アクセス・システムをインストールする前に、アイデンティティ・システムをインストールする必要があります。アイデンティティ・サーバーは、最初にインストールする必要があるOracle Access Managerコンポーネントです。ここでは、次の項目について説明します。
アイデンティティ・サーバーは、最初にインストールする必要があるOracle Access Managerコンポーネントです。アイデンティティ・サーバーは、Webベースのインタフェースによるアプリケーションを提供し、ユーザー、グループおよび組織の識別に関連するすべてのリクエストを処理します。
アイデンティティ・サーバーの各インスタンスは、Webサーバーのホスト上にインストールされたWebPassプラグインからのリクエストを受信します。アイデンティティ・サーバーの各インスタンスは、ネットワーク接続を介して、LDAPディレクトリ・サーバーでの読取りおよび書込みを実行します。詳細は、『Oracle Access Manager概要』を参照してください。
個別のプラットフォーム固有のアイデンティティ・サーバー・インストール・パッケージが、\win32および\solarisのサブディレクトリに提供されています。プラットフォームによる相違点は、必要に応じて手順で示されます。次に例を示します。
Windows: \Software\Win32\OracleAccessManager\...
Solaris: /Software/Solaris/OracleAccessManager/...
オペレーティング・システムや、GUIモードまたはコンソール・モードのどちらを選択するかに関係なく、インストール・プロセスは同じ順序に従います。
インストール中、選択するトランスポート・セキュリティ・モードは、後の手順で指定する通信詳細の有効範囲に影響を与えます。また、これがディレクトリ・サーバーにインストールされる最初のアイデンティティ・サーバーかどうかも指定を求められます。この指定によって、後の手順でのアクティビティの有効範囲が決定されます。通告はすべて確認されますが、使用中の環境に該当しない場合はスキップされることがあります。次に例を示します。
インストール中、情報は様々な時点で保存されます。指定した情報にエラーが検出されると、情報を再指定するか、再度手順を完了するかを選択できます。情報が保存された後は、戻って情報を再指定することはできません。
シンプル: 手順4を完了します。
証明書: 手順5に進みます。
ディレクトリ・サーバー詳細を指定すると、2つの手順が示されます。
1つの手順では、ディレクトリ・サーバーに対して最初のアイデンティティ・サーバーをインストールできます。
もう1つの手順では、Windowsシステム上に追加でインストールされたアイデンティティ・サーバーの詳細を指定できます。UNIXシステム上に複数のアイデンティティ・サーバーをインストールする場合は、追加のディレクトリ・サーバー詳細は必要ありません。
指定する情報に基づいて、アイデンティティ・サーバーのデフォルトのディレクトリ・プロファイルが作成されます。第6章「アイデンティティ・システムの設定」で説明されているように、このプロファイルは、アイデンティティ・システムを設定した後に使用可能です。
すべての手順を完了する前や、アイデンティティ・サーバーをインストール中であると通知された後にインストールを取り消す場合は、「Oracle Access Managerコンポーネントのアンインストール」で説明されているように、そのアイデンティティ・サーバーをアンインストールする必要があります。
詳細は、次を参照してください。
アイデンティティ・サーバー・インスタンスをインストール後に削除する場合の詳細は、「Oracle Access Managerコンポーネントのアンインストール」を参照してください。アイデンティティ・サーバーのインスタンス名をリサイクルする場合の詳細は、「アイデンティティ・サーバー・インスタンス名のリサイクル」を参照してください。
アイデンティティ・システムの一部の機能ではOracle Access Manager Software Developer Kit(SDK)が必要です。デフォルトでは、SDKは次のパスのサブディレクトリにインストールされます。
\IdentityServer_install_dir\identity\AccessServerSDK
アイデンティティ・システムの設定に続き、アイデンティティ・システム用に手動でSDKを構成して次の機能を有効化する必要があります。
アイデンティティ・システムとアクセス・システム間の自動キャッシュ・フラッシュ
アイデンティティ・システムでは、AccessGateを使用してアクセス・サーバーと通信します(SDKで使用できるAPIを使用)。AccessGateでは、アイデンティティ・サーバーにバンドルされているSDKのAPIを使用します。AccessGateが関連付けられているアクセス・サーバーのプロファイルで「アクセス管理サービス」が「オン」になっていることを確認します。
アイデンティティ・システムのSDKの構成の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
アクセス・サーバーのキャッシュのフラッシュの詳細は、『Oracle Access Managerアクセス管理ガイド』および『Oracle Access Managerデプロイメント・ガイド』を参照してください。
