Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-01 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Identity ManagementとIBM Tivoli Directory Serverを統合する手順について説明します。この項の内容は、次のとおりです。
注意: この章を読む前に、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のOracle Internet Directoryの概念とアーキテクチャに関する章を理解しておく必要があります。また、このマニュアルのここまでの章、特に次の章を理解していることを前提としています。IBM Tivoli Directory Serverとの統合のデモンストレーションを構成する場合は、Oracle Identity Management 11gリリース1(11.1.1)のOracle By Exampleシリーズを参照してください。Oracle Technology Network( |
IBM Tivoli Directory Serverで基本同期または拡張同期を構成するには、「同期要件の確認」の指示に従い、使用する環境で必要な同期要件が満たされていることを確認してください。また、IBM Tivoli Directory Serverと統合する前に、次の手順を実行する必要があります。
インポート操作とエクスポート操作の実行に十分な権限を持つユーザー・アカウントをIBM Tivoli Directory Serverに作成する際に、tombstoneの読取りに十分な権限を必ず割り当てます。
IBM Tivoli Directory Serverで変更ログを有効にします。
expressSyncSetup
コマンドを使用すると、Oracle Internet DirectoryとIBM Tivoli Directory Serverの同期を迅速に確立できます。expressSyncSetup
コマンドでは、デフォルトの設定を使用してすべての必須構成を自動的に実行し、インポート用とエクスポート用の2つの同期プロファイルも作成します。expressSyncSetup
コマンドを使用してIBM Tivoli Directory Serverと同期化するには、「expressSyncSetupを使用したインポートおよびエクスポートの同期プロファイルの作成」を参照してください。
Oracle Directory Integration Platformをインストールすると、サポート対象のサード・パーティ・ディレクトリごとにインポートおよびエクスポートの同期プロファイルのサンプルが自動的に作成されます。IBM Tivoli Directory Server用に作成された同期プロファイルのサンプルは、次のとおりです。
TivoliImport
: IBM Tivoli Directory ServerからOracle Internet Directoryに変更をインポートするためのプロファイル
TivoliExport
: Oracle Internet DirectoryからIBM Tivoli Directory Serverに変更をエクスポートするためのプロファイル
expressSyncSetup
コマンドを使用して、追加の同期プロファイルを作成することもできます。インストール・プロセス時またはexpressSyncSetup
によって作成されたインポートおよびエクスポートの同期プロファイルは、Oracle Internet DirectoryとIBM Tivoli Directory Serverの統合をデプロイする際に使用する開始点としてのみ利用されます。デフォルトの同期プロファイルは事前定義の仮定を使用して作成されるため、次の手順を順序どおりに実行して、環境に合せてそれらをさらにカスタマイズする必要があります。
第16章「サード・パーティ・ディレクトリ統合の概念と考慮事項」、特に「IBM Tivoli Directory Server統合の概念」を読んで、統合を計画します。「同期プロファイルの作成」の指示に従い、既存のIBM Tivoli Directory Serverテンプレート・プロファイルをコピーして、必ず新規のプロファイルを作成します。
「レルムの構成」の指示に従い、レルムを構成します。
「Access制御リストのカスタマイズ」で説明されているように、ACLをカスタマイズします。
IBM Tivoli Directory Serverと統合する場合は、次の属性レベル・マッピングがすべてのオブジェクトに対して必須です。
targetdn: : :top:orclSourceObjectDN: :orclTDSObject:
例21-1 IBM Tivoli Directory Serverのユーザー・オブジェクト用の属性レベル・マッピング
Cn:1: :person: cn: :person: sn: : :person: sn: :person:
例21-2 IBM Tivoli Directory Serverのグループ・オブジェクト用の属性レベル・マッピング
Cn:1: :groupofname: cn:groupofuniquenames
この例では、IBM Tivoli Directory ServerのCn
およびsn
は、それぞれOracle Internet Directoryのcn
およびsn
にマップされます。
マッピング・ファイルの必須属性としてRDN属性以外のものを指定した場合、その変更は同期化されません。これは、tombstoneが有効な場合に、変更が削除として変更ログに表示されないIBM Tivoli Directory Serverの制限によります。
「マッピング・ルールのカスタマイズ」の指示に従い、属性マッピングをカスタマイズします。
削除を同期化する場合、IBM Tivoli Directory Serverでtombstoneが有効化されていないことを確認する必要があります。tombstoneが有効化されているかどうかを確認するには、次のコマンドを実行します。
ldapsearch -h connected_directory_host -p connected_directory_port \ -D binddn -q \ -b "cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configuration" -s base "objectclass=*" ibm-slapdTombstoneEnabled
注意: パスワードを要求されます。 |
このコマンドにより、すべての削除済エントリの情報が得られます。
関連項目: tombstoneの構成の詳細は、IBM Tivoli Directory Serverのドキュメントを参照してください。 |
Oracle Internet DirectoryおよびIBM Tivoli Directory Serverでは、同じ一連のパスワード・ハッシング技術をサポートしています。Oracle Internet DirectoryとIBM Tivoli Directory Server間でパスワードを同期化するには、両方のディレクトリに対してSSLサーバー認証モードが構成され、次のマッピング・ルールがマッピング・ファイルに存在する必要があります。
Userpassword: : :person:userpassword: :person
「SSLモードでの同期用サード・パーティ・ディレクトリ・コネクタの構成」の指示に従い、SSLモードでの同期用にIBM Tivoli Directory Serverを構成します。
IBM Tivoli Directory Server外部認証プラグインを構成するには、次の手順を実行します。
次の手順を実行して、Oracle Internet DirectoryにIBM Tivoli Directory Server用の外部認証プラグインのための構成エントリを追加します。
注意: IBM Tivoli Directory Server用の外部認証プラグインのための構成エントリで参照されるウォレットは、Oracle Walletです。したがって、ウォレットに対して証明書を追加および削除するには、Oracle Walletコマンドを使用します。JKSコマンドは、Oracle Directory Integration Platformが使用する証明書でのみ使用されます。 |
次のエントリをLDIFファイル(たとえば、input.ldif)にコピーします。
dn: cn=oidexplg_compare_tivoli,cn=plugin,cn=subconfigsubentry cn: oidexplg_compare_tivoli objectclass: orclPluginConfig objectclass: top orclpluginname: oidexplg orclplugintype: operational orclpluginkind: Java orclplugintiming: when orclpluginldapoperation: ldapcompare orclpluginsecuredflexfield;walletpwd: password orclpluginsecuredflexfield;walletpwd2: password orclpluginversion: 1.0.1 orclpluginisreplace: 1 orclpluginattributelist: userpassword orclpluginentryproperties: (!(&(objectclass=orclTDSobject)(objectclass=orcluserv2))) orclpluginflexfield;host2: host.domain.com orclpluginflexfield;port2: 636 orclpluginflexfield;isssl2: 1 orclpluginflexfield;host: host.domain.com orclpluginflexfield;walletloc2: /location/wallet orclpluginflexfield;port: 389 orclpluginflexfield;walletloc: /tmp orclpluginflexfield;isssl: 0 orclpluginflexfield;isfailover: 0 orclpluginclassreloadenabled: 0 orclpluginenable: 0 orclpluginsubscriberdnlist: cn=users,dc=us,dc=oracle,dc=com dn: cn=oidexplg_bind_tivoli,cn=plugin,cn=subconfigsubentry cn: oidexplg_bind_tivoli objectclass: orclPluginConfigobjectclass: top orclpluginname: oidexplg orclplugintype: operational orclpluginkind: Java orclplugintiming: when orclpluginldapoperation: ldapbind orclpluginversion: 1.0.1 orclpluginisreplace: 1 orclpluginentryproperties: (!(&(objectclass=orclTDSobject)(objectclass=orcluserv2))) orclpluginclassreloadenabled: 0 orclpluginflexfield;walletloc2: /location/wallet orclpluginflexfield;port: 389 orclpluginflexfield;walletloc: /tmp orclpluginflexfield;isssl: 0 orclpluginflexfield;isfailover: 0 orclpluginflexfield;host2: host.domain.com orclpluginflexfield;port2: 636 orclpluginflexfield;isssl2: 1 orclpluginflexfield;host: host.domain.com orclpluginenable: 0 orclpluginsecuredflexfield;walletpwd: password orclpluginsecuredflexfield;walletpwd2: password orclpluginsubscriberdnlist: cn=users,dc=us,dc=oracle,dc=com
次のようなコマンドを使用して、LDIFファイルのエントリをOracle Internet Directoryにコピーします。
ldapadd -h HOST -p PORT -D binddn -q -v -f input.ldif
注意: パスワードを要求されます。 |
「外部認証プラグインの構成」の手順を使用してプラグインを構成します。
構成後タスクおよび継続的な管理タスクの詳細は、第23章「サード・パーティ・ディレクトリとの統合の管理」を参照してください。