| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
前へ |
次へ |
この章では、エンタープライズ・デプロイメントにおいてOracle Internet Directory(OID)でドメインを拡張する方法について説明します。
この章の内容は次のとおりです。
ユーザーとグループの情報を格納するには、アイデンティティ・ストアを使用します。セキュリティ・ポリシーの情報と構成情報を格納するには、ポリシー・ストアを使用します。単一のOracle Internet Directoryインスタンスを使用してアイデンティティ情報とポリシー情報の両方を格納できますが、2つのディレクトリ・ストアを使用することをお薦めします。
アイデンティティ情報とポリシー情報を分離する場合は、Oracle Internet Directoryの高可用性インスタンスを2つ作成する必要があります。これらのインスタンスは同じノード上で共存でき、別々のノードに配置することもできます。ただし、データは2つの別個のデータベースに格納する必要があります。Oracle Internet Directoryにポリシー情報を格納する必要がある場合は、アイデンティティ情報を別のディレクトリ(Active Directoryなど)に配置できます。
Oracle Internet Directoryの2つのインスタンスをインストールし、構成するための手順は同じです。ただし、一方のインスタンスではidstore.mycompany.comを指定し、他方のインスタンスではpolicystore.mycompany.comを指定する必要があります。
OIDHOST1およびOIDHOST2でOracle Internet Directoryインスタンスを構成する前に、次のタスクが実行されていることを確認してください。
グリニッジ標準時を使用して、ノード間で250秒を超える差異がないように、個々のOracle Internet Directoryノードの時刻を同期させます。
|
注意: 2つのノード間の時間差が250秒を超えていることをOIDモニターが検出すると、遅れているノードのOIDモニターはそのノード上のサーバーをすべて停止します。この問題を修正するには、遅れているノードの時間を同期化します。OIDモニターは、システム時間の変更を自動的に検出し、そのノードのOracle Internet Directoryサーバーを起動します。 |
第4.5.5項「Oracle Identity Managementのインストール」の説明に従って、OIDHOST1およびOIDHOST2上でソフトウェアのインストールとアップグレードを行います。
共有記憶域でのOracle Internet Directoryインスタンスのプロビジョニングを計画している場合は、第2.4項「共有記憶域と推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームがOIDHOST1とOIDHOST2にマウントされていることを確認します。
ロード・バランサが構成されていることを確認します。
次の手順に従って、Oracle Internet Directoryでディレクトリ層のOracle Internet Directoryコンポーネント(OIDHOST1とOIDHOST2)を構成します。インストールの手順はほとんど同じですが、構成オプション画面での選択が異なります。
この項の内容は次のとおりです。
使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート389と636がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていない場合は、コマンドから出力は返されません。
UNIX:
netstat -an | grep "389" netstat -an | grep "636"
ポートが使用されている(コマンドからどちらかのポートを識別する出力が返された)場合は、ポートを解放する必要があります。
UNIX:
/etc/servicesファイルで389ポートと636ポートのエントリを削除し、第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってサービスを再起動するか、コンピュータを再起動します。
Disk1/stage/Responseディレクトリからインストール・メディアの一時ディレクトリに、staticports.iniファイルをコピーします。
次のように、一時ディレクトリにコピーしたstaticports.iniファイルを編集し、ポート389と636を割り当てます。
| ポート | 値 |
|---|---|
|
Oracle Internet Directoryの非SSLポート |
|
|
Oracle Internet DirectoryのSSLポート |
|
Oracle Identity Management 11gコンフィギュレーション・アシスタントを起動します。このためには、IDM_ORACLE_HOME/bin/config.sh(UNIXの場合)またはIDM_ORACLE_HOME\bin\config.bat(Windowsの場合)を実行します。
「ようこそ」画面で、「次へ」をクリックします。
「ドメインの選択」画面で「ドメインなしで構成」を選択します。
「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracleインスタンスの場所: /u01/app/oracle/admin/oid_inst1
Oracleインスタンス名: oid_inst1
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウント用の電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウント用のパスワードを指定します。
「セキュリティ・アップデートをMy Oracle Support経由で受け取ります。」フィールドの隣にあるチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のコンポーネントをすべて選択解除し、「次へ」をクリックします。
「ポートの構成」画面で、構成ファイルを使用してポートを指定を選択して、一時ディレクトリで編集したstaticports.iniファイルのフルパス名を入力します。
「次へ」をクリックします。
「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択して、次の値を指定します。
接続文字列: oiddbhost1-vip.mycompany.com:1521:idmdb1^oiddbhost2-vip.mycompany.com:1521:idmdb2@oidedg.mycompany.com
|
注意:
|
ユーザー名: ODS
パスワード: ******(パスワードを入力します)
「次へ」をクリックします。
「OIDの構成」画面で、企業情報を格納するレルムを指定し(たとえば、dc=mycompany,dc=com)、管理者(cn=orcladmin)パスワードを入力して、「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認します。そうでない場合は、「戻る」をクリックしてそれまでの画面に戻り、選択内容を変更します。選択内容が正しい場合、「構成」をクリックします。
