2 Password Synchronization Moduleのデプロイ

このマニュアルでは、2つのシナリオを説明します。

• Password Synchronization Moduleの既存インスタンスの現行リリースへのアップグレード

  このオプションを実装する場合は、第3章で説明されている手順に従います。

• Password Synchronization Moduleのデプロイ

  このオプションを実装する場合は、この章で説明されている手順に従います。

Password Synchronization Moduleをデプロイするには、次の手順を実行します。

• Password Synchronization Moduleのインストールの準備

• Password Synchronization Moduleのインストール

• Password Synchronization Moduleのインストール後の手順の実行

• Password Synchronization Moduleの構成

Microsoft Active Directoryの強力なパスワード認証（パスワードの複雑さのチェック）機能を使用する場合は、次の項の手順を実行してください。

• Microsoft Active Directoryの強力なパスワード認証（パスワードの複雑さのチェック）機能の有効化

パスワード同期を無効または有効にする場合は、次の手順を実行してください。

• パスワード同期の無効化および有効化

2.1 Password Synchronization Moduleのインストールの準備

この項の内容は次のとおりです。

• コネクタのリリース番号の確認

• デプロイ要件の確認

2.1.1 コネクタのリリース番号の確認

以前のリリースのコネクタがすでにデプロイされていることがあります。現行のリリースをデプロイするときに、以前のリリースのリリース番号が必要になることがあります。デプロイ済のコネクタのリリース番号を確認するには、次のようにします。

1. 一時ディレクトリに、次のJARファイルの内容を抽出します。

   ADSYNC_HOME\lib\xliADSync.jar

   ここで、ADSYNC_HOMEはコネクタをインストールしたMicrosoft Active Directoryのホスト・コンピュータのディレクトリです。

2. テキスト・エディタでmanifest.mfファイルを開きます。manifest.mfファイルは、xliADSync.jarファイル内にバンドルされているファイルの1つです。

   manifest.mfファイルで、コネクタのリリース番号がVersionプロパティの値として表示されます。

2.1.2 デプロイ要件の確認

コネクタをインストールする前に、次のデプロイ要件に対応していることを確認する必要があります。

• コネクタをインストールするコンピュータが、表2-1に記載されている要件を満たしている。

  表2-1 動作保証されているデプロイ構成

  項目	要件
  ターゲット・システムおよびターゲット・システムのホスト・プラットフォーム	ターゲット・システムは次のいずれかです。 Microsoft Windows 2000（32ビットまたは64ビット）SP4上にインストールされているMicrosoft Active Directory 2000 Microsoft Windows 2003（32ビットまたは64ビット）SP1以上のService Pack上にインストールされているMicrosoft Active Directory 2003 注意: Itanium 64ビット・プロセッサ上にインストールされているターゲット・システムはサポートされていません。

  
  

• Oracle Identity Managerリリース9.1.0以上のインスタンスがインストールおよび実行されていて、コネクタをインストールする、Microsoft Active Directoryドメイン・コントローラをホスティングしているコンピュータからアクセスできる。

• ターゲット・システムのホスト・コンピュータはIPアドレスとホスト名の両方を使用してアプリケーション・サーバー・ホストをpingできる必要がある。

• Oracle Identity ManagerとMicrosoft Active Directory間にファイアウォールを使用する場合、次のいずれかのポートを開きます。

  • SSLが構成されている場合、636（Microsoft Active Directoryに送信）

  • SSLが構成されていない場合、389（Microsoft Active Directoryに送信）

  • コネクタのインストール時に選択したRMIポート（受信）

• Oracle Identity ManagerがIBM WebSphere Application Serverで実行されている場合、IBM WebSphere Application ClientおよびOracle Identity Manager Design ConsoleをMicrosoft Active Directoryのホスト・コンピュータにインストールする必要があります。

