| Oracle Identity Manager Sun Java System Directory Connectorガイド リリース9.0.4 E05516-04 |
|
 戻る |
 次へ |
コネクタをデプロイするには次の手順を実行します。
使用するOracle Identity Managerのリリースに応じて、次のいずれかの項の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
|
注意: Oracle Identity Managerをクラスタ環境にインストールするときは、インストール・ディレクトリの内容をクラスタの各ノードにコピーします。同じく、connectorResourcesディレクトリの内容とJARファイルも、クラスタの各ノードの対応するディレクトリにコピーする必要があります。 |
ldapbp.jarファイルを使用すると、コネクタでターゲット・システムでのLDAPベースのユーザー・レコードの検索ができます。次のようにして、JARファイルをSun社のWebサイトからダウンロードし、ThirdPartyディレクトリにコピーする必要があります。
次のSun社のWebサイトにログオンします。
「Download JNDI 1.2.1 & More」をクリックします。
表示されるページの表で、ldapbp.jarファイルを含むファイルを選択してダウンロードします。
ldapbp.jarファイルを次のディレクトリにコピーします。
OIM_HOME/xellerate/ThirdParty
|
注意: Oracle Identity Managerクラスタの場合、このJARファイルをクラスタの各ノードのThirdPartyディレクトリにコピーします。 |
ターゲット・システムの構成には、次の手順が含まれます。
Oracle Identity Managerでは、リコンシリエーションおよびプロビジョニング操作の際にターゲット・システムにアクセスするためのターゲット・システムのユーザー・アカウントが必要です。「ITリソースの定義」で説明されている手順を実行する際に、このユーザー・アカウントの資格証明を指定します。
このユーザー・アカウントを作成するには、次のようにします。
|
関連項目: この手順の実行方法の詳細は、Sun Java System Directoryのドキュメントを参照してください。 |
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Directory」タブで、ルート・コンテキストを右クリックします。ユーザーを作成するルート・コンテキストの下のOUを選択できます。
表示されるショートカット・メニューで、「New」、「User」を順に選択します。
「Create New User」ダイアログ・ボックスで、ユーザー・アカウントの情報を入力し「OK」をクリックします。
新しく作成されたユーザー・アカウントが、右ペインに表示されます。
次のようにして、ユーザー・アカウントのentryDN値を確認します。
ユーザー・アカウントを作成したら、ユーザー・アカウントに対する次の権限を、リコンシリエーションおよびプロビジョニングで使用される各ターゲット・システム属性に割り当てる必要があります。
Read: 属性の値を表示します。
Write: 属性の値を変更します。
Add: 属性に値を設定します。
Delete: 属性の値を削除します。
ユーザー・アカウントに権限を割り当てるには、次のようにします。
Sun One Serverコンソールで、ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Directory」タブで、ルート・コンテキストを右クリックします。
表示されるショートカット・メニューで、「Edit with Generic Editor」を選択します。
「aci」を選択します。
「Edit」リージョンで、「Add value」をクリックします。
表示されるファイルで、次をコピーします。
(targetattr = "physicalDeliveryOfficeName || homePhone || preferredDeliveryMethod || jpegPhoto || nsRoleDN || audio || internationaliSDNNumber || owner || postalAddress || roomNumber || givenName || carLicense || userPKCS12 || searchGuide || userPassword || teletexTerminalIdentifier || mobile || manager || entrydn || objectClass || userSMIMECertificate || displayName || destinationIndicator || telexNumber || employeeNumber || secretary || uid || userCertificate || st || sn || description || mail || labeledUri || businessCategory || homePostalAddress || x500UniqueIdentifier || modifyTimestamp || postOfficeBox || ou || nsAccountLock || seeAlso || registeredAddress || postalCode || photo || title || uniqueMember || street || pager || departmentNumber || dc || o || cn || l || initials || telephoneNumber || preferredLanguage || facsimileTelephoneNumber || x121Address || employeeType") (version 3.0;acl "ACI_NAME";allow (read,write,delete,add)(userdn = "ldap:///ENTRYDN_VALUE");)
コピーした文字列で、次のようにします。
「OK」をクリックします。
次のようにして、ユーザー・アカウントに設定したアクセス権限を表示または変更します。
Sun One Serverコンソールのメイン・ウィンドウで、ルート・コンテキストを右クリックします。
ショートカット・メニューで、「Set Access Permissions」をクリックします。
「Manage Access Control」ダイアログ・ボックスで、ユーザー・アカウントで作成したACIを選択して、「Edit」をクリックします。
ユーザー・アカウントに作成したACIが表示されます。
必要に応じ、ACIを変更し「OK」をクリックします。
VLV索引を作成すると、リコンシリエーションのパフォーマンスを向上できます。VLV索引を作成するには、次のようにします。
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Directory」タブで、ルート・コンテキストを右クリックします。
表示されるショートカット・メニューで、「New」、「Other」を順に選択します。
「New Object」ダイアログ・ボックスで、「vlvindex」を選択し「OK」をクリックします。
「Generic Editor」ダイアログ・ボックスで、「Object class」を選択し「Add value」をクリックします。
「Add Object Class」ダイアログ・ボックスで、「vlvsearch」を選択し「OK」をクリックします。
「Generic Editor 」ダイアログ・ボックスで、「Change」をクリックします。
「Change Naming Attribute」ダイアログ・ボックスの「Naming Attribute」列で、vlvsort属性のチェック・ボックスの選択を解除してcn属性のチェック・ボックスを選択し、「OK」をクリックします。
次の属性の値を指定します。
vlvbase: 索引を作成するツリー・レベルを入力します。
サンプル値: dc=corp,dc=example,dc=com
vlvfilter: 索引の検索フィルタを入力します。
サンプル値: (|(objectclass=*)(objectclass=ldapsubentry))
vlvscope: この属性は検索の範囲を指定します。次のいずれかの値を指定します。
ベースレベル検索の場合、0を入力します。
1レベル検索の場合、1を入力します。
サブツリー検索の場合、2を入力します。
サンプル値: 1
vlvsort: この属性は、VLV ldapsearchコマンドがVLV索引で使用するソートの順序を指定します。
サンプル値: modifytimestamp
「OK」をクリックします。
|
注意: このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を示すために使用されます。 |
Oracle Identity Managerリリース9.1.0以上にコネクタをインストールする手順は次のとおりです。
コネクタ・インストーラを実行するには、次のようにします。
コネクタ・インストール・メディアの内容を次のディレクトリにコピーします。
OIM_HOME/xellerate/ConnectorDefaultDirectory
『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の「コネクタのインストールに使用するユーザー・アカウントの作成」で説明されているユーザー・アカウントを使用して、管理およびユーザー・コンソールにログインします。
「デプロイメント管理」→「コネクタのインストール」をクリックします。
「コネクタ・リスト」リストで、「Sun Java System Directory 9.0.4.2 RELEASE_NUMBER」を選択します。このリストには、インストール・ファイルがデフォルト・コネクタ・インストール・ディレクトリにコピーされているコネクタの、名前およびリリース番号が表示されます。
OIM_HOME/xellerate/ConnectorDefaultDirectory
インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。
「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。
「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。
「コネクタ・リスト」リストで、「Sun Java System Directory 9.0.4.2 RELEASE_NUMBER」を選択します。
「ロード」をクリックします。
「続行」をクリックして、インストール処理を開始します。
次のタスクが順番に実行されます。
コネクタ・ライブラリの構成
コネクタのターゲット・リソース・ユーザー構成XMLファイルのインポート(デプロイメント・マネージャを使用)。ターゲット・システムをリコンシリエーションの信頼できるソースとしてインポートするには、「信頼できるソースのリコンシリエーションの構成」を参照してください。
アダプタのコンパイル
正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかの手順を実行します。
「再試行」をクリックしてインストールを再試行します。
インストールを取り消して、ステップ1からやりなおします。
コネクタのインストール処理の3つのタスクがすべて正常に行われると、インストールが正常に実行されたことを示すメッセージが表示されます。また、インストール後に実行する必要がある手順のリストが表示されます。これらの手順は次のとおりです。
コネクタ使用の前提条件が満たされていることの確認
|
注意: この段階で、コネクタ・リソース・バンドルからのコンテンツを含むサーバー・キャッシュをロードするためのPurgeCacheユーティリティを実行して、前提条件のリストを表示できます。PurgeCacheユーティリティの実行に関する情報は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。
一部の事前定義済コネクタには、前提条件はありません。 |
コネクタのITリソースの構成
このページに表示されるITリソースの名前を記録します。ITリソースの構成手順は、このガイドで後述します。
コネクタのインストール時に作成されたスケジュール済タスクの構成
このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクの構成手順は、このガイドで後述します。
Oracle Identity Managerクラスタへのコネクタのインストール
クラスタ環境でOracle Identity Managerをインストールする際には、すべてのJARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーする必要があります。コピー対象ファイルおよびOracle Identity Managerサーバー上のコピー先に関する情報は、「インストール・メディアのファイルおよびディレクトリ」を参照してください。
|
注意: コネクタをOracle Identity Managerリリース9.1.0以上にインストールする場合、この手順を実行します。 |
次のようにして、iPlanet IT Resource ITリソースのパラメータ値を指定します。
管理およびユーザー・コンソールにログインします。
「リソース管理」を開きます。
「ITリソースの管理」をクリックします。
ITリソースの「編集」アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。次の表に、各パラメータの説明を示します。
| パラメータ | 説明 |
|---|---|
Admin Id |
Sun Java System Directoryで管理者の権限を持つユーザーのDN値。
デフォルト値は |
Admin Password |
Sun Java System Directoryで管理者の権限を持つユーザーのパスワード。 |
Server Address |
ターゲットのSun Java System DirectoryサーバーのIPアドレス。 |
Port |
ターゲットのSun Java System Directoryサーバーに接続するポート番号。
デフォルト値は |
Root DN |
すべてのユーザーの操作が実行されるベースDN。
値は、 |
SSL |
Oracle Identity ManagerとターゲットのSun Java System Directoryサーバー間の通信にSSL接続を使用するかどうかを指定します。
設定可能な値は 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
Target Resource Reconciliation Time Stamp |
このパラメータは最初のリコンシリエーションの実行時に開始され、ターゲット・リソースのリコンシリエーションの実行終了時のタイムスタンプ値を格納します。
注意: このパラメータのデフォルト値は変更しないでください。 |
Trusted Source Reconciliation Time Stamp |
このパラメータは最初のリコンシリエーションの実行時に開始され、信頼できるソースのリコンシリエーションの実行終了時のタイムスタンプ値を格納します。
注意: このパラメータのデフォルト値は変更しないでください。 |
Prov Attribute Lookup Code |
プロビジョニングに必要なターゲット属性マッピングを持つ参照定義名。
このパラメータのデフォルト値は |
Recon Attribute Lookup Code |
リコンシリエーションに必要なターゲット属性マッピングを持つ参照定義名。
このパラメータのデフォルト値は |
Use XL Org Structure |
trueに設定すると、Oracle Identity Managerの組織構造はプロビジョニングとリコンシリエーションの際に使用されます。
|
「更新」をクリックして値を保存します。
Oracle Identity Managerリリース9.0.3.2または9.0.3.xシリーズのそれ以上のリリースにコネクタをインストールする手順は、次のとおりです。
コピーするコネクタのファイルと、コピーする必要があるディレクトリを次の表に示します。
| インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
|---|---|
lib/SJSDSProv.jar |
OIM_HOME/xellerate/JavaTasks
|
lib/SJSDSRecon.jar |
OIM_HOME/xellerate/ScheduleTasks
|
resourcesディレクトリにあるファイル |
OIM_HOME/xellerate/connectorResources
|
testディレクトリにあるファイル |
OIM_HOME/xellerate/SJSDS/test/troubleshoot
|
xmlディレクトリにあるファイル |
OIM_HOME/xellerate/SJSDS/xml
|
|
注意: クラスタ環境では、JARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーします。 |
「インストール・メディアのファイルおよびディレクトリ」で説明したように、コネクタのXMLファイルには、コネクタのコンポーネントの定義が含まれています。コネクタのXMLファイルをインポートすることで、Oracle Identity Managerにこれらのコンポーネントを作成します。
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
iPlanetResourceObject.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/iPlanet/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。iPlanet User ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
iPlanet User ITリソースのパラメータの値を指定します。指定する値に関する情報は、次の表を参照してください。
| パラメータ | 説明 |
|---|---|
Admin Id |
Sun Java System Directoryで管理者の権限を持つユーザーのDN値。
デフォルト値は |
Admin Password |
Sun Java System Directoryで管理者の権限を持つユーザーのパスワード。 |
Server Address |
ターゲットのSun Java System DirectoryサーバーのIPアドレス。 |
Port |
ターゲットのSun Java System Directoryサーバーに接続するポート番号。
デフォルト値は |
Root DN |
すべてのユーザーの操作が実行されるベースDN。
値は、 |
SSL |
Oracle Identity ManagerとターゲットのSun Java System Directoryサーバー間の通信にSSL接続を使用するかどうかを指定します。
設定可能な値は 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
Target Resource Reconciliation Time Stamp |
このパラメータは最初のリコンシリエーションの実行時に開始され、ターゲット・リソースのリコンシリエーションの実行終了時のタイムスタンプ値を格納します。
注意: このパラメータのデフォルト値は変更しないでください。 |
Trusted Source Reconciliation Time Stamp |
このパラメータは最初のリコンシリエーションの実行時に開始され、信頼できるソースのリコンシリエーションの実行終了時のタイムスタンプ値を格納します。
注意: このパラメータのデフォルト値は変更しないでください。 |
Prov Attribute Lookup Code |
プロビジョニングに必要なターゲット属性マッピングを持つ参照定義名。
このパラメータのデフォルト値は |
Recon Attribute Lookup Code |
リコンシリエーションに必要なターゲット属性マッピングを持つ参照定義名。
このパラメータのデフォルト値は |
Use XL Org Structure |
trueに設定すると、Oracle Identity Managerの組織構造はプロビジョニングとリコンシリエーションの際に使用されます。
|
「次へ」をクリックします。LDAP Server ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
|
関連項目: その他のITリソースを定義する場合、手順は『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
Oracle Identity Managerサーバーの構成には、次の手順があります。
|
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
「コネクタ・ファイルのコピー」の項で説明した手順を実行する一方で、インストール・メディアのresourcesディレクトリにあるファイルを、OIM_HOME/xellerate/connectorResourcesディレクトリにコピーします。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_HOME/xellerate/binディレクトリに移動します。
|
注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。OIM_HOME/xellerate/bin/batch_file_name |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
|
注意: ステップ2の実行時にスローされる例外は無視できます。 |
このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_HOME/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。
BEA WebLogic Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.SJSDS=log_level
これらの行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.SJSDS=INFO
ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。
IBM WebSphere Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.SJSDS=log_level
これらの行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.SJSDS=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBOSS_HOME/server/default/conf/log4j.xmlファイルに次の行が存在していない場合は追加します。
<category name="XELLERATE">
<priority value="log_level"/>
</category>
<category name="XL_INTG.SJSDS">
<priority value="log_level"/>
</category>
各セットのXMLコードの2行目で、log_levelを、設定するログ・レベルに置換します。次に例を示します。
<category name="XELLERATE"> <priority value="INFO"/> </category>
<category name="XL_INTG.SJSDS"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBOSS_HOME/server/default/log/server.log
Oracle Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.SJSDS=log_level
これらの行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.SJSDS=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
ORACLE_HOME/opmn/logs/default_group~home~default_group~1.log
コネクタのデプロイ時に、Oracle Identity Managerで次の参照定義が作成されます。
Lookup.IPNT.CommLang
プロビジョニング操作で、この参照定義を使用してユーザーの場所を指定します。
IPNT.Parameter
この参照定義のエントリは、リコンシリエーションとプロビジョニングの両方で使用されます。
コネクタ操作で使用する前に、この参照定義で値を入力または変更する必要があります。
参照定義で値を入力または変更するには、次のようにします。
Design Consoleにログインします。
「Administration」を開いて「Lookup Definition」をダブルクリックします。
Lookup.IPNT.CommLang参照定義を検索して開きます。
プロビジョニング操作で使用できるようにする各通信言語に、コード・キーおよびデコードの値を入力します。
どのような値でも入力できます。ただし、「Code Key」および「Decode」列の両方に同一の値、たとえば「German」を入力する必要があります。
「Save」をクリックします。
IPNT.Parameter参照定義を検索して開きます。
次の「Code Key」エントリに、「Decode」の値を入力します。
|
注意: 残りの「Code Key」エントリで「Decode」の値を変更しないことをお薦めします。 |
TARGET_TIMESTAMP_SEARCHFORMAT
このパラメータを使用して、ターゲット・システムがユーザー・データの変更に関連するイベントのタイムスタンプを保存するときに使用されるタイムスタンプのフォーマットを指定します。リコンシリエーション時にコネクタでは各イベントのタイムスタンプの値を使用して、リコンシリエーションの目的でユーザー・データの変更をOracle Identity Managerにフェッチするかどうかを決定します。
デフォルト値: yyyyMMddHHmmss.0'Z'
SPECIALCHARACTERS
このパラメータを使用して、リコンシリエーション操作とプロビジョニング操作を実行するときに、「ユーザーID」フィールドと「共通名」フィールドで特殊文字の使用を禁止するかどうかを指定します。
デフォルト値: #%+,<>|/
|
注意: 特殊文字のデフォルト・リストに特殊目次を追加または削除する際に、セパレータを使用しないでください。 |
TREE_DELETE_CONTROL_OID
このパラメータを使用して、コネクタ操作で削除できるようにするオブジェクトのOIDを指定します。
デフォルト値: 2.5.4.11(これは組織単位のOIDです)
LDAP_REFERRAL
組織内に複数のルート・コンテキストが存在する場合は、このパラメータを使用します。次の値のいずれかを指定できます。
NONE: LDAP検索でLDAP_REFERRALパラメータを使用しないよう指定します。
follow: LDAP検索で参照を自動的にたどるよう指定します。
ignore: LDAP検索で参照を無視するよう指定します。
throw: 参照が見つかった場合はReferralException 例外をスローするようLDAP検索に指定します。
デフォルト値: NONE
|
注意: これはデプロイのオプションの手順です。 |
Oracle Identity ManagerとSun Java System Directory間でSSL通信を有効にするには、次のタスクを実行します。
CAおよびSSL証明書の作成には、次の手順が含まれます。
証明書署名リクエストを生成する手順は、次のとおりです。
次のようにして、ターゲット・システムの証明書ファイルをエクスポートします。
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Tasks」タブで、「Configuration」をクリックします。
セキュリティ・デバイスのパスワードを求められたら、パスワードを指定します。
|
注意: SSL署名をSun Java System Directoryにインポートする際に、このパスワードを再使用します。 |
「Manage Certificates」ダイアログ・ボックスの「Server Certs」タブで、「Request」をクリックします。
「Certificate Request」ウィザードの最初のページで、「Request Certificate Manually」が選択されていることを確認して「Next」をクリックします。
ウィザードの「Requestor Information」ページで、情報を入力して「Next」をクリックします。
ウィザードの「Token Password」ページで、すでに指定したセキュリティ・デバイス・パスワードを入力して「Next」をクリックします。
ウィザードの「Request Submission」ページで、「Save to file」をクリックします。
「Save」ダイアログ・ボックスで、ファイルの場所および名前を指定し「Save」をクリックします。
ウィザードの「Request Submission」ページで、「Done」をクリックします。
CAおよびSSL証明書の生成を生成するには、使用する証明局(CA)で定義された手順を実行します。手順の実行の際、すでに作成した証明書証明リクエストを使用します。証明書(cer.)をSun Java System Directoryのホスト・コンピュータにダウンロードおよび保存します。
次の項では、CAおよびSSL証明書をSun Java System Directoryへインポートする手順を説明します。
CA証明書をSun Java System Directoryにインポートする手順は、次のとおりです。
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Tasks」タブで、「Configuration」をクリックします。
「Manage Certificates」ダイアログ・ボックスの「CA Certs」タブで、「Install」をクリックします。
「Certificate Install 」ウィザードの「Certificate Location」ページで、「Browse」ボタンを使用して該当するコンピュータに保存したCA証明書ファイルにナビゲートします。「Next」をクリックします。
「Certificate Install」ウィザードの「Certificate Information」ページで、「Next」をクリックします。
「Certificate Install」ウィザードの「Certificate Type」ページで、「Next」をクリックします。
「Certificate Request」ウィザードの「Intended Purpose」ページで、両方のチェック・ボックスが選択されていることを確認して「Done」をクリックします。
SSL証明書をSun Java System Directoryにインポートする手順は、次のとおりです。
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Tasks」タブで、「Configuration」をクリックします。
「Manage Certificates」ダイアログ・ボックスの「Server Certs」タブで、「Install」をクリックします。
「Certificate Install 」ウィザードの「Certificate Location」ページで、「Browse」ボタンを使用して該当するコンピュータに保存したSSL証明書ファイルにナビゲートします。「Next」をクリックします。
「Certificate Install」ウィザードの「Certificate Information」ページで、「Next」をクリックします。
「Certificate Install」ウィザードの「Certificate Type」ページで、「Next」をクリックします。
「Certificate Install」ウィザードの「Token Password」ページで、セキュリティ・デバイス・パスワードを入力して「Done」をクリックします。
CAおよびSSL証明書をOracle Identity Managerのホスト・コンピュータの証明書ストアにインポートする手順は、次のとおりです。
|
注意: クラスタ環境では、クラスタのすべてのノードでこの手順を実行する必要があります。 |
両方の証明書ファイルを、Oracle Identity Managerのホスト・コンピュータにコピーします。
証明書ファイルをコピーしたディレクトリに変更します。
各証明書に、次に類似するコマンドを入力します。
keytool -import -alias ALIAS -file CER_FILE -keystore MY_CACERTS -storepass PASSWORD
コマンドの説明は次のとおりです。
ALIASは、証明書の別名です(たとえば、サーバー名など)。
CER_FILEは、証明書(cer.)ファイルのフルパスおよび名前です。
MY_CACERTSは、証明書ストアのフルパスおよび名前です。
表2-1に、サポートされている各アプリケーション・サーバーの証明書ストアの場所を示します。
表2-1 証明書ストアの場所
| アプリケーション・サーバー | 証明書ストアの場所 |
|---|---|
|
BEA WebLogic Server |
|
|
IBM WebSphere Application Server |
|
|
JBoss Application Server |
JAVA_HOME/jre/lib/security/cacerts
|
|
Oracle Application Server |
ORACLE_HOME/jdk/jre/lib/security/cacerts
|
次のようなコマンドを入力し、証明書のインポートが成功しているかどうかを確認します。
keytool -list -alias ALIAS -keystore MY_CACERTS -storepass PASSWORD
次に例を示します。
keytool -list -alias MyAlias -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit
IBM WebSphere Application Serverの非クラスタ構成の場合、jsse.jarファイルをSun社のWebサイトからダウンロードして、ファイルをWEBSPHERE_HOME/java/jre/lib/extディレクトリにコピーします。
IBM WebSphere Application Serverのクラスタ構成の場合、jnet.jar、jsse.jarおよびjcert.jarファイルをSun社のWebサイトからダウンロードして、ファイルをWEBSPHERE_HOME/java/jre/lib/extディレクトリにコピーします。
SSL通信をSun Java System Directoryで有効にする手順は、次のとおりです。
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Configuration」タブで、「Encryption」タブを選択します。
「Enable SSL for this server」を選択します。
「Use this cipher family RSA」を選択します。
「Certificate」を選択して「Save」をクリックします。
Sun Java System Directoryを再起動します。
LDAPとのSSL通信のポート番号の確認
LDAPとのSSL通信のためのポート番号を確認するには、次の手順を実行します。
Sun Java System Directoryにログインします。
「Configuration」タブ、「Network」タブを順にクリックします。
「Secure Port」に表示される番号が、SSLポート番号です。
