| Oracle Access Managerインストレーション・ガイド 10g(10.1.4.3) B55482-01 |
|
 戻る |
 次へ |
Oracle Access Managerでは、スタンドアロン・ディレクトリ・サーバーとしてMicrosoft Active Directoryアプリケーション・モード(ADAM)をサポートしています。この付録では次の項目について説明します。
ここでは、ADAMの概要を説明してから、ADAMをOracle Access Managerのディレクトリ・サーバーとして使用する場合の詳細を示します。ADAMとActive Directoryの違いについても説明します。
|
注意: Oracle Access Managerでは、ユーザー・データを別のタイプのディレクトリ・サーバーに格納することや、Oracle Access Managerの構成データとポリシー・データをADAMの1つ以上のインスタンスに格納することができます。つまり、たとえば、ユーザー・データをActive Directoryに、構成データとポリシー・データをADAMに格納することが可能です。構成データとポリシー・データは、同じディレクトリ・サーバー・タイプに格納する必要があります。 |
Oracle Access Managerは、ADAMと一緒に1台のコンピュータにインストールする場合も、図B-1のように分散環境にインストールする場合も、スタンドアロン・ディレクトリ・サーバーとしてのADAMをサポートします。
図B-1 Oracle Access Managerのスタンドアロン・ディレクトリ・サーバーとしてのADAM
ADAMは、.NET Active Directoryと同じ記憶域管理とプログラミング・モデルを使用します。また、ADAMは、Active Directoryと似たレプリケーション・モデルおよび管理モデルを提供します。ただし、ADAMは、Active DirectoryおよびActive Directoryのドメインやフォレストには依存しません。ADAMには、Active Directoryインフラストラクチャの特性や、Windowsオペレーティング・システムのためのディレクトリ・サービスは含まれません。また、ドメイン・コントローラも必要としません。ADAMは、オペレーティング・システムのサービスではなく独立したサービスとして実行します。
通常、ADAMは専用ディレクトリ・サービスをアプリケーションに提供します。これには、データ・ストアそのものやデータ・ストアにアクセスするサービスが含まれます。たとえば、ADAMは、小規模事業体向けにアプリケーション固有のディレクトリ・ストアを提供できます。ADAMの情報は、特定のローカル・スキーマの変更を必要とすることがあります。小さなユーザー・グループのみに関連付けることができ、広範に分散する必要はありません。
一意のADAMインスタンスをインストールするたびに、インスタンスの名前とポートを指定します。名前によって、ファイル、サービス、レジストリおよびポートが結び付けられます。ポートはLDAPおよびSSLに対して構成できます。ADAMスキーマをOracle Access Manager関連の情報で拡張するには、オープンLDAPポートが必要です。ADAMのためのOracle Access Managerスキーマの変更はありません。
詳細は、次を参照してください。
一意のADAMインスタンスをインストールする際に、スキーマ・ディレクトリ・パーティション(SDP)と構成ディレクトリ・パーティション(CDP)が作成されます。ADAMにはドメイン・パーティションはありません。一意の各インスタンスは個別に構成でき、ADAMのインストールと設定の際またはその後で作成される複数のアプリケーション・ディレクトリ・パーティション(ADP)を含むことができます。
|
重要: Oracle Access Managerをインストールする前に、アプリケーション・ディレクトリ・パーティションをADAMに作成してください。Oracle Access Managerは、ADAMにADPを作成しません。 |
ADAM ADPは、Active DirectoryのADPと似ています。各ADAM ADPには、ADAMインスタンスのデータ(オブジェクト)が含まれます。ただし、ADAM ADPはセキュリティ・プリンシパル(リソースへのアクセスを制御するために自動的にセキュリティID(SID)が割り当てられるアカウント・ホルダー)を格納することはできません。アプリケーションおよびサービスは、アプリケーション固有のデータを格納するためにADAM ADPを使用できます。レプリケーションの必要性が高い、非常に揮発性が高い情報を含むこともできます。このような情報は、ネットワーク・オペレーティング・システム(NOS)のディレクトリに格納するとリソースに負荷がかかることがあります。
当初、Oracle Access Managerは、1つのADAMインスタンス内の1つのADPをサポートしていました。図B-2に示すように、ADPは、アプリケーション固有のデータだけでなく、ユーザー・ツリー、Oracle Access Manager構成ツリー、Oracle Access Managerポリシー・ツリーを含むことができます。
ADAMは、Windows Server 2003プラットフォームのActive Directoryと同様に、動的リンク補助クラスをサポートしています。Oracle Access Managerは、動的リンクと静的リンク両方の補助クラスをサポートしています。
ADAMスキーマには、ADAMが構成設定内でアクセスできるオブジェクト・クラスの定義が含まれます。また、スキーマには、ADAMがADAMオブジェクト内でアクセスできる属性の定義も含まれます。構成設定の詳細は、「ADAMインスタンスのレプリケーション」を参照してください。
