| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
前へ |
次へ |
この章では、アイデンティティ・ストアとポリシー・ストアを準備する方法について説明します。次の項目が含まれます。
この章で説明する手順では、アイデンティティ・ストアとポリシー・ストアをホストするLDAPディレクトリの構成を変更します。これらのタスクを実行する前に、LDAPディレクトリをバックアップしておきます。詳細は、第7.7項「Oracle Internet Directory構成のバックアップ」および第9.10項「Oracle Virtual Directory構成のバックアップ」を参照してください。
続行する前に、次の条件を満たしていることを確認します。
Oracle Identity Management 11g (11.1.1.5)がIDMHOST1にインストールされている。
必要に応じて、Oracle Internet Directoryのインストールと構成が完了している。
必要に応じて、Oracle Internet Directory以外のディレクトリがインストールされ使用可能になっている。
Oracle Virtual Directoryのインストールと構成が完了している。
この項では、Oracle Platform Security Servicesのポリシー・ストアを準備する方法について説明します。
次の項目が含まれます。
ポリシー・ストアを使用するには、それを準備する必要があります。これには、ポリシー・ストア・ディレクトリでのJPSルート・コンテキストおよび、ポリシー・ストアへのアクセスに必要なユーザーとグループの作成が含まれます。また、外部のLDAPポリシー・ストアを使用できるように、ドメインの内部ポリシー・ストアを再度関連付けます。
IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
MW_HOMEをMW_HOMEに設定します。
JAVA_HOMEをMW_HOME/jrockit-jdk1.6.0に設定します。
次の内容でプロパティ・ファイルpolicystore.propsを作成します。
POLICYSTORE_HOST: policystore.mycompany.com POLICYSTORE_PORT: 389 POLICYSTORE_BINDDN: cn=orcladmin POLICYSTORE_READONLYUSER: PolicyROUser POLICYSTORE_READWRITEUSER: PolicyRWUser POLICYSTORE_SEARCHBASE: dc=mycompany,dc=com POLICYSTORE_CONTAINER: cn=jpsroot
変数の意味は次のとおりです。
POLICYSTORE_HOSTおよびPOLICYSTORE_PORTは、使用しているポリシー・ストア・ディレクトリのホストおよびポートです。
POLICYSTORE_BINDDNは、ポリシー・ストア・ディレクトリの管理ユーザーです。
POLICYSTORE_READONLYUSERおよびPOLICYSTORE_READWRITEUSERは、それぞれポリシー・ストアに作成する、読取り専用権限を持つユーザーの名前および読取り/書込み権限を持つユーザーの名前です。
POLICYSTORE_SEARCHBASEは、ユーザーとグループが格納されるディレクトリ内の場所です。
POLCYSTORE_CONTAINERは、OPSSポリシー情報に使用するコンテナの名前です。
グループを作成すると、OrclPolicyAndCredentialReadPrivilegeGroupのメンバーとしてreadonlyuserが、OrclPolicyAndCredentialWritePrivilegeGroupのメンバーとしてreadwriteuserがツールによって追加されます。
次の場所にあるidmConfigToolコマンドを使用してポリシー・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configPolicyStore input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configPolicyStore input_file=configfile
次に例を示します。
idmConfigTool.sh -configPolicyStore input_file=policystore.props
このコマンドを実行すると、ポリシー・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、次のアカウントに割り当てるパスワードを指定するよう求められます。
POLICYSTORE_READONLYUSER
POLICYSTORE_READWRITEUSER
コマンドの出力例:
Enter Policy Store Bind DN password: *** Creation of PolicyROUser *** Apr 5, 2011 4:23:49 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/policystore_user.ldif Enter User Password for PolicyROUser: Confirm User Password for PolicyROUser: *** Creation of PolicyRWUser *** Apr 5, 2011 4:23:58 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/policystore_user.ldif Enter User Password for PolicyRWUser: Confirm User Password for PolicyRWUser: Apr 5, 2011 4:24:07 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/policystore_group.ldifApr 5, 2011 4:24:07 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/policystore_container.ldif Apr 5, 2011 4:24:07 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/policystore_group_read_member.ldif Apr 5, 2011 4:24:07 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/policystore_group_write_member.ldif Apr 5, 2011 4:24:07 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/policystore_tuning.ldifApr 5, 2011 4:24:07 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oid_schemaadmin.ldif Apr 5, 2011 4:24:07 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/policystore_user_aci.ldif The tool has completed its operation. Details have been logged to /home/oracle/idmtools/automation.log
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
|
関連項目:
|
ポリシーおよび資格証明ストアをOracle Internet Directoryに再関連付けするには、WLSTのreassociateSecurityStoreコマンドを使用します。次の手順に従います。
IDMHOST1でORACLE_COMMON_HOME/common/binディレクトリからwlstシェルを起動します。たとえば、LinuxおよびUNIXベースのシステムでは次のように入力します。
./wlst.sh
Windowsでは次のように入力します。
./wlst.cmd
次のwlst connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect("AdminUser","AdminUserPassword","t3://hostname:port")
次に例を示します。
connect("weblogic","admin_password","t3://ADMINVHN.mycompany.com:7001")
reassociateSecurityStoreコマンドを次のように実行します。
次に構文を示します。
reassociateSecurityStore(domain="domainName",admin="cn=orcladmin", password="orclPassword",ldapurl="ldap://LDAPHOST:LDAPPORT",servertype="OID", jpsroot="cn=jpsRootContainer")
|
注意:
|
次に例を示します。
wls:/IDMDomain/serverConfig> reassociateSecurityStore(domain="IDMDomain", admin="cn=orcladmin",password="password", ldapurl="ldap://policystore.mycompany.com:389",servertype="OID", jpsroot="cn=jpsroot")
コマンドの出力は次のようになります。
{servertype=OID, jpsroot=cn=jpsroot, admin=cn=orcladmin,
domain=IDMDomain, ldapurl=ldap://policystore.mycompany.com:389, password=password}
Location changed to domainRuntime tree. This is a read-only tree with
DomainMBean as the root.
For more help, use help(domainRuntime)
Starting policy store reassociation.
The store and ServiceConfigurator setup done.
Schema is seeded into the store
Data is migrated to the store
Data in the store after migration has been tested to be available
Update of in-memory jps configuration is done
Policy store reassociation done.
Starting credential store reassociation
The store and ServiceConfigurator setup done.
Schema is seeded into the store
Data is migrated to the store
Data in the store after migration has been tested to be available
Update of in-memory jps configuration is done
Credential store reassociation done
Starting Keystore reassociation
The store and ServiceConfigurator setup done.
Schema is seeded into the store
Data is migrated to the store
Data in the store after migration has been tested to be available
Update of in-memory jps configuration is done
Keystore reassociation done
Jps Configuration has been changed. Please restart the application server.
このコマンドを正常に実行した後、第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従って、WebLogic管理サーバーを再起動します。
この項では、アイデンティティ・ストアを準備する方法について説明します。次の項目が含まれます。
アイデンティティ・ストアを事前構成すると、Oracle Internet Directoryでスキーマが拡張されます。
|
注意: Oracle Access ManagerまたはOracle Identity Managerを使用していないかぎり、アイデンティティ・ストアを事前構成する必要はありません。 |
そのためには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
次の内容でプロパティ・ファイルextend.propsを作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=mycompany,dc=com
変数の意味は次のとおりです。
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。OID以外のディレクトリを使用している場合は、Oracle Virtual Directoryのホスト(IDSTORE.mycompany.com)を指定します。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
IDSTORE_SYSTEMIDBASEは、メイン・ユーザー・コンテナに配置する必要のないユーザーを配置できるディレクトリにあるコンテナの場所です。このような事態はほとんどありませんが、その一例としてOracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Managerリコンシリエーション・ユーザーがあげられます。
IDSTORE_USERNAMEATTRIBUTEは、ユーザー名を記述したLDAP属性で、普通はCNです。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を記述したLDAP属性です。
次の場所にあるidmConfigToolコマンドを使用してアイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -preConfigIDStore input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -preConfigIDStore input_file=configfile
次に例を示します。
idmConfigTool.sh -preConfigIDStore input_file=extend.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。
Oracle Virtual Directoryに対して実行した場合のコマンド出力例:
Enter ID Store Bind DN password: May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/idm_idstore_groups_template.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/idm_idstore_groups_acl_template.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/systemid_pwdpolicy.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/idstore_tuning.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oid_schema_extn.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/OID_oblix_pwd_schema_add.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/OID_oim_pwd_schema_add.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/OID_oblix_schema_add.ldif May 25, 2011 2:37:34 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/OID_oblix_schema_index_add.ldif The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
|
注意:
|
|
関連項目:
|
トポロジにOracle Access Managerを実装する場合は、Oracle Access Managerで必要なユーザーをアイデンティティ・ストアにシードしておく必要があります。
そのためには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
次の内容でプロパティ・ファイルoam.propsを作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com POLICYSTORE_SHARES_IDSTORE: true OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators IDSTORE_OAMSOFTWAREUSER:oamLDAP IDSTORE_OAMADMINUSER:oamadmin
変数の意味は次のとおりです。
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。OID以外のディレクトリを使用している場合は、Oracle Virtual Directoryのホスト(IDSTORE.mycompany.com)を指定します。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
POLICYSTORE_SHARES_IDSTOREは、ポリシー・ストアとアイデンティティ・ストアが同じディレクトリに存在する場合はtrueに設定します。そうでない場合は、falseに設定します。
OAM11G_IDSTORE_ROLE_SECURITY_ADMINは、OAMコンソールへのアクセスを許可するために使用するグループの名前です。
IDSTORE_OAMADMINUSERは、Oracle Access Manager管理者として作成するユーザーの名前です。
IDSTORE_OAMSOFTWAREUSERは、LDAPに作成されるユーザーです。これは、Oracle Access Managerが実行中にLDAPサーバーに接続するために使用されます。
このコマンドでは、ユーザーを作成するほか、そのユーザーを、第11.4.1項「Oracle Access Manager用のディレクトリ・スキーマの拡張」で作成されたグループに割り当てます。
次の場所にあるidmConfigToolコマンドを使用してアイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OAM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OAM input_file=configfile
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=OAM input_file=oam.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。
コマンドの出力例:
Enter ID Store Bind DN password: May 25, 2011 2:44:59 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_schema_extn.ldif *** Creation of Oblix Anonymous User *** May 25, 2011 2:44:59 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_10g_anonymous_user_template.ldif Enter User Password for oblixanonymous: Confirm User Password for oblixanonymous: *** Creation of oamadmin *** May 25, 2011 2:45:08 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_user_template.ldif Enter User Password for oamadmin: Confirm User Password for oamadmin: *** Creation of oamLDAP *** May 25, 2011 2:45:16 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_user_template.ldif Enter User Password for oamLDAP: Confirm User Password for oamLDAP: May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/common/oam_user_group_read_acl_template.ldif May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_group_template.ldif May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_group_member_template.ldif May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_config_acl.ldif May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oid_schemaadmin.ldif The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
|
関連項目:
|
トポロジにOracle Adaptive Access Managerを実装する場合は、OAAMで必要なユーザーをアイデンティティ・ストアにシードしておく必要があります。
そのためには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
次の内容でプロパティ・ファイルoaam.propsを作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users, dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com POLICYSTORE_SHARES_IDSTORE: true
変数の意味は次のとおりです。
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。OID以外のディレクトリを使用している場合は、Oracle Virtual Directoryのホスト(IDSTORE.mycompany.com)を指定します。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
POLICYSTORE_SHARES_IDSTOREは、ポリシー・ストアとアイデンティティ・ストアが同じディレクトリに存在する場合はtrueに設定します。そうでない場合は、falseに設定します。
次の場所にあるidmConfigToolコマンドを使用してアイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OAAM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OAAM input_file=configfile
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=OAAM input_file=oaam.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、アカウントoaamadminに割り当てるパスワードを指定するよう求められます。
コマンドの出力例:
Enter ID Store Bind DN password: *** Creation of OAAM User *** Apr 5, 2011 5:08:39 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_user_template.ldif Enter User Password for oaamadmin: Confirm User Password for oaamadmin: Apr 5, 2011 5:08:49 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oaam_group.ldif The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
|
関連項目:
|
トポロジにOracle Identity Managerを実装する場合は、xelsysadmユーザーをアイデンティティ・ストアにシードし、Oracle Identity Manager管理グループにこのユーザーを割り当てる必要があります。また、リコンシリエーションを実行できるように、標準の場所cn=Users以外にもユーザーを作成します。このユーザーは、Oracle Virtual Directoryを使用してディレクトリに接続するときにバインドDNとして使用するユーザーにもなります。
|
注意: このコマンドでは、アイデンティティ・ストアに予約用のコンテナも作成します。 |
そのためには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
次の内容でプロパティ・ファイルoim.propsを作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=us,dc=oracle,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_SYSTEMIDBASE: cn=systemids,dc=mycompany,dc=com IDSTORE_OIMADMINUSER: oimLDAP IDSTORE_OIMADMINGROUP: OIMAdministrators
変数の意味は次のとおりです。
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。OID以外のディレクトリを使用している場合は、Oracle Virtual Directoryのホスト(IDSTORE.mycompany.com)を指定します。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_OIMADMINUSERは、アイデンティティ・ストアに接続するためにOracle Identity Managerが使用するユーザーです。
IDSTORE_OIMADMINGROUPは、Oracle Identity Manager管理ユーザーを保持するために作成するグループの名前です。
IDSTORE_USERSEARCHBASEは、ユーザーを配置するアイデンティティ・ストアの場所です。
IDSTORE_GROUPSEARCHBASEは、グループを配置するアイデンティティ・ストアの場所です。
IDSTORE_SYSTEMIDBASEは、Oracle Identity Managerリコンシリエーション・ユーザーを配置するディレクトリの場所です。
POLICYSTORE_SHARES_IDSTOREは、ポリシー・ストアとアイデンティティ・ストアが同じディレクトリに存在する場合はtrueに設定します。そうでない場合は、falseに設定します。
idmConfigToolコマンドを使用してアイデンティティ・ストアを作成します。このコマンドは、IAM_ORACLE_HOME/idmtools/binにあります。
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OIM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OIM input_file=configfile
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=OIM input_file=oim.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、次のアカウントに割り当てるパスワードを指定するよう求められます。
IDSTORE_OIMADMINUSER
xelsysadm (Oracle Identity Managerを構成するときに作成したアカウントと同じ値に設定することをお薦めします。)
コマンドの出力例:
Enter ID Store Bind DN password: *** Creation of oimLDAP *** Apr 5, 2011 4:58:51 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_user_template.ldif Enter User Password for oimLDAP: Confirm User Password for oimLDAP: Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_group_template.ldif Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_group_member_template.ldif Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_groups_acl_template.ldif Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_reserve_template.ldif *** Creation of Xel Sys Admin User *** Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_user_template.ldif Enter User Password for xelsysadm: Confirm User Password for xelsysadm: The tool has completed its operation. Details have been logged to /home/oracle/idmtools/oim.log
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
|
関連項目:
|
管理コンソールに対するシングル・サインオンを有効にする場合は、WebLogic管理コンソールとOracle Enterprise Manager Fusion Middleware Controlにログインする権限を持つユーザーがアイデンティティ・ストアに存在することを確認する必要があります。
そのためには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
次の内容でプロパティ・ファイルwls.propsを作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users, dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com POLICYSTORE_SHARES_IDSTORE: true
変数の意味は次のとおりです。
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。OID以外のディレクトリを使用している場合は、Oracle Virtual Directoryのホスト(IDSTORE.mycompany.com)を指定します。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
POLICYSTORE_SHARES_IDSTOREは、ポリシー・ストアとアイデンティティ・ストアが同じディレクトリに存在する場合はtrueに設定します。そうでない場合は、falseに設定します。
このコマンドは、weblogic_idmというユーザーを作成し、これをIDM Administratorsというグループに追加します。
IAM_ORACLE_HOME/idmtools/binにあるidmConfigToolコマンドを使用して、アイデンティティ・ストアを作成します。
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=WLS input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=WLS input_file=configfile
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=WLS input_file=wls.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、アカウントweblogic_idmに割り当てるパスワードを指定するよう求められます。
コマンドの出力例:
Enter ID Store Bind DN password: *** Creation of Weblogic Admin User *** Apr 5, 2011 5:52:04 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_user_template.ldif Enter User Password for weblogic_idm: Confirm User Password for weblogic_idm: Apr 5, 2011 5:52:12 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/weblogic_admin_group.ldif The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。
|
関連項目:
|
セキュリティの見地から、構成ファイルを編集して、Oracle Virtual DirectoryのLDAPポートへの匿名バインドを無効にする必要があります。次のように実行します。
次のように入力して、Oracle Virtual Directoryを停止します。
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
次のファイルを編集します。
ORACLE_INSTANCE/config/OVD/component/listeners.os_xml
次のようなLDAPエンドポイント・リスナーのセクションを特定します。
<ldap id="LDAP Endpoint" version="1"> <port>6501</port> ...... <anonymousBind>Allow </anonymousBind> ...... </ldap>
このセクションを次のように修正します。
<ldap id="LDAP Endpoint" version="1"> <port>6501</port> ...... <anonymousBind>Deny </anonymousBind> ...... </ldap>
LDAP SSLエンドポイント・リスナーの同様なセクションを特定し、同様に変更します。
ファイルを保存します。
次のコマンドを使用して、Oracle Virtual Directoryを再起動します。
ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1
Oracle Virtual Directoryのインスタンスごとにこれらの手順を繰り返します。
これまでに説明した手順のほか、次のユーザーのアクセス権限を更新する必要があります。このユーザーは、パラメータに割り当てた値です。
IDSTORE_OIMADMINUSER
そのためには、更新するユーザーのLDIFファイルを作成する必要があります。このファイルの形式は次のとおりです。
dn: %s_SearchBase% changetype: modify add: subtreeACI subtreeACI: grant:b,t,a,d,n#[entry]#authzID-dn:%s_NamingAttr%=%s_UserName%,%s_SystemIDBase% subtreeACI: grant:s,r,w,o,c,m#[all]#authzID-dn:%s_NamingAttr%=%s_UserName%,%s_SystemIDBase% dn: cn=changelog changetype: modify add: subtreeACI subtreeACI: grant:b,t,a,d,n#[entry]#authzID-dn:%s_NamingAttr%=%s_UserName%,%s_SystemIDBase% subtreeACI: grant:s,r,w,o,c,m#[all]#authzID-dn:%s_NamingAttr%=%s_UserName%,%s_SystemIDBase%
次に例を示します。
dn: dc=mycompany,dc=com changetype: modify add: subtreeACI subtreeACI: grant:b,t,a,d,n#[entry]#authzID-dn:cn=oimLDAP,cn=systemids,dc=mycompany,dc=com subtreeACI: grant:s,r,w,o,c,m#[all]#authzID-dn:cn=oimLDAP,cn=systemids,dc=mycompany,dc=com dn: cn=changelog changetype: modify add: subtreeACI subtreeACI: grant:b,t,a,d,n#[entry]#authzID-dn:cn=oimLDAP,cn=systemids,dc=mycompany,dc=com subtreeACI: grant:s,r,w,o,c,m#[all]#authzID-dn:cn=oimLDAP,cn=systemids,dc=mycompany,dc=com
作成したこのファイルを、次のコマンドを使用してOracle Virtual Directoryにロードします。
ldapmodify -h ovdhost1.mycompany.com -p 389 -D cn=orcladmin -q -f filename.ldif ldapmodify -h ovdhost2.mycompany.com -p 389 -D cn=orcladmin -q -f filename.ldif
|
注意: 次のエラーが発生することがあります。
この場合はDNを確認します。DNが正しい場合は、このエラーを無視してかまいません。 |
前の項で、Oracleコンポーネントのユーザーおよびアーティファクトをアイデンティティ・ストアにシードしました。Microsoft Active DirectoryやOracle Directory Server Enterprise EditionなどのOracle Internet Directory以外のディレクトリでアイデンティティ・ストアをホストしている場合は、アクセス制御情報(ACI)を設定して、作成したエンティティに適切な権限を指定する必要があります。この項では、作成されるアーティファクトおよびそのアーティファクトで必要な権限を示します。
システムID: すべてのシステム識別子を格納するためのシステムIDコンテナが作成されます。ユーザーの作成場所であるコンテナが他に存在する場合は、それが管理の中で指定されます。
Oracle Access Manager管理ユーザー: このユーザーは、OAM管理者グループに追加されます。このグループでは、OAMコンソールを管理する権限を提供します。このユーザーは単なるアプリケーション・ユーザーなので、LDAPスキーマ・レベルの権限は不要です。
Oracle Access Managerソフトウェア・ユーザー: このユーザーは、コンテナに対する読取り権限を提供するグループに追加されます。このユーザーにはスキーマ管理権限も付与されます。
システムIDコンテナに存在するOracle Identity ManagerユーザーoimLDAP: コンテナでは適宜パスワード・ポリシーが設定されます。システムIDコンテナのユーザーのパスワードは、期限切れにならないように設定する必要があります。
Oracle Identity Manager管理グループ: Oracle Identity Managerのユーザーがこのメンバーとして追加されます。Oracle Identity Manager管理グループには、ディレクトリ内のすべてのユーザー・エンティティおよびグループ・エンティティに対する完全な読取り/書込み権限が付与されます。
WebLogic管理者: Oracle Virtual DirectoryのIDMドメインの管理者です。
WebLogic管理者グループ: WebLogic管理者がメンバーとして追加されます。Oracle Virtual DirectoryのIDMドメインの管理者グループです。
予約コンテナ: 読取り/書込み操作を実行するための権限がOracle Identity Manager管理グループに付与されます。
アイデンティティ・ストアでアーティファクトを作成した後、第9.8項「Oracle Virtual Directoryにおけるアダプタの作成」で設定したOracle Virtual Directoryアダプタを更新して、より低い権限のユーザーを持つようにすることをお薦めします。次の手順の実行をお薦めしますが、必須ではありません。
サーバー・プロキシ・バインドDNの値をcn=oimLDAP,cn=systemids,dc=mycompany,dc=comに変更します。
このためには、次の手順を実行します。
Webブラウザで、Oracle Directory Services Manager (ODSM) (http://admin.mycompany.com/odsm)にアクセスします。
適切な接続エントリを使用して、各Oracle Virtual Directoryインスタンスに接続します。
「ホーム」ページで、「アダプタ」タブをクリックします。
ユーザー・アダプタをクリックします。
「資格証明の処理」セクションの「一般」タブで次の変更を行います。
プロキシDN: cn=oimLDAP,cn=systemids,dc=mycompany,dc=com
プロキシ・パスワード: 「プロキシDN」アカウントのパスワード。
「適用」をクリックします。
変更ログ・アダプタをクリックします。
「資格証明の処理」セクションの「一般」タブで次の変更を行います。
プロキシDN: cn=oimLDAP,cn=systemids,dc=mycompany,dc=com
プロキシ・パスワード: 「プロキシDN」アカウントのパスワード。
「適用」をクリックします。
「プラグイン」タブをクリックします。
変更ログ・プラグインをクリックします。
「編集」をクリックします。
ModifierDNFilterを次の値に変更します。
!(modifiersname=cn=oimLDAP,cn=systemids,dc=mycompany,dc=com)
「OK」をクリックします。
「適用」をクリックします。
この手順をOracle Virtual Directory接続ごとに繰り返します。
