21 IBM Tivoli Directory Serverとの統合

この章では、Oracle Identity ManagementとIBM Tivoli Directory Serverを統合する手順について説明します。この項の内容は、次のとおりです。

IBM Tivoli Directory Serverの同期要件の確認
IBM Tivoli Directory Serverとの基本同期の構成
IBM Tivoli Directory Serverとの拡張統合の構成

注意:

この章を読む前に、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のOracle Internet Directoryの概念とアーキテクチャに関する章を理解しておく必要があります。また、このマニュアルのここまでの章、特に次の章を理解していることを前提としています。

IBM Tivoli Directory Serverとの統合のデモンストレーションを構成する場合は、Oracle Identity Management 11gリリース1(11.1.1)のOracle By Exampleシリーズを参照してください。Oracle Technology Network(http://www.oracle.com/technology/)で参照可能です。

21.1 IBM Tivoli Directory Serverの同期要件の確認

IBM Tivoli Directory Serverで基本同期または拡張同期を構成するには、「同期要件の確認」の指示に従い、使用する環境で必要な同期要件が満たされていることを確認してください。また、IBM Tivoli Directory Serverと統合する前に、次の手順を実行する必要があります。

インポート操作とエクスポート操作の実行に十分な権限を持つユーザー・アカウントをIBM Tivoli Directory Serverに作成する際に、tombstoneの読取りに十分な権限を必ず割り当てます。
IBM Tivoli Directory Serverで変更ログを有効にします。

21.2 IBM Tivoli Directory Serverとの基本同期の構成

expressSyncSetupコマンドを使用すると、Oracle Internet DirectoryとIBM Tivoli Directory Serverの同期を迅速に確立できます。expressSyncSetupコマンドでは、デフォルトの設定を使用してすべての必須構成を自動的に実行し、インポート用とエクスポート用の2つの同期プロファイルも作成します。expressSyncSetupコマンドを使用してIBM Tivoli Directory Serverと同期化するには、「expressSyncSetupを使用したインポートおよびエクスポートの同期プロファイルの作成」を参照してください。

21.3 IBM Tivoli Directory Serverとの拡張統合の構成

Oracle Directory Integration Platformをインストールすると、サポート対象のサード・パーティ・ディレクトリごとにインポートおよびエクスポートの同期プロファイルのサンプルが自動的に作成されます。IBM Tivoli Directory Server用に作成された同期プロファイルのサンプルは、次のとおりです。

TivoliImport: IBM Tivoli Directory ServerからOracle Internet Directoryに変更をインポートするためのプロファイル
TivoliExport: Oracle Internet DirectoryからIBM Tivoli Directory Serverに変更をエクスポートするためのプロファイル

expressSyncSetupコマンドを使用して、追加の同期プロファイルを作成することもできます。インストール・プロセス時またはexpressSyncSetupによって作成されたインポートおよびエクスポートの同期プロファイルは、Oracle Internet DirectoryとIBM Tivoli Directory Serverの統合をデプロイする際に使用する開始点としてのみ利用されます。デフォルトの同期プロファイルは事前定義の仮定を使用して作成されるため、次の手順を順序どおりに実行して、環境に合せてそれらをさらにカスタマイズする必要があります。

手順1: 統合の計画
手順2: レルムの構成
手順3: ACLのカスタマイズ
手順4: 属性マッピングのカスタマイズ
手順5: 削除を同期化するためのIBM Tivoli Directory Serverコネクタのカスタマイズ
手順6: パスワードの同期化
手順7: SSLモードでの同期
手順8: IBM Tivoli Directory Server外部認証プラグインの構成
手順9: 構成後タスクおよび管理タスクの実行

21.3.1 手順1: 統合の計画

第16章「サード・パーティ・ディレクトリ統合の概念と考慮事項」、特に「IBM Tivoli Directory Server統合の概念」を読んで、統合を計画します。「同期プロファイルの作成」の指示に従い、既存のIBM Tivoli Directory Serverテンプレート・プロファイルをコピーして、必ず新規のプロファイルを作成します。

21.3.2 手順2: レルムの構成

「レルムの構成」の指示に従い、レルムを構成します。

21.3.3 手順3: ACLのカスタマイズ

「Access制御リストのカスタマイズ」で説明されているように、ACLをカスタマイズします。

21.3.4 手順4: 属性マッピングのカスタマイズ

IBM Tivoli Directory Serverと統合する場合は、次の属性レベル・マッピングがすべてのオブジェクトに対して必須です。

targetdn: : :top:orclSourceObjectDN: :orclTDSObject:

例21-1 IBM Tivoli Directory Serverのユーザー・オブジェクト用の属性レベル・マッピング

Cn:1: :person: cn: :person:
sn: : :person: sn: :person:

例21-2 IBM Tivoli Directory Serverのグループ・オブジェクト用の属性レベル・マッピング

Cn:1: :groupofname: cn:groupofuniquenames

この例では、IBM Tivoli Directory ServerのCnおよびsnは、それぞれOracle Internet Directoryのcnおよびsnにマップされます。

マッピング・ファイルの必須属性としてRDN属性以外のものを指定した場合、その変更は同期化されません。これは、tombstoneが有効な場合に、変更が削除として変更ログに表示されないIBM Tivoli Directory Serverの制限によります。