LinuxシステムおよびUNIXシステムの場合、oracleRoot.shスクリプトの実行を求めるダイアログ・ボックスが表示されます。oracleRoot.shスクリプトを編集し、次の行を変更します。
fi# This command path is not already provided in the existing root.sh
次のように2行に変更します。
fi # This command path is not already provided in the existing root.sh
ファイルを保存してから、ウィンドウを開き、rootユーザーとしてoracleRoot.shスクリプトを実行します。次のような画面が表示されたら、次のようにします。
Do you want to run oidRoot.sh to configure OID for privileged ports? (yes/no)
yesと入力します。
「構成」画面で、複数のConfiguration Assistantが連続して起動されます。このプロセスは、時間がかかることがあります。構成プロセスが終了するまで待機します。
「インストール 完了」画面で「終了」をクリックして、終了を選択したことを確認します。
OIDHOST1へのOracle Internet Directoryインスタンスのインストールを検証するには、次のコマンドを発行します。
ldapbind -h oidhost1.mycompany.com -p 389 -D "cn=orcladmin" -q ldapbind -h oidhost1.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1
|
注意:
|
この時点でOracle Internet Directoryのチューニングを行うことをお薦めします。Oracle Fusion Middlewareパフォーマンス・ガイドの「Oracle Internet Directory」の章を参照してください。
このタスクを実行する前に、スキーマ・データベースが実行している必要があります。次の手順に従って、OIDHOST2にOracle Internet Directoryをインストールします。
使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート389と636がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていない場合は、コマンドから出力は返されません。
UNIX:
netstat -an | grep "389" netstat -an | grep "636"
ポートが使用されている(コマンドからどちらかのポートを識別する出力が返された)場合は、ポートを解放する必要があります。
UNIX:
/etc/servicesファイルで389ポートと636ポートのエントリを削除し、第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってサービスを再起動するか、コンピュータを再起動します。
Disk1/stage/Responseディレクトリから一時ディレクトリにstaticports.iniファイルをコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集し、次のカスタム・ポートを割り当てます。
| ポート | 値 |
|---|---|
|
Oracle Internet Directoryの非SSLポート |
|
|
Oracle Internet DirectoryのSSLポート |
|
IDM_ORACLE_HOME/bin/config.shを実行して、Oracle Identity Management 11gコンフィギュレーション・アシスタントを起動します。
「ようこそ」画面で、「次へ」をクリックします。
「ドメインの選択」画面で「ドメインなしで構成」を選択します。
「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracleインスタンスの場所: /u01/app/oracle/admin/oid_inst2
Oracleインスタンス名: oid_inst2
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウント用の電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウント用のパスワードを指定します。
「セキュリティ・アップデートをMy Oracle Support経由で受け取ります。」フィールドの隣にあるチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のコンポーネントをすべて選択解除し、「次へ」をクリックします。
「ポートの構成」画面で、構成ファイルを使用してポートを指定を選択して、一時ディレクトリで編集したstaticports.iniファイルのフルパス名を入力します。
「次へ」をクリックします。
「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択して、次の値を指定します。
接続文字列: oiddbhost1-vip.mycompany.com:1521:idmdb1^oiddbhost2-vip.mycompany.com:1521:idmdb2@oidedg.mycompany.com
|
注意:
|
ユーザー名: ODS
パスワード: ******(パスワードを入力します)
「次へ」をクリックします。
ODSスキーマが使用されていることを示すメッセージが表示されます。選択したODSスキーマは、既存のOracle Internet Directoryインスタンスによってすでに使用されています。したがって、構成中の新しいOracle Internet Directoryインスタンスは、この同じスキーマを再利用します。
「はい」を選択して続行します。
ポップアップ・ウィンドウに次のメッセージが表示されます。
"Please ensure that the system time on this Identity Management Node is in sync with the time on other Identity management Nodes that are part of the Oracle Application Server Cluster (Identity Management) configuration.Failure to ensure this may result in unwanted instance failovers, inconsistent operational attributes in directory entries and potential inconsistent behavior of password state policies."
