| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-01 |
|
前 |
次 |
この章では、本番環境でOracle Identity ManagementとMicrosoft Active Directoryを統合する手順について説明します。この項の内容は、次のとおりです。
Oracle Internet Directory外部セキュリティ・プリンシパル参照とMicrosoft Active Directoryとの同期の構成
Microsoft Active Directory Lightweight Directory Service用のMicrosoft Active Directoryコネクタの構成
Microsoft Exchange Server用のMicrosoft Active Directoryコネクタの構成
|
注意: この章を読む前に、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のOracle Internet Directoryの概念とアーキテクチャに関する章を理解しておく必要があります。また、このマニュアルのここまでの章、特に次の章を理解していることを前提としています。Microsoft Active Directoryとの統合のデモンストレーションを構成する場合は、Oracle Identity Management 11gリリース1(11.1.1)のOracle By Exampleシリーズを参照してください。Oracle Technology Network( |
Microsoft Active Directoryで基本同期または拡張同期を構成するには、「同期要件の確認」の指示に従い、使用する環境で必要な同期要件が満たされていることを確認してください。
Oracle Enterprise Manager Fusion Middleware ControlまたはmanageSyncProfilesコマンドを使用して、Microsoft Active Directoryの同期プロファイルを構成できます。詳細は、第7章「ディレクトリ同期プロファイルの管理」を参照してください。
Oracle Directory Integration Platformをインストールすると、サポート対象のサード・パーティ・ディレクトリごとにインポートおよびエクスポートの同期プロファイルのサンプルが自動的に作成されます。Microsoft Active Directory用に作成された同期プロファイルのサンプルは、次のとおりです。
ActiveImport: DirSync方式を使用して、Microsoft Active DirectoryからOracle Internet Directoryに変更をインポートするためのプロファイル
ActiveChgImp: USN-Changed方式を使用して、Microsoft Active DirectoryからOracle Internet Directoryに変更をインポートするためのプロファイル
ActiveExport: Oracle Internet DirectoryからMicrosoft Active Directoryに変更をエクスポートするためのプロファイル
|
注意:
|
expressSyncSetupコマンドまたはOracle Enterprise Manager Fusion Middleware Controlを使用して、追加の同期プロファイルを作成することもできます。インストール・プロセス時またはexpressSyncSetupによって作成されたインポートおよびエクスポートの同期プロファイルは、Oracle Internet DirectoryとMicrosoft Active Directoryの統合をデプロイする際に使用する開始点としてのみ利用されます。デフォルトの同期プロファイルは事前定義の仮定を使用して作成されるため、次の手順を順序どおりに実行して、環境に合せてそれらをさらにカスタマイズする必要があります。
第16章「サード・パーティ・ディレクトリ統合の概念と考慮事項」、特に「Microsoft Active Directory統合の概念」を読んで、統合を計画します。「同期プロファイルの作成」の指示に従い、既存のActive Directoryテンプレート・プロファイルをコピーして、必ず新規のプロファイルを作成します。
「レルムの構成」の指示に従い、レルムを構成します。
デフォルトで、Microsoft Active Directoryコネクタにより、同期用に構成されたコンテナ内のすべてのオブジェクトに対する変更が取得されます。特定のタイプの変更のみ(ユーザーやグループに対する変更のみなど)を取得する場合は、LDAP検索フィルタを構成する必要があります。このフィルタにより、Microsoft Active DirectoryコネクタのMicrosoft Active Directoryに対する問合せの際に、不要な変更が排除されます。フィルタは、同期プロファイルのsearchfilter属性に格納されます。
サンプル・プロファイルのactiveChgImpとactiveImportでは、グループとユーザーのみがMicrosoft Active Directoryから取得されます。コンピュータは取得されません。searchfilter属性の値は、searchfilter=(|(objectclass=group)(&(objectclass=user)(!(objectclass=computer)))のように設定されます。
Oracle Enterprise Manager Fusion Middleware Controlを使用すると、検索フィルタをカスタマイズできます。
Oracle Enterprise Manager Fusion Middleware Controlを使用して検索フィルタをカスタマイズするには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、カスタマイズする検索フィルタを含むDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「同期プロファイル」をクリックします。「同期プロファイルの管理」ページが表示されます。
同期サーバーの管理ページで、既存のプロファイルを選択して「編集」をクリックします。「同期プロファイルの編集」ページが表示され、「一般」タブが開きます。
「同期プロファイルの編集」ページで、「フィルタリング」タブを選択します。
「マッピング」タブ・ページで、宛先一致フィルタ(orclODIPConDirMatchingFilter)フィールドおよび「ソースの一致フィルタ」(orclODIPOIDMatchingFilter)フィールドにsearchfilter属性の適切な値を入力します。searchfilter属性の指定方法は、「LDAP検索による変更のフィルタ処理」を参照してください。
「OK」を選択します。
manageSyncProfilesコマンドを使用して検索フィルタをカスタマイズするには、次のようにします。
「接続されたディレクトリ一致フィルタ」(orclODIPConDirMatchingFilter)属性をカスタマイズするために、次のコマンドを入力します。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf synchronization_profile_name -params "odip.profile.condirfilter searchfilter=(|(objectclass=group)(objectclass=organizationalunit)(&(objectclas s=user)(!(objectclass=computer))))"
