| Oracle Identity Manager Microsoft Active Directory Password Synchronization Connectorガイド リリース9.1.1 B54801-02 |
|
 戻る |
 次へ |
| Oracle Identity Manager Microsoft Active Directory Password Synchronization Connectorガイド リリース9.1.1 B54801-02 |
|
戻る |
次へ |
コネクタをデプロイする手順は、次のステージに分けることができます。
コネクタのインストール前の作業では、次の各項に記載されている手順を実行します。
コネクタをインストールする前に、次のデプロイ要件に対応していることを確認する必要があります。
コネクタをインストールするコンピュータが、表2-1に記載されている要件を満たしている必要があります。
Oracle Identity Managerリリース9.1.0.0以上のインスタンスがSPML Webサービスとともにインストールおよび実行されていて、コネクタをインストールする、Microsoft Active Directoryドメイン・コントローラをホスティングしているコンピュータからアクセスできる。
ターゲット・システムのホスト・コンピュータは、IPアドレスとホスト名の両方を使用してアプリケーション・サーバー・ホストをpingできる必要があります。
この項の内容は次のとおりです。
コネクタをインストールするには、次のようにします。
Microsoft Active Directoryのホスト・コンピュータで、次のようにしてインストーラを実行します。
インストール・メディアの内容を一時ディレクトリにコピーします。
一時ディレクトリで、setup.exeファイルを実行してインストーラを起動します。
「ようこそ」ページで、「次へ」をクリックします。
次のページで、「次へ」をクリックします。
「インストール・ディレクトリ」ページでは、デフォルトのインストール・ディレクトリをそのまま使用することも、「参照」ボタンを使用してコネクタのインストール先のディレクトリを指定することもできます。
図2-1に、「インストール・ディレクトリ」ページを示します。
「次へ」をクリックします。
前のステップで指定したインストール・ディレクトリが存在している場合は、そのディレクトリを上書きするかどうかインストーラによって確認が求められます。そうでない場合、インストーラによってインストール・ディレクトリが作成されます。
「Active Directory構成パラメータ」ページでは、Microsoft Active Directoryの構成パラメータが表示されますが、すべてのフィールドで表示されている値を確認します。
このページに表示されている値が、Microsoft Active Directoryの現在のインストールに関する値と一致しない場合は、表示されている値を変更して一致させます。そうでない場合は、次のステップに進みます。
図2-2に、サンプル値が指定された「Active Directory構成パラメータ」ページを示します。
表2-2に、Microsoft Active Directoryの各構成パラメータの説明を示します。
表2-2 Microsoft Active Directoryの構成パラメータ
| パラメータ | 説明 |
|---|---|
|
ドメイン |
コネクタのインストール先であるMicrosoft Active Directoryドメイン・コントローラに対応するドメイン名を入力します。この値は通常、DNSのドメイン名です。 サンプル値: |
|
ベースDN |
Microsoft Active DirectoryのベースDNを入力します。これは、変更されたパスワードを記録しているエントリをコネクタが検索するときに使用するコンテナです。organizationUnitである永続キューは、このコンテナ内に作成されます。したがって、指定するベースDNは、 サンプル値: |
|
ポート |
Microsoft Active Directoryのホスト・コンピュータに対応するLDAPのポート番号を入力します。 デフォルト値: |
|
ホスト |
Microsoft Active Directoryホスト・コンピュータのIPアドレス(ホスト名ではなく)を入力します。 サンプル値: |
「次へ」をクリックします。
2番目の「Active Directory構成パラメータ」ページで、次のフィールドに値を入力します。
ユーザー: Administratorsグループに属するアカウントのユーザー名を入力します。
次のいずれかの形式を使用してユーザー名を入力できます。
USER_LOGIN@DOMAIN.COM
cn=USER_LOGIN,cn=USERS,dc=DOMAIN,dc=com
サンプル値:
john_doe@example.com
cn=admin,cn=Users,dc=example,dc=com
ユーザー・パスワード: 「ユーザー」フィールドに入力したアカウントに対応するパスワードを入力します。
ログ・ファイル・パス: ログ・ファイルを生成する必要のあるディレクトリのフルパスを入力します。
デフォルト値: INSTALLATION_DIRECTORY\Logs
INSTALLATION_DIRECTORYは、ステップ4で指定した値です。
ロギングの詳細は、「パスワード同期の無効化および有効化」を参照してください。
図2-3に、サンプル値が指定されたMicrosoft Active Directory情報ページを示します。
インストールを続行するには、「次へ」をクリックします。
「Oracle Identity Manager構成パラメータ」ページで、Oracle Identity Managerの構成パラメータに値を指定します。
図2-4に、サンプル値が指定された「Oracle Identity Manager構成パラメータ」ページを示します。
図2-4 「Oracle Identity Manager構成パラメータ」ページ(インストール)
表2-3に、Oracle Identity Managerの各構成パラメータの説明を示します。
表2-3 Oracle Identity Managerの構成パラメータ
| パラメータ | 説明 |
|---|---|
|
ホスト |
Oracle Identity Managerをホストするコンピュータのホスト名(IPアドレスではなく)を入力します。 注意: ホスト名は、Microsoft Active Directoryホスト・コンピュータからアクセスできることが必要です。 サンプル値: |
|
ポート |
Oracle Identity Manager内のSPML Webサービスがリスリングするポートの番号を入力します。 サンプル値: |
|
管理者ログイン |
コネクタでパスワード同期操作中にOracle Identity Managerへのログインに使用されるアカウントのユーザー名を入力します。このアカウントには、OIMユーザーのパスワードを変更するのに必要な権限を割り当てる必要があります。 |
|
管理者パスワード |
コネクタでパスワード同期操作中にOracle Identity Managerへのログインに使用されるアカウントのパスワードを入力します。 |
|
OIMユーザー属性 |