サポートしている各開発プラットフォーム用の簡単なAccessGateのサーブレットまたはアプリケーションを作成するSDKのインストールの詳細は、『Oracle Access Manager開発者ガイド』を参照してください。
自己登録後のアクセス・サーバーへの自動ログイン。
複数のアイデンティティ・サーバーをインストールし、すべて同じディレクトリ・サーバーに関連付ける場合があります。
タスクの概要: アイデンティティ・サーバーの追加インストール
最初のアイデンティティ・サーバーをインストールします。詳細は、この章を参照してください。
第5章「WebPassのインストール」で説明されているように、WebPassをインストールします。
第6章「アイデンティティ・システムの設定」で説明されているように、最初のアイデンティティ・サーバーをアイデンティティ・システムで設定します。
『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、新しいアイデンティティ・サーバー・インスタンスをアイデンティティ・システム・コンソールに追加します。
『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、新しいアイデンティティ・サーバー・インスタンスをWebPassに関連付け、優先順位を「プライマリ」に指定します。
『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、WebPassインスタンスを変更し、すべてのプライマリ・アイデンティティ・サーバーと通信するよう最大接続数を適切な数値に設定します。
WebPass構成ファイルのwebpass.xmlが新規インスタンス情報で確実に更新されるよう、手順7に進む前に1分以上待機してください。1分以上待機しない場合、WebPassインスタンスは新しい情報を受信できないことがあり、新規アイデンティティ・サーバー・インスタンスに接続できません。
インストールされたすべてのアイデンティティ・サーバーが停止するまで、1分以上待機してください。
新規アイデンティティ・サーバーをインストールして、このディレクトリ・サーバーに対する最初のアイデンティティ・サーバーではないことを示します。
スキーマを再更新する必要はありません。
「他のアイデンティティ・サーバー・インスタンスの設定」で説明されているように、新規アイデンティティ・サーバーを設定します。
『Oracle Access Managerデプロイメント・ガイド』で説明されているように、アイデンティティ・サーバーをフェイルオーバー・サーバーとして構成します。
10.1.4から、アイデンティティ・サーバーはUTF-8エンコーディングを使用し、プラグイン・データにはUTF-8データが含まれます。以前のプラグインは、Latin-1エンコーディングでデータを送受信します。
以前のアイデンティティ・サーバーを10.1.4にアップグレードする場合、アップグレードされたアイデンティティ・サーバーと以前のIDイベント・プラグインの間の下位互換性は自動です。この場合、以前のプラグインとの下位互換性を確保するため、新規フラグ(encoding
)がoblixpppcatalog.lstファイルに自動的に追加されます。下位互換性のあるアイデンティティ・サーバーは、以前のプラグインにLatin-1エンコーディングでのデータの送信を継続します。この書式は、次のとおりです。
actionName;exectype;netpointparam1,...;path;execparam,...;apiVersion;encoding;
アップグレードした環境に新規アイデンティティ・サーバーを追加する場合は、アイデンティティ・サーバーのoblixpppcatalog.lstでencoding
フラグを手動で設定して、Latin-1データに対して下位互換性を必要とする以前のプラグインおよびインタフェースとの通信を有効化する必要があります。Latin-1データとの下位互換性には、Latin-1
にエンコーディング・フラグを設定する必要があります。この例のように、このフラグは、イベント・ハンドラで使用するイベントAPIのバージョンを指定するApiVersion
フラグの次にくる必要があります。ApiVersion
パラメータがpreNP60に設定されると、Latin-1エンコーディングがデフォルトであると想定されます。ApiVersion
フラグを設定しない場合は、ApiVersion
には値がないことを示すために、Latin-1
フラグの前にセミコロンを追加する必要があります。次の手順の例を参照して、実行内容を確認してください。
注意: アップグレードした環境に10g(10.1.4.3)アイデンティティ・サーバーを追加する前に、すべてのOracle Access Managerコンポーネントがリリース10g(10.1.4.3)であることを確認してください。アクセス・サーバーで下位互換性が有効化されている場合、以前のWebGateを共存できます。 |
アップグレードした環境への新規アイデンティティ・サーバーの追加の手順
『Oracle Access Managerアップグレード・ガイド』で説明されているように、環境をアップグレードします。
