ディレクトリ・サーバー・チェーンは、10g(10.1.4.0.1)で導入されたOracle Internet Directoryの新機能です。これは新しいJavaプラグイン・フレームワークを使用して実装されました。
この章の項目は次のとおりです。
注意: この章で言及するOracle Single Sign-Onはすべて、Oracle Single Sign-On 10g(10.1.4.3.0)以上のことです。 |
サーバー・チェーンを使用すると、サード・パーティのLDAPディレクトリにあるエントリを、ディレクトリ・ツリーの一部にマップし、同期やデータの移行なしに、Oracle Internet Directoryを介してアクセスできます。サーバー・チェーンにより、アイデンティティ・データがOracle Internet Directoryの外部にある場合も、Oracle Internet Directoryの認可フレームワークを使用できます。サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとの組合せでのみ動作保証されています。他のOracleアプリケーションは、サーバー・チェーンと組み合せて使用できません。
サーバー・チェーンは、Oracle Directory Integration Platformにかわるものではありません。実際には、Oracle Directory Integration Platformに補完的な機能を提供します。
サーバー・チェーンは、仮想ディレクトリとは異なります。Oracle Virtual Directoryなどの仮想ディレクトリは、複数のアイデンティティ・リポジトリとアプリケーション間の柔軟な仮想レイヤーです。これにより、アイデンティティ同期およびディレクトリ・サーバーに補完的なサービスが提供されます。組織では、仮想ディレクトリを使用して、複数のディレクトリおよびデータベースにわたる可能性があるデータの統合されたビュー、論理ビューまたは仮想ビューを作成できます。
サーバー・チェーンは、より単純で柔軟なソリューションで、Oracle Internet Directoryサーバーに埋め込まれており、エンタープライズ・ユーザー・セキュリティ・カスタマに特に適しています。また、簡単に管理およびアップグレードできます。さらに、Oracle Internet Directoryの認可フレームワークが追加の構成手順なしで提供されます。
11g リリース1(11.1.1)では、SSLを使用するようにサーバー・チェーンを構成できます。
Oracle Internet Directoryサーバー・チェーンは、次の外部サーバーをサポートします。
Oracle Internet Directoryの実装では、1つのActive Directoryサーバー、1つのSun Java System Directory Server、1つのNovell eDirectory、またはこれらの3つすべてと接続できます。
注意: Oracle Internet Directoryサーバー・チェーンではActive Directory Lightweight Directory Service(AD LDS、以前のADAM)はサポートされません。 |
次の製品が、Oracle Internet Directoryサーバー・チェーンに統合されました。
Oracle Single Sign-On 10g(10.1.4.3.0)以上
エンタープライズ・ユーザー・セキュリティ
サーバー・チェーンが有効な場合、外部ディレクトリのユーザーは、Oracle Internet Directory内(外部リポジトリではなく)でローカルに認証された場合と同様にOracle Single Sign-Onを介してログインできます。
Oracle Internet Directoryサーバー・チェーンにより、アイデンティティ・データをOracle Internet Directoryと同期させることなく、Oracle Directory Integration Platformを介してエンタプライズ・ユーザー・セキュリティを実装できます。アイデンティティ・データは外部リポジトリに置かれたままで、Oracle Internet Directoryのデータ・ストアにはエンタプライズ・ユーザー・セキュリティ関連のメタデータのみが格納されます。
Sun Java System Directory Serverが外部ディレクトリの場合、サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとのパスワードベースの認証をサポートします。詳細は、http://metalink.oracle.comのMy Oracle Support(以前のMetaLink)でNote 802927.1を参照してください。
Active Directoryが外部ディレクトリの場合、サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとのKerberosベースの認証およびパスワードベースの認証をサポートします。外部ユーザーは、エンタープライズ・ユーザー・セキュリティの認証設定が完了すると、Oracle Databaseにログインできます。詳細は、http://metalink.oracle.comにあるMy Oracle Support(以前のMetaLink)のNote 452385.1に基づいた第37.5項「パスワード変更通知のActive Directoryプラグインの構成」を参照してください。
関連項目: エンタープライズ・ユーザー・セキュリティのパスワード認証およびKerberos認証用の構成の詳細は、『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照してください。 |
バインド
比較
変更
検索
比較、変更および検索操作は、構成パラメータの設定により有効または無効にできます。
Oracle Internet Directoryクライアント・アプリケーションからLDAP検索リクエストが発行されると、Oracle Internet Directoryは自身のデータと外部ディレクトリからの検索結果を統合します。
Oracle Internet Directoryクライアント・アプリケーションからLDAPバインド、比較または変更リクエストが発行されると、Oracle Internet Directoryはリクエストを外部ディレクトリにリダイレクトします。