「OID一致フィルタ」(orclODIPOIDMatchingFilter)属性をカスタマイズするために、次のコマンドを入力します。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf synchronization_profile_name -params "odip.profile.oidfilter orclObjectGUID"
|
注意: searchfilter属性に指定する属性はすべて、Microsoft Active Directoryの索引付き属性のように構成する必要があります。 |
|
関連項目: LDAP検索フィルタを構成する方法は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のLDAPフィルタ定義に関する付録を参照してください。 |
「Access制御リストのカスタマイズ」で説明されているように、ACLをカスタマイズします。
Microsoft Active Directoryと統合する場合は、次の属性レベル・マッピングがすべてのオブジェクトに対して必須です。
ObjectGUID: : : :orclObjectGUID: ObjectSID: : : :orclObjectSID:
例18-1 Microsoft Active Directoryのユーザー・オブジェクト用の属性レベル・マッピング
SAMAccountName:1: :user:orclADSAMAccountName: :orclADUser userPrincipalName: : :user:orclADUserPrincipalName::orclADUser:userPrincipalName
例18-2 Microsoft Active Directoryのグループ・オブジェクト用の属性レベル・マッピング
SAMAccountName:1: :group:orclADSAMAccountName: :orclADGroup
この例では、Microsoft Active DirectoryのSAMAccountNameおよびuserPrincipalNameは、それぞれOracle Internet DirectoryのorclADSAMAccountNameおよびorclADUserPrincipalNameにマップされます。
「マッピング・ルールのカスタマイズ」の指示に従い、属性マッピングをカスタマイズします。
複数のMicrosoft Active Directoryドメインと同期化する場合は、通常、ドメインごとに別々のインポートおよびエクスポート同期プロファイルが必要です。ただし、各ドメインのプロファイルは非常に似たものにします。唯一の例外は、グローバル カタログをインポート同期プロファイルとともに使用する場合です。この場合、Microsoft Active Directoryフォレスト用の1つのインポート同期プロファイルを作成するのみです。詳細は、「Microsoft Active DirectoryからOracle Internet Directoryへのインポートに必要な構成」を参照してください。
|
注意: 属性および識別名マッピングは、必ず複数のドメインとの同期化を行う前に実行してください。 |
複数ドメインに個別のインポートおよびエクスポート同期プロファイルを作成する最善の方法は、次のとおりです。
単一ドメイン用のインポートおよびエクスポート同期プロファイルを、この項で前述した手順を使用して、カスタマイズします。
最初のドメイン用のインポートおよびエクスポートの同期プロファイルのカスタマイズを終了したら、manageSyncProfilesコマンドのcopy操作を使用して、プロファイルを次のように複製します。
manageSyncProfiles copy -h host -p port -D WLS_login_ID -pf Original_Profile_Name -newpf New_Profile_Name
manageSyncProfilesコマンドのupdate操作を使用して、その他のMicrosoft Active Directoryドメインごとに、プロファイルを次のようにカスタマイズします。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf Profile_Name -params "prop1 val1 prop2 val2 ..."
必要な場合は、「接続詳細の構成」の指示に従い、ドメインごとに接続詳細を更新します。
次のコマンドを実行して、各ドメインのインポートおよびエクスポート同期プロファイルの最終変更番号を更新します。
manageSyncProfiles updatechgnum -h host -p port -D WLS_login_ID -pf Profile_Name
Microsoft Active Directoryでの削除をOracle Internet Directoryと同期化するには、Oracle Directory Integration ServerでMicrosoft Active Directoryとの同期を実行するために使用されるMicrosoft Active Directoryユーザー・アカウントに必要な権限を付与する必要があります。Microsoft Active Directoryでの削除は、Microsoft Active Directoryで削除を問い合せることで、Oracle Internet Directoryと同期化できます。この方法は、DirSync方式またはUSN-Changed方式のいずれを使用しているかによって決まります。
DirSync方式の場合、Oracle Directory Integration PlatformでMicrosoft Active Directoryへのアクセスに使用されるMicrosoft Active Directoryユーザー・アカウントは、ドメイン管理権限を持つか、ドメイン管理者グループに属するか、または「ディレクトリの変更の複製」権限を明示的に付与される必要があります。
USN-Changed方式の場合、Oracle Directory Integration PlatformでMicrosoft Active Directoryへのアクセスに使用されるMicrosoft Active Directoryユーザー・アカウントには、指定したドメインのcn=Deleted Objectsコンテナに対する「内容の一覧表示」権限と「プロパティの読み取り」権限が必要です。これらの権限を設定するには、Microsoft Active Directory Lightweight Directory Service(AD LDS: 旧称Microsoft Active Directory Application Mode(ADAM))の最新のバージョンで使用可能なdsacls.exeコマンドを使用する必要があります。
Microsoft Active Directoryでの削除をOracle Internet Directoryと同期化するためにDirSync方式またはUSN-Changed方式のどちらを使用する場合であっても、ActiveImportプロファイル(DirSync方式用)またはActiveChgImpプロファイル(USN-Changedプロファイル用)の一致フィルタを作成する場合は、必ず次のMicrosoft Active Directoryのキー属性のみを含めます。
ObjectGUID
ObjectSID
ObjectDistName
USNChanged
これらのキー属性以外の属性を一致フィルタに指定すると、Microsoft Active Directoryでの削除はOracle Internet Directoryに伝播されません。
|
関連項目:
|
「SSLモードでの同期用サード・パーティ・ディレクトリ・コネクタの構成」の指示に従い、SSLモードでの同期用にMicrosoft Active Directoryコネクタを構成します。
Oracle Internet DirectoryからMicrosoft Active Directoryにパスワードの変更を同期化するには、次のようにします。
