Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド リリース9.1.1 B54369-03 |
|
戻る |
次へ |
コネクタをデプロイする手順は、次の段階に分けることができます。
注意: この章に記載されている一部の手順は、ターゲット・システムで実行する必要があります。これらの手順を実行するために必要な最小限の権限は、使用するターゲット・システムによって異なります。
|
次の各項では、インストール前の作業について説明します。
この項の内容は次のとおりです。
表2-1に、コネクタ・インストール・メディア・ディレクトリの内容を示します。
表2-1 インストール・メディアのファイルおよびディレクトリ
インストール・メディア・ディレクトリのファイル | 説明 |
---|---|
configuration/ActiveDirectory-CI.xml |
このXMLファイルには、コネクタ・インストール・プロセス時に使用される構成情報が含まれます。 |
lib/xliActiveDirectory.jar |
このJARファイルには、プロビジョニングに必要なクラス・ファイルが含まれます。コネクタのインストール時に、このファイルは次のディレクトリにコピーされます。 OIM_HOME/xellerate/JavaTasks |
lib/xliADRecon.jar |
このJARファイルには、リコンシリエーションに必要なクラス・ファイルが含まれます。コネクタのインストール時に、このファイルは次のディレクトリにコピーされます。 OIM_HOME/xellerate/ScheduleTask |
resourcesディレクトリにあるファイル |
これらの各リソース・バンドルには、コネクタで使用される言語固有の情報が含まれます。コネクタのインストール時に、これらのリソース・バンドルは次のディレクトリにコピーされます。 OIM_HOME/xellerate/connectorResources 注意: リソース・バンドルは、管理およびユーザー・コンソールに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、GUI要素のラベルおよびメッセージが含まれます。 |
scripts/ProvTerminalServiceAttr.vbs |
このVBScriptファイルは、プロビジョニング操作時に、ターゲット・システムの「ターミナル サービスのプロファイル」のフィールドに値を設定するために使用されます。このスクリプトは、Remote Managerによってコールされます。 「Remote Managerのインストール」に記載されている手順の実行時に、このファイルをターゲット・システムのホスト・コンピュータのディレクトリにコピーします。 |
scripts/ReconTerminalServiceAttr.vbs |
このVBScriptファイルは、リコンシリエーションの実行時に、ターゲット・システムの「ターミナル サービスのプロファイル」のフィールドから値をフェッチするために使用されます。このスクリプトは、Remote Managerによってコールされます。 「Remote Managerのインストール」に記載されている手順の実行時に、このファイルをターゲット・システムのホスト・コンピュータのディレクトリにコピーします。 |
test/config/config.properties |
このファイルは、コネクタ・テスト・ユーティリティに入力テスト・データを設定するために使用されます。 |
test/config/log.properties |
このファイルは、コネクタ・テスト・ユーティリティの実行時にコンソールに表示するログ・メッセージの設定に使用されます。 |
test/lib/xlapiclient.ear |
このEARファイルには、IBM WebSphere Application Serverで実行されているOracle Identity Managerの場合に、テスト・ユーティリティの実行に必要なJARファイルが含まれます。 |
test/scripts/runADTest.bat test/scripts/runADtest.sh |
これらのスクリプトは、テスト・ユーティリティの実行に使用されます。 |
test/scripts/wsapiclient.cmd |
このファイルは、Oracle Identity ManagerがIBM WebSphere Application Serverで実行されている場合にテスト・ユーティリティで使用されます。 |
xml/ActiveDirectory-ConnectorConfig.xml |
このXMLファイルには、コネクタ・コンポーネントの定義が含まれます。これらのコンポーネントには、次のものが含まれます。
|
注意: testディレクトリのファイルは、テスト・ユーティリティを使用してコネクタでテストを実行するためにのみ使用します。診断ダッシュボードは、テスト・ユーティリティにかわるものです。この2つのテスト・オプションの詳細は、第5章「コネクタのテスト」を参照してください。 |
以前のリリースのコネクタがすでにデプロイされていることがあります。最新のリリースをデプロイする一方で、以前のリリースのリリース番号を確認しておくことができます。デプロイ済のコネクタのリリース番号を確認するには、次のようにします。
一時ディレクトリに、次のJARファイルの内容を抽出します。
OIM_HOME/xellerate/JavaTasks/xliActiveDirectory.jar
テキスト・エディタでManifest.mfファイルを開きます。Manifest.mfファイルは、xliActiveDirectory.jarファイル内にバンドルされているファイルの1つです。
Manifest.mfファイルで、コネクタのリリース番号がVersionプロパティの値として表示されます。
ターゲット・システムでのインストール前の作業では、次の各項に記載されている手順を実行します。
Oracle Identity Managerでは、リコンシリエーションおよびプロビジョニング操作の際にターゲット・システムにアクセスするためのターゲット・システムのユーザー・アカウントが必要です。「ターゲット・システムのITリソースの構成」に記載されている手順を実行する際に、このユーザー・アカウントの資格証明を指定します。
Microsoft Active Directoryでの手順
Microsoft Windows 2003 Server(ドメイン・コントローラ)の管理者アカウントを使用できます。あるいは、ユーザー・アカウントを作成して必要最小限の権限を割り当てることができます。
注意: 削除されたターゲット・システム・レコードのリコンシリエーションを有効にする場合は、管理者アカウントを使用する必要があります。 |
コネクタ操作用のMicrosoft Active Directoryユーザー・アカウントを作成するには、次のようにします。
関連項目: この手順の実行の詳細は、Microsoft Active Directoryのドキュメントを参照してください。 |
ターゲット・システムでグループ(OIMGroupなど)を作成します。グループを作成する際に、グループの種類として「セキュリティ グループ」を、グループのスコープとして「グローバル」または「ユニバーサル」を選択します。
このグループをAccount Operatorsグループのメンバーにします。
すべての読取り権限をこのグループに割り当てます。
注意: 読取り権限は、ユーザー・アカウントの「プロパティ」ダイアログ・ボックスの「セキュリティ」タブで割り当てます。このタブは、「拡張機能」ビューでのみ表示されます。このビューに切り替えるには、Microsoft Active Directoryコンソールの「表示」メニューから「拡張機能」を選択します。 |