ADAMスキーマには柔軟性があります。ネームスペースの制約はありません。ADAMは、様々なタイプの情報(スキーマ、サイト、パーティションおよびサービス)にX.500形式のネーミング・コンテキスト(o=,c=)を使用できます。ADP内では、ユーザー検索ベース、構成DNおよびポリシー・ベースを同じにすることも(o=company,c=us)、変えることもできます。
|
注意: Oracle Access Managerでは、構成およびポリシーDNのためにorganizationalUnit(ou)のobjectclass属性値を含むノードが必要です。これは、ouを作成するとデフォルトで追加されます。 |
|
注意: ユーザー・データを別のタイプのディレクトリ・サーバーに格納し、Oracle Access Managerの構成データとポリシー・データを1つ以上のADPまたは1つ以上のADAMインスタンスに格納するときは、様々なネームスペースが必要になります。 |
ADAMのスキーマはActive Directoryのスキーマと似ていますが、ユーザー・オブジェクト・クラスはADAMとActive Directoryでは異なります。ADAMにはセキュリティ・プリンシパルは付いていません。たとえば、saMAccountNameはActive Directoryではユーザーとグループのために必須ですが、ADAMにはありません。ただし、grouptypeは必須です。
ADAMグループ・オブジェクト・クラス"group"のgrouptype属性に指定できるのは、次に示す値のみです。これらは、メタ属性構成アプレットで「表示タイプ」のラジオ・ボタンを使用して、オブジェクト・クラスについて構成する必要があります(「アイデンティティ・システム・コンソール」→「グループ・マネージャ」→「タブの構成」→「属性の変更」)。
Active Directoryではpassword属性はunicodePwdです。ADAMのpassword属性はuserpasswordです。uid属性には、セマンティク型「ログイン」がデフォルトで割り当てられます。
Active Directoryアプリケーション・モード(ADAM)のスキーマは、Ldifde.exeコマンドライン・ツールを使用して拡張することができます。
ADAMのためのOracle Access Managerスキーマ拡張機能は、Windowsセキュリティ・プリンシパルの資格証明を使用してロードする必要があります。ただし、実行時には、Oracle Access ManagerはADAM内のユーザーのみと通信し、セキュリティ・プリンシパルとは通信しません。詳細は、「Windowsのユーザーとセキュリティ・プリンシパル」を参照してください。
Oracle Access Managerをインストールするときに、ADAMスキーマを手動で更新する必要があります。ユーザー・データ・ディレクトリのインスタンスが、構成およびポリシーのデータ・ディレクトリ・インスタンスと異なる場合は、ADAM_user_schema_add.ldifファイルを手動でアップロードする必要があります。
構成データ・ディレクトリ・インスタンスでは、ADAM_oblix_schema_add.ldifファイルを手動でアップロードする必要があります。静的補助クラスを使用するときは、ADAMAuxSchema.ldifファイルを手動でアップロードする必要があります。
ポリシー・データ・ディレクトリのインスタンスが、構成データ・ディレクトリのインスタンスと異なる場合は、ADAM_oblix_schema_add.ldifファイルを手動でアップロードする必要があります。静的補助クラスを使用するときは、ADAMAuxSchema.ldifファイルを手動でアップロードする必要があります。
Oracle Access Managerでは、UserとGroupに加えて、InetOrgpersonとGroupofUniqueNamesがそれぞれ標準のPersonオブジェクト・クラスおよびGroupオブジェクト・クラスとしてサポートされます。すでに使用中のオブジェクト・クラスがあれば、特定のオブジェクト・クラスを使用する必要はありません。また、Oracle Access Managerでは、静的リンク補助クラスと動的リンク補助クラスがサポートされます。
ADAMスキーマは、単純なLDAPバインドでは変更できません。ldapmodifyではなくldifdeを使用して変更する必要があります。現在、ldifdeはADAM上のSSLポートへのバインドをサポートしていません。このため、ADAMスキーマをOracle Access Managerのために拡張できるのはオープン・ポートの場合のみです。アイデンティティ・サーバーのインストールの際に、SSL接続を指定してADAMのSSL証明書を取得し、その後、スキーマ更新でオープン・ポート番号を指定することができます。
|
注意: ADAMでは、スキーマの更新は、オープン・ポートとWindowsセキュリティ・プリンシパルの資格証明を使用して完了する必要があります。 |
Oracle Access Managerでは、Oracle Access Managerの構成ディレクトリとユーザー・ディレクトリのために次のスキーマ・ファイルが提供されます。スキーマを手動で更新するには、次のファイルを使用する必要があります。
また、静的リンク補助クラスを使用している場合は、次のファイルに対してldifdeコマンドを実行する必要もあります。
スキーマを手動で更新するためのldifdeコマンドの例を次に示します。表B-1でも説明します。詳細は、Microsoft社のドキュメントを参照してください。
| オプション | 説明 |
|---|---|
|
-k |
このオプションはエラーを無視する。 |
|
-b "<user_distinguished_name>" "<domain_name>" "<user_password>(cn=administrator,o=oblix.com,c=us passwordなど) |
スキーマを拡張するための各値: |
|
-c "<GUID>" <ADAM_instance_ID> |
