| Oracle® Fusion Middleware Oracle Internet Directory管理者ガイド 11g リリース1(11.1.1) B55919-03 |
|
 前 |
 次 |
この章の項目は次のとおりです。
この章では、アカウントおよびパスワードに関する管理タスクについて説明します。
|
注意: この章で言及するセルフサービス・コンソールはすべて、Oracle Delegated Administration Services 10g(10.1.4.3.0)以上に含まれるコンソールのことであり、このコンソールはOracle Internet Directory 11g リリース1(11.1.1)と互換性があります。詳細は、10g(10.1.4.0.1)ライブラリの『Oracle Identity Management委任管理ガイド』を参照してください。 |
コマンドライン・ツールまたはセルフサービス・コンソールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。セキュリティ管理者グループのメンバーの場合、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
コマンドライン・ツールを使用して、ユーザーが初めてログインする場合、ユーザーに対してパスワードの変更を強制できます。
パスワードを忘れた場合や、アカウントがロックアウトされた場合は、パスワードを再設定できます。これは、セルフサービス・コンソールを使用して実行できます。この場合、パスワード検証属性セットに値を入力して、サーバーに対して本人確認を行う必要があります。この操作は、以前回答を指定したパスワードのヒントの質問に答えるという形をとります。
スーパーユーザーは、ディレクトリ情報への完全なアクセス権限を持つ特別なディレクトリ管理者です。スーパーユーザーのデフォルトのユーザー名はorcladminです。パスワードはインストール時に管理者によって設定されます。
|
注意: このパスワードは、インストール後にすぐに変更することをお薦めします。 |
Oracle Enterprise Managerまたはldapmodifyのどちらかを使用して、スーパーユーザーのパスワードを管理できます。
もう1つの特権アカウントはadministrator("cn=emd admin,cn=oracle internet directory")です。このアカウントは、Oracle Internet Directoryサーバーの管理機能情報の収集を開始および停止するために使用されます。Oracle Enterprise Manager Fusion Middleware ControlでOracle Internet Directoryの構成を変更する場合にも使用されます。これらの変更はセキュアな接続を介して行われます。
このアカウントのパスワードを変更する唯一の方法は、第12.10項「EMD管理者アカウントのパスワードの変更」で説明されている手順を使用する方法です。oidpasswdツールでは、このパスワードの変更はサポートされていません。
この項の項目は次のとおりです。
コマンドライン・ツールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。
アカウントを永続的に無効にするには、orclisenabled属性をDISABLEDに設定します。この属性に他の値を設定すると、アカウントは有効になります。
アカウントを無効にした後、有効にするには、この属性をエントリから削除します。
特定の期間、アカウントを有効にするには、ユーザー・エントリ内のorclActiveStartDateおよびorclActiveEndDate属性を、UTC(協定世界時)書式による適切な値に設定します。たとえば、次のようなコマンドラインを使用できます。
ldapmodify -p port -h host -D cn=orcladmin -q -v -f my.ldif
この場合、my.ldifには次が含まれます。
dn:cn=John Doe,cn=users,o=my_company,dc=com orclactivestartdate:20030101000000z orclactiveenddate: 20031231000000z
この例で、John Doeは、2003年1月1日から2003年12月31日までの期間ログインできます。2003年1月1日より前、または2003年12月31日より後はログインできません。これらの日付にはさまれた期間について彼のアカウントを無効にする場合は、orclisenabled属性をDISABLEDに設定します。
セキュリティ管理者グループのメンバーの場合、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
アカウントのロックを解除するには、orclpwdaccountunlock属性を1に設定します。
次の例では、John Doeというユーザーのアカウントのロックを解除します。
ldapmodify -p port -h host -D cn=orcladmin -q -v -f file.ldif
dn: cn=John Doe,cn=users,o=my_company,dc=com changetype: modify add: orclpwdaccountunlock orclpwdaccountunlock: 1
ユーザーが初めてログインする場合、ユーザーに対してパスワードの変更を強制できます。これを行うには、pwdpolicyエントリ内のpwdMustChange属性を1に設定し、パスワードを再設定します。この場合、ユーザーがログインしてパスワードを変更できるように、ユーザーに新しいパスワードを明示的に通知する必要があります。
|
関連項目:
|
管理者にとって、Oracle Directory Services Managerはユーザーおよびパスワードを管理するための主要なツールです。
Oracle Identity Managerを使用して、Oracle Internet Directory 11g リリース1(11.1.1)に対するユーザーおよびアカウントのプロビジョニングを集中管理することもできます。エンド・ユーザー・セルフサービスにとって、Oracle Identity Managerは推奨されるソリューションです。Oracle Identity Managerドキュメントは、次のOracle Technology Networkで入手できます。
http://www.oracle.com/technology/documentation/oim.html
Oracle Delegated Administration Servicesがすでに自分の環境に存在する顧客は、Oracle Internet Directory 11g リリース1(11.1.1)でのエンド・ユーザー・セルフサービスに使用できます。ただし、10gはOracle Delegated Administration Servicesのターミナル・リリースであり、そのコンポーネントは11g以上のリリースでは非推奨となっています。
この項の項目は次のとおりです。
第12.3.1項「Oracle Internet Directoryセルフサービス・コンソールを使用したアカウントの有効化と無効化」
第12.3.2項「Oracle Internet Directoryセルフサービス・コンソールを使用したアカウントのロック解除」
第12.3.3項「Oracle Internet Directoryセルフサービス・コンソールを使用したパスワードの再設定」
Oracle Internet Directoryセルフサービス・コンソールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。
|
関連項目: Oracle Internet Directoryセルフサービス・コンソールを使用してアカウントを有効化および無効化する手順は、10g(10.1.4.0.1)ライブラリの『Oracle Identity Management委任管理ガイド』のアカウントの管理に関する説明を参照してください。 |
セキュリティ管理者グループのメンバーの場合、アカウントがロックされると、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
|
関連項目: Oracle Internet Directoryセルフサービス・コンソールを使用してアカウントのロックを解除する手順は、10g(10.1.4.0.1)ライブラリの『Oracle Identity Management委任管理ガイド』のアカウントの管理に関する説明を参照してください。 |
パスワードを忘れた場合や、アカウントがロックアウトされた場合は、パスワードを再設定できます。この場合、パスワード検証属性セットに値を入力して、サーバーに対して本人確認を行う必要があります。この操作は、以前回答を指定したパスワードのヒントの質問に答えるという形をとります。
|
関連項目: Oracle Internet Directoryセルフサービス・コンソールを使用してパスワードを再設定する手順は、10g(10.1.4.0.1)ライブラリの『Oracle Identity Management委任管理ガイド』のパスワードを忘れた場合の再設定に関する説明を参照してください。 |
Oracle Directory Services Managerを使用して、ロックされたアカウントをリストしたりロック解除することができます。
第7.4.5項「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動します。
タスク選択バーで、「データ・ブラウザ」を選択します。
第13.2.2項「Oracle Directory Services Managerを使用したエントリの検索」の説明に従い、検索文字列(pwdaccountlockedtime=*)を使用して簡易検索を実行します。ロックされたアカウントを含むエントリのリストが表示されます。
ロック解除するアカウントを含むエントリを選択します。
アカウントがロックされている場合、「適用」ボタンおよび「元に戻す」ボタンの前に、「アカウントのロックを解除」が表示されます。「アカウントのロックを解除」をクリックします。
Oracle Enterprise Manager Fusion Middleware Controlを使用してスーパーユーザーのパスワードを変更する手順は、次のとおりです。
「Oracle Internet Directory」メニューから「管理」を選択し、「共有プロパティ」を選択します。
「スーパーユーザー・パスワードの変更」タブをクリックします。
古いパスワードを指定します。
新しいパスワードを指定します。
新しいパスワードを確認します。
「適用」をクリックします。
構成属性orclsupasswordはDSEルートの属性です。
スーパーユーザーcn=orcladminは、複数の権限グループ内のメンバーシップから権限を取得します。これらのグループを問い合せるには、次のldapsearchコマンドを使用します。
ldapsearch -h host -p port -D "cn=orcladmin" -q -b "" -L \ -s sub "(|(uniquemember=cn=orcladmin)(member=cn=orcladmin)" dn
スーパーユーザー権限を持つ2つ目のアカウントを作成するには、同じグループに属する別のユーザー・エントリを作成します。さらに、グループcn=directoryadmingroup,cn=oracle internet directoryのメンバーとして、そのユーザーを追加します。
スーパーユーザー権限を持つ追加のユーザーを作成した後は、Oracle Internet Directoryの管理にcn=orcladminを使用する必要はありません。権限を持つアカウントがあれば十分です。ただし、属性orclsunameには値cn=orcladminを設定する必要があります。
スーパーユーザーの名前は変更しないでください。orclsunameの値はcn=orcladminのまま維持する必要があります。
スーパーユーザーのパスワードを設定または変更するには、ldapmodifyを使用して、DSEルートの属性orclsunameまたはorclsupasswordをそれぞれ変更します。スーパーユーザーのユーザー名の変更は非常に影響が大きく、お薦めしません。
スーパーユーザーのパスワードをsuperuserpasswordに変更するには、次のように記述したLDIFファイルを使用します。
dn: changetype:modify replace:orclsupassword orclsupassword:superuserpassword
|
関連項目: ldapmodifyの構文と使用方法は、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』のldapmodifyコマンドライン・ツールのリファレンスを参照してください。 |
Oracle Internet Directoryは、独自に指定されたOracleデータベースへの接続時にパスワードを使用します。Oracle Internet Directoryインストール時のこのパスワードのデフォルトは、Oracle Fusion Middleware管理者のパスワードと同じです。oidpasswdを使用して、このパスワードを変更できます。
次の例は、データベースは同じマシン上にあるものと仮定した場合の、Oracle Internet Directoryデータベースのパスワードの変更方法を示しています。
oidpasswd connect=dbs1 change_oiddb_pwd=true current password: oldpassword new password: newpassword confirm password: newpassword password set.
|
関連項目: 『Oracle Fusion Middleware Oracle Identity Managementリファレンス』のoidpasswdコマンドライン・ツールのリファレンス |
|
注意: ここで説明したアカウントは、サーバー管理機能情報へのアクセスに使用されるODSSMアカウントとは異なります。このアカウントは、第24.1.4項「サーバー管理機能情報にアクセスするために使用されるアカウント」で説明されています。このアカウントの変更方法は、第12.11項「ODSSM管理者アカウントのパスワードの変更」を参照してください。 |
Oracle Internet Directoryスーパーユーザー(cn=orcladmin)のパスワードを忘れた場合は、oidpasswdツールを使用してパスワードを再設定できます。Oracle Internet Directoryデータベースのパスワードを指定する必要があります。Oracle Internet Directoryを初めてインストールする場合、スーパーユーザーのパスワードとOracle Internet Directoryデータベースのパスワードは同じです。ただし、インストール後は、ldapmodifyを使用してOracle Internet Directoryスーパーユーザーのパスワードを変更できます。Oracle Internet Directoryスーパーユーザーのパスワードを忘れた場合は、oidpasswdツールを使用してパスワードを再設定できます。
次の例は、Oracle Internet Directoryスーパーユーザーのパスワードを再設定する方法を示しています。oidpasswdツールは、Oracle Internet Directoryデータベースのパスワードを要求します。
例:
oidpasswd connect=dbs1 reset_su_password=true
OID DB user password: oid_db_password
password: new_su_password
confirm password: new_su_password
OID superuser password reset successfully
EMD管理者アカウント(cn=emd admin,cn=oracle internet directory)の特権は非常に制限されており、主に、Oracle Internet Directoryサーバーの管理機能情報の収集を開始および停止するために使用されます。
EMD管理者のパスワードを変更するには、Oracle Internet Directoryでこのパスワードを変更してから、WebLogicドメインのサーバーとドメイン内の各Oracleインスタンスの両方でこのパスワードを変更する必要があります。次の手順に従ってください。
ldapmodifyを使用して、Oracle Internet Directoryのアカウントcn=emd admin,cn=oracle internet directoryのuserpasswordを変更します。
wlstを起動してWebLogicサーバーに接続します。
java weblogic.WLST
connect('weblogic', 'weblogic_user_password', 'protocol:host:port')
次のWLSTコマンドを実行します。
upupdateCred(map='emd',keu='EMD_instance_name', password='newpassword',user='EMD')
WebLogicドメインの各Oracleインスタンスで、次のコマンドラインを実行します。
ORACLE_HOME/ldap/bin/oidcred emd update [instanceName]
第8.3.4項「opmnctlを使用したOracleインスタンスのコンポーネント登録の更新」に記載のとおり、Oracleインスタンスのコンポーネント登録を更新します。
Oracle Internet Directoryは、スキーマの作成時にODSスキーマに対して指定されたパスワードを使用してOracle Databaseに接続します。また、メトリックを取得するためにも、同様にスキーマの作成時に指定されたODSSMスキーマ・パスワードを使用して接続します。インストール終了時のOracle Enterprise Manager Fusion Middleware ControlのデフォルトのパスワードはODSSMパスワードと同じです。
ODSSM管理者のパスワードを変更するには、Oracle Databaseでこのパスワードを変更してから、WebLogicドメインのサーバーとドメイン内の各Oracleインスタンスの両方でこのパスワードを変更する必要があります。次の手順に従ってください。
SQLPlusまたは同様のツールを使用して、データベースでパスワードを変更します。
ORACLE_HOME/common/binに移動して、次のコマンドを実行します。
sh wlst.sh
WebLogic管理サーバーに接続します。
connect('weblogic_username','pwd', 't3://host:port')
次のupdateCred()コマンドを実行します。
updateCred(map='odssm', key='ODSSM_instance_name', password='newpassword', user='ODSSM')
ここで、instance_nameはインストール時に指定されたインスタンス名(asinst_1など)です。
WebLogicドメインの各Oracleインスタンスで、次のコマンドラインを実行します。
ORACLE_HOME/ldap/bin/oidcred odssm update [instance_name]
第8.3.4項「opmnctlを使用したOracleインスタンスのコンポーネント登録の更新」に記載のとおり、Oracleインスタンスのコンポーネント登録を更新します。
Oracle Directory Integration Platformがインスタンス内にも構成されている場合、この新しいODSSMパスワードを1つの追加の場所で更新する必要があります。次のようにします。
WebLogic管理コンソール(http://host:port/console)にログインします。
「データ・ソース」->「schedulerDS」->「接続プール」を選択します。
画面の左上隅の「ロックして編集」をクリックします。
「パスワード」フィールドおよび「パスワードの確認」フィールドに、新しいパスワードを入力します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
