2 コネクタのデプロイ

コネクタをデプロイするには次の手順を実行します。

• デプロイ要件の確認

• ターゲット・システムの構成

• 使用するOracle Identity Managerのリリースに応じて、次のいずれかの項の手順を実行します。

  • Oracle Identity Managerリリース9.1.0以上へのコネクタのインストール

  • Oracle Identity Managerリリース8.5.3.1〜9.0.3.xへのコネクタのインストール

• Oracle Identity Managerサーバーの構成

2.1 デプロイ要件の確認

次の表に、コネクタのデプロイ要件を示します。

項目	要件
Oracle Identity Manager	Oracle Identity Managerリリース8.5.3.1以上。
ターゲット・システム	ターゲット・システムは、SSH 2.0をサポートする次のオペレーティング・システムのいずれか。 Solaris 8 - 10 HP-UX 11.11（信頼できる/信頼できない） Linux（Red Hat Advanced Server 2.1、Red Hat Enterprise Linux 3.xまたはRed Hat Linux 4.x） AIX 4.3、AIX 5.1 - 5.3
外部コード	JSCAPE SSH/SSHライブラリ（SSHファクトリ）。
その他のシステム	OpenSSH、OpenSSL、オペレーティング・システム・パッチ（HP-UX）およびSUDOソフトウェア（SUDO Adminモードが必要な場合のみ）。
ターゲット・システムのユーザー・アカウント	rootまたはsudoユーザー。 ITリソースを構成する際に、このユーザー・アカウントの資格証明を指定します。手順はこのガイドで後述します。 指定されたタイプのターゲット・システム・ユーザー・アカウントを使用しなかった場合、Oracle Identity Managerがターゲット・システムとデータを交換しようする際に次のようなエラー・メッセージが表示されます。 SSH_USER_NORIGHTS_FAIL
ターゲット・システムでサポートされている文字エンコーディング	ターゲット・システムでデフォルトのC（POSIX）ロケールがサポートされている必要があります。 次のコマンドを使用すると、ターゲット・システムでサポートされているロケールを確認できます。 locale –a

様々なオペレーティング・システムのサポートされているシェル・タイプを次の表に示します。

Solaris	HP-UX	Linux	AIX
sh	csh	ksh	csh
csh	ksh	bash	ksh
-	sh	sh	sh
-	-	csh	-

2.2 ターゲット・システムの構成

ターゲット・システムの構成には、次の項で説明されている手順があります。

• プラットフォーム固有の構成手順

• 外部ソフトウェアのインストール

• 公開鍵認証（SSH鍵生成）

2.2.1 プラットフォーム固有の構成手順

この項では、次のプラットフォームでターゲット・システムを構成する手順を説明します。

• SolarisおよびLinuxの構成手順

• AIXの構成手順

• HP-UXの構成手順

2.2.1.1 SolarisおよびLinuxの構成手順

SolarisおよびLinux環境では、次の手順を実行します。

1. UNIXサーバーで/etc/passwdおよび/etc/shadowファイルが使用可能であることを確認します。

2. 次のようなコマンドを使用して、ターゲット・サーバーにpasswdミラー・ファイルを作成します。

   cp /etc/passwd /etc/passwd1
   

   コマンドの実行時に、任意のコピー先ディレクトリおよびファイル名を指定できます。ITリソースの構成時に、SolarisおよびLinuxのITリソースのPasswd Mirror File/User Mirror Fileパラメータの値として、このファイルの名前およびパスを指定します。

   
   

   注意: ITリソース定義の一部として資格証明を指定する管理者アカウントには、このファイルの読取りおよび書込み権限が必要です。

   
   

3. 次のようなコマンドを使用して、ターゲット・サーバーにshadowミラー・ファイルを作成します。

   cp /etc/shadow /etc/shadow1
   

   コマンドの実行時に、任意のコピー先ディレクトリおよびファイル名を指定できます。ITリソースの構成時に、ITリソースのShadow Mirror Fileパラメータの値として、このファイルの名前およびパスを指定します。

   
   

   注意: ITリソース定義の一部として資格証明を指定する管理者アカウントには、このファイルの読取りおよび書込み権限が必要です。

   
   

4. Solarisの場合のみ:

   コネクタ操作に必要な最小限の権限を持つターゲット・システム・アカウントを作成して使用する場合は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に示された手順を実行します。

2.2.1.1.1 コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成

Oracle Identity Managerでは、リコンシリエーションおよびプロビジョニングの操作を実行するためにターゲット・システム・アカウントを使用します。サポートされているすべてのターゲット・システムにおいて、このアカウントはrootユーザーまたはsudoユーザーのいずれかである必要があります。Solarisでは、ロールベースのアクセス制御（RBAC）機能を適用して、アカウントを作成し、コネクタ操作に必要な最小限の権限をそのアカウントに割り当てることができます。これは、rootユーザーやsudoユーザーを使用しない代替方法です。

注意: RBACユーザーを使用するかどうかを指定するには、ITリソースを使用します。ITリソースのパラメータについては、この章で後述します。

必要最小限の権限を持つユーザー・アカウントを作成するには、次のようにします。

1. 次のコマンドを実行して、ユーザーのロールを作成します。

   roleadd -d /export/home/ROLE_NAME -m ROLE_NAME
   

   このコマンドのROLE_NAMEは、ロールに割り当てる名前（たとえば、OIMRoleなど）に置き換えます。

2. 次のコマンドを実行して、パスワードをロールに割り当てます。

   passwd ROLE_NAME
   

   プロンプトで、ロールのパスワードを入力します。

3. 次のようにして、ユーザーのプロファイルを作成します。

   1. テキスト・エディタで/etc/security/prof_attrファイルを開き、ファイルに次の行を挿入します。

      PROFILE_NAME:::Oracle Identity Manager Profile:
      

      この行のPROFILE_NAMEは、プロファイルに割り当てる名前（たとえば、OIMProfなど）に置き換えます。

   2. ファイルを保存して閉じます。

4. /etc/security/exec_attrファイルに実行属性エントリを追加します。各エントリは、実行するタスクと、タスクの実行時にロールが想定するuidを定義しています。

   テキスト・エディタで/etc/security/exec_attrファイルを開き、次の行を挿入します。

   
   

   注意: このファイルには7つのフィールドがあります。区切り文字としてコロン（:）が使用されます。 Solaris 10では、値suserをsolarisに置き換えることができます。 一部のエントリには、euidが含まれています。これらのeuidのインスタンスは、uidに置き換えることができます。

   
   