ターゲット・システムでユーザー(OIMUserなど)を作成します。
このユーザーをステップ1で作成したグループ(OIMGroupなど)のメンバーにします。
Microsoft ADAMでの手順
コネクタ操作用のMicrosoft ADAMユーザー・アカウントを作成するには、次のようにします。
関連項目: この手順の詳細は、Microsoft ADAMのドキュメントを参照してください。 |
Microsoft ADAMでユーザー・アカウントを作成します。
ユーザー・アカウントのパスワードを設定します。
msDS-UserAccountDisabledフィールドをfalse
に設定して、ユーザー・アカウントを有効にします。
userPrincipalNameフィールドに値を入力します。
値は、user_name
@domain_name
形式で指定する必要があります。たとえば、OIMuser@mydomain.com
となります。
ユーザーの識別名をAdministratorsグループに追加します。
次の各項では、インストール時の作業について説明します。
Oracle Identity Managerでのインストール時の作業では、次の手順を実行します。
注意: このマニュアルでは、コネクタ・インストーラという用語は、管理およびユーザー・コンソールのコネクタ・インストーラ機能を指しています。 |
コネクタ・インストーラを実行するには、次のようにします。
コネクタ・インストール・メディア・ディレクトリの内容を次のディレクトリにコピーします。
OIM_HOME/xellerate/ConnectorDefaultDirectory
『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の「コネクタのインストールに使用するユーザー・アカウントの作成」で説明されているユーザー・アカウントを使用して、管理およびユーザー・コンソールにログインします。
「デプロイメント管理」→「コネクタのインストール」をクリックします。
「コネクタ・リスト」リストから、「ActiveDirectory 9.1.1」を選択します。このリストには、インストール・ファイルがデフォルト・コネクタ・インストール・ディレクトリにコピーされているコネクタの、名前およびリリース番号が表示されます。
OIM_HOME/xellerate/ConnectorDefaultDirectory
インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。
「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。
「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。
「コネクタ・リスト」リストから、「ActiveDirectory 9.1.1」を選択します。
「ロード」をクリックします。
「続行」をクリックして、インストール処理を開始します。
次のタスクを順に実行します。
コネクタ・ライブラリの構成
コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)
アダプタのコンパイル
正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークと失敗した理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかの手順を実行します。
「再試行」をクリックしてインストールを再試行します。
インストールを取り消して、ステップ1からやりなおします。
コネクタのインストール処理の3つのタスクがすべて正常に行われると、インストールが正常に実行されたことを示すメッセージが表示されます。また、インストール後に実行する必要があるステップが一覧表示されます。これらの手順は次のとおりです。
コネクタ使用の前提条件が満たされていることの確認
注意: この段階で、前提条件のリストを表示するために、PurgeCacheユーティリティを実行してコネクタ・リソース・バンドルからコンテンツをサーバー・キャッシュにロードします。PurgeCacheユーティリティの実行の詳細は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。一部の事前定義済コネクタには、前提条件はありません。 |
コネクタのITリソースの構成
このページに表示されるITリソースの名前を記録します。ITリソースの構成手順は、このガイドで後述します。
スケジュール済タスクの構成
このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクの構成手順は、このガイドで後述します。
コネクタ・インストーラを実行すると、コネクタ・ファイルおよび外部コード・ファイルがOracle Identity Managerホスト・コンピュータ上のコピー先ディレクトリにコピーされます。表2-2に、これらのファイルを示します。
表2-2 コネクタのインストール時にコピーされるファイル
コネクタ・インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
---|---|
lib/xliActiveDirectory.jar |
OIM_HOME/xellerate/JavaTasks |
lib/xliADRecon.jar |
OIM_HOME/xellerate/ScheduleTask |
resourcesディレクトリにあるファイル |
OIM_HOME/xellerate/connectorResources |
Oracle Identity Managerクラスタへのコネクタのインストール
クラスタ環境でコネクタをインストールする際は、すべてのJARファイルとresourcesディレクトリの内容をクラスタの各ノードのコピー先ディレクトリにコピーする必要があります。コピーする必要があるファイルおよびOracle Identity Managerホスト・コンピュータのコピー先の場所の詳細は、表2-2を参照してください。
表2-3に、Oracle Identity Managerホスト・コンピュータにコピーする必要があるファイルを示します。
注意:
|
ldapbp.jarファイルは、ターゲット・システムでユーザー・レコードのLDAPベース検索ができるようにするために、コネクタで使用されます。次のようにして、このファイルをSun社のWebサイトからダウンロードし、ThirdPartyディレクトリにコピーする必要があります。
次のSun社のWebサイトにログオンします。
「Download JNDI 1.2.1 & More」をクリックします。
表示されるページの表から、ldap-1_2_4.zipファイルを選択してダウンロードします。
ZIPファイルの内容を抽出し、ldapbp.jarファイルをlibディレクトリからOIM_HOME/xellerate/ThirdPartyディレクトリにコピーします。
注意: Oracle Identity Managerクラスタでは、このJARファイルをクラスタの各ノードのThirdPartyディレクトリにコピーします。 |
ターゲット・システムのITリソースは、コネクタのインストール時に作成されます。このITリソースには、ターゲット・システムに関する接続情報が含まれます。Oracle Identity Managerは、リコンシリエーションおよびプロビジョニング時にこの情報を使用します。
次のようにして、ADITResource ITリソースのパラメータの値を指定する必要があります。
管理およびユーザー・コンソールにログインします。
「リソース管理」を開きます。