SSLサーバー認証モードで実行するように、Oracle Internet Directory、Oracle Directory Integration PlatformおよびMicrosoft Active Directoryを構成します。
「Oracle Internet Directoryからサード・パーティ・ディレクトリへのパスワードの同期の有効化」の指示に従い、Oracle Internet DirectoryからMicrosoft Active Directoryへのパスワードの同期を有効にします。
第19章「Oracle Password Filter for Microsoft Active Directoryのデプロイ」で説明されているように、Oracle Password Filter for Microsoft Active Directoryをインストールおよび構成して、パスワードを同期化するようにMicrosoft Active Directoryコネクタを構成します。
「外部認証プラグインの構成」の指示に従い、Microsoft Active Directory外部認証プラグインを構成します。
構成後タスクおよび継続的な管理タスクの詳細は、第23章「サード・パーティ・ディレクトリとの統合の管理」を参照してください。
デフォルトでは、expressSyncSetupで作成されたインポート同期プロファイルでは、変更追跡にUSN-Changed方式を使用します。DirSync方式の変更追跡を使用する場合は、同期化を開始する前に、必ずこの項の手順を実行してください。
|
注意: 次の手順を実行する前に、現行のインポート同期プロファイルのバックアップを取ります。プロファイルのバックアップ・コピーは、manageSyncProfilesコマンドのcopy操作を使用すると作成できます。 |
インポート同期プロファイルでDirSync変更追跡方式が使用されるように変更する手順は、次のとおりです。
$ORACLE_HOME/ldap/odi/confディレクトリにあるactiveimp.cfg.masterファイルを使用すれば、インポート同期プロファイルをUSN-Changed方式からDirSync方式に変更できます。プロファイルを更新するには、次のコマンドを使用します。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf Profile_Name -params "odip.profile.configfile $ORACLE_HOME/ldap/odi/conf/activeimp.cfg.master"
次のコマンドを実行して、最終変更番号を更新します。
manageSyncProfiles updatechgnum -h host -p port -D WLS_login_ID -pf Profile_Name
この項では、Windowsネイティブ認証を構成するためのシステム要件とタスクについて説明します。この項の内容は、次のとおりです。
Windowsネイティブ認証は、イントラネットのWebアプリケーションを対象にしています。イントラネットでのデプロイに必要な要素は、次のとおりです。
Microsoft Active Directoryを搭載したWindows 2000 Server
OracleAS Single Sign-On Server用に設定されたKerberosサービス・アカウント
インストール済のOracle Application Server 11gリリース1(11.1.1)インフラストラクチャ
|
注意: この項のサンプル構成はUNIX/Linux用ですが、Oracle Fusion MiddlewareはMicrosoft Windowsにもインストールできます。 |
構成されているSingle Sign-On(SSO)サーバーが1つのみの場合、Windows認証済ユーザーによる内部アクセスとWindowsドメイン外のユーザーによる外部アクセスの両方が可能なWebサイトのWindowsネイティブ認証(WNA)用に構成されているSSOサーバーからHTTP-401レスポンスが送信されることを回避できません。Windowsネイティブ認証を使用する場合は、外部ユーザーのブラウザにHTTP-401エラーが送信され、ログイン・チャレンジが何度も表示されるのを防ぐために、異なるIPアドレスを持つ2つのSSOサーバーを構成することを検討してください。
|
関連項目: 詳細は、My Oracle Support(旧MetaLink)のNote 417620.1を参照してください。My Oracle Supportには、http://metalink.oracle.com/でアクセスできます。 |
Windowsネイティブ認証を設定するには、次のタスクを順序どおりに実行して、Oracle Internet Directory、OracleAS Single Sign-On Serverおよびユーザーのブラウザを構成します。
タスク1: OracleAS Single Sign-On Serverの構成
Single Sign-On Serverを構成するには、次の項目で説明されているタスクを完了します。
OracleAS Single Sign-On ServerのKerberosサービス・アカウントの設定
Microsoft Active DirectoryでOracleAS Single Sign-On Serverのサービス・アカウントを作成し、次にそのサーバー用のkeytabファイルを作成して、サービス・プリンシパル(サーバー)をアカウント名にマップします。keytabファイルには、サーバーの秘密鍵が格納されます。このファイルにより、サーバーではKDCに対する認証が可能になります。サービス・プリンシパルはエンティティであり、この場合は、KDCによりセッション・チケットが付与されるシングル・サインオン・サーバーです。
システム・クロックを同期化します。OracleAS Single Sign-On Server中間層とWindows 2000 Serverが一致する必要があります。この手順を省略すると、システム時間が異なるため認証に失敗します。時間、日付およびタイムゾーンが同期されていることを確認してください。
Microsoft Active DirectoryホストでKerberosサーバーのポート番号を確認します。Kerberosサーバーがリスニングするポートは、デフォルトでは/etc/servicesから選択されます。Windowsシステムでは、サービス・ファイルは、system_drive:\WINNT\system32\drivers\etcにあります。サービス名はKerberosです。通常、ポートはWindows 2000 Serverで88/udpおよび88/tcpに設定されます。servicesファイルに正しく追加すると、これらのポート番号のエントリは次のようになります。
kerberos5 88/udp kdc # Kerberos key server kerberos5 88/tcp kdc # Kerberos key server
servicesファイルと同じディレクトリにあるhostsファイルで、シングル・サインオン中間層のエントリを確認します。Oracle Application Server Single Sign-On Serverの物理ホスト名を示す完全修飾ホスト名が、IPアドレスと短縮名の間に配置されている必要があります。正しいエントリの例を次に示します。
130.111.111.111 sso.MyCompany.com sso loghost
次のタスクを実行して、Oracle Application Server Single Sign-Onの論理ホストで使用されるユーザー・アカウントとkeytabファイルをMicrosoft Active Directoryに作成します。