   PROFILE_NAME:suser:cmd:::/usr/sbin/usermod:uid=0
   PROFILE_NAME:suser:cmd:::/usr/sbin/useradd:uid=0
   PROFILE_NAME:suser:cmd:::/usr/sbin/userdel:uid=0
   PROFILE_NAME:suser:cmd:::/usr/bin/passwd:uid=0
   PROFILE_NAME:suser:cmd:::/usr/bin/cat:euid=0
   PROFILE_NAME:suser:cmd:::/usr/bin/diff:euid=0
   PROFILE_NAME:suser:cmd:::/usr/bin/sort:euid=0
   PROFILE_NAME:suser:cmd:::/usr/bin/rm:uid=0
   PROFILE_NAME:suser:cmd:::/usr/bin/grep:euid=0
   PROFILE_NAME:suser:cmd:::/usr/bin/egrep:euid=0
   PROFILE_NAME:suser:cmd:::/bin/echo:euid=0
   PROFILE_NAME:suser:cmd:::/bin/sed:euid=0
   

5. 次のコマンドを実行して、プロファイルをロールに関連付けます。

   rolemod -P PROFILE_NAME ROLE_NAME
   

6. 次のコマンドを実行して、ユーザーを作成します。

   useradd -d /export/home/USER_NAME -m USER_NAME
   

7. 次のコマンドを実行して、パスワードをユーザーに割り当てます。

   passwd USER_NAME
   

8. 次のコマンドを実行して、ユーザーにロールを付与します。

   usermod -R ROLE_NAME USER_NAME
   

9. 変更した内容を確認するには、テキスト・エディタで/etc/user_attrファイルを開き、ファイル内に次のエントリが存在していることを確認します。

   ROLE_NAME::::type=role;profiles=PROFILE_NAME
   USER_NAME::::type=normal;roles=ROLE_NAME
   

2.2.1.2 AIXの構成手順

AIX環境では、次の手順を実行します。

1. サーバーで/etc/passwdおよび/etc/security/userファイルが使用可能であることを確認します。

2. 次のようなコマンドを使用して、サーバーにuserミラー・ファイルを作成します。

   > /etc/mainUserFile1
   

   コマンドの実行時に、任意のコピー先ディレクトリおよびファイル名を指定できます。ITリソースの構成時に、AIXのITリソースのPasswd Mirror File/User Mirror File (AIX)パラメータの値として、このファイルの名前およびパスを指定します。

   
   

   注意: ITリソース定義の一部として資格証明を指定する管理者アカウントには、このファイルの読取りおよび書込み権限が必要です。 AIXの場合、最初のリコンシリエーションでは、ターゲット・システム内に存在するすべてのユーザーのリコンシリエーションが実行されます。この機能は、他のターゲット・システムとは異なります。他のターゲット・システムでは、すべての既存のユーザーのレコードがターゲット・システムからフェッチされるのは、passwdミラー・ファイルおよびshadowミラー・ファイルを空のファイルとして作成した場合のみです。 AIX 4.xおよび5.1では、Update User Loginプロビジョニング操作はデフォルトでサポートされていません。ただし、これらのバージョンのAIXをアップグレードしてuseradd、usermodおよびuserdelのコマンドがサポートされると、Update User Loginプロビジョニング操作を実行できます。

   
   

2.2.1.3 HP-UXの構成手順

HP-UX環境では、次の手順を実行します。

1. HP-UXの信頼できるモードに切り替える場合は、次のようにします。

   1. rootとしてログインし、次のコマンドを実行します。

      /usr/bin/sam
      

      /usr/sbin/sam
      

   2. 「Auditing and Security」を選択し、「System Security Policies」を選択します。信頼できるモードに切り替えるかどうかを確認するメッセージが表示されます。

   3. 「Yes」をクリックします。次のメッセージが表示されます。

      System changed successfully to trusted system
      

2. ターゲット・サーバーで/etc/passwdおよび/etc/shadowディレクトリが使用可能であることを確認します。

   shadowファイルが存在しない場合には、次のサイトのインストール手順に従います。

   http://docs.hp.com/en/5991-0909/index.html

   すべてのパッチはHP社のパッチ・データベースで入手できます。次のサイトからダウンロード可能です。

   http://www5.itrc.hp.com/

3. 次のようなコマンドを使用して、ターゲット・サーバーにpasswdミラー・ファイルを作成します。

   cp /etc/passwd /etc/passwd1
   

   コマンドの実行時に、任意のコピー先ディレクトリおよびファイル名を指定できます。ITリソースの構成時に、HP-UXのITリソースのPasswd Mirror File/User Mirror Fileパラメータの値として、このファイルの名前およびパスを指定します。

   
   

   注意: ITリソース定義の一部として資格証明を指定する管理者アカウントには、このファイルの読取りおよび書込み権限が必要です。

   
   

4. 次のようなコマンドを使用して、ターゲット・サーバーにshadowミラー・ファイルを作成します。

   cp /etc/shadow /etc/shadow1
   

   コマンドの実行時に、任意のコピー先ディレクトリおよびファイル名を指定できます。ITリソースの構成時に、ITリソースのShadow Mirror Fileパラメータの値として、このファイルの名前およびパスを指定します。

   
   

   注意: ITリソース定義の一部として資格証明を指定する管理者アカウントには、このファイルの読取りおよび書込み権限が必要です。

   
   

2.2.2 外部ソフトウェアのインストール

この項では、外部ソフトウェアをインストールする手順を説明します。

2.2.2.1 OpenSSHのインストール

Solaris 9またはHP-UXにOpenSSHをインストールするには、次の手順に従います。

Solaris 8の場合

1. SolarisサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。Solaris 8では、この項に記載されているパッケージを次のサイトからダウンロードできます。

   http://www.sunfreeware.com/openssh8.html

   GCCコンパイラがインストールされていない場合には、次のファイルのパッケージをインストールする必要があります。

   libgcc-3.3-sol8-sparc-local.gz
   

   このファイルには、次のパッケージが含まれています。これらのパッケージは、指定された順序でインストールする必要があります。

   1. prngd-0.9.25-sol8-sparc-local.gz（オプション）

   2. tcp_wrappers-7.6-sol8-sparc-local.gz（オプションではあるが推奨）

   3. zlib-1.2.1-sol8-sparc-local.gz

   4. openssl-0.9.7g-sol8-sparc-local.gz

   5. openssh-4.1p1-sol8-sparc-local.gz

2. sshdという名前で、グループIDが27のグループを作成します。このグループにsshadminという名前のユーザーを追加します。

3. rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。

   PermitRootLogin yes
   

   
   

   注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。 rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。

   
   

Solaris 9の場合

1. SolarisサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。Solaris 9では、この項に記載されているパッケージを次のサイトからダウンロードできます。

   http://www.sunfreeware.com/

   
   

   注意: GCCコンパイラがインストールされていない場合には、次のパッケージをインストールします。 libgcc-3.4.1-sol9-sparc-local.gz libiconv-1.8-sol9-sparc-local.gz

   
   

   これらのパッケージは、次の順序でインストールする必要があります。

   1. prngd-0.9.25-sol9-sparc-local.gz

   2. tcp_wrappers-7.6-sol9-sparc-local.gz

   3. zlib-1.2.1-sol9-sparc-local.gz

   4. openssl-0.9.7d-sol9-sparc-local.gz

   5. openssh-3.9p1-sol9-sparc-local.gz

2. sshdという名前で、グループIDが27のグループを作成します。このグループにsshadminという名前のユーザーを追加します。

3. rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。

   PermitRootLogin yes
   

   
   

   注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。 rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。

   
   

Solaris 10の場合

Solaris 10には、デフォルトでOpenSSHがインストールされています。インストールされていない場合には、オペレーティング・システムのインストールCDからOpenSSHサーバーをインストールします。Solaris 10でSSHを有効化するには、/etc/ssh/ssh_configファイルに次の変更を行います。

1. Host *の行からコメント文字を削除します。

2. rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。

   PermitRootLogin yes
   

   
   

   注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。 rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。

   
   

HP-UXの場合

UNIXサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。

1. HP-UX 11.11の場合、次のサイトから適切なパッチをダウンロードしてインストールします。

   http://www4.itrc.hp.com/

   HP-UX B.11.11の場合は、hpux_800_11.11_11300132-patch.tgz用のファイルPHCO_33711.depotをダウンロードします。インストールするには、次のコマンドを使用します。

   swinstall -x autoreboot=true -x patch_match_target=true -s /tmp/PHCO_33711.depot
   

2. OpenSSHをダウンロードしてインストールします。T1471AA_A.03.81.002_HP-UX_B.11.11_32+64.depotファイルは、次のサイトからダウンロードできます。

   http://software.hp.com/portal/swdepot/displayProductInfo.do?productNumber=T1471AA

   パッチを正常にインストールしたら、次のコマンドを使用してOpenSSHをインストールします。

   swinstall -s /tmp/T1471AA_A.03.81.002_HP-UX_B.11.11_32+64.depot
   

   インストール後、HP-UX Secure Shellデーモン（sshd）が自動的に事前構成および起動されます。

3. sshdという名前でグループを作成します。

4. このグループにsshadminという名前のユーザーを追加します。

5. rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。

   PermitRootLogin yes
   

   
   

   注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。 rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。

   
   

Linuxの場合

Red Hat Advanced Server 2.1およびRed Hat Enterprise Linux 3には、デフォルトでOpenSSHがインストールされています。インストールされていない場合には、オペレーティング・システムのインストールCDからOpenSSHサーバーをインストールします。

AIXの場合

AIX 5.2サーバーにSSHがインストールされていない場合には、次の手順を実行します。

1. OpenSSLをダウンロードしてインストールします。

   次のサイトから、openssl-0.9.7d-aix5.1.ppc.rpmファイルをダウンロードします。

   http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html

   次のコマンドを入力してOpenSSLをインストールします。

   geninstall -d /root/download R: openssl-0.9.7d-2.aix5.1.ppc.rpm
   

   このコマンドで、/root/downloadはopenssl-0.9.7d-2.aix5.1.ppc.rpmファイルが格納されているAIXサーバーの場所です。

2. PRNGをダウンロードしてインストールします。

   次のサイトから、prngd-0.9.23-3.aix4.3.ppc.rpmファイルをダウンロードします。

   http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html

   次のコマンドを入力してPRNGをインストールします。

   geninstall -d /root/download R: prngd-0.9.23-3.aix4.3.ppc.rpm
   

   このコマンドで、/root/downloadはprngd-0.9.23-3.aix4.3.ppc.rpmファイルが格納されているAIXサーバーの場所です。

3. OpenSSHをダウンロードしてインストールします。

   次のサイトから、openssh-3.8.1p1_52.tar.gzファイルをダウンロードします。

   http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html

   次のコマンドを入力してOpenSSHをインストールします。

   gunzip /root/download/openssh-3.8.1p1_52.tar.gz
   tar -xvf /root/download/openssh-3.8.1p1_52.tar
   geninstall -I"Y" -d /root/download I:openssh.base
   

   これらのコマンドで、/root/downloadはopenssh-3.8.1p1_52.tar.gzファイルが格納されているAIXサーバーの場所です。

4. rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。

   PermitRootLogin yes
   

   
   

   注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。 rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。

   
   

2.2.2.2 SUDOのインストールおよび構成

SSHコネクタをSUDO Adminモードで使用する場合は、次の手順を実行してSUDOをインストールおよび構成します。

Solarisの場合

1. SolarisサーバーにSUDOがインストールされていない場合には、まずダウンロードします。

   • Solaris 9の場合には、sudo-1.6.8p4-sol9-sparc-local.gzファイルを次のサイトからダウンロードします。

     http://www.sunfreeware.com/programlistsparc9.html#sudo

   • Solaris 10の場合には、sudo-1.6.8p9-sol9-sparc-local.gzファイルを次のサイトからダウンロードします。

     http://www.sunfreeware.com/programlistsparc9.html#sudo

   • Solaris 8の場合には、sudo-1.6.8p9-sol8-sparc-local.gzファイルを次のサイトからダウンロードします。

     http://www.sunfreeware.com/programlistsparc8.html#sudo

2. SUDOをインストールするには、次のコマンドを使用します。

   pkgadd -d filename_with_full_path
   

3. Solarisサーバーでsudoersファイルを編集し、要件に応じてカスタマイズします。このファイルは次のディレクトリにあります。

   /usr/local/etc/
   

   たとえば、Solarisサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次のような行が含まれている必要があります。

   %mqm ALL= (ALL) ALL
   

   これはサンプル構成です。グループの一部のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集する必要があります。

   このコネクタでは次のコマンドが使用されます。

   • useradd

   • usermod

   • userdel

   • passwd

   • sh

   • cat

   • diff

   • sort

   • rm

   • grep

   • echo

   このため、SUDOユーザーにはこれらのコマンドを実行する権限が必要です。

   
   

   注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。NOPASSWD: ALLが設定されていると、コネクタが正常に動作しません。 sudoersファイルのカスタマイズの詳細は、次のサイトを参照してください。 http://www.courtesan.com/sudo/man/sudoers.html

   
   

4. 同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。

   Defaults timestamp_timeout=0
   

   これは、このコネクタが正常に機能するための前提条件です。

5. rootとしてSolarisコンピュータにログインし、次のコマンドを入力します。

   chmod 440 /usr/local/etc/sudoers
   chgrp root /usr/local/etc/sudoers
   chmod 4111 /usr/local/bin/sudo
   

6. SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。

   SUDOユーザーは、次のようなコマンドを使用して、必ずホーム・ディレクトリとともに作成する必要があります。

   useradd -g group_name -d /export/home/directory_name -m user_name
   

7. SUDOユーザーのホーム・ディレクトリに作成されるSUDOユーザーの.profileファイルに、次の行を追加してPATH環境変数の値を設定します。

   PATH=/usr/sbin:/usr/local/bin:/usr/local/etc:/var/adm/sw/products:$PATH
   export PATH
   

HP-UXの場合

1. HP-UXサーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。HP-UXの場合には、sudo-1.6.8p6-sd-11.11.depot.gzファイルを次のサイトからダウンロードします。

   http://hpux.cs.utah.edu

   SUDOをインストールするには、次のコマンドを入力します。

   swinstall -s filename_with_full_path
   

2. sudoersファイルを編集し、要件に応じてカスタマイズします。このファイルは次のディレクトリにあります。

   /usr/local/etc/
   

   たとえば、HP-UXサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。

   %mqm ALL= (ALL) ALL
   

   これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。

   このコネクタでは次のコマンドが使用されます。

   • useradd

   • usermod

   • userdel

   • passwd

   • sh

   • cat

   • diff

   • sort

   • rm

   • grep

   • echo

   • modprpw（/usr/lbin/modprpw）

   このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。

   
   

   注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。NOPASSWD: ALLが設定されていると、コネクタが正常に動作しません。 sudoersファイルのカスタマイズの詳細は、次のサイトを参照してください。 http://www.courtesan.com/sudo/man/sudoers.html

   
   

3. 同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。

   Defaults timestamp_timeout=0
   

   これは、このコネクタが正常に機能するために必要な前提条件です。

4. 編集したsudoersファイルを、ターゲット・システムの/etcディレクトリにコピーします。ファイルをコピーしたら、次のコマンドを入力します。

   dos2ux /etc/sudoers > /etc/sudoers1
   

   その後、ファイルの名前をsudoers1からsudoersに変更します。

5. rootとしてログインし、HP-UXコンピュータで次のコマンドを入力します。

   chmod 440 /etc/sudoers
   chgrp root /etc/sudoers
   chmod 4111 /usr/local/bin/sudo
   

6. SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。

   SUDOユーザーは、次のようなコマンドを使用して、必ずホーム・ディレクトリとともに作成する必要があります。

   useradd -g group_name -d /home/directory_name -m user_name
   

   また、ホーム・ディレクトリに作成される.profileファイルに、次の行を追加して適切なPATHを設定します。

   PATH=/usr/sbin:/usr/local/bin:/usr/local/etc:/var/adm/sw/products:$PATH
   export PATH
   

AIXの場合

1. AIX 5.2にSUDOがインストールされていない場合には、適切なSUDO AIX 5.2バージョンのsudo-1.6.7p5-2.aix5.1.ppc.rpmファイルを次のサイトからインストールします。

   http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html

2. AIX 5.2サーバーにRPM Package Managerがインストールされていない場合には、次のサイトからインストールします。

   http://www-1.ibm.com/servers/aix/products/aixos/linux/altlic.html

3. SUDOをインストールするには、次のコマンドを入力します。

   rpm -I /root/download/sudo-1.6.7p5-2.aix5.1.ppc.rpm
   

   このコマンドで、/root/downloadはsudo-1.6.7p5-2.aix5.1.ppc.rpmファイルが格納されているAIXサーバーの場所です。

4. AIXサーバーの/etcディレクトリにあるsudoersファイルを編集し、要件に応じてファイルをカスタマイズします。

   たとえば、AIXサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。

   %mqm ALL= (ALL) ALL
   

   これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。

   このコネクタでは次のコマンドが使用されます。

   • mkuser

   • chuser

   • rmuser

   • lsuser

   • sh

   • cat

   • diff

   • sort

   • rm

   • grep

   • echo

   • sed

   • usermod

   このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。

   
   

   注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。NOPASSWD: ALLが設定されていると、コネクタが正常に動作しません。 sudoersファイルのカスタマイズの詳細は、次のサイトを参照してください。 http://www.courtesan.com/sudo/man/sudoers.html

   
   

5. システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。

   Defaults timestamp_timeout=0

   これは、このコネクタが正常に機能するための前提条件です。

6. SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。

Red Hat Advanced Server 2.1の場合

1. Red Hat Advanced Server 2.1サーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。これを実行するには、まずsudo-1.6.7p5-1.i686.rpmファイルを次のサイトからダウンロードします。

   http://rpmfind.net/linux/rpm2html/search.php?query=sudo&submit=Search

   次のコマンドを入力してSUDOをインストールします。

   rpm -i /root/download/sudo-1.6.7p5-1.i686.rpm
   

   このコマンドで、/root/downloadはsudo-1.6.7p5-1.i686.rpmファイルが格納されているLinuxサーバーの場所です。

2. visudoコマンドを使用し、要件に応じて/etc/sudoersファイルを編集およびカスタマイズします。

   
   

   注意: visudoコマンドを使用してsudoersファイルを編集できない場合は、次を実行します。 次のコマンドを入力します。 chmod 777 /etc/sudoers sudoersファイルに必要な変更を行います。 次のコマンドを入力します。 chmod 440 /etc/sudoers

   
   

   たとえば、Linuxサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。

   mqm ALL= (ALL) ALL
   

   これはサンプル構成の例です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。

   このコネクタでは次のコマンドが使用されます。

   • useradd

   • usermod

   • userdel

   • passwd

   • sh

   • cat

   • diff

   • sort

   • rm

   • grep

   • echo

   • chage

   このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。

   
   

   注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。NOPASSWD: ALLが設定されていると、コネクタが正常に動作しません。 sudoersファイルのカスタマイズの詳細は、次のサイトを参照してください。 http://www.courtesan.com/sudo/man/sudoers.html

   
   

3. システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。

   Defaults timestamp_timeout=0
   

   これは、このコネクタが正常に機能するための前提条件です。

4. 次のようにしてSUDOユーザーを作成します。

   1. 次のコマンドを入力します。

      useradd -g group_name -d /home/directory_name -m user_name
      

      コマンドの説明は次のとおりです。

      - group_nameは、/etc/sudoersファイルにエントリのあるSUDOユーザー・グループです。

      - directory_nameは、ユーザーのデフォルトのディレクトリを作成するディレクトリの名前です。

   2. /home/directory_nameディレクトリに作成される.bash_profileファイルに、次の行を追加してPATH環境変数を設定します。

      PATH=/usr/sbin:$PATH
      export PATH
      

Red Hat Enterprise Linux 3.xおよびRed Hat Linux 4.xの場合

1. Red Hat Enterprise Linux 3.xまたは4.xサーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。Linux Advanced Server 3.0および4.1の場合には、sudo-1.6.7p5-1.i686.rpmファイルを次のサイトからダウンロードします。

   http://rpmfind.net/linux/rpm2html/search.php?query=sudo&submit=Search

   次のコマンドを入力してSUDOをインストールします。

   rpm -i /root/download/sudo-1.6.7p5-1.i686.rpm
   

   このコマンドで、/root/downloadはsudo-1.6.7p5-1.i686.rpmファイルが格納されているLinuxサーバーの場所です。

2. visudoコマンドを使用し、要件に応じて/etc/sudoersファイルを編集およびカスタマイズします。

   
   

   注意: visudoコマンドを使用してsudoersファイルを編集できない場合は、次を実行します。 次のコマンドを入力します。 chmod 777 /etc/sudoers sudoersファイルに必要な変更を行います。 次のコマンドを入力します。 chmod 440 /etc/sudoers

   
   

   たとえば、Linuxサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。

   %mqm ALL= (ALL) ALL
   

   これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集する必要があります。

   このコネクタでは次のコマンドが使用されます。

   • useradd

   • usermod

   • userdel

   • passwd

   • sh

   • cat

   • diff

   • sort

   • rm

   • grep

   • echo

   • chage

   このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。

   
   

   注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。NOPASSWD: ALLが設定されていると、コネクタが正常に動作しません。 sudoersファイルのカスタマイズの詳細は、次のサイトを参照してください。 http://www.courtesan.com/sudo/man/sudoers.html

   
   

3. システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。

   Defaults timestamp_timeout=0
   

   これは、このコネクタが正常に機能するための前提条件です。

4. 次のようにしてSUDOユーザーを作成します。

   1. 次のコマンドを入力します。

      useradd -g group_name -d /home/directory_name -m user_name
      

      コマンドの説明は次のとおりです。

      - group_nameは、/etc/sudoersファイルにエントリのあるSUDOユーザー・グループです。

      - directory_nameは、ユーザーのデフォルトのディレクトリを作成するディレクトリの名前です。

   2. /home/directory_nameディレクトリに作成される.bash_profileファイルに、次の行を追加してPATH環境変数を設定します。

      PATH=/usr/sbin:$PATH
      export PATH
      

2.2.3 公開鍵認証（SSH鍵生成）

ここでは次の項目について説明します。

• 公開鍵認証の構成

• SSH公開鍵認証の構成

2.2.3.1 公開鍵認証の構成

公開鍵認証を構成するには、次のようにします。

注意: 公開鍵認証を使用する場合、Solarisターゲット・モード用のRBACユーザーと、それ以外のターゲット・システム用のSUDOユーザーは使用できません。

1. インストール・メディアのディレクトリからターゲット・システム・サーバーの任意のディレクトリへ、scripts/privateKeyGen.shをコピーします。

2. このスクリプト・ファイルをテキスト・エディタで開き、作業ディレクトリのパスをこのファイルに指定されているデフォルト以外の値に指定します。

3. 必要な場合には、次のコマンドを入力します。

   SolarisまたはLinuxの場合:

   dos2unix privateKeyGen.sh privateKeyGen.sh
   

   HP-UXの場合:

   dos2ux privateKeyGen.sh
   

4. UNIXサーバーでprivateKeyGen.shスクリプトを実行します。要求される場合には、安全なパスフレーズを指定します。

   これらのコマンドが実行されると、$HOME/.sshディレクトリに次のファイルが作成されます。

   • id_rsa: これは公開鍵ファイルです。

   • authorized_keys: このファイルには、ログインに使用できる公開鍵がリストされています。

5. キーが正常に生成されたら、公開鍵認証用のsshd_configファイルを編集し、テスト・ログインします。

6. ログインを正常にテストしたら、id_rsaファイルを次のディレクトリにコピーします。

   OIM_HOME/xellerate/XLIntegrations/SSH/config
   

   
   

   注意: このリリースのコネクタは、RSAキーに対してのみテストおよび認証され、DSAに対しては行われていません。また、このコネクタがテストおよび認証されるのは単一のキー構成に対してのみで、複数のキーに対しては行われません。

   
   

2.2.3.2 SSH公開鍵認証の構成

SSH公開鍵認証を構成するには、次のようにします。

Solarisの場合

1. /etc/ssh/sshd_configファイルに次のパラメータを設定します。

   PubKeyAuthorization yes
   PasswordAuthentication no
   PermitRootLogin yes
   

   
   

   注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。 rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。

   
   

2. SSHサーバーを再起動するには、次のコマンドを入力します。

   • /etc/init.d/sshd stop

   • /etc/init.d/sshd start

3. ログインをテストするには、次のようにします。

   ssh -i /.ssh/id_rsa -l root server_IP_address
   

   このコマンドにより、接続の設定前にパスキーを要求されます。

HP-UXの場合

1. /etc/ssh/sshd_configファイルの次の行を非コメント化します。

   PermitRootLogin yes
   PubkeyAuthentication yes
   AuthorizedKeysFile .ssh/authorized_keys
   

   
   

   注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。 rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。

   
   

2. SSHサーバーを再起動するには、次のコマンドを入力します。

   /opt/ssh/sbin/sshd
   

3. ログインをテストするには、次のコマンドを入力します。

   ssh -i /.ssh/id_rsa -l root server_IP_address
   

   必要な場合には、パスキーを入力してサーバーに接続します。

Linuxの場合

1. UNIXサーバーのプロンプトに次のコマンドを入力します。

   mkdir /.ssh
   chmod 700 /.ssh
   ssh-keygen -q -f /.ssh/id_rsa -t rsa
   chmod 700 /.ssh/*
   

   これらのコマンドを入力すると、パスフレーズの入力を要求されます。パスフレーズを使用しない場合には、[Enter]を押します。

2. /etc/ssh/sshd_configファイルに次の行を追加します。

   AuthorizedKeysFile      /.ssh/id_rsa.pub
   

3. 次のコマンドを入力してUNIXサーバーを再起動します。

   /etc/init.d/sshd stop
   /etc/init.d/sshd start
   

4. SSHプロトコルを使用してターゲット・システムに接続できるかどうかを確認するには、パスワードを使用せずにコマンド・プロンプトから直接、次のコマンドを入力します。

   #ssh -l root -i /.ssh/id_rsa host_ip_address
   

5. /.ssh/id_rsaファイルを次のディレクトリにコピーします。

   OIM_HOME/xellerate/XLIntegrations/SSH/config
   

6. ITリソースの構成時に、id_rsaファイルの名前およびフルパスをPrivate Keyパラメータの値として指定します。

   OIM_HOME/xellerate/XLIntegrations/SSH/config/id_rsa
   

AIXの場合

1. この手順の最初のステップは、使用しているAIXのバージョンによって異なります。

   • AIX 4.3の場合は、/etc/openssh/sshd_configファイルを使用して次のパラメータを設定します。

     export PATH=$PATH: /usr/local/bin
     Installation path: /etc/openssh/
     sshd -- /usr/local/bin/
     

   • AIX 5.2の場合は、/etc/ssh/sshd_configファイルを使用して次のパラメータを設定します。

     export PATH=$PATH: /usr/sbin
     Installation path: /etc/ssh/
     sshd -- /usr/sbin/
     

2. /etc/ssh/sshd_configファイルを開いて、次の行を非コメント化します。

   AuthorizedKeysFile .ssh/authorized_keys
   PermitRootLogin yes
   PubkeyAuthentication yes
   

   
   

   注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。 rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。

   
   

3. SSHサーバーを再起動するには、次のコマンドを入力します。

   • /opt/ssh/sbin/sshd（AIX 4.3の場合）

   • /usr/sbin/sshd（AIX 5.2の場合）

4. ログインをテストするには、次のコマンドを入力します。

   ssh -i /.ssh/id_rsa -l root server_IP_address
   

   必要な場合には、パスキーを入力してサーバーに接続します。

   
   

   注意: SUDO Adminモードで実装された場合には、このリリースのコネクタでは、公開鍵認証のプロビジョニングはサポートされません。システム・アクセスに使用される公開鍵認証を使用できるのは、rootユーザーです。この点については、第5章の既知の問題リストでも説明しています。

   
   

2.3 Oracle Identity Managerリリース9.1.0以上へのコネクタのインストール

注意: このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を示すために使用されます。

Oracle Identity Managerリリース9.1.0以上にコネクタをインストールする手順は次のとおりです。

• コネクタ・インストーラの実行

• ITリソースの構成

2.3.1 コネクタ・インストーラの実行

コネクタ・インストーラを実行するには、次のようにします。

1. コネクタ・インストール・メディアの内容を次のディレクトリにコピーします。

   OIM_HOME/xellerate/ConnectorDefaultDirectory
   

2. 『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の「コネクタのインストールのためのユーザー・アカウントの作成」で説明されているユーザー・アカウントを使用して、管理およびユーザー・コンソールにログインします。

3. 「デプロイメント管理」→「コネクタのインストール」をクリックします。

4. 「コネクタ・リスト」から「UNIX SSH RELEASE_NUMBER」を選択します。このリストには、インストール・ファイルがデフォルト・コネクタ・インストール・ディレクトリにコピーされているコネクタの、名前およびリリース番号が表示されます。

   OIM_HOME/xellerate/ConnectorDefaultDirectory
   

   インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。

   1. 「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。

   2. 「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。

   3. 「コネクタ・リスト」から「UNIX SSH RELEASE_NUMBER」を選択します。

5. 「ロード」をクリックします。

6. 「続行」をクリックして、インストール処理を開始します。

   次のタスクが順番に実行されます。

   1. コネクタ・ライブラリの構成

   2. コネクタのターゲット・リソース・ユーザー構成XMLファイルのインポート（デプロイメント・マネージャを使用）。ターゲット・システムをリコンシリエーションの信頼できるソースとしてインポートする場合は、「信頼できるソースとしてのターゲット・システムの構成」を参照してください。

   3. アダプタのコンパイル

   正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかの手順を実行します。

   • 「再試行」をクリックしてインストールを再試行します。

   • インストールを取り消して、ステップ1からやりなおします。

7. コネクタのインストール処理の3つのタスクがすべて正常に行われると、インストールが正常に実行されたことを示すメッセージが表示されます。また、インストール後に実行する必要がある手順のリストが表示されます。これらの手順は次のとおりです。

   1. コネクタ使用の前提条件が満たされていることの確認

      
      

      注意: この段階で、コネクタ・リソース・バンドルからのコンテンツを含むサーバー・キャッシュをロードするためのPurgeCacheユーティリティを実行して、前提条件のリストを表示できます。PurgeCacheユーティリティの実行に関する情報は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。 一部の事前定義済コネクタには、前提条件はありません。

      
      

   2. コネクタのITリソースの構成

      このページに表示されるITリソースの名前を記録します。ITリソースの構成手順は、このガイドで後述します。

   3. コネクタのインストール時に作成されたスケジュール済タスクの構成

      このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクの構成手順は、このガイドで後述します。

Oracle Identity Managerクラスタへのコネクタのインストール

クラスタ環境でOracle Identity Managerをインストールする際には、すべてのJARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーする必要があります。コピー対象ファイルおよびOracle Identity Managerサーバー上のコピー先に関する情報は、「インストール・メディアのファイルおよびディレクトリ」を参照してください。

2.3.2 ITリソースの構成

注意: コネクタをOracle Identity Managerリリース9.1.0以上にインストールする場合、この手順を実行します。

次の手順に従って、SSH ITリソースのパラメータの値を指定する必要があります。

1. 管理およびユーザー・コンソールにログインします。

2. 「リソース管理」を開きます。

3. 「ITリソースの管理」をクリックします。

4. 「ITリソースの管理」ページの「ITリソース名」フィールドにSSHと入力して、「検索」をクリックします。

5. ITリソースの「編集」アイコンをクリックします。

6. ページ上部のリストから、「詳細およびパラメータ」を選択します。

7. ITリソースのパラメータの値を指定します。次の表に、各パラメータの説明を示します。

   パラメータ	説明およびサンプル値
   Admin UserId	管理者のユーザーID。 rootまたはjdoe。 SUDO Adminモードの場合、jdoeはSUDOユーザーのIDにすることができます。あるいは、Solarisでは、コネクタ操作の実行に必要な最小限の権限が割り当てられたアカウントのユーザーIDにすることもできます。詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。
   Admin Password/Private file Pwd	管理者のパスワード。 注意: SUDO Adminモードでは、秘密鍵はサポートされていません。パラメータの値として、このモードのパスワードを指定します。 秘密鍵を使用する場合は、パラメータの値として秘密鍵パスフレーズを入力します。 Solarisターゲット・システムでは、RBACユーザーを使用する場合、パラメータの値としてRBACユーザーのパスワードを入力します。
   Server IP Address	サーバーのIPアドレス。
   Port	サーバーでSSHサービスが実行されているポート。 デフォルト値: 22
   Private Key	フルパスの付いた秘密鍵ファイルの名前。 注意: SUDO Admin管理者の場合は、このパラメータを空にしておく必要があります。
   Server OS	次のいずれかを指定します。 AIX HP-UX SOLARIS LINUX
   Shell Prompt	#または$。
   Whether Trusted System (HP-UX)	YES（信頼できるHP-UXシステムの場合）またはNO（信頼できないHP-UXシステムの場合）。
   Sudo Or RBAC	次のいずれかの値を入力します。 None: rootユーザーを指定します。 Sudo: sudoユーザーを指定します。 RBAC: RBACユーザーを指定します。詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。
   Max Retries	接続が失敗した場合にコネクタがターゲット・サーバーへの接続を再試行する回数。 デフォルト値: 2
   Delay	接続が失敗した場合に、コネクタがターゲット・システムへの接続を再試行するまでの遅延（ミリ秒） デフォルト値: 10000
   Timeout	ターゲット・サーバーへの接続のタイムアウト値（ミリ秒）。 デフォルト値: 20000
   Passwd Mirror File/User Mirror File	passwordミラー・ファイル/userミラー・ファイルの名前およびフルパス。 SUDOユーザーには、このファイルに対する読取りおよび書込み権限が必要です。 たとえば、次のコマンドを実行して、ミラー・ファイルに対する権限を表示するとします。 $ ls -ltr passwd1 コマンドにより生成される出力は次のとおりです。 -rwxr--r-- 1 janedoe mqm 9972 Mar 11 20:35 passwd1 この出力で、janedoeはSUDOユーザーです。 この属性のサンプル値: /etc/passwd1
   Shadow Mirror File	shadowミラー・ファイルの名前。 SUDOユーザーには、このファイルに対する読取りおよび書込み権限が必要です。 たとえば、次のコマンドを実行して、ミラー・ファイルに対する権限を表示するとします。 $ ls -ltr shadow1 コマンドにより生成される出力は次のとおりです。 -rwxr--r-- 1 janedoe mqm 9972 Mar 11 20:35 shadow1 この出力で、janedoeはSUDOユーザーです。 注意: この属性は、AIXでは不要です。 HP-UXの信頼できるシステムの場合でも、この属性の値はNULLまたは空白にはできません。ただし、HP-UXの信頼できるシステムでのリコンシリエーション・プロセスでは、この属性は無視されます。 サンプル値: /etc/shadow1
   Target Date Format	このパラメータは、ターゲットUNIXコンピュータの日付書式の指定に使用されます。このパラメータのデフォルト値は次のとおりです。 MMddhhmmyy このパラメータは、ユーザー・リコンシリエーションに使用されます。
   Protocol	デフォルト値: SSH。 このデフォルト値は変更しないでください。
   RBAC Role Name	Sudo Or RBACパラメータの値としてRBACを指定した場合は、RBACユーザーに割り当てるロールの名前を入力します。そうでない場合は、このパラメータに値を指定しないでください。詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。
   RBAC Role Passwd	Sudo Or RBACパラメータの値としてRBACを指定した場合は、RBACユーザーに割り当てるロールのパスワードを入力します。そうでない場合は、このパラメータに値を指定しないでください。詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。

   
   

8. 「保存」をクリックして値を保存します。

2.4 Oracle Identity Managerリリース8.5.3.1〜9.0.3.xへのコネクタのインストール

Oracle Identity Managerリリース8.5.3.1〜9.0.3.xにコネクタをインストールする手順は、次のとおりです。

• コネクタ・ファイルのコピー

• コネクタのXMLファイルのインポート

2.4.1 コネクタ・ファイルのコピー

コピーするコネクタのファイルと、コピーする必要があるディレクトリを次の表に示します。

関連項目: これらのファイルの詳細は、「インストール・メディアのファイルおよびディレクトリ」を参照してください。

インストール・メディア・ディレクトリのファイル	コピー先ディレクトリ
configディレクトリにあるファイル	OIM_HOME/xellerate/XLIntegrations/SSH/config
ext/sshfactory.jar	OIM_HOME/xellerate/ThirdParty
lib/xliSSH.jar	OIM_HOME/xellerate/JavaTasks OIM_HOME/xellerate/ScheduleTask
resourcesディレクトリにあるファイル	OIM_HOME/xellerate/connectorResources
scriptsディレクトリにあるファイル	OIM_HOME/xellerate/XLIntegrations/SSH/scripts
testディレクトリにあるファイルとディレクトリ	OIM_HOME/xellerate/XLIntegrations/SSH
xmlディレクトリにあるファイル	OIM_HOME/xellerate/XLIntegrations/SSH/xml

注意: クラスタ環境では、JARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーします。

2.4.2 コネクタのXMLファイルのインポート

コネクタのXMLファイルをインポートするには、次のようにします。

1. Oracle Identity Manager管理およびユーザー・コンソールを開きます。

2. 左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。

3. 「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。

4. SSHNonTrustedUser.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/XLIntegrations/SSH/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。

5. 「ファイルの追加」をクリックします。「置換」ページが表示されます。

6. 「次へ」をクリックします。「確認」ページが表示されます。

7. 「次へ」をクリックします。SSH ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。

8. SSH ITリソースのパラメータの値を指定します。指定する値に関する情報は、次の表を参照してください。

   パラメータ	説明およびサンプル値
   Admin UserId	管理者のユーザーID。 rootまたはjdoe。 SUDO Adminモードの場合、jdoeはSUDOユーザーのIDにすることができます。あるいは、Solarisでは、コネクタ操作の実行に必要な最小限の権限が割り当てられたアカウントのユーザーIDにすることもできます。詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。
   Admin Password/Private file Pwd	管理者のパスワード。 注意: SUDO Adminモードでは、秘密鍵はサポートされていません。パラメータの値として、このモードのパスワードを指定します。 秘密鍵を使用する場合は、パラメータの値として秘密鍵パスフレーズを入力します。 Solarisターゲット・システムでは、RBACユーザーを使用する場合、パラメータの値としてRBACユーザーのパスワードを入力します。
   Server IP Address	サーバーのIPアドレス。
   Port	サーバーでSSHサービスが実行されているポート。 デフォルト値: 22
   Private Key	フルパスの付いた秘密鍵ファイルの名前。 注意: SUDO Admin管理者の場合は、このパラメータを空にしておく必要があります。
   Server OS	次のいずれかを指定します。 AIX HP-UX SOLARIS LINUX
   Shell Prompt	#または$。
   Whether Trusted System (HP-UX)	YES（信頼できるHP-UXシステムの場合）またはNO（信頼できないHP-UXシステムの場合）。
   Sudo Or RBAC	次のいずれかの値を入力します。 None: rootユーザーを指定します。 Sudo: sudoユーザーを指定します。 RBAC: RBACユーザーを指定します。詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。
   Max Retries	接続が失敗した場合にコネクタがターゲット・サーバーへの接続を再試行する回数。 デフォルト値: 2
   Delay	接続が失敗した場合に、コネクタがターゲット・システムへの接続を再試行するまでの遅延（ミリ秒） デフォルト値: 10000
   Timeout	ターゲット・サーバーへの接続のタイムアウト値（ミリ秒）。 デフォルト値: 20000
   Passwd Mirror File/User Mirror File	passwordミラー・ファイル/userミラー・ファイルの名前。ユーザーには、このファイルに対する読取りおよび書込み権限が必要です。 このパラメータのサンプル値は次のとおりです。 /etc/passwd1 このパラメータは、ユーザー・リコンシリエーションに使用されます。
   Shadow Mirror File	shadowミラー・ファイルの名前。 SUDOユーザーには、このファイルに対する読取りおよび書込み権限が必要です。 たとえば、次のコマンドを実行して、ミラー・ファイルに対する権限を表示するとします。 $ ls -ltr shadow1 コマンドにより生成される出力は次のとおりです。 -rwxr--r-- 1 janedoe mqm 9972 Mar 11 20:35 shadow1 この出力で、janedoeはSUDOユーザーです。 注意: この属性は、AIXでは不要です。 HP-UXの信頼できるシステムの場合でも、この属性の値はNULLまたは空白にはできません。ただし、HP-UXの信頼できるシステムでのリコンシリエーション・プロセスでは、この属性は無視されます。 サンプル値: /etc/shadow1
   Target Date Format	このパラメータは、ターゲットUNIXコンピュータの日付書式の指定に使用されます。このパラメータのデフォルト値は次のとおりです。 MMddhhmmyy このパラメータは、ユーザー・リコンシリエーションに使用されます。
   Protocol	デフォルト値: SSH。 このデフォルト値は変更しないでください。
   RBAC Role Name	Sudo Or RBACパラメータの値としてRBACを指定した場合は、RBACユーザーに割り当てるロールの名前を入力します。そうでない場合は、このパラメータに値を指定しないでください。
   RBAC Role Passwd	Sudo Or RBACパラメータの値としてRBACを指定した場合は、RBACユーザーに割り当てるロールのパスワードを入力します。そうでない場合は、このパラメータに値を指定しないでください。

   
   

9. 「次へ」をクリックします。SSH Server ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。

10. 「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。

    
    

    関連項目: その他のITリソースを定義する場合、手順は『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』を参照してください。

    
    

11. 「選択内容の表示」をクリックします。

    XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。

12. 「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。

2.5 Oracle Identity Managerサーバーの構成

Oracle Identity Managerサーバーの構成には、次の手順があります。

注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。

• 必要な入力ロケールへの変更

• サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去

• ロギングの有効化

2.5.1 必要な入力ロケールへの変更

必要な入力ロケール（言語および国の設定）に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。

必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。

2.5.2 サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去

「コネクタ・ファイルのコピー」の項で説明した手順を実行する一方で、インストール・メディアのresourcesディレクトリにあるファイルを、OIM_HOME/xellerate/connectorResourcesディレクトリにコピーします。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。

コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。

1. コマンド・ウィンドウで、OIM_HOME/xellerate/binディレクトリに移動します。

   
   

   注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。 OIM_HOME/xellerate/bin/batch_file_name

   
   

2. 次のいずれかのコマンドを入力します。

   • Microsoft Windowsの場合:

     PurgeCache.bat ConnectorResourceBundle
     

   • UNIXの場合:

     PurgeCache.sh ConnectorResourceBundle
     

   
   

   注意: ステップ2の実行時にスローされる例外は無視できます。

   
   

   このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。

   OIM_HOME/xellerate/config/xlConfig.xml
   

2.5.3 ロギングの有効化

ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

• ALL

  このレベルでは、すべてのイベントのロギングが有効化されます。

• DEBUG

  このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

• INFO

  このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。

• WARN

  このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

• ERROR

  このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。

• FATAL

  このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。

• OFF

  このレベルでは、すべてのイベントのロギングが無効化されます。

ログ・レベルを設定するファイルは、使用するアプリケーション・サーバーによって異なります。

• BEA WebLogic Server

  ロギングを有効にするには、次のようにします。

  1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

     log4j.logger.OIMCP.TELNETSSH=log_level
     

  2. この行で、log_levelを、設定するログ・レベルに置換します。

     次に例を示します。

     log4j.logger.OIMCP.TELNETSSH=INFO
     

  ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。

• IBM WebSphere Application Server

  ロギングを有効にするには、次のようにします。

  1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

     log4j.logger.OIMCP.TELNETSSH=log_level
     

  2. この行で、log_levelを、設定するログ・レベルに置換します。

     次に例を示します。

     log4j.logger.OIMCP.TELNETSSH=INFO
     

  ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

  WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
  

• JBoss Application Server

  ロギングを有効にするには、次のようにします。

  1. JBOSS_HOME/server/default/conf/log4j.xmlファイルに次の行が存在していない場合は追加します。

     <category name="OIMCP.TELNETSSH">
        <priority value="log_level"/>
     </category>
     

  2. XMLコードの2行目で、log_levelを、設定するログ・レベルに置換します。次に例を示します。

     <category name="OIMCP.TELNETSSH">
        <priority value="INFO"/>
     </category>
     

  ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

  JBOSS_HOME/server/default/log/server.log
  

• Oracle Application Server

  ロギングを有効にするには、次のようにします。

  1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

     log4j.logger.OIMCP.TELNETSSH=log_level
     

  2. この行で、log_levelを、設定するログ・レベルに置換します。

     次に例を示します。

     log4j.logger.OIMCP.TELNETSSH=INFO
     

  ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

  ORACLE_HOME/opmn/logs/default_group~home~default_group~1.log