「複数のアイデンティティ・サーバーのインストールの概要」のアクティビティを実行します。
IdentityServer_install_dir\identity\oblix\apps\common\bin\oblixpppcatalog.lstにある新規アイデンティティ・サーバーのoblixpppcatalog.lstファイルを検索して開きます。
ApiVersion
フラグ(存在する場合)の後でエンコーディングをLatin-1に設定して、Latin-1データに対する下位互換性を確立します。次に例を示します。
コピー元:
userservcenter_view_pre;lib;;..\..\..\unsupported\ppp\ppp_dll\ ppp_dll.dll;Publisher_USC_PreProcessingTest_PPP_Automation;
コピー先:
userservcenter_view_pre;lib;;..\..\..\unsupported\ppp\ppp_dll\
ppp_dll.dll;Publisher_USC_PreProcessingTest_PPP_Automation;;Latin-1
必要に応じて、このファイルのエントリに対して同じ処理を繰り返します。
ファイルを保存します。
アイデンティティ・サーバー・サービスを再起動します。
下位互換性が必要であるかぎり、アップグレードした環境で新規アイデンティティ・サーバーごとに繰り返します。
アイデンティティ・サーバーのインストールを開始する前に、表4-1のタスクを完了していることを確認してください。前提条件を満たさない場合、Oracle Access Managerインストールに悪影響を及ぼすことがあります。
表4-1 アイデンティティ・サーバーのインストールの前提条件チェックリスト
チェックリスト | アイデンティティ・サーバー・インストールの前提条件 |
---|---|
第I部「インストールの計画と前提条件」で説明されている、ユーザーの環境に適用される前提条件および要件がすべて満たされていることを確認する。 |
アイデンティティ・サーバーをインストールする際、記入済のインストール準備ワークシートを参照します。インストール・タスクは、次の手順にわかれています。
「インストールの開始」で説明されているように、インストールを開始します。
「アイデンティティ・サーバーのインストール」に進みます。
「トランスポート・セキュリティ・モードの指定」に進みます。
「アイデンティティ・サーバーの構成詳細の指定」で説明されているように、アイデンティティ・サーバーを識別します。
「通信詳細の定義」で説明されているように、通信詳細を定義します。
「ディレクトリ・サーバー詳細の定義」で説明されているように、ディレクトリ・サーバー詳細を定義します。
「アイデンティティ・サーバー・インストールの終了」を実行して終了します。
インストーラは、GUIモードまたはコンソール・モードで起動できます。詳細は、次を参照してください。
ユーザーのプラットフォームに関係なく手順は類似しているため、プログラムの起動後に一連の手順が提供されます。
注意: 実行するインストールに該当しない詳細はスキップしてください。Microsoft Active Directoryにインストールする場合は、続行する前に、付録A「Active Directoryに対するOracle Access Managerのインストール」を参照してください。 |
管理者権限を持つユーザーとしてログインします。
インストール・メディアから、Oracle Access Managerパッケージを一時ディレクトリにコピーし、そこからコンポーネントと言語パックを同時にインストールできます。
アイデンティティ・サーバー・インストーラ(インストールするアイデンティティ・システム言語パックを含む)を検索して起動します。
次に例を示します。
WindowsのGUIメソッド: Oracle_Access_Manager10_1_4_3_0_Win32_Identity_Server.exe
「ようこそ」画面が表示されます。
「次へ」をクリックして、「ようこそ」画面を閉じてから、「アイデンティティ・サーバーのインストール」で説明されているように続行します。
管理者権限を持つユーザーとしてログインします。
インストール・メディアから、Oracle Access Managerパッケージを一時ディレクトリにコピーし、そこからコンポーネントと言語パックをインストールできます。
アイデンティティ・サーバー・インストーラ(インストールするアイデンティティ・システム言語パックを含む)を検索して起動します。
次に例を示します。
Solarisのコンソール・メソッド: ./ Oracle_Access_Manager10_1_4_3_0_sparc-s2_Identity_Server
「ようこそ」画面が表示されます。
「次へ」をクリックして、「ようこそ」画面を閉じてから、「アイデンティティ・サーバーのインストール」で説明されているように次に進みます。
ここでは、アイデンティティ・サーバーのインストール・ディレクトリを指定する必要があります。アイデンティティ・サーバー・インストール・パッケージと同じディレクトリに言語パックがある場合、言語を選択するよう求められます。