Windows 2000 ServerでMicrosoft Active Directory管理ツールにログインし、「ユーザー」、「新規」、「ユーザー」の順に選択します。
OracleAS Single Sign-On Serverホストの名前を、ドメイン名を省略して入力します。たとえば、ホスト名がsso.MyCompany.comの場合は、ssoと入力します。これは、Microsoft Active Directoryのアカウント名です。
アカウントに割り当てたパスワードを書き留めておいてください。このパスワードは後で必要になります。「ユーザーは次回ログオン時にパスワードの変更が必要」を選択しないでください。
OracleAS Single Sign-On Serverのkeytabファイルを作成し、アカウント名をサービス・プリンシパル名にマップします。これら2つのタスクを行うには、次のコマンドをWindows 2000 Serverで実行します。
C:> Ktpass -princ HTTP/sso.MyCompany.com@MyCompany.com -pass password -mapuser sso -out sso.keytab
-princ引数はサービス・プリンシパルです。HTTP/single_sign-on_host_name@KERBEROS_REALM_NAMEの書式を使用して、この引数の値を指定します。HTTPとKerberosレルムは大文字で指定します。
single_sign-on_host_nameがOracleAS Single Sign-On Serverホスト自体、または複数のOracleAS Single Sign-On Server中間層がデプロイされているロード・バランサの名前であることに注意してください。MyCompany.comは、Microsoft Active Directoryの架空のKerberosレルムです。ユーザー・コンテナは、このレルム内に存在します。-pass引数はアカウント・パスワード、-mapuser引数はOracleAS Single Sign-On Server中間層のアカウント名、-out引数はサービス・キーを格納する出力ファイルです。
例の値をそれぞれのインストール環境に適した値に置き換えてください。置き換える値は、例の中では太字で示されています。
|
注意:
|
各Oracle Application Server Single Sign-Onホストを対象に、keytabファイル(sso.keytab)をOracleAS Single Sign-On Server中間層にコピーまたはFTP転送し、$ORACLE_HOME/j2ee/OC4J_SECURITY/configに配置します。FTPを使用する場合、ファイルをバイナリ・モードで送信してください。
必ずWebサーバーにOracleAS Single Sign-On Server中間層の一意識別子(UID)を指定し、そのファイルに対する読取り権限を付与してください。
krb5.confファイルの更新
次の情報を使用して、krb5.confファイル(Windowsではkrb5.ini)を更新する必要があります。次の情報を使用してkrb5.confファイルを更新しないと、新しく生成されたkeytabファイルのkinitテストが失敗し、keytabファイルがOracleAS Single Sign-On ServerでWindowsネイティブ認証に使用されるときに、失敗します。
次の情報でkrb5.confファイルを更新します。
Active Directoryのデフォルト・レルム。例: AD.UK.ORACLE.COM
Active Directoryが存在するサーバーのホスト名。例: active.uk.oracle.com
OracleAS Single Sign-On Serverが存在するサーバーのホスト名。例: sso.uk.oracle.com
たとえば、次のテキストのマークアップしたテキストを、関連したデフォルト・レルムおよびKDCホスト名(つまり、Active Directoryが存在するサーバー)に置き換えます。
|
注意: krb5.confファイルでは、大文字と小文字が区別されます。 |
[libdefaults]
default_realm = AD.UK.ORACLE.COM
clockskew = 300
[realms]
AD.UK.ORACLE.COM = {
kdc = active.uk.oracle.com
}
[domain_realm]
.uk.oracle.com = AD.UK.ORACLE.COM
各Oracle Application Server Single Sign-OnホストでのOracleAS Single Sign-On Server Configuration Assistantの実行 この時点でossoca.jarツールを実行すると、次のようになります。
Sun JAASログイン・モジュールを使用するように、Oracle Application Server Single Sign-Onサーバーが構成されます。
サーバーを保護されたアプリケーションとして構成します。
ossoca.jarツールをOracleAS Single Sign-On Server中間層で実行するには、次のようにします。
次の構成ファイルのバックアップを作成します。
$ORACLE_HOME/sso/conf/policy.properties
$ORACLE_HOME/j2ee/OC4J_SECURITY/config/jazn.xml
$ORACLE_HOME/opmn/conf/opmn.xml
$ORACLE_HOME/j2ee/OC4J_SECURITY/config/jazn-data.xml
$ORACLE_HOME/j2ee/OC4J_SECURITY/applications/sso/web/WEB-INF/web.xml
$ORACLE_HOME/j2ee/OC4J_SECURITY/application-deployments/sso/orion-application.xml
ossoca.jarツールを次のように実行します。
UNIX/Linux:
$ORACLE_HOME/sso/bin/ssoca wna -mode sso -oh $ORACLE_HOME -ad_realm AD_REALM -kdc_host_port kerberos_server_host:port -verbose
Windows:
%ORACLE_HOME%\jdk\bin\java -jar %ORACLE_HOME%\sso\lib\ossoca.jar wna -mode sso -oh %ORACLE_HOME% -ad_realm AD_REALM -kdc_host_port kerberos_server_host:port -verbose
AD_REALMは、Microsoft Active DirectoryのKerberosレルムです。これはユーザー・コンテナです。構文からわかるように、この値は大文字で入力します。KDCのデフォルト・ポート番号は通常88です。これを確認するには、「OracleAS Single Sign-On ServerのKerberosサービス・アカウントの設定」の手順2を参照してください。
手順2で、OracleAS Single Sign-On Serverは停止します。次のコマンドで再起動します。
$ORACLE_HOME/opmn/bin/opmnctl startall
タスク2: Windowsネイティブ認証用のInternet Explorerの構成
Windowsネイティブ認証を使用できるようにInternet Explorerを構成します。構成方法は、使用するバージョンによって異なります。
Internet Explorer 5.0以上
Internet Explorer 5.0以上を構成するには、次の手順を実行します。
メニュー・バーから「ツール」を選択し、「ツール」メニューから「インターネット オプション」を選択します。