「マッピング・ルールのカスタマイズ」の指示に従い、属性マッピングをカスタマイズします。

21.3.5 手順5: 削除を同期化するためのIBM Tivoli Directory Serverコネクタのカスタマイズ

削除を同期化する場合、IBM Tivoli Directory Serverでtombstoneが有効化されていないことを確認する必要があります。tombstoneが有効化されているかどうかを確認するには、次のコマンドを実行します。

ldapsearch -h connected_directory_host -p connected_directory_port \
-D binddn -q \
-b "cn=Directory, cn=RDBM Backends, cn=IBM 
Directory, cn=Schemas, cn=Configuration" -s base "objectclass=*" 
ibm-slapdTombstoneEnabled

注意:

パスワードを要求されます。

このコマンドにより、すべての削除済エントリの情報が得られます。

21.3.6 手順6: パスワードの同期化

Oracle Internet DirectoryおよびIBM Tivoli Directory Serverでは、同じ一連のパスワード・ハッシング技術をサポートしています。Oracle Internet DirectoryとIBM Tivoli Directory Server間でパスワードを同期化するには、両方のディレクトリに対してSSLサーバー認証モードが構成され、次のマッピング・ルールがマッピング・ファイルに存在する必要があります。

Userpassword: : :person:userpassword: :person

21.3.7 手順7: SSLモードでの同期

「SSLモードでの同期用サード・パーティ・ディレクトリ・コネクタの構成」の指示に従い、SSLモードでの同期用にIBM Tivoli Directory Serverを構成します。

21.3.8 手順8: IBM Tivoli Directory Server外部認証プラグインの構成

IBM Tivoli Directory Server外部認証プラグインを構成するには、次の手順を実行します。

次の手順を実行して、Oracle Internet DirectoryにIBM Tivoli Directory Server用の外部認証プラグインのための構成エントリを追加します。

注意:

IBM Tivoli Directory Server用の外部認証プラグインのための構成エントリで参照されるウォレットは、Oracle Walletです。したがって、ウォレットに対して証明書を追加および削除するには、Oracle Walletコマンドを使用します。JKSコマンドは、Oracle Directory Integration Platformが使用する証明書でのみ使用されます。

次のエントリをLDIFファイル(たとえば、input.ldif)にコピーします。

dn: cn=oidexplg_compare_tivoli,cn=plugin,cn=subconfigsubentry
cn: oidexplg_compare_tivoli
objectclass: orclPluginConfig
objectclass: top
orclpluginname: oidexplg
orclplugintype: operational
orclpluginkind: Java
orclplugintiming: when
orclpluginldapoperation: ldapcompare
orclpluginsecuredflexfield;walletpwd: password
orclpluginsecuredflexfield;walletpwd2: password
orclpluginversion: 1.0.1
orclpluginisreplace: 1
orclpluginattributelist: userpassword
orclpluginentryproperties: (!(&(objectclass=orclTDSobject)(objectclass=orcluserv2)))
orclpluginflexfield;host2: host.domain.com
orclpluginflexfield;port2: 636
orclpluginflexfield;isssl2: 1
orclpluginflexfield;host: host.domain.com
orclpluginflexfield;walletloc2: /location/wallet
orclpluginflexfield;port: 389
orclpluginflexfield;walletloc: /tmp
orclpluginflexfield;isssl: 0
orclpluginflexfield;isfailover: 0
orclpluginclassreloadenabled: 0
orclpluginenable: 0
orclpluginsubscriberdnlist: cn=users,dc=us,dc=oracle,dc=com
 
dn: cn=oidexplg_bind_tivoli,cn=plugin,cn=subconfigsubentry
cn: oidexplg_bind_tivoli
objectclass: orclPluginConfigobjectclass: top
orclpluginname: oidexplg
orclplugintype: operational
orclpluginkind: Java
orclplugintiming: when
orclpluginldapoperation: ldapbind
orclpluginversion: 1.0.1
orclpluginisreplace: 1
orclpluginentryproperties: (!(&(objectclass=orclTDSobject)(objectclass=orcluserv2)))
orclpluginclassreloadenabled: 0
orclpluginflexfield;walletloc2: /location/wallet
orclpluginflexfield;port: 389
orclpluginflexfield;walletloc: /tmp
orclpluginflexfield;isssl: 0
orclpluginflexfield;isfailover: 0
orclpluginflexfield;host2: host.domain.com
orclpluginflexfield;port2: 636
orclpluginflexfield;isssl2: 1
orclpluginflexfield;host: host.domain.com
orclpluginenable: 0
orclpluginsecuredflexfield;walletpwd: password
orclpluginsecuredflexfield;walletpwd2: password
orclpluginsubscriberdnlist:
cn=users,dc=us,dc=oracle,dc=com

次のようなコマンドを使用して、LDIFファイルのエントリをOracle Internet Directoryにコピーします。
```
ldapadd -h HOST -p PORT -D binddn -q -v -f input.ldif
```
注意:
パスワードを要求されます。

「外部認証プラグインの構成」の手順を使用してプラグインを構成します。

21.3.9 手順9: 構成後タスクおよび管理タスクの実行

構成後タスクおよび継続的な管理タスクの詳細は、第23章「サード・パーティ・ディレクトリとの統合の管理」を参照してください。