このオプションでは、"<GUID>"は他の値で置き換えずにそのまま使用する。引用符も含める。<ADAM_instance_ID>は、ldp.exeなどのツールを使用してADAMルートDSEで置き換える。最初に接続したときにルートDSEが表示される。たとえば、ADAMルートDSE値はEC31B31B-19FC-4FD4-8590-3BD57D6A3E77。 |
|
-i -f <filename> |
-iオプションはインポート・オプションを指定する。-fオプションはファイルを指定する。値には、インポートするファイル名を指定する。たとえば、ADAM_oblix_schema_add.ldifADAMAuxSchema.ldifなど。 |
|
-s <ADAM_server_name> |
この値は、ADAMがインストールされているコンピュータのドメイン名。 |
|
-t <port > |
この値は、このインスタンスがスキーマの更新をリスニングするポート番号(オープン・ポートが必要)。 |
ADAMは、ユーザー資格証明をサポートし、認証とアクセス制御にWindowsセキュリティ・プリンシパル資格証明を使用します。たとえば、Windowsセキュリティ・プリンシパルは、ユーザーを定義してADAMディレクトリ・ストアのインスタンスをレプリケートする権限を提供します。一方、Oracle Access Managerでは、ADAMスキーマを更新するためだけにWindowsセキュリティ・プリンシパル資格証明が必要です。
スキーマ更新のためのWindowsセキュリティ・プリンシパル: Oracle Access Managerアイデンティティ・サーバーをADAMに対してインストールし、スキーマを更新するときは、次のようにディレクトリ・サーバーの詳細を指定する必要があります。
自動スキーマ更新: 使用できません。スキーマは手動で更新する必要があります。
手動スキーマ更新: スキーマを手動で拡張するときは、「ADAMのためのOracle Access Managerスキーマ拡張機能」の説明に従って、Windowsセキュリティ・プリンシパルの名前とパスワードをldifdeコマンドに指定する必要があります。次に例を示します。
-b "<user_distinguished_name>""<domain_name>""<user_password>"
ルート(バインド)DNに対するADAM内のWindowsユーザー: 実行時に、Oracle Access ManagerはADAM内のユーザーのみと通信し、Windowsセキュリティ・プリンシパルとは通信しません。アイデンティティ・システムの設定の際に、ADAMのルート(バインド)DNとそのユーザーのパスワードを、ユーザー・データ構成のディレクトリ・サーバーを指定するページで指定する必要があります。これは、管理者権限を持つ、ADAM内のバインド可能なユーザーの名前であることが必要です。
ms-bindable-object補助オブジェクト・クラスをpeopleオブジェクトのために使用しているオブジェクト・クラス(inetOrgPersonなど)に追加することで、バインド可能なユーザーをADAMに作成します。
Oracle Access Managerの管理者は、Windowsセキュリティ・プリンシパルではなく、管理権限を持つADAMのバインド可能なユーザーであることが必要です。
Oracle Access Managerを設定すると、通常、アイデンティティ・サーバー、ポリシー・マネージャおよびアクセス・サーバーに対して個別のディレクトリ・プロファイルが作成されます。アイデンティティ・システムの設定時に、SSL対応ポートを指定して、Oracle Access Manager内のディレクトリ・プロフィルを適切に構成します。
Oracle Access Managerをインストールした後のディレクトリ・プロファイルの構成の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
ADAMインスタンスのレプリケーションによって構成設定が作成されます。構成設定内のすべてのADAMインスタンスは、共通のスキーマ・パーティションと構成パーティションをレプリケートします。ADP(o=company,c=USなど)もレプリケートできます。完全レプリケートのみがOracle Access Managerでサポートされています。
Oracle Access Managerでは、フェイルオーバー、およびマスター・インスタンスとレプリカの間のロード・バランシングが提供されます。ただし、Oracle Access Managerは、ADAMでのADSIはサポートしていません。詳細は、「Oracle Access ManagerおよびADAMでのADSI」を参照してください。
通常、ADAMの複数インスタンスは1つのサーバーで同時に実行できます。各インスタンスには独自のスキーマと構成が含まれます。
|
注意: フォレスト内にADAMインスタンスをレプリケートすることはできません。本番環境では、同じ構成設定内のADAMインスタンスが同じコンピュータに存在することはできません。詳細は、Microsoft社のドキュメントを参照してください。 |
ADSIはActive Directory環境でのフェイルオーバーのサポートを提供し、Oracle Access ManagerはActive DirectoryでのADSIをサポートします。ADAMはActive Directory Service Interfaces(ADSI)をサポートしています。ただし、Oracle Access Managerは、ADAMでのADSIはサポートしていません。
ADAMには、ドメイン・コントローラがないため、Oracle Access Managerディレクトリ・サーバー固有のフェイルオーバーと接続管理ツールキットをお薦めします。フェイルオーバーとロード・バランシングの詳細は、『Oracle Access Managerデプロイメント・ガイド』を参照してください。