10g(10.1.4.0.1)以上では、比較操作はuserpassword
属性でのみサポートされています。
10g(10.1.4.0.1)以上では、次の2つの場合に属性変更がサポートされます。
外部属性は、Oracle Internet Directory属性と同じ名前を持っています。これは大部分のLDAP属性についても当てはまります。
外部属性はOracle Internet Directory属性にマップされ、外部属性とOracle Internet Directory属性のどちらも操作属性ではありません。
注意: Active Directoryユーザー・パスワードは、Oracle Internet Directoryからサーバー・チェーンを介して変更できません。 |
Oracle Internet Directoryには、サーバー・チェーンの無効のサンプル・エントリが付属しています。
Active Directoryの場合、サーバー・チェーン・エントリの識別名は次のようになります。
cn=oidscad,cn=OID Server Chaining,cn=subconfigsubentry
Oracle Directory Server Enterprise EditionおよびSun Java System Directory Serverの場合、エントリ識別名は次のようになります。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry
Novell eDirectoryの場合、エントリ識別名は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry
これらのエントリを自分の環境に合うようにカスタマイズし、それらを有効にすることで、サーバー・チェーンを構成します。これは、コマンドラインから実行することも、Oracle Directory Managerを使用して実行することもできます。
この項の内容は次のとおりです。
Oracle Directory Services Managerには、Oracle Internet Directoryサーバー・チェーン構成エントリの変更に便利なインタフェースが備わっています。Oracle Directory Services Managerを使用してサーバー・チェーンを構成するには、次の手順を実行します。
第7.4.5項「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。
タスク選択バーで、「拡張」を選択します。
「サーバー・チェーン」を展開します。左側のパネルにサーバー・チェーンのエントリが表示されます。現在のエントリにiPlanet(Oracle Directory Server Enterprise EditionおよびSun Java System Directory Server)とActive Directoryが含まれています。
サーバー・チェーン構成エントリを変更するには、そのエントリを選択します。右側のペインに「サーバー・チェーン管理」タブが表示されます。
必要に応じて「外部ホスト名」、「外部ポート番号」、「ログイン・ユーザーDN」および「ログイン・ユーザー・パスワード」を変更します。
サーバー・チェーンの認証、変更または検索を有効にするには、対応するチェック・ボックスを選択します。
必要に応じて他のフィールドを変更します。
外部ユーザー・コンテナ、グループ・コンテナまたはログイン資格証明の変更後、それぞれ「ユーザー・コンテナの検証」、「グループ・コンテナの検証」または「ログイン資格証明の検証」 をクリックして値を検証します。
検証に失敗した場合、入力した値に誤りがないか確認します。問題が解消されない場合、外部ディレクトリ管理者に連絡し、入力した値が正しいかどうかを確認します。
属性マッピングを追加する場合は、「属性マッピング」の下の「属性マッピングをリストに追加」アイコンをクリックします。既存のマッピングを編集するには、マッピングを選択して「属性マッピング」の下の「属性マッピングの編集」アイコンをクリックします。新規属性マッピング・ウィンドウが表示されます。「外部ディレクトリ属性」および「OID属性」を入力します。参照によってOracle Internet Directory属性を特定するには、「選択」をクリックして属性の選択ウィンドウで属性を選択します。
「OK」をクリックしてマッピングを作成するか、「取消」をクリックして破棄します。
マッピングを削除するには、マッピングを選択して「選択した属性マッピングの削除」アイコンをクリックします。削除の確認ダイアログが表示されたら、「削除」をクリックしてマッピングを削除するか、「取消」削除を取り止めます。
「OK」をクリックして構成の変更を有効にするか、「取消」をクリックして変更を破棄します。
コマンドラインからサーバー・チェーンを構成するには、次の手順を実行します。
LDIFファイルを作成して、手動でユーザーおよびグループのコンテナを追加します。これらのコンテナの識別名を判断するには、第37.3.2項「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。たとえば、ユーザー検索ベースがcn=users,dc=us,dc=oracle,dc=com
、グループ検索ベースがcn=groups,dc=us,dc=oracle,dc=com
の場合、LDIFファイルで次のエントリを使用します。
dn: cn=AD,cn=users,dc=us,dc=oracle,dc=com cn: AD objectclass: orclcontainer objectclass: top dn: cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com cn: iPlanet objectclass: orclcontainer objectclass: top dn: cn=AD,cn=groups,dc=us,dc=oracle,dc=com cn: AD objectclass: orclcontainer objectclass: top dn: cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com cn: iPlanet objectclass: orclcontainer objectclass: top
