この章の次の各項では、Oracle Identity Managerホスト・コンピュータでのコネクタおよびLDAP Gatewayのデプロイ手順を説明します。
ターゲット・システムの複数のインストールに対してコネクタを構成する場合は、次の項を参照してください。
関連項目: ターゲット・システムでのReconciliation AgentおよびProvisioning Agentのデプロイ手順は、第3章「IBM OS/400でのコネクタのデプロイ」を参照してください。 |
表2-1に、コネクタ・インストール・メディアの内容を示します。
表2-1 コネクタを構成するファイルおよびディレクトリ
インストール・メディアのファイルまたはディレクトリ | ファイルおよび内容の説明 |
---|---|
etc/LDAP Gateway/ldapgateway.zip |
LDAP Gatewayのデプロイに必要なファイル |
etc/Provisioning and Reconciliation Connector/OIMIDFEX.SAVF |
ミッドレンジ・システムでのデプロイのためにターゲット・システムに配置されるコネクタ・エージェントのファイル |
lib/as400-adv-agent-recon.jar |
リアルタイム・リコンシリエーションの有効化に必要なファイルが含まれているJARファイル |
lib/as400-adv-provisioning.jar |
プロビジョニングの有効化に必要なファイルが含まれているJARファイル |
lib/as400Connection.properties |
Oracle Identity Managerとターゲット・システムの間の初期リコンシリエーションの実行のコントロールを指定するプロパティ・ファイル |
resourcesディレクトリにあるファイル |
これらの各リソース・バンドルには、コネクタで使用される言語固有の情報が含まれます。 注意: リソース・バンドルは、Oracle Identity Managerのユーザー・インタフェースに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、Oracle Identity Manager管理およびユーザー・コンソールに表示されるGUI要素のラベルおよびメッセージが含まれます。 |
scriptsディレクトリにあるファイル:
|
Oracle Identity Managerでの最初の(初期)リコンシリエーションの実行に使用されるファイル |
scripts/user.txt |
初期リコンシリエーション時に使用されるユーザー・データが含まれているファイルのサンプル このファイルの使用に関する情報は、「初期リコンシリエーションの実行」を参照してください。 |
xml/oimAs400AdvConnector.xml |
このXMLファイルには、リコンシリエーションおよびプロビジョニングに関するコネクタ・コンポーネントの定義が含まれています。これらのコンポーネントは次のとおりです。
|
xml/AS400TrustedXellerateUser.xml |
信頼できるソース・リコンシリエーションのコネクタのコンポーネント定義が含まれるXMLファイル |
表2-2に示すように、次のコネクタ・ファイルをOracle Identity Managerホスト・コンピュータのコピー先ディレクトリにコピーします。
注意: これらのファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」を参照してください。この表に記載されていないファイルはコピーしないでください。これらのファイルは、後のデプロイメント手順で使用します。 |
表2-2 コネクタ・ファイルのコピー
ファイル | コピー先 |
---|---|
LDAP_INSTALL_DIR LDAP GatewayをインストールするOracle Identity Managerホスト・コンピュータ上のディレクトリです。LDAP Gatewayのインストールの詳細は、「LDAP Gatewayのインストールおよび構成」を参照してください。 |
|
lib/as400Connection.properties |
LDAP_INSTALL_DIR/etc |
lib/as400-adv-provisioning.jar scriptsディレクトリにあるファイル:
|
OIM_HOME/JavaTasks/ |
OIM_HOME/connectorResources/ |
|
xml/AS400TrustedXellerateUser.xml |
OIM_HOME/XLIntegrations/as400/xml/ |
Oracle Identity Managerをクラスタ環境でインストールする際には、クラスタの各ノードにインストール・ディレクトリの内容をコピーします。同様に、connectorResourcesディレクトリのファイルおよびJARファイルを、クラスタの各ノードの対応するディレクトリにコピーする必要があります。
Oracle Identity Managerの構成には、次の手順があります。
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
コネクタのデプロイ時には、resourcesディレクトリからOIM_HOME/connectorResourcesディレクトリへ、リソース・バンドルがコピーされます。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_HOME/binディレクトリに移動します。
注意: 手順1を実行してから手順2を実行してください。手順2で次のようにコマンドを実行すると、例外がスローされます。OIM_HOME/bin/BATCH_FILE_NAME |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
注意: 手順2の実行時にスローされる例外は無視できます。この例外は、手順1で示した例外とは異なります。 |
このコマンドのConnectorResourceBundle
は、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_HOME/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBOSS_HOME/server/default/conf/log4j.xmlファイルで、次の行を追加します。