「インターネット オプション」ダイアログ・ボックスで、「セキュリティ」タブを選択します。
「セキュリティ」タブ・ページで、「イントラネット」を選択し、「サイト」を選択します。
「イントラネット」ダイアログ・ボックスで「プロキシ サーバーを使用しないサイトをすべて含める」を選択し、「詳細設定」をクリックします。
詳細設定の「イントラネット」ダイアログ・ボックスで、OracleAS Single Sign-On Server中間層のURLを入力します。次に例を示します。
http://sso.mydomain.com
「OK」をクリックし、「イントラネット」ダイアログ・ボックスを終了します。
「インターネット オプション」ダイアログ・ボックスで「セキュリティ」タブを選択し、「イントラネット」、「レベルのカスタマイズ」を選択します。
「セキュリティの設定」ダイアログ・ボックスで「ユーザー認証」セクションまでスクロールし、「イントラネット ゾーンでのみ自動的にログオンする」を選択します。
「OK」をクリックし、「セキュリティの設定」ダイアログ・ボックスを終了します。
メニュー・バーから「ツール」を選択し、「ツール」メニューから「インターネット オプション」を選択します。
「インターネット オプション」ダイアログ・ボックスで、「接続」タブを選択します。
「接続」タブで「LANの設定」を選択します。
プロキシ・サーバーの正しいアドレスとポート番号が入力されていることを確認してから、「詳細設定」を選択します。
「プロキシの設定」ダイアログ・ボックスで、「例外」セクションに、OracleAS Single Sign-On Serverのドメイン名(例ではMyCompany.com)を入力します。
「OK」をクリックし、「プロキシの設定」ダイアログ・ボックスを終了します。
Internet Explorer 6.0のみ
Internet Explorer 6.0を使用している場合は、「Internet Explorer 5.0以上」の手順1から12の実行後に、次の手順を実行します。
メニュー・バーから「ツール」を選択し、「ツール」メニューから「インターネット オプション」を選択します。
「インターネット オプション」ダイアログ・ボックスで、「詳細設定」タブを選択します。
「統合Windows認証を使用する(再起動が必要)」を選択します。
タスク3: ローカル・アカウントの再構成
Windowsネイティブ認証の構成後、Oracle Internet Directory管理者(orcladmin)と、アカウントがOracle Internet Directoryにあるその他のWindowsローカル・ユーザーのアカウントを再構成する必要があります。このタスクを省略すると、これらのユーザーがログインできなくなります。
Oracle Internet DirectoryのOracle Directory Services Managerインタフェースを使用して、次の手順を実行します。
|
関連項目: Oracle Directory Services Managerを使用したOracle Internet Directoryの構成方法は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。 |
Oracle Internet Directoryのローカル・ユーザー・エントリにorclADUserクラスを追加します。
ユーザー・エントリのorclSAMAccountName属性にローカル・ユーザーのログインIDを追加します。たとえば、orcladminアカウントのログインIDはorcladminです。
外部認証プラグインのexceptionEntryプロパティにローカル・ユーザーを追加します。
この項では、次のタイプのデプロイにおいて、複数のMicrosoft Active DirectoryドメインまたはフォレストでWindowsネイティブ認証を構成する方法について説明します。
親子関係のあるMicrosoft Active Directoryドメイン
ツリー・ルート信頼タイプが確立された同一フォレスト内のMicrosoft Active Directoryドメイン
フォレスト信頼タイプが確立された異なるフォレスト内のドメイン
|
注意: フォレスト信頼タイプは、Windows Server 2003以上のWindowsオペレーティング・システムでのみサポートされます。 |
複数のMicrosoft Active DirectoryドメインまたはフォレストでWindowsネイティブ認証を構成するには、次のタスクを順序どおりに実行します。
タスク1: Microsoft Active Directoryドメイン間で信頼が確立していることの検証
複数のMicrosoft Active Directoryドメイン間の信頼を検証する方法の詳細は、使用しているMicrosoft Active Directoryのドキュメントを参照してください。
タスク2: ロード・バランサまたはリバース・プロキシを介したOracle Application Server Single Sign-OnでのWindowsネイティブ認証の有効化
『Oracle Fusion Middleware Administrator's Guide for Oracle Single Sign-On』の拡張デプロイ・オプションに関する章の指示に従い、Oracle Application Server Single Sign-On Serverをロード・バランサの背後で稼働するように、またはリバース・プロキシを介して稼働するように構成します。
タスク3: OracleAS Single Sign-On Serverの構成
「タスク1: OracleAS Single Sign-On Serverの構成」の指示に従い、各Oracle Application Server Single Sign-On Serverを構成します。各Oracle Application Server Single Sign-On Serverの物理インスタンスを構成する際は、必ず同一のMicrosoft Active Directoryレルムおよび対応するKey Distribution Center(KDC)を使用してください。また、Oracle Application Server Single Sign-Onの論理ホスト名として、ロード・バランサまたはリバース・プロキシの名前を使用してください。
|
注意: 複数のMicrosoft Active Directoryフォレストでは、Oracle Application Server Single Sign-On Serverの論理ホスト名は、Microsoft Active Directoryドメインのいずれかに属している必要があります。たとえば、2つのMicrosoft Active Directoryフォレストがあり、各フォレストには1つのドメインが含まれているとします。1番目のフォレストのドメイン名はengineering.mycompany.comで、2番目のフォレストのドメイン名はfinance.mycompany.comです。Oracle Application Server Single Sign-On Serverの論理ホスト名は、engineering.mycompany.comまたはfinance.mycompany.com domainのいずれかに存在する必要があります。 |
タスク4: Windowsネイティブ認証用のInternet Explorerの構成
「タスク2: Windowsネイティブ認証用のInternet Explorerの構成」の指示に従い、Oracle Application Server Single Sign-On Serverを構成します。