ldapadd
と、エントリを追加するために作成したLDIFファイルを使用します。
ldapadd -p port -h host -D "binddn" -q -v -f container_ldif_file_name
もう1つのLDIFファイルを作成し、サーバー・チェーン構成エントリを変更し、有効にします。LDIFファイルの例は、第37.3.4項「Active Directoryの例」および第37.3.7項「Oracle Directory Server Enterprise EditionおよびSun Java System Directory Server(iPlanet)の例」を参照してください。属性の表は、第37.3項「サーバー・チェーン構成エントリの作成」を参照してください。属性のマッピングは、第37.3.3項「属性マッピング」を参照してください。
ldapmodify
コマンドと作成したLDIFファイルを使用してサーバー・チェーン構成エントリを変更します。次の形式のコマンドラインを使用します。
ldapmodify -D "cn=orcladmin" -q -p port -h host -D "binddn" \ -v -f entry_ldif_file_name
この項の内容は次のとおりです。
表37-1は、サーバー・チェーンの構成エントリ属性を示しています。
表37-1 サーバー・チェーンの構成エントリ属性
属性 | 必須 | 説明 |
---|---|---|
|
◎ |
外部ディレクトリ・ホストのホスト名。これは単一値属性です。 |
|
◎ |
外部ディレクトリ・ホストのポート番号。これは単一値属性です。デフォルト値は3060です。 |
|
◎ |
外部ディレクトリの識別名。サーバー・チェーンは、検索および変更操作を実行するために、このアイデンティティを使用して、外部ディレクトリに対してバインドされます。このアイデンティティには、操作を実行するために十分な権限が必要です。これは単一値属性です。 |
|
◎ |
外部ディレクトリの識別名のパスワード。これは単一値属性です。ユーザーがこの属性をクリアテキストで取得できないようにするため、必ずプライバシ・モードを有効にします。第27.7項「受信した機密の属性のプライバシの構成」を参照してください。 |
|
◎ |
ユーザー検索操作を実行する外部ディレクトリ内のユーザー・コンテナ。これは単一値属性です。 |
|
◎ |
グループ検索操作を実行する外部ディレクトリ内のグループ・コンテナ。これは単一値属性です。 外部ユーザー・コンテナと外部グループ・コンテナが同じ場合、この属性はオプションです。この場合、グループ検索操作は、外部ユーザー・コンテナで実行されます。 |
|
◎ |
外部ユーザーが存在するOracle Internet Directory内のユーザー・コンテナ。詳細は、第37.3.2項「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。 |
|
◎ |
外部グループが存在するOracle Internet Directory内のグループ・コンテナ。詳細は、第37.3.2項「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。 |
|
× |
外部ディレクトリとOracle Internet Directory間の各属性マッピングを指定します。たとえば、
詳細は、第37.3.3項「属性マッピング」を参照してください。 |
|
◎ |
外部検索機能です。 |
|
◎ |
外部変更機能です。 |
|
◎ |
外部認証機能です。 |
|
× |
外部ディレクトリへのSSL接続です。0 =無効化(デフォルト)、1 =有効化です。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
× |
外部ディレクトリ・ホストのSSLポート番号。これは単一値属性です。 |
|
× |
外部ディレクトリのサーバー証明書が格納されているウォレットのファイル名とパス。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
× |
ウォレット・パスワード。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
× |
OID属性uidのActive Directoryの属性へのマッピングを指定します。uidは、Active Directoryに定義されている任意の非バイナリ属性にマップできます。デフォルト値はnameです。これは単一値属性です。 |
|
× |
グループ・コンテナに対する検索において、baseの場合、オブジェクト・クラス・グループとともにエントリを表示し(デフォルト)、subの場合、オブジェクト・クラスuserおよびcomputerなしでエントリを表示します。これは単一値属性です。Active Directoryでのみ適用可能です。 |
|
× |
ユーザー・コンテナの1レベル下にあるエントリをベースとして使用した1レベル検索において、baseの場合、いずれのエントリも表示せず(デフォルト)、subの場合、検索のベースの下位にあるサブツリーのエントリを表示します。これは単一値属性です。Active Directoryでのみ適用可能です。 |
|
× |
オブジェクト・クラス・ユーザーを持つエントリにorcluserv2オブジェクト・クラスを追加します。0 =無効化(デフォルト)、1 =有効化です。これは単一値属性です。Active Directoryでのみ適用可能です。 |
ターゲットのユーザー・コンテナおよびグループ・コンテナは、Oracle Single Sign-Onと連携させるために、Oracle Internet Directory検索ベースの下に置く必要があります。Active Directoryにはcn=AD
、Oracle Directory Server Enterprise EditionまたはSun Java System Directory Server(iPlanet)にはcn=iPlanet
というコンテナ名を使用します。たとえば、ユーザー検索ベースが次の場合について考えます。
cn=users,dc=us,dc=oracle,dc=com
次を使用します
cn=AD,cn=users,dc=us,dc=oracle,dc=com
これは、Active Directory用のターゲット・ユーザー・コンテナとして、または、
cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com
これは、Sun Java System Directory Serverグループ用のターゲット・ユーザー・コンテナとして。同様にグループ検索ベースの場合について考えます。
cn=groups,dc=us,dc=oracle,dc=com
次を使用します
cn=AD,cn=groups,dc=us,dc=oracle,dc=com
これは、Active Directory用のターゲット・コンテナとして、または、
cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com
Oracle Directory Server Enterprise EditionまたはSun Java System Directory Serverグループのターゲット・コンテナとして。
ターゲットのユーザー・コンテナおよびグループ・コンテナは、外部ディレクトリ専用のものです。これらのノードの下に表示されるユーザーおよびグループはすべて、外部ディレクトリによりデータが移入されます。これらのコンテナの下に、Oracle Internet Directoryから直接エントリを追加しないでください。
外部ディレクトリの属性とOracle Internet Directory属性が同じ場合、マッピングは不要です。サーバー・チェーンは、デフォルトでいくつかの属性マッピングを実行します。デフォルト・マッピングのリストは次のとおりです。
表37-2 Active Directoryに対するデフォルトの属性マッピング
Oracle Internet Directory属性 | Active Directory属性 |
---|---|
|
|
|
|
|
|
|
|
Active Directoryサーバー・チェーンの場合、mapUIDtoADAttribute属性を使用して、Active Directoryに定義されている任意の非バイナリ属性にuid
をマップできます。
表37-3 Sun Java System Directory Serverに対するデフォルトの属性マッピング
Oracle Internet Directory属性 | Sun Java System Directory Server属性 |
---|---|
|
|
|
|
|
|
表37-4 Novell eDirectoryに対するデフォルトの属性マッピング
Oracle Internet Directory属性 | Novell eDirectory属性 |
---|---|
|
|
|
|
|
|
次のオブジェクトはマップできません。
操作属性
オブジェクト・クラス
Oracle Internet Directory固有の属性。これらの属性には通常、orcl
で始まる名前が付いています。
次の例は、Active Directoryサーバーdlin-pc9.us.example.com
、ポート3060
を、外部ディレクトリ・ストアとして使用するよう構成されたサーバー・チェーンを示しています。SSL機能は有効になっています。属性はすべて、表37-1で説明しています。
cn=oidscad,cn=OID Server Chaining,cn= subconfigsubentry orclOIDSCExtHost: dlin-pc9.us.example.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=administrator,cn=users,dc=oidvd,dc=com orclOIDSCExtPassword: ******* orclOIDSCExtUserContainer: cn=users,dc=oidvd,dc=com orclOIDSCTargetUserContainer: cn=AD,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=AD,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCAttrMapping;description: title orcloidscsslenabled: 0
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry
changetype: modify
replace: orcloidscextdn
orcloidscextdn: cn=administrator,cn=users,dc=oidvd,dc=com
-
replace: orcloidscextpassword
orcloidscextpassword: password
-
replace: orcloidscexthost
orcloidscexthost: dlin-pc9.us.example.com
-
replace: orcloidscextport
orcloidscextport: 3060
-
replace: orcloidsctargetusercontainer
orcloidsctargetusercontainer: cn=AD,cn=users,dc=us,dc=oracle,dc=com
-
replace: orcloidsctargetgroupcontainer
orcloidsctargetgroupcontainer: cn=AD,cn=groups,dc=us,dc=oracle,dc=com
-
replace: orcloidscextusercontainer
orcloidscextusercontainer: cn=users,dc=dlin,dc=net
-
replace: orcloidscextgroupcontainer
orcloidscextgroupcontainer: cn=users,dc=dlin,dc=net
-
replace: orcloidscextsearchenabled
orcloidscextsearchenabled: 1
-
replace: orcloidscextmodifyenabled
orcloidscextmodifyenabled: 1
-
replace: orcloidscextauthenabled
orcloidscextauthenabled: 1
-
replace: orcloidscsslenabled