「ITリソースの管理」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにADITResourceと入力した後、「検索」をクリックします。図2-1に、「ITリソースの管理」ページを示します。
ITリソースの「編集」アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
Remote Managerを使用して「ターミナル サービスのプロファイル」のフィールドについてプロビジョニングまたはリコンシリエーションを実行する場合は、Remote Managerの名前を選択します。
ITリソースのパラメータの値を指定します。図2-2に、「ITリソースの詳細およびパラメータの編集」ページを示します。
表2-4に、ITリソースの各パラメータの説明を示します。
表2-4 ターゲット・システムのITリソースのパラメータ
パラメータ | 説明 |
---|---|
ADAM Lockout Threshold Value |
ターゲット・システムがMicrosoft ADAMの場合、ユーザーのアカウントをロックする必要があるログイン試行の不成功回数を入力します。 ターゲット・システムがMicrosoft Active Directoryの場合、値を入力する必要はありません。Microsoft Active Directoryに設定された値が自動的に特定され、使用されます。 デフォルト値: |
このパラメータは、グループ参照同期後にグループ・フィールドの名前が格納される参照定義の名前を保持します。 値: この値は、「AD Group Lookup Recon」スケジュール済タスクのLookup Code Name属性と同じです。詳細は、「参照フィールド同期のスケジュール済タスク」を参照してください。 注意: このパラメータの値を変更しないでください。 |
|
Admin FQDN |
「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したユーザー・アカウントの完全修飾ドメイン名を入力します。 次のいずれかの形式を使用してドメイン名を入力できます。
サンプル値:
|
Admin Password |
「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したユーザー・アカウントのパスワードを入力します。 |
AtMap ADUser |
このパラメータは、Oracle Identity Managerとターゲット・システム間のユーザー・フィールド・マッピングの参照定義の名前を保持します。この参照定義は、ユーザー・プロビジョニング操作の際に使用されます。 このパラメータのデフォルト値は、 |
ターゲット・システムのホスト・コンピュータでSSLが実行されているポート番号を入力します。 サンプル値: Microsoft Active Directoryの場合:
Microsoft ADAMの場合:
Use SSLパラメータは、この表で後述します。このパラメータは、「Microsoft Active DirectoryでのSSLの構成」でも説明します。 |
|
このパラメータは、Oracle Identity Managerとターゲット・システム間の「ターミナル サービスのプロファイル」のフィールド・マッピングが格納される参照定義の名前を保持します。 値: 注意: このパラメータの値を変更しないでください。 プロビジョニング操作に「環境」、「リモート制御」または「セッション」のフィールドを使用する場合は、「プロビジョニング用の新規フィールドの追加」を参照してください。 |
|
ターゲット・システムのホスト・コンピュータ上のProvTerminalServiceAttr.vbsスクリプト・ファイルのフルパスおよび名前を入力します。 サンプル値: RM_HOME\scripts\ProvTerminalServiceAttr.vbs 詳細は、「Remote Managerのインストール」を参照してください。 注意:
|
|
Root Context |
削除されたユーザー・データのリコンシリエーションおよびプロビジョニングが発生するベースDNを入力します。 サンプル値:
注意: このパラメータには値を入力する必要があります。 |
Server Address |
Microsoft Active DirectoryがインストールされているMicrosoft Windowsコンピュータ(ターゲット・システムのホスト・コンピュータ)のホスト名またはIPアドレスを入力します。 サンプル値:
|
Invert Display Name |
「表示名」フィールドをLAST_NAME FIRST_NAME形式にする場合は、 たとえば、 デフォルト値: 注意:
|
User SSL |
Oracle Identity Managerとターゲット・システムとの間にSSLを構成するよう指定する場合は、 デフォルト値: 注意: SSLを構成してターゲット・システムとの通信を保護することをお薦めします。プロビジョニング操作の際にユーザー・パスワードを設定または変更する場合は、SSLを構成する必要があります。SSLの有効化の詳細は、「Microsoft Active DirectoryでのSSLの構成」を参照してください。 |
isADAM |
ターゲット・システムがMicrosoft ADAMであることを指定する場合は、 ターゲット・システムがMicrosoft Active Directoryであることを指定する場合は、 |
isLookupDN |
このパラメータは非推奨になりました。このパラメータに値を指定しないでください。このパラメータが表示されるのは、コネクタの現行リリースにアップグレードする場合のみです。 |
Microsoft Active Directoryでは、ユーザー・アカウントには、そのリーフ・ノードとして他のユーザー・アカウントを定義できます。isUserDeleteLeafNodeパラメータを使用して、リーフ・ノードを保持するユーザー・アカウントに対してユーザー削除プロビジョニング操作が発生したときに実行されるように、次のイベントのいずれかを構成します。
デフォルト値: 注意: このパラメータは、Microsoft ADAMには使用されません。ターゲット・システムがMicrosoft ADAMの場合は、デフォルト値を変更しないでください。 |
|
Allow Password Provisioning |
このパラメータに値を入力する場合は、
Oracle Identity Managerでのパスワードの変更をターゲット・システムに伝播しない場合は、このパラメータの値として |
AtMap ADGroup |
グループ・プロビジョニングに使用されるフィールド・マッピングを保存する参照定義の名前を入力します。 Microsoft Active Directoryの場合: Microsoft ADAMの場合: |
UPN Domain |
ユーザーのプロビジョニングとリコンサイルを実行するドメインの名前を入力します。 サンプル値: 管理およびユーザー・コンソールで、「ユーザーID」フィールドはOIMユーザー・フォームから取得された「ユーザー・ログイン」の値を事前移入されます。また、「ユーザー・プリンシパル名」フィールドは、「ユーザーID」フィールドの値とUPN Domainパラメータの値をアットマーク(@)で区切って連結したものを事前移入されます。たとえば、UPN Domainパラメータの値として 必要な場合は、「ユーザー・プリンシパル名」フィールドはフィールドのうち「ユーザーID」の部分をプロビジョニング操作時に変更できます。 |
Target Locale: TimeZone |
ターゲット・システムのタイムゾーンを入力します。たとえば、ターゲット・システムがアメリカ合衆国のアリゾナ州にある場合、 |
「更新」をクリックして値を保存します。