IDMHOST1とIDMHOST2の間のシステム時間が同期化されていることを確認します。
「OK」をクリックして、続行します。
OID管理パスワードの指定画面で、Oracle Internet Directory管理パスワードを指定します。
|
注意: OIDが実行されていないというメッセージが表示された場合は、orcladminアカウントがロックされていないことを確認して、再試行してください。メッセージが表示されなくなるまで、先に進まないでください。 |
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認します。そうでない場合は、「戻る」をクリックしてそれまでの画面に戻り、選択内容を変更します。選択内容が正しい場合、「構成」をクリックします。
LinuxシステムおよびUNIXシステムの場合、oracleRoot.shスクリプトの実行を求めるダイアログ・ボックスが表示されます。oracleRoot.shスクリプトを編集し、次の行を変更します。
fi# This command path is not already provided in the existing root.sh
次のように2行に変更します。
fi # This command path is not already provided in the existing root.sh
ファイルを保存してから、ウィンドウを開き、rootユーザーとしてoracleRoot.shスクリプトを実行します。次のような画面が表示されたら、次のようにします。
Do you want to run oidRoot.sh to configure OID for privileged ports? (yes/no)
yesと入力します。
「構成」画面で、複数のConfiguration Assistantが連続して起動されます。このプロセスは、時間がかかることがあります。構成プロセスが終了するまで待機します。
「インストール 完了」画面で「終了」をクリックして、終了を選択したことを確認します。
OIDHOST2へのOracle Internet Directoryインスタンスのインストールを検証するには、次のコマンドを発行します。
ldapbind -h oidhost2.mycompany.com -p 389 -D "cn=orcladmin" -q ldapbind -h oidhost2.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1
|
注意:
|
この項で説明する手順に従って、Oracle Internet Directoryインスタンスの構成を完了します。
この項の内容は次のとおりです。
このエンタープライズ・デプロイメントでデプロイされたOracle Fusion Middlewareコンポーネントはすべて、Oracle Enterprise Manager Fusion Middleware Controlを使用して管理します。このツールを使用してOracle Internet Directoryコンポーネントを管理するには、このコンポーネントおよびこのコンポーネントを含むOracle Fusion MiddlewareインスタンスをOracle WebLogicサーバー・ドメインに登録する必要があります。コンポーネントの登録はインストール中でもインストール後でもできます。以前に登録が解除されたコンポーネントは、opmnctl registerinstanceコマンドを使用してWebLogicドメインに登録できます。
OIDHOST1とOIDHOST2にインストールされたOracle Internet Directoryインスタンスを登録するには、次の手順に従います。
ORACLE_HOME変数を設定します。たとえば、OIDHOST1とOIDHOST2上で、次のコマンドを発行します。
export ORACLE_HOME=IDM_ORACLE_HOME
ORACLE_INSTANCE変数を設定します。次に例を示します。
OIDHOST1上で、次のコマンドを発行します。
export ORACLE_INSTANCE=/u01/app/oracle/admin/oid_inst1
OIDHOST2上で、次のコマンドを発行します。
export ORACLE_INSTANCE=/u01/app/oracle/admin/oid_inst2
OIDHOST1とOIDHOST2の両方で、opmnctl registerinstanceコマンドを実行します。
ORACLE_INSTANCE/bin/opmnctl registerinstance -adminHost WLSHostName -adminPort WLSPort -adminUsername adminUserName
たとえば、OIDHOST1とOIDHOST2で、次のコマンドを発行します。
ORACLE_INSTANCE/bin/opmnctl registerinstance -adminHost ADMINVHN -adminPort 7001 -adminUsername weblogic
このコマンドを実行するには、WebLogic管理サーバー(idmhost1.mycompany.com)にログインする必要があります。
ユーザー名: weblogic
パスワード: *******
|
注意: WebLogicサーバー・ドメインを使用してOracle Internet Directoryコンポーネントを登録する方法の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のWebLogicサーバーを使用したOracleインスタンスまたはコンポーネントの登録に関する項を参照してください。 |
emctlユーティリティをswitchOMSフラグを設定して使用し、Enterprise ManagerリポジトリのURLを更新します。emctlユーティリティは、ORACLE_INSTANCE/EMAGENT/EMAGENT/binディレクトリの下にあります。
次に構文を示します。
./emctl switchOMS ReposURL.
次に例を示します。
./emctl switchOMS http://ADMINVHN:7001/em/upload
次のように出力されます。
./emctl switchOMS http://ADMINVHN.mycompany.com:7001/em/upload Oracle Enterprise Manager 10g Release 5 Grid Control 10.2.0.5.0. Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. SwitchOMS succeeded.
