| Oracle Fusion Middleware Oracle Identity Management統合ガイド 11gリリース1(11.1.1) B55920-01 |
|
 戻る |
 次へ |
この章では、本番環境でOracle Identity ManagementとSun Java System Directory Server(以前のSunONE iPlanet)を統合する手順について説明します。内容は次のとおりです。
|
注意: この章を読む前に、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のOracle Internet Directoryの概念とアーキテクチャに関する章を理解しておく必要があります。また、このマニュアルのここまでの章、特に次の章を理解していることを前提としています。Sun Java System Directory Serverとの統合のデモンストレーションを構成する場合は、Oracle Identity Management 11gリリース1(11.1.1)のOracle By Exampleシリーズを参照してください。Oracle Technology Network( |
Sun Java System Directory Serverで基本同期または拡張同期を構成するには、「同期要件の確認」の指示に従い、使用する環境で必要な同期要件が満たされていることを確認してください。また、Sun Java System Directory Serverと統合する前に、次の手順を実行する必要があります。
インポート操作とエクスポート操作の実行に十分な権限を持つユーザー・アカウントをSun Java System Directory Serverに作成する際に、tombstoneの読取りに十分な権限を必ず割り当てます。
Sun Java System Directory Serverで変更ログを有効にします。
Retro Change Logプラグインを有効にします。
expressSyncSetupコマンドを使用すると、Oracle Internet DirectoryとSun Java System Directory Server間の同期を迅速に確立できます。expressSyncSetupコマンドでは、デフォルトの設定を使用してすべての必須構成を自動的に実行し、インポート用とエクスポート用の2つの同期プロファイルも作成します。expressSyncSetupコマンドを使用してSun Java System Directory Serverと同期化するには、「expressSyncSetupを使用したインポートおよびエクスポートの同期プロファイルの作成」を参照してください。
Oracle Directory Integration Platformをインストールすると、サポート対象のサード・パーティ・ディレクトリごとにインポートおよびエクスポートの同期プロファイルのサンプルが自動的に作成されます。Sun Java System Directory Server用に作成された同期プロファイルのサンプルは、次のとおりです。
iPlanetImport: Sun Java System Directory ServerからOracle Internet Directoryに変更をインポートするためのプロファイル
iPlanetExport: Oracle Internet DirectoryからSun Java System Directory Serverに変更をエクスポートするためのプロファイル
expressSyncSetupコマンドまたはOracle Enterprise Manager Fusion Middleware Controlを使用して、追加の同期プロファイルを作成することもできます。インストール・プロセス時またはexpressSyncSetupコマンドによって作成されたインポートおよびエクスポートの同期プロファイルは、Oracle Internet DirectoryとSun Java System Directory Serverの統合をデプロイする際に使用する開始点としてのみ利用されます。デフォルトの同期プロファイルは事前定義の仮定を使用して作成されるため、次の手順を順序どおりに実行して、環境に合せてそれらをさらにカスタマイズする必要があります。
第16章「サード・パーティ・ディレクトリ統合の概念と考慮事項」、特に「Sun Java System Directory Server統合の概念」を読んで、統合を計画します。「同期プロファイルの作成」の指示に従い、既存のSun Java System Directory Serverテンプレート・プロファイルをコピーして、必ず新規のプロファイルを作成します。
「レルムの構成」の指示に従い、レルムを構成します。
「Access制御リストのカスタマイズ」で説明されているように、ACLをカスタマイズします。
Sun Java System Directory Serverと統合する場合は、次の属性レベル・マッピングがすべてのオブジェクトに対して必須です。
Targetdn:1: :person:orclsourceobjectdn: : orclSUNOneobject:
例20-1 Sun Java System Directory Serverのユーザー・オブジェクト用の属性レベル・マッピング
Cn:1: :person: cn: :person: sn:1: :person: sn: :person:
例20-2 Sun Java System Directory Serverのグループ・オブジェクト用の属性レベル・マッピング
Cn:1: :groupofname: cn:groupofuniquenames
この例では、Sun Java System Directory ServerのCnおよびsnは、それぞれOracle Internet Directoryのcnおよびsnにマップされます。
「マッピング・ルールのカスタマイズ」の指示に従い、属性マッピングをカスタマイズします。
削除の同期が必要で、マッピング・ルールに必須属性がある場合、tombstoneが正しく構成されていることを確認してください。
Sun Java System Directory Serverでtombstoneが構成されていることを確認するには、次のコマンドを実行します。
$ORACLE_HOME/bin/ldapsearch -h connected_directory_host \ -p connected_directory_port -D connected_directory_account -q \ -b source_domain -s sub "objectclass=nstombstone"
|
注意: パスワードを要求されます。 |
このコマンドにより、すべての削除済エントリの情報が得られます。
|
関連項目: tombstoneの構成の詳細は、Sun Java System Directory Serverのドキュメントを参照してください。 |
|
注意: レプリケーションが有効な場合、tombstoneはSun Java System Directory Serverに対して自動的に構成されます。 |
Oracle Internet DirectoryおよびSun Java System Directory Serverでは、同じ一連のパスワード・ハッシング技術をサポートしています。Oracle Internet DirectoryとSun Java System Directory Server間でパスワードを同期化するには、両方のディレクトリに対してSSLサーバー認証モードが構成され、次のマッピング・ルールがマッピング・ファイルに存在する必要があります。
Userpassword: : :person:userpassword: :person
「SSLモードでの同期用サード・パーティ・ディレクトリ・コネクタの構成」の指示に従い、SSLモードでの同期用にSun Java System Directory Serverを構成します。
「外部認証プラグインの構成」の指示に従い、Sun Java System Directory Server外部認証プラグインを構成します。
構成後タスクおよび継続的な管理タスクの詳細は、第23章「サード・パーティ・ディレクトリとの統合の管理」を参照してください。