ADAMは、標準アプリケーション・プログラミング・インタフェース(API)を使用してアプリケーション・データにアクセスします。これには、Active Directory API、Lightweight Data Access ProtocolおよびSystem-Directory Servicesが含まれます。
ADAMでは、Messaging Application Programming Interface(API)はサポートされません。このため、Microsoft ExchangeはADAMを使用できません。詳細は、Microsoft社のドキュメントを参照してください。
認証と認可のプロセスは、ADAMではなくOracle Access Managerで管理する必要があります。これにより、認証と認可についてOracle Access Managerの"rules"とADAMの"rules"の競合が回避されます。Oracle Access Managerの認証と認可のプロセスは、ADAMとActive Directoryのどちらを使用する場合も同じです。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
Oracle Access Managerと一緒に使用する場合、ADAMはActive Directoryを指すプロキシ・オブジェクトを使用できません。ユーザーは、ADAM内で有効化され、パスワードを持っている必要があります。
Active DirectoryとOracle Access Managerを一緒に使用するとき、固有のパスワード管理またはOracle Access Managerを使用できます。パスワード管理はADAMにも含まれます。Active DirectoryとADAMは両方とも、セキュアな接続(SSLまたはADSI)に対するパスワード変更をサポートしています。ただし、Oracle Access Managerでは、ADAMに対するADSIがサポートされないため、ADAMでのパスワード変更にはSSLを使用する必要があります。
ADAMとActive Directoryの違いを次の表にまとめています。
表B-2 Oracle Access ManagerでのADAMとActive Directoryの違い
| 説明 |
|---|
|
ADAMとActive Directoryは、同じネットワークで同時に稼働できる。Oracle Access Managerでは、それぞれを個別または一緒に使用可能。 |
|
ADAMの情報は、特定のローカル・スキーマの変更を必要とすることがある。小さなユーザー・グループのみに関連付けることができ、広範に分散する必要はない。 |
|
アプリケーションとサービスは、アプリケーション固有データの格納にADAM ADPを使用できる。レプリケーションの必要性が高い、非常に揮発性の高い情報も格納できる。 |
|
ADAMにはセキュリティ・プリンシパルは付いていない。たとえば、saMAccountNameは、Active Directoryではユーザーとグループのために必須だが、ADAMにはない。 |
|
ADAMのpassword属性はuserpassword。 |
|
Oracle Access Managerでは、ADAMスキーマの更新にWindowsセキュリティ・プリンシパル資格証明が必要。実行時には、Oracle Access ManagerはADAM内のユーザーのみと通信し、セキュリティ・プリンシパルとは通信しない。 |
|
Active DirectoryとADAMの両方ともADSIをサポートしている。ただし、Oracle Access Managerでは、ADSIはActive Directoryのみでサポートされる。暗黙のバインドはActive Directoryのみで使用可能、ADAMでは使用不可。 |
|
Active DirectoryとADAMの両方ともパスワード変更をサポートしている。ADAMを使用するOracle Access Managerでは、パスワード変更のためにSSL対応ポートが必要。 |
ADAMの詳細は、Microsoft社のドキュメントを参照してください。
ADAMとActive Directoryは、同じネットワークで同時に稼働できます。Oracle Access Managerでは、ADAM単独の使用もサポートしています。また、Oracle Access Managerでは、ユーザー・データを構成データやポリシー・データと別に格納するために、ADAMとActive Directoryの使用やADAMと他のディレクトリ・サーバー・タイプの使用もサポートしています。
すべてのユーザー・データは、同じディレクトリ・サーバー・タイプに格納する必要があります。
構成データとポリシー・データは、同じディレクトリ・サーバー・タイプに格納する必要があります。
Oracle Access Managerでは、構成およびポリシーDNのためにorganizationalUnit(ou)のobjectclass属性値を含むノードが必要です。
Oracle Access ManagerでのLDAPのサポートでは、次の手順を使用して、この統合のサポートされるバージョンとプラットフォームを表示できます。
「動作保証要件の確認」で説明されているように、次のURLのOracle Technology Networkから最新の動作保証のマトリクスを入手できます。
http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
スキーマの更新は、ldifdeコマンドを使用して手動で実行する必要があります。詳細は、「ADAMのためのOracle Access Managerスキーマ拡張機能」を参照してください。
タスクの概要: ADAMに対するOracle Access Managerのインストール
第I部「インストールの計画と前提条件」の説明に従って環境を準備します。
「Oracle Access ManagerのためのADAMの準備」の説明に従ってADAMを準備します。
|
