E Oracle Directory Server Enterprise Edition(ODSEE)の事前構成

LDAPディレクトリをアイデンティティ・ストアとして使用できるようにするには、事前構成を実行する必要があります。この項の手順により、Oracle Directory Server Enterprise Edition(ODSEE)を事前構成して、LDAPアイデンティティ・ストアとしてOracle Directory Server Enterprise Edition(ODSEE)を使用できるようになります。

注意: LDAPアイデンティティ・ストア(Oracle Directory Server Enterprise Edition(ODSEE)またはiPlanet)が、コンテナおよびスキーマ拡張子を持つoimadminuserに対して構成されている場合、次の構成手順に従う必要はありません。

アイデンティティ・ストアを事前構成するには、次の手順を実行する必要があります。

1. 新しいファイルiPlanetContainers.ldifを作成します。次のエントリを追加して、ファイルに保存します。

   dn:cn=Users,dc=mycompany,dc=com
   cn:Users
   objectClass:nsContainer
   
   dn:cn=Groups,dc=mycompany,dc=com
   cn:Groups
   objectClass:nsContainer
   
   dn:cn=Reserve,dc=mycompany,dc=com
   cn:Reserve
   objectClass:nsContainer
   

2. ldapaddコマンドを使用して、コンテナをiPlanet Directory Serverにインポートします。これにより、ユーザー、グループおよび予約コンテナが作成されます。

   ldapadd -h <ODSEE Server> -p <ODSEE port> -D <ODSEE Admin ID> -w <ODSEE Admin password> -c -f ./iPlanetContainers.ldif
   

   次に例を示します。

   ldapadd -h localhost -p 1389 -D "cn=Directory Manager" -w "welcome1" -c -f ./iPlanetContainers.ldif
   

   このコマンドで認証エラーが返されたら、シンプル・バインド・オプションの「-x」オプションでコマンドを試行します。

   ldapadd -h localhost -p 1389 -x -D "cn=Directory Manager" -w "welcome1" -c -f ./iPlanetContainers.ldif
   

3. ノード間で行われるエントリの名前変更に対して、moddnプロパティを有効にします。

   ..dsee7/bin/dsconf set-server-prop -h <ODSEE Server> -p <ODSEE port> moddn-enabled:on
   

   次に例を示します。

   ..dsee7/bin/dsconf set-server-prop -h localhost -p 1389 moddn-enabled:on
   

4. changelogを有効化します。

   ..dsee7/bin/dsconf set-server-prop -h <ODSEE Server> -p <ODSEE port> retro-cl-enabled:on
   

   次に例を示します。

   ..dsee7/bin/dsconf set-server-prop -h localhost -p 1389 retro-cl-enabled:on
   

5. ステータスを確認します。

   ..dsee7/bin/dsccsetup status
   

6. ODSEEサーバー・インスタンスを停止して起動します。

   ..dsee7/bin/dsadm stop <ODSEE instance>
   ..dsee7/bin/dsadm start <ODSEE instance>
   

   次に例を示します。

   ..dsee7/bin/dsadm stop /scratch/<userid>/iPlanet/dsinst1/
   ..dsee7/bin/dsadm start /scratch/<userid>/iPlanet/dsinst1/
   

7. Sunスキーマを拡張して、OIM固有のオブジェクト・クラスと属性タイプを追加します。

   cd to $MIDDLEWARE_HOME/oracle_common/modules/oracle.ovd_11.1.1/oimtemplates
   

   次のコマンドを実行して、ldifファイルsunOneSchema.ldifをロードします。

   ldapmodify -h <ODSEE Server> -p <ODSEE port> -D <ODSEE Admin ID> -w <ODSEE Admin password> -f sunOneSchema.ldif
   

   たとえば、次のようにします。

   ./ldapmodify -h localhost -p 1389 -D "cn=directory manager" -w welcome1 -c -f sunOneSchema.ldif
   

8. OIMの一般名生成機能に対して、参照整合性を有効にします。

   DNまたはRDNが変更されたときはいつでも、OIMおよびOID/Active Directory/ODSEEで参照整合性を有効化する必要があります。

   ディレクトリ・サーバーで参照整合性が有効になっている場合、OIMプロパティXL.IsReferentialIntegrityEnabledInLDAPをTRUEに設定する必要があります(デフォルトはFALSE)。XL.IsReferentialIntegrityEnabledInLDAPをTRUEに設定するには、OIMにログインして、「詳細」→システム管理→システム構成に移動します。システム・プロパティ(XL.IsReferentialIntegrityEnabled)を検索し、プロパティの値をTRUEに設定します。

   1. 次のコマンドを使用して、参照整合性プロパティの値を表示します。

      ..dsee7/bin/dsconf get-server-prop -h <ODSEE server> -p <ODSEE port> ref-integrity-enabled
      Enter "cn=Directory Manager" password:
      ref-integrity-enabled : off
      

   2. 次のコマンドを使用して、参照整合性プロパティを有効にします。

      ./dsconf set-server-prop -h <ODSEE server> -p <ODSEE port>
      ref-integrity-enabled:on
      Enter "cn=Directory Manager" password:
      