orcloidscsslenabled:1
次の例は、Active Directoryサーバーad.example.com、SSLポート3133、および/adwallet/ewallet.p12
にあるウォレットを使用するよう構成されたサーバー・チェーンを示しています。
cn=oidscad,cn=OID Server Chaining,cn= subconfigsubentry orclOIDSCExtHost: ad.example.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=administrator,cn=users,dc=oidvd,dc=com orclOIDSCExtPassword: ******* orclOIDSCExtUserContainer: cn=users,dc=oidvd,dc=com orclOIDSCTargetUserContainer: cn=AD,cn=users,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=AD,cn=groups,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 3133 orclOIDSCWalletLocation: /adwallet/ewallet.p12 orclOIDSCWalletPassword: ********
コマンドラインからSSLを使用してサーバー・チェーンを構成するには、次の手順を実行します。
前の項に示すように、SSLなしでActive Directoryサーバー・チェーンを構成します。
次のようなLDIFファイルを作成し、外部ディレクトリへのSSL接続を有効にします。orcloidscextsslport
、orcloidscwalletlocation
およびorcloidscwalletpassword
の値を、実際のActive Directoryサーバーの値と一致する値に置き換えます。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscsslenabled orcloidscsslenabled:1 - replace: orcloidscextsslport orcloidscextsslport: 3133 - replace: orcloidscwalletlocation orcloidscwalletlocation: /adwallet/ewallet.p12 - replace: orcloidscwalletpassword orcloidscwalletpassword: passw0rd
変更を適用するには、次のようなコマンドラインを使用します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
属性mapUIDtoADAttribute
、showExternalGroupEntries
、showExternalUserEntries
およびaddOrcluserv2ToADUsers
は、Oracle Internet Directory 10g(10.1.4.0.1)から追加されています。これらの属性を既存のActive Directoryサーバー・チェーン・エントリに追加するには、適切な値を使用して次のLDIFファイルを変更します。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: mapUIDtoADAttribute mapUIDtoADAttribute: name - replace: showExternalGroupEntries showExternalGroupEntries: base - replace: showExternalUserEntries showExternalUserEntries: base - replace: addOrcluserv2ToADUsers addOrcluserv2ToADUsers: 0
次の形式のコマンドラインを使用します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
構成エントリが変更されます。
次の例は、Sun Java System Directory Server dlin-pc10.us.example.com
、ポート103060
を、外部ディレクトリ・ストアとして使用するよう構成されたサーバー・チェーンを示しています。属性はすべて、表37-1で説明しています。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: dlin-pc10.us.example.com orclOIDSCExtPort: 10389 orclOIDSCExtDN: cn=directory manager orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=people,dc=example,dc=com orclOIDSCExtGroupContainer: ou=groups,dc=example,dc=com orclOIDSCTargetUserContainer: cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled:0
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
dn: cn=oidsciplanet,cn=oid server chaining,cn=subconfigsubentry
changetype: modify
replace: orcloidscextdn
orcloidscextdn: cn=directory manager
-
replace: orcloidscextpassword
orcloidscextpassword: password
-
replace: orcloidscexthost
orcloidscexthost: dlin-pc10.us.example.com
-
replace: orcloidscextport
orcloidscextport: 10389
-
replace: orcloidsctargetusercontainer