2.2 Password Synchronization Moduleのインストール

Password Synchronization Moduleをインストールするには、次のようにします。

注意: Microsoft Active Directoryホスト・コンピュータの物理システム・ドライブにPassword Synchronization Moduleをインストールする必要があります。このモジュールを、マップされたドライブにインストールしないでください。

1. 次のようにして、Microsoft Active Directoryサーバーでインストーラを起動します。

   1. Password Synchronization Moduleのインストール・ファイルは、インストール・メディアの次のディレクトリにあります。

      Directory Servers/Microsoft Active Directory/Microsoft Active Directory Password Sync
      

      このディレクトリの内容を一時ディレクトリにコピーします。

      
      

      関連項目: インストール・ファイルの詳細は、「Password Synchronization Moduleを構成するファイルとディレクトリ」を参照してください。

      
      

   2. 一時ディレクトリで、setup_ad.exeファイルを実行してインストーラを起動します。

2. 言語を指定します。

3. 「次へ」をクリックします。

4. 「ターゲット・ディレクトリ」ページでは、デフォルトのインストール・ディレクトリをそのまま使用することも、インストール先のディレクトリのパスを指定することもできます。たとえば、次のようなパスを指定できます。

   C:\OracleProvisioningAD

   また、「参照」ボタンを使用して、インストール・ディレクトリに移動することもできます。

5. 「次へ」をクリックします。

   インストーラにより、指定したインストール・ディレクトリ内にadsynchという名前のディレクトリが作成されます。その後、Password Synchronization Moduleのコンポーネントがadsynchディレクトリにコピーされ、adsynchディレクトリ内に特定のディレクトリが複数作成されます。

   
   

   注意: これ以降、このマニュアルでは、ディレクトリuser_specified_install_directory/adsynchをADSYNC_HOMEと呼びます。

   
   

6. 「アプリケーション・サーバー」ページで、Active Directoryの接続先であるOracle Identity Managerサーバーをホスティングするアプリケーション・サーバーを指定します。「次へ」をクリックします。

   
   

   注意: アプリケーション・サーバーとしてIBM WebSphereを指定する場合には、次のステップを実行します。それ以外の場合には、ステップ7に進みます。

   
   

7. 「WebSphereディレクトリ」ページで、インストール先のコンピュータでIBM WebSphere Application Clientがインストールされているディレクトリのパスを指定します。「次へ」をクリックします。

8. 「JRE」ページで、モジュールで使用するJREオプションを指定します。次の選択が可能です。

   • Oracle Identity ManagerにバンドルされているJRE。

   • Password Synchronization Moduleのインストール先であるコンピュータの既存のJRE 1.4.2インストール。次の表に、サポートされているアプリケーション・サーバーの適切なJREのバージョンを示します。

   アプリケーション・サーバー	必要なJRE	コメント
   JBoss Application Server	Sun JRE 1.4.2_09以上	ただし、Sun JRE 1.5のすべてのリリースはサポートされていません。
   BEA WebLogic	Sun JRE 1.4.2_09以上	ただし、Sun JRE 1.5のすべてのリリースはサポートされていません。
   IBM WebSphere	IBM JRE 1.4.2_x	Oracle Identity Managerがインストールされているサーバー上のIBM WebSphereと互換性のある、IBM WebSphere Application Clientインストールの一部として提供されています。
   Oracle Application Server	Sun JRE 1.4.2_09以上	ただし、Sun JRE 1.5のすべてのリリースはサポートされていません。

   
   

   既存のJREインストールの場合は、インストールのパスを指定する必要があります。「Next」をクリックします。

9. 「システム管理者」ページで、Oracle Identity Managerサーバーへのログインに必要なアカウント名およびパスワードを指定します。

   ログイン用のデフォルトのアカウントはxelsysadmです。

   必要な情報を指定したら、「次へ」をクリックします。

10. 「アプリケーション・サーバー構成」ページで、次の情報を指定します。

    • Oracle Identity Managerをホスティングしているアプリケーション・サーバー・コンピュータのホスト名またはIPアドレス。

    • アプリケーション・サーバーと関連付けられているネーミング・ポート。次の表に、サポートされているアプリケーション・サーバーのデフォルトのネーミング・ポートを示します。