      変更内容を有効にするには、ディレクトリ・サーバーを再起動する必要があります。参照整合性プロパティを有効にした後で、ODSEE/iPlanet Serverを再起動します。

      ..dsee7/bin/dsadm stop <ODSEE instance>
      ..dsee7/bin/dsadm start <ODSEE instance>
      

      次に例を示します。

      ..dsee7/bin/dsadm stop /scratch/<userid>/iPlanet/dsinst1/
      ..dsee7/bin/dsadm start /scratch/<userid>/iPlanet/dsinst1/
      

   3. 値が正しく設定されたかどうかを確認するための問合せを実行します。

      ..dsee7/bin/dsconf get-server-prop -h <ODSEE server> -p <ODSEE port>
      ref-integrity-enabled
      Enter "cn=Directory Manager" password:
      ref-integrity-enabled : on
      

9. OIM管理ユーザー、グループおよびACIを作成します。新しいファイルoimadminuser.ldifを開きます。このoimadminuserは、OIMのプロキシ・ユーザーとして使用されます。

   ルート接尾辞は「dc=mycompany,dc=com」です。これは、ODSEEサーバーの適切なルート接尾辞と置換できます。

   1. 次のLDAPエントリを追加して、ファイルoimadminuser.ldifを保存します。次のコマンドを実行して、ldifファイルoimadminuser.ldifをロードします。

      ldapmodify -h <ODSEE Server> -p <ODSEE port> -D <ODSEE Admin ID> -w <ODSEE Admin password> -f oimadminuser.ldif
      
      dn: cn=systemids,dc=mycompany,dc=com
      changetype: add
      objectclass: nsContainer
      objectclass: top
      cn: systemids
      
      dn: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com
      changetype: add
      objectclass: top
      objectclass: person
      objectclass: organizationalPerson
      objectclass: inetorgperson
      mail: oimAdminUser
      givenname: oimAdminUser
      sn: oimAdminUser
      cn: oimAdminUser
      uid: oimAdminUser
      userPassword: welcome1
      
      dn: cn=oimAdminGroup,cn=Groups,dc=mycompany,dc=com
      changetype: add
      objectclass: groupOfUniqueNames
      objectclass: top
      cn: oimAdminGroup
      description: OIM administrator role
      uniquemember: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com
      
      dn: cn=users,dc=mycompany,dc=com
      changetype: modify
      add: aci
      aci: (target = "ldap:///cn=users,dc=mycompany,dc=com")(targetattr =
       "*")(version 3.0; acl "Allow OIMAdminGroup add, read and write access to
       all attributes"; allow (add, read, search, compare,write, delete, import)
       (groupdn = "ldap:///cn=oimAdminGroup,cn=Groups,dc=mycompany,dc=com");)
      
      dn: cn=Groups,dc=mycompany,dc=com
      changetype: modify
      add: aci
      aci: (target = "ldap:///cn=Groups,dc=mycompany,dc=com")(targetattr =
       "*")(version 3.0; acl "Allow OIM AdminGroup to read and write access";
       allow (read, search, compare, add, write,delete) (groupdn =
       "ldap:///cn=oimAdminGroup,cn=Groups,dc=mycompany,dc=com");)
      
      dn: cn=reserve,dc=mycompany,dc=com
      changetype: modify
      add: aci
      aci: (target = "ldap:///cn=reserve,dc=mycompany,dc=com")(targetattr =
       "*")(version 3.0; acl "Allow OIM AdminGroup to read and write access";
       allow (read, search, compare, add, write,delete,export) (groupdn =
       "ldap:///cn=oimAdminGroup,cn=Groups, dc=mycompany,dc=com");)
      
      dn: cn=changelog
      changetype: modify
      add: aci
      aci: (target = "ldap:///cn=changelog")(targetattr = "*")(version 3.0; acl
       "Allow OIM AdminGroup to read and write access"; allow (read, search,
       compare, add, write,delete,export) (groupdn =
       "ldap:///cn=oimAdminGroup,cn=Groups, dc=mycompany,dc=com");)
      

   2. 次のコマンドを使用して、LDAP内のエントリとACIをチェックします。

      ldapsearch -h <ODSEE Server> -p <ODSEE Port> -x -D "cn=Directory Manager"
       -w <ODSEE Admin Password> -b "cn=changelog" -s sub "objectclass=*" aci
      
      ldapsearch -h <ODSEE Server> -p <ODSEE Port> -x -D "cn=Directory Manager"
       -w <ODSEE Admin Password> -b "cn=users,dc=mycompany,dc=com" -s sub
       "objectclass=*" aci
      
      ldapsearch -h <ODSEE Server> -p <ODSEE Port> -x -D "cn=Directory Manager"
       -w <ODSEE Admin Password> -b "cn=groups,dc=mycompany,dc=com" -s sub
       "objectclass=*" aci
      ldapsearch -h <ODSEE Server> -p <ODSEE Port> -x -D "cn=Directory Manager"
       -w <ODSEE Admin Password> -b "cn=reserve,dc=mycompany,dc=com" -s sub
       "objectclass=*" aci