この章では、次の各項でOracle Identity ManagerシステムにLDAP Gatewayをデプロイする手順について説明します。
ターゲット・システムの複数のインストールに対してコネクタを構成する場合は、次の項を参照してください。
次の表に示す要件を必ず満たすようにしてください。
注意: LDAP Gatewayでは、Oracle Identity Manager用に作成するターゲット・システム・ユーザー・アカウントが使用されます。このため、このアカウントにはReconciliation AgentおよびProvisioning Agentにアクセスして操作するために必要な権限があります。 |
Oracle Identity Managerとメインフレーム環境間において、Oracle Identity Managerは、2つのセキュアなメッセージ・トランスポート・レイヤー、IBM MQ SeriesおよびTCP/IPをサポートしています。
MQ Seriesには、LDAP Gatewayレベルでは透過的な独自の内部設定手順があります。第1の要件は、標準MQ Seriesポート1414がメインフレームで有効になっており、LDAP Gatewayで構成されていることです。
TCP/IPメッセージ・トランスポート・レイヤーでは、ポート5190および5790がReconciliation AgentとProvisioning Agentそれぞれのデフォルト・ポートです。これらのエージェントのポートは変更できます。
これらのメッセージ・トランスポート・レイヤーを構成する手順は後で説明します。
次のコネクタ・ファイルを、表に示されているOracle Identity Managerシステムのコピー先ディレクトリにコピーします。
注意: この表に示されていないファイルはコピーしないでください。これらのファイルは後からデプロイ手順で使用されます。次に示すファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」を参照してください。 |
ファイル | コピー先ディレクトリ |
---|---|
etc/LDAP Gateway/ldapgateway.zip |
LDAP_INSTALL_DIR
これは、Oracle Identity Managerシステム上のLDAP Gatewayをインストールするディレクトリです。LDAP Gatewayのインストールの詳細は、「手順6: LDAP Gatewayのインストールおよび構成」を参照してください。 |
lib/racf-adv-agent-recon.jar
|
LDAP_INSTALL_DIR/etc |
lib/idm.jar
|
OIM_HOME/xellerate/JavaTasks
|
resources ディレクトリにあるファイル |
OIM_HOME/xellerate/connectorResources
|
xml/oimRacfAdvConnector.xml
|
OIM_HOME/xellerate/XLIntegrations/racf/xml
|
Oracle Identity Managerの構成には、次の手順があります。
注意: クラスタ環境では、クラスタの各ノードでこれらのステップを実行する必要があります。 |
コネクタをデプロイすると、リソース・バンドルが、インストール・メディアのリソース・ディレクトリからOIM_HOME
/xellerate/connectorResources
ディレクトリにコピーされます。connectorResources
ディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_HOME
/xellerate/bin
ディレクトリに移動します。
注意: ステップ2を実行する前にステップ1を実行する必要があります。ステップ2で説明するコマンドを実行すると次のように例外がスローされます。OIM_HOME/xellerate/bin/batch_file_name |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
注意: ステップ2の実行時にスローされる例外は無視できます。この例外はステップ1で説明した例外とは異なります。 |
このコマンドのConnectorResourceBundle
は、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_HOME/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。
BEA WebLogic Server
ロギングを有効にするには、次のようにします。
OIM_HOME
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=LOG_LEVEL
この行で、LOG_LEVEL
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBLOGIC_HOME/user_projects/domains/domain_name/server_name/server_name.log
IBM WebSphereアプリケーション・サーバー
ロギングを有効にするには、次のようにします。
OIM_HOME
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=LOG_LEVEL
この行で、LOG_LEVEL
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/server_name/startServer.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBOSS_HOME
/server/default/conf/log4j.xml
ファイルで、次の行を探すか追加します。
<category name="COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS">
<priority value="LOG_LEVEL"/>
</category>
XMLの2行目で、LOG_LEVEL
を、設定するログ・レベルに置換します。次に例を示します。
<category name="COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBOSS_HOME/server/default/log/server.log
Oracle Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=LOG_LEVEL
この行で、LOG_LEVEL
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
OAS_HOME/opmn/logs/default_group~home~default_group~1.log
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左のナビゲーション・ペインの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを検索するダイアログ・ボックスが表示されます。
oimRacfAdvConnector.xml
ファイルを検索して開きます。このファイルはOIM_HOME
/xellerate/XLIntegrations/racf/xml
ディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。OIMLDAPGatewayResourceType
ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
ITリソースをOIMLDAPGatewayResourceType
ITリソース・タイプに基づいて作成します。値を指定する必要があるパラメータの詳細は、「ITリソースの定義」を参照してください。
「次へ」をクリックします。OIMLDAPGatewayResourceType
ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
ITリソース・パラメータには、次の表に示す値を指定してください。
パラメータ | 説明 |
---|---|
AtMap User |
プロビジョニングで使用される属性マッピングを含む参照定義の名前
値: 注意: このパラメータの値は変更しないでください。 |
idfPrincipalDn |
LDAP Gatewayに接続するための管理者ID
サンプル値: |
idfPrincipalPwd |
LDAP Gatewayに接続するための管理者パスワード |
idfRootContext |
IBM RACFのルート・コンテキスト
値: 注意: このパラメータの値は変更しないでください。 |
idfServerHost |
LDAP Gatewayに接続するためのホスト名
値: 注意: このパラメータの値は変更しないでください。 |
idfServerPort |
LDAP Gatewayに接続するためのポート
サンプル値: |
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
AddUserToDataset
AddUserToGroup
AddUserToResource
ChangePassword
DeleteUser
ModifyUser
OnBoardRacfUser
RemoveSecurityAttr
RemoveUserFromDataset
RemoveUserFromGroup
RemoveUserFromResource
ResetPassword
ResumeUser
RevokeUser
これらのアダプタをコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」をクリックします。
独自のアダプタを作成した場合、またはインストールしたパッチに新しいアダプタが含まれていた場合は、一度に1つのアダプタをコンパイルすることが必要な場合があります。(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」をクリックします。
「開始」をクリックします。指定したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_HOME
/xellerate/Adapter
ディレクトリから、コンパイル済のアダプタをクラスタの他のノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
LDAP Gatewayをインストールして構成するには、次のようにします。
ldapgateway.zip
ファイルの内容をOracle Identity Managerと同じサーバーのディレクトリに抽出します。このマニュアルでは、ldapgateway
ディレクトリの場所(および名前)はLDAP_INSTALL_DIR
と表記されます。
テキスト・エディタでracf.properties
ファイルを開きます。このファイルはLDAP_INSTALL_DIR
/conf
ディレクトリにあります。このファイルでは、使用するメッセージ・トランスポート・レイヤーの次のプロパティに情報を指定します。
TCP/IPの場合、デフォルト値は次のとおりです。これらの値は変更できます。
_type_=socket
_isencrypted_=true
_timeout_=5000
_authretries_=2
_host_=HOST_NAME_OR_IP_ADDRESS_OF_MAINFRAME
_port_=5790
_agentport_=5190
MQ Seriesの場合、デフォルト値は次のとおりです。これらの値は変更できます。
_type_=mq
_isencrypted_=true
_timeout_=5000
_authretries_=2
_qmgr_=CSQ1
_qhost_=HOST_NAME_OR_IP_ADDRESS_OF_MAINFRAME
_qport_=1414
_qchannel_=CSQ1.PIONEER
_qname_=PIONEER.REQUEST
_qreplyname_=PIONEER.REPLY
racf.properties
ファイルでは、次のプロパティを使用して、プロビジョニング操作Disable Userの実行時にアクセス権を取り消すか、ユーザーを削除するかを指定できます。
# DEFAULT ACTION WHEN DELETE FUNCTION USED
_defaultDelete_=delete
プロビジョニング操作Delete Userの結果として、ターゲット・システムでユーザーを無効にするには、このプロパティの値にrevoke
を設定します。
プロビジョニング操作Delete Userの結果として、ターゲット・システムからユーザーを削除するには、このプロパティの値にdelete
を設定します。
racf.properties
ファイルでは、_nameFormat_
プロパティを使用して「完全名」属性の形式を指定します。
次の形式を使用して指定できます。
fn
は名を表します。
sp
は空白文字を表します。
ln
は姓を表します。
カンマ(,)はカンマを表します。
ピリオド(.)はピリオドを表します。
縦棒(|)はコンポーネントの区切りです。
次の行は、_nameFormat_
プロパティのサンプル値です。
_nameFormat_=fn|sp|ln
LDAP_INSTALL_DIR
/etc/racfConnection.properties
ファイルを開き、次のプロパティを編集します。
注意: この変更はinitialRacfAdv.properties ファイルでも行う必要があります。このファイルは、OIM_HOME /xellerate/JavaTasks ディレクトリにあります。 |
_itResource_=Name_of_the_new_IT_resource
Name_of_the_new_IT_resource
を、「手順4: コネクタのXMLファイルのインポート」のステップ8の説明に従って作成したITリソースの名前で置換します。
LDAP_INSTALL_DIR
/dist/idfserver.jar
ファイルからbeans.xml
ファイルを抽出し、エディタで開いて次の値を設定します。
ターゲット・システムの管理者資格証明
beans.xml
ファイルの次の行に設定されている管理者資格証明を変更する必要があります。
注意: これらの行では、太字で強調されている部分が変更可能な値です。beans.xml ファイルに入力する値は、racfConnection.properties およびinitialRacfAdv.properties ファイルでITリソース・パラメータやプロパティに指定する値と同じにする必要があります。 |
<property name="adminUserDN" value="cn=ximRACFAdmin,dc=RACF,dc=com"/> <property name="adminUserPassword" value="ximRACFPwd"/>