OIMユーザーをターゲット・システム内のユーザーと比較するときに使用するUSR表の中に、列のメタデータ列コードを入力します。パスワード同期時に、パスワードを変更するユーザーに対応するsAMAccountNameの値が、この列の中にある値と比較されます。 サンプル値(事前定義済のOIMUserフィールドの場合): ユーザー定義OIMUserフィールドの場合は、USR_UDF_FIELD_NAMEフォーマットを使用できます。 サンプル値: 物理的な列名とメタデータ列コードの間でのマッピングの詳細は、『Oracle Identity Manager API使用法ガイド』の付録「メタデータ列コード」を参照してください。 |
|
OIMアプリケーション・サーバー・タイプ |
Oracle Identity Managerをホストするアプリケーション・サーバーの名前を選択します。 サンプル値: |
|
SSLの使用 |
Oracle Identity ManagerとMicrosoft Active Directoryとの間でSSL通信を構成する場合は、「はい」を選択します。そうではない場合、 デフォルト値: 注意: SSLを構成してターゲット・システムからOracle Identity ManagerへのSOAPメッセージの送信を保護することをお薦めします。SSLの有効化の詳細は、「SSLの構成」を参照してください。 |
|
クライアント証明書のサブジェクト名 |
SSLに関して使用する必要のあるクライアント証明書を識別する文字列を入力します。 サンプル値: ここで、TQL17は証明書内の発行先の値です。 |
「次へ」をクリックします。
「構成パラメータ情報」ページで、次のフィールドに値を入力します。
OIMとのパスワード同期が行われた後の時間間隔 - (分単位): このフィールドには整数値を入力します。この値は、パスワード変更イベントの処理相互間でコネクタがスリープする分数を表します。メモリー内および永続キュー内にあるすべての変更イベントを処理した後、コネクタはスリープ・モードに移行します。
デフォルト値: 1
パスワードをADからOIMに同期する際の最大再試行数: 整数値を入力します。この値は、パスワード変更レコードを永続キューから削除する前に、コネクタがパスワードの伝播を試行する回数を表します。
デフォルト値: 5
図2-5に、サンプル値が指定されたコネクタ構成パラメータ・ページのスクリーンショットを示します。
「次へ」をクリックします。
「サマリー」ページで、コネクタのインストール・ディレクトリが正しく表示されていることを確認し、「次へ」をクリックします。
|
注意: インストール・ディレクトリを変更する必要がある場合には、「インストール・ディレクトリ」ページが表示されるまで「戻る」をクリックし、必要な変更を行ってからインストール手順を再度進めます。 |
図2-6に、「サマリー」ページを示します。
|
注意: 64ビット版のMicrosoft Windowsオペレーティング・システムにコネクタをインストールする場合、次のステップに進む前に、oimadpwdsync10.dllファイルおよびorclmessages.dllファイルをWindows\SysWOW64ディレクトリからWINDOWS\system32ディレクトリにコピーします。 |
次のページで、「次へ」をクリックし、コンピュータを再起動します。
oimadpwdsync10.dllファイルを初期化するために、コンピュータを再起動する必要があります。oimadpwdsync10.dllファイルが初期化されていない場合は、コネクタによる、ターゲット・システムからOracle Identity Managerへのパスワード変更の伝播の準備ができていません。
コネクタによるパスワード伝播の準備ができていることの確認
コネクタによる、ターゲット・システムからOracle Identity Managerへのパスワード変更の伝播の準備ができていることを確認するために、oimadpwdsync10.dllファイルが初期化されたことをチェックする必要があります。
oimadpwdsync10.dllファイルが初期化されたことを確認するには、次のようにします。
「パスワード同期の無効化および有効化」で説明されている手順を実行し、TIME_STAMPOIMMain.logファイルへのロギングを有効にします。
「コネクタのインストール」のステップ8を実行するときに、「ログ・ファイル・パス」フィールドで指定したパスの中にTIME_STAMPOIMMain.logファイルが生成されているかどうかを確認します。
TIME_STAMPOIMMain.logファイルが生成されている場合は、oimadpwdsync10.dllファイルは初期化されます。そうでない場合は、コネクタを再インストールする必要があります。
コネクタをインストールするときに、Microsoft Active Directory、Oracle Identity Managerおよびコネクタの構成パラメータに値を指定します。コネクタをインストールした後、いずれかの構成パラメータの値を変更する場合は、この項で説明する手順を実行する必要があります。
コネクタを再構成するには、次のようにします。
Microsoft Active Directoryのホスト・コンピュータで、tempディレクトリに配置されているsetup.exeファイルを実行します。
「ようこそ」ページで、「次へ」をクリックします。
「Active Directory構成パラメータ」ページで、必要な場合は次のパラメータのいずれかまたはすべてで値を変更します。
ドメイン
ベースDN
ポート
ホスト
図2-2に、サンプル値が指定された「Active Directory構成パラメータ」ページを示します。
「次へ」をクリックします。
「Oracle Identity Manager構成パラメータ」ページで、必要な場合は次のパラメータのいずれかまたはすべてで値を変更します。
ホスト
ポート
OIMユーザー属性
OIMアプリケーション・サーバー・タイプ
SSLの使用
クライアント証明書のサブジェクト名
図2-4に、サンプル値が指定された「Oracle Identity Manager構成パラメータ」ページを示します。
「次へ」をクリックします。
「構成パラメータ情報」ページで、必要な場合は次のフィールドのいずれかまたはすべてで値を変更します。
OIMとのパスワード同期が行われた後の時間間隔 - (分単位)*
パスワードをADからOIMに同期する際の最大再試行数*
図2-5に、サンプル値が指定された「構成パラメータ」ページのスクリーンショットを示します。
コネクタを再構成するには、「次へ」をクリックします。
2番目の「Active Directory構成パラメータ」ページで、いずれかのフィールドの値を変更する場合は、このページに表示されているすべてのフィールドに値を入力する必要があります。そうでない場合は、すべてのフィールドを空白にし、次のステップに進みます。
2番目の「Active Directory構成パラメータ」ページで、次のフィールドが表示されます。
Active Directoryユーザー
Active Directoryユーザー・パスワード
Oracle Identity Managerユーザー
Oracle Identity Managerユーザー・パスワード