ここでは次の項目について説明します。
Remote Managerを使用すると、ターゲット・システムの「ターミナル サービスのプロファイル」のフィールドをリコンシリエーション操作およびプロビジョニング操作の対象とすることができます。
注意:
|
Remote Managerをインストールするには、次のようにします。
Remote Managerインストール・ファイルは、Oracle Identity Managerインストール・ファイルと同梱されています。Remote Managerは、ドメインに含まれる任意のコンピュータにインストールできます。使用するアプリケーション・サーバーに応じて、次のマニュアルのいずれかに記載されている指示に従い、Remote Managerをインストールする手順を実行してください。
『Oracle Identity Manager Oracle WebLogic Server用インストレーションおよび構成ガイド』
『Oracle Identity Manager IBM WebSphere Application Server用インストレーションおよび構成ガイド』
『Oracle Identity Manager JBoss Application Server用インストレーションおよび構成ガイド』
『Oracle Identity Manager Oracle Application Server用インストレーションおよび構成ガイド』
次のJARファイルをRM_HOME\xlremote\JavaTasksディレクトリにコピーします。
OIM_HOME\xellerate\lib\xlVO.jar
OIM_HOME\xellerate\lib\xlScheduler.jar
OIM_HOME\xellerate\lib\xlAPI.jar
OIM_HOME\xellerate\JavaTasks\xliActiveDirectory.jar
OIM_HOME\xellerate\ScheduleTask\xliADRecon.jar
ReconTerminalServiceAttr.vbsファイルおよびProvTerminalServiceAttr.vbsファイルをOIM_HOME/XLIntegrations/ADUM/scriptsディレクトリからRM_HOMEディレクトリ内に作成した任意のディレクトリにコピーします。
注意:
|
次のスクリプトを使用して、Remote Managerを起動します。
RM_HOME\xlremote\remotemanager.bat
Remote Managerのサービス名およびURLを書き留めます。これらの値は、Remote Managerのコマンド・ウィンドウに表示されます。Remote ManagerのITリソースを作成する際に、これらの値が必要です。デフォルト値は、RManager
およびrmi://
HOST_NAME
:12346
です。たとえば、ten.mydomain.comで実行されているRemote Managerの場合、デフォルト値はRManager
およびrmi://ten.mydomain.com:12346
です。
Remote Managerでロギングを有効にするには、次のようにします。
RM_HOME\xlremote\config\log.propertiesファイルに次の行を追加します。
log4j.logger.OIMCP.ADCS=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.OIMCP.ADCS=INFO
log.propertiesファイルで、次のパラメータを使用してログ情報を記録するファイルの名前および場所を指定します。
log4j.appender.logfile.File
Remote Managerでのクライアント側認証を有効にするには、次のようにします。
RM_HOME/xlremote/config/xlconfig.xmlファイルをテキスト・エディタで開きます。
次のようにClientAuthプロパティをtrue
に設定します。
<ClientAuth>true</ClientAuth>
次のようにRMIOverSSLプロパティがtrue
に設定されていることを確認します。
<RMIOverSSL>true</RMIOverSSL>
OIM_HOME/config/xlconfig.xmlファイルで、ステップ2〜3を実行します。
次の各項では、インストール後の作業について説明します。
Oracle Identity Managerの構成では、次の手順を実行します。
注意: クラスタ環境では、クラスタの各ノードでこれらの手順を実行する必要があります。 |
コネクタのデプロイ時に、インストール・メディアのresourcesディレクトリからOIM_HOME/xellerate/connectorResourcesディレクトリにリソース・バンドルがコピーされます。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュからクリアする必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_HOME/xellerate/binディレクトリに移動します。
注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。OIM_HOME/xellerate/bin/BATCH_FILE_NAME |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
注意: ステップ2の実行時にスローされる例外は無視できます。この例外は、ステップ1に示された例外とは異なります。 |
このコマンドのConnectorResourceBundle
は、サーバー・キャッシュから削除する必要があるコンテンツ・カテゴリです。
関連項目: コンテンツ・カテゴリの詳細は、次のファイルを参照してください。OIM_HOME/config/xlconfig.xml |
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。
Oracle WebLogic Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.OIMCP.ADCS=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.OIMCP.ADCS=INFO
ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。
IBM WebSphere Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.OIMCP.ADCS=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.OIMCP.ADCS=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBOSS_HOME/server/default/conf/log4j.xmlファイルで、次の行を検索します。
<category name="OIMCP.ADCS">
<priority value="LOG_LEVEL"/>
</category>
各セットのXMLコードの2行目で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
<category name="OIMCP.ADCS"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBOSS_HOME/server/default/log/server.log