      アプリケーション・サーバー	デフォルトのネーミング・ポート
      JBoss Application Server	1099
      BEA WebLogic	7001
      IBM WebSphere	2809
      Oracle Application Server	12401

      
      

    Oracle Identity Managerのアプリケーション・サーバーでデフォルト以外のネーミング・ポートが使用されている場合には、そのポート番号を使用し、その他の注意事項についてシステム管理者に相談してください。

    必要な情報を指定したら、「次へ」をクリックします。

11. 「サマリー」ページで、「ターゲット・ディレクトリ」ページで指定したモジュールのインストール・ディレクトリが正しく表示されていることを確認します。

    インストール・ディレクトリを変更する必要がある場合には、「ターゲット・ディレクトリ」ページが表示されるまで「戻る」をクリックし、必要な変更を行ってからインストール手順を再度進めます。

    インストール・ディレクトリが正しく表示されたら、「インストール」をクリックします。

12. 「完了」ページに、インストールが成功したことを示すメッセージが表示されます。

    「終了」をクリックしてインストーラを終了します。

13. 64ビットのMicrosoft Windowsオペレーティング・システム上にコネクタをインストールしている場合は、Windows\SysWOW64ディレクトリからWINDOWS\system32ディレクトリにAdsync.dllファイルをコピーします。

14. コンピュータを再起動します。

注意: Password Synchronization Moduleのインストール後に、Oracle Identity Manager管理者パスワードを変更しないでください。インストール後にパスワードを変更すると、Password Synchronization Moduleは機能しなくなります。 パスワードを変更する場合は、Password Synchronization Moduleを再インストールする必要があります。

2.2.1 Password Synchronization Moduleのインストール中にコピーされるファイル

次の表に、Password Synchronization Moduleのキー・コンポーネントのインストール場所を示します。

ファイル	説明
ADSYNC_HOME\config\xlconfig.xml	このファイルには、ユーザーによる構成が可能なPassword Synchronization Moduleの設定がすべて含まれています。ユーザーは、モジュールのインストール後にこのファイルを編集できます。詳細は、「Password Synchronization Moduleの構成」を参照してください。
ADSYNC_HOME\lib\xliADSync.jar	このJARファイルには、パスワード変更スクリプトに必要なクラス・ファイルが含まれます。
ADSYNC_HOME\ChangePassword.cmd	パスワードの変更に応じてadsync.dllによって呼び出されるこのスクリプトでは、ChangePasswordクラスの呼び出しに必要なクラスパスおよびコマンドライン・パラメータが使用されます。このクラスは、xliADSync.jarファイルにあります。
ADSYNC_HOME\wsChangePassword.cmd	IBM WebSphereによって使用されるバージョンのパスワード変更スクリプトです。
ADSYNC_HOME\lib\xliADSync.ear	このファイルには、IBM WebSphereによって使用されるバージョンのパスワード変更スクリプトに必要なクラス・ファイルが含まれます。
Windows\system32\Adsync.dll	32ビットのMicrosoft Windowsオペレーティング・システム上にコネクタをインストールする場合、Adsync.dllファイルはパスワードの変更のリスナーとして登録されます。
Windows\SysWOW64\Adsync.dll	64ビットのMicrosoft Windowsオペレーティング・システム上にコネクタをインストールする場合、Adsync.dllファイルはパスワードの変更のリスナーとして登録されます。

2.3 Password Synchronization Moduleのインストール後の手順の実行

Password Synchronization Moduleのインストール後に、次の手順を行います。

1. 次のファイルをOIM_HOME\extディレクトリから、Password Synchronization ModuleをインストールしたコンピュータのADSYNC_HOME\extディレクトリにコピーします。