注意: Oracle Access Managerでは、構成およびポリシーDNのためにorganizationalUnit(ou)のobjectclass属性値を含むノードが必要です。 |
「ADAMに対するアイデンティティ・システムのインストールと設定」の説明に従って、アイデンティティ・システムをインストールして設定します。
アクセス・システムを環境に含める場合は、「ADAMに対するアクセス・システムのインストール」の説明に従ってアクセス・システムをインストールして設定します。
Oracle Access Managerのインストールと設定が正常に終了したら、次の任意のアクティビティを実行します。
『Oracle Access Manager IDおよび共通管理ガイド』の説明に従ってADAMユーザーをOracle Access Managerに追加します。
Microsoft社のドキュメントの説明に従ってADAMインスタンスをレプリケートします。
『Oracle Access Managerデプロイメント・ガイド』の説明に従って、ADAMのマスターとレプリカのためにフェイルオーバーとロード・バランシングを構成します。
この後の手順では、Oracle Access Managerが認証と認可を管理できるように、ADAMインスタンスとADPを準備する方法を説明します。一意のADAMインスタンスをインストールし、ユーザー・データのためにADPと最上位DNを作成し、ADAMにユーザーを作成します。次の重要事項に注意してください。
ADP: ADAM内でアプリケーション・ディレクトリ・パーティションを作成する必要があります。Oracle Access ManagerはADPを作成しません。
管理者: 少なくとも1つのアカウントをADAMインスタンス管理者として指定する必要があります。ADAMインスタンス管理者は、アイデンティティ・システムの設定時にマスター管理者として指定する必要もあります。マスター管理者は、Windowsセキュリティ・プリンシパルではなく、管理権限を持つADAMのバインド可能なユーザーであることが必要です。
構成およびポリシーDN: Oracle Access Managerでは、構成およびポリシーDNのためにorganizationalUnit(ou)のobjectclass属性値を含むノードが必要です。
ADSI: Oracle Access Managerでは、ADAMでのADSIはサポートされません。ADAMでは、Oracle Access Managerディレクトリ・サーバー固有のフェイルオーバーおよび接続管理ツールキットを使用する必要があります。
プロキシ・オブジェクトによるバインド: Oracle Access Managerでは、ADAMプロキシ・オブジェクトを介したバインドはサポートされません。
|
注意: 次の手順を完了しないと、Oracle Access Managerのインストールが正常に終了しない場合があります。ADAMのインストールやインスタンスの設定などのタスクの詳細、およびADAM ADSI EditやLdp.exeなどのツールの詳細は、ADAMのダウンロードに含まれるMicrosoft社のドキュメントを参照してください。 |
Oracle Access ManagerのためにADAMをインストールする手順
ADAMのダウンロードに含まれるMicrosoft社のドキュメントの説明を読んで、ADAMの概念、操作およびツールをよく理解します。
ADAMSetup.exeをADAMのインストール・ディレクトリから実行して、Windows Server 2003コンピュータに一意のADAMインスタンスをインストールします。
インストール・プログラムのこの後の画面で、次のような情報の指定や操作の実行を求められます。
一意のインスタンス
有効なインスタンス名(たとえば、OracleAccessManager)
このインスタンスを実行するポート番号
アプリケーション・ディレクトリ・パーティションの作成(「Yes」または「No」)
* 「Yes」は新しいパーティションを作成します。たとえば、o=company, c=us,(デフォルト)。
* 「No」の場合、すでに存在しているパーティションを指定します。
ADAMをインストールするディレクトリ
サービス・アカウントの選択(この後の処理に使用するアカウントを選択します)
* ネットワーク・サービス・アカウント(デフォルト)
* カスタム・アカウント(このアカウントをアクティブにします)
選択したアカウントへの権限の割当て
ユーザーのLDIFファイルのインポート(たとえばMS_User.ldf)
次の操作を行います。
Oracle Access ManagerのためにADAMスキーマを拡張するためのオープンLDAPポート番号と、Oracle Access Managerでのパスワード変更、認証および認可のためのSSL対応ポートを指定します。
ユーザー・データおよびOracle Access Managerの構成データとポリシー・データを格納する(あるいは、ユーザー・データは別のディレクトリ・サーバー・タイプに格納して、構成データとポリシー・データを格納する)ためのアプリケーション・ディレクトリ・パーティション(ネーミング・コンテキスト)を作成します。インスタンスに存在していない識別名を指定してください。
ADAMインスタンスを起動します。
たとえば、「スタート」→「プログラム」→「ADAM」→「ADAM ADSI EDIT」を選択します。
「ADAM ADSI EDIT」を右クリックし、メニューから「Connect」を選択します。
次のオプションを含むユーザー画面が表示されます。
Connection Name: OAMなど
Host Name: ローカル・ホスト
Port: 作成したインスタンスのポート番号
DN: バインドDN
Credentials
バインド可能なADAMユーザー・アカウントを作成して有効化し、ADAM ADSI Editを使用して、マスター管理者として指定するユーザーを次のようにmember属性に追加します。
