この章では、Oracle Directory Integration Platformについて説明し、その構成方法と管理方法を示します。内容は次のとおりです。
Fusion Middleware Controlを使用したOracle Directory Integration Platformの管理
manageDIPServerConfigを使用したOracle Directory Integration Platformの管理
関連項目: Oracle Directory Integration Platformにより実行される機能の概要は、「Oracle Directory Integration Platform」を参照してください。 |
注意: セキュリティ上の理由により、Oracle Internet Directoryと同じホスト上でOracle Directory Integration Platformを実行することをお薦めします。Oracle Directory Integration PlatformとOracle Internet Directoryを異なるホスト上で実行する場合は、SSLを使用して実行することをお薦めします。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。 |
この項では、Oracle Directory Integration Platformの構造および操作方法について説明します。内容は次のとおりです。
Oracle Directory Integration Platformでは、ディレクトリ同期プロファイルとディレクトリ・プロビジョニング・プロファイルという2種類のプロファイルを作成できます。ディレクトリ同期プロファイルは、Oracle Internet Directoryと外部システムとの間で同期が実行される方法を記述します。ディレクトリ同期プロファイルは、インポート・プロファイルとエクスポート・プロファイルの2種類を作成できます。インポート・プロファイルは、接続ディレクトリからOracle Internet Directoryに変更をインポートするのに対し、エクスポート・プロファイルは、Oracle Internet Directoryから接続ディレクトリに変更をエクスポートします。ディレクトリ・プロビジョニング・プロファイルは、Oracle Directory Integration Platformからディレクトリ対応アプリケーションに送信されるプロビジョニング関連の通知の性質を記述します。プロビジョニング・プロファイルも、アプリケーションのデータソースに発生した変更についてOracle Internet Directoryに通知するように構成されていることがあります。
プロファイルの各タイプは特殊な種類のディレクトリ統合プロファイルで、Oracle Directory Integration Platformと外部システムとの通信方法と通信内容を記述するOracle Internet Directory内のエントリです。
Oracle Internet Directoryマルチマスター・レプリケーション環境では、あるOracle Internet Directoryノード上のディレクトリ統合プロファイルへの変更は、その他のOracle Internet Directoryノードでは自動的にレプリケートされません。このため、Oracle Internet Directoryマルチマスター・レプリケーション環境でOracle Directory Integration Platformを実装する場合は、この項で説明されている考慮事項に注意する必要があります。
Oracle Internet Directoryプライマリ・ノード上のディレクトリ同期プロファイルは自動的にOracle Internet Directoryのセカンダリ・ノードにレプリケートされないため、プライマリ・ノードのプロファイルをセカンダリ・ノードに対して定期的に手動でコピーする必要があります。これにより、プライマリ・ノード上で問題が発生した場合、ディレクトリ同期プロファイルをセカンダリ・ノードで実行できます。ただし、ディレクトリ同期プロファイルのorcllastapplicedchangenumber
属性に割り当てられた値は、プロファイルがあるOracle Internet Directoryノードのローカルな値です。つまり、ディレクトリ同期プロファイルをあるOracle Internet Directoryノードから別のノードにコピーしても、同期またはイベント伝播の正しい状態は維持されません。
あるノードから別のノードにインポート・プロファイルをコピーすると、値が接続ディレクトリから取得されるため、lastchangenumber
属性は不適切なものになります。しかし、エクスポート・プロファイルをターゲット・ノードにコピーした後には、lastchangenumber
属性をターゲット・ノードの値で次のように更新する必要があります。
同期プロファイルを無効化します。
ldapsearch
コマンドを使用して、ターゲット・ノードでlastchangenumber
属性の値を取得します。
ldapsearch
を使用して、プロファイル・エントリのLDIFダンプを取得します。
ldapadd
を使用して、他のOracle Internet Directoryインスタンスにプロファイルを追加します。
manageSyncProfilesコマンドのupdatechgnum
操作を使用して、ターゲット・ノードにコピーしたエクスポート・プロファイルのlastchangenumber
属性を、手順2で取得した値で更新します。
同期プロファイルを有効化します。
デフォルトのOracle Internet Directoryマルチマスター・レプリケーション環境では、Oracle Directory Integration PlatformはプライマリOracle Internet Directoryと同じ場所にインストールされます。プライマリ・ノードに障害が発生した場合、そのノードにあるすべてのプロファイルに対するイベント伝播は停止します。イベントはキューに入れられ、プライマリ・ノードの停止中にも失われませんが、どのアプリケーションにも伝播されません。プライマリ・ノードが停止したときにも、イベントが引き続き伝播されることを保証するには、Oracle Internet Directoryマルチマスター環境で、バージョン1.0およびバージョン2.0のディレクトリ・プロビジョニング・プロファイルを他のセカンダリ・ノードにコピーする必要があります。バージョン3.0のディレクトリ・プロビジョニング・プロファイルは、自動的にレプリケートされます。
