外部ディレクトリ・ストアとして使用するよう構成されたサーバー・チェーンを示しています。SSL機能は有効になっています。属性はすべて、表36-1で説明しています。
cn=oidscad,cn=OID Server Chaining,cn= subconfigsubentry orclOIDSCExtHost: dlin-pc9.us.example.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=administrator,cn=users,dc=oidvd,dc=com orclOIDSCExtPassword: ******* orclOIDSCExtUserContainer: cn=users,dc=oidvd,dc=com orclOIDSCTargetUserContainer: cn=AD,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=AD,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCAttrMapping;description: title orcloidscsslenabled: 0
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry
changetype: modify
replace: orcloidscextdn
orcloidscextdn: cn=administrator,cn=users,dc=oidvd,dc=com
-
replace: orcloidscextpassword
orcloidscextpassword: password
-
replace: orcloidscexthost
orcloidscexthost: dlin-pc9.us.example.com
-
replace: orcloidscextport
orcloidscextport: 3060
-
replace: orcloidsctargetusercontainer
orcloidsctargetusercontainer: cn=AD,cn=users,dc=us,dc=oracle,dc=com
-
replace: orcloidsctargetgroupcontainer
orcloidsctargetgroupcontainer: cn=AD,cn=groups,dc=us,dc=oracle,dc=com
-
replace: orcloidscextusercontainer
orcloidscextusercontainer: cn=users,dc=dlin,dc=net
-
replace: orcloidscextgroupcontainer
orcloidscextgroupcontainer: cn=users,dc=dlin,dc=net
-
replace: orcloidscextsearchenabled
orcloidscextsearchenabled: 1
-
replace: orcloidscextmodifyenabled
orcloidscextmodifyenabled: 1
-
replace: orcloidscextauthenabled
orcloidscextauthenabled: 1
-
replace: orcloidscsslenabled
orcloidscsslenabled:1
次の例は、Active Directoryサーバーad.example.com、SSLポート3133、および/adwallet/ewallet.p12にあるウォレットを使用するよう構成されたサーバー・チェーンを示しています。
cn=oidscad,cn=OID Server Chaining,cn= subconfigsubentry orclOIDSCExtHost: ad.example.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=administrator,cn=users,dc=oidvd,dc=com orclOIDSCExtPassword: ******* orclOIDSCExtUserContainer: cn=users,dc=oidvd,dc=com orclOIDSCTargetUserContainer: cn=AD,cn=users,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=AD,cn=groups,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 3133 orclOIDSCWalletLocation: /adwallet/ewallet.p12 orclOIDSCWalletPassword: ********
コマンドラインからSSLを使用してサーバー・チェーンを構成するには、次の手順を実行します。
前の項に示すように、SSLなしでActive Directoryサーバー・チェーンを構成します。
次のようなLDIFファイルを作成し、外部ディレクトリへのSSL接続を有効にします。orcloidscextsslport、orcloidscwalletlocationおよびorcloidscwalletpasswordの値を、実際のActive Directoryサーバーの値と一致する値に置き換えます。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscsslenabled orcloidscsslenabled:1 - replace: orcloidscextsslport orcloidscextsslport: 3133 - replace: orcloidscwalletlocation orcloidscwalletlocation: /adwallet/ewallet.p12 - replace: orcloidscwalletpassword orcloidscwalletpassword: passw0rd
変更を適用するには、次のようなコマンドラインを使用します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
mapUIDtoADAttribute、showExternalGroupEntries、showExternalUserEntriesおよびaddOrcluserv2ToADUsers属性は、Oracle Internet Directory 10g(10.1.4.0.1)から追加されています。これらの属性を既存のActive Directoryサーバー・チェーン・エントリに追加するには、適切な値を使用して次のLDIFファイルを変更します。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: mapUIDtoADAttribute mapUIDtoADAttribute: name - replace: showExternalGroupEntries showExternalGroupEntries: base - replace: showExternalUserEntries showExternalUserEntries: base - replace: addOrcluserv2ToADUsers addOrcluserv2ToADUsers: 0
