Oracle® Fusion Middleware Oracle Authentication Services for Operating Systems管理者ガイド 11g リリース(11.1.1) B61411-01 |
|
前 |
次 |
Oracle Authentication Services for Operating Systemsを使用すると、記憶域の集中化、認証およびユーザー・アイデンティティ管理をOracle Internet Directoryで行うことができます。
この章の内容は次のとおりです。
Oracle Internet Directoryは、Oracle Databaseのセキュリティ、スケーラビリティおよび信頼性を利用してユーザー、グループおよびその他のタイプのエントリを格納する、標準ベースのディレクトリ・サーバーです。Oracle Internet Directoryでは、パスワード・ポリシーの強制がサポートされています。Oracle Internet Directoryは、サード・パーティのディレクトリ・サーバー(Active Directoryなど)と同期化できます。
Oracle Authentication Services for Operating Systemsを使用すると、LinuxおよびUNIXベースのオペレーティング・システムでOracle Internet Directoryを認証に使用できます。構成スクリプトによって、Pluggable Authentication Module(PAM)およびSecure Sockets Layer(SSL)の構成が自動的に行われます。構成後は、NIS、ファイルまたは別のLDAP準拠ディレクトリから既存のエントリを移行できます。またオプションで、パスワード・ポリシー強制、sudo
、自動マウントなどの機能を構成できます。エントリ管理にはOracle Internet Directoryのツールを使用できます。また、多くの操作に対してlibuser
ツールを使用できます。図1-1に、これらの機能を要約しています。
Oracle Fusion Middleware 11g R1パッチ・セット2(11.1.1.3.0)では、Oracle Internet Directoryインストールに、Oracle Authentication Services for Operating Systemsで使用される次のコンポーネントが含まれます。
SSLおよび非SSLのサーバー構成スクリプト
SSLおよび非SSLのクライアント構成スクリプト
NISおよびフラット・ファイルベース認証からの移行のサポート
サード・パーティのLDAPディレクトリからOracle Internet Directoryへの移行のサポート。
sudoers
ファイルからOracle Internet Directoryへのsudoポリシーの移行のサポート
Oracle Internet Directoryへの自動マウントの移行のサポート
login
、xdm
、ssh
、su
またはその他のクライアント・ログイン・プログラムにユーザーが資格証明(ユーザー名およびパスワード)を提供すると、次のイベントが発生します。
ログイン・プログラムの認証モジュールによって、ローカルの構成ファイルが調査され、そのユーザーの認証方法が特定されます。これらのファイルには、使用する手段(LDAP)、サーバーの場所、および使用する証明書(SSLが構成されている場合)などの情報が含まれています。
認証モジュールにより、ユーザーの資格証明を使用してOracle Internet Directoryに対するユーザー認証が試行されます。SSLが構成されている場合は、最初に証明書を使用してSSL通信チャネルが確立されます。
Oracle Internet Directoryによって資格証明が正しくアカウントがアクティブであることが判別されると、ユーザーのログイン試行は成功します。そうでない場合、ユーザーのログイン試行は失敗します。
ユーザーのログイン試行が成功した場合、ユーザーのグループ・メンバーシップ情報について、モジュールからOracle Internet Directoryへ再び問合せが行われます。
Oracle Internet Directoryからグループ・メンバーシップ情報が戻されます。
これらのイベントを図1-2に示します。
Oracle Authentication Services for Operating Systemsを構成するには、次の手順を実行します。
Oracle Internet Directoryをインストールします。使用しているプラットフォーム用の『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
11g R1パッチ・セット2(11.1.1.3.0)を適用します。
構成スクリプトを実行して、ユーザー認証用にサーバーおよびクライアントを構成します。
パスワード・ポリシーを構成します。
NIS、ローカル・ファイルまたは別のLDAP準拠ディレクトリからOracle Internet Directoryにエントリを移行します。
sudo
を構成し、sudo
エントリをOracle Internet Directoryに移行します。
オプションで、Active Directoryに格納されている資格証明をLinuxまたはUNIXベースのオペレーティング・システムで認証に使用できるように、Active Directoryとの統合を構成できます。
オプションで、各マシンでのユーザーのログインを制限できます。
Oracle Authentication Services for Operating Systemsを構成し、Oracle Internet Directoryにデータを移行した後は、特定のツールを使用してユーザー、パスワードおよびその他のデータを管理する必要があります。具体的には次のツールを使用する必要があります。
Oracle Directory Services Manager
$ORACLE_HOME/bin
にあるLDAPツールおよびバルク・ツール
passwd
コマンド
プラットフォーム固有のツール:
Linuxディストリビューションでのlibuser
ツール(制限付き)。「libuserツール」を参照してください。
コマンドmkuser
および同様のAIXツール(オプション-R LDAP
を使用)。「AIX固有のツール」を参照してください。
Oracle Authentication Services for Operating Systems 11g リリース1(11.1.1)の詳細は、次の関連資料を参照してください。
このリリースに同梱されているREADMEドキュメント
ノート1064891.1: Oracle Authentication Services for Operating Systems補足ドキュメント(11.1.1.3)。このドキュメントは、My Oracle Support(https://support.oracle.com
)で入手できます。