| Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド 11gリリース1(11.1.1) B55922-01 |
|
 戻る |
 次へ |
この章では、一般的に使用されているディレクトリ・テクノロジおよびID管理テクノロジと統合するためのOracle Virtual Directoryの構成方法について説明します。この章の内容は次のとおりです。
|
注意: Oracle Virtual Directoryは、ほとんどのLDAP対応テクノロジとともに使用できます。この章では、一般的な統合を簡略化するOracle Virtual Directoryの機能を中心に説明します。その他のOracle Virtual Directoryの統合に関しては、Oracleサポートに連絡してください。 |
Oracle Directory Services Managerの「クイック・コンフィギュレーション・ウィザード: Oracle Access Managerの設定」を使用して、Oracle Access Manager(OAM)と統合するためにOracle Virtual Directoryを構成するには、次の手順を実行します。「クイック・コンフィギュレーション・ウィザード: Oracle Access Managerの設定」は、必要なローカル・ストア・アダプタや、Oracle Access Managerが使用するデータ・リポジトリに適切なアダプタ・タイプ(LDAP、データベースまたはカスタム)を作成する手順を1つずつ説明します。
Oracle Directory Services Managerにログインします。
タスク選択バーから「拡張」を選択します。拡張ナビゲーション・ツリーが表示されます。
拡張ツリーの「クイック構成ウィザード」エントリを開きます。
ツリーで、「Oracle Access Managerの設定」をクリックします。「Oracle Access Managerの設定」画面が表示されます。
「ローカル・ストア・アダプタ(LSA)の作成に使用されるネームスペース」フィールドにローカル・ストア・アダプタのネームスペースをDN形式入力し、「適用」をクリックします。「アダプタ」画面が表示されます。
Oracle Access Managerが使用するデータ・リポジトリのアダプタを作成します。Oracle Access Managerが使用するデータ・リポジトリに適切な、次のいずれかの手順を実行します。
Oracle Access Manager用のLDAPアダプタを作成する手順:
「OAM LDAPアダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - LDAPアダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにLDAPアダプタの一意の名前を入力します。「アダプタ・テンプレート」リストからオプションを選択して、LDAPアダプタの適切なテンプレートを選択します。Microsoft Active DirectoryまたはSun Java System Directory Serverと統合していない場合は、「デフォルト」を選択します。詳細は、「アダプタ・テンプレートの概要」を参照してください。「次へ」をクリックします。「OAM用のOVDを準備中 - LDAPアダプタの作成」ダイアログ・ボックスの「接続」画面が表示されます。
OAM用にLDAPアダプタを構成するには、「LDAPアダプタの作成」の手順5〜15を実行します。
設定の概要を確認し、「終了」をクリックしてOAM用のLDAPアダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいLDAPアダプタが表示されます。
Oracle Access Manager用のデータベース・アダプタを作成する手順:
「OAMデータベース・アダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - データベース・アダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにデータベース・アダプタの一意の名前を入力します。「アダプタ・テンプレート」リストからオプションを選択して、データベース・アダプタの適切なテンプレートを選択します。詳細は、「アダプタ・テンプレートの概要」を参照してください。「次へ」をクリックします。「OAM用のOVDを準備中 - データベース・アダプタの作成」ダイアログ・ボックスの「接続」画面が表示されます。
OAM用にデータベース・アダプタを構成するには、「データベース・アダプタの作成」の手順5〜10を実行します。
設定の概要を確認し、「終了」をクリックしてOAM用のデータベース・アダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいデータベース・アダプタが表示されます。
Oracle Access Manager用のカスタム・アダプタを作成する手順:
「OAMカスタム・アダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - カスタム・アダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにカスタム・アダプタの一意の名前を入力します。
「アダプタ接尾辞/ネームスペース」フィールドに有効なベースDNを入力します。
「OAM用のOVDを準備中 - カスタム・アダプタの作成」ダイアログ・ボックスで、「次へ」をクリックします。プラグインの構成画面が表示されます。
「名前」フィールドにプラグインの名前を入力します。
「クラス」フィールドにプラグインのクラス名を入力するか、「参照」をクリックし、「プラグインの選択」ボックスからプラグインを選択して「OK」をクリックします。
「パラメータ」表の「作成」ボタンをクリックして「名前」リストからパラメータを選択し、「値」フィールドにパラメータの値を入力して、プラグインにパラメータと値を追加します。
プラグインの構成画面の「次へ」をクリックします。
設定の概要を確認し、「終了」をクリックしてOAM用のカスタム・アダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいカスタム・アダプタが表示されます。
Oracle Directory Services Managerのタスク選択バーから「アダプタ」を選択し、「アダプタ」ツリーで構成するアダプタの名前をクリックして、Oracle Access Managerが使用するデータ・リポジトリのアダプタを構成します。
Oracle Access Managerの統合アダプタの設定を変更するには、次のようにします。
「Oracle Access Managerの設定」ページで、変更するアダプタの名前をクリックします。ページの下部にアダプタの設定が表示されます。
適切なアダプタ設定を変更します。アダプタ設定の詳細は、第12章「Oracle Virtual Directoryのアダプタの作成および構成」を参照してください。
アダプタ設定画面の下部にある「適用」をクリックして、変更内容を適用します。
Oracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合すると、外部LDAPリポジトリに格納されたユーザーIDを活用することによって、認証機能や認可機能が強化および簡略化され、追加の同期も必要ありません。
この項では、Oracle Virtual DirectoryとOracleのエンタープライズ・ユーザー・セキュリティとの統合方法について説明します。この項の内容は次のとおりです。
ユーザーIDを格納している外部ディレクトリに関係なく、まずこの項の手順を実行する必要があります。この項の手順を実行したら、「外部ディレクトリとOracle Virtual Directoryとの統合」を参照して統合を続行します。
エンタープライズ・ユーザー・セキュリティと統合するためにOracle Virtual Directoryを準備するには、次の手順を実行します。
ORACLE_HOME/ovd/eus/ディレクトリのバックアップ・コピーを作成します。エンタープライズ・ユーザー・セキュリティ統合で必要な構成ファイルはすべてeusディレクトリにあります。eusディレクトリのバックアップコピーを作成すると、使用する環境に基づいているオリジナルのeusディレクトリにあるファイルをテンプレートとして編集しつつ、オリジナル・ファイルのコピーを保持しておくことができます。
存在しない場合は、第11章「Oracle Virtual Directoryリスナーの作成および管理」を参照して、SSLで保護されたLDAPリスナーを作成します。
subschemasubentryプラグインおよびDynamic Groupsプラグインをグローバル・サーバー・プラグインとして作成および追加します。サーバー・プラグインを作成する手順は、「グローバル・サーバー・プラグインの管理」を参照してください。
|
重要: Oracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合するためのこの先の手順は、ユーザーIDを格納している外部ディレクトリにより異なります。「外部ディレクトリとOracle Virtual Directoryとの統合」を参照して、エンタープライズ・ユーザー・セキュリティとの統合を続行します。 |
この項では、Oracle Virtual Directoryを、特定の外部ディレクトリと使用するためのエンタープライズ・ユーザー・セキュリティと統合する手順を説明します。ユーザーIDを格納している外部ディレクトリに固有の適切な項の手順を実行してください。この項の内容は次のとおりです。
Oracle Virtual Directoryを、Active Directoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。この手順は、「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」の項の手順を完了してから実行します。
Oracle Virtual Directoryを、Microsoft Active Directoryとともに使用するためのエンタープライズ・ユーザー・セキュリティと統合するには、この項で説明されている次のタスクを実行します。
Active Directoryを統合用に構成するには、次の手順を実行します。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
Oracle Virtual Directoryに含まれるJavaクラスを使用して、エンタープライズ・ユーザー・セキュリティが必要とするスキーマをActive Directory内にロードします。次のコマンドを実行します。ORACLE_HOME/jdk/binディレクトリでJava実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN
|
注意: 有効なActive DirectoryドメインDNは、たとえばdc=oracle,dc=comです。 |