   • javagroups-all.jarまたはjgroups-all.jar

   • oscache-2.0.2-22Jan04.jarまたはoscache.jar

2. Oracle Identity Manager Design ConsoleをホスティングしているコンピュータのOIM_Design_Console_installation_dir\libディレクトリから、Password Synchronization ModuleをインストールしたコンピュータのADSYNC_HOME\libディレクトリにすべてのJARファイルをコピーします。

3. 使用するアプリケーション・サーバーに応じて、次のいずれかの手順を行います。

   • JBoss Application Serverの場合は、JBOSS_HOME\client\jbossall-client.jarをADSYNC_HOME\extディレクトリにコピーします。

   • BEA WebLogicの場合は、BEAWebLogic_home\weblogic81\server\lib\weblogic.jarをADSYNC_HOME\extディレクトリにコピーします。

   • IBM WebSphereの場合は、次のようにしてADSYNC_HOME\libディレクトリにxlDataObjectBeans.jarファイルを抽出およびコピーします。

     a. 次のURLを使用してIBM WebSphere管理コンソールに接続します。

     http://localhost:9090/admin
     

     b. Oracle Identity Manager管理者アカウント資格証明を使用して、ログインします。

     c. 「Applications」、「Enterprise Applications」の順にクリックします。

     d. 「Xellerate」を選択します。

     c. 「Export」をクリックします。

     f. Xellerate.earファイルを一時ディレクトリに保存します。

     g. xlDataObjectBeans.jarファイルをXellerate.earファイルから抽出します。

     h. xlDataObjectBeans.jarファイルをADSYNC_HOME\libディレクトリにコピーします。

     
     

     注意: 抽出およびコピーしたファイルが、xlDataObjects.jarファイルではなく、xlDataObjectBeans.jarファイルであることを確認してください。

     
     

   • Oracle Application Serverの場合は、次に示すファイルをADSYNC_HOME\extディレクトリにコピーします。

     ORACLE_HOME/j2ee/home/oc4jclient.jar
     ORACLE_HOME/j2ee/home/lib/ejb.jar
     

4. Oracle Identity Managerをクラスタ化されたアプリケーション・サーバーで実行する場合は、次のようにします。

   1. Oracle Identity Managerクラスタを表す仮想サーバーとPassword Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータの間に信頼関係を確立します。

   2. Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータのhostsファイルに、仮想サーバーのホスト名を追加します。

   3. インストールするPassword Synchronization Moduleに関連付けられているxlconfig.xmlファイルを編集します。このファイルは、ADSYNC_HOME\configディレクトリにあります。

      xlconfig.xmlファイルで、<java.naming.provider.url>タグの値を仮想サーバーの完全修飾ホスト名に変更します。

      
      

      注意: xlconfig.xmlファイルの各インスタンスは、configディレクトリにあります。このディレクトリは、構成ファイルが関連付けられているコンポーネントのルート・インストール・ディレクトリにあります。たとえば、Password Synchronization Moduleに関連付けられているxlconfig.xmlファイルのパスは次のとおりです。 ADSYNC_HOME\config

      
      

      Password Synchronization Moduleに関連付けられているxlconfig.xmlファイルの<java.naming.provider.url>タグの値を更新したら、ファイルを保存して閉じます。

5. Microsoft Active DirectoryのITリソースのAD Sync installed (yes/no)パラメータの値をyesに設定します。

   ITリソース・パラメータ値の変更方法の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。

   
   

   注意: このパラメータの値をnoに設定する場合、パスワード同期も無効にする必要があります。詳細は、「パスワード同期の無効化および有効化」を参照してください。

   
   

2.4 Password Synchronization Moduleの構成

Password Synchronization Moduleのインストールが完了したら、xlconfig.xmlファイルを編集して構成できます。このファイルは、ADSYNC_HOME\configディレクトリにあります。

xlconfig.xmlファイルのパラメータを構成するには、まず任意のテキスト・エディタを使用してファイルを開きます。次の表に、xlconfig.xmlファイルの<ADsync>タグ内の構成可能な要素を示します。