CN=Administrators,CN=Roles,CN=Configuration,CN={your GUID}
ユーザー・パスワードをリセットします。
ユーザーをアクティブ化します。
ADAMインスタンスのディレクトリ・パーティションを管理します。
ADAM構成設定を管理します。
次に進む前に、ADAMのインストールが正常に作動していることを確認します。
ここで説明する手順では、「Oracle Access ManagerのためのADAMの準備」のすべての手順を完了していることが前提です。開始する前に、次に示すいくつかの重要な項目について確認してください。
スキーマの更新: Oracle Access ManagerのためのADAMスキーマの更新はオープン・ポートを使用して実行する必要があります。詳細は、「ADAMのためのOracle Access Managerスキーマ拡張機能」を参照してください。
スキーマの更新は、Windowsセキュリティ・プリンシパルの資格証明を使用して実行する必要があります。ただし、アイデンティティ・システムの設定時に指定するルート(バインド)DNは、ADAM内に明示的な物理的位置のあるユーザーであることが必要です。詳細は、「Windowsのユーザーとセキュリティ・プリンシパル」を参照してください。
アイデンティティ・システムの設定: アイデンティティ・システムの設定の際に、パスワード変更のためにSSL対応接続を指定する必要があります。詳細は、「認証、認可およびパスワード変更」を参照してください。
管理者: アイデンティティ・システムの設定時に指定するマスター管理者は、Windowsセキュリティ・プリンシパルではなく、管理権限を持つADAMユーザーであることが必要です。
この後の手順では、Oracle Access ManagerおよびADAMに固有な情報を示します。各Oracle Access Managerコンポーネントのインストールの詳細は、このガイドの該当する章を参照してください。
アイデンティティ・サーバーをインストールしてADAMスキーマを更新する手順
ダウンロードしたアイデンティティ・サーバー・インストール・パッケージを選択してインストールを開始します。
インストール・ディレクトリ、トランスポート・セキュリティ・モード、およびOracle Access Managerのためのアイデンティティ・サーバー構成の詳細を指定します。
アイデンティティ・サーバーとADAMの間でSSLを使用するように「はい」を選択し、証明書に関するすべての質問に回答します。後で、Oracle Access ManagerのためにADAMスキーマを拡張するようにオープン・ポートを指定することができます。
ADAMに関する詳細を次のように指定します。
ディレクトリ・サーバー・タイプ: 「ディレクトリ・サーバー」ドロップダウン・リストから「Active Directoryアプリケーション・モード」を選択してADAMを指定します。
データの場所: 構成データとユーザー・データを別に格納するかどうかを指定します。
スキーマの更新: 表示される手順を確認して、スキーマを手動で更新します。
インストール・プロセスを続行し、手順6と7の説明に従ってスキーマを更新します。
「アイデンティティ・サーバーをインストールしてADAMスキーマを更新する手順」の説明に従って、アイデンティティ・サーバーのインストールを終了し、アイデンティティ・サーバーを起動します。
手動スキーマ更新の準備: 手順7で手動スキーマ更新を実行する前に、次のファイルの<guid>を実際のGUIDで置き換えてください。
ADAM_oblix_schema_add.ldif
ADAM_oblix_user_schema_add.ldif
ADAMAuxSchema_add.ldif
手動スキーマ更新: 必要であれば、適切なファイルとldifdeコマンドを使用してドメイン・ユーザーとしてスキーマを手動で更新し、アイデンティティ・サーバーを再起動します。次に例を示します。
IdentityServer_install_dir\identity\oblix\data.ldap\common\
ldifde -k -b <cn=administrator,o=company,c=us password> -c"<GUID>" <ADAM_instance_ID> -i -f ADAM_oblix_schema_add.ldif -s <ADAM_server_name> -t <port> ldifde -k -b <cn=administrator,o=company,c=us password> -c"<GUID>" <ADAM_instance_ID -i -f ADAM_oblix_user_schema_add.ldif -s ADAM_server_name -t <port>
|
注意: 前の例のWindowsセキュリティ・プリンシパルの名前とドメインはサンプルです。環境によって異なります。 |
動的補助クラスを使用する予定がない場合は、前述のコマンドを実行した後で次のようにします。
ldifdeコマンドを使用して、静的リンク補助クラスのためのOracle Access Managerスキーマ・ファイルADAMAuxSchema.ldifをIdentityServer_install_dir\identity\oblix\data.ldap\commonディレクトリからインポートします。
オブジェクト・クラスoblixorgpersonとoblixgroupが、Personオブジェクト・クラスとGroupオブジェクト・クラスそれぞれに補助クラスとして明示的に追加されていることを確認します。
|
注意: スキーマを手動で更新したら必ずアイデンティティ・サーバーを再起動してください。 |
この後の手順では、WebPassをインストールしADAMに対してアイデンティティ・システムを設定する際に指定する必要がある情報をまとめています。
WebPassをインストールしてアイデンティティ・システムを設定する手順
