ヘッダーをスキップ
Oracle Fusion Middleware Oracle Internet Directory管理者ガイド
11g リリース1(11.1.1)
B55919-02
  ドキュメント・ライブラリへ移動
ライブラリ
製品リストへ移動
製品
目次へ移動
目次
索引へ移動
索引

前
 
次
 

7 Oracle Internet Directoryのスタート・ガイド

この章では、Oracle Internet Directoryが『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従ってインストールおよび構成されていることを前提としています。この章では、Oracle Internet Directoryの管理インタフェースと、Oracle Internet Directoryの管理者として実行する必要がある初期タスクについて説明します。

この章の内容は、次のとおりです。

7.1 システムへのパッチ適用による11g リリース1(11.1.1.4.0)へのアップグレード

既存のシステムにパッチを適用して11g リリース1(11.1.1.4.0)にアップグレードするには、『Oracle Fusion Middlewareパッチ適用ガイド』の手順に従います。さらに、次のタスクを実行します。

7.1.1 SSLサーバー認証の暗号スイートの選択解除

SSLサーバー認証を有効化し、暗号スイートを構成している場合、システムにパッチを適用する前に、構成済の暗号スイートの選択を解除します。これは、「Fusion Middleware Controlを使用したSSLパラメータの構成」で説明しているように、Oracle Enterprise Manager Fusion Middleware Controlを使用して実行できます。パッチを適用する前に暗号スイートの選択を解除しないと、パッチ適用後にOracle Enterprise Manager Fusion Middleware ControlまたはWLSTを使用できなくなります。

パッチ適用後にこの問題が判明した場合は、ldapmodifyを使用して、orclsslciphersuite属性をインスタンス固有の構成エントリから削除します。インスタンス固有のエントリ内のorclsslciphersuite属性を削除するためのLDIFファイルは、次のとおりです。

dn: cn=componentname,cn=osdldapd,cn=subconfigsubentry
changetype: modify
replace: orclsslciphersuite
orclsslciphersuite: negotiateit 

コマンドは次のとおりです。

ldapmodify -D cn=orcladmin -q -p portNum -h hostname -f ldifFile 

「opmnctlを使用したOracle Internet Directoryサーバーの再起動」の説明に従って、Oracle Internet Directoryを再起動します。

7.1.2 ディレクトリ・レプリケーション・グループのアップグレード

レプリケーションが既存のOracle Internet Directory環境で構成されている場合は、付録Q「ローリング・アップグレードの実行」の手順に従う必要があります。

7.2 インストール後のタスクおよび情報

Oracle Internet Directoryのインストールおよび基本構成の完了後、次のタスクを実行します。

7.2.1 環境の設定

「コマンドライン・ユーティリティを使用したOracle Internet Directoryの管理」の冒頭に記載のように環境変数を設定します。

7.2.2 Oracleスタックの起動と停止

詳細は、付録P「Oracleスタックの起動と停止」を参照してください。

7.2.3 デフォルトのURLおよびポートの識別

この項に、デフォルトのURLとポートをリストします。

URLまたはポート デフォルト値
Oracle Directory Services Manager(ODSM) http://host:7005/odsm
Oracle Enterprise Manager Fusion Middleware Control http://host:7001/em/
Oracle WebLogic Server管理コンソール http://host:7001/console/
Oracle Internet Directory LDAP 3060
Oracle Internet Directory LDAPS 3131

7.2.4 Oracle Internet Directoryのチューニング

Oracle Internet Directoryのデフォルト構成では、ほとんどすべてのデプロイメントでチューニングを必要とします。デプロイメントに応じて特定の構成属性の値を変更する必要があります。『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章の基本的なチューニング推奨事項に関する説明(特にOracle Databaseインスタンス・パラメータの最小値およびLDAPサーバーの属性のチューニングに関する説明)を参照してください。

チューニングの詳細は、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章を参照してください。すべての属性の説明は、第9章「システム構成属性の管理」および第40章「レプリケーション構成属性の管理」を参照してください。

7.2.5 匿名ユーザーによるバインドの有効化

ルートDSE以外に対する匿名検索はデフォルトでは無効になっています。一部には、クライアントでルートDSE以外へのアクセスが必要なデプロイメント環境もあります。そのようなデプロイメントの場合、orclanonymousbindsflag属性を1に設定します。詳細は、「匿名ユーザーによるバインドの管理」を参照してください。


関連項目:

『Oracle Database Net Services管理者ガイド』

7.2.6 Oracle Internet Directoryの特権ポートでの実行の有効化

多くのオペレーティング・システムでは、スーパーユーザー権限で実行されているプロセスのみが1024よりも小さいポート番号を使用できます。デフォルトでは、Oracle Identity Management 11gのインストーラはOracle Internet Directoryに特権ポートを割り当てませんが、staticports.iniを使用してデフォルトをオーバーライドできます。(『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照。)

SSLおよび非SSLポートを、インストール後に特権付きの範囲の番号に変更する場合、次の手順に従います。

  1. rootユーザーでORACLE_HOME/oidRoot.shを実行します。

  2. 次のいずれかの方法でポート番号を再度割り当てます。

  3. コマンドラインを使用してポートを変更した場合、「opmnctlを使用したOracleインスタンスのコンポーネント登録の更新」に記載のようにopmnctl updatecomponentregistrationを実行します。(「Oracle Internet Directoryインスタンスの追加作成」に記載のとおり、Oracle Internet Directoryのスタンドアロン・インスタンスを実行している場合は、この手順は必要ありません。)

  4. 「Fusion Middleware Controlを使用したOracle Internet Directory Serverの再起動」または「opmnctlを使用したOracle Internet Directory Serverの再起動」記載のように、Oracle Internet Directoryを再起動します。

7.2.7 Oracle Databaseタイムゾーンの検証

Oracle Internet Directoryガベージ・コレクション・ロジックが正しく動作していることを確認するには、「ガベージ・コレクション用Oracle Databaseタイムゾーンの設定」の説明に従って、Oracle Databaseのdbtimezoneパラメータを検証します。

7.3 Fusion Middleware Controlを使用したOracle Internet Directoryの管理

Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Fusion Middleware用の包括的なシステム管理プラットフォームを提供するグラフィカル・ユーザー・インタフェースです。Fusion Middleware Controlでは、様々なパフォーマンス・データおよび管理機能を、ドメイン、Oracleインスタンス、ミドルウェア・システム・コンポーネントおよびアプリケーション用の個別のWebベースのホームページへと編成します。


注意:

  • Oracle Internet Directoryのインストール時にドメインを要求されたときに「ドメインなしで構成」を選択した場合は、Oracle Enterprise Manager Fusion Middleware Controlを使用できなくなります。

  • Oracle Enterprise Manager Fusion Middleware Controlは、そのSSLポートを介してOracle Internet Directoryを管理します。Oracle Internet DirectoryのSSLポートは、認証なしまたはサーバー認証用に構成されている必要があります。Oracle Internet DirectoryのSSLポートが相互認証用に構成されている場合、Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Internet Directoryのパラメータを変更することはできません。「SSL認証モード」を参照してください。

  • Fusion Middleware ControlおよびOracle Directory Services Managerでサポートされているブラウザの詳細は、http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.htmlからリンクされている、Oracle Fusion Middleware 11gR1のシステム要件およびサポートされているプラットフォームに関する説明を参照してください。


Oracle Internet Directoryは、Oracle Enterprise Manager Fusion Middleware Controlのターゲット・タイプです。Oracle Internet Directoryのインタフェースを使用する手順は、次のとおりです。

  1. Fusion Middleware Controlに接続します。

    URLの形式は次のとおりです。

    https://host:port/em
    
  2. 左パネルのトポロジ・ツリーで、ドメインを展開して、「Fusion Middleware」→「Identity and Access」を選択します。あるいは、ドメインのホームページから「Fusion Middleware」→「Identity and Access」と展開します。Oracle Internet Directoryのインスタンスが両方の箇所に表示されます。コンポーネント・インスタンスの完全名を表示するには、インスタンス名の上にマウスを移動します。

  3. 管理するOracle Internet Directoryコンポーネントを選択します。

  4. 「Oracle Internet Directory」メニューを使用してタスクを選択します。

表7-1に示すとおり、「Oracle Internet Directory」メニューを使用して、Oracle Internet Directory用の他のFusion Middleware Controlページに移動したり、Oracle Internet Directory用のOracle Directory Services Managerページに移動したり、他のタスクを実行できます。

表7-1 「Oracle Internet Directory 」メニューの使用

タスク 選択

ホームページへの戻り

ホーム

パフォーマンス・サマリーの表示

「監視中」「パフォーマンス」

Oracle Internet Directoryコンポーネントの起動、停止または再起動

「コントロール」から、それぞれ「起動」「停止」または「再起動」

Oracle Internet Directoryのログの表示

「ログ」「ログ・メッセージの表示」

非SSLおよびSSLポート情報の表示。

「ポートの使用状況」

このOracle Internet Directoryコンポーネントに固有のプロパティの管理

「管理」「サーバー・プロパティ」

同じOracle Databaseに接続しているすべてのOracle Internet Directoryコンポーネントで共有されるプロパティの管理

「管理」「共有プロパティ」

レプリケーションの設定

「管理」「レプリケーション管理」

チューニングおよびサイズ設定の推奨事項の取得

「管理」「チューニングとサイズ設定」

Oracle Directory Services Managerを使用したOracle Internet Directoryエントリの管理

「Directory Services Manager」「データ・ブラウザ」

Oracle Directory Services Managerを使用したOracle Internet Directoryスキーマの管理

「Directory Services Manager」「スキーマ」

Oracle Directory Services Managerを使用したOracle Internet Directoryセキュリティの管理

「Directory Services Manager」「セキュリティ」

Oracle Directory Services Managerを使用したOracle Internet Directory拡張機能の管理

「Directory Services Manager」「拡張」

Oracle Internet Directoryに対する監査の構成

「セキュリティ」「監査ポリシー設定」

Oracle Internet Directoryに対するウォレットの作成

「セキュリティ」「ウォレット」

ターゲット名、ソフトウェアのバージョン、Oracleホーム、Oracleインスタンス、Oracle Enterprise Manager Fusion Middleware Controlエージェントおよびホストの表示

「一般情報」



関連項目:

  • 『Oracle Enterprise Manager概要』

  • 『Oracle Enterprise Manager構成ガイド』

  • Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド


7.4 Oracle Directory Services Managerの使用

この項の項目は次のとおりです。

7.4.1 Oracle Directory Services Managerの概要

Oracle Directory Services Managerは、Oracle Internet DirectoryインスタンスとOracle Virtual Directoryインスタンスの管理用のWebベースのインタフェースです。非推奨となったOracle Directory Managerにかわるものです。Oracle Directory Services Managerでは、ディレクトリ構造の構成、ディレクトリ内のオブジェクトの定義、ユーザー、グループおよびその他のエントリの追加と構成ができます。ODSMは、エントリ、スキーマ、セキュリティおよび他のディレクトリ機能を管理するために使用するインタフェースです。

ODSMを使用してシステム構成属性を管理することもできます。これは、Fusion Middleware Controlを利用できない場合やFusion Middleware Controlインタフェースがない属性を変更する必要がある場合に便利です。「ODSMデータ・ブラウザを使用したシステム構成属性の管理」および「Oracle Directory Services Managerを使用したエントリの管理」を参照してください。

7.4.1.1 Oracle Directory Services ManagerでのJAWSスクリーン・リーダーの使用

ODSMでJAWSを使用する場合、新規ウィンドウがポップアップ表示されるたびに、JAWSはポップアップを読み取ります。ページ全体を読み取るには、[Insert]キーを押しながら[b]キーを押します。

7.4.1.2 Oracle Directory Services Managerへの非スーパーユーザー・アクセス

Oracle Directory Services Managerでは、ディレクトリで有効な識別名およびパスワードを持つ任意のユーザーとしてOracle Internet Directoryに接続できます。スーパーユーザーcn=orcladminとして、またはcn=DirectoryAdminGroup,cn=oracle internet directoryのメンバーであるユーザーとして接続している場合は、インタフェースのすべてのタブにアクセスできます。その他のユーザーとしてログインしている場合は、「ホーム」タブおよび「データ・ブラウザ」タブのみにアクセスできます。

7.4.1.3 Oracle Directory Services ManagerとのSingle Sign-On統合

シングル・サインオン(SSO)を使用するようにOracle Directory Services Managerを構成できます。SSOで構成すると、Oracle Directory Services Managerでは、SSOサーバーによって認証されたユーザーは、SSO対応ディレクトリを管理する権限を持っている場合、ログインせずにそのディレクトリに接続できます。

Oracle Directory Services Managerは、SSO認証済ユーザーが管理できるOracle Virtual Directoryサーバーのリストを維持します。SSO認証済ユーザーがOracle Virtual Directoryを管理するために必要な権限を持っているかどうかを検証するために、Oracle Directory Services Managerは、SSO認証済ユーザーをOracle Virtual Directoryサーバーでの識別名にマップします。

Oracle Directory Services Managerは、プロキシ認証を使用してディレクトリに接続します。プロキシ・ユーザーの識別名およびパスワードは、資格証明ストア・フレームワーク(CSF)と呼ばれるセキュアなストレージ・フレームワークに格納されます。

SSO認証済ユーザーをマップするために、Oracle Directory Services Managerは、プロキシ権限を持つユーザーの資格証明を使用して、Oracle Virtual Directoryサーバーに対して認証します。次に、Oracle Directory Services ManagerはSSO認証済ユーザーの一意識別子をOracle Virtual Directoryユーザーの一意識別子にマップしようとします。

WLS管理者は、プロキシ・ユーザーの資格証明、一意の識別子属性、およびOracle Directory Services ManagerがCSFに格納されているユーザーを検索するベース識別名を構成します。Oracle Directory Services Managerは、有効な識別名を取得すると、SSO認証済ユーザーをその識別名にマップします。SSO認証済ユーザーが有効な識別名にマップされると、Oracle Directory Services Managerは、プロキシ認証を使用して、SSO認証済ユーザーのマップされた識別名でOracle Virtual Directoryサーバーに接続します。

SSO統合を構成するには、次の項を参照してください。

7.4.2 SSO統合用ODSMの構成

ODSM-SSO統合を構成するには、http://host:port/odsm-configにあるODSMプロキシ・バインド構成画面を使用します。WebLogic管理者としてログインします。

この画面で、SSOユーザーが管理できるディレクトリ・サーバーのセットをOracle Directory Services Managerに提供します。この画面には、シングル・サインオンによりアクセス可能なディレクトリが示されます。

「表示」リストを使用して、列の数および順序を変更します。既存のディレクトリを削除するには、「削除」をクリックします。

既存のディレクトリを変更するには、「変更」をクリックします。

シングル・サインオンによりアクセス可能なディレクトリを新たに追加するには、「追加」をクリックします。

「変更」または「追加」をクリックすると、「ディレクトリ詳細」画面が表示されます。次のようにします。

  1. 「ポート・タイプ」リストから「非SSL」または「SSL」を選択します。

  2. 「ディレクトリ・タイプ」リストから「OID」または「OVD」を選択します。

  3. 次の情報を入力します。

    • ディレクトリのホストおよびポート

    • プロキシ・ユーザーのDNおよびパスワード: Oracle Directory Services Managerがプロキシ認証に使用する識別名およびパスワード。

    • ユーザー・コンテナDN: ディレクトリでユーザー・エントリが配置される識別名。

    • ユーザー参照属性: ディレクトリ内のユーザーの識別名を参照するための一意属性。たとえば、SSOサーバーがユーザーのメールIDをそのユーザーの一意識別子としてOracle Directory Services Managerに送信した場合、mailをユーザー参照属性として構成できます。

  4. 「検証」をクリックして、ディレクトリ接続の詳細を検証します。

    Oracle Directory Services Managerは、提供された資格証明を使用してディレクトリ・サーバーに対して認証します。

  5. 「適用」をクリックして選択内容を適用します。

    選択を中止する場合は、「元に戻す」をクリックします。

  6. 「SSOログアウトURL」テキスト・ボックスでSSOサーバーの「ログアウトURL」を指定します。

    たとえば、http://myoamhost.mycompany.com:14100/oam/server/logoutは、Oracle Access Manager 11gサーバーのデフォルトのログアウトURLです。このフィールドのみを構成した場合、Oracle Directory Services Managerにより、Oracle Directory Services Managerページの右上の隅に「ログイン」リンクが表示されます。

7.4.3 ODSM統合用SSOサーバーの構成

SSO-ODSM統合が適切に機能するようにするには、特定のODSM URLを保護対象または非保護として構成する必要があります。

ODSMのホーム・ページは、非保護のURLである必要があります。つまり、SSO認証プロセスを経ていないユーザーを含め、すべてのユーザーがODSMホーム・ページにアクセスできる必要があります。

URL /odsm/odsm-sso.jspは、SSOサーバーによって保護されている必要があります。ユーザーがホーム・ページの右上の隅に表示される「ログイン」リンクをクリックすると、ユーザーは/odsm/odsm-sso.jspにリダイレクトされます。SSOサーバーは、そのユーザーがまだ認証されていない場合、ユーザーのユーザー名およびパスワードを調べます。認証に成功すると、ユーザーはODSMホーム・ページに戻されます。

/odsm/odsm-sso.jspを保護対象URLとして構成する必要があります。さらに、次のURLを非保護のURLとして構成する必要があります。

  • /odsm/faces/odsm.jspx

  • /odsm/.../

Oracle Access Manager 11gまたはOracle Access Manager 10gをSSOプロバイダとして使用できます。

Oracle Access Manager 11gを構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 11g SSOソリューションのデプロイに関する説明を参照してください。

SSO認証済ユーザーの一意識別子をHTTPヘッダーを介してOracle Directory Services Managerに送信するようにOracle Access Managerサーバーを構成する必要があります。Oracle Directory Services ManagerはOAM_REMOTE_USER HTTPヘッダーを探します。Oracle Access Managerサーバーは、デフォルトでOAM_REMOTE_USERヘッダーを設定します。このヘッダーを使用できない場合、Oracle Directory Services Managerはodsm-sso-user-unique-id HTTPヘッダーを探します。Oracle Directory Services Managerがこれらのヘッダーのいずれも見つけることができない場合、Oracle Directory Services Manager SSO統合は機能しません。

ユーザーの一意識別子をHTTPヘッダーを介して送信する以外に、オプションで、次のHTTPヘッダーを送信するようにOracle Access Managerを構成できます。

  • ユーザーの名を送信するようにodsm-sso-user-firstname HTTPヘッダーを構成します。

  • ユーザーの姓を送信するようにodsm-sso-user-lastname HTTPヘッダーを構成します。

これらのヘッダーが使用可能な場合、ユーザーの名および姓がOracle Directory Services Managerの右上の隅にある「次としてログイン」セクションに表示されます。名または姓を使用できない場合は、ユーザーの一意識別子が「次としてログイン」セクションに表示されます。

Oracle Access Manager 11gを構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 11g SSOソリューションのデプロイに関する説明を参照してください。

Oracle Access Manager 10gを構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 10gでのSSOソリューションのデプロイに関する説明を参照してください。

7.4.4 ODSM-SSO統合用Oracle HTTP Serverの構成

Oracle HTTP ServerをSSOサーバーのWebゲート・エージェントのホスティングに使用している場合、およびODSMをホスティングするWebLogicサーバーへのフロントエンドとして使用している場合は、ODSMをホスティングするWebLogicサーバーに/odsmで始まるすべてのリクエストを転送するようにOracle HTTP Serverのmod_wl_ohsモジュールを構成する必要があります。mod_wl_ohsモジュールにより、Oracle HTTP ServerからOracle WebLogic Serverへのリクエストをプロキシ処理できます。

mod_wl_ohsを構成するには、『Oracle Fusion Middleware Oracle HTTP Server管理者ガイド』のmod_wl_ohsモジュールの構成に関する説明を参照してください。

7.4.5 Oracle Directory Services Managerの起動

Oracle Directory Services Managerの起動は、直接、またはOracle Enterprise Manager Fusion Middleware Controlから実行できます。


注意:

  • Oracle Internet Directoryのインストール時にドメインを要求されたときに「ドメインなしで構成」を選択した場合、Oracle Directory Services Managerは使用できなくなります。

  • Fusion Middleware ControlおよびOracle Directory Services Managerでサポートされているブラウザの詳細は、http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.htmlからリンクされている、Oracle Fusion Middleware 11gR1のシステム要件およびサポートされているプラットフォームに関する説明を参照してください。


  • Oracle Directory Services Managerを直接起動するには、ブラウザのアドレス・フィールドに次のURLを入力します。

    http://host:port/odsm
    

    Oracle Directory Services ManagerにアクセスするURLで、hostはOracle Directory Services Managerが稼働している管理対象サーバーの名前で、portはWebLogicサーバーからの管理対象サーバーのポート番号です。正確なポート番号は、$Fusion_Middleware_Home/Oracle_Identity_Management_domain/servers/wls_ods/data/nodemanager/wls_ods1.urlファイル( Fusion_Middleware_HomeはFusion Middlewareがインストールされているルート・ディレクトリ)で確認できます。

  • Fusion Middleware ControlからOracle Directory Services Managerを起動するには、Oracle Internet Directoryターゲットの「Oracle Internet Directory」メニューから「Directory Services Manager」を選択し、「データ・ブラウザ」「スキーマ」「セキュリティ」または「拡張」を選択します。(同様の方法で、Oracle Virtual Directoryメニューから接続できます。)

    ODSMのようこそ画面を含む新規ブラウザ・ウィンドウがポップアップ表示されます。次の項の説明に従って、サーバーに接続します。

7.4.6 Oracle Directory Services Managerからサーバーへの接続

ODSMのようこそ画面が表示されたら、Oracle Internet DirectoryサーバーまたはOracle Virtual Directoryサーバーに接続できます。

この項の項目は次のとおりです。


注意:

  • ODSMにログインした後は、複数のディレクトリ・インスタンスに同じブラウザ・ウィンドウから接続できます。

  • 同じブラウザ・プログラムの複数のウィンドウを使用して異なるディレクトリに同時に接続することは避けてください。このような接続によって、Target unreachableエラーが発生する場合があります。

  • Internet ExplorerとFirefoxなど、異なるブラウザ・プログラムから同じODSMインスタンスにログインし、それぞれを別のディレクトリ・インスタンスに接続することが可能です。

  • ブラウザの言語設定を変更する場合、新しい設定を使用するにはセッションを更新する必要があります。セッションを更新するには、「URL」フィールドにODSM URLを再入力して[Enter]を押すか、ブラウザを終了して再起動します。


7.4.6.1 Oracle Directory Services Managerからディレクトリ・サーバーへのログイン

次のようにしてOracle Directory Services Managerからディレクトリ・サーバーの非SSLポートにログインします。

  1. ラベル「クリックしてディレクトリに接続」の右にある小さな矢印をクリックします。次のセクションが含まれたダイアログ・ボックスが開きます。

    • ライブ接続: 戻ることのできる現在の接続。

    • 切断されている接続: 一度接続した後、切断したディレクトリ・サーバーのリスト。Oracle Directory Services Managerでは、以前に使用した接続に関する情報を保存し、オプション名別またはサーバー別にリストし、その接続を再選択できるようにします。

    • 新規接続: 新規接続の開始に使用されます。

    SSO認証済であるユーザーには、SSO認証済ユーザーとしてSSO対応ディレクトリに接続に関する説明で説明しているように、追加セクションが表示される場合があります。

  2. ライブ接続に再接続するには、クリックします。

    切断されている接続を選択するには、エントリをクリックします。大部分のフィールドが入力された簡易版のログイン・ダイアログが表示されます。選択をリストから削除するには、選択後「削除」を選択します。

    新規ディレクトリ・サーバーへの接続を開始するには、「新規接続の作成」をクリックするか、[Ctrl]キーを押しながら[N]キーを押します。「新規接続」ダイアログが表示されます。

  3. 「OID」または「OVD」を選択します。

  4. オプションで、このエントリを切断されている接続リストで識別する別名を入力します。

  5. 管理するOracle Internet DirectoryまたはOracle Virtual Directoryのインスタンスのサーバーおよび非SSLポートを入力します。

  6. 「SSL有効」の選択を解除します。

  7. ユーザー(通常はcn=orcladmin)とパスワードを入力します。

  8. ログイン後に開く「開始」ページを選択します。

  9. 「接続」をクリックします。

Oracle Internet DirectoryまたはOracle Virtual Directoryサーバーにログインした後は、ナビゲーション・タブを使用して他のページを選択できます。

Oracle Internet DirectoryおよびOracle Virtual Directory用のOracle Directory Services Managerホームページには、ディレクトリとデータベースに加えて、Oracle Directory Services Manager自体のバージョン情報も示されています。統計情報も直接示されます。

7.4.6.2 SSLを使用したOracle Directory Services Managerからディレクトリ・サーバーへのログイン

SSL認証モードについてよく知らない場合は、「SSL認証モード」を参照してください。

サーバーのSSLポートにログインする場合は、手順5でSSLポートを指定している場合、および手順6「SSL有効」の選択を解除していない場合を除き、「Oracle Directory Services Managerからディレクトリ・サーバーへのログイン」の手順に従ってください。手順9「接続」をクリックした後、SSL認証のタイプによっては証明書が提示される場合があります。

7.4.6.2.1 SSL認証なし

ディレクトリ・サーバーがSSL認証なしモード(デフォルト)で稼働している場合、証明書は提示されません。SSL認証なしでは、データの機密性と整合性は保証されますが、X509証明書を使用した認証は行われません。

7.4.6.2.2 SSLサーバーのみ認証

ディレクトリ・サーバーでSSLサーバー認証のみモードを使用している場合、手順9で「接続」をクリックすると、サーバーの証明書が提示されます。サーバー証明書の正統性を手動で確認した後、証明書を恒久的に受け入れるか、現在のセッションに対してのみ受け入れるか、証明書を拒否します。証明書を恒久的に受け入れる場合、証明書はJavaキーストア(JKS)に格納されます。以降は、そのサーバーに接続する際、証明書を受け入れるよう要求されません。現在のセッションに対してのみ受け入れた場合、サーバーに接続するたびに証明書を受け入れるか拒否するかを確認されます。証明書を拒否した場合、ODSMでサーバーへの接続を閉じます。

7.4.6.2.3 SSLクライアントとサーバー認証

サーバーでSSLクライアントとサーバー認証モードを使用している場合、手順9「接続」をクリックすると、証明書が提示されます。「SSLサーバーのみ認証」の手順に従います。

OSDMはサーバーの証明書を受け入れた後、認証用に自身の証明書をサーバーに送信します。その証明書が信頼できる証明書のリスト内にある場合、サーバーでODSMの証明書が受け入れられます。

ODSMの証明書の識別名がサーバー内にある場合、接続ダイアログでユーザー名とパスワードを入力する必要がありません。

ODSMの証明書の識別名がサーバー内にない場合、ユーザー名とパスワードを入力する必要があります。

ODSMの証明書は自己署名証明書です。CAによって署名された証明書をODSMに割り当てるには、keytoolコマンドを使用する必要があります。付録O「Oracle Directory Services ManagerのJavaキーストアの管理」を参照してください。

7.4.6.3 SSO認証済ユーザーとしてのSSO対応ディレクトリへの接続

シングル・サインオン・サーバーによってすでに認証されている場合、ODSMでは、SSO対応ディレクトリにエントリを持っている場合は、ログインせずにそのディレクトリに接続できます。ODSMのようこそページにアクセスしたときに、1つのSSO対応ディレクトリのみにエントリがある場合、ODSMによってそのディレクトリに接続されます。複数のSSO対応ディレクトリにエントリがある場合、ODSMでは、次のように接続するディレクトリを選択できます。

ラベル「クリックしてディレクトリに接続」の右にある小さな矢印をクリックします。この場合、ダイアログ・ボックスには、接続する権限があるSSO対応ディレクトリがリストされた追加のセクションが表示されます。必要なディレクトリを選択します。ODSMは、ユーザー名やパスワードを要求せずにユーザーを接続します。

接続しているポートがSSLポートである場合は、「SSL認証なし」「SSLサーバーのみ認証」または「SSLクライアントとサーバー認証」の適切な手順を実行する必要があります。

7.4.7 Oracle Directory Services Managerセッション・タイムアウトの構成

Oracle Directory Services Managerのデフォルトのセッション・タイムアウトは35分です。DOMAIN_HOME/servers/wls_ods1/tmp/_WL_user/odsm_11.1.1.2.0/randomid/war/WEB-INFにあるファイルweb.xmlを編集することで、これを変更できます。(これは、管理対象サーバーの名前がwls_ods1であることを想定しています。管理対象サーバーの名前が異なる場合は、パス名を調整してください。)

タイムアウト値が含まれたファイル・フラグメントは、次のようになります。

<session-config> 
<session-timeout>35</session-timeout> 
</session-config> 

この値を変更した後に、管理対象サーバーを再起動するか、またはWebLogicコンソールを介してOracle Directory Services Managerを再起動します。

ファイルweb.xmlを編集する場合、加えた変更は永続的でない場合があることに注意してください。Oracle Directory Services Managerは、ORACLE_HOME/ldap/odsm/odsm.earからWebLogicサーバーにデプロイされます。WebLogicサーバーは、パフォーマンス上の理由から、odsm.earDOMAIN_HOME/servers/wls_ods1/tmp/_WL_user/odsm_11.1.1.2.0ディレクトリに展開します。これは、WebLogicサーバー用の一時キャッシュ・ディレクトリです。ORACLE_HOME/ldap/odsm/odsm.earを上書きするパッチを適用した場合は、一時キャッシュ・ディレクトリ内のweb.xmlに加えた変更も上書きされます。

7.4.8 Oracle WebLogic ServerクラスタでOracle Directory Services ManagerをサポートするためのOracle HTTP Serverの構成

クラスタ化されたOracle WebLogic Server環境でOracle Directory Services Managerのリクエストを複数のOracle WebLogic ServerにルーティングするようOracle HTTP Serverを構成するには、次の手順に従います。

  1. Oracle HTTP Serverのhttpd.confファイルのバックアップ・コピーを作成します。この手順の実行後に問題が起きた場合、バックアップ・コピーがあると、元の状態に戻すことができます。

  2. 次のテキストをOracle HTTP Serverのhttpd.confファイルの最後に追加し、変数プレースホルダ値を環境に固有のホスト名と管理対象サーバー・ポート番号に置き換えます。エントリの最初の行として<Location /odsm/ >を必ず使用します。<Location /odsm/faces >または<Location /odsm/faces/odsm.jspx >を使用すると、Oracle Directory Services Managerインタフェースの外観に問題が起こることがあります。

    <Location /odsm/ > 
    SetHandler weblogic-handler 
    WebLogicCluster host-name-1:managed-server-port,host-name_2:managed_server_port 
    </Location> 
    
  3. 構成の変更を有効にするには、Oracle HTTP Serverを停止し、起動します。


注意:

接続先のクラスタ内のOracle WebLogic Serverが停止すると、Oracle Directory Services Managerで接続が失われ、セッション・タイムアウト・メッセージが表示されます。Oracle Directory Services Managerにログインしなおすと、Oracle Directory Services Managerのリクエストは、httpd.confファイルで指定したクラスタ内の2番目のOracle WebLogic Serverにルーティングされます。

7.5 コマンドライン・ユーティリティを使用したOracle Internet Directoryの管理

sqlplusなどのデータベース・クライアント・ユーティリティやOracle Internet Directoryコマンドライン・ユーティリティを使用するには、通常、次の環境変数を設定する必要があります。

コマンドラインで実行できる多くのアクティビティは、Oracle Enterprise Manager Fusion Middleware ControlまたはOracle Directory Services Managerでも実行できます。一部の機能には、コマンドライン以外では実行できないものもあります。

7.5.1 標準LDAPユーティリティの使用方法

Oracle Internet Directoryでは標準LDAPコマンドライン・ユーティリティ(ldapaddldapaddmtldapbindldapcompareldapdeleteldapmoddnldapmodifyldapmodifymtおよびldapsearch)がサポートされます。次に例を示します。

ldapbind -D "cn=orcladmin" -q -h "myserver.example.com" -p 3060

ldapsearch -b "cn=subschemasubentry" -s base "objectclass=*" -p 3060 \
     -D "cn=orcladmin" -q 

このマニュアルには、LDAPツールの使用方法の例が多数含まれています。


関連項目:


セキュリティ上の理由から、コマンドラインでパスワードを入力することはできるかぎり避けてください。コマンドラインで入力したパスワードは画面上に表示され、ログ・ファイルや、psコマンドからの出力に表示される場合があります。プロンプトでパスワードを入力すると、画面上やps出力またはログ・ファイルには表示されません。-P passwordオプションおよび-w passwordオプションではなく、-qオプションおよび-Qオプションをそれぞれ使用してください。

LDAPツールは、環境変数LDAP_PASSWORD_PROMPTONLYTRUEまたは1に設定されている場合、オプション-w passwordおよび-P passwordを無効にするよう変更されています。この機能をできるかぎり使用してください。


関連項目:

Oracle Fusion Middleware Oracle Identity Managementリファレンスのコマンドライン・ツールでのパスワードの使用に関する説明

7.5.2 バルク・ツールの使用

Oracle Internet Directoryには、多数のエントリの管理に役立つ複数のツールが用意されています。第15章「バルク操作の実行」を参照してください。


関連項目:

各ツールの詳細は、Oracle Fusion Middleware Oracle Identity Managementリファレンスの「Oracle Internet Directoryデータ管理ツール」の章を参照してください。

7.5.3 WLSTの使用

Oracle WebLogic Scripting Tool(WLST)は、Jythonベースのコマンドライン・スクリプト環境であり、WebLogic Serverドメインの管理および監視に使用できます。これを使用してOracle Internet Directoryを管理および監視するには、Oracle Internet Directoryが配置されているカスタムMBeanツリーに移動する必要があります。そこで、Oracle Internet Directoryリソースを表すマネージドBean(MBean)のリストの作成、値の取得および値の変更が可能です。「WLSTを使用したシステム構成属性の管理」および「WLSTを使用したSSLの構成」を参照してください。


注意:

WLSTは、そのSSLポートを介してOracle Internet Directoryを管理します。Oracle Internet DirectoryのSSLポートは、認証なしまたはサーバー認証用に構成されている必要があります。Oracle Internet DirectoryのSSLポートが相互認証用に構成されている場合は、WLSTを使用してOracle Internet Directoryのパラメータを変更することはできません。「SSL認証モード」を参照してください。

7.6 Oracle Internet Directoryを構成および管理するための基本タスク

この項では、Oracle Internet Directoryの基本環境を構成および管理するために実行する必要のある手順の概要を示します。

  1. LDAPサーバーを起動および停止します。第8章を参照してください。

  2. システム構成属性を管理します。第9章を参照してください。

  3. ディレクトリ・エントリを管理します。第13章を参照してください。

  4. ディレクトリ・スキーマを管理します。第20章を参照してください。

  5. 監査を構成します。第22章

  6. ログ・ファイルを管理します。第23章を参照してください。

  7. SSLを構成します。第26章を参照してください。

  8. パスワード・ポリシーを構成します。第28章を参照してください。

  9. アクセス制御を構成します。第29章を参照してください。

  10. Oracle Internet Directoryのデプロイメントに関するサイズ設定とチューニングの推奨事項を取得します。『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章のチューニングとサイズ設定ウィザードを使用した推奨事項の取得に関する説明を参照してください。

  11. レプリケーションを設定します。第38章および付録Cを参照してください。

  12. アドバンスト・レプリケーション・ベースのレプリケーション承諾からLDAPベースのレプリケーション承諾へ変換します。「アドバンスト・レプリケーション・ベースの承諾からLDAPベースの承諾への変換」を参照してください。

  13. 既存のレプリケーション設定を変更します。第41章を参照してください。

このガイドでは、実際のOracle Fusion Middleware環境に応じて実行する必要があるタスクなど、他のタスクについても説明しています。