Oracle Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.OIMCP.ADCS=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.OIMCP.ADCS=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
ORACLE_HOME/opmn/logs/default_group~home~default_group~1.log
高可用性のためにターゲット・システムのレプリケートされたインストールを複数設定したとします。Lookup.AD.BackupServers参照定義を使用すると、プライマリ・ターゲット・システム・インストールが使用不可になった場合に、Oracle Identity Managerによってセカンダリ・ターゲット・システム・インストールの1つに切り替えられるようにすることができます。Lookup.AD.BackupServers参照定義は、コネクタのデプロイ時に作成される参照定義の1つです。
1つのプライマリ・インストールに対して、任意の数のセカンダリ・インストールを保持できます。また、複数のプライマリ・インストールと連携して機能するようにコネクタを構成する場合は、プライマリ・インストールごとにセカンダリ・インストールを指定できます。
Lookup.AD.BackupServers参照定義を使用するには、Design Consoleで参照定義を開き、ターゲット・システムのプライマリ・インストールとセカンダリ・インストールの組合せごとにコード・キーおよびデコード値を入力します。
関連項目: 参照定義の使用の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
表2-5に、Lookup.AD.BackupServers参照定義のサンプル・エントリを示します。
表2-5 Lookup.AD.BackupServers参照定義のサンプル・エントリ
コード・キー | デコード |
---|---|
172.20.55.64 |
172.20.55.65 |
172.20.55.64 |
172.20.55.66 |
172.20.55.97 |
172.20.55.98 |
この表の最初の2つのエントリは、1つのプライマリ・インストール(172.20.55.64)に対する2つのセカンダリ・インストール(172.20.55.65および172.20.55.66)を表しています。3つ目のエントリは、プライマリ・インストール(172.20.55.97)とセカンダリ・インストール(172.20.55.98)の1対1の組合せを示しています。
ターゲット・システムでのインストール後の作業では、次の手順を実行します。
Microsoft Active Directoryでは、「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を使用して、パスワード・ポリシーを有効化または無効化します。
実行する手順は、次の目的の一方を達成するか両方を達成するかによって異なります。
パスワード・ポリシーを有効にする。
Oracle Identity Managerとターゲット・システムとの間にSSLを構成する。
注意: SSLの構成手順は、このガイドで後述します。 |
ターゲット・システムに、ユーザー・アカウントのパスワード・フィールドが決して空のままにならないようにするためのパスワード・ポリシーがあるとします。同時に、SSLを構成しないとします。これらの条件下では、ターゲット・システムは、パスワード・フィールドを空のままにするというプロビジョニング操作を拒否します。そのため、Oracle Identity Managerからこのようなプロビジョニング操作を実行できません。このような条件下でプロビジョニング操作を可能にするには、ターゲット・システムでパスワード・ポリシーを無効にする必要があります。
SSLを構成し、デフォルトのMicrosoft Windowsパスワード・ポリシーとカスタム・パスワード・ポリシーの両方を有効にする場合は、「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を有効にする必要があります。
「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を有効化または無効化するには、次のようにします。
注意: Microsoft ADAMをドメイン・コントローラにインストールすると、同じドメイン・コントローラにインストールされたMicrosoft Active Directoryのポリシーがすべて取得されます。Microsoft ADAMをワークグループにインストールすると、ローカル・システム・ポリシーが適用されます。 |
ターゲット・システムのMicrosoft Windowsホスト・コンピュータで、「スタート」メニュー、「プログラム」、「管理ツール」、「ドメイン セキュリティ ポリシー」の順にクリックします。
「セキュリティ設定」を選択し、「アカウント ポリシー」を拡張して「パスワード ポリシー」をクリックします。
「パスワードは、複雑さの要件を満たす必要がある」をダブルクリックします。
「パスワードは、複雑さの要件を満たす必要がある」ダイアログ・ボックスで「このポリシーの設定を定義する」を選択し、次を選択します。
有効: パスワード・ポリシーを有効化する場合
無効: パスワード・ポリシーを有効化しない場合
「OK」をクリックします。
ターゲット・システムを再起動します。
ここでは次の項目について説明します。
注意:
|
Remote ManagerのITリソースを作成するには、次のようにします。
管理およびユーザー・コンソールにログインします。
「リソース管理」を展開します。
「ITリソースの作成」をクリックします。
「ステップ1: ITリソース情報の入力」セクションで、次の手順を実行します。
ITリソース名: ITリソースの名前を入力します。
ITリソース・タイプ: 「ITリソース・タイプ」リストから「Remote Manager」を選択します。
Remote Manager: このフィールドには値を入力しないでください。
「続行」をクリックします。図2-3に、「ITリソースの作成」ページで追加されたITリソース値を示します。
「ステップ2: ITリソース・パラメータ値の指定」セクションで、ITリソース・パラメータの値を指定し、「続行」をクリックします。図2-4に、「ステップ2: ITリソース・パラメータ値の指定」セクションを示します。
表2-6に、ITリソース・パラメータの説明を示します。
「ステップ3: ITリソースへのアクセス権限の設定」ページの、作成中のITリソースに対する読取り、書込みおよび削除の権限を持つグループのリストに、SYSTEM ADMINISTRATORS
グループがデフォルトで表示されます。
注意: このステップはオプションです。 |
グループをITリソースに割り当て、グループに対してアクセス権限を設定する場合は、次のようにします。
「グループの割当て」をクリックします。
ITリソースに割り当てるグループについて、「割当て」を選択し、設定するアクセス権限を選択します。たとえば、ALL USERS
グループを割り当て、読取りおよび書込み権限をこのグループに設定する場合は、このグループの行で「割当て」チェック・ボックスを選択し、それぞれの権限のチェック・ボックスを選択する必要があります。
「割当て」をクリックします。
「ステップ3: ITリソースへのアクセス権限の設定」ページで、ITリソースに割り当てられたグループのアクセス権限を変更する場合は、次のようにします。
注意:
|
「権限の更新」をクリックします。
このページに表示されるグループに対して特定のアクセス権限を設定するか削除するかに応じて、対応するチェック・ボックスを選択または選択解除します。