プラットフォームに基づいて管理者権限に関する質問に応答します。たとえば、次のようにします。
Windows: 管理者権限でログインしている場合は、「次へ」をクリックします(管理者権限でログインしていない場合は、「取消」をクリックして、管理者権限を持つユーザーとしてログインしてからインストールを再開します)。
UNIX: アイデンティティ・サーバーが使用するユーザー名およびグループを指定してから、「次へ」をクリックします。通常、デフォルトはnobodyです。
HP-UXでは、デフォルトはWWW(ユーザー名)およびothers(グループ)です。
アイデンティティ・サーバーのインストール・ディレクトリを指定するよう求められます。ディレクトリを指定して「次へ」をクリックすると、インストールが開始され、戻って名前を再指定することはできません。
「次へ」をクリックしてデフォルトのディレクトリを受け入れます(またはインストール先を変更してから「次へ」をクリックします)。次に例を示します。
\OracleAccessManager
インストールするロケール(ベース言語)および他のロケール(言語)を選択するには、手順3を完了します。それ以外の場合は、手順4にスキップします。
言語パック: インストールする管理者の言語および他のロケールに使用するデフォルト・ロケールを選択してから、「次へ」をクリックします。次に例を示します。
サマリーでは、インストール・ディレクトリおよび必要なディスク領域を識別し、後で参照できるように情報をメモするようユーザーに指示します。
まだメモしていない場合、準備ワークシートにインストール・ディレクトリ名を記入してから、「次へ」をクリックして続行します。
アイデンティティ・サーバーがインストールされたという通知があります。通知には数秒かかる場合があります。Windowsシステムの場合、Microsoft管理インタフェースが構成されています。
注意: Oracle Access Managerコンポーネントまたはファイルの以前のバージョンが検出された場合は、新しいインストール・ディレクトリのパスを指定するか、既存のバージョンをアンインストールする必要があります。 |
ここで、トランスポート・セキュリティ・モードを指定するよう求められます。この時点では、戻ってこれまでの詳細を再指定することはできません。
すべてのアイデンティティ・システムのコンポーネント(アイデンティティ・サーバー・インスタンスおよびWebPassインスタンス)間のトランスポート・セキュリティは一致している必要があります(すべてオープン、シンプルまたは証明書モード)。詳細は、「Oracle Access Managerコンポーネントの通信の保護」を参照してください。
アイデンティティ・サーバーとそのクライアントの間で使用するモードを、「オープン」、「シンプル」または「証明書」から選択します。
「シンプル」または「証明書」のいずれかを選択した場合、後で詳細を指定します。
「次へ」をクリックします。
ここで、アイデンティティ・サーバーの構成詳細を指定します。
アイデンティティ・システム・コンソールに表示される一意の名前を入力して、アイデンティティ・サーバーを識別するよう求められます。指定する名前は、使用中のLDAPディレクトリ・サーバーの同一インスタンスにアクセスするその他のアイデンティティ・サーバーとは別の名前にする必要があります。また、指定する名前に空白を含めることはできません。この名前は、アイデンティティ・サーバーのWindowsサービス名として使用できます。
また、アイデンティティ・サーバーがインストールされるDNSのホスト名、およびこのアイデンティティ・サーバーがWebPass(および拡大解釈ではWebサーバー)と通信するポート番号を識別するよう求められます。
アイデンティティ・サーバーについて指定した後、これがディレクトリ・サーバーにインストールされる最初のアイデンティティ・サーバーかどうかの指定を求められます。この回答によって、現時点およびWebPassインストール後の設定プロセス中のアクティビティの有効範囲が決定します。「はい」を選択した場合、これが最初のアイデンティティ・サーバーであることを示し、ディレクトリ・サーバー通信、スキーマ更新およびディレクトリ・サーバー構成詳細について指定を求められます。
「はい」を選択した場合、これが最初のアイデンティティ・サーバーであることを示します。ユーザーは、ディレクトリ・サーバー通信、スキーマ更新およびディレクトリ・サーバー構成詳細について指定を求められます。
「いいえ」を選択した場合、このディレクトリ・サーバーにはすでにアイデンティティ・サーバーが設定されていることを示します。ユーザーは、ディレクトリ・サーバー通信についてのみ指定を求められます。
Windowsシステムの場合、Active Directory詳細についても指定を求められます。
前述のガイドラインに従い、このアイデンティティ・サーバーの一意の名前を入力します。次に例を示します。
IdentityServer_1014_6025
アイデンティティ・サーバーがインストールされるDNSのホスト名を入力します。次に例を示します。
DNS_hostname.domain.com
このアイデンティティ・サーバーがクライアントと通信するポート番号を入力してから、「次へ」をクリックします。次に例を示します。
6025
