| Oracle® Fusion Middleware Oracle Authentication Services for Operating Systems管理者ガイド 11g リリース(11.1.1) B61411-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Authentication Services for Operating Systems管理者ガイド 11g リリース(11.1.1) B61411-01 |
|
| 前 |
次 |
この章の内容は次のとおりです。
サーバーでのOracle Authentication Services for Operating Systemsの構成
クライアントでのOracle Authentication Services for Operating Systemsの構成
この章で説明する手順を開始する前に、第2章で説明している前提条件の手順を実行する必要があります。
ここでは、次の項目について説明します。
Oracle Internet Directoryは、SSL認証なし、SSLサーバー認証およびSSL相互認証の各モード用に構成できます。いずれのモードでも、データは転送時に暗号化されます。Oracle Internet Directoryは、あらかじめSSL認証なしモードで構成されています。ただし、Linuxのユーザー認証に使用されるPAM_LDAPクライアントなどの一部のクライアントでは、このモードがサポートされておらず、SSLサーバー認証モードのみがサポートされます。
最初のサーバー構成プロセスで、SSLサーバー認証モード用にOracle Internet Directoryを構成できます。既存の証明書を使用することも、SSL構成スクリプトにより自動的に自己署名の証明書を生成することもできます。既存の証明書を使用するには、この証明書とともにSSLモードでOracle Internet Directoryを構成しておく必要があります。SSLモードでのOracle Internet Directoryの構成方法の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の「Secure Sockets Layer(SSL)の構成」の章を参照してください。
Privacy Enhanced Mail(PEM)形式のみがサポートされています。これはbase64でエンコードされたDER証明書であり、次の2行で囲まれます。
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----.
|
注意: 自己署名の証明書は、本番での使用を目的としていません。 |
既存の証明書を指定しない場合、SSLサーバー構成スクリプトにより次の2つのOracleウォレットが生成されます。
テスト認証局(CA)ウォレット: Oracle Internet Directory SSLサーバー証明書の署名に使用します。これは、$ORACLE_INSTANCE/wallet/rootに含まれる次のファイルで構成されます。
cakey.txt: 1024ビットのRSA秘密鍵
cacert.txt: based64でエンコードされた証明書
Oracle Internet Directory SSLサーバー証明書。これは、$ORACLE_INSTANCE/wallet/serverに含まれる次のファイルで構成されます。
creq.txt: Oracle Internet Directory SSLサーバー証明書リクエスト
cert.txt: テストCAウォレットによって署名されたOracle Internet Directory SSLサーバー証明書
cwallet.sso: 自動ログイン用のOracle Internet Directory SSLサーバー・ウォレット
ewallet.p12: PKCS12でエンコードされたOracle Internet Directory SSLウォレット
|
注意: PKCS12でエンコードされたウォレットには、関連エンティティの秘密鍵が含まれており、SSLサーバー構成スクリプトの実行時に設定するウォレット・パスワードによって保護されます。 |
クライアントがOracle Internet Directory SSLサーバー証明書(2)を信頼するには、テストCAウォレット(1)を信頼する必要があります。ほとんどのLinuxクライアントはPEM形式を使用するため、$ORACLE_INSTANCE/OID/admin/wallet/pem.certに含まれているPEM形式のテストCAウォレット(1)のコピーを使用できます。
Oracle Internet Directoryには、パスワード・ポリシーの集中管理に利用できる豊富なパスワード・ポリシー・セットが同梱されています。これらの機能の基盤となる概念の説明は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド 11g リリース1(11.1.1)のパスワード・ポリシーに関する章を参照してください。
Oracle Internet Directoryでは、値ポリシーと状態ポリシーの2種類のパスワード・ポリシーがサポートされています。値ポリシーは、最小長などのパスワード構成要件を決定するものです。状態ポリシーは、パスワードの期限切れやロックアウトなどを決定するものです。LinuxおよびUNIXベースのオペレーティング・システムでは、従来どおり、パスワード・エイジング機能を使用してシャドウ・パスワード・ファイル内で状態ポリシーが処理されます。これらのポリシーは、単一ユーザー・エントリのレベルまで細かく適用できます。
Oracle Internet Directoryを使用すると、値ポリシーと状態ポリシーの両方を強制できます。値ポリシー違反が発生すると、Linuxクライアントでエラー・メッセージが表示されますが、状態ポリシー違反が発生した場合はログインに失敗するだけです。これは、pam_ldapクライアントでは、Oracle Internet DirectoryがLDAPバインドの失敗とともに追加情報として送信するメッセージが表示されないためです。
Oracle Internet Directoryを使用してパスワード・ポリシーを集中化するには、オペレーティング・システムのローカルな値ポリシーおよび状態ポリシーを無効にする必要があります。その手順は、「集中パスワード・ポリシーのためのOracle Internet Directoryの構成」を参照してください。
Oracle Internet Directoryを使用してパスワード・ポリシーを強制しない場合は、orclpwdpolicyenableを0に設定してOracle Internet Directoryのパスワード・ポリシーを無効にする必要があります。また、パスワード構文に関するメッセージが発行されないように、pwdCheckSyntaxを0に設定してパスワード構文チェックを無効にする必要があります。
|
関連項目: 『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のパスワード・ポリシーに関する章。 |
Active Directoryにユーザーが存在し、Active Directoryに格納されている資格証明をLinuxの認証に使用する場合は、Oracle Directory Integration Platformを構成してActive Directoryと統合できます。構成手順の詳細は、第5章「Active Directoryの統合の構成」を参照してください。
ディレクトリ・サーバー・プラグインは、Oracle Internet Directoryサーバーの機能を拡張する、カスタマイズされたプログラムです。Active Directoryエントリの拡張手順およびActive Directoryを使用した外部認証の設定手順の両方に、プラグインの設定が含まれます。これらの手順は、第5章「Active Directoryの統合の構成」を参照してください。
|
関連項目: ディレクトリ・サーバー・プラグインの詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。 |
構成スクリプトを実行する前に、NLS_LANG環境変数を設定してロケールを設定する必要があります。NLS_LANGの設定後は、ローカル言語で入力すると、スクリプトは正しく機能します。
この章で説明する一部のタスクでは、Oracle Internet DirectoryまたはOracle Directory Integration Platformのツールを使用する必要があります。次のツールがあります。
Oracle Internet Directory LDAPコマンドライン・ツール: $ORACLE_HOME/binディレクトリに含まれています。これらのツールは、ldapsearch、ldapbind、ldapmodify、ldapdelete、ldapcompare、ldapmoddn、ldapaddmtおよびldapmodifymtです。Oracle Internet Directoryサーバーとの対話には、オペレーティング・システムのベース・イメージ内に同梱されているものではなく、$ORACLE_HOME/binにあるLDAPツールを使用する必要があります。
Oracle Internet Directoryバルク・ツール: 同じく$ORACLE_HOME/binディレクトリに含まれています。これらのツールは、bulkload、bulkmodify、catalog、bulkdeleteおよびldifwriteです。バルク・ツールを使用すると、大量のエントリの追加や削除などの一括操作を実行できます。
重要なバルク・ツールはcatalogツールです。このツールを使用すると、Oracle Internet Directory内の属性に索引を追加できます。属性を検索可能にするには、索引付けする必要があります。属性uidに索引を追加する例を次に示します。
catalog connect="connect_str" add="TRUE" attribute="uid"
opmnctlコマンド: Oracle Internet Directoryサーバーの停止および起動に使用します。
Oracle Directory Integration PlatformコマンドのsyncProfileBootstrap: Oracle Directory Integration PlatformとActive Directoryの間の通信にSSLを構成する際や、別のLDAP準拠ディレクトリからOracle Internet Directoryにデータを移行する際には、syncProfileBootstrapを使用します。
|
関連項目:
|
サーバー構成スクリプトを使用して、次のようにUNIXまたはLinuxの認証用にサーバーを構成します。
|
注意:
|
Oracle Internet Directoryをインストールしたユーザーと同じユーザーとして、サーバー上でサーバー・スクリプトを実行します。ディレクトリを$ORACLE_HOME/oas4os/binに変更し、次のように入力します。
./sslConfig_OIDserver.sh
または
./config_OIDserver.sh
ORACLE_HOME,ORACLE_INSTANCE、レルム(ネーミング・コンテキスト)、SSLポート、非SSLポート、OIDコンポーネント名(oid1など)、およびcn=orcladminのパスワードを指定するよう求められます。プロンプトに従って適切な値を指定してください。
環境変数としてORACLE_HOMEまたはORACLE_INSTANCEを設定した場合、これを求めるプロンプトは表示されません。
クライアント・マシンを匿名でOracle Internet Directoryに接続するか、それとも特定のユーザーDNおよびパスワードを使用して接続するかを尋ねられます。yを選択すると、スクリプトによりOracle Internet Directoryサーバー内の匿名バインドが有効になり、匿名バインドを使用してクライアントがサーバーに接続されます。nを選択すると、Oracle Internet Directoryに接続するためのDNおよびパスワードを入力するよう求められます。
|
関連項目:
|
SSL構成スクリプトを使用している場合、スクリプトにより次のように出力されます。
You can provide an SSL Certificate or use the script to create and update OID SSL configuration with a test certificate.Do you have an SSL Certificate [y/n]:
このプロンプトに対してyを入力すると、証明書へのパスを指定するよう求められます。プロンプトに対して、ファイル名を含めたフルパス(/home/jdoe/sslcert.pemなど)を指定します。PEM形式のみがサポートされています。
プロンプトに対してnを入力すると、ウォレット・パスワードを入力するよう求められます。スクリプトにより、自己署名の証明書を使用するSSLサーバー側認証モード用にOracle Internet Directoryが構成されます。
SSLバージョンのスクリプトによって、StartTLS用に非SSLポートが構成されます。これにより、SSL接続と非SSL接続は同じポートを使用できます。自己署名の証明書のオプションを選択した場合は、StartTLSをサポートしていないクライアントからの接続に対してSSLポートが構成されます(自己署名の証明書のオプションを選択していない場合は、すでにOIDのSSLポートがカスタム証明書とともに構成されている必要があります)。
サーバー・スクリプトによって、$ORACLE_INSTANCE/OID/oas4os/component_name/scripts_timestamp内にクライアント・スクリプトsslConfig_OIDclient.shまたはconfig_OIDclient.shが作成され、環境に合わせてカスタマイズされます。サーバー・スクリプトの終了時に、画面にクライアント・スクリプトの場所が次のように出力されます。
OAS4OS Client Config Script: client_script_path
スクリプトによって、収集された情報を使用して複数のOracle Internet Directoryサーバー・パラメータが更新されます。SSLバージョンのスクリプトでは、Oracle Internet Directoryサーバーが再起動されます。非SSLバージョンのスクリプトでは再起動は行われません。
クライアント構成スクリプトを実行して、UNIXまたはLinux認証用に各クライアントを構成します。次の手順を実行します。
次の手順は、Solaris 9のみに適用されます。
Solaris 9の場合のみ、Sun Java System Directory Server Resource Kit SDRK52をダウンロードし、rootとしてインストールします。
Sun Java System Directory Server Resource Kitをインストールしたら、クライアント構成スクリプトを実行する前に、環境変数PATHおよびLD_LIBRARY_PATHを変更して、PATHにはinstallroot/lib/nss/binを、そしてLD_LIBRARY_PATHにはinstallroot/libをそれぞれ含めます。installrootはSun Java System Directory Server Resource Kitをインストールしたディレクトリです。たとえば、このソフトウェアを/usrにインストールした場合は、/usr/lib/nss/binをPATHに追加し、/usr/libをLD_LIBRARY_PATHに追加します。
「すべてのクライアント・プラットフォーム」で説明されているタスクを実行します。
次の手順は、AIX 5.3のみに適用されます。
ベースのAIX 5L LDAPクライアントは、AIX 5L製品メディアに格納されているldap.clientファイル・セット内にパッケージされています。
SSLを使用してLDAPサーバーに接続する場合は、AIX 5L Expansion Packに含まれているgskta.rteおよびldap.max_crypto_clientファイル・セットをインストールする必要があります。インストール手順については、「AIXへのSSL関連クライアント・パッケージのインストール」を参照してください。
ベースのAIX LDAPクライアント・パッケージをインストールします。このパッケージは、AIX 5L製品メディアに含まれているldap.clientファイル・セットの中にあります。次のコマンドを実行すると、基本パッケージがインストールされます。
installp -acgXd LPPSOURCE ldap.client
LPPSOURCEは、Licensed Product Package(LPP)の場所です。
|
注意: また、SMITまたはWebベースのシステム・マネージャを使用してLPPをインストールすることもできます。 |
次のコマンドを入力して、インストールを確認します。
lslpp -l "ldap"
lslppコマンドの出力には、ldap.client.adtおよびldap.client.rteが含まれます。
AIXでクライアント・スクリプトを実行する前に、少なくとも1人のユーザーとグループをLDAPに追加する必要があります。そうしない場合、AIXで構成スクリプトにより実行されるmksecldapコマンドが失敗して、次のいずれかのエラー・メッセージが表示されることがあります。
Cannot find users from all base DN client setup failed."
Cannot find the group base DN from the LDAP server. Client setup failed."
この問題は、1人のユーザーと1つのグループを追加するだけで回避できます。あるいは、構成スクリプトの実行の完了を待たずに、今すぐすべてのユーザーおよびグループをOracle Internet Directoryに移行することもできます。
|
関連項目: 詳細およびその他の解決策については、http://www.ibm.com/developerworks/にある『LDAP configuration management and troubleshooting on AIX』を参照してください。 |
すべてのユーザーおよびグループを移行するには、次の手順を実行します。
sectoldifコマンドを使用して、ローカル・システム・エントリをLDAPエントリに変換します。次のように入力します。
sectoldif -d "realm" -S "RFC2307" > users.ldif
移行するすべてのユーザーがシステム・グループまたはネット・グループに関連付けられていることを確認します。つまり、各ユーザーがgidnumberを持つようにuser.ldifを編集します。例:
dn: uid=test,ou=People,dc=us,dc=example,dc=com uid: test objectClass: posixaccount objectClass: shadowaccount objectClass: account cn: test3 uidnumber: 209 gidnumber: 502 homedirectory: /home/test loginshell: /usr/bin/ksh userpassword: passwordhash shadowlastchange: 13182 cn=testgroup,ou=Group,dc=us,dc=example,dc=com gidnumber=502 cn=testgroup objectclass=posixGroup objectclass=groupOfUniqueNames objectclass=top
users.ldif内のユーザー・エントリをOracle Internet Directoryに追加します。
ldapadd -h host -p port -D "cn=orcladmin" -q -c -f users.ldif
非SSLスクリプトを使用している場合は、「すべてのクライアント・プラットフォーム」で説明されているタスクを実行します。それ以外の場合は、次項で説明されている手順に進みます。
SSLを使用してLDAPサーバーに接続する場合は、AIX 5L Expansion Packに含まれているgskta.rteおよびldap.max_crypto_clientファイル・セットをインストールする必要があります。
AIX 5L Version 5.3クライアントでSSL構成を行うためには、次のパッケージが必要です。
gskta.rte
ldap.max_crypto.client
これらのパッケージをまだインストールしていない場合は、AIX 5L Version 5.3 Expansion Package CD(5705-603)からインストールするか、IBMのWebサイトで入手可能なTivoli Directory Server内の同等のパッケージからインストールします。
installp -acgXd LPPSOURCE gskta ldap.max_crypto_client
次のように入力して、インストールしたパッケージを確認します。
lslpp -l | grep "gskta*" "*ldap*"
lslppコマンドの出力には、gskta.rte、ldap.client.adt、ldap.client.rte、ldap.max_crypto_client.adtおよびldap.max_crypto_client.rteが含まれます。
必要な場合は、新しいLDAPクライアント・ライブラリへのシンボリック・リンクを/usr/lib内に作成します。例:
ln -s /opt/IBM/ldap/release/lib/libidsldap.a /usr/lib/libibmldap.a
「すべてのクライアント・プラットフォーム」で説明されている手順を実行します。
ldapsearchを使用して、LDAP SSLが有効になっていることを確認します。例:
ldapsearch -h myserver.example.com -Z -K /etc/security/ldap/key.kdb \
-Q -b "" -s base objectclass=*
telnet、rlogin、sshまたは同様のプログラムを使用してクライアント・マシンにログインすることにより、認証が正しく機能していることを確認します。
AIX 6.1では、mksecldapツールに関連する問題により、SSLクライアント構成スクリプトは失敗します。AIX 6.1では、非SSL構成スクリプトを使用して、非SSLモードでOracle Authentication Services for Operating Systemsを構成できるのみです。
サーバー構成スクリプトを実行した後、クライアント構成スクリプトをサーバーからクライアントにコピーします。サーバー・スクリプトによってクライアント・スクリプトが編集され、環境に合わせてカスタマイズされます。
SSLサーバー認証が有効になっているLinuxクライアントの場合は、クライアント・スクリプトsslConfig_OIDclient.shを使用します。非SSLのLinuxクライアントの場合は、config_OIDclient.shを使用します。サーバーの$ORACLE_HOME/ldap/binにあるスクリプトを構成対象の各クライアントにコピーします。
rootユーザーとして、クライアント上でクライアント構成スクリプトを実行します。次のいずれかを入力します。
./sslConfig_OIDclient.sh
または
./config_OIDclient.sh
スクリプトによってホストとポートが出力され、次のプロンプトが表示されます。
Do you want to configure test-host to authenticate users against the aboveOID LDAP server [n]: y
ホストとポートが正しい場合は、LDAPサーバーに対して認証するようにクライアントを構成することを確認します。いずれかが間違っている場合は、nと入力し、スクリプトを編集して問題を修正してから、再びスクリプトを実行します。
サーバー構成スクリプトの実行中に、匿名バインドを使用しないように指定した場合、クライアント・スクリプトによってプロキシDNが出力され、Oracle Internet Directoryへの接続に使用するパスワードを入力するよう求められます。サーバーの構成時に入力したパスワードと同じパスワードを入力します。
クライアントがRed Hat Enterprise LinuxまたはOracle Enterprise Linuxの場合は、クライアント・スクリプトによって、LDAPを使用するようにlibuserパッケージを構成するかどうかを確認するプロンプトが表示されます。libuserを構成する場合はyと応答します。LDAPを使用するようにlibuserを構成した場合、luseraddなどを使用してユーザーを追加すると、そのユーザー・エントリがOracle Internet Directoryに追加されます。
スクリプトによって、クライアント・オペレーティング・システム上でユーザー認証にOracle Internet Directoryを使用するようにPluggable Authentication Module(PAM)が構成されます。実行されるタスクの詳細は、オペレーティング・システムのタイプによって異なります。スクリプトによって次の基本タスクが実行されます。
ldapがpasswd、groupおよびshadowのオプションになるように、nsswitch.confへの構成変更が行われます。
正しいURI、ベースDNを使用して、/etc/ldap.confおよび/etc/openldap/ldap.confが構成されます。
オプションで、Red Hat Enterprise LinuxおよびOracle Enterprise Linuxでユーザーを管理するために、(libuser.confを介して)libuserパッケージが構成されます。
|
注意: スクリプトによって、/etcディレクトリのサブディレクトリ内に、処理対象のファイルのバックアップ・コピーが作成されます。これらのサブディレクトリには、oracle_backup_time_stampという書式の名前が付きます。たとえば、2008年1月13日18時54分46秒に作成されたバックアップ・ディレクトリの名前は、/etc/oracle_backup_20100113185446となります。 |
さらに、sslConfig_OIDclient.shによって次の処理が実行されます。
Oracle Internet Directoryサーバーで構成時に作成されたテストCAのPEM形式のエンコードされた証明書である、/etc/oracle-certs/oid-test-ca.pemが発行されます。これは、「自己署名の証明書」のpem.certと同等です。
信頼できるCAとして、oid-test-ca.pemが/etc/ldap.confおよび/etc/openldap/ldap.confに追加されます。
クリアテキスト・パスワードを使用し、SSLを有効にするように、/etc/ldap.confが構成されます。
ほとんどのクライアント・オペレーティング・システムでは、スクリプトによって、サーバー上のStartTLSポートを使用してSSL通信を行うようにクライアントが構成されます。クライアントのオペレーティング・システムがHP-UXまたはSolarisの場合、StartTLSは構成されません。これらのクライアントでは、サーバー上の標準のSSLポートである636を使用してSSL通信が行われます。
クライアント構成スクリプトの実行が正常に完了すると、LinuxまたはUNIXベースのクライアントはOracle Internet Directoryを使用してユーザーを認証できます。
Oracle Internet Directoryを使用してパスワード・ポリシーを集中化するには、オペレーティング・システムのローカルな値ポリシーおよび状態ポリシーを無効にする必要があります。
ポリシーを無効にした後は、ユーザーは通常どおりにpasswdツールを起動してパスワードを変更できます。Oracle Internet Directoryのパスワードの値ポリシー違反が発生すると、Password Policy Errorで始まるエラー・メッセージがログ・ファイル内に生成されます。
ほとんどのLinuxディストリビューションはデフォルトで、エンド・ユーザーが指定したパスワードの品質検証の実行にcracklibライブラリを使用するように構成されています。Oracle Internet Directoryで強制されている集中パスワード・ポリシーを使用する場合は、2つのポリシーが競合しないようにローカルの検証を無効にする必要があります。
Oracle Enterprise LinuxおよびRed Hat Linuxでこれを行うには、次のようにします。
/etc/pam.d/system-authで次の行を探してコメント・アウトします。
password requisite /lib/security/$ISA/pam_cracklib.so retry=3
後続のpasswordで始まるすべての行を探し、これらの行からuse_authtokを削除します。
前述のように、Linuxの状態ポリシーは、シャドウ・パスワード情報によって有効化されるパスワード・エイジング機能を介して強制されます。オペレーティング・システムによって各アカウントのシャドウ情報が解析され、状態ポリシーがローカルで強制されます。
Red Hat Enterprise LinuxまたはOracle Enterprise Linuxでは、Oracle Internet Directoryで作成されたアカウントのパスワード・エイジングを無効にできます。これを行うには、/etc/libuser.confファイルの[userdefaults]セクションを変更して、LU_SHADOWINACTIVE、LU_SHADOWEXPIRE、LU_SHADOWWARNINGのデフォルト値として-1を使用します。
Oracle Internet Directoryにすでに存在するアカウント、またはOracle Internet Directoryに移行するアカウントの場合、shadowmax=99999およびshadowexpire=-1を設定して、パスワードの期限切れを無効にする必要があります。
非SSL認証を構成した場合は、次の手順でSSL認証に切り替えることができます。
サーバー上で、スクリプトsslConfigure_OIDserver.shを実行します。オプションで、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の手順に従って非SSLポートを無効にできます。
サーバーで生成されたsslConfigure_OIDclient.shスクリプトをクライアント・マシンにコピーし、このスクリプトをrootとして実行します。
SSL認証を構成した場合は、次の手順で非SSL認証に切り替えることができます。
サーバー上で、スクリプトconfig_OIDserver.shを実行します。オプションで、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の手順に従ってSSLポートを無効にできます。
サーバーで生成されたconfig_OIDclient.shをクライアント・マシンにコピーし、このスクリプトをrootとして実行します。
場合によっては、構成スクリプトを再実行する必要があります。たとえば、別のOracle Internet Directoryサーバーに変更する必要がある場合などです。あるいは、Oracle Internet Directoryへの接続に匿名バインドではなくプロキシDNを使用している場合、プロキシ・ユーザーのパスワードの期限が切れたためにリセットが必要になることがあります。
スクリプトを再実行するには、次の手順を実行します。
サーバー上で構成スクリプトを再実行します。Oracle Internet Directoryをインストールしたユーザーとして、config_OIDserver.shまたはsslConfig_OIDserver.shを実行します。
「クライアントのリストア」の説明に従って、各クライアントをリストアします。
各クライアント上でスクリプトを再実行します。各クライアント・マシン上でrootとして、生成されたスクリプトであるconfig_OIDclient.shまたはsslConfig_OIDclient.shを実行します。
コンピュータを元の状態にリストアできます。
必要に応じて、クライアント・コンピュータをconfig_OIDclient.shまたはsslConfig_OIDclient.shの実行前の状態にリストアできます。これを行うには、/etcの下でoracle_backup_time_stampという書式の名前が付いたディレクトリを探します。たとえば、2008年1月13日18時54分46秒に作成されたバックアップ・ディレクトリの名前は、/etc/oracle_backup_20080113185446となります。通常、バックアップ・ディレクトリは複数ありますが、その場合は最新のバックアップ・ディレクトリのバックアップ・ファイルを使用する必要があります。
クライアントを構成前の状態にリストアするには、スクリプトresetClient.shを実行します。このスクリプトは、サーバー上の$ORACLE_HOME/oas4os/binに含まれています。このスクリプトをクライアントにコピーして、rootとして実行します。スクリプトによって、構成スクリプトを実行したときに保存された構成ファイルへのパスを指定するよう求められます。