注意: プロビジョニング・プロファイルは、アプリケーションがインストールされた直後、Oracle Internet Directoryでユーザー変更が行われる前にしか、プライマリ・ノードからセカンダリ・ノードに対してコピーされません。 |
ディレクトリ・プロビジョニング・プロファイルをプライマリ・ノードからセカンダリ・ノードにコピーするには、manageSyncProfilesコマンドのupdate
操作を使用します。
関連項目: manageSyncProfilesコマンドの詳細は、『Oracle Identity Managementユーザー・リファレンス』のOracle Directory Integration Platformの章を参照してください。 |
この項では、Oracle Directory Integration Platformで、ステータスおよび登録情報を表示する方法について説明します。内容は次のとおりです。
dipStatusユーティリティを使用したOracle Directory Integration Platformのステータスの表示
ldapsearchユーティリティを使用したOracle Directory Integration Platformの登録情報の表示
ORACLE_HOME/binディレクトリにあるdipStatus
ユーティリティを使用すると、Oracle Directory Integration Platformのステータスと、登録済かどうかを確認できます。
注意:
|
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Server。
-p | -port
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | -wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードを要求されます。パスワードをコマンドライン引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトから |
-help
コマンドの使用方法のヘルプを提供します。
ldapsearch
ユーティリティを使用してOracle Directory Integration Platformコンポーネントの登録情報を表示するには、エントリでベース検索を実行します。たとえば、次のようになります。
ldapsearch -p 3060 -h my_host -D binddn -q -b cn=odisrv,cn=Registered Instances,cn=Directory Integration Platform,cn=Products,cn=OracleContext -s base
注意: パスワードを要求されます。 |
この例の検索では、次の情報が返されます。
Dn: cn=odisrv,cn=Registered Instances,cn=Directory Integration Platform,cn=Products,cn=OracleContext userpassword: {SHA}+vk5wSvnVoXCBCRyBWJnH0S33zc= orclaci: access to entry by self (add,delete,browse,proxy); access to attr=(*) by self (search,read,write,compare) orclversion: 3.0 cn: odisrv objectclass: orclodiserver; top; authpassword;oid: {SASL/MD5}2NOnGTWkSP9c1w7R/o9Djw== {SASL/MD5-DN}ezUTC3k7rSL41ZxdxhlXxw==;{SASL/MD5-U}kEQcl+/AZEXVukeA5YPnog==
この項では、Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformを管理する方法について説明します。内容は次のとおりです。
Fusion Middleware Controlを使用したOracle Directory Integration Platformのランタイム情報の表示
Fusion Middleware Controlを使用したOracle Directory Integration Platformの起動
Fusion Middleware Controlを使用したOracle Directory Integration Platformの停止
Fusion Middleware Controlを使用したOracle Directory Integration Platformのロギングの管理
Fusion Middleware Controlを使用したOracle Directory Integration Platformの監査
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformコンポーネントのランタイム情報を表示するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、ランタイム情報を表示するDIPコンポーネントを選択します。Oracle Enterprise Manager Fusion Middleware Controlで、Oracle Directory Integration Platformのホームページが開きます。表示される情報は次のとおりです。
同期プロファイル: 構成されている同期プロファイルの概要。
プロビジョニング・プロファイル: 構成されているプロビジョニング・プロファイルの概要。
リソース使用率: Oracle Directory Integration Platformホストで使用されているCPUおよびメモリーの割合を示すグラフ。