orcloidsctargetusercontainer: cn=iplanet,cn=users,dc=us,dc=oracle,dc=com
-
replace: orcloidsctargetgroupcontainer
orcloidsctargetgroupcontainer: cn=iplanet,cn=groups,dc=us,dc=oracle,dc=com
-
replace: orcloidscextusercontainer
orcloidscextusercontainer: ou=people,dc=example,dc=com
-
replace: orcloidscextgroupcontainer
orcloidscextgroupcontainer: ou=groups,dc=example,dc=com
-
replace: orcloidscextsearchenabled
orcloidscextsearchenabled: 1
-
replace: orcloidscextmodifyenabled
orcloidscextmodifyenabled: 1
-
replace: orcloidscextauthenabled
orcloidscextauthenabled: 1
次の例は、Sun Java System Directory Server sunone.example.com、SSLポート10636、および/ipwallet/ewallet.p12にあるウォレットを使用するよう構成したサーバー・チェーンを示しています。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: sunone.example.com orclOIDSCExtPort: 10389 orclOIDSCExtDN: cn=directory manager orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=people,dc=example,dc=com orclOIDSCExtGroupContainer: ou=groups,dc=example,dc=com orclOIDSCTargetUserContainer: cn=iPlanet,cn=users,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=iPlanet,cn=groups,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 10636 orclOIDSCWalletLocation: /ipwallet/ewallet.p12 orclOIDSCWalletPassword: ********
コマンドラインからSSLを使用してサーバー・チェーンを構成するには、次の手順を実行します。
前の項に示すように、SSLなしでサーバー・チェーンを構成します。
次のLDIFファイルを作成し、外部ディレクトリへのSSL接続を有効にします。orcloidscextsslport
、orcloidscwalletlocation
およびorcloidscwalletpassword
の値を、実際のOracle Directory Server Enterprise Edition/Sun Java System Directory Serverの値と一致する値に置き換えます。
dn: cn=oidsciplanet,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscsslenabled orcloidscsslenabled:1 - replace: orcloidscextsslport orcloidscextsslport: 10636 - replace: orcloidscwalletlocation orcloidscwalletlocation: /ipwallet/ewallet.p12 - replace: orcloidscwalletpassword orcloidscwalletpassword: passw0rd
次の形式のコマンドラインを実行します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
構成エントリが変更されます。
eDirectory構成の例は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: edirhost.domain.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=admin,o=domain orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=users,o=domain orclOIDSCExtGroupContainer: ou=groups,o=domain orclOIDSCTargetUserContainer: cn=edir,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=edir,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled:0
SSLを使用したeDirectory構成の例は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: edirhost.domain.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=admin,o=domain orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=users,o=domain orclOIDSCExtGroupContainer: ou=groups,o=domain orclOIDSCTargetUserContainer: cn=edir,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=edir,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 3133 orclOIDSCWalletLocation: /edir/ewallet.p12 orclOIDSCWalletPassword: ********
サーバー・チェーンのデバッグを行うには、次の手順を実行します。
第23.2項「Fusion Middleware Controlを使用したロギングの管理」または第23.3項「コマンドラインからのロギングの管理」の説明に従って、Oracle Internet Directoryサーバーのデバッグ・ロギング・レベルを設定します。ロギング・レベル値402653184を使用します。この値は、Javaプラグイン・フレームワーク関連の全メッセージのロギングを可能にします。
Oracle Internet Directoryサーバー・チェーンのデバッグ設定を変更します。cn=oidscad,cn=oid server chaining,cn=subconfigsubentry
とcn=oidsciplanet,cn=oid server chaining, cn=subconfigsubentry
の両方について、orcloidscDebugEnabled
属性を1
に設定します。
たとえば、cn=oidscad,cn=oid server chaining,cn=subconfigsubentry
でorcloidscDebugEnabled
を1
に設定するには、次のように入力します。
$ORACLE_HOME/bin/ldapmodify -h host -p port -D cn=orcladmin -q -f file
fileには、次のものが含まれます。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscDebugEnabled orcloidscDebugEnabled: 1
関連項目: 『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』のJavaプラグインのデバッグとロギングに関する項。 |
サーバー・チェーンでエンタープライズ・ユーザー・セキュリティ(EUS)を使用する場合は、ユーザーを認証するためにハッシュ・パスワードが必要になります。この項では、Oracle Internet Directoryを介してアクセスしたユーザーに対してハッシュ・パスワードを使用可能にするプラグインを、Microsoft Active Directory(AD)サーバーにインストールする方法について説明します。サーバー・チェーンを介してアクセスしたユーザーにエンタープライズ・ユーザー・セキュリティ(EUS)を使用する構成を計画している顧客は、この機能を構成する必要があります。
この手順は次のとおりです。
Active Directoryで、orclCommonAttribute
という属性を作成してハッシュ・パスワードを格納します。次の形式のコマンドラインを使用します。
ldapadd –p AD_Port –h AD_host -D "AD_administrator_DN" –w AD_administrator_password -v –f orclca.ldif
次の例のようなorclca.ldifファイルを使用します。DC=bill,DC=com
をActive Directoryの実際のドメイン名に置き換えて、適切なattributeID
を選択します。
dn: cn=orclcommonattribute,CN=Schema,CN=Configuration,DC=bill,DC=com objectClass: top objectClass: attributeSchemacn: orclcommonattribute distinguishedName: CN=orclcommonattribute,CN=Schema,CN=Configuration,DC=bill,DC=com instanceType: 4 uSNCreated: 16632 attributeID: 1.9.9.9.9.9.9.9.9 attributeSyntax: 2.5.5.3 isSingleValued: TRUE uSNChanged: 16632 showInAdvancedViewOnly: TRUE adminDisplayName: orclCommonAttribute oMSyntax: 27 lDAPDisplayName: orclCommonAttribute name: orclcommonattribute objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=bill,DC=com
属性をユーザーのオブジェクト・クラスに関連付けます。次の形式のコマンドラインを使用します。
ldapadd –p AD_Port –h AD_host -D "AD_administrator_DN" –w AD_administrator_password -v –f user.ldif
次のファイルuser.ldifでは、DC=bill,DC=com
をActive Directoryの実際のドメイン名に置き換えます。
dn: CN=User,CN=Schema,CN=Configuration,DC=bill,DC=com changetype: modify add: mayConatin mayContain: orclCommonAttribute
Active Directoryでは、スキーマをリフレッシュするために数分かかることがあります。
パスワード変更通知のプラグインを次の手順でインストールします。
%ORACLE_HOME%\ldap\admin\oidpwdcn.dll
をActive DirectoryのWINDOWS\system32
フォルダにコピーします。
regedt32
を使用して、レジストリを変更します。行HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
で、最後にoidpwdcn
を追加します。次のようになります。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
Active Directoryを再起動します。
ユーザーのパスワードを再設定することにより、プラグインが正しくインストールされていることを確認します。orclCommonAttribute
にハッシュ・パスワードの値が格納されている必要があります。
Active Directoryの全ユーザーのパスワードを再設定し、すべてのユーザーにパスワード・ベリファイアが存在するようにします。