LDAP同期が有効な場合に認証にLDAPを使用できるようにするには、次の手順を実行します。
注意: この手順では、次の機能は有効になりません。
|
Oracle Internet Directory (OID)に動的グループを追加します。
動的グループを定義するoimusers.ldifファイルを作成します。LDIFファイルは、次のような形式にします。
dn: cn=oimusers, <group search base> objectclass: orclDynamicGroup objectclass: groupOfUniqueNames labeleduri:ldap://<LdapHost>:<LdapPort>/<UserSearchBase>??sub?(objectclass=inetOrgPerson)
例:
dn: cn=oimusers,cn=Groups,dc=us,dc=oracle,dc=com objectclass: orclDynamicGroup objectclass: groupOfUniqueNames labeleduri: ldap://dadvmc0225:3060/cn=Users,dc=us,dc=oracle,dc=com??sub?(objectclass=inetOrgPerson)
ldapaddコマンドを使用してoimusers.ldifファイルをOIDにアップロードします。コマンドは次のような形式にします。
ldapadd -h <ldaphost> -p <ldapport> -D <root dn> -w <password> -f oimusers.ldif
例:
ldapadd -h dadvmc0225 -p 3060 -D cn=orcladmin -w welcome1 -f oimusers.ldif
ldapsearchコマンドを使用してグループ・メンバーを検証します。コマンドは次のような形式にします。
ldapsearch -h <ldaphost> -p <ldapport> -D <root dn> -w <password> -b "cn=oimusers,<groupsearchbase>" -s base "objectclass=*"
例:
ldapsearch -h dadvmc0225 -p 3060 -Dcn=orcladmin -wwelcome1 -b "cn=oimusers,cn=Groups,dc=us,dc=oracle,dc=com" -s base "objectclass=*"
WLSでLDAP認証を構成します。
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」、myrealm、「プロバイダ」に進みます。
「新規」をクリックします。名前を指定し、タイプとしてOracleInternetDirectoryAuthenticatorを選択します。
「制御フラグ」をSUFFICIENTに設定します。
「プロバイダ固有」設定をクリックし、OID接続の詳細を設定します。
「動的グループ」セクションで、次の値を入力します。
動的グループ名属性: cn
動的グループ・オブジェクト・クラス: orcldynamicgroup
動的メンバーURL属性: labeleduri
ユーザー動的グループDN属性: GroupOfUniqueNames
「プロバイダ」タブをクリックし、次に「並替え」をクリックします。LDAP認証がOIM認証の前に配置されるように並び替えます。
すべてのサーバーを再起動します。
ロール・メンバーシップを検証します。
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」→myrealm→「ユーザー」→「グループ」に進みます。
「ユーザー」をクリックし、LDAPユーザー検索ベースですべてのユーザーを表示します。LDAPユーザーが表示されない場合は、LDAP接続にエラーがあることを意味しており、OID認証で詳細が指定されます(プロバイダ固有の設定)。
任意のユーザーをクリックし、対応するグループ・エントリを表示します。リストされるエントリにOimusersが含まれている必要があります。この検証に失敗した場合は、LDAP認証のプロバイダ固有の詳細を確認してください。