ヒント: Oracle Enterprise Manager Fusion Middleware ControlでOracle Directory Integration Platformの他のページに移動した後にOracle Directory Integration Platformのホームページに戻るには、「DIPサーバー」メニューで「ホーム」をクリックします。 |
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformを起動するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、起動するDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「コントロール」を選択し、次に「起動」をクリックします。
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformを停止するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、停止するDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「コントロール」を選択し、次に「停止」をクリックします。
確認ダイアログが表示されたら、「はい」をクリックします。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Directory Integration Platform Serverのリフレッシュ間隔およびOracle Internet Directoryへの接続設定を構成するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。Oracle Enterprise Manager Fusion Middleware Controlのホームページが開きます。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、管理するDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「サーバー・プロパティ」をクリックします。「DIPサーバー構成」ページが表示されます。次のリストに、「DIPサーバー構成」ページのフィールドとオプションを示します。
サーバー・リフレッシュ間隔(秒): Oracle Directory Integration Platformサーバーがプロファイル構成の詳細をリフレッシュする頻度を制御する時間間隔(単位は秒)。
OID接続設定: Oracle Directory Integration Platform構成を保存するOracle Internet Directoryのホスト名とポートを入力します。
OID接続SSLモード: Directory Integration PlatformがOracle Internet Directoryへの接続に使用するモードを指定します。
注意: Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Internet Directoryに接続する場合、Directory Integration Platformが使用するモードに、SSLなし(モード0)を指定することはできません。 |
サポートされているオプションは次のとおりです。
No-auth(モード1): Directory Integration PlatformはSSLによる暗号化のみを使用してOracle Internet Directoryに接続します。
サーバーのみ(モード2): Directory Integration Platformは、Oracle Internet Directoryに接続し、Oracle Internet Directoryによってのみ認証されます。
注意: 「サーバーのみ(モード2)」オプションを選択する場合、コマンドラインから、SSLモード2のサーバーのみ認証用にOracle Directory Integration Platformを構成する必要があります。詳細は「SSLモード2のサーバーのみ認証用のOracle Directory Integration Platformの構成」を参照してください。 |
オプションで、「接続テスト」をクリックすると、ターゲットのOracle Internet Directoryへの接続をテストできます。
必要な変更を行い「適用」ボタンをクリックします。
Oracle Enterprise Manager Fusion Middleware Controlでは、Oracle Fusion Middlewareコンポーネント全体のログ・ファイルの一覧表示、検索および構成を行えます。Oracle Enterprise Manager Fusion Middleware Controlからログ・ファイルを表示することや、別のツールを使用して、ログ・ファイルをダウンロードして表示することができます。WLSTコマンドライン・ツールを使用してログ・ファイルを一覧表示および検索することも可能です。
関連項目: Oracle Enterprise Manager Fusion Middleware Controlを使用したロギングの詳細情報は、Oracle Fusion Middlewareの管理者ガイドを参照してください。 |
Oracle Directory Integration Platformは、コンプライアンス、監視および分析のためにOracle Application Server 11gインフラストラクチャの共通監査フレームワークを使用します。Oracle Enterprise Manager Fusion Middleware Controlを使用すると、Oracle Directory Integration Platformの監査データやイベント設定の表示、検索および管理が可能です。監査の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』を参照してください。
WebLogic Scripting Tool(WLST)を使用してコマンドラインからOracle Directory Integration Platformを起動または停止するには、WebLogic Admin Serverに接続して、startApplication("DIP")