これがディレクトリ・サーバーに対してインストールされる最初のアイデンティティ・サーバーかどうかについて指定を求められた場合は回答し、その後「次へ」をクリックします。
たとえば、最初のアイデンティティ・サーバーのみをインストールしている場合は、次を選択します。
はい
最初のアイデンティティ・サーバーかどうかについての質問に対する回答に関係なく、ここで、ディレクトリ・サーバーおよび以前に選択したトランスポート・セキュリティ・モードの通信詳細を指定するよう求められます。
ここでは、アイデンティティ・サーバーとディレクトリ・サーバー間の通信の保護について指定を求められます。『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、このインストール中に「いいえ」と回答して、後でディレクトリへのSSL接続を設定できます。また、以前に指定した情報に基づいて、Oracle Access Managerトランスポート・セキュリティ詳細を指定するよう求められます。
UNIXシステム: アイデンティティ・サーバーの「オープン」トランスポート・セキュリティまたは「シンプル」トランスポート・セキュリティのいずれかを使用してUNIXシステム上にインストールし、これが最初のアイデンティティ・サーバーではない場合、セキュリティ・オプションはほとんどなく、ディレクトリ・サーバー詳細は必要ありません。この場合は、必要に応じて次の手順を完了してから、「アイデンティティ・サーバー・インストールの終了」にスキップします。
証明書があり、アイデンティティ・サーバーとディレクトリ・サーバー間のSSLを有効化する場合は、適切なオプションの横のボックスを選択してから、「次へ」をクリックします。次に例を示します。
ディレクトリ・サーバー...ユーザー・データはSSL内に存在
ディレクトリ・サーバー...構成データはSSL内に存在
注意: 証明書があり、オプションのSSLを有効化する場合は、各オプションの横にチェック・マークが付いていることを確認してください。 |
SSL: ルートCA証明書へのパスを指定し、「次へ」をクリックします。
Active Directory Forest上にインストールしている場合は、取得したCA証明書のディレクトリおよびファイル名を入力します。詳細は、付録A「Active Directoryに対するOracle Access Managerのインストール」を参照してください。
以前に選択したモードに従って、「トランスポート・セキュリティ」ダイアログを完了します。次に例を示します。
オープン: UNIXシステム上にインストールしており、これが最初のアイデンティティ・サーバーではない場合を除いて、「ディレクトリ・サーバー詳細の定義」にスキップします。UNIXシステム上にインストールしており、これが最初のアイデンティティ・サーバーではない場合は、「アイデンティティ・サーバー・インストールの終了」にスキップします。
シンプル: 手順4を完了します。
証明書: 手順5に進みます。
シンプル: 「パスフレーズ」を入力して確認し、アイデンティティ・サーバーとWebPass間を認証してから、「次へ」をクリックして次のように進みます。
これが最初のアイデンティティ・サーバーの場合、またはWindowsシステム上にアイデンティティ・サーバーを追加インストールしている場合は、「ディレクトリ・サーバー詳細の定義」にスキップします。
UNIXシステム上にアイデンティティ・サーバーをインストールしており、これが最初のアイデンティティ・サーバーではない場合、「アイデンティティ・サーバー・インストールの終了」にスキップします。
証明書: 証明書をリクエストまたはインストールしていることを示してから、「次へ」をクリックして続行します。
証明書をインストールする場合は、手順7にスキップします。
証明書をリクエストする場合は、手順6にスキップします。
リクエストされた情報を入力してから、「次へ」をクリックし、CAへ証明書のリクエストを発行します。
証明書ファイルの場所が表示されている場合は記録します。
証明書が使用可能な場合は、「はい」をクリックして手順7に進みます(証明書が使用不可の場合は、「いいえ」をクリックして「ディレクトリ・サーバー詳細の定義」にスキップします)。
注意: 「いいえ」を選択した場合は、指示が与えられます。インストールの完了のために、証明書が手元にある必要はありません。ただし、証明書が\IdentityServer_install_dir\identity\oblix\configにコピーされ、アイデンティティ・サーバーが再起動されるまで、アイデンティティ・システムは設定されません。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。 |
証明書のインストール: 次の3つのファイルへのフルパスを指定してから、「次へ」をクリックします。
IdentityServer_install_dir\identity\oblix\config
証明書ファイル(ois_cert.pem)。
キー・ファイル(ois_key.pem)。このファイルの場所を、インストーラが認識している場合があります。
連鎖ファイル(ois_chain.pem)。
注意: 下位CAによって生成された証明書を使用している場合、ルートCAの証明書は下位CA証明書とともに、xxx_chain.pemに存在する必要があります。検証を適切に行い、アイデンティティ・システムを正常に設定するためには、両方の証明書が存在する必要があります。 |
