| Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド 11gリリース1(11.1.1) B55922-05 |
|
 前へ |
 次へ |
この章では、一般的に使用されているディレクトリ・テクノロジおよびID管理テクノロジと統合するためのOracle Virtual Directoryの構成方法について説明します。この章の内容は次のとおりです。
|
注意: Oracle Virtual Directoryは、ほとんどのLDAP対応テクノロジとともに使用できます。この章では、一般的な統合を簡略化するOracle Virtual Directoryの機能を中心に説明します。その他のOracle Virtual Directoryの統合に関しては、Oracleサポートに連絡してください。 |
Oracle Directory Services Managerの「クイック・コンフィギュレーション・ウィザード: Oracle Access Managerの設定」を使用して、Oracle Access Manager(OAM)と統合するためにOracle Virtual Directoryを構成するには、次の手順を実行します。「クイック・コンフィギュレーション・ウィザード: Oracle Access Managerの設定」は、必要なローカル・ストア・アダプタや、Oracle Access Managerが使用するデータ・リポジトリに適切なアダプタ・タイプ(LDAP、データベースまたはカスタム)を作成する手順を1つずつ説明します。
Oracle Directory Services Managerにログインします。
タスク選択バーから「拡張」を選択します。拡張ナビゲーション・ツリーが表示されます。
拡張ツリーの「クイック構成ウィザード」エントリを開きます。
ツリーで、「Oracle Access Managerの設定」をクリックします。「Oracle Access Managerの設定」画面が表示されます。
「ローカル・ストア・アダプタ(LSA)の作成に使用されるネームスペース」フィールドにローカル・ストア・アダプタのネームスペースをDN形式入力し、「適用」をクリックします。「アダプタ」画面が表示されます。
Oracle Access Managerが使用するデータ・リポジトリのアダプタを作成します。Oracle Access Managerが使用するデータ・リポジトリに適切な、次のいずれかの手順を実行します。
Oracle Access Manager用のLDAPアダプタを作成する手順:
「OAM LDAPアダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - LDAPアダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにLDAPアダプタの一意の名前を入力します。「アダプタ・テンプレート」リストからオプションを選択することで、LDAPアダプタに適したテンプレートを選択します。Microsoft Active DirectoryまたはOracle Directory Server Enterprise Edition (旧称はSun Java System Directory Server)と統合している場合以外は「デフォルト」を選択します。詳細は、「アダプタ・テンプレートの概要」を参照してください。「次」をクリックします。「OAM用のOVDを準備中 - LDAPアダプタの作成」ダイアログ・ボックスの「接続」画面が表示されます。
OAM用にLDAPアダプタを構成するには、「LDAPアダプタの作成」の手順5から16を実行します。
設定の概要を確認し、「終了」をクリックしてOAM用のLDAPアダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいLDAPアダプタが表示されます。
Oracle Access Manager用のデータベース・アダプタを作成する手順:
「OAMデータベース・アダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - データベース・アダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにデータベース・アダプタの一意の名前を入力します。「アダプタ・テンプレート」リストからオプションを選択することで、データベース・アダプタに適したテンプレートを選択します。詳細は、「アダプタ・テンプレートの概要」を参照してください。「次」をクリックします。「OAM用のOVDを準備中 - データベース・アダプタの作成」ダイアログ・ボックスの「接続」画面が表示されます。
OAM用にデータベース・アダプタを構成するには、「データベース・アダプタの作成」の手順5から10を実行します。
設定の概要を確認し、「終了」をクリックしてOAM用のデータベース・アダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいデータベース・アダプタが表示されます。
Oracle Access Manager用のカスタム・アダプタを作成する手順:
「OAMカスタム・アダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - カスタム・アダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにカスタム・アダプタの一意の名前を入力します。
「アダプタ接尾辞/ネームスペース」フィールドに有効なベースDNを入力します。
「OAM用のOVDを準備中 - カスタム・アダプタの作成」ダイアログ・ボックスで、「次へ」をクリックします。プラグインの構成画面が表示されます。
「名前」フィールドにプラグインの名前を入力します。