コマンドまたはstopApplication("DIP")
コマンドを実行します。
関連項目:
|
DIPサーバー構成管理ユーティリティmanageDIPServerConfig
を使用すると、Oracle Directory Integration Platform Server構成を管理できます。manageDIPServerConfig
は、ORACLE_HOME/binディレクトリにあります。
注意:
|
manageDIPServerConfig
manageDIPServerConfig {get | set} -h HOST -p PORT -D wlsuser -attribute {sslmode | refreshinterval | quartzthreadcount | oidhostport | keystorelocation} [-value attribute_value] [-help]
get | set
実行する操作。
get: DIP構成ファイルに含まれるconfigパラメータの現在の値を表示します。
set: DIP構成ファイルに含まれるconfigパラメータの値を更新します。
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | -wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードを要求されます。パスワードをコマンドライン引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからmanageDIPServerConfig を実行する必要がある場合、Oracle WebLogic Serverパスワードを含むファイルから、入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。 |
-attr | -attribute
manageDIPServerConfig
の操作実行対象である属性を特定します。manageDIPServerConfig
の操作実行対象となることができる属性のリストと説明を次に示します。
sslmode
: Oracle Directory Integration PlatformがOracle Internet Directoryへの接続に使用するSSLモード。サポートされている値は、1と2です。SSLモード1(認証なし)を使用してOracle Internet Directoryに接続するには、1を使用します。SSLモード2(サーバーのみ認証)を使用してOracle Internet Directoryに接続するには、2を使用します。
refreshinterval
: Oracle Directory Integration Platformサーバーがプロファイル構成の詳細をリフレッシュする頻度を制御する時間間隔(単位は秒)。
quartzthreadcount
: 並行してスケジュールできるプロファイル数を制御します。デフォルト値は15です。15以上のプロファイルがある場合、それに応じてquartzthreadcount
属性を増やします。
oidhostport
: Oracle Directory Integration Platformに関連付けられるOracle Internet Directoryのホストとポートを特定します。oidhostport属性の値を、host:port
という形式で指定します。
keystorelocation
: Oracle Directory Integration Platformがデプロイされているホストに基づいて、Javaキーストア(JKS)への絶対パスを指定します。keystorelocation
属性の値を指定する場合、必ず適切なパス・セパレータを使用してください(UNIXおよびLinuxプラットフォームでは「/」、Windowsプラットフォームでは「\」)。
-val | -value
属性に対して設定される値。このパラメータはset操作に必要です。
-help
コマンドの使用方法のヘルプを提供します。
manageDIPServerConfig get -h myhost.mycompany.com -p 7005 -D login_ID \
-attr sslmode
manageDIPServerConfig set -h myhost.mycompany.com -p 7005 -D login_ID \
-attr sslmode -val 2
manageDIPServerConfig set -h myhost.mycompany.com -p 7005 -D login_ID \ -attr oidhostport -value OID_host:OID_SSL_port
$ORACLE_HOME/common/bin/ディレクトリからWLSTを使用して、SSLモード2のサーバーのみ認証用にOracle Directory Integration Platformを構成するには、次の手順を実行します。
WLSTシェルからWLST createWallet
コマンドを使用して、ウォレットを作成します。
WLSTシェルからWLST addSelfSignedCertificate
コマンドを使用して、適切な自己署名証明書をウォレットに追加します。
次のパラメータを含むsslparam.propファイルを作成します。
SSLEnabled=true AuthenticationType=Server SSLVersions=nzos_Version_3_0 Ciphers=SSL_RSA_WITH_RC4_128_SHA KeyStore=oidwallet
WLSTシェルからWLST configureSSL
コマンドおよびsslparam.propファイルを使用して、SSLモード2のサーバーのみ認証用にOracle Directory Integration Platformを構成します。
WLSTシェルからWLST listWalletObjects
コマンドを使用して、ウォレットからOracle Internet DirectoryのDNを取得します。Oracle Internet DirectoryのDNは、次の例と類似しています。
Index : 2