「更新」をクリックします。
「ステップ3: ITリソースへのアクセス権限の設定」ページで、ITリソースからグループの割当てを解除する場合は、次のようにします。
注意:
|
割当てを解除するグループの「割当て解除」チェック・ボックスを選択します。
「割当て解除」をクリックします。
「続行」をクリックします。図2-5に、「ステップ3: ITリソースへのアクセス権限の設定」ページを示します。
「ステップ4: ITリソースの詳細の確認」ページで、1ページ目、2ページ目、3ページ目で指定した情報を確認します。ページに入力したデータを変更する場合は、「戻る」をクリックしてそのページを戻り、必要な変更を行います。
「続行」をクリックして、ITリソースの作成を続行します。図2-6に、「ステップ4: ITリソースの詳細の確認」ページを示します。
「ステップ5: ITリソースの接続結果」ページに、ITリソース情報を使用して実行された接続テストの結果が表示されます。テストが成功した場合は、「作成」をクリックします。テストが失敗した場合は、次のステップのいずれかを実行できます。
「戻る」をクリックして前のページに戻り、ITリソースの作成情報を修正します。
「取消」をクリックして手順を中止し、ステップ1から始めます。
「作成」をクリックして作成プロセスを続行します。後で問題を修正し、診断ダッシュボードを使用して接続テストに戻ることができます。
注意: エラーが発生しなかった場合、ボタンのラベルは「続行」ではなく「作成」となります。 |
図2-7に、「ステップ5: ITリソースの接続結果」ページを示します。
「終了」をクリックします。図2-8に、「作成されたITリソース」ページを示します。
Remote Managerを信頼するようにOracle Identity Managerを構成するには、次のようにします。
Remote Managerのホスト・コンピュータから、RM_HOME/xlremote/config/xlserver.certファイルをOracle Identity Managerホスト・コンピュータの一時ディレクトリにコピーします。
注意: OIM_HOMEディレクトリのサーバー証明書の名前もxlserver.certです。この証明書を上書きしないようにしてください。 |
keytoolユーティリティを使用して証明書をインポートするには、次のコマンドを実行します。
JAVA_HOME/jre/bin/keytool -import -alias ALIAS -file RM_CERT_LOCATION/xlserver.cert -keystore OIM_HOME/xellerate/config/.xlkeystore -storepass PASSWORD
このコマンドで、次の置換を行います。
JAVA_HOME
をアプリケーション・サーバーのJavaディレクトリの場所に置き換えます。
ALIAS
をストア内の証明書の別名に置き換えます。
RM_CERT_LOCATION
を証明書をコピーした一時ディレクトリのフルパスに置き換えます。
PASSWORD
をキーストアのパスワードに置き換えます。
OIM_HOME/xellerate/config/xlserver.certファイルをRemote Managerホスト・コンピュータの一時ディレクトリにコピーします。
Remote Managerホスト・コンピュータでkeytoolユーティリティを使用して証明書をインポートするには、次のコマンドを実行します。
JAVA_HOME/jre/bin/keytool -import -alias ALIAS -file OIM_CERT_LOCATION/xlserver.cert -keystore RM_HOME/xlremote/config/.xlkeystore -storepass PASSWORD
このコマンドで、次の置換を行います。
JAVA_HOME
をアプリケーション・サーバーのJavaディレクトリの場所に置き換えます。
ALIAS
をストア内の証明書の別名に置き換えます。
OIM_CERT_LOCATION
を証明書をコピーした一時ディレクトリのフルパスに置き換えます。
PASSWORD
をキーストアのパスワードに置き換えます。
注意: セキュリティのベスト・プラクティスに従い、Remote Managerキーストアに使用されるデフォルト・パスワードの変更をお薦めします。Remote Managerキーストアのパスワードを変更するには、使用するアプリケーション・サーバー用のOracle Identity Managerのインストレーションおよび構成ガイドに記載されている説明に従ってください。 |
Remote Managerが実行されていることを確認するには、次のようにします。
次のスクリプトを使用して、Remote Managerを起動します。
RM_HOME\xlremote\remotemanager.bat
Design Consoleにログインします。
「Administration」を開き、「Remote Manager」をダブルクリックします。
作成したRemote Managerを検索して開きます。
「Refresh」アイコンをクリックします。画面に、構成済のRemote Managerの詳細が表示されます。「running」チェック・ボックスをRemote Managerに対して選択します。これはRemote Managerのステータスがアクティブであることを示します。
Oracle Identity ManagerとMicrosoft Active Directoryとの間にSSL通信を構成するには、次のタスクを実行する必要があります。
ターゲット・システムのホスト・コンピュータに証明書サービスをインストールするには、次のようにします。
注意: 証明書サービスをインストールする前に、インターネット インフォーメーション サービス(IIS)がターゲット・システムのホスト・コンピュータにインストールされていることを確認する必要があります。 |
オペレーティング・システムのインストール・メディアをCD-ROMドライブまたはDVDドライブにセットします。
「スタート」、「設定」、「コントロール パネル」の順にクリックします。
「プログラムの追加と削除」をダブルクリックします。
「Windowsコンポーネントの追加と削除」をクリックします。
「証明書サービス」を選択します。
Windowsコンポーネント ウィザードで、手順に従って証明書サービスを開始します。
注意: ウィザードに入力する際に、CAの種類として「エンタプライズのルートCA」を選択します。これは、「ドメイン コントローラ」テンプレートを使用してポリシーを追加する(次の手順で実行するステップ)ために必要です。 |
ターゲット・システムのホスト・コンピュータでは、LDAP over SSL(LDAPS)を有効にする必要があります。LDAPSを有効にするには、次のようにします。
「Active Directoryユーザーとコンピュータ」コンソールで、ドメイン・ノードを右クリックし、「プロパティ」を選択します。
「グループ ポリシー」タブをクリックします。
「既定のドメイン ポリシー」を選択します。
「編集」をクリックします。
「コンピュータの構成」、「Windowsの設定」、「セキュリティ設定」、「公開キーのポリシー」の順にクリックします。
「自動証明書要求の設定」を右クリックし、「新規」を選択して、「自動証明書要求」を選択します。ウィザードが開始します。
ウィザード上で、「ドメイン コントローラ」テンプレートを適用してポリシーを追加します。
この手順が終了すると、証明書が作成され、LDAPSがポート636で有効になります。LDAPブラウザ・ユーティリティを使用して、LDAPSが機能していることを確認できます。