SPNEGO-Kerberos認証をサポートするブラウザは、Internet Explorer 5.0以上のみです。OracleAS Single Sign-On Serverでは、Netscape Communicatorなどのサポート外のブラウザでフォールバック認証を利用できます。ブラウザのタイプと構成内容に応じて、OracleAS Single Sign-On Serverログイン・フォームまたはHTTP Basic認証のダイアログ・ボックスが表示されます。いずれの場合でも、ユーザーはユーザー名とパスワードを入力する必要があります。ユーザー名はKerberosレルム名とユーザーIDを連結したものです。デフォルトでは、ユーザー名を次の例のように入力します。
domain_name\user_id
次の例では、「OracleAS Single Sign-On ServerのKerberosサービス・アカウントの設定」で示した例に基づいて、ユーザー名の入力方法を示しています。
MyCompany.COM\jdoe
ユーザー名とパスワードは、大文字と小文字が区別されます。また、Microsoft Active Directoryのパスワード・ポリシーは適用されません。Oracle Directory Integration Platformを使用すると、別の同期プロファイルを構成できます。その場合、前述のログイン書式は適用されません。
フォールバック認証は、Oracle Internet Directoryの外部認証プラグインによってMicrosoft Active Directoryに対して実行されます。
|
注意:
|
使用しているInternet Explorerのバージョンに応じて、ログインの方法が異なる場合があります。表18-1に、自動サインオンとフォールバック認証が起動する状況を示します。
表18-1 Internet ExplorerでのSingle Sign-Onログインのオプション
| ブラウザのバージョン | デスクトップ・プラットフォーム | デスクトップの認証タイプ | Internet Explorerブラウザの統合認証 | OracleAS Single Sign-On Serverログイン・タイプ |
|---|---|---|---|---|
|
5.0.1以上 |
Windows 2000/XP |
Kerberos V5 |
オン |
自動サインオン |
|
5.0.1以上、ただし6.0より前 |
Windows 2000/XP |
Kerberos V5 |
オフ |
シングル・サインオン |
|
6.0以上 |
Windows 2000/XP |
Kerberos V5 またはNTLM |
オフ |
HTTP Basic認証 |
|
5.0.1以上、ただし6.0より前 |
Windows NT/2000/XP |
NTLM |
オンまたはオフ |
シングル・サインオン |
|
6.0以上 |
NT/2000/XP |
NTLM |
オン |
シングル・サインオン |
|
5.0.1以上 |
Windows 95、Windows ME、Windows NT 4.0 |
該当なし |
該当なし |
シングル・サインオン |
|
5.0.1より前 |
該当なし |
該当なし |
該当なし |
シングル・サインオン |
|
他のすべてのブラウザ |
他のすべてのプラットフォーム |
該当なし |
該当なし |
シングル・サインオン |
この項では、Oracle Internet Directory外部セキュリティ・プリンシパル参照をMicrosoft Active Directoryと同期化する方法について説明します。
Microsoft Active Directoryでは、グループ・メンバーの情報が信頼関係のドメインに外部セキュリティ・プリンシパル参照として格納されますが、Oracle Internet Directoryでは、これらのメンバーの識別名がOracle Internet Directoryでの表示どおりに格納されます。このため、エントリとグループのメンバーとしてのその値が一致しなくなります。Oracle Internet Directoryでは、ユーザーとグループとの関係を直接確立することはできません。
ユーザーとグループとの関係を確立するには、外部セキュリティ・プリンシパルを参照するメンバー識別名を、グループの同期中にエントリの識別名に置き換える必要があります。これは外部キー参照の解決と呼ばれます。
|
注意: 外部セキュリティ・プリンパル参照の同期は、Windows 2003でのみサポートされています。 |
例18-3 外部キー参照の解決方法
この項の例は、外部キー参照がどのように解決されるかを示しています。A、B、Cの3つのドメインがあるとします。
この例では、ドメインAからドメインB、ドメインAからドメインC、ドメインBからドメインCに対して一方向の非推移的な信頼があります。
外部キー参照を解決するタスク
この項では、外部キー参照を解決する手順を説明します。
タスク1: エージェント構成情報の更新 外部セキュリティ・プリンシパル参照が設定されている可能性のあるプロファイルごとに、次の手順を実行します。サンプル構成ファイルは、$ORACLE_HOME/ldap/odi/conf/ディレクトリにあります。
activeimp.cfg.fspファイルをコピーします。次にactiveimp.cfg.fspファイルの例を示します。
[INTERFACEDETAILS] Package: gsi Reader: ActiveReader [TRUSTEDPROFILES] prof1 : <Name of the profile1> prof2 : <Name of the profile2> [FSPMAXSIZE] val=10000
この例では、DirSync変更追跡方式を使用しているものと仮定しています。変更追跡にUSN-Changed方式を使用している場合、ReaderパラメータにActiveChgReaderの値を指定します。
activeimp.cfg.fspファイルの[TRUSTEDPROFILES]タグの下で、このドメインに外部セキュリティ・プリンシパル参照を持つその他のドメインのプロファイル名を指定します。
例18-3を参照すると、ドメインAのエージェント構成情報は、次のようになります。
[INTERFACEDETAILS] Package: gsi Reader: ActiveReader [TRUSTEDPROFILES] prof1: profile_name_for_domain_B prof2: profile_name_for_domain_C
ドメインBのエージェント構成情報は、次のようになります。
[INTERFACEDETAILS]
Package: gsi
Reader: ActiveReader
[TRUSTEDPROFILES]
prof1: profile_name_for_domain_C
ドメインCには外部キー参照がないため、ドメインCのエージェント構成情報ファイルには変更がありません。
[FSPMAXSIZE]タグの下で、外部セキュリティ・プリンシパルのキャッシュ・サイズを指定します。これは、設定できる外部セキュリティ・プリンシパルの平均値でかまいません。activeimp.cfg.fspファイルでは、サンプルの値1000が指定されています。
manageSyncProfilesコマンドのupdate操作を使用して、次のように新しいエージェント構成情報ファイルをロードします。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf profile_name_for_domain_A_or_B -params "odip.profile.configfile activeimp.cfg.fsp"
対象となるすべてのプロファイルについて、このタスクを繰り返します。
タスク2: 外部セキュリティ・プリンシパル参照を解決するためのブートストラップ前の入力データ変更 これには、次の手順を実行します。
Microsoft Active DirectoryからLDIFダンプを取得します。適切なフィルタを使用して、取得したLDIFファイルには、必要なオブジェクト(ユーザーやグループなど)のみが含まれるようにします。