<ADSync>タグ内のタグ	説明
<UserMatch>	MatchingMethodパラメータは、adsync.dllファイルに渡されたActive Directory IDを、Oracle Identity ManagerがOracle Identity Managerユーザーと一致する方法を指定します。次の3つのうち、1つ目のオプションがデフォルトです。これは、Oracle Identity ManagerのすべてのログインIDが、すべてのActive DirectoryユーザーのIDと一致する場合に使用します。Oracle Identity ManagerのログインIDとActive Directory IDが一致しない場合には、その他のオプションのいずれか1つを使用します。 UserID: Active DirectoryユーザーのIDがOracle Identity Managerユーザーのログインと一致する場合。 UDF: Active DirectoryユーザーのIDが<FieldName>属性に指定されたUDFと一致する場合。 ResourceField: Active DirectoryユーザーのIDが、Oracle Identity Managerユーザーのプロセス・フォームの<FieldName>属性と一致する場合。このユーザーに対して、<ResourceObject>属性で指定されたリソース・オブジェクトがプロビジョニングされます。
<Result>	このオプションの構成要素は、パスワード変更操作の結果が記録される必要のある場所（adsync.logファイル以外）を指定します。次のパラメータの値は、<Result>タグ内のタグとして指定されます。 UpdateUDF: ユーザー・フォームのステータス・フィールドを更新するためにTrueまたはFalseに設定します。 FieldName: UpdateUDFタグがTrueに設定されている場合にフィールド名を指定します。たとえば、FieldNameがUSR_UDF_STATUSになります。 FailureValue: この文字列は、パスワードのリセット操作に失敗した場合にステータス・フィールドに入力されます。 SuccessValue: この文字列は、パスワードのリセット操作が成功した場合にステータス・フィールドに入力されます。 AppendTimeStamp: ステータス・フィールドの文字列にタイムスタンプを追加するためにTrueまたはFalseに設定します。
<Installed>	<Installed>タグを使用して、Microsoft Active Directoryコネクタがインストールされているかどうかを指定します。コネクタがインストールされている場合は、<Installed>タグの値としてtrueを指定します。インストールされていない場合は、falseを指定します。 次に例を示します。 <ADConnectorConfig> <Installed>true</Installed> <OIMUserUDF></OIMUserUDF> </ADConnectorConfig>
<OIMUserUDF>	<OIMUserUDF>タグを使用して、Oracle Identity Managerからターゲット・システムへの（逆の場合も同様）パスワード変更のトラッキング用のフラグとして使用されるUSR表の列の名前を指定します。このフラグの詳細は、「パスワード同期機能」を参照してください。デフォルトとして、「USR_UDF_PWDCHANGEDINDICATION」フィールドが使用されます。別のUDFを作成した場合は、このフィールドの値としてそのUDFの名前を指定します。 次に例を示します。 <ADConnectorConfig> <Installed>true</Installed> <OIMUserUDF> USR_UDF_PWDCHANGEDINDICATION </OIMUserUDF> </ADConnectorConfig>
<Disabled>	このタグの詳細は、「パスワード同期の無効化および有効化」を参照してください。

xlconfig.xmlファイルのユーザーによる構成が可能なタグに必要な変更を加えたら、ファイルを保存して閉じます。

2.5 ステップ6: SSL通信用のPassword Synchronization Moduleの構成

注意: これは手順のうちオプションのステップです。 ただし、（サーバーでSSLを使用する）セキュア・クライアント操作の構成は、すべてのクライアントに影響します。つまり、SSLを使用しPassword Synchronization Moduleを介してOracle Identity Managerの通信を保護する場合は、Oracle Identity Manager Design Consoleと他のすべてのカスタム・クライアントもSSLを使用してOracle Identity Managerとの通信を行う必要があります。

Microsoft Active DirectoryからOracle Identity Managerへのパスワード情報転送を保護するようにSSLを構成することもできます。実行する必要のある手順は、Oracle Identity Managerがインストールされているアプリケーション・サーバーによって異なります。

関連項目: SSLを使用してOracle Identity ManagerからMicrosoft Active Directoryへのデータ転送を保護する構成の詳細は、『Oracle Identity Manager Microsoft Active Directory Connectorガイド』の「ステップ8: SSLの構成」を参照してください。

• JBoss Application Server上でのSSL通信用のPassword Synchronization Moduleの構成

• BEA WebLogic上でのSSL通信用のPassword Synchronization Moduleの構成

SSL通信用にPassword Synchronization ModuleとDesign Consoleを構成した後、次の手順を実行して、クライアント用にSSLが有効になっていることを確認する必要があります。

• Password Synchronization ModuleとDesign Console用のSSL通信の検証

2.5.1 JBoss Application Server上でのSSL通信用のPassword Synchronization Moduleの構成

JBoss Application Server上でSSL通信用のPassword Synchronization Moduleを構成するには、次のようにします。

1. Oracle Identity Managerのサーバー証明書をエクスポートするために、コマンド・ウィンドウで、OIM_home/configディレクトリに移動し、次のコマンドを入力します。

   
   

   注意: JBoss Application Server上でのSSL通信用のDesign Consoleの構成に関する項で説明した手順のステップ2を実行し、xlserver.cerファイルを作成します。すでにxlserver.cerファイルを作成した場合は、ステップ1をスキップできます。

   
   

   JAVA_HOME/bin/keytool -export -file xlserver.cer -keystore .xlkeystore -storepass xellerate -alias xell
   

   xlserver.cerファイルはconfigディレクトリ内に作成されます。これは、Oracle Identity Managerの証明書ファイルです。

2. xlserver.cerファイルをOIM_home/configディレクトリから、Microsoft Active DirectoryサーバーのADSYNC_HOME\java\lib\securityディレクトリにコピーします。

3. Microsoft Active Directoryサーバーで、xlserver.cerファイルのコピー先のディレクトリに移動し、次のコマンドを入力して証明書をインポートします。

   keytool -import -alias alias -file xlserver.cer -keystore my_cacerts -storepass password -trustcacerts
   

   コマンドの説明は次のとおりです。

   • aliasは証明書の別名です（たとえば、サーバー名です）。

   • my_cacertsは証明書ストアのフルパスと名前です（デフォルトはcacertsです）。

     実際の証明書ストアの場所は、JBOSS_HOME/jre/lib/security/cacertsです。

   • passwordは、キーストア・パスワードです。

     注意: changeitは、Sun JVMに格納されるcacertsファイルのデフォルト・パスワードです。これは、使用するJVMによって異なります。

4. コマンド・ウィンドウで、この証明書を信頼するかどうか求められたら、YESと入力します。

SSL通信用にPassword Synchronization Moduleを構成した後、Design ConsoleなどOracle Identity Managerの他のすべてのクライアントがSSL通信用に構成されていることを確認する必要があります。

関連項目: SSL通信用のDesign Consoleの構成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。

2.5.2 BEA WebLogic上でのSSL通信用のPassword Synchronization Moduleの構成

BEA WebLogic上でSSL通信用にPassword Synchronization Moduleを構成するには、次のようにします。

1. BEA WebLogicコンソールを開きます。

2. 次のように、署名された証明書を生成します。

   1. コマンド・ウィンドウで、次のディレクトリに移動します。

      JDK_used_by_WebLogic/jre/lib/security
      

   2. 証明書を生成するには、次のコマンドを入力します。

      keytool –genkey -alias private_key_alias -keyalg RSA -keysize 1024 -dname 
      "DN_value" -keypass private_key_password -keystore identity_store_file 
      -storepass identity_store_file_password
      

      コマンドの説明は次のとおりです。

      • private_key_aliasは、秘密鍵に対して使用する別名です。

      • private_key_passwordは、秘密鍵に対して使用するパスワードです。

      • DN_valueは、組織の識別名（DN）です。

        DN内のCNの値は、Oracle Identity Managerサーバーのホスト名またはIPアドレスであることが必要です。CNの値は、ADSYNC_HOME\config\xlconfig.xmlファイルから取得できます。たとえば、<java.naming.provider.url>タグの値が次のとおりであるとします。

        t3://oimserver:7001
        

        この場合、コマンドに入力するDNに、CN=oimserverを含める必要があります。

      • identity_store_fileは、使用するIDストアです。

      • identity_store_file_passwordは、使用するIDストアのパスワードです。

      次に、サンプル・コマンドを示します。

      keytool –genkey -alias adpwmod -keyalg RSA -keysize 1024 -dname 
      "CN=oimserver, OU=Identity, O=Acme Widgets Corp,L=RedwoodShores, 
      S=California, C=US" -keypass adpw_pass -keystore idstore.jks -storepass 
      idstorepass
      

   3. 証明書に署名するには、次のコマンドを入力します。

      keytool -selfcert -alias private_key_alias -sigalg MD5withRSA -validity 
      2000 -keypass private_key_password -keystore identity_store_file -storepass 
      identity_store_file_password
      

   4. 証明書をエクスポートするには、次のコマンドを入力します。

      keytool -export -alias private_key_alias -file cert_file_name -keypass 
      private_key_password -keystore identity_store_file -storepass 
      identity_store_file_password
      

      このコマンドで、cert_file_nameは、証明書ファイルで使用する名前に置き換えます。たとえば、ファイルの名前としてadsslcert.pemを使用できます。

3. 次のように、BEA WebLogicのSSLリスニング・ポートを有効にします。

   1. 「Servers」を展開し、使用するサーバーの名前をクリックします。

   2. 「Configuration」をクリックし、「General」をクリックします。

   3. 「General」タブで、「SSL Listen Port Enabled」チェック・ボックスを選択します。

      デフォルトのSSLポート7002が有効になります。

   4. 「Apply」をクリックします。

4. 次のように、BEA WebLogicのキーストアを構成します。

   1. 「Keystores & SSL」タブで、次の値を指定します。

      Custom Identity Keystore: 使用するキーストアの名前と場所を指定します。デフォルト・キーストアは、次のとおりです。

      WebLogic_home/server/lib/DemoIdentity.jks
      

      Type: キーストアのタイプを指定します。

      「Passphrase」および「Confirm Passphrase」: キーストアのパスワードを指定します。

   2. 「Change」をクリックします。

   3. 「Keystores」リストで、「Custom Identity And Java Standard Trust」を選択します。

   4. 次の値を指定します。

      • Custom Identity Key Store File Name: ステップ2で生成したIDストア・ファイルidentity_store_fileの完全な場所を入力します。

        次に例を示します。

        c:\bea814\jdk142_05\jre\lib\security\idstore.jks
        

      • Custom Identity Key Store Type: キーストアのタイプ（JKS）を指定します。

      • 「Custom Identity Key Store Pass Phrase」および「Confirm Custom Identity Key Store Pass Phrase」: IDストア・ファイルのパスワード、identity_store_file_passwordを入力します。

   5. 「Continue」をクリックします。

   6. 次の値を指定します。

      Private Key Alias: IDキーストアprivate_key_aliasに対して作成した別名を入力します。

      「Passphrase」および「Confirm Passphrase」: 秘密鍵のパスワードprivate_key_passwordを入力します。

   7. 「Continue」をクリックし、「Finish」をクリックします。

5. 変更を有効にするために、BEA WebLogicを再起動します。

SSL用にBEA WebLogicを構成した後で、SSL通信用にPassword Synchronization Moduleを構成するには、次のようにします。

1. 証明書ファイルをJDK_used_by_WebLogic/jre/lib/securityディレクトリから、Password Synchronization Moduleを使用して構成したJREにコピーします。この証明書ファイルは、前述の手順のステップ2.dで作成したものです。

   たとえば、モジュールにバンドルされているJREを使用する場合は、証明書ファイルを<ADSYNC_HOME>/java/lib/securityディレクトリにコピーします。

2. 証明書ファイルのコピー先のディレクトリに移動し、次のコマンドを入力して証明書をインポートします。

   keytool -import -alias private_key_alias -file cert_file_name -keystore 
   my_cacerts -storepass password -trustcacerts
   

   コマンドの説明は次のとおりです。

   • aliasは証明書の別名です（たとえば、サーバー名です）。

   • my_cacertsは証明書ストアのフルパスと名前です（デフォルトはcacertsです）。

     実際の証明書ストアの場所は次のとおりです。

     JBOSS_HOME/java/jre/lib/security/cacerts
     

   • passwordは、キーストア・パスワードです。

     注意: changeitは、Sun JVMに格納されるcacertsファイルのデフォルト・パスワードです。これは、使用するJVMによって異なります。

3. コマンド・ウィンドウで、この証明書を信頼するかどうか求められたら、YESと入力します。

4. WebLogic_home/license.beaファイルをADSYNC_HOMEディレクトリにコピーします。

5. ADSYNC_HOMEディレクトリ・パスをCLASSPATH環境変数に追加します。

   これを実行するには、CLASSPATH の既存の値の最後にセミコロン（;）を入力し、次にADSYNC_HOMEディレクトリ・パスを入力します。

6. ADSYNC_HOME\config\xlconfig.xmlファイルの中で、<java.naming.provider.url>タグを検索し、プロトコルの値をt3sに、ポートの値をSSLポート番号に変更します。

   次に例を示します。

   <java.naming.provider.url>t3s://solqe4:7002</java.naming.provider.url>
   

7. BEA_HOME/weblogic81/server/lib/wlcipher.jarファイルを<ADSYNC_HOME>\extディレクトリにコピーします。

8. ADSYNC_HOME\classpath.batファイルを開き、ファイルの最後に次のものを追加します。

   ;.\ext\wlcipher.jar
   

2.6 Microsoft Active Directoryの強力なパスワード認証（パスワードの複雑さのチェック）機能の有効化

注意: この項の手順は、Microsoft Active Directoryの強力なパスワード認証（パスワードの複雑さのチェック）機能を使用する場合のみ実行してください。

Microsoft Active Directoryでは、パスワード・フィルタの実装によって強力なパスワード認証機能が提供されます。このパスワード・フィルタをPassword Synchronization Moduleとともに使用する場合は、Microsoft社のWebサイトにある手順に従って、「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を有効にしてください。このポリシー設定を有効にした場合、Microsoft Active Directoryでのパスワード変更は、強力なパスワードの要件を満たしているかチェックされてからPassword Synchronization Moduleに渡されます。

2.7 パスワード同期の無効化および有効化

パスワード同期を一時的に無効にする場合は、次の手順を実行します。

1. XMLファイルで、次の行を検索します。

   <ADSyncConfig>
    <Disabled>no</Disabled>
   </ADSyncConfig>
   

2. Disabled要素の値をyesに変更します。次に例を示します。

   <ADSyncConfig>
    <Disabled>yes</Disabled>
   </ADSyncConfig>
   

3. Microsoft Active DirectoryのITリソースのAD Sync installed (yes/no)パラメータの値をnoに設定します。

パスワード同期を再度有効にするには、次の手順を実行します。

1. Disabled要素の値をnoに変更します。次に例を示します。

   <ADSyncConfig>
    <Disabled>no</Disabled>
   </ADSyncConfig>
   

2. Microsoft Active DirectoryのITリソースのAD Sync installed (yes/no)パラメータの値をyesに設定します。