提供した情報は保存され、スキーマを更新するかどうかの指定を求められます。戻って詳細を再指定することはできません。
次に、「ディレクトリ・サーバー詳細の定義」に進みます。
ここで確認および実行する内容は、これがディレクトリ・サーバーにインストールされる最初のアイデンティティ・サーバーかどうかの指定を求められたときの回答にある程度依存します。次の項目を参照し、このインストールに対していずれかを選択します。
これがディレクトリ・サーバーにインストールされている最初のアイデンティティ・サーバーであることを示した場合、Oracle Access Managerスキーマでディレクトリ・サーバーを更新するかどうかの指定を求められます。スキーマには、Oracle Access Manager固有のワークフロー定義、属性ポリシー、タブおよびパネルの構成、構成属性などが含まれます。
スキーマ拡張: 最初のIdetity Serverのインストール中にスキーマを自動的に拡張することをお薦めします。スキーマは1回のみ更新します。「はい」を選択すると、ディレクトリ・サーバー・タイプおよび仕様について質問されます。
Windowsシステム上で「いいえ」を選択すると、Active Directoryについて質問されます。UNIXシステム上で「いいえ」を選択すると、インストールが完了します。
注意: Novell eDirectoryで、アイデンティティ・システムの設定時にドメイン・ノードを構成ベースとして指定する場合、「Novell eDirectoryの問題」を確認し、アイデンティティ・サーバーのインストール時に必要なタスクを実行してください。 |
個別のデータ記憶域: 構成データとは別にユーザー・データを格納する場合、詳細は、「データ記憶域の要件」を参照してください。
デフォルトでは、構成データおよびユーザー・データは同一のディレクトリ・サーバー上にあるとみなされます。Sunディレクトリ・サーバーなどの特定のディレクトリ・サーバーでは、データは、同一のディレクトリ・サーバー上に一緒に格納される場合も、同じタイプの異なるディレクトリ・サーバー上に格納される場合もあります。
注意: Siemens DirXディレクトリは、サポートされていません。ただし、インストール画面では、可能なオプションとしてDirXが表示される場合があります。 |
最初のアイデンティティ・サーバーのディレクトリ・サーバー詳細の定義の手順
ユーザーの環境を説明するオプションを選択します。次に例を示します。
構成データはユーザー・データ・ディレクトリ内に存在
ユーザーの環境の適切なスキーマ更新オプションを選択してから、「次へ」をクリックします。次に例を示します。
はい
「はい」の場合、手順3に進みます。
「いいえ」の場合で、Windowsシステム上にインストールしている場合は、「Windows上でのアイデンティティ・サーバーの追加インストール」にスキップします。
「いいえ」の場合で、UNIXシステム上にインストールしている場合は、「アイデンティティ・サーバー・インストールの終了」にスキップします。
自動構成に対してディレクトリ・サーバー・タイプを選択し、「次へ」をクリックします。次に例を示します。
Sun
ここで、ディレクトリ・サーバー構成詳細の指定を求められます。Windows2003のActive Directoryを選択した場合は、動的補助クラスのサポートについて指定を求められます。
ディレクトリ・サーバー構成詳細を指定してから、「次へ」をクリックします。次に例を示します。
ホスト名: ディレクトリ・サーバー・コンピュータのDNSのホスト名
ポート番号: ディレクトリ・サーバーがリスニングするポート番号(SSL接続の場合、暗号化ポートを指定)
バインドDN: ユーザー・データのディレクトリ・サーバーに対して指定
注意: バインドDNとして入力する識別名には、ユーザーおよびディレクトリ情報ツリー(DIT)の構成ブランチに対する完全な権限がある必要があります。Oracle Access Managerは、このアカウントでディレクトリ・サーバーにアクセスします。例は、表4-2を参照してください。ディレクトリ・サーバーの構成は異なる場合があります。 |
ディレクトリ・サーバー | バインドDN |
---|---|
Active Directory または Windowsサーバー2003上のActive Directory |
cn=administrator,cn=users,<domain DN> 注意: この情報は、暗黙的バインドでADSIを使用している場合でも必要です。詳細は、付録A「Active Directoryに対するOracle Access Managerのインストール」および『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。 |
ADAM |
cn=administrator,o=domain.com 次を示す値: Windowsセキュリティ・プリンシパル・ユーザー名 ADAMがインストールされているコンピュータのドメイン名 注意: マスター管理者は、Windowsセキュリティ・プリンシパルではなく、管理者権限を持つADAMユーザーである必要があります。詳細は、付録B「ADAMに対するOracle Access Managerのインストール」を参照してください。 |