図2-10に、サンプル値が指定された2番目の「Active Directory構成パラメータ」ページのスクリーンショットを示します。
2番目の「Active Directory構成パラメータ」ページで、「次へ」をクリックします。
次のページで、「終了」をクリックし、コネクタの再構成手順を完了します。
コネクタのインストール後には、次の手順を実行する必要があります。
ログ・ファイルには、パスワード同期の際に発生するイベントの情報が含まれています。ログ・ファイルを使用して、パスワード同期の際に発生する可能性のあるエラーの原因を決定できます。
このコネクタにより、3つのログ・ファイルが提供されます。各ログ・ファイルの名前にはTIME_STAMPという接頭辞が付きますが、これはログ・ファイルの作成時刻を表します。
次に、このコネクタのログ・ファイルのリストと説明を示します。
TIME_STAMP_PasswordChange.log
このファイルには、コネクタが有効化されたかどうかに関する情報が格納されます。TIME_STAMP_PasswordChange.logというファイル名のうち、TIME_STAMPはYearMonthDayHourMinuteSecondMillisecondフォーマットでログ・ファイルの作成時刻を表します。
サンプル値: 200931801311828_PasswordChange.log
TIME_STAMP_PasswordChange.logファイルは、oimadpwdsync10.dllファイルが初期化されるたびに生成されます。コネクタをホストしているコンピュータを再起動するときに、oimadpwdsync10.dllファイルが初期化されます。
TIME_STAMPOIMMain.log
このファイルには、メモリー内キューと永続キューに保存されているパスワード変更レコードが処理されている間に発生したイベントの情報が格納されます。TIME_STAMPOIMMain.logというファイル名のうち、TIME_STAMPはYearMonthDayフォーマットでログ・ファイルの作成時刻を表します。
サンプル値: 2009318OIMMain.log
TIME_STAMPOIMMain.logファイルは、パスワード更新スレッドが作成されるたびに生成されます。
TIME_STAMP_adsi_debug.log
このファイルには、Microsoft Active Directory内でパスワードが変更された時刻以降、パスワードの変更がメモリー内キューに保存された時刻までに発生したイベントの情報が格納されます。TIME_STAMP_adsi_debug.logというファイル名のうち、TIME_STAMPはYearMonthDayHourMinuteSecondMillisecondフォーマットでログ・ファイルの作成時刻を表します。
サンプル値: 2009318212319187_adsi_debug.log
TIME_STAMP_adsi_debug.logファイルは、パスワード変更イベントが発生されるたびに生成されます。
ロギングを有効または無効にするには、次のようにします。
デフォルトでは、ロギングはパスワード同期コネクタに対して無効化されます。コネクタをインストールした後、ロギングを有効にする場合、またはロギングを有効にした後で無効にする場合は、この項で説明する手順を実行します。
|
注意: この項で説明する手順は、ターゲット・システムのホスト・コンピュータで実行する必要があります。 |
「スタート」メニューから、「ファイル名を指定して実行」をクリックします。
「ファイル名を指定して実行」ダイアログ・ボックスで、regeditを入力します。
レジストリ・エディタ・ウィンドウの左ナビゲーション・ペインで次のようにします。
TIME_STAMP_PasswordChange.logファイルへのイベントのロギングを有効または無効にする場合は、次のようにします。
次のキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\oimpwdsync\ADConfig
右ペインで、Logの値をダブルクリックします。
TIME_STAMPOIMMain.logファイルへのイベントのロギングを有効または無効にする場合は、次のようにします。
次のキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\oimpwdsync\OIMConfig
右ペインで、OIMLogの値をダブルクリックします。
TIME_STAMP_adsi_debug.logファイルへのイベントのロギングを有効または無効にする場合は、次のようにします。
次のキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\oimpwdsync\ADConfig
右ペインで、Logの値をダブルクリックします。
「文字列の編集」ダイアログ・ボックスで次のようにします。
ロギングを無効にする場合は、「値のデータ」フィールドにNを入力します。
ロギングを有効にする場合は、「値のデータ」フィールドにYを入力します。
「OK」をクリックします。
TIME_STAMP_PasswordChange.logファイルへのイベントのロギングを有効または無効にした場合は、変更を有効にするためにコンピュータを再起動します。
|
注意: リリース9.1.1より前のリリースであるUser Management Connectorをインストールした場合は、AD Sync installedパラメータの値をnoに設定する必要があります。たとえば、User Management Connectorリリース9.1.0をインストールした場合は、AD Sync installedパラメータの値をnoに設定する必要があります。 |
ユーザー管理コネクタをインストールする際に、Oracle Identity ManagerにADITResource ITリソースが作成されます。Allow Password Provisioningパラメータは、User Management Connector用のパラメータです。
ターゲット・システムをパスワードの信頼できるソースとして使用する場合は、Allow Password Provisioningパラメータをnoに設定します。このパラメータの値をnoに設定した場合は、User Management Connectorによって、Oracle Identity Managerからターゲット・システムにパスワードの変更が伝播されません。
Allow Password Provisioningパラメータをyesに設定する場合は、次のようにします。
OIMユーザーに対してMicrosoft Active Directoryリソースがプロビジョニングされている場合は、次のようになります。
Microsoft Active Directory上でアカウント・データが作成されます。
アカウントのパスワードはコネクタによって検出され、Oracle Identity Managerに送信されます。
Oracle Identity Manager上で、パスワードは、Active Directoryの現在のパスワードと比較されます。両方のパスワードが同じなので、これ以上のアクションは実施されません。
パスワード履歴ポリシーが設定されている場合は、SPMLリクエスト(パスワード同期コネクタによって送信された)に対応する例外が発生します。この例外は無視できます。
Microsoft Active DirectoryリソースのパスワードがOracle Identity Manager上で変更された場合は、次のようになります。
User Management Connectorによって、パスワードはMicrosoft Active Directoryに送信されます。
更新済のパスワードはコネクタによって検出され、Oracle Identity Managerに送信されます。
Oracle Identity Manager上で、パスワードは、Active Directoryの現在のパスワードと比較されます。両方のパスワードが同じなので、これ以上のアクションは実施されません。
パスワード履歴ポリシーが設定されている場合は、SPMLリクエスト(パスワード同期コネクタによって送信された)に対応する例外が発生します。この例外は無視できます。
Microsoft Active Directory上でパスワードが変更された場合は、次のようになります。
更新済のパスワードはコネクタによって検出され、Oracle Identity Managerに送信されます。
Oracle Identity Manager上で、パスワードは、Active Directoryの現在のパスワードと比較されます。両方のパスワードが異なっているので、Microsoft Active DirectoryリソースのパスワードがOracle Identity Manager上で更新されます。
更新済のパスワードはUser Management Connectorによって検出され、Microsoft Active Directoryに送信されます。
Microsoft Active Directoryのパスワードが、ユーザーによって設定されたパスワードと同じである場合も、このパスワードは変更されます。
アカウントのパスワードはパスワード同期コネクタによって検出され、Oracle Identity Managerに送信されます。
Oracle Identity Manager上で、パスワードは、Active Directoryの現在のパスワードと比較されます。両方のパスワードが同じなので、これ以上のアクションは実施されません。
Oracle Identity Manager上でパスワード履歴ポリシーが設定されている場合は、SPMLリクエスト(パスワード同期コネクタによって送信された)に対応する例外が発生します。この例外は無視できます。
|
注意: この手順は、User Management Connectorがインストールされている場合にのみ実行します。 |
Allow Password Provisioningパラメータの値は、次の方法で指定できます。
管理およびユーザー・コンソールにログインします。
「リソース管理」を開きます。
「ITリソースの管理」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにADITResourceと入力し、「検索」をクリックします。
ITリソースの「編集」アイコンをクリックします。
ページ上部にあるリストから、「詳細およびパラメータ」を選択します。
User Management Connectorとパスワード同期コネクタを機能させる方法に基づいて、Allow Password Provisioningパラメータにyesまたはnoどちらかの値を入力します。
リリース9.1.1より前のリリースであるUser Management Connectorをインストールした場合は、AD Sync installedパラメータの値をnoに設定する必要があります。
|
注意: この項で説明されている手順を実行するには、管理者アカウントを使用する必要があります。 |
Microsoft Active Directoryでは、パスワード・フィルタの実装によって強力なパスワード認証機能が提供されます。このパスワード・フィルタをコネクタとともに使用するには、次に示すMicrosoft社のWebサイトで、「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を有効化する手順に従ってください。
http://www.microsoft.com/technet/
このポリシー設定を有効化した場合、Microsoft Active Directoryでのパスワード変更は、強力なパスワード認証の要件を満たしているかチェックされた後でコネクタに渡されます。
|
注意: 本番環境では、コネクタとOracle Identity Manager間にSSL通信を構成することをお薦めします。ただし、(サーバーでSSLを使用する)セキュア・クライアント操作の構成は、すべてのクライアントに影響します。つまり、コネクタとOracle Identity Managerの通信を保護するためにSSLを使用すると、Oracle Identity Manager Design Consoleおよびその他のカスタム・クライアントも、SSLを使用してOracle Identity Managerと通信することになります。 |
Microsoft Active DirectoryからOracle Identity Managerへのパスワードの伝播を保護するには、SSLを構成する必要があります。実行する手順は、Oracle Identity Managerが稼働しているアプリケーション・サーバーによって異なります。
|
関連項目: Oracle Identity ManagerからMicrosoft Active Directoryへのデータ転送を保護するためのSSL構成の詳細は、『Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド』のSSLの構成に関する項を参照してください。 |
次の各項では、Oracle Identity ManagerがIBM WebSphereアプリケーション・サーバー上で実行されている場合にSSL通信を有効化する方法の詳細を説明します。
|
注意: この項で説明する手順は、IBM WebSphereアプリケーション・サーバーのホスト・コンピュータで実行する必要があります。 |
IBM WebSphereアプリケーション・サーバーの証明書をエクスポートするには、次のようにします。
ターミナル・ウィンドウで、WEBSPHERE_HOME\AppServer\java\jre\binディレクトリに移動します。
次のコマンドを実行します。
keytool -export -alias default -file CERT_FILE_NAME -keypass DEFAULT_TRUST_STORE_PASSWORD -keystore DEFAULT_IDENTITY_STORE -storepass DEFAULT_IDENTITY_STORE_PASSWORD -storetype pkcs12 -provider com.ibm.crypto.provider.IBMJCE
コマンドの説明は次のとおりです。
CERT_FILE_NAMEは、証明書ファイルのフルパスと名前です。
DEFAULT_TRUST_STORE_PASSWORDは、デフォルトのトラスト・ストアtrust.p12のパスワードです。
DEFAULT_IDENTITY_STOREは、デフォルトのアイデンティティ・ストアであるkey.p12証明書のフルパスと名前です。
DEFAULT_IDENTITY_STORE_PASSWORDは、デフォルトのアイデンティティ・ストアであるkey.p12のパスワードです。
次に、サンプル・コマンドを示します。
keytool -export -alias default -file C:\mycertificates\websp.cer -keypass WebAS -keystore C:\Program Files\IBM\WebSphere\AppServer\profiles\AppSrv06\etc\key.p12 -storepass WebAS -storetype pkcs12 -provider com.ibm.crypto.provider.IBMJCE
コマンドを実行すると、WEBSPHERE_HOME\AppServer\java\jre\binディレクトリにアプリケーション・サーバーの証明書が生成されます。
|
注意: この項で説明する手順は、Microsoft Active Directoryのホスト・コンピュータで実行する必要があります。 |
アプリケーション・サーバーの証明書をインポートするには、次のようにします。
(「証明書のエクスポート」でエクスポートした)証明書を、Microsoft Active Directoryホスト・コンピュータの任意のディレクトリにコピーします。
「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc
Microsoft管理コンソールが表示されます。
「ファイル」メニューから、「スナップインの追加と削除」を選択します。
「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「証明書」を選択して「追加」をクリックします。
「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。
「コンピュータの選択」ダイアログ・ボックスで、デフォルトを受け入れ、「完了」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「閉じる」をクリックします。
「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。
左ペインにある「コンソール ルート」ウィンドウで、「コンソール ルート」フォルダの下にある「証明書 (ローカル コンピュータ)」を開きます。
「信頼されたルート証明機関」を開き、「証明書」を右クリックし、「すべてのタスク」を選択してから「インポート」をクリックします。
証明書のインポート ウィザードが表示されます。
「証明書のインポート ウィザードの開始」ページで、「次へ」をクリックします。
「インポートする証明書ファイル」ページで、エクスポート済証明書のコピー先ディレクトリに対応するパスを指定するか、「参照」ボタンを使用してエクスポート済証明書のコピー先ディレクトリを指定します。
「次へ」をクリックします。
「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択して「次へ」をクリックします。
「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。
正常にインポートされたことを示すメッセージが表示されます。
「OK」をクリックして「証明書のインポート ウィザード」ダイアログ・ボックスを閉じます。
|
注意: この項で説明する手順は、IBM WebSphereクライアントのホスト・コンピュータで実行する必要があります。 |
OIM_DC_HOME\xlclient\extディレクトリにあるxlDataObjectBeans.jarファイルを抽出し、WEBSPHERE_HOME\profiles\PROFILE_NAME\installedApps\NODE_NAME\OIM-xell-WS.ear\spmlws.war\WEB-INF\libディレクトリにコピーします。
各変数は次のとおりです。
OIM_DC_HOMEはOracle Identity Manager Design Consoleがインストールされているディレクトリです。
WEBSPHERE_HOMEは、WebSphereのホーム・ディレクトリです。
PROFILE_NAMEは、使用されているアプリケーション・サーバー・プロファイルの名前です。
NODE_NAMEは、アプリケーション・サーバー・プロファイルが使用するノードの名前です。
次の各項では、Oracle Identity ManagerがJBoss Application Server上で実行されている場合にSSL通信を有効化する方法の詳細を説明します。
|
注意: 前述の項で説明した手順は、JBoss Application Serverのホスト・コンピュータで実行する必要があります。 |
|
注意: この項で説明する手順は、Microsoft Active Directoryのホスト・コンピュータで実行する必要があります。 |
|
注意: 前述の項で説明した手順は、JBoss Application Serverのホスト・コンピュータで実行する必要があります。 |
keytoolコマンドを使用して、キーを生成します。次のkeytoolコマンドを使用して、アンデンティティ・キーストアを生成します。jbossserver.jks:
keytool -genkey -alias PRIVATE_KEY_ALIAS -keyalg RSA -keysize 1024 -dname DN_VALUE -keypass PRIVATE_KEY_PASSWORD -keystore IDENTITY_STORE_FILE -storepass IDENTITY_STORE_FILE_PASSWORD -storetype jks
コマンドの説明は次のとおりです。
PRIVATE_KEY_ALIASは、秘密鍵に使用する別名です。
PRIVATE_KEY_PASSWORDは、秘密鍵に使用するパスワードです。
DN_VALUEは、組織の識別名(DN)です。
DNの共通名(CN)の値は、Oracle Identity Managerサーバーのホスト名であることが必要です。
IDENTITY_STORE_FILEは、使用するアイデンティティ・ストアです。
IDENTITY_STORE_FILE_PASSWORDは、使用するアイデンティティ・ストアのパスワードです。
次に、サンプル・コマンドを示します。
keytool -genkey -alias serverjboss -keyalg RSA -keysize 1024 -dname "CN=myhost" -keypass welcome -keystore E:\jboss-4.0.3SP1\server\jbossserver.jks -storepass welcome -storetype jks
作成した証明書に署名するには、次のkeytoolコマンドを使用します。
keytool -selfcert -alias PRIVATE_KEY_ALIAS -sigalg MD5withRSA -validity 2000 -keypass PRIVATE_KEY_PASSWORD -keystore IDENTITY_STORE_FILE -storepass IDENITTY_STORE_FILE_PASSWORD
|
注意: 証明書の署名には、VeriSignやThawteなどの信頼できる認証局を使用することをお薦めします。 |
次に、サンプル・コマンドを示します。
keytool -selfcert -alias serverjboss -sigalg MD5withRSA -validity 2000 -keypass welcome -keystore E:\jboss-4.0.3SP1\server\jbossserver.jks -storepass welcome
アイデンティティ・キーストアからファイルに証明書をエクスポートするには、次のkeytoolコマンドを使用します。
keytool -export -alias PRIVATE_KEY_ALIAS -file CERT_FILE_NAME -keypass PRIVATE_KEY_PASSWORD -keystore IDENITTY_STORE_FILE -storepass IDENTITY_STORE_FILE_PASSWORD -storetype jks -provider sun.security.provider.Sun
このコマンドで、CERT_FILE_NAMEを、証明書ファイルに使用する名前に置き換えます。
次に、サンプル・コマンドを示します。
keytool -export -alias serverjboss -file E:\jboss-4.0.3SP1\server\jbossserver.cert -keypass welcome -keystore E:\jboss-4.0.3SP1\server\jbossserver.jks -storepass welcome -storetype jks -provider sun.security.provider.Sun
アプリケーション・サーバーの証明書をインポートするには、次のようにします。
(「証明書のエクスポート」でエクスポートした)証明書を、Microsoft Active Directoryホスト・コンピュータの任意のディレクトリにコピーします。
「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc
Microsoft管理コンソールが表示されます。
「ファイル」メニューから、「スナップインの追加と削除」を選択します。
「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「証明書」を選択して「追加」をクリックします。
「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。
「コンピュータの選択」ダイアログ・ボックスで、デフォルトを受け入れ、「完了」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「閉じる」をクリックします。
「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。
左ペインにある「コンソール ルート」ウィンドウで、「コンソール ルート」フォルダの下にある「証明書 (ローカル コンピュータ)」を開きます。
「信頼されたルート証明機関」を開き、「証明書」を右クリックし、「すべてのタスク」を選択してから「インポート」をクリックします。
証明書のインポート ウィザードが表示されます。
「証明書のインポート ウィザードの開始」ページで、「次へ」をクリックします。
「インポートする証明書ファイル」ページで、エクスポート済証明書のコピー先ディレクトリに対応するパスを指定するか、「参照」ボタンを使用してエクスポート済証明書のコピー先ディレクトリを指定します。
「次へ」をクリックします。
「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択して「次へ」をクリックします。
「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。
正常にインポートされたことを示すメッセージが表示されます。
「OK」をクリックして「証明書のインポート ウィザード」ダイアログ・ボックスを閉じます。
次のエントリを、OIM_HOME\jboss-4.0.3SP1\server\default\deploy\jbossweb-tomcat55.sarディレクトリに配置されているserver.xmlファイルにコピーします。
<Connector port="8443" address="${jboss.bind.address}"
maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"
emptySessionPath="true"
scheme="https" secure="true" clientAuth="false"
sslProtocol="TLS"
keystoreFile="E:\jboss-4.0.3SP1\server\jbossserver.jks"
keystorePass="welcome"
truststoreFile="E:\jboss-4.0.3SP1\server\jbossserver.jks"
truststorePass="welcome"/>
前述のステップを実行した後、変更内容が反映されるようにサーバーを再起動します。
次の各項では、Oracle Identity ManagerがOracle Application Server上で実行されている場合にSSL通信を有効化する方法の詳細を説明します。
デフォルトで、Oracle HTTP ServerはSSLを使用して構成されており、SSL証明書ストアはORACLE_HOME\Apache\Apache\conf\ssl.wlt\default\にあります。ORACLE_HOME\Apache\Apache\conf\ssl.confファイルのリスニング・パラメータは、Oracle HTTP Serverが使用するSSLポートを指しています。
Oracle HTTP Serverに対してカスタム・ウォレットと証明書を作成する必要があります。
Oracle HTTP Serverに対するカスタム・ウォレットと証明書の作成
Oracle HTTP Serverに対してカスタム・ウォレットと証明書を作成するために、次のステップを実行します。
カスタム・ウォレットを作成するには、次のコマンドを実行します。
orapki wallet create -wallet WALLET_LOCATION -auto_login
このコマンドでは、WALLET_LOCATIONはウォレットの作成先であるディレクトリのパスです。
自己署名された証明書を追加するには、次のコマンドを実行します。
orapki wallet add -wallet WALLET_LOCATION -dn CN=HOSt_NAME -keysize 2048 -self_signed -validity 3650
プロンプトに対して、ウォレット・パスワードを入力します。
この結果、3650日の有効期限を持つ自己署名された証明書が作成されます。件名の識別名はCN=HOST_NAMEです。ここで、HOST_NAMEはマシンのホスト名です。証明書のキー・サイズは2048ビットです。
|
注意: 適切な認証局から証明書を取得したことを確認します。 |
自己署名された証明書をエクスポートするには、次のコマンドを実行します。
orapki wallet export -wallet WALLET_LOCATION -dn 'CN=HOST_NAME' -cert WALLET_LOCATION/b64certificate.txt
このコマンドで、HOST_NAMEの値は、ステップ2で指定したHOST_NAMEの値と同じであることが必要です。
ORACLE_HOME/Apache/Apache/conf/に配置されているssl.confファイルを次のように編集します。
テキスト・エディタでssl.confファイルを開き、次のエントリを探します。
SSLWallet file:
(ステップ1で指定した)WALLET_LOCATIONを、SSLWallet file:エントリの値として入力します。
次に、SSLWallet file:エントリのサンプル値を示します。
SSLWallet file:/home/testoc4j/OIM9102/product/10.1.3.1/OracleAS_1/Apache/Apache/conf/ssl.wlt/default
更新したssl.confファイルを保存して閉じます。
Oracle Application Serverを再起動します。
「Oracle HTTP Serverに対するカスタム・ウォレットと証明書の作成」のステップ1で指定したWALLET_LOCATIONディレクトリからアプリケーション・サーバーの証明書をエクスポートするには、Oracle Wallet Managerを起動した後、次のステップを実行します。
|
注意: デフォルトのOracleウォレット・ディレクトリはORACLE_HOME\Apache\Apache\conf\ssl.wlt\default\ewallet.p12です。 |
使用するオペレーティング・システムに応じて、次のいずれかの手順を実行してOracle Wallet Managerを起動します。
Microsoft Windowsの場合は、「スタート」→「プログラム」→「ORACLE-HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」をクリックします。
UNIXの場合は、ターミナル・ウィンドウで、ORACLE_HOME/binディレクトリに移動し、owmコマンドを入力します。
Oracle Wallet Managerを使用して、WALLET_LOCATIONディレクトリを開きます。
要求された場合に、(「Oracle HTTP Serverに対するカスタム・ウォレットと証明書の作成」のステップ2で指定した)ウォレット・パスワードをストア・パスワードとして入力します。
証明書(準備完了)を右クリックし、「ユーザー証明書のエクスポート」をクリックします。
ファイル名としてserver.certを入力し、ファイルを保存します。
Oracle Application Serverは、コネクタがこの証明書を使用することで信頼されます。
|
関連項目: Oracle Wallet Managerの詳細は、『Oracle Application Server管理者ガイド』のSecure Sockets Layerに関する項を参照してください。 |
アプリケーション・サーバーの証明書をインポートするには、次のようにします。
(「Oracle HTTP Serverに対するカスタム・ウォレットと証明書の作成」のステップ3 でエクスポートした)証明書を、Microsoft Active Directoryホスト・コンピュータの任意のディレクトリにコピーします。
「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc
Microsoft管理コンソールが表示されます。
「ファイル」メニューから、「スナップインの追加と削除」を選択します。
「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「証明書」を選択して「追加」をクリックします。
「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。
「コンピュータの選択」ダイアログ・ボックスで、デフォルトを受け入れ、「完了」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「閉じる」をクリックします。
「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。
左ペインにある「コンソール ルート」ウィンドウで、「コンソール ルート」フォルダの下にある「証明書 (ローカル コンピュータ)」を開きます。
「信頼されたルート証明機関」を開き、「証明書」を右クリックし、「すべてのタスク」を選択してから「インポート」をクリックします。
証明書のインポート ウィザードが表示されます。
「証明書のインポート ウィザードの開始」ページで、「次へ」をクリックします。
「インポートする証明書ファイル」ページで、エクスポート済証明書のコピー先ディレクトリに対応するパスを指定するか、「参照」ボタンを使用してエクスポート済証明書のコピー先ディレクトリを指定します。
「次へ」をクリックします。
「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択して「次へ」をクリックします。
「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。
正常にインポートされたことを示すメッセージが表示されます。
「OK」をクリックして「証明書のインポート ウィザード」ダイアログ・ボックスを閉じます。
次の各項では、Oracle Identity ManagerがOracle WebLogic Server上で実行されている場合にSSL通信を有効化する方法の詳細を説明します。
WebLogic Serverでのカスタム・アイデンティティ・キーストアの構成
|
注意: 前述の項で説明した手順は、Oracle WebLogic Serverのホスト・コンピュータで実行する必要があります。 |
|
注意: この項で説明する手順は、Microsoft Active Directoryのホスト・コンピュータで実行する必要があります。 |
提供されているkeytoolコマンドを使用して、秘密/公開の証明書のペアを生成します。次のコマンドを実行するとアイデンティティ・キーストアが作成されます。
keytool –genkey -alias PRIVATE_KEY_ALIAS -keyalg RSA -keysize 1024 -dname DN_VALUE -keypass PRIVATE_KEY_PASSWORD -keystore IDENTITY_STORE_FILE -storepass IDENTITY_STORE_FILE_PASSWORD -storetype jks
コマンドの説明は次のとおりです。
PRIVATE_KEY_ALIASは、秘密鍵に使用する別名です。
PRIVATE_KEY_PASSWORDは、秘密鍵に使用するパスワードです。
DN_VALUEは、組織の識別名(DN)です。
DNの共通名(CN)の値は、Oracle Identity Managerサーバーのホスト名であることが必要です。
IDENTITY_STORE_FILEは、使用するアイデンティティ・ストアです。
IDENTITY_STORE_FILE_PASSWORDは、使用するアイデンティティ・ストアのパスワードです。
次に、アイデンティティ・キー・ストア(support.jks)を作成するサンプル・コマンドを示します。
keytool –genkey -alias support -keyalg RSA -keysize 1024 -dname "CN=oimserver" -keypass weblogic -keystore C:\bea\user_projects\domains\oim\support.jks -storepass support -storetype jks
作成した証明書に署名するには、次のコマンドを使用します。
keytool -selfcert -alias PRIVATE_KEY_ALIAS -sigalg MD5withRSA -validity 2000 -keypass PRIVATE_KEY_PASSWORD -keystore IDENTITY_STORE_FILE -storepass IDENITTY_STORE_FILE_PASSWORD -storetype jks
|
注意: 証明書の署名には、VeriSignやThawteなどの信頼できる認証局を使用することをお薦めします。 |
次に、サンプル・コマンドを示します。
keytool -selfcert -alias support -sigalg MD5withRSA -validity 2000 -keypass weblogic -keystore C:\bea\user_projects\domains\oim\support.jks -storepass support -storetype jks
アイデンティティ・キーストアからファイルに証明書をエクスポートするには、次のコマンドを使用します。
keytool -export -alias PRIVATE_KEY_ALIAS -file CERT_FILE_NAME -keypass PRIVATE_KEY_PASSWORD -keystore IDENITTY_STORE_FILE -storepass IDENTITY_STORE_FILE_PASSWORD -storetype jks -provider sun.security.provider.Sun
このコマンドで、CERT_FILE_NAMEを、証明書ファイルのフルパスと名前に置き換えます。
次に、サンプル・コマンドを示します。
keytool -export -alias support -file C:\bea\user_projects\domains\oim\supportcert.pem -keypass weblogic -keystore C:\bea\user_projects\domains\oim\support.jks -storepass support -storetype jks -provider sun.security.provider.Sun
カスタム・アイデンティティ・キーストアを構成するには、次のようにします。
WebLogic Server管理コンソールで、「サーバー」、「構成」をクリックし、「全般」をクリックします。
「SSLリスニング・ポートの有効化」を選択します。デフォルト・ポートは7002です。
管理コンソールで、「サーバー」をクリックします。
「構成」タブにある表の「名前」列でサーバー名をクリックします。
「キーストア」タブで、次のようにします。
「チェンジ・センター」セクションで、「ロックして編集」をクリックし、ページ内の設定を変更できるようにします。
「キーストア」ボックスで、「カスタムIDとカスタム信頼」を選択し、「続行」をクリックします。
「カスタムIDキーストア」および「カスタム信頼キーストア」の各フィールドで、カスタム・アイデンティティ・キーストア・ファイルの名前としてC:\bea\user_projects\domains\oim\support.jksを入力します。
「カスタムIDキーストアのタイプ」フィールドで、JKSを入力します。
「カスタムIDキーストアのパスフレーズ」および「カスタムIDキーストアのパスフレーズを確認」の各フィールドで、カスタム・アイデンティティ・キーストアのパスワードを入力します。
「SSL」タブで、次のようにします。
「チェンジ・センター」セクションで、「ロックして編集」をクリックし、ページ内の設定を変更できるようにします。
「IDと信頼の場所」ボックスで、「キーストア」を選択します。
「秘密鍵の別名」フィールドで、秘密キーの別名としてsupportを入力します。
「秘密鍵のパスフレーズ」および「秘密鍵のパスフレーズを確認」の各フィールドで、パスワード、たとえばsupportを入力します。
変更内容が反映されるようにサーバーを再起動します。
|
注意: クラスタ化インストールの場合は、クラスタ内の各参加ノードですべてのステップを繰り返し、クラスタを再起動します。 |
アプリケーション・サーバーの証明書をインポートするには、次のようにします。
(「証明書のエクスポート」でエクスポートした)証明書を、Microsoft Active Directoryホスト・コンピュータの任意のディレクトリにコピーします。
「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc
Microsoft管理コンソールが表示されます。
「ファイル」メニューから、「スナップインの追加と削除」を選択します。
「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「証明書」を選択して「追加」をクリックします。
「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。
「コンピュータの選択」ダイアログ・ボックスで、デフォルトを受け入れ、「完了」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで、「閉じる」をクリックします。
「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。
左ペインにある「コンソール ルート」ウィンドウで、「コンソール ルート」フォルダの下にある「証明書 (ローカル コンピュータ)」を開きます。
「信頼されたルート証明機関」を開き、「証明書」を右クリックし、「すべてのタスク」を選択してから「インポート」をクリックします。
証明書のインポート ウィザードが表示されます。
「証明書のインポート ウィザードの開始」ページで、「次へ」をクリックします。
「インポートする証明書ファイル」ページで、エクスポート済証明書のコピー先ディレクトリに対応するパスを指定するか、「参照」ボタンを使用してエクスポート済証明書のコピー先ディレクトリを指定します。
「次へ」をクリックします。
「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択して「次へ」をクリックします。
「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。
正常にインポートされたことを示すメッセージが表示されます。
「OK」をクリックして「証明書のインポート ウィザード」ダイアログ・ボックスを閉じます。