次の形式のコマンドラインを使用します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
構成エントリが変更されます。
次の例は、Sun Java System Directory Server dlin-pc10.us.example.com、ポート103060を、外部ディレクトリ・ストアとして使用するよう構成されたサーバー・チェーンを示しています。属性はすべて、表36-1で説明しています。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: dlin-pc10.us.example.com orclOIDSCExtPort: 10389 orclOIDSCExtDN: cn=directory manager orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=people,dc=example,dc=com orclOIDSCExtGroupContainer: ou=groups,dc=example,dc=com orclOIDSCTargetUserContainer: cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled:0
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
dn: cn=oidsciplanet,cn=oid server chaining,cn=subconfigsubentry
changetype: modify
replace: orcloidscextdn
orcloidscextdn: cn=directory manager
-
replace: orcloidscextpassword
orcloidscextpassword: password
-
replace: orcloidscexthost
orcloidscexthost: dlin-pc10.us.example.com
-
replace: orcloidscextport
orcloidscextport: 10389
-
replace: orcloidsctargetusercontainer
orcloidsctargetusercontainer: cn=iplanet,cn=users,dc=us,dc=oracle,dc=com
-
replace: orcloidsctargetgroupcontainer
orcloidsctargetgroupcontainer: cn=iplanet,cn=groups,dc=us,dc=oracle,dc=com
-
replace: orcloidscextusercontainer
orcloidscextusercontainer: ou=people,dc=example,dc=com
-
replace: orcloidscextgroupcontainer
orcloidscextgroupcontainer: ou=groups,dc=example,dc=com
-
replace: orcloidscextsearchenabled
orcloidscextsearchenabled: 1
-
replace: orcloidscextmodifyenabled
orcloidscextmodifyenabled: 1
-
replace: orcloidscextauthenabled
orcloidscextauthenabled: 1
次の例は、Sun Java System Directory Server sunone.example.com、SSLポート10636、および/ipwallet/ewallet.p12にあるウォレットを使用するよう構成したサーバー・チェーンを示しています。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: sunone.example.com orclOIDSCExtPort: 10389 orclOIDSCExtDN: cn=directory manager orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=people,dc=example,dc=com orclOIDSCExtGroupContainer: ou=groups,dc=example,dc=com orclOIDSCTargetUserContainer: cn=iPlanet,cn=users,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=iPlanet,cn=groups,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 10636 orclOIDSCWalletLocation: /ipwallet/ewallet.p12 orclOIDSCWalletPassword: ********
コマンドラインからSSLを使用してサーバー・チェーンを構成するには、次の手順を実行します。
前の項に示すように、SSLなしでサーバー・チェーンを構成します。
次のLDIFファイルを作成し、外部ディレクトリへのSSL接続を有効にします。orcloidscextsslport、orcloidscwalletlocationおよびorcloidscwalletpasswordの値を、実際のSun Java System Directory Serverの値と一致する値に置き換えます。
dn: cn=oidsciplanet,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscsslenabled orcloidscsslenabled:1 - replace: orcloidscextsslport orcloidscextsslport: 10636 - replace: orcloidscwalletlocation orcloidscwalletlocation: /ipwallet/ewallet.p12 - replace: orcloidscwalletpassword orcloidscwalletpassword: passw0rd
次の形式のコマンドラインを実行します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
構成エントリが変更されます。
eDirectory構成の例は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: edirhost.domain.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=admin,o=domain orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=users,o=domain orclOIDSCExtGroupContainer: ou=groups,o=domain orclOIDSCTargetUserContainer: cn=edir,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=edir,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled:0