Data Anywhere(Oracle Virtual Directory) |
cn=admin |
IBM Directory Server |
cn=root |
NDS |
cn=admin,o=nds 注意: 必要に応じて、「Novell eDirectoryの問題」のアクティビティを実行します。 |
Oracle Internet Directory |
cn=orcladmin 注意: アイデンティティ・システムの設定中にPersonオブジェクト・クラスを変更する場合を除いて、これがデフォルトです。 |
Sun Directory Server |
cn=administrator 注意: cn=Directory Managerを使用しないようにしてください。詳細は、「ディレクトリ・サーバーの要件の実現」を参照してください。 |
パスワード: ユーザー・データのディレクトリ・サーバーのバインドDNのパスワード
「次へ」をクリックして、次のように進みます。
Active Directory 2003の場合: (ユーザー・データの)ADSIについて指定を求められます。
構成データが個別の場合: 手順4を繰り返して、構成データ・ディレクトリの詳細を指定します。必要に応じて、SSL手順がこのディレクトリに対して繰り返されます。
スキーマが更新されなかった場合、再度手順を実行して、情報を再指定するオプションが提供されます。このオプションを利用しない場合は、LDAP SDKに同梱されているldapmodifyユーティリティ、または次のファイルを使用して、スキーマを手動で更新する必要があります。
\IdentityServer_install_dir\identity\oblix\tools\ldap_tools\ds_conf_update.exe
注意: -Hオプションを使用すると、すべてのldapmodifyオプションが表示されます。--helpオプションを使用すると、すべてのds_conf_updateオプションが表示されます。どちらのユーティリティも、アイデンティティ・サーバーおよびポリシー・マネージャのインストールで使用できます。 |
ldapmodifyコマンドの例は、「スキーマおよび属性の自動更新と手動更新」を参照してください。ds_conf_updateを使用して、Oracle Access Manager構成データを持つスキーマを更新する選択をする場合のコマンドは次のとおりです。
ds_conf_update -h DS_hostname -p 389 -D cn=administrator,o=my-company -w passwd -i C:\np\ois\identity -d 8 -e C:\errFile.txt -n 3
-dオプションおよびディレクトリ・サーバー・タイプの入力の詳細は、「サイレント・モード・パラメータ」を参照してください。
ここでは、Active Directoryに関連する情報を指定するよう求められます。この手順は、次の場合にのみ発生します。
インストール中にこれが最初のアイデンティティ・サーバーではないことを示した場合
Windowsシステム上で自動スキーマ更新を選択しなかった場合
Windowsシステム上でのActive Directory詳細の指定の手順
スキーマを更新するかどうかの指定を求められた場合、「いいえ」をクリックしてから「次へ」をクリックします。
ADSIでActive Directoryを使用している場合は「はい」(使用していない場合は「いいえ」)をクリックしてから、「次へ」をクリックします。次に例を示します。
はい
「はい」の場合、手順3に進みます。「いいえ」の場合は、「アイデンティティ・サーバー・インストールの終了」にスキップします。
アイデンティティ・サーバーをインストールしているコンピュータがOracle Access Managerデータとは別のActive Directoryドメインにある場合は「はい」(同じドメインの場合は「いいえ」)をクリックしてから、「次へ」をクリックします。次に例を示します。
いいえ
「いいえ」の場合、手順4に進みます。「はい」の場合は、「アイデンティティ・サーバー・インストールの終了」にスキップします。
ディレクトリ・サーバーで暗黙的バインドを使用する場合は「はい」をクリック(使用しない場合は「いいえ」をクリック)してから、「次へ」をクリックします。次に例を示します。
はい
Microsoft Windows上にインストールしている場合のみ、最初の手順を終了します。それ以外の場合は、手順2にスキップします。
Windows: Windowsの「サービス」ウィンドウにアイデンティティ・サーバーを識別する一意のサービス名を指定してから、「次へ」をクリックします。
指定した名前がこのホスト上ですでにWindowsサービス名として登録されている場合は、再試行するかどうかの指定を求めれられます。この場合、「はい」を選択してここで一意の名前を指定するか、「いいえ」を選択して\IdentityServer_install_dir\identity\oblix\apps\common\bin\config_ois.exeを使用して手動で名前を指定できます。
READMEの情報が表示されます。