DN : CN=ldap.oracle.com
Alias : alias
ORACLE_INSTANCEディレクトリでウォレットの場所を検索して突き止めます。
orapki wallet export
コマンドを使用して、ウォレットから証明書を抽出します。orapki
は、$ORACLE_HOME/binディレクトリにあります。
たとえば、次のようになります。
orapki wallet export -wallet ORACLE_INSTANCE/path_to_wallet -dn CN=ldap.oracle.com -cert path_to_certificate
keytool
を使用してJavaキーストア内に証明書を配置します。keytool
は、$JAVA_HOME/binディレクトリにあります。
たとえば、次のようになります。
keytool –importcert –trustcacerts –alias alias –file path_to_certificate -keystore path_to_keystore
注意:
|
ldapbind
コマンドを使用してOracle Internet DirectoryのSSL接続を検証します。
manageDIPServerConfig
コマンドを次のように使用して、SSLモードを2に変更します。
manageDIPServerConfig set -attribute sslmode -h HOST -p PORT -D WLS_USER \ -value 2
注意: sslmodeのデフォルト値は1です。 |
manageDIPServerConfig
コマンドを使用して、JKSの場所やパスワードを、次のように構成します。
JKSの場所を、次のようなコマンドを使用して、手順8で使用した場所に設定します。
manageDIPServerConfig set -attribute keystorelocation \ -value LOCATION_OF_JKS_FILE -h HOST -p PORT -D WLS_USER
注意: LOCATION_OF_JKS_FILE: Oracle Directory Integration Platformがデプロイされているホストに基づく、JKSへの絶対パスを表します。JKSへの絶対パスを指定する場合、必ず適切なパス・セパレータを使用してください(UNIXおよびLinuxプラットフォームでは「/」、Windowsプラットフォームでは「\」)。 |
次のようなコマンドを使用して、環境に適したユーザー名、パスワードおよびサーバーURLを入力し、JKSパスワードを設定します。
cd $ORACLE_HOME/common/bin; sh wlst.sh wls:/offline> connect() wls:/base_domain/serverConfig> createCred(map="dip", key="jksKey", user="jksuser", password="PASSWORD_FOR_MAP")
Oracle Directory Integration Platformを実行しているOracle WebLogic Managed Serverを再起動します。
Oracle Directory Integration Platformは、SSLを使用してOracle Internet Directoryおよび接続ディレクトリと接続できます。Oracle Internet Directoryへの接続に認証なしのSSLを使用する場合、証明書は不要です。ただし、サーバー認証のあるSSLを使用してOracle Internet Directoryに接続する場合は、LDAPサーバーに接続するためのトラスト・ポイント証明書が必要です。Oracle Directory Integration Platformは、証明書がJavaキーストア(JKS)にあるものと想定します。
manageDIPServerConfig
コマンドにkeystorelocation
引数を付けて使用することで、キーストアの場所を管理でき、WLST資格証明ストア・コマンドにmap="dip"
引数およびkey="jksKey"
引数を付けて使用することで、キーストアのパスワードを管理できます。
関連項目:
|
高可用性アーキテクチャでは、Oracle Directory Integration Platformは、2台以上のサーバーをクラスタの一部として含んでいるOracle WebLogicクラスタにデプロイされます。Oracle WebLogic Serverは、クラスタ内のOracle Directory Integration Platformを起動、停止および監視します。デフォルトで、Oracle Directory Integration Platformは、その基盤となるOracle WebLogicクラスタの高可用性機能を利用します。ハードウェア障害などの障害の場合には、セッション状態を、障害が発生したノードの作業を再開できる他のクラスタ・ノードが利用できます。
高可用性環境では、ノード・マネージャがOracle WebLogic Serverを監視するように構成されます。障害の場合は、ノード・マネージャがOracle WebLogic Serverを再起動します。ノード・マネージャがサーバーを再起動できない場合、フロントエンドとなっているロード・バランシング・ルーターがクラスタ内のWebLogicインスタンスの障害を検出し、稼働インスタンスに通信量をルーティングします。
Oracle Internet Directoryがアクティブ/アクティブ高可用性構成にデプロイされる場合、そのクラスタに属するすべてのOracle Internet Directoryインスタンスが、同一のデータベースを共有します。1つのOracle Internet DirectoryノードでOracle Directory Integration Platformに対して行われたあらゆる変更が、クラスタ内のすべてのOracle Internet Directoryインスタンスに自動的に伝播されます。
関連項目: 高可用性を目的とした場合のOracle Directory Integration Platformの詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。 |