「WebPassをインストールしてアイデンティティ・システムを設定する手順」の説明に従って、ダウンロードしたWebPassをインストールします。
「ADAMに対するアイデンティティ・システムのインストールと設定」の説明に従ってアイデンティティ・システムの設定を開始し、ADAMに関する詳細を次のように指定します。
ディレクトリ・サーバー・タイプ: ディレクトリ・サーバー・タイプを指定するときにMicrosoft Active Directoryアプリケーション・モードを選択し、環境で該当する場合は動的補助オブジェクト・クラスを選択します。
ディレクトリ・サーバーの場所: ADAMについて次のように指定します。
ポート番号: 実行時に使用されるポートを指定します(パスワード変更のためにSSLが必要です)。
ルートDN: バインドDNとして管理権限を持つ、ADAMのバインド可能なユーザーの名前。Windowsセキュリティ・プリンシパルは指定しないでください。
ルート・パスワード: ADAMのバインド可能なユーザーのパスワード。
ディレクトリ・サーバー・セキュリティ・モード: パスワード変更のためにSSLを指定します。
通常どおりにアイデンティティ・システムの設定を終了します。
アイデンティティ・システムの設定が終了したら、続けて次の任意のアクティビティを実行します。
アクセス・システムを環境に含める場合は、「ADAMに対するアクセス・システムのインストール」の説明に従ってADAMに対してアクセス・システムをインストールします。
『Oracle Access Manager IDおよび共通管理ガイド』の説明に従ってADAMユーザーをOracle Access Managerに追加します。
Microsoft社のドキュメントの説明に従ってADAMインスタンスをレプリケートします。
『Oracle Access Managerデプロイメント・ガイド』の説明に従って、ADAMのマスターとレプリカのためにフェイルオーバーとロード・バランシングを構成します。
アクセス・システム(オプション)には、ポリシー・マネージャ、アクセス・サーバーおよびWebGateが含まれます。この後の手順では、オプションのアクセス・システムをADAMに対してインストールおよび設定するための詳細を説明します。
詳細は、次の手順を参照してください。
ADAMでは、ポリシー・データをユーザー・データやOracle Access Manager構成データと一緒に格納することできます。また、Oracle Access Managerでは、構成データ、ユーザー・データおよびポリシー・データのそれぞれに対する個別のADAMインスタンスもサポートしています。
ADAMに対してポリシー・マネージャをインストールする手順
「ADAMに対してポリシー・マネージャをインストールする手順」の説明に従って、ポリシー・マネージャのインストール・パッケージを探して起動し、インストール・ディレクトリを指定します。
ディレクトリ・サーバー・タイプを確認されたら、Microsoft Active Directoryアプリケーション・モードを選択します。
環境で動的リンク補助オブジェクト・クラスを有効にする場合は「はい」、そうでない場合は「いいえ」を選択します。
インストールの後でスキーマを手動で更新します。
|
注意: 自動スキーマ更新はサポートされていません。 |
ディレクトリ・サーバー・セキュリティ・モードを指定します。ADAMでのパスワード変更にはSSL対応が必要です。
「ADAMに対してポリシー・マネージャをインストールする手順」の説明に従い、アクセス・システムのトランスポート・セキュリティ・モードを指定し、Webサーバーを構成し、ポリシー・マネージャをインストールします。
次の手順に進んで、ポリシー・マネージャを設定します。
ADAMに対してポリシー・マネージャを設定する手順
「ADAMに対してポリシー・マネージャをインストールする手順」の説明に従ってポリシー・マネージャの設定プロセスを開始し、ADAMに関する詳細を次のように指定します。
ディレクトリ・サーバー・タイプ: ディレクトリ・サーバー・タイプを指定するときにMicrosoft Active Directoryアプリケーション・モードを選択し、環境で該当する場合は動的補助オブジェクト・クラスを選択します。
ディレクトリ・サーバー詳細: ADAMについて次のように指定します。
ポート番号: 実行時に使用されるポートを指定します(パスワード変更のためにSSLが必要です)。
ルート(バインド)DN: アイデンティティ・サーバーの設定時に指定したルートDNを指定します。Windowsセキュリティ・プリンシパルは使用しないでください。
パスワード: バインドDNユーザーのパスワードを指定します。
ディレクトリ・サーバー・セキュリティ・モード: パスワード変更のためにSSLを指定します。
ADAMの検索ベース、構成DNおよびポリシー・ベースを指定します。詳細は、「ADAMスキーマ」を参照してください。
「ADAMに対してポリシー・マネージャを設定する手順」の説明に従ってポリシー・マネージャの設定プロセスを完了します。
|
注意: この設定の終了時に警告が表示され、Oracle Access Managerのポリシーを有効化する前に匿名ユーザーを作成するように指示されることがあります。 |
ADAM内で、ポリシー・マネージャの設定時に指定した検索ベースの最上位に、OblixAnonymousユーザーが作成されていることを確認します。
次の手順に進んで、アクセス・サーバーをインストールします。
アクセス・サーバーをインストールする手順
「アクセス・サーバー・インスタンスの作成」の説明に従って、アクセス・システム・コンソールでアクセス・サーバー・インスタンスを作成します。
「アクセス・サーバーをインストールする手順」の説明に従って、アクセス・サーバーのインストール・パッケージを探して起動し、インストール・ディレクトリを指定します。
アクセス・サーバーのトランスポート・セキュリティ・モードを選択します。
求められたらADAMの詳細を指定します。
SSL: SSLはパスワード変更のために必要です。