READMEの情報をスクロールします。
「次へ」をクリックして、インストール・サマリーを表示します。
インストール・サマリーは、このインストール中にユーザーが指定した詳細を表示し、インストールの終了時にアイデンティティ・サーバーを起動するようユーザーに指示します。
必要に応じて、このインストールの詳細をメモしてから、「次へ」をクリックします。
「終了」をクリックして、手順を完了します。
アイデンティティ・サーバー・サービスが起動し、アイデンティティ・サーバーがインストールされ、適切に動作していることを確認します。
Windows: 「サービス」ウィンドウを開いて、アイデンティティ・サーバー・サービスが起動していることを確認します。
Windowsシステムのデフォルトでは、アイデンティティ・サーバーは自動的に起動します。このデフォルトを変更して手動で起動する方法は、Microsoft Windowsのヘルプを参照してください。
UNIX: 次のコマンドを実行してサービスを起動します。
/IdentityServer_install_dir/identity/oblix/apps/common/bin/start_ois_server
UNIXシステムの場合、アイデンティティ・サーバーは手動で起動する必要があります。
ユーザーの環境に応じて次に進みます。
Oracle Internet Directoryにアイデンティティ・サーバーをインストールした場合は、次に「Oracle Internet Directoryのチューニング」のアクティビティを完了します。
それ以外の場合は、第5章「WebPassのインストール」で説明されているように、最初のWebPassをインストールします。
Oracle Internet Directory 10.1.4にOracle Access Managerをインストールした場合は、次の手順で説明されているようにldapmodifyコマンドを実行して、Oracle Access Managerコンポーネントに対してOracle Internet Directoryが適切にチューニングされていることを確認する必要があります。
ガイドライン
Oracle Internet Directory 10.1.4.3.0を使用することをお薦めします。
スキーマでorclinmemfiltprocess
属性がサポートされているのはOracle Internet Directory 10.1.4以降です。そのため、Oracle Internet Directory 10.1.2にOracle Access Managerをインストールした場合は、この手順をスキップしてください。
Oracle Internet DirectoryのLDAPツールは、環境変数LDAP_PASSWORD_PROMPTONLYをTRUE(または1)に設定すると、セキュリティの低いオプション-w passwordおよび-P passwordが無効になるように変更されました。-q(または-Q)を使用する場合、ユーザー・パスワード(またはウォレット・パスワード)が求められます。可能であれば必ずこの環境変数を設定することをお薦めします。
属性orclinmemfiltprocess:の後、および属性値の各継続行の先頭には、必ず空白を使用してください。属性orclinmemfiltprocess:と継続行の間に改行はありません。
Oracle Access ManagerでデプロイしたOracle Internet Directoryのバージョンに対応する適切な手順を実行してください。たとえば、Oracle Internet Directory 10.1.4.3.0の場合は手順3を実行します。
Oracle Access ManagerのOracle Internet Directoryのチューニングの手順
Oracle Internet Directory 10.1.4.0.1: 次のldapmodifyコマンドを実行してorclinmemfiltprocessを追加します。
Oracle Internet Directory 10.1.4.2:
My Oracle Support(旧MetaLink)に移動し、次の各項目に対応する個別パッチをhttp://metalink.oracle.com
から入手します。
6919419: NOT句のあるフィルタがORCLINMEMFILTPROCESSに構成されている場合、SQLは最適ではありません。
6994169: データベースの実行計画に一貫性がないことが原因でLDAP検索が遅くなる場合があります。
次のldapmodifyコマンドを実行してorclinmemfiltprocessを追加します。
Oracle Internet Directory 10.1.4.3.0: 次のldapmodifyコマンドを実行してorclinmemfiltprocessを置換します。
最初のWebPassをインストールした後で、第6章「アイデンティティ・システムの設定」の説明に従って、Oracle Access ManagerとOracle Internet Directory間の完全な相互作用が構成されていることを確認する必要があります。
レプリケートされた環境で、インストールする新しいOracle Internet Directoryサーバーごとに手順1を繰り返します。