エージェントがリロードされるまで数分待ちます。その後、OIDHOST1とOIDHOST2のエージェントが、それぞれのターゲットを監視するように正しく構成されているかどうか検証します。次の手順に従って、このタスクを完了します。
Webブラウザを使用して、http://ADMINVHN.mycompany.com:7001/emでOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
weblogicユーザーとしてログインします。
「ファーム」→「エージェントの監視中のターゲット」の下のメニューを使用して、「ドメイン・ホーム」ページから「エージェントの監視中のターゲット」ページに移動します。
「エージェント」列の下にある「エージェントURL」のホスト名が、「ホスト」列の下にあるホスト名に一致することを確認します。一致しない場合は、次の手順に従って問題を修正してください。
「構成」リンクをクリックして、「ターゲットの構成」ページに進みます。
「ターゲットの構成」ページで、「エージェントの変更」をクリックして、ホストで適切なエージェントを選択します。
「WebLogic監視ユーザー名」と「WebLogic監視パスワード」を更新します。
「WebLogic監視ユーザー名」と「WebLogic監視パスワード」を更新します。「WebLogic監視パスワード」としてweblogicと入力し、「WebLogic監視パスワード」としてweblogicユーザーのパスワードを入力します。
「OK」をクリックして、変更を保存します。
デフォルトでは、Oracle Internet Directoryのパスワードは120日で期限切れになります。有効期限より前にパスワードを再設定しないユーザーは、Oracle Internet Directoryに対する認証ができなくなります。これには、oimLDAPuser、oamsoftwareuser、oamadminuserなどの管理ユーザーも含まれます。Identity Management環境は、これらのユーザーの認証が可能になるまでは正しく動作できません。Oracle Internet Directoryのパスワード・ポリシーの変更の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
Oracle Internet Directoryインスタンスを検証するには、次のコマンドを使用して、それぞれのOracle Internet Directoryインスタンスとロード・バランシング・ルーターに接続できることを確認します。
|
注意:
|
ldapbind -h oidhost1.mycompany.com -p 389 -D "cn=orcladmin" -q ldapbind -h oidhost1.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1 ldapbind -h oidhost2.mycompany.com -p 389 -D "cn=orcladmin" -q ldapbind -h oidhost2.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1 ldapbind -h policystore.mycompany.com -p 389 -D "cn=orcladmin" -q ldapbind -h policystore.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1
アイデンティティ・ストアもOracle Internet Directory内にある場合は、次のように確認します。
ldapbind -h idstore.mycompany.com -p 389 -D "cn=orcladmin" -q ldapbind -h idstore.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1
|
注意:
|
Oracle Internet Directoryをデプロイした後、Oracle Fusion Middlewareパフォーマンス・ガイドの説明に従ってこれをチューニングする必要があります。(ODSMをインストールした後でOracle Internet Directoryをチューニングした方が簡単な場合もあります。)
ベスト・プラクティスとして、インストールと各層の構成が正常に完了した後や論理ポイントでバックアップ・ファイルを作成することをお薦めします。ここまでのインストールが正常に行われたことを確認したら、インストールのバックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了したら、このバックアップは破棄してもかまいません。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。詳細は、『Oracle Fusion Middleware管理者ガイド』に記載されています。
データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
インストールをこのポイントにバックアップする手順は次のとおりです。
次のようにして、ディレクトリ層でOracle Internet Directoryインスタンスをバックアップします。
ORACLE_INSTANCE/binディレクトリにあるopmnctlを使用してインスタンスを停止します。
ORACLE_INSTANCE/bin/opmnctl stopall
ディレクトリ層でMiddlewareホームのバックアップを作成します。Linuxでは、rootユーザーとして次のように入力します。
tar -cvpf BACKUP_LOCATION/dirtier.tar MW_HOME
rootユーザーとしてディレクトリ層にあるインスタンス・ホームのバックアップを作成します。
tar -cvpf BACKUP_LOCATION/instance_backup.tar ORACLE_INSTANCE
ORACLE_INSTANCE/binディレクトリにあるopmnctlを使用してインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl startall
全データベースのバックアップ(ホット・バックアップまたはコールド・バックアップ)を実行します。Oracle Recovery Managerの使用をお薦めします。
管理サーバー・ドメイン・ディレクトリをバックアップします。これによってドメイン構成が保存されます。構成ファイルはすべて、ORACLE_BASE/admin/domainName/aserverディレクトリの下にあります。Linuxでは、次のように入力します。
IDMHOST1> tar cvf edgdomainback.tar ORACLE_BASE/admin/domainName/aserver
|
注意: この項に記載されている手順に従って、ディレクトリ層にあるすべてのマシンでバックアップを作成します。 ディレクトリ層の構成をバックアップする方法の詳細は、第21.4項「バックアップとリカバリの実行」を参照してください。 |