ポート番号: 実行時に使用されるディレクトリ・サーバーのポート。
バインド(ルート)DN: アイデンティティ・サーバーとポリシー・マネージャの設定時に指定したルートDN。Windowsセキュリティ・プリンシパルは使用しないでください。
パスワード: バインドDNのパスワード。
ディレクトリ・サーバー・タイプ: Active Directoryアプリケーション・モード。
環境で動的リンク補助クラスを有効にする場合は「はい」、そうでない場合は「いいえ」を選択します。
ディレクトリ・サーバーの証明書ファイルのパスを指定します。
アクセス・サーバーID、構成DNおよびポリシー・ベースを指定します。これらはADP内で一意とすることができます。次に例を示します。
アクセス・サーバーID: Access_Server_1014_A
構成DN: ou=config,o=company,c=us
ポリシー・ベース: ou=policy,o=company,c=us
|
注意: この例では、すべてのデータを1つのADAMインスタンスとADPに格納していると仮定しています。 |
「アクセス・サーバーのインストールの終了」の説明に従ってアクセス・サーバーのインストールを終了します。
次の手順に進んで、WebGateをインストールします。
WebGateをインストールする手順
「WebGateをインストールする手順」の説明に従って、アクセス・システム・コンソールでWebGateインスタンスを作成します。
「WebGateおよびアクセス・サーバーの関連付け」の説明に従ってWebGateをアクセス・サーバーに関連付けます。
「WebGateをインストールする手順」の説明に従ってWebGateをインストールします。
アクセス・システムのインストールと設定が終了したら、次の任意のアクティビティを実行します。
『Oracle Access Manager IDおよび共通管理ガイド』の説明に従ってADAMユーザーをOracle Access Managerに追加します。
Microsoft社のドキュメントの説明に従ってADAMインスタンスをレプリケートします。
『Oracle Access Managerデプロイメント・ガイド』の説明に従って、ADAMのマスターとレプリカのためにフェイルオーバーとロード・バランシングを構成します。
Oracle Access Managerサイレント・モード・インストーラには、スタンドアロン・ディレクトリ・サーバーとしてADAMをサポートするためにいくつかの変更が加えられています。詳細は、次を参照してください。
|
注意: 動的補助フラグは、Windows 2003上のActive Directoryの場合と同様に、Oracle Access ManagerでADAMに対して構成できます。 |
アイデンティティ・サーバー・サイレント・インストーラには、ADAMのために次の変更が加えられています。
Windowsユーザー名とWindowsドメイン: ADAMスキーマを更新するために、Windowsセキュリティ・プリンシパル名、Windowsドメイン名およびパスワードを指定します。これはバインドDNとしては使用されません。
自動スキーマ更新: ADAMに対してサポートされていません。
手動スキーマ更新: Windows Server 2003に最初にアイデンティティ・サーバーをインストールする際に手動スキーマ更新を指定するには、次のようにします。
-W updateDSInfo.updateDSInfoChoice="No"
内容は次のとおりです。
-W updateDSInfo.updateDSInfoChoice="No"によって、手動スキーマ更新が指定されます。
ADAMのためのWindowsドメイン名: ADAMのためのWindowsドメイン名を指定するには、次のようにします。
-W dsInfoInput.domainName="domainname.com
内容は次のとおりです。
-W dsTypeInput.dsType=9(ADAM)の場合に、-W dsInfoInput.domainNameによってADAMのためのWindowsドメイン名が指定されます。
"domainname.com"は、ADAMコンピュータが存在するドメイン名です。正しくないドメイン名を指定すると、ディレクトリの認証が失敗します。
|
注意: これは新しいパラメータです。既存のサイレント・インストーラ・パラメータの変更や置換ではありません。 |
ポリシー・マネージャのインストール時にADAMをディレクトリ・サーバー・タイプとして指定するには、次のようにします。
-W dsTypeInput.dsType="9"
内容は次のとおりです。
-W dsTypeInput.dsTypeによって、ポリシー・データが格納されるディレクトリ・サーバー・タイプが指定されます。
次のタイプがサポートされています。
2: Sun 5.x
3: NDS
5: Active Directory
7: Active Directory(Windows Server 2003)
9: Active Directoryアプリケーション・モード
環境に該当する場合は、後で動的補助オブジェクト・クラスを選択します。ADAMの場合、オプション-W updateDSInfo.updateDSInfoChoiceは適用されません。かわりに、-W updateDSInfo.updateDSInfoChoice = "Yes"を使用してポリシー・ディレクトリ・サーバー・タイプを指定します。
アクセス・サーバーのインストール時にADAMをディレクトリ・サーバー・タイプとして指定するには、次のようにします。
-W oblixDSInfoBean.dsType="MSADAM"
内容は次のとおりです。
-W oblixDSInfoBean.dsTypeによって、構成ディレクトリ・サーバーのタイプが指定されます。
"MSADAM"はMicrosoft Active Directoryアプリケーション・モードを表します。
詳細は、「ADAMの問題」を参照してください。