SSLを使用したeDirectory構成の例は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: edirhost.domain.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=admin,o=domain orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=users,o=domain orclOIDSCExtGroupContainer: ou=groups,o=domain orclOIDSCTargetUserContainer: cn=edir,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=edir,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 3133 orclOIDSCWalletLocation: /edir/ewallet.p12 orclOIDSCWalletPassword: ********
サーバー・チェーンのデバッグを行うには、次の手順を実行します。
「Fusion Middleware Controlを使用したロギングの管理」または「コマンドラインからのロギングの管理」の説明に従って、Oracle Internet Directoryサーバーのデバッグ・ロギング・レベルを設定します。ロギング・レベル値402653184を使用します。この値は、Javaプラグイン・フレームワーク関連の全メッセージのロギングを可能にします。
Oracle Internet Directoryサーバー・チェーンのデバッグ設定を変更します。cn=oidscad,cn=oid server chaining,cn=subconfigsubentryとcn=oidsciplanet,cn=oid server chaining, cn=subconfigsubentryの両方について、orcloidscDebugEnabled属性を1に設定します。
たとえば、cn=oidscad,cn=oid server chaining,cn=subconfigsubentryでorcloidscDebugEnabledを1に設定するには、次のように入力します。
$ORACLE_HOME/bin/ldapmodify -h host -p port -D cn=orcladmin -q -f file
fileには、次のものが含まれます。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscDebugEnabled orcloidscDebugEnabled: 1
|
関連項目: 『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』のJavaプラグインのデバッグとロギングに関する項。 |
サーバー・チェーンでエンタープライズ・ユーザー・セキュリティ(EUS)を使用する場合は、ユーザーを認証するためにハッシュ・パスワードが必要になります。この項では、Oracle Internet Directoryを介してアクセスしたユーザーに対してハッシュ・パスワードを使用可能にするプラグインを、Microsoft Active Directory(AD)サーバーにインストールする方法について説明します。サーバー・チェーンを介してアクセスしたユーザーにエンタープライズ・ユーザー・セキュリティ(EUS)を使用する構成を計画している顧客は、この機能を構成する必要があります。
この手順は次のとおりです。
Active Directoryで、orclCommonAttributeという属性を作成してハッシュ・パスワードを格納します。次の形式のコマンドラインを使用します。
ldapadd –p AD_Port –h AD_host -D "AD_administrator_DN" –w AD_administrator_password -v –f orclca.ldif
次の例のようなorclca.ldifファイルを使用します。DC=bill,DC=comをActive Directoryの実際のドメイン名に置き換えて、適切なattributeIDを選択します。
dn: cn=orclcommonattribute,CN=Schema,CN=Configuration,DC=bill,DC=com objectClass: top objectClass: attributeSchemacn: orclcommonattribute distinguishedName: CN=orclcommonattribute,CN=Schema,CN=Configuration,DC=bill,DC=com instanceType: 4 uSNCreated: 16632 attributeID: 1.9.9.9.9.9.9.9.9 attributeSyntax: 2.5.5.3 isSingleValued: TRUE uSNChanged: 16632 showInAdvancedViewOnly: TRUE adminDisplayName: orclCommonAttribute oMSyntax: 27 lDAPDisplayName: orclCommonAttribute name: orclcommonattribute objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=bill,DC=com
属性をユーザーのオブジェクト・クラスに関連付けます。次の形式のコマンドラインを使用します。
ldapadd –p AD_Port –h AD_host -D "AD_administrator_DN" –w AD_administrator_password -v –f user.ldif
次のファイルuser.ldifでは、DC=bill,DC=comをActive Directoryの実際のドメイン名に置き換えます。
dn: CN=User,CN=Schema,CN=Configuration,DC=bill,DC=com changetype: modify add: mayConatin mayContain: orclCommonAttribute
Active Directoryでは、スキーマをリフレッシュするために数分かかることがあります。
パスワード変更通知のプラグインを次の手順でインストールします。
%ORACLE_HOME%\ldap\admin\oidpwdcn.dllをActive DirectoryのWINDOWS\system32フォルダにコピーします。
regedt32を使用してレジストリを変更します。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packagesの行の最後にoidpwdcnを追加します。この行は次のようになります。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
Active Directoryを再起動します。
ユーザーのパスワードを再設定することにより、プラグインが正しくインストールされていることを確認します。orclCommonAttributeにハッシュ・パスワードの値が格納されている必要があります。
Active Directoryの全ユーザーのパスワードを再設定し、すべてのユーザーにパスワード・ベリファイアが存在するようにします。