「クラス」フィールドにプラグインのクラス名を入力するか、「参照」をクリックし、「プラグインの選択」ボックスからプラグインを選択して「OK」をクリックします。
「パラメータ」表の「作成」ボタンをクリックして「名前」リストからパラメータを選択し、「値」フィールドにパラメータの値を入力して、プラグインにパラメータと値を追加します。
プラグインの構成画面の「次へ」をクリックします。
設定の概要を確認し、「終了」をクリックしてOAM用のカスタム・アダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいカスタム・アダプタが表示されます。
Oracle Directory Services Managerのタスク選択バーから「アダプタ」を選択し、「アダプタ」ツリーで構成するアダプタの名前をクリックすることで、Oracle Access Managerが使用するデータ・リポジトリのアダプタを構成します。
Oracle Access Managerの統合アダプタの設定を変更するには、次のようにします。
「Oracle Access Managerの設定」ページで、変更するアダプタの名前をクリックします。ページの下部にアダプタの設定が表示されます。
適切なアダプタ設定を変更します。アダプタ設定の詳細は、第12章「Oracle Virtual Directoryのアダプタの作成および構成」を参照してください。
アダプタ設定画面の下部にある「適用」をクリックして、変更内容を適用します。
Oracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合すると、外部LDAPリポジトリに格納されたユーザーIDを活用することによって、認証機能や認可機能が強化および簡略化され、追加の同期も必要ありません。
この項では、Oracle Virtual DirectoryとOracleのエンタープライズ・ユーザー・セキュリティとの統合方法について説明します。この項の内容は次のとおりです。
|
注意: アップグレード環境では、次のようになります。Oracle Virtual Directoryのエンタープライズ・ユーザー・セキュリティの統合手順は、11.1.1.6.0リリースで変更されました。 11.1.1.6.0にアップグレードする前にデプロイメントにEUSをすでに構成してある場合、EUSの構成には以前の手順を引き続き使用する必要があります。この手順を確認するには、前にリリースされたバージョンの『Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド』のOracleのエンタープライズ・ユーザー・セキュリティとの統合に関する項を参照してください。 11.1.1.6.0にアップグレードした後は、すべての新しい構成についてこの項で説明する統合手順を使用する必要があります。 |
ユーザーIDを格納している外部ディレクトリに関係なく、まずこの項の手順を実行する必要があります。この項の手順を実行したら、「外部ディレクトリとOracle Virtual Directoryとの統合」を参照して統合を続行します。
エンタープライズ・ユーザー・セキュリティと統合するためにOracle Virtual Directoryを準備するには、次の手順を実行します。
ORACLE_HOME/ovd/eus/ディレクトリのバックアップ・コピーを作成します。エンタープライズ・ユーザー・セキュリティ統合で必要な構成ファイルはすべてeusディレクトリにあります。eusディレクトリのバックアップコピーを作成すると、使用する環境に基づいているオリジナルのeusディレクトリにあるファイルをテンプレートとして編集しつつ、オリジナル・ファイルのコピーを保持しておくことができます。
存在しない場合は、第11章「Oracle Virtual Directoryリスナーの作成および管理」を参照して、SSL認証なしモードで保護されたLDAPリスナーを作成します。
|
重要: Oracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合するためのこの先の手順は、ユーザーIDを格納している外部ディレクトリにより異なります。「外部ディレクトリとOracle Virtual Directoryとの統合」を参照して、エンタープライズ・ユーザー・セキュリティとの統合を続行します。 |
EUS用にLDAPおよびローカル・ストア・アダプタを構成するには、次の手順を実行します。
Oracle Directory Services Managerにログインします。
「アダプタ」タブを選択します。
「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタを構成します。」アイコンをクリックします。
ウィザードが表示され、デフォルトのdc=eusovd,dc=com Realm DNが表示されます。
|
注意: このデフォルトのレルムDNは必要に応じて変更できますが、デフォルトを使用することをお薦めします。dc=eusovd,dc=comを選択した場合、NetCA、DBCA、ESM、EMなどのRDBMSツールはdc=eusovd,dc=comをレルムDNとして認識します。 |
「次」をクリックし、「ユーザーおよびグループの場所」ページに移動します。
次のオプションのいずれかを選択することで、ユーザーおよびグループのエントリの場所を指定します。
同じ親 (デフォルト): バックエンド・ディレクトリの同じ親コンテナの下にあるエントリを使用します。
たとえば、バックエンド・ディレクトリのユーザーとグループがou=People,dc=example,dc=comおよびou=Groups,dc=example,dc=comの下にある場合、構成でバックエンド・ディレクトリの共通の親コンテナdc=example,dc=comを使用できます。