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグイン、oidpwdcn.dllをインストールします。
oidpwdcn.dllファイルを見つけ、Active DirectoryのWINDOWS\system32ディレクトリにコピーします。
regedt32を使用してレジストリを編集し、oidpwdcn.dllを有効にします。コマンド・プロンプトでregedt32と入力して、regedt32を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\レジストリにあるNotification Packagesエントリの末尾にoidpwdcnを追加します。次に例を示します。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
変更したら、Active Directoryシステムを再起動します。
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグインを検証します。
Active Directoryユーザーのパスワードを変更します。
パスワードを変更したユーザーをActive Directoryで検索します。orclCommonAttribute属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
すべてのActive Directoryユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
Oracle Database Advanced Securityを使用するWindows 2000またはWindows 2003上でKerberos認証を使用している場合、『Oracle Database Advanced Security管理者ガイド』を参照してすぐにKerberos認証を構成する必要があります。
Kerberos認証を構成した後、次の手順に進む前に、Active Directoryユーザー資格証明を使用してデータベースにログインできることを確認します。
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを3つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタのいずれかのアダプタ接尾辞がcn=OracleContextであり、別のローカル・ストア・アダプタのアダプタ接尾辞がcn=OracleSchemaVersionであり、また別のローカル・ストア・アダプタのアダプタ接尾辞がdc=comである必要があります。ただし、Active Directoryドメインがdc=example,dc=netのようである場合は、アダプタ接尾辞はdc=netである必要があります。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次の手順を実行し、エントリを更新してローカル・ストア・アダプタにロードします。
次のコマンドを使用し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張します。loadOVD.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うOracleコンテキストおよびスキーマ・バージョンに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
dn、dc、o、orclsubscriberfullnameおよびmemberurl属性など、独自のネームスペースを使用するには、realmRoot.ldifを更新します。Active DirectoryとOracle Virtual Directoryの間にDNマッピングがある場合、Oracle Virtual Directoryから認識できるDNを使用します。realmRoot.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
realmRoot.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うディレクトリ・ネームスペースにあるコア・エントリが含まれます。realmRoot.ldifファイルには、登録されたエンタープライズ・ユーザー・セキュリティ・データベースが含まれる動的グループも含まれ、機密性の高いエンタープライズ・ユーザー・セキュリティ関連の属性(ユーザーのエンタープライズ・ユーザー・セキュリティのハッシュ化されたパスワード属性など)への保護されたアクセスが可能になっています。
次のコマンドを使用して、realmRoot.ldifファイルにあるドメイン・ルート情報をOracle Virtual Directoryにロードします。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a –f realmRoot.ldif
次の設定を使用し、適切なリモート・ベースおよびマップされたネームスペースも含め、Active Directoryのホスト情報を入力して、エンタープライズ・ユーザー・セキュリティ用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
アダプタにEUS_ActiveDirectoryテンプレートを使用します。
「SSL/TLSの使用」オプションを有効化します。
次の手順を実行して、エンタープライズ・ユーザー・セキュリティ・プラグインを構成します。
エンタープライズ・ユーザー・セキュリティ用のLDAPアダプタにアクセスし、「プラグイン」タブをクリックします。
ObjectclassMapperプラグインを選択して、「ネームスペースの作成」ボタンをクリックし、「ネームスペース」フィールドにcn=OracleContext,<ドメイン名>と入力して「OK」ボタンをクリックします。
ActiveDirectory Passwordプラグインを選択して、「ネームスペースの作成」ボタンをクリックし、「ネームスペース」フィールドにcn=OracleContext,<ドメイン名>と入力します。
「ネームスペースの作成」ボタンを再度クリックし、「ネームスペース」フィールドにcn=users,<ドメイン名>と入力して「OK」ボタンをクリックします。
オプションとして、Active Directoryのアカウント・ロックアウト・ポリシーに応じてActive Directoryのユーザーに対して強制的にアカウント・ロックアウトを実施する場合、EUSActiveDirectoryプラグインでADLockoutDurationプラグイン・パラメータを設定する必要があります。
Active Directoryドメインを問い合せ、次のコマンドを使用してその特定のドメインの値を確認します。
ORACLE_HOME/bin/ldapsearch -h Active_Directory_Host_Name -D bindDN \ -q –s base -b Active_Directory_Domain objectclass="*" lockoutDuration
EUSActiveDirectoryプラグインをクリックして、新規パラメータの作成ボタンをクリックし、「ADLockoutDuration」を選択します。「パラメータ」フィールドにロックアウト継続時間の値を入力して、「OK」ボタンをクリックします。必ず、Active Directoryから戻されたのと同一の値を正確に使用します。たとえば、Active Directoryから戻された値がlockoutDuration=-18000000000の場合は、値が負でもかまわずに、「パラメータ」フィールドに-18000000000と入力します。
「マッピングの作成」ボタンをクリックし、EUSActiveDirectory.pyを選択して一意のマッピング名を入力します。次に、「ネームスペースの作成」ボタンをクリックし、「ネームスペース」フィールドにcn=users,<ドメイン名>と入力して「OK」ボタンをクリックします。
「適用」ボタンをクリックします。
統合用にアクセス制御リスト(ACL)を構成します。各ACLの詳細は、「エンタープライズ・ユーザー・セキュリティとの統合のためのアクセス制御リストの構成」を参照してください。ACLを構成したら、手順7に進んで統合を続行します。
次の設定を使用し、Active Directoryのホスト情報を入力して、エンタープライズ・ユーザー・セキュリティ管理グループ用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
アダプタにActive_Directoryテンプレートを使用します。
リモート・ベースとしてcn=OracleContextAdmins,cn=users, <YOUR Active_Directory_Domain_DN>を使用します。
マップされたネームスペースに次の内容を使用します。
cn=OracleContextAdmins,cn=Groups,cn=OracleContext,<YOUR Mapped DOMAIN DN in Oracle Virtual Directory>
次の手順を実行して、エンタープライズ・ユーザー・セキュリティ管理グループ・アダプタのマッピングとプラグインを構成します。
拡張タブ→「Active_Directory_to_inetOrg」→「適用」ボタンをクリックして、マッピングをデプロイします。
「アダプタ」タブをクリックし、エンタープライズ・ユーザー・セキュリティ管理グループ用のアダプタをクリックして、「プラグイン」タブをクリックします。次に、「マッピングの作成」ボタンをクリックして「ActiveDirectorytoinetOrg.py」を選択し、一意のマッピング名を入力して「OK」をクリックします。
「マッピングの作成」ボタン→「選択」ボタンをクリックし、EUSMemberDNMappingプラグインを選択します。次に、「OK」をクリックして一意のプラグイン名を入力し、localDomainDNおよびremoteDomainDNパラメータを作成して「OK」をクリックします。DNマッピングを構成した場合、localDomainDNとremoteDomainDNは異なっていることがあります。
「適用」ボタンをクリックします。
|
注意: Active Directoryで変更した直後は、グループ・メンバーシップの変更が表示されない場合があります。これは、Active Directoryのグループ・メンバーシップのリフレッシュ間隔の構成によるものです。 |
次の手順を実行して、ルートOracleコンテキストを使用してレルム情報を更新します。
Active Directoryドメイン名を使用するには、modifyRealm.ldifファイルを編集します。Oracle Virtual DirectoryとActive Directoryの間のDNマッピングを使用する場合、Oracle Virtual Directory内にマップされているDNを使用します。
次のコマンドを使用して、レルムの情報を更新します。
ORACLE_HOME/bin/ldapmodify –h Oracle_Virtual_Directory_Host –p port \ -D bindDN -q –v –f modifyRealm.ldif
|
注意: Active Directory-Oracle Virtual Directory構成を更新するには、modifyRealm.ldifファイルを編集し、更新されたmodifyRealm.ldifファイルを使用してldapmodifyを実行します。 |
これで、エンタープライズ・セキュリティとの統合、およびMicrosoft Active Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。統合プロセスを継続し、『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照してエンタープライズ・ユーザー・セキュリティを構成します。
Active DirectoryにユーザーIDが格納されている場合にOracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合し、Oracle Internet Directoryにメタデータを格納するには、次の手順を実行します。
ORACLE_HOME/ovd/eus/ディレクトリのバックアップ・コピーを作成します。エンタープライズ・ユーザー・セキュリティ統合で必要な構成ファイルはすべてeusディレクトリにあります。eusディレクトリのバックアップコピーを作成すると、使用する環境に基づいているオリジナルのeusディレクトリにあるファイルをテンプレートとして編集しつつ、オリジナル・ファイルのコピーを保持しておくことができます。
存在しない場合は、第11章「Oracle Virtual Directoryリスナーの作成および管理」を参照して、SSLで保護されたLDAPリスナーを作成します。
Dynamic Groupsプラグインをグローバル・サーバー・プラグインとして作成および追加します。サーバー・プラグインを作成する手順は、「グローバル・サーバー・プラグインの管理」を参照してください。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
Oracle Virtual Directoryに含まれるJavaクラスを使用して、エンタープライズ・ユーザー・セキュリティが必要とするスキーマをActive Directory内にロードします。次のコマンドを実行します。ORACLE_HOME/jdk/binディレクトリでJava実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN -commonattr
|
注意: 有効なActive DirectoryドメインDNは、たとえばdc=oracle,dc=comです。 |
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグイン、oidpwdcn.dllをインストールします。
oidpwdcn.dllファイルを見つけ、Active DirectoryのWINDOWS\system32ディレクトリにコピーします。
regedt32を使用してレジストリを編集し、oidpwdcn.dllを有効にします。コマンド・プロンプトでregedt32と入力して、regedt32を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\レジストリにあるNotification Packagesエントリの末尾にoidpwdcnを追加します。次に例を示します。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
変更したら、Active Directoryシステムを再起動します。
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグインを検証します。
Active Directoryユーザーのパスワードを変更します。
パスワードを変更したユーザーをActive Directoryで検索します。orclCommonAttribute属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
すべてのActive Directoryユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
Oracle Database Advanced Securityを使用するWindows 2000またはWindows 2003上でKerberos認証を使用している場合、『Oracle Database Advanced Security管理者ガイド』を参照してすぐにKerberos認証を構成する必要があります。
Kerberos認証を構成した後、次の手順に進む前に、Active Directoryユーザー資格証明を使用してデータベースにログインできることを確認します。
次のコマンドを使用して、Oracle Internet Directory LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h OID_Host_Name -p OID_Port -D bindDN \ -q -v -f OIDSchema.ldif
次の設定を使用し、Oracle Internet Directoryのホスト情報を入力して、新しいLDAPアダプタを4つ作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
最初の3つの新規LDAPアダプタでは、次の点に注意してください。
Oracle_Internet_Directoryアダプタ・テンプレートを使用します。
1つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=OracleContextであることが必要です。
2つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=OracleSchemaVersionであることが必要です。
3つ目のアダプタのリモート・ベースおよびマップされたネームスペースはdc=subschemasubentryであることが必要です。
4つ目の新規LDAPアダプタでは、次の点に注意してください。
EUS_OIDアダプタ・テンプレートを使用します。
4つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=oraclecontext,your_OID_realmであることが必要です。
次の設定を使用して、新規ローカル・ストア・アダプタを作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
Local_Storage_Adapterテンプレートを使用します。
Oracle Internet Directoryレルムがdc=example,dc=netの場合、「アダプタ接尾辞」をdc=netにする必要があります。それ以外の場合は、「アダプタ接尾辞」をdc=comにする必要があります。
dn、dc、o、orclsubscriberfullnameおよびmemberurl属性など、独自のネームスペースを使用するには、realmRoot.ldifを更新します。Active DirectoryとOracle Virtual Directoryの間にDNマッピングがある場合、Oracle Virtual Directoryから認識できるDNを使用します。
realmRoot.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うディレクトリ・ネームスペースにあるコア・エントリが含まれます。realmRoot.ldifファイルには、登録されたエンタープライズ・ユーザー・セキュリティ・データベースが含まれる動的グループも含まれ、機密性の高いエンタープライズ・ユーザー・セキュリティ関連の属性(ユーザーのエンタープライズ・ユーザー・セキュリティのハッシュ化されたパスワード属性など)への保護されたアクセスが可能になっています。
次のコマンドを使用して、realmRoot.ldifファイルにあるドメイン・ルート情報をOracle Virtual Directoryにロードします。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a –f realmRoot.ldif
次の設定を使用し、リモート・ベースを含むActive Directoryのホスト情報を入力して、Active Directoryにユーザー検索ベース用の新規LDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
アダプタにEUS_ActiveDirectoryテンプレートを使用します。
リモート・ベースに、cn=users,dc=adrealm,dc=comなど、Active Directoryのコンテナを入力します。
Active Directoryユーザー検索ベース・アダプタにマッピングを作成します。これには、「マッピングの作成」ボタンをクリックし、EUSActiveDirectory.pyを選択して一意のマッピング名を入力します。次に、「OK」ボタンをクリックして、「適用」ボタンをクリックします。
cn=Common,cn=Products,cn=oraclecontext,<OIDレルム> の下にあるorclcommonusersearchbaseに、マップされたネームスペースを追加します。次のようなLDIFファイルを使用します。
dn: cn=Common,cn=Products,cn=oraclecontext,dc=oracle,dc=com changetype: modify add: orclcommonusersearchbase orclcommonusersearchbase: cn=users,dc=adrealm,dc=com
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
| ターゲットDN | cn=subschemasubentry |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=subschemasubentry |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | subtree |
| 適用先 | authpassword |
| 拒否 | すべての操作 |
| アクセス | public |
|
注意: 次のACLは、dc=comのACLリスト内で最後のACLである必要があります。 |
| ターゲットDN | dc=com |
| 有効範囲 | subtree |
| 適用先 | authpassword |
| 権限 | 検索と読取り |
| アクセス | cn=EUSDBGroup,<マップされたOIDドメイン>のDNを持つグループ |
次のように、OracleContextAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
| ターゲットDN | cn=OracleContext,<ドメイン> |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
| ターゲットDN | cn=OracleContext,<ドメイン> |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
cn=OracleContext,<ドメイン>配下のデータを保護するようにOracle Internet DirectoryのACLを設定します。
Oracle Virtual Directoryを、Sun Java System Directory Serverに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。この手順は、「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」の項の手順を完了してから実行します。
Sun Java System Directory Serverとともに使用するためにOracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合するには、この項で説明されている次のタスクを実行します。
Sun Java System Directory Serverを統合用に構成するには、次の手順を実行します。
次のコマンドを使用して、iPlanet LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./iPlanetSchema.ldif
次の手順を実行して、iPlanetにレルムを作成します。
realmiPlanet.ldifファイルを開き、文字列dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、realmiPlanet.ldifファイルを使用してiPlanetにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./realmiPlanet.ldif
新しいユーザー・コンテナまたはグループ・コンテナを作成するか、既存のユーザー・コンテナまたはグループ・コンテナを使用して、ユーザー・コンテナとグループ・コンテナを構成します。
新しいユーザー・コンテナとグループ・コンテナの作成
iPlanetContainers.ldifファイルを開き、文字列dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、iPlanetContainers.ldifファイルを使用してiPlanetにユーザーおよびグループのコンテナを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./iPlanetContainers.ldif
既存のユーザー・コンテナとグループ・コンテナの使用
useiPlanetContainers.ldifファイルをオープンします。
文字列cn=users,dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するユーザー・コンテナの名前に置換します。
文字列cn=groups,dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するグループ・コンテナの名前に置換します。
|
注意: ユーザー・コンテナとグループ・コンテナが、作成しているものと同一のドメインとレルムにあることを確認します。たとえば、ドメインがdc=superdemo,dc=netの場合、ou=people,dc=ultrademo,dc=orgは有効なユーザー・コンテナではありません。 |
次のコマンドを実行し、useiPlanetContainers.ldifファイルを使用してiPlanetにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./useiPlanetContainers.ldif
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを3つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタのいずれかのアダプタ接尾辞がcn=OracleContextであり、別のローカル・ストア・アダプタのアダプタ接尾辞がcn=OracleSchemaVersionであり、また別のローカル・ストア・アダプタのアダプタ接尾辞がdc=comである必要があります。ただし、Sun Java System Directoryドメインがdc=example,dc=netのようである場合は、アダプタ接尾辞はdc=netである必要があります。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次の手順を実行し、エントリを更新してローカル・ストア・アダプタにロードします。
次のコマンドを使用し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張します。loadOVD.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
dn、dc、o、orclsubscriberfullnameおよびmemberurl属性など、独自のネームスペースを使用するには、realmRoot.ldifを更新します。Sun Java System Directory ServerとOracle Virtual Directoryの間にDNマッピングがある場合、Oracle Virtual Directoryから認識できるDNを使用します。realmRoot.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
realmRoot.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うディレクトリ・ネームスペースにあるコア・エントリが含まれます。realmRoot.ldifファイルには、登録されたエンタープライズ・ユーザー・セキュリティ・データベースが含まれる動的グループも含まれ、機密性の高いエンタープライズ・ユーザー・セキュリティ関連の属性(ユーザーのエンタープライズ・ユーザー・セキュリティのハッシュ化されたパスワード属性など)への保護されたアクセスが可能になっています。
次のコマンドを使用して、realmRoot.ldifファイルにあるドメイン・ルート情報をOracle Virtual Directoryにロードします。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a –f realmRoot.ldif
次の設定を使用し、適切なリモート・ベースおよびマップされたネームスペースも含め、Sun Java System Directory Serverのホスト情報を入力して、エンタープライズ・ユーザー・セキュリティ用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
アダプタにEUS_Sunテンプレートを使用します。
プロキシDNユーザーが、Sun Java System Directory ServerのuserPassword属性を読み取れる必要があります。
エンタープライズ・ユーザー・セキュリティ用のLDAPアダプタを作成すると、DBCAにより、cn=oraclecontext, <ドメイン名>の下にユーザーが追加されます。このユーザーが、Sun Java System Directory ServerのuserPassword属性を読み取れることを確認してください。
次の手順を実行して、エンタープライズ・ユーザー・セキュリティ・プラグインを構成します。
エンタープライズ・ユーザー・セキュリティ用のLDAPアダプタにアクセスし、「プラグイン」タブをクリックします。
ObjectclassMapperプラグインを選択して、「ネームスペースの作成」ボタンをクリックし、「ネームスペース」フィールドにcn=OracleContext,<ドメイン名>と入力して「OK」ボタンをクリックします。
「マッピングの作成」ボタンをクリックし、EUS_Sun.pyを選択して一意のマッピング名を入力します。次に、「ネームスペースの作成」ボタンをクリックし、「ネームスペース」フィールドにcn=users,<ドメイン名>と入力して「OK」ボタンをクリックします。
「適用」ボタンをクリックします。
統合用にアクセス制御リスト(ACL)を構成します。各ACLの詳細は、「エンタープライズ・ユーザー・セキュリティとの統合のためのアクセス制御リストの構成」を参照してください。ACLを構成したら、手順7に進んで統合を続行します。
次の手順を実行して、ルートOracleコンテキストを使用してレルム情報を更新します。
Sun Java System Directory Serverドメイン名を使用するには、modifyRealm.ldifファイルを編集します。Oracle Virtual DirectoryとSun Java System Directory Serverの間のDNマッピングを使用する場合、Oracle Virtual Directory内にマップされているDNを使用します。
次のコマンドを使用して、レルムの情報を更新します。
ORACLE_HOME/bin/ldapmodify –h Oracle_Virtual_Directory_Host –p port \ -D bindDN –q –v –f modifyRealm.ldif
|
注意: Sun Java System Directory Server-Oracle Virtual Directory構成を更新するには、modifyRealm.ldifファイルを編集し、更新されたmodifyRealm.ldifファイルを使用してldapmodifyを実行します。 |
これで、エンタープライズ・セキュリティ用にOracle Virtual Directoryを構成してSun Java System Directory Serverとともに使用するための手順は完了です。統合プロセスを継続し、『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照してエンタープライズ・ユーザー・セキュリティを構成します。
Oracle Virtual Directoryを、Novell eDirectoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。この手順は、「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」の項の手順を完了してから実行します。
Oracle Virtual Directoryを、Novell eDirectoryとともに使用するためのエンタープライズ・ユーザー・セキュリティと統合するには、この項で説明されている次のタスクを実行します。
Novell eDirectoryを統合用に構成するには、次の手順を実行します。
次のコマンドを使用して、eDirectory LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h eDirectory_Host_Name -p eDirectory_Port \ -D bindDN -q -v -f eDirSchema.ldif
次のコマンドを実行して、groupofuniquenamesオブジェクト・クラスのX-NDS_CONTAINMENTを変更します。
ORACLE_HOME/bin/ldapmodify -h eDirectory_Host_Name -p eDirectory_Port \ -D bindDN -q -v -f eDirgoun.ldif
次の手順を実行して、Novell eDirectoryにレルムを作成します。
eDirRealm.ldifファイルを開き、文字列dc=oracle,dc=comのすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、eDirRealm.ldifを使用してeDirectoryにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h eDirectory_Host_Name -p eDirectory_Port \ -D bindDN -q -v -f eDirRealm.ldif
次の手順を実行して、ユーザーおよびグループ・コンテナを構成します。
eDirUserContainer.ldifファイルをオープンします。
文字列ou=users,dc=oracle,dc=comのすべてのインスタンスを、使用するユーザー・コンテナの名前に置換します。
文字列ou=groups,dc=oracle,dc=comのすべてのインスタンスを、使用するグループ・コンテナの名前に置換します。
|
注意: ユーザー・コンテナとグループ・コンテナが、作成しているものと同一のドメインとレルムにあることを確認します。たとえば、ドメインがdc=superdemo,dc=netの場合、ou=people,dc=ultrademo,dc=orgは有効なユーザー・コンテナではありません。 |
次のコマンドを実行し、ユーザーおよびグループ・コンテナを構成します。
ORACLE_HOME/bin/ldapmodify -h eDirectory_Host_Name -p eDirectory_Port \ -D bindDN -q -v -f eDirUserContainer.ldif
eDirectoryでユニバーサル・パスワードを有効化し、管理者がユーザー・パスワードを取得できるようにします。詳細は、Novell eDirectoryのパスワード管理に関するドキュメントを参照してください。
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Novell開発者コミュニティのWebサイトから、NMASツールキットをダウンロードします。
NMAStoolkit.jarファイルをORACLE_HOME/ovd/jlib/ディレクトリにコピーします。
Oracle Virtual Directoryサーバーを再起動します。
Oracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを3つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタのいずれかのアダプタ接尾辞がcn=OracleContextであり、別のローカル・ストア・アダプタのアダプタ接尾辞がcn=OracleSchemaVersionであり、また別のローカル・ストア・アダプタのアダプタ接尾辞がdc=comである必要があります。ただし、eDirectoryドメインがdc=example,dc=netのようである場合は、アダプタ接尾辞はdc=netである必要があります。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次の手順を実行し、エントリを更新してローカル・ストア・アダプタにロードします。
次のコマンドを使用し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張します。loadOVD.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
dn、dc、o、orclsubscriberfullnameおよびmemberurl属性など、独自のネームスペースを使用するには、realmRoot.ldifを更新します。Novell eDirectoryとOracle Virtual Directoryの間にDNマッピングがある場合、Oracle Virtual Directoryから認識できるDNを使用します。realmRoot.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
realmRoot.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うディレクトリ・ネームスペースにあるコア・エントリが含まれます。realmRoot.ldifファイルには、登録されたエンタープライズ・ユーザー・セキュリティ・データベースが含まれる動的グループも含まれ、機密性の高いエンタープライズ・ユーザー・セキュリティ関連の属性(ユーザーのエンタープライズ・ユーザー・セキュリティのハッシュ化されたパスワード属性など)への保護されたアクセスが可能になっています。
次のコマンドを使用して、realmRoot.ldifファイルにあるドメイン・ルート情報をOracle Virtual Directoryにロードします。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a –f realmRoot.ldif
次の設定を使用し、適切なリモート・ベースおよびマップされたネームスペースも含め、Novell eDirectoryのホスト情報を入力して、エンタープライズ・ユーザー・セキュリティ用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
アダプタにEUS_eDirectoryテンプレートを使用します。
「SSL/TLSの使用」オプションを有効化します。
次の手順を実行して、エンタープライズ・ユーザー・セキュリティ・プラグインを構成します。
エンタープライズ・ユーザー・セキュリティ用のLDAPアダプタにアクセスし、「プラグイン」タブをクリックします。
ObjectclassMapperプラグインを選択して、「ネームスペースの作成」ボタンをクリックし、「ネームスペース」フィールドにcn=OracleContext,<ドメイン名>と入力して「OK」ボタンをクリックします。
「マッピングの作成」ボタンをクリックし、EUS_EDir.pyを選択して一意のマッピング名を入力し、「OK」ボタンをクリックします。
「適用」ボタンをクリックします。
統合用にアクセス制御リスト(ACL)を構成します。各ACLの詳細は、「エンタープライズ・ユーザー・セキュリティとの統合のためのアクセス制御リストの構成」を参照してください。ACLを構成したら、手順9に進んで統合を続行します。
次の手順を実行して、ルートOracleコンテキストを使用してレルム情報を更新します。
Novell eDirectoryドメイン名を使用するには、modifyRealm.ldifファイルを編集します。Oracle Virtual DirectoryとNovell eDirectoryの間のDNマッピングを使用する場合、Oracle Virtual Directory内にマップされているDNを使用します。
次のコマンドを使用して、レルムの情報を更新します。
ORACLE_HOME/bin/ldapmodify –h Oracle_Virtual_Directory_Host –p port \ -D bindDN –q –v –f modifyRealm.ldif
これで、エンタープライズ・セキュリティとの統合のためにOracle Virtual Directoryを構成し、Novell eDirectoryとともに使用するための手順は完了です。統合プロセスを継続し、『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照してエンタープライズ・ユーザー・セキュリティを構成します。
Oracle Virtual Directoryを、Oracle Internet Directoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。この手順は、「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」の項の手順を完了してから実行します。
Oracle Virtual Directoryを、Oracle Internet Directoryとともに使用するためのエンタープライズ・ユーザー・セキュリティと統合するには、この項で説明されている次のタスクを実行します。
Oracle Internet Directoryを統合するために構成するには、次のコマンドを使用して、Oracle Internet Directory LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h OID_Host_Name -p OID_Port -D bindDN -q -v \ -f ./OIDSchema.ldif
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを3つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタのいずれかのアダプタ接尾辞がcn=OracleContextであり、別のローカル・ストア・アダプタのアダプタ接尾辞がcn=OracleSchemaVersionであり、また別のローカル・ストア・アダプタのアダプタ接尾辞がdc=comである必要があります。ただし、Oracle Internet Directoryドメインがdc=example,dc=netのようである場合は、アダプタ接尾辞はdc=netである必要があります。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次の手順を実行し、エントリを更新してローカル・ストア・アダプタにロードします。
次のコマンドを使用し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張します。loadOVD.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
dn、dc、o、orclsubscriberfullnameおよびmemberurl属性など、独自のネームスペースを使用するには、realmRoot.ldifを更新します。Oracle Internet DirectoryとOracle Virtual Directoryの間にDNマッピングがある場合、Oracle Virtual Directoryから認識できるDNを使用します。realmRoot.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
realmRoot.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うディレクトリ・ネームスペースにあるコア・エントリが含まれます。realmRoot.ldifファイルには、登録されたエンタープライズ・ユーザー・セキュリティ・データベースが含まれる動的グループも含まれ、機密性の高いエンタープライズ・ユーザー・セキュリティ関連の属性(ユーザーのエンタープライズ・ユーザー・セキュリティのハッシュ化されたパスワード属性など)への保護されたアクセスが可能になっています。
次のコマンドを使用して、realmRoot.ldifファイルにあるドメイン・ルート情報をOracle Virtual Directoryにロードします。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a –f realmRoot.ldif
EUS_OIDアダプタ・テンプレートを使用し、適切なリモート・ベースおよびマップされたネームスペースも含め、Oracle Internet Directoryのホスト情報を入力して、エンタープライズ・ユーザー・セキュリティ用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
統合用にアクセス制御リスト(ACL)を構成します。各ACLの詳細は、「エンタープライズ・ユーザー・セキュリティとの統合のためのアクセス制御リストの構成」を参照してください。ACLを構成したら、手順6に進んで統合を続行します。
次の手順を実行して、ルートOracleコンテキストを使用してレルム情報を更新します。
Oracle Internet Directoryドメイン名を使用するには、modifyRealm.ldifファイルを編集します。Oracle Virtual DirectoryとOracle Internet Directoryの間のDNマッピングを使用する場合、Oracle Virtual Directory内にマップされているDNを使用します。
次のコマンドを使用して、レルムの情報を更新します。
ORACLE_HOME/bin/ldapmodify –h Oracle_Virtual_Directory_Host –p port -D \ bindDN -q –v –f modifyRealm.ldif
|
注意: Oracle Internet Directory-Oracle Virtual Directory構成を更新するには、modifyRealm.ldifファイルを編集し、更新されたmodifyRealm.ldifファイルを使用してldapmodifyを実行します。 |
これで、エンタープライズ・セキュリティ用にOracle Virtual Directoryを構成してOracle Internet Directoryとともに使用するための手順は完了です。統合プロセスを継続し、『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照してエンタープライズ・ユーザー・セキュリティを構成します。
この項では、ユーザーIDの格納に使用している外部リポジトリに関係なく、エンタープライズ・ユーザー・セキュリティとの統合のためにOracle Virtual Directoryに構成する必要のあるアクセス制御リスト(ACL)について説明します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
エンタープライズ・ユーザー・セキュリティと統合するためにOracle Virtual DirectoryのACLを構成するには、次の手順を実行します。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | subtree |
| 適用先 | authpassword |
| 拒否 | すべての操作 |
| アクセス | public |
|
注意: 次のACLは、dc=comのACLリスト内で最後のACLである必要があります。 |
| ターゲットDN | dc=com |
| 有効範囲 | subtree |
| 適用先 | authpassword |
| 権限 | 検索と読取り |
| アクセス | cn=EUSDBGroup,dc=dbdemo,dc=orion,dc=comのDNを持つグループ
注意: |
次のように、OracleContextAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
| ターゲットDN | cn=OracleContext,<ドメイン> |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
| ターゲットDN | cn=OracleContext,<ドメイン> |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
cn=OracleContext,<ドメイン>配下のデータを保護するように外部ディレクトリのACLを設定します。
グループcn=OracleContextAdmins,cn=Groups,cn=OracleContext,<ドメイン>への書込み権限を付与します。
複数のドメインに含まれるエンタープライズ・ユーザー・セキュリティのユーザーがデータベースに対して認証できるようにOracle Virtual Directoryを構成するには、次の手順を実行します。
「外部ディレクトリとOracle Virtual Directoryとの統合」を参照して、1つ目のドメインを構成します。
|
注意: エンタープライズ・ロールを使用していない場合は、1つ目のドメインに任意のディレクトリ・サーバーを使用できます。ただし、エンタープライズ・ロールを使用する予定がある場合は、1つ目のドメインとしてOracle Internet Directoryを使用することをお薦めします。Microsoft Active DirectoryおよびNovell eDirectoryにはDN構文検証機能があり、2つ目のドメインのDNが1つ目のドメインに存在しない場合は、この構成を完了できません。 |
存在しない場合は、次の手順を実行して、2つ目のドメインにレルム・ルートを追加します。
次の例を使用してLDIFファイルを作成します。VARIABLESを2つ目のドメインの適切なDNおよびorclsubscriberfullnameと置き換えます。
dn: DN_OF_SECOND_DOMAIN dc: DC_OF_SECOND_DOMAIN o: O_OF_SECOND_DOMAIN objectclass: domain objectclass: organization objectclass: orclSubscriber orclsubscriberfullname: ORCLSUBSCRIBERFULLNAME_OF_SECOND_DOMAIN orclVersion: 90400
新しいLDIFファイルでOracle Virtual Directoryを更新します。次に例を示します。
ORACLE_HOME/bin/ldapadd -h Oracle_Virtual_Directory_Host –p Port \ -D bindDN -q -v -f LDIF_File
ディレクトリ・タイプに固有のEUS_Directory-Typeアダプタ・テンプレートを使用して、2つ目のドメインに新しいLDAPアダプタを作成します。2つ目のドメインのホスト名、ポート番号、プロキシDNおよびパスワードを入力します。リモート・ベースとマップされたネームスペースも必ず構成してください。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
アダプタの「プラグイン」タブにある「マッピングの作成」ボタンをクリックして、2つ目のドメインのLDAPアダプタ用にマッピングを構成します。使用するマッピングは、使用しているディレクトリ・タイプにより異なります。
|
注意: Oracle Internet Directoryを使用している場合は、マッピングを構成しないでください。 |
Novell eDirectoryの場合はEUS_EDir.pyを使用します。
Active Directoryの場合はEUS_ActiveDirectory.pyを使用します。
Sun Java System Directory Serverの場合はEUS_Sun.pyを使用します。
アクセス制御リストを更新して、ユーザー・エントリを保護し、データベース・アカウントがパスワードにアクセスできるようにします。1つ目のドメイン用に構成されたアクセス制御リストで、2つ目のドメインのマップされたネームスペースが網羅されている場合は、この手順をスキップします。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | 2つ目のドメインのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | 2つ目のドメインのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | 2つ目のドメインのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | authpassword |
| 拒否 | すべての操作 |
| アクセス | public |
|
注意: 2つ目のドメインのマップされたネームスペースの場合、次のACLがACLリストの最後のACLであることが必要です。 |
| ターゲットDN | 2つ目のドメインのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | authpassword |
| 権限 | 検索と読取り |
| アクセス | cn=EUSDBGroup,dc=dbdemo,dc=orion,dc=comのDNを持つグループ
注意: |
次の手順を実行して、新しく追加されたネームスペースでOracleコンテキストを更新します。
次の例のようなLDIFファイルを作成し、dc=dbdemo,dc=orion,dc=comを1つ目のドメインのDNで置き換えます。
dn: cn=Common,cn=Products,cn=OracleContext,dc=dbdemo,dc=orion,dc=com
changetype: modify
add: orclcommonusersearchbase
orclcommonusersearchbase: Mapped_Namespace_for_Second_Domain
LDIFファイルを使用して、Oracle Virtual Directoryを更新します。次に例を示します。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p Port \ -D bindDN -q -v -f LDIF_File
バインドの試行が何度か失敗したら、LDAPサーバーによりユーザー・アカウントをロックできます。Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合では、このロックアウト機能を使用し、次のようにして、バックエンドのLDAPサーバーのパスワード・ロックアウト・ポリシーを適用できます。
Oracleデータベースへの不正なログインでは、バックエンドのLDAPサーバーにログインの失敗が記録されます。
Oracleデータベースへの適切なログインにより、バックエンドのLDAPサーバーのログインの失敗数がリセットされます。
|
注意: この機能は、Active Directoryを使用する統合では使用できません。 |
ロックされたユーザー・アカウントを使用して、Oracleデータベースにログインすることはできません。
Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合を実行したら、次の手順を実行して、ユーザー・アカウントのロックアウトを有効化できます。
「アダプタ・プラグインの管理」を参照して、エンタープライズ・ユーザー・セキュリティ統合のLDAPアダプタ用にeuslockoutプラグインを作成および構成します。euslockoutプラグインを構成するには、次の手順を実行する必要があります。
バックエンドのLDAPサーバーに応じて、Active Directoryの場合はActiveDirectory、Sun Java System Directory Serverの場合はiPlanet、Novell eDirectoryの場合はeDirectoryなどの値を使用し、directoryTypeパラメータを作成します。
ユーザー・コンテナの名前を使用して、ネームスペースを作成します。
バックエンドのLDAPサーバーとしてActive DirectoryまたはSun Java System Directory Serverを使用している場合は、エンタープライズ・ユーザー・セキュリティ統合のLDAPアダプタに追加のプラグイン・パラメータを構成する必要があります。バックエンドのLDAPサーバーとしてNovell eDirectoryを使用している場合は、手順3に進みます。
Active Directoryの場合
Active Directoryドメインを問い合せ、その特定のドメインのADLockoutDuration値を確認します。次に例を示します。
ORACLE_HOME/bin/ldapsearch -h Active_Directory_Host_Name -D bindDN \ -q –s base -b Active_Directory_Domain objectclass="*" lockoutDuration
問合せで戻された値を使用して、EUSActiveDirectoryプラグインにADLockoutDurationパラメータを設定します。EUSActiveDirectoryプラグインをクリックして、新規パラメータの作成ボタンをクリックし、「ADLockoutDuration」を選択します。「パラメータ」フィールドにロックアウト継続時間の値を入力して、「OK」ボタンをクリックします。必ず、Active Directoryから戻されたのと同一の値を正確に使用します。たとえば、Active Directoryから戻された値がlockoutDuration=-18000000000の場合は、値が負でもかまわずに、「パラメータ」フィールドに-18000000000と入力します。
Sun Java System Directory Serverの場合
Sun Java System Directory Serverを問い合せ、passwordMaxFailure値を確認します。次に例を示します。
ORACLE_HOME/bin/ldapsearch -h Sun_Java_System_Directory_Server_Name \ -D bindDN -q -s base -b "cn=password policy,cn=config" objectclass="*" passwordmaxfailure
問合せで戻された値を使用して、EUSiPlanetプラグインにpasswordMaxFailureパラメータを設定します。EUSiPlanetプラグインをクリックし、新規パラメータの作成ボタンをクリックします。passwordMaxFailureを選択し、「パラメータ」フィールドに値を入力します。「OK」をクリックします。
次のアクセス制御リストを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | Your_User_Container |
| 有効範囲 | subtree |
| 適用先 | orclaccountstatusevent |
| 拒否 | すべての操作 |
| アクセス | public |
| ターゲットDN | Your_User_Container |
| 有効範囲 | subtree |
| 適用先 | orclaccountstatusevent |
| 権限 | 書込み |
| アクセス | cn=EUSDBGroup,dc=dbdemo,dc=orion,dc=comのDNを持つグループ
注意: |
Oracle Internet Directory、Sun Directory ServerおよびNovell eDirectoryの場合は、エンタープライズ・ユーザー・セキュリティのLDAPアダプタに構成されたプロキシ・ユーザーに、アカウント・ロックアウト関連の属性を変更する権限があることを確認してください。
|
注意: 適切なログイン後のアカウント・ロックアウト・カウンタのリセットは、Active Directoryを使用したOracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合では使用できません。かわりに、Active Directoryには、指定された期間が経過した後に、アカウント・ロックアウト・カウンタをリセットする機能があります。このオプションは、ロックアウト・カウンタが無制限に累積されるのを防ぐために使用できます。 |
次に、Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合の既知の制限事項を示します。
統合では次の機能がサポートされません。
ドメインDNを含むActive DirectoryのドメインがOracle Virtual Directoryにマップされている場合の、Microsoft Active DirectoryおよびOracle Virtual Directoryの間のDNマッピング。たとえば、Active DirectoryのDNがdc=us,dc=oracle,dc=comで、Oracle Virtual Directoryのdc=oracle,dc=comへのマップを試行している場合、このタイプのDNマッピングはサポートされません。
OracleContextAdmins以外の管理グループ
Oracle Internet Directory Delegated Administration ServiceへのEnterprise Security Managerコンソール
パスワード・ポリシー
クライアント証明書の認証
Sun Java System Directroy ServerおよびOracle Internet Directoryとともに使用するために統合する場合のKerberos認証
ユーザー移行ユーティリティ(UMU)
複数ドメイン環境
JDBCシン・ドライバ - 必ずOCIドライバを使用
Active Directory、Sun Java System Directory ServerおよびOracle Internet Directoryが組み合された環境
Enterprise Security Managerインタフェースでの制限
リストされたデータベースにActive Directoryの廃棄エントリが含まれることがあります。
データベースおよびOracle Internet Directoryのバージョン情報は利用できません。
この項では、Oracle Virtual DirectoryとOracle Database Net Servicesを統合し、Oracle Internet Directory、Microsoft Active DirectoryおよびSun Java System Directory Serverのネーム・サービスを集中管理する方法を説明します。この項の内容は次のとおりです。
Oracle Virtual Directoryには、Oracleのネット・サービス・データベース製品と統合する機能が備わっています。Oracle Virtual Directoryをネット・サービスと統合すると、外部LDAPリポジトリに格納されたサービス・エントリを活用することによって、追加の同期を行わずに、ネーム・サービスが強化および簡略化されます。
この項では、Oracle Virtual Directoryとネット・サービスのすべての統合に必要な共通の手順をリストします。統合を開始するには、まずこの項の手順を実行し、Oracle Internet Directory、Microsoft Active DirectoryおよびSun Java System Directory Serverに固有の後続のいずれかの項に進みます。Oracle Internet Directory、Microsoft Active Directory、Sun Java System Directory Serverのいずれと使用するためにOracle Virtual DirectoryをNet Servicesと統合するかによって、説明されている手順が異なります。使用する環境に該当する手順のみを実行してください。
Oracle Virtual DirectoryとNet Servicesの統合プロセスを開始するには、次の手順を実行します。
ORACLE_HOME/ovd/eus/ディレクトリのバックアップ・コピーを作成します。
subschemasubentryプラグインをグローバル・サーバー・プラグインとして作成します。サーバー・プラグインを作成する手順は、「グローバル・サーバー・プラグインの管理」を参照してください。
Microsoft Active Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。Microsoft Active Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合する手順には、次のタスクが含まれます。
Active Directoryを統合用に構成するには、次の手順を実行します。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
Oracle Virtual Directoryに含まれるJavaクラスを使用して、Net Servicesが必要とするスキーマをActive Directory内にロードします。次のコマンドを実行します。ORACLE_HOME/jdk/binディレクトリでJava実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN
|
注意: 有効なActive DirectoryドメインDNは、たとえばdc=oracle,dc=comです。 |
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
一方のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContextで、もう一方のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersionであることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldifファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
次の設定を使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Active Directoryのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
ONames_ActiveDirectoryアダプタ・テンプレートを使用します。
「バインドのみ」の「パススルー資格証明」オプションを選択します。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
次のように、OracleNetAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
| ターゲットDN | cn=OracleContext,<マップされたOracle Virtual Directoryのネームスペース> |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
| ターゲットDN | cn=OracleContext,<マップされたOracle Virtual Directoryのネームスペース> |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
次の設定を使用し、ポート番号、プロキシDNおよびパスワードも含め、Active Directoryのホスト情報を入力して、OracleNetAdmins管理グループ用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
Active_Directoryアダプタ・テンプレートを使用します。
リモート・ベースとしてcn=OracleNetAdmins,cn=users, <YOUR Active_Directory_Domain_DN>を入力します。
マップされたネームスペースとして、cn=OracleNetAdmins,cn=OracleContext,<Oracle Virtual DirectoryのマップされたドメインDN>を入力します。
次の手順を実行して、OracleNetAdmins管理グループ・アダプタのマッピングとプラグインを構成します。
拡張タブ→「Active_Directory_to_inetOrg」→「適用」ボタンをクリックして、マッピングをデプロイします。
「アダプタ」タブをクリックし、OracleNetAdmins管理グループ用のアダプタをクリックして、「プラグイン」タブをクリックします。次に、「マッピングの作成」ボタンをクリックして「Active_Directory_to_inetOrg.py」を選択し、一意のマッピング名を入力して「OK」をクリックします。
「プラグインの作成」ボタン→「選択」ボタンをクリックし、EUSMemberDNMappingプラグインを選択します。次に、「OK」をクリックして一意のプラグイン名を入力し、localDomainDNおよびremoteDomainDNパラメータを作成して「OK」をクリックします。DNマッピングを構成した場合、localDomainDNとremoteDomainDNは異なっていることがあります。
「適用」ボタンをクリックします。
|
注意: Active Directoryで変更した直後は、グループ・メンバーシップの変更が表示されない場合があります。これは、Active Directoryのグループ・メンバーシップのリフレッシュ間隔の構成によるものです。 |
これで、Net Servicesとの統合、およびMicrosoft Active Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。統合プロセスを継続し、『Oracle Database Net Services管理者ガイド』を参照してOracle Net Servicesを構成します。
Sun Java System Directory Serverとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。Sun Java System Directory Serverとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合する手順には、次のタスクが含まれます。
Sun Java System Directory Serverを統合用に構成するには、次の手順を実行します。
次のコマンドを使用して、iPlanet LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./iPlanetSchema.ldif
次の手順を実行して、iPlanetにレルムを作成します。
realmiPlanet.ldifファイルを開き、文字列dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、realmiPlanet.ldifファイルを使用してiPlanetにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./realmiPlanet.ldif
新しいユーザー・コンテナまたはグループ・コンテナを作成するか、既存のユーザー・コンテナまたはグループ・コンテナを使用して、ユーザー・コンテナとグループ・コンテナを構成します。
新しいユーザー・コンテナとグループ・コンテナの作成
iPlanetContainers.ldifファイルを開き、文字列dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、iPlanetContainers.ldifファイルを使用してiPlanetにユーザーおよびグループのコンテナを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./iPlanetContainers.ldif
既存のユーザー・コンテナとグループ・コンテナの使用
useiPlanetContainers.ldifファイルをオープンします。
文字列cn=users,dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するユーザー・コンテナの名前に置換します。
文字列cn=groups,dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するグループ・コンテナの名前に置換します。
|
注意: ユーザー・コンテナとグループ・コンテナが、作成しているものと同一のドメインとレルムにあることを確認します。たとえば、ドメインがdc=superdemo,dc=netの場合、ou=people,dc=ultrademo,dc=orgは有効なユーザー・コンテナではありません。 |
次のコマンドを実行し、useiPlanetContainers.ldifファイルを使用してiPlanetにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./useiPlanetContainers.ldif
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
一方のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContextで、もう一方のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersionであることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldifファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
次の設定を使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Sun Java System Directory Serverのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
ONames_Sunアダプタ・テンプレートを使用します。
「バインドのみ」の「パススルー資格証明」オプションを選択します。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
次のように、OracleNetAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
| ターゲットDN | cn=OracleContext,<マップされたOracle Virtual Directoryのネームスペース> |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
| ターゲットDN | cn=OracleContext,<マップされたOracle Virtual Directoryのネームスペース> |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
cn=OracleContext,<ドメイン>配下のデータを保護するように外部ディレクトリのACLを設定します。
これで、Net Servicesとの統合、およびSun Java System Directory Serverとの使用のためにOracle Virtual Directoryを構成する手順は完了です。統合プロセスを継続し、『Oracle Database Net Services管理者ガイド』を参照してOracle Net Servicesを構成します。
Oracle Internet Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
一方のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContextで、もう一方のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersionであることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldifファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
ONames_OIDアダプタ・テンプレートを使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Oracle Internet Directoryのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | subtree |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
これで、Net Servicesとの統合、およびOracle Internet Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。統合プロセスを継続し、『Oracle Database Net Services管理者ガイド』を参照してOracle Net Servicesを構成します。