|
注意: Microsoft Active DirectoryからOracle Internet Directoryにエントリをダンプするコマンドは、ldifdeです。このコマンドは、Microsoft Windows環境からのみ実行できます。 |
次のコマンドを入力して、外部セキュリティ・プリンシパル参照を解決します。
$ORACLE_HOME/ldap/odi/admin/fsptodn host=oid_host port=oid_port dn= OID_privileged_DN (that is, superuser or dipadmin user)pwd=OID_password profile=profile_name_for_domain_A_or_B infile=input_filenameo_of_the_LDIF_dump_from_Active_Directory outfile=output_filename [sslauth=0|1]
デフォルトで、hostはlocal_hostに、portは3060に、sslauthは0に設定されています。
|
注意: コマンドの実行が成功したかどうかは、出力ファイルにメンバー属性のcn=foreignsecurityprincipalsに対する参照が含まれていないことを確認することで検証できます。このコマンドでは、外部セキュリティ・プリンシパル参照の解決以外に、属性レベルのマッピングは実行されません。 |
syncProfileBootstrapコマンドを使用して、Microsoft Active DirectoryからOracle Internet Directoryにデータをブートストラップします。
タスク3: 同期中に外部セキュリティ・プリンシパルを解決するためのマッピング・ルールの更新 ブートストラップ後、グループに対する変更は、正しいグループ・メンバーシップの値でOracle Internet Directoryに反映する必要があります。fsptodnマッピング・ルールにより、同期化の際にこれが可能になります。外部セキュリティ・プリンシパルの解決が必要なすべてのプロファイルで、このマッピング・ルールを変更します。例18-3を参照すると、ドメインAとBについて、マッピング・ルールを変更する必要があります。
識別名マッピングがない場合は、member属性のマッピング・ルールを次のように変更します。
member: : :group:uniquemember: :groupofUniqueNames: fsptodn(member)
識別名マッピングがある場合は、マッピング・ルールを次のように変更します。
信頼関係の各ドメインに対応する識別名マッピング・ルールを追加します。これは、正しいドメイン・マッピングを解決するために使用されます。例18-3を参照すると、ドメインAのマッピング・ファイルのdomainrulesは、次のような内容になります。
DOMAINRULES <Src Domain A >:<Dst domain A1 in OID> <Src Domain B >:< Dst domain B1 in OID> <Src Domain C>:<Dst domain C1 in OID>
member属性のマッピング・ルールを次のように変更します。
member:::group:uniquemember::groupofUniqueNames:dnconvert(fsptodn(member))
次のようにmanageSyncProfilesコマンドのupdate操作を使用して、様々なプロファイルのマッピング・ファイルをアップロードします。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf Profile_Name -file File_Name
この項では、変更のエクスポート先であるMicrosoft Active Directoryドメイン・コントローラを変更する方法を説明します。USN-Changed方式用とDirSync方式用の2つの方法があります。
USN-Changed方式を使用してMicrosoft Active Directoryドメイン・コントローラを変更する方法
USN-Changed方式を使用している場合は、次の手順を実行します。
現在実行中のプロファイルを無効化します。Microsoft Active Directoryホスト接続情報(ホスト、ポート、ユーザー、パスワード)を、新規ホストを指すように変更します。通常、更新が必要なアイテムは、ホスト名のみです。
新しいドメイン・コントローラのルートDSEで、現行の最大のUSNChanged値(ルートDSEのhighestCommittedUSN属性の属性値)を検索することにより、highestCommittedUSNの現行値を取得します。
ldapsearch -h host -p port -b "" -s base -D binddn -q \ "objectclass=*" highestCommittedUSN
|
注意: パスワードを要求されます。 |
Oracle Directory Integration Platformを使用して、Microsoft Active Directoryから完全同期化を実行します。
目的とするLDAP検索の範囲と検索フィルタを使用して、Microsoft Active DirectoryからOracle Internet Directoryにエントリをダンプするldifdeコマンドを実行します。通常、検索フィルタは、実行中のプロファイルで指定されているものと同じです。たとえば、サンプルのプロパティ・ファイルでは、次の検索フィルタが設定されています。ldifdeを実行できるのは、Microsoft Windows環境からのみです。
searchfilter=(&(|(objectclass=user)(objectclass=organizationalunit))(!(objectclass=group)))
基本的に、実行中のプロファイルによりMicrosoft Active Directoryと同期化されるように構成された、Oracle Internet Directoryオブジェクト(エントリ)をすべて取得する検索範囲と検索フィルタを使用して、ldifdeを実行します。
Oracle Directory Integration Platformを実行して、同じプロファイルを使用して手順aで生成されたLDIFファイルをアップロードします。
完全同期が完了した後、lastchangenumber属性を、手順2で取得されたhighestCommittedUSN値により更新します。
USNChanged属性を使用して、Microsoft Active Directoryから通常の同期(増分同期)を再開します。
DirSync方式を使用してMicrosoft Active Directoryドメイン・コントローラを変更する方法
DirSync方式を使用している場合は、次の手順を実行します。
実行中の現行プロファイルを停止します。
manageSyncProfilesコマンドのcopy操作を使用して、すでに使用しているプロファイルとまったく同じプロファイルを新たに作成します。新たに作成したプロファイルで、Microsoft Active Directoryホスト接続情報(ホスト、ポート、ユーザー、パスワード)を、新規ホストを指すように変更します。通常、更新が必要なアイテムは、ホスト名のみです。
変更したプロファイルで、通常の同期を再開します。ドメイン・コントローラはすべて、同じMicrosoft Active Directoryドメインに存在することが必要です。
Microsoft Active Directoryコネクタは、Microsoft Active Directory Lightweight Directory Service(AD LDS: 旧称Active Directory Application Mode(ADAM))とOracle Internet Directoryの間でのエントリの同期に使用できます。