異なる親: バックエンド・ディレクトリの異なる親コンテナからのエントリを使用します。
このオプションを選択した場合、Oracle Virtual Directoryによって2つのLDAPアダプタ(1つはユーザー用、1つはグループ用)が作成されます。デフォルトでは、ユーザーの「マップされたネームスペース」はcn=Users,dc=eusovd,dc=comであり、グループの「マップされたネームスペース」はcn=Groups,dc=eusovd,dc=comです。これらの値は必要に応じて変更できます。
異なるディレクトリ: 異なるバックエンド・ディレクトリからのエントリを使用します。
このオプションを選択すると、入力に基づいてOracle Virtual Directoryが複数のLDAPアダプタを作成します。ポップアップが表示されたら、適切な「次のエントリを含む」ボタンをクリックし、「OK」をクリックすることでLDAPアダプタにユーザー・エントリとグループ・エントリのいずれが含まれるのかを示し、新しいLDAPアダプタを作成します。
「次」をクリックし、「LDAPアダプタ」ページに移動し、アダプタについて次の情報を入力します。
| アダプタ名(必須) | 新しいアダプタの一意の名前を入力します。その他の構成フィールドでは、この名前を使用してこのアダプタが参照されます。 |
| アダプタ・テンプレート(必須) | メニューからEUSテンプレートを選択します。たとえば、Oracle Virtual Directoryを、Active Directoryに格納されているユーザーID用のEUSと統合するには、EUS ActiveDirectoryを選択します。 |
| LDAPサーバー表 | 表から既存のホストを選択するか、「ホストの追加」をクリックして新しいホストを追加します。
新しいホストの場合、ホストIPアドレス、ポート番号、および重みの値を指定する必要があります。読取り専用サーバーが必要な場合は、「読取り専用」ボックスを有効にします。 |
| プロキシDN | プロキシDNを入力します。アダプタは、このDNを使用してディレクトリにバインドします。 |
| プロキシ・パスワード | プロキシ・パスワードに変更します。 |
| SSL/TLSの使用 | このオプションはデフォルトで有効化されています。 |
| SSL認証モード | メニューを使用して、「サーバー認証のみ/相互認証」または「認証なし」を指定します。 |
| ユーザー・アカウントのロックアウトの有効化 | ユーザー・アカウントのロックアウト機能を有効化するには、このオプションを選択します。
注意: Oracle Directory Server Enterprise EditionをバックエンドLDAPサーバーとして使用している場合、追加の「パスワード失敗の最大数」パラメータを入力する必要があります。 Oracle Directory Server Enterprise Editionに問合せをしてその
ORACLE_HOME/bin/ldapsearch -h Sun_Java_System_Directory_Server_Name \
-D bindDN -q -s base -b "cn=password policy,cn=config" objectclass="*" passwordmaxfailure
|
| 次のエントリを含む (「異なるディレクトリ」オプションのみ) |
ディレクトリにユーザーとグループのどちらのエントリが含まれるのかを指定します。 |
| マップされたネームスペース(必須) |
|
| リモート・ベース(必須) |
|
「次」をクリックし、「概要」ページに移動します。
このページに表示されている情報を確認し、追加で変更する必要がなければ「終了」をクリックします。
Oracle Virtual Directoryによって次のアクションが実行されます。
subSchemaSubentryプラグインとDynamic Groupsプラグインをグローバル・プラグインとして追加します。
cn=OracleContext、cn=OracleSchemaVerison、およびレルムDNという接尾辞を持つ3つのローカル・ストア・アダプタを作成します。
選択したユーザー・エントリおよびグループ・エントリの場所に基づいて1つ以上のLDAPアダプタを作成します。
必要なエントリすべてをOracle Virtual Directoryにアップロードします。
必要なACLすべてをOracle Virtual Directoryに追加します。
各ACLの詳細は、「エンタープライズ・ユーザー・セキュリティとの統合のためのアクセス制御リストの構成」を参照してください。
Oracle Virtual Directoryサーバーに問合せを実行し、次のすべてのエントリがアップロードされていることを確認します。
|
注意: この例では、5566がLDAPリスナー・ポートです。このポート番号は必要に応じて変更できます。 |
$ldapsearch -p 5566 -h ovd_host_name -D cn=orcladmin -q -s base -b "cn=Common,cn=Products,cn=OracleContext,dc=eusovd,dc=com" "(objectclass=*)" dn orclCommonUserSearchBase orclCommonGroupSearchBase cn=Common,cn=Products,cn=OracleContext,dc=eusovd,dc=com orclCommonGroupSearchBase=cn=UsersGroups,dc=eusovd,dc=com orclCommonUserSearchBase=cn=UsersGroups,dc=eusovd,dc=com
|
注意: この例では、レルムDNはdc=eusovd,dc=comