この章では、LDAPを通信プロトコルとして使用するActive DirectoryフォレストとともにOracle Access Managerを設定する手順をまとめます。
この付録の内容は次のとおりです。
詳細および手順は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
注意: ここで示す手順は、アクセス・システムとActive Directory間のプロトコルとしてLDAPを使用している場合にのみ適用されます。環境が異なる場合は、この説明をスキップしてください。 |
アクセス・システムは、いくつか変更されたActive Directoryフォレストをサポートします。
この項の手順は、次の例に基づいています。この場合、アイデンティティ・システムは図C-1に示す2つのドメインを使用して構成されています。次に例を示します。
dc=maverick,dc=oblix,dc=com
dc=iceman,dc=oblix,dc=com
次の手順を実行して、アクセス・システムとActive Directory間でLDAPを使用して複数のドメインに対してアクセス・システムを設定します。
注意: 次の説明では、install_dirは、名前付きコンポーネントに対して指定したインストール・ディレクトリを表します。たとえば、PolicyManager_install_dirは、ポリシー・マネージャをインストールしたディレクトリです。 |
Oracle Access Manager関連の構成情報は\PolicyManager_install_dir\access\oblix\config\ldapディレクトリにあり、直接アクセスする必要があります。次に、関連ファイルを示します。
AppDB.xml
ConfigDB.xml
WebResrcDB.xml
前に示したように、アイデンティティ・システムがdc=iceman,dc=oblix,dc=comドメインの構成データで設定されたとします。
この場合は、このドメインに対してポリシー・マネージャも設定する必要があります。この設定を行うには、ポリシー・マネージャとアイデンティティ・サーバーに同じ構成DNを指定する必要があります。
構成DNの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
Active Directoryに対してポリシー・マネージャを設定する手順
ポリシー・マネージャの設定ページにナビゲートします。
http://
hostname
:
port
/access/oblix
アイデンティティ・サーバーと同じ構成DNでポリシー・マネージャを設定します。
たとえば、ドメインを含むコンピュータに対しては、dc=iceman,dc=oblix,dc=com
を使用します。
Webサーバーを起動する前に、ポートを3268(オープンLDAP)に変更して、両方のドメインからユーザーとグループにアクセスできるようにします。
認証スキームに必要なcredential_mappingプラグインの構成およびSSOの設定の詳細は、付録「Active Directoryでのデプロイ」を参照してください。
この項は、アクセス・サーバーとActive Directory間のプロトコルとしてLDAPを使用している場合にのみ適用されます。
Active Directoryに対してアクセス・サーバーを設定する手順
アイデンティティ・サーバーと同じ構成DNを使用してアクセス・サーバーを構成します。
たとえば、ドメインを含むコンピュータに対しては、dc=iceman,dc=oblix,dc=com
ドメインを使用します。
「LDAPでのActive Directoryタイムアウトの設定」の説明に従って、Active Directoryのタイムアウトが正しく処理されるようにします。
\AccessServer_install_dir\access\oblix\apps\configにあるConfigDBfailover.xmlのコピーを作成し、AppDBfailover.xmlという名前を付けます。
両方のファイルが同じディレクトリに存在する必要があります。
LDAPを使用している場合は、Active Directoryに対してアクセス・サーバーがインストールされている場合に、アクセス・サーバーのタイムアウトを構成する必要があります。
サービスとして実行されるアクセス・サーバーは、Active Directoryへの接続を開きます。Active Directoryは、非アクティブ期間の後にアイドル接続をタイムアウトにするため、アクセス・サーバーがディレクトリへのアクセスを試行し、失敗することがあります。
この問題を回避するには、Active Directoryの「アイドル・セッション時間」に達する前に、新しい接続を確立する必要があります。次の場合に、フェイルオーバー情報を指定できます。
アクセス・サーバー・インストールの最後にフェイルオーバー情報の指定を求められます。インストールの完了後に、次の手順で説明するように、AccessServer_install_dir/access/oblix/tools/configureAAAServerにあるconfigureAAAServerアプリケーションを使用して、フェイルオーバー情報を再構成します。
次のファイルは、ConfigAAAServer.exeツールを使用して、2つ目のディレクトリ・サーバーとアクセス・サーバー間にフェイルオーバーを構成する場合に作成されます。
ConfigDBfailoverAppDBfailoverWeb...DBfailover
インストール後にアクセス・サーバー・フェイルオーバーを指定する手順
configureAAAServerアプリケーションを探します。
AccessServer_install_dir
\access\oblix\tools\configureAAAServer
次のコマンドを使用して、configureAAAServerアプリケーションを起動します。
configureAAAServer install AS_install_dir
アクセス・サーバーを再構成するかどうかを確認されたら、「いいえ」と回答します。
フェイルオーバー情報を指定するかどうかを確認されたら、「はい」と回答します。
異なるタイプのデータを格納する場所を確認されたら、環境に合せて応答します。
次に例を示します。
個別のディレクトリ・サーバーでは、オプション8を選択: ポリシーと構成DNがユーザー・データから分離されている場合は、オプション8(共通パラメータの変更)を選択し、システムに適した値を指定します。
同じディレクトリ・サーバーでは、オプション4を選択: ポリシー、構成DNおよびユーザー情報が同じディレクトリ・サーバーにある場合は、オプション4(共通パラメータの変更)を選択し、システムに適した値を入力します。次に例を示します。
最大接続数: 1
スリープ時間(秒): 60
フェイルオーバーしきい値: 1
最大セッション時間(秒): 120
最大セッション時間が経過するたびに、アクセス・サーバーがアイドルかどうかにかかわらず、Active Directoryへの新規接続が作成され、古い接続が破棄されます。
注意: 「最大セッション時間」(秒単位)がActive Directoryの「アイドル・タイムアウト」(通常は600秒未満)よりも短いことを確認してください。 |
オプションを選択して終了します。
変更をコミットするかどうかを確認された場合は、「はい」と回答します。
フェイルオーバーの詳細は、『Oracle Access Managerデプロイメント・ガイド』を参照してください。
ADSI認証は、LDAPよりも低速な場合があります。このため、認証や監査などの他の操作をADSIで処理する一方で、認証にLDAPを使用することが必要な場合があります。
テキスト・エディタで、globalparams.xmlを開きます。
AccesServer_install_dir
\access\oblix\apps\common\bin\globalparams.xml
useLDAPBindの値をtrueに変更します。
globalparams.xmlを保存します。
次の場所にあるConfigDBfailover.xmlのコピーを作成します。
AccesServer_install_dir
\access\oblix\config\ldap\ConfigDBfailover.xml
これにAppDBfailover.xmlという名前を付けます。
両方のファイルが同じディレクトリに存在する必要があります。
保存します。