Microsoft Active Directory証明書が発行されていない、またはCAから証明されていない場合は、信頼できる証明書として設定します。そのためには、まず証明書をエクスポートし、次にOracle Identity Managerホスト・コンピュータのキーストアに信頼できるCAの証明書としてインポートします。
Microsoft Active Directory証明書をエクスポートする手順:
「スタート」、「プログラム」、「管理ツール」、「証明機関」の順にクリックします。
作成する認証局を右クリックし、「プロパティ」を選択します。
「全般」タブで、「証明書の表示」をクリックします。
「詳細」タブで、「ファイルにコピー」をクリックします。
ウィザード上で、BASE64エンコーディングを使用して証明書(.cer
)ファイルを作成します。
ターゲット・システム証明書をOracle Identity Managerホスト・コンピュータの証明書ストアにインポートする手順:
注意: Oracle Identity Managerリリース9.1.0でサポートされるアプリケーション・サーバーのすべてのリリースがサポートされます。クラスタ環境では、クラスタのすべてのノードでこの手順を実行する必要があります。 |
Oracle Identity Managerホスト・コンピュータにターゲット・システム証明書をコピーします。
証明書ファイルのコピー先のディレクトリに移動し、次のようなコマンドを入力します。
keytool -import -alias ALIAS -file CER_FILE -keystore MY_CACERTS -storepass PASSWORD
コマンドの説明は次のとおりです。
ALIAS
は、証明書の別名です(たとえば、サーバー名など)。
CER_FILE
は、証明書(cer.)ファイルのフルパスおよび名前です。
表2-7に、サポートされる各アプリケーション・サーバーの証明書ストアの場所を示します。
表2-7 証明書ストアの場所
アプリケーション・サーバー | 証明書ストアの場所 |
---|---|
Oracle WebLogic Server |
|
IBM WebSphere Application Server |
|
JBoss Application Server |
JAVA_HOME/jre/lib/security/cacerts |
Oracle Application Server |
ORACLE_HOME/jdk/jre/lib/security/cacerts |
次のようなコマンドを入力し、証明書のインポートが成功しているかどうかを確認します。
keytool -list -alias ALIAS -keystore MY_CACERTS -storepass PASSWORD
次に例を示します。
keytool -list -alias MyAlias -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit
非クラスタ構成のIBM WebSphere Application Serverの場合、jsse.jarファイルをSun社のWebサイトからダウンロードし、WEBSPHERE_HOME/java/jre/lib/extディレクトリにコピーします。
クラスタ構成のIBM WebSphere Application Serverの場合、jnet.jar、jsse.jarおよびjcert.jarファイルをSun社のWebサイトからダウンロードし、WEBSPHERE_HOME/java/jre/lib/extディレクトリにコピーします。
Oracle Identity ManagerとMicrosoft ADAMとの間にSSL通信を構成するには、次のタスクを実行する必要があります。
注意: 証明書を生成する前に、インターネット インフォーメーション サービス(IIS)がターゲット・システムのホスト・コンピュータにインストールされていることを確認する必要があります。 |
Microsoft ADAMで証明書を生成するには、次の手順を実行します。
証明書のリクエストを送信するには、次のようにします。
ターゲット・システムのホスト・コンピュータで、インターネット インフォーメーション サービス(IIS)マネージャを開きます。
次のいずれかの方法を使用して、インターネット インフォーメーション サービス(IIS)マネージャを開くことができます。
次のURLを使用します。
http://localhost/certsrv
「コントロール パネル」を開いて「管理ツール」をダブルクリックし、「IISサービス」をダブルクリックします。
「Webサイト」、「既定のWebサイト」の順に開きます。
「CertSrv」を右クリックし、「参照」を選択します。
「証明書を要求する」をクリックします。
「証明書の要求の詳細設定」をクリックします。
「このCAへの要求を作成し送信する」をクリックします。
「証明書の要求の詳細設定」ページで、次のアクションを実行します。
注意: このページの一部のフィールドについてのみ説明します。残りのフィールドについては、要件に応じて値を入力できます。 |
「名前」フィールドに、ターゲット・システムのホスト・コンピュータの完全修飾ドメイン名(FQDN)を入力します。たとえば、hk128.corp.example.com
と入力します。
注意: ターゲット・システム・インストールで、このフィールドの値がすでに選択されている場合、変更する必要はありません。 |
「識別情報」領域の残りのフィールドに値を入力する必要はありません。
「ローカル コンピュータの証明書ストアに証明書を格納する」を選択します。
形式として「PCKS10」を選択します。
「フレンドリ名」フィールドに、ターゲット・システムのホスト・コンピュータのFQDNを入力します。たとえば、hk128.corp.example.com
と入力します。
「送信」をクリックします。
証明書のリクエストを確認するよう要求するメッセージが表示されたら、「はい」をクリックします。
証明書を発行するには、次のようにします。
ターゲット・システムのホスト・コンピュータで、「コントロール パネル」を開きます。
「管理ツール」、「証明機関」の順にダブルクリックします。
「証明機関」ウィンドウで、「Administrator」を開き、「保留中の要求」を開きます。
以前に作成したリクエストが右側のペインに表示されます。
リクエストを右クリックし、「すべてのタスク」、「発行」の順に選択します。
「発行した証明書」フォルダを開きます。
証明書が右側のペインに表示されます。
インターネット インフォーメーション サービス(IIS)マネージャを開きます。
「Webサイト」、「既定のWebサイト」の順に開きます。
「CertSrv」を右クリックし、「参照」を選択します。
「保留中の証明書の要求の状態」をクリックします。
証明書リクエストのリンクをクリックします。
「この証明書をインストール」をクリックします。
証明書の追加を確認するよう要求するメッセージが表示されたら、「はい」をクリックします。
証明書が正常にインストールされたことを示すメッセージが表示されます。
Microsoft ADAMサービスの個人ストアに証明書を追加するには、次のようにします。
ターゲット・システムのホスト・コンピュータで、「ファイル名を指定して実行」ダイアログ・ボックスを使用して、Microsoft管理コンソールを開くために次のコマンドを実行します。
mmc
Microsoft管理コンソールで、「ファイル」をクリックして「スナップインの追加と削除」を選択します。
「スナップインの追加と削除」ダイアログ・ボックスの「スタンドアロン」タブで、「追加」をクリックします。
スナップインのリストから「証明書」を選択して、「追加」をクリックします。
「証明書スナップイン」ダイアログ・ボックスで、「サービス アカウント」を選択します。