Microsoft Active Directoryコネクタは、Microsoft Active Directory Server 2000以上をアイデンティティ・ストアとして使用するデプロイのMicrosoft Exchangeのユーザーをプロビジョニングできます。
次のいずれかの方法を使用してMicrosoft Exchange Server用のMicrosoft Active Directoryコネクタを構成できます。
Oracle Enterprise Manager Fusion Middleware Controlユーザー・インタフェースを使用する。
コマンドラインでmanageSyncProfilesコマンドを使用する。
詳細は、次の各項を参照してください。
Microsoft Exchangeとの統合をさらにカスタマイズするには、「Microsoft Active Directoryとの拡張統合の構成」の指示に従います。
|
関連項目: 『Oracle Application Server MS Office Developer's Guide』 |
「同期プロファイルの作成」で説明されているように、Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを作成します。
「一般」タブで、「DIP-OIDの使用形式」フィールドを「ソース」に設定し、「タイプ」リストから「Microsoft Exchange Server」を選択します。
「マッピング」タブで、ドメイン・マッピング・ルールの作成に加えて、2つの属性マッピング・ルールを作成する必要があります。マッピング・ルールの作成方法を次に示します。
「マッピング」タブの「属性マッピング・ルール」セクションで「作成」をクリックします。
「属性マッピング・ルールの追加」ダイアログ・ボックスが開きます。
次の手順を使用して、2つの属性マッピング・ルールの1つ目を作成します。
「ソースのオブジェクト・クラス」ドロップダウン・メニューから「inetorgperson」を選択します。
「単一の属性」オプションを選択し、「ソース属性」ドロップダウン・メニューから「uid」を選択します。
「宛先オブジェクト・クラス」ドロップダウン・メニューから「User」を選択します。
「宛先属性」ドロップダウン・メニューから「homeMTA」を選択します。
「対応付けの式」フィールドにMTA DNの値を入力します。
homeMTAの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
MTA DNの形式は次のとおりです。
CN=Microsoft MTA,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
次に例を示します。
CN=Microsoft MTA,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
「OK」をクリックしてルールを保存します。
次の手順を使用して、2つ目の属性マッピング・ルールを作成します。
「ソースのオブジェクト・クラス」ドロップダウン・メニューから「inetorgperson」を選択します。
「単一の属性」オプションを選択し、「ソース属性」ドロップダウン・メニューから「uid」を選択します。
「宛先オブジェクト・クラス」ドロップダウン・メニューから「User」を選択します。
「宛先属性」ドロップダウン・メニューから「homeMDB」を選択します。
「対応付けの式」フィールドにMDB DNの値を入力します。
homeMDBの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
MDB DNの形式は次のとおりです。
CN=Mailbox Store (<host>),CN=First Storage Group, CN=InformationStore,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
次に例を示します。
CN=Mailbox Store (DADVMN0152),CN=First Storage Group, CN=InformationStore,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
「OK」をクリックしてルールを保存します。
「manageSyncProfilesの構文」で説明されているように、manageSyncProfilesコマンドを使用します。
コマンドを実行する際は、-conDirType引数に割り当てる値として、ExchangeServer2003を指定します。
インポート・プロファイルおよびエクスポート・プロファイルが作成されます。インポート・プロファイルはActive Directory USNテンプレート・プロファイルに、エクスポート・プロファイルはExchange Severテンプレート・プロファイルに基づいています。
msexchangeexp.map.masterマッピング・ファイルを編集し、ドメイン・マッピング・ルールおよび属性マッピング・ルールを作成します。次に、属性マッピング・ルールの作成方法の詳細を示します。マッピング・ルールに関する一般情報については、「マッピング・ルールのカスタマイズ」を参照してください。
ORACLE_HOME/ldap/odi/conf/にあるmsexchangeexp.map.masterマッピング・ファイルを開いて、次の属性マッピング・ルールを検索します。
uid:: :inetorgperson:homeMTA: :User:'%DN_OF_MTA%'
%DN_OF_MTA%をMTA DNの実際の値に置き換えます。
homeMTAの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
MTA DNの形式は次のとおりです。
CN=Microsoft MTA,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
次に例を示します。
CN=Microsoft MTA,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
msexchangeexp.map.masterマッピング・ファイルで、次の属性マッピング・ルールを検索します。
uid:: :inetorgperson:homeMDB: :User:'%DN_OF_MDB%'
%DN_OF_MDB%をMDB DNの実際の値に置き換えます。
homeMDBの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
MDB DNの形式は次のとおりです。
CN=Mailbox Store (<host>),CN=First Storage Group, CN=InformationStore,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
次に例を示します。
CN=Mailbox Store (DADVMN0152),CN=First Storage Group, CN=InformationStore,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
変更を保存します。
ORACLE_HOME/ldap/odi/conf/にあるmsexchangeexp.propertiesファイルを編集して、次を指定します。
Microsoft Exchange Serverホスト名
Microsoft Exchange Serverのポート番号
ユーザー名
パスワード
msexchangeexp.map.masterファイルおよびactiveexp.cfg.masterファイルの場所