LDAP Gatewayと、コネクタのインストールに使用するメインフレームLPARとの間の通信に使用するポート
ポートのプロパティのデフォルト値は、5389
です。この値を変更する場合は、beans.xml
ファイル内に定義されているport
プロパティの値を編集してください。
<property name="port" value="5389"/>
beans.xml
ファイルに加えた変更を保存して、idfserver.jar
ファイルを再作成します。
メッセージ・トランスポート・レイヤーにIBM MQ Seriesを使用している場合は、次のファイルをIBMのWebサイトからダウンロードして、LDAP_INSTALL_DIR
/lib
ディレクトリにコピーします。
com.ibm.mq.jar
com.ibm.mqbind.jar
com.ibm.mqjms.jar
fscontext.jar
providerutil.jar
注意: コネクタの使用を開始すると、LDAP GatewayのログがLDAP_INSTALL_DIR /logs ディレクトリに作成されます。 |
Oracle Identity Managerがデプロイされているアプリケーション・サーバーとコネクタが連携して機能するようにするには、次のようにします。
テキスト・エディタで次のスクリプトを開きます。
LDAP_INSTALL_DIR
/bin
ディレクトリのrun
スクリプトを開きます。
OIM_HOME
/Xellerate/JavaTasks
ディレクトリのrun_initial_recon_provisioning
スクリプトを開きます。
両方のスクリプトで、使用している特定のアプリケーション・サーバーに関連する行を非コメント化します。さらに、アプリケーション・サーバー・ディレクトリの実際の場所を示すパスを変更します。
run.sh
ファイルの内容を次に示します。
注意: run_initial_recon_provisioning スクリプトの内容も類似しています。このスクリプトでも同じ変更を行う必要があります。 |
SET CLASSPATH VARIABLES ##### SET ENVIRONMENT VARIABLES ####### APP_HOME=/opt/ldapgateway TMPDIR=/opt/ldapgateway/temp OIM_HOME=/opt/OIM/xellerate OIM_CLIENT_LIB=/opt/OIM/client/xlclient/lib ##### SET JBOSS HOME ################## # APPSERVER_HOME=/opt/ldapgateway/lib/jboss-4.0.2 ##### SET WEBSPHERE HOME ################## #APPSERVER_HOME=/opt/WebSphere/AppServer/lib ##### SET WEBLOGIC HOME ################## # APPSERVER_HOME=/opt/bea/ ##### SET OC4J HOME ################## #APPSERVER_HOME=/opt/oracle/oc4j
run.sh
ファイルで、シャープ記号(#)が先頭にある行はコメントです。行を非コメント化するにはシャープ記号を削除します。たとえば、コネクタがJBoss Application Serverと連携して機能するようにするには、次の行を非コメント化します。
##### SET JBOSS HOME ################## APPSERVER_HOME=/opt/ldapgateway/lib/jboss-4.0.2
ターゲット・システムの複数のインストールに対してコネクタを構成することができます。また、複数の論理パーティション(LPAR)がターゲット・システムに構成されており、それらが最初のLPARに関連付けられていないというシナリオで、コネクタを構成することもできます。
ターゲット・システムのインストールごとにITリソースを作成して、LDAP Gatewayの追加インスタンスを構成します。
ターゲット・システムの2番目のインストールに対してコネクタを構成するには、次のようにします。
注意: ターゲット・システムの各インストールで同じ手順を実行します。 |
ITリソースをOIMLDAPGatewayResourceType
ITリソース・タイプに基づいて作成します。
ITリソースの作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。ITリソースのパラメータの詳細は、「ITリソースの定義」を参照してください。
現在のLDAP_INSTALL_DIR
ディレクトリをすべてのサブディレクトリを含めて新しい場所にコピーします。
注意: この手順の残りのステップでは、LDAP_INSTALL_DIR は新たにコピーされたディレクトリを指します。 |
LDAP_INSTALL_DIR
/dist/idfserver.jar
ファイルの内容を抽出します。
beans.xml
ファイルで、LDAP Gatewayの最初のインスタンスで使用されるポートとは別の値になるように、<property name="port" value="xxxx"/>
行のポートの値を変更します。デフォルトのポート番号を次の例に示します。
<bean id="listener" class="com.identityforge.idfserver.nio.Listener">
<constructor-arg><ref bean="bus"/></constructor-arg>
<property name="admin"><value>false</value></property>
<property name="config"><value>../conf/listener.xml</value></property>
<property name="port" value="5389"/>
</bean>
ポート番号を変更する場合は、作成するITリソースのidfServerPort
パラメータの値も同じように変更する必要があります。
bean.xml
ファイルを保存して閉じます。
LDAP_INSTALL_DIR
/conf/racf.properties
ファイルを開き、次のパラメータを編集します。
_host_=
IP_address_or_host_name_of_the_mainframe
_port_=
Port_of_the_second_instance_of_the_Provisioning_Agent
_agentPort_=
Port_of_the_second_instance_of_the_Reconciliation_Agent
注意: 最初のLPARと関連付けられていない第2のLPARがターゲット・システムに構成される場合、_agentPort_ パラメータの値は、最初のインスタンスと同じにならないようにしてください。それぞれIBM RACFが稼働している2つのメインフレーム・サーバーがある場合は、この値をidfServerPort パラメータの値と同じにすることができます。 |
LDAP_INSTALL_DIR
/etc/racfConnection.properties
ファイルを開き、次のプロパティを編集します。
_itResource_=
Name_of_the_new_IT_resource