「コンピュータの選択」ダイアログ・ボックスで、「ローカル コンピュータ」を選択して「次へ」をクリックします。
「証明書スナップイン」ダイアログ・ボックスの「サービス アカウント」リストから、Microsoft ADAMサービス・インスタンスを選択して「完了」をクリックします。
「証明書スナップイン」ダイアログ・ボックスで、「ユーザー アカウント」を選択して「完了」をクリックします。
「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。
「コンピュータの選択」ダイアログ・ボックスで、「ローカル コンピュータ」を選択して「完了」をクリックします。
「閉じる」をクリックした後、「OK」をクリックします。
Microsoft管理コンソール・ウィンドウで、「証明書 (ローカル コンピュータ)」、「個人」、の順に開いた後、「証明書」を開きます。
追加した証明書を右クリックして、コピーします。
この証明書の名前は、ホスト・コンピュータのFQDNです。
次のフォルダに証明書を貼り付けます。
「証明書 - ローカル コンピュータ上のサービス (ADAM_INSTANCE_NAME)」フォルダの下の「個人」フォルダ
「証明書 - 現在のユーザー」フォルダの下の「個人」フォルダ
「ファイル」をクリックして「上書き保存」を選択し、Microsoft管理コンソールで行った変更を保存します。
証明書鍵があるフォルダに必要な権限を割り当てるには、次のようにします。
Microsoft Windowsエクスプローラで、「MachineKeys」フォルダに移動します。このフォルダへのパスは、次のようなパスです。
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
「MachineKeys」フォルダを右クリックし、「プロパティ」を選択します。
「追加」ボタンを使用して、次のグループおよびユーザーを追加します。
Administrators
Everyone
NETWORK SERVICE
Microsoft ADAMのインストールに使用されたアカウントのユーザー名
SYSTEM
「アクセス許可」リストから「フル コントロール」を選択します。
「適用」をクリックした後、「OK」をクリックします。
Microsoft Windowsエクスプローラで、「MachineKeys」フォルダを開き、証明書鍵を選択します。この証明書鍵のタイムスタンプは、証明書の作成日時です。
注意: 作成した証明書鍵が表示されない場合は、フォルダをリフレッシュします。 |
鍵を右クリックして、「プロパティ」を選択します。
「追加」ボタンを使用して、次のグループおよびユーザーを追加します。
Administrators
Everyone
NETWORK SERVICE
Microsoft ADAMのインストールに使用されたアカウントのユーザー名
SYSTEM
「アクセス許可」リストから「フル コントロール」を選択します。
「適用」をクリックした後、「OK」をクリックします。
Microsoft ADAMインスタンスを再起動するには、次のようにします。
「コントロール パネル」を開きます。
「管理ツール」をダブルクリックして「サービス」を選択します。
「サービス」ウィンドウで、Microsoft ADAMインスタンスを右クリックして「再起動」を選択します。
証明書をテストするには、次のようにします。
ターゲット・システムのホスト・コンピュータでADAM ツール コマンド プロンプトのウィンドウを開くには、「スタート」、「プログラム」、「ADAM」、「ADAM ツール コマンド プロンプト」の順にクリックします。
ADAM ツール コマンド プロンプトのウィンドウで、ldp
と入力して[Enter]を押します。
「LDAPS」ダイアログ・ボックスの「Connection」メニューから、「Connect」を選択します。
「Connect」ダイアログ・ボックスで次のようにします。
「Server」フィールドに、ターゲット・システムのホスト・コンピュータのFQDNを入力します。
「Port」フィールドに、SSLポート番号を入力します。
「SSL」を選択します。
「OK」をクリックします。
SSLが正常に構成されている場合は、接続に関するステータス・メッセージがLDAPSウィンドウの右側のペインに表示されます。
Microsoft ADAM証明書が発行されていない、またはCAから証明されていない場合は、信頼できる証明書として設定します。そのためには、まず証明書をエクスポートし、次にOracle Identity Managerホスト・コンピュータのキーストアに信頼できるCAの証明書としてインポートします。
Microsoft管理コンソールを開きます。
Microsoft管理コンソール・ウィンドウで、「証明書 (ローカル コンピュータ)」、「個人」、の順に開いた後、「証明書」を開きます。
証明書を右クリックし、「すべてのタスク」、「エクスポート」の順に選択します。
ウィザード上で、BASE64エンコーディングを使用して証明書(.cer)ファイルを作成します。
ターゲット・システム証明書をOracle Identity Managerホスト・コンピュータの証明書ストアにインポートする手順:
注意: Oracle Identity Managerリリース9.1.0でサポートされるアプリケーション・サーバーのすべてのリリースがサポートされます。クラスタ環境では、クラスタのすべてのノードでこの手順を実行する必要があります。 |
Oracle Identity Managerホスト・コンピュータにターゲット・システム証明書をコピーします。
証明書ファイルのコピー先のディレクトリに移動し、次のようなコマンドを入力します。
keytool -import -alias ALIAS -file CER_FILE -keystore MY_CACERTS -storepass PASSWORD
コマンドの説明は次のとおりです。
ALIAS
は、証明書の別名です(たとえば、サーバー名など)。
CER_FILE
は、証明書(cer.)ファイルのフルパスおよび名前です。
表2-8に、サポートされる各アプリケーション・サーバーの証明書ストアの場所を示します。
表2-8 証明書ストアの場所
アプリケーション・サーバー | 証明書ストアの場所 |
---|---|
Oracle WebLogic Server |
|
IBM WebSphere Application Server |
|
JBoss Application Server |
JAVA_HOME/jre/lib/security/cacerts |
Oracle Application Server |
ORACLE_HOME/jdk/jre/lib/security/cacerts |
次のようなコマンドを入力し、証明書のインポートが成功しているかどうかを確認します。
keytool -list -alias ALIAS -keystore MY_CACERTS -storepass PASSWORD
次に例を示します。
keytool -list -alias MyAlias -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit
非クラスタ構成のIBM WebSphere Application Serverの場合、jsse.jarファイルをSun社のWebサイトからダウンロードし、WEBSPHERE_HOME/java/jre/lib/extディレクトリにコピーします。
クラスタ構成のIBM WebSphere Application Serverの場合、jnet.jar、jsse.jarおよびjcert.jarファイルをSun社のWebサイトからダウンロードし、WEBSPHERE_HOME/java/jre/lib/extディレクトリにコピーします。