<category name="COM.THORTECH.XL.AS400.ADVANCED.UTIL.OIMLOGGER">
<priority value="LOG_LEVEL"/>
</category>
2行目で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
<category name="COM.THORTECH.XL.AS400.ADVANCED.UTIL.OIMLOGGER"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBOSS_HOME/server/default/log/server.log
IBM WebSphere Application Server:
ロギングを有効にするには、次のようにします。
OIM_HOME/config/log.propertiesファイルで、次の行を追加します。
log4j.logger.COM.THORTECH.XL.AS400.ADVANCED.UTIL.OIMLOGGER=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
log4j.logger.COM.THORTECH.XL.AS400.ADVANCED.UTIL.OIMLOGGER=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/startServer.log
BEA WebLogic Server
ロギングを有効にするには、次のようにします。
OIM_HOME/config/log.propertiesファイルで、次の行を追加します。
log4j.logger.COM.THORTECH.XL.AS400.ADVANCED.UTIL.OIMLOGGER=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
log4j.logger.COM.THORTECH.XL.AS400.ADVANCED.UTIL.OIMLOGGER=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBLOGIC_HOME/user_projects/domains/DOMAIN_NAME/SERVER_NAME/SERVER_NAME.log
Oracle Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/config/log.propertiesファイルで、次の行を追加します。
log4j.logger.COM.THORTECH.XL.AS400.ADVANCED.UTIL.OIMLOGGER=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
log4j.logger.COM.THORTECH.XL.AS400.ADVANCED.UTIL.OIMLOGGER=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
OAS_HOME/opmn/logs/default_group~home~default_group~1.log
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左のナビゲーション・ペインの「デプロイメント管理」をクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを検索するダイアログ・ボックスが表示されます。
oimAs400AdvConnector.xmlファイルを検索して開きます。このファイルはOIM_HOME/XLIntegrations/i5OS/xml/ディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
他のXMLファイルのインポート後に、信頼できるソース・リコンシリエーション用XMLファイルである、AS400TrustedXellerateUser.xmlをインポートする必要があります。つまり、ターゲット・リソースまたは信頼できるソースのどちらのリコンシリエーションを実装する場合でも、oimAs400AdvConnector.xmlをインポートする必要があります。信頼できるソース・リコンシリエーションを実装する場合は、最初のものをインポートした後で、AS400TrustedXellerateUser.xmlをインポートします。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。「ITリソース・インスタンス・データの提供」ページが表示されます。
OIMLDAPGatewayResourceType ITリソース・タイプに基づくITリソースを作成します。ITリソース・パラメータには、表2-3に示す値を指定してください。
表2-3 ITリソースの定義
パラメータ | 説明 |
---|---|
AtMap User |
プロビジョニングに使用される属性マッピングが含まれている参照定義の名前 値: 注意: このパラメータの値は変更しないでください。 |
idfPrincipalDn |
LDAP Gatewayに接続するための管理者IDを入力します。 サンプル値: |
idfPrincipalPwd |
LDAP Gatewayに接続するための管理者パスワードを入力します。 |
idfRootContext |
このパラメータは、IBM OS/400のルート・コンテキストを保持します。 値: 注意: このパラメータの値は変更しないでください。 |
idfServerHost |
このパラメータは、LDAP Gatewayに接続するためのホスト名を保持します。 値: 注意: Oracle Identity Managerがインストールされているホスト・コンピュータにLDAP Gatewayをインストールする場合は、このパラメータの値を変更しないでください。LDAP Gatewayを異なるコンピュータにインストールする場合は、そのコンピュータのホスト名およびIPアドレスを指定します。ただし、LDAP GatewayをOracle Identity Managerと同じコンピュータにインストールすることをお薦めします。 |
idfServerPort |
LDAP Gatewayに接続するためのポート番号を入力します。 サンプル値: |
「次へ」をクリックします。OIMLDAPGatewayResourceType ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
プロビジョニング機能の実装には、アダプタが使用されます。コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
OnBoardAs400User
ChangeAs400AdvUserPassword
ResetAs400AdvPassword
DeleteAs400AdvUser
RevokeAs400AdvUser
ResumeAs400AdvUser
ModifyAs400AdvUser
ModifyRemoveAs400AdvUser
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルしておく必要があります。「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」をクリックします。
独自のアダプタを作成した場合や、インストールしたパッチに新しいアダプタが同梱されていた場合は、アダプタを1つずつコンパイルする必要があります。(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」をクリックします。
「開始」をクリックします。指定したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_HOME/adapters/ディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
コネクタは、JTOpenをメッセージ・トランスポート・レイヤーとして使用して、Oracle Identity Managerホスト・コンピュータからのOS/400のデータおよびリソースにアクセスします。つまり、IBM OS/400システムにインストールされたReconciliation Agentと通信するために、LDAP Gatewayによって使用されます。
JTOpenをメッセージ・トランスポート・レイヤーとして構成するには、次のようにします。
次のIBM WebサイトからJTOpenをダウンロードして、jtopen_ver.zip
ファイルを解凍します。JTOpenは、次のURLからダウンロードできます。
http://www14.software.ibm.com/webapp/download/search.jsp?go=y&rs=expastbjm3
jt400.jarおよびuti400.jarファイルをJTOPEN_INSTALL_DIR/jtopen/lib/ディレクトリからLDAP_INSTALL_DIR/lib/ディレクトリにコピーします。
注意:
|
LDAP Gatewayをインストールして構成するには、次のようにします。
ldapgateway.zipファイルの内容を、Oracle Identity Managerがインストールされているコンピュータのディレクトリに抽出します。
注意: このドキュメントでは、ldapgatewayディレクトリの場所(および名前)をLDAP_INSTALL_DIRと表します。 |
LDAP_INSTALL_DIR/conf/as400.propertiesファイルを開き、表2-4の説明に従って、JTOpenメッセージ・トランスポート・レイヤーのパラメータの値を指定します。
表2-4 LDAP Gatewayの構成
パラメータ | サンプル値 | 説明 |
---|---|---|
_host_ |
|
Provisioning Agentホスト・コンピュータのターゲット・システムのIPアドレス |
_adminId_ |
|
ターゲット・システムの管理者ID |
_adminPwd_ |
|
ターゲット・システムの管理者パスワード |
_agentHost_ |
|
Reconciliation Agentホスト・コンピュータのターゲット・システムのIPアドレス |
_agentAdminId_ |
|
ターゲット・システムのReconciliation Agent管理者ID |
_agentAdminPwd_ |
|
ターゲット・システムのReconciliation Agent管理者パスワード |
_agentLib_ |
|
Reconciliation Agentファイルがあるターゲット・システム・ライブラリ |
_agentFile_ |
|
ターゲット・システムにあるReconciliation Agentファイル |
_agentMember_ |
|
リコンシリエーション・イベント情報を取得する権限を持つReconciliation Agentのユーザー |
_agentport_ |
|
Reconciliation Agentに割り当てられているターゲット・システムのポート |
_defaultDelete_ |
|
「ユーザーの無効化」プロビジョニング操作中に、ユーザーの削除またはアクセス権の失効を行います。 「ユーザーの無効化」プロビジョニング操作の結果としてターゲット・システムからユーザーを削除する場合は、このプロパティの値を 「ユーザーの無効化」プロビジョニング操作の結果としてターゲット・システムでユーザーを無効にする場合は、このプロパティの値を |
テキスト・エディタで次のスクリプトを開きます。
LDAP_INSTALL_DIR/bin/ディレクトリから、run.shファイルまたはrun.batファイルを開きます。
OIM_HOME/JavaTasks/ディレクトリから、run_initial_recon_provisioningスクリプト・ファイルを開きます。
runスクリプトで、JAVA_HOMEプロパティを次のように設定します。
JAVA_HOME=\software\j2sdj1.4.2_13
runスクリプトおよびrun_initial_recon_provisioningスクリプトで、アプリケーション・サーバー・ディレクトリに関連する行を非コメント化します。さらに、アプリケーション・サーバー・ディレクトリの実際の場所を反映するようにパスを変更します。
注意: runスクリプトおよびrun_initial_recon_provisioningスクリプトの内容は類似しています。両方のスクリプトで同じ変更を行う必要があります。 |
次のように番号記号(#)で始まる行はコメントです。
##### SET JBOSS HOME ################## #APPSERVER_HOME=/opt/ldapgateway/lib/jboss-4.0.2
この行を非コメント化するには、番号記号を削除します。たとえば、コネクタがJBoss Application Serverで機能するように、この行を次のように変更します。
##### SET JBOSS HOME ################## APPSERVER_HOME=/opt/ldapgateway/lib/jboss-4.0.2
LDAP_INSTALL_DIR/etc/as400Connection.propertiesファイルを開き、次のプロパティを編集します。
注意: OIM_HOME/JavaTasksディレクトリにあるinitialAs400Adv.propertiesファイルでも、この変更を行う必要があります。 |
_itResource_=NAME_OF_THE_NEW_IT_RESOURCE
NAME_OF_THE_NEW_IT_RESOURCEを「コネクタのXMLファイルのインポート」の手順8で作成したITリソースの名前に置換します。
LDAP_INSTALL_DIR/dist/idfserver.jarファイルからbeans.xmlファイルを抽出し、エディタで開いて次のように値を設定します。
ターゲット・システムの管理者資格証明
beans.xmlファイルの次の行に含まれている管理者資格証明を変更する必要があります。
注意: これらの行の、太字フォントで強調されている値を変更できます。beans.xmlファイルに入力する値は、ITリソース・パラメータに対して指定した値およびas400Connection.propertiesファイルとinitialAs400Adv.propertiesファイルのプロパティと同じにする必要があります。 |
<property name="adminUserDN" value="cn=idfAs400Admin,dc=as400,dc=com"/> <property name="adminUserPassword" value="password"/>
LDAP Gatewayとコネクタのインストールに使用するメインフレーム論理分割(LPAR)の間の通信用ポート
ポート・プロパティのデフォルト値は5389
です。この値を変更する場合は、beans.xmlファイルで定義されているポート・プロパティの値を編集してください。
<property name="port" value="5389"/>
プロビジョニングおよび初期リコンシリエーションの構成
コネクタにプロビジョニングと初期リコンシリエーションを実行させ、リアルタイム・リコンシリエーションを実行させないようにするには、次のプロパティ内の値をtrue
からfalse
に変更します。
<property name="agent" value="true"/>
コネクタにリアルタイム・リコンシリエーションを実行させる場合は、agentプロパティの値を変更しないでください。
beans.xmlファイルへの変更を保存し、idfserver.jarファイルを再作成します。
ターゲット・システムの複数のインストールに対してコネクタを構成できます。また、最初の論理分割(LPAR)に関連付けられていない複数のLPARがターゲット・システムで構成されているシナリオのコネクタも構成できます。
ターゲット・システムの各インストールに対し、ITリソースを作成して、LDAP Gatewayの追加のインスタンスを構成します。
ターゲット・システムの2番目のインストールのコネクタを構成するには、次のようにします。
注意: ターゲット・システムの追加のインストールごとに、同じ手順を実行してください。 |
OIMLDAPGatewayResourceType ITリソース・タイプに基づくITリソースを作成します。
関連項目:
|
現行のLDAP_INSTALL_DIRディレクトリおよびすべてのサブディレクトリを新しい場所にコピーします。
注意: 後続の手順のLDAP_INSTALL_DIRは、新しくコピーされたディレクトリを指します。 |
LDAP_INSTALL_DIR/dist/idfserver.jarファイルの内容を抽出します。
beans.xmlファイルで、<property name="port" value="xxxx"/>内のポートの値を変更し、LDAP Gatewayの最初のインスタンスに使用するものと異なるポートを指定します。次の例ではデフォルトのポート番号が使用されています。
<bean id="listener" class="com.identityforge.idfserver.nio.Listener">
<constructor-arg><ref bean="bus"/></constructor-arg>
<property name="admin"><value>false</value></property>
<property name="config"><value>../conf/listener.xml</value></property>
<property name="port" value="5389"/>
</bean>
ポート番号を変更した場合は、作成したITリソースのidfServerPortパラメータの値でも同じ変更を行う必要があります。
beans.xmlファイルを保存して閉じます。
LDAP_INSTALL_DIR/conf/as400.propertiesファイルを開き、次のプロパティを編集します。
_host_=IP_ADDRESS_OR_HOST_NAME_OF_THE_MAINFRAME
_port_=PORT_OF_THE_SECOND_INSTANCE_OF_THE_PROVISIONING_AGENT
_agentPort_=PORT_OF_THE_SECOND_INSTANCE_OF_THE_RECONCILIATION_AGENT
注意: 最初のLPARと関連付けられていない2番目のLPARがターゲット・システムで構成されている場合は、_agentPort_プロパティの値を最初のインスタンスの値と同じにしないでください。IBM OS/400を使用する2つのメインフレーム・サーバーが別々のサーバーで稼働している場合は、この値をidfServerPortプロパティの値と同じにしても構いません。 |
LDAP_INSTALL_DIR/etc/as400Connection.propertiesファイルを開き、次のプロパティを編集します。
_itResource_=NAME_OF_THE_NEW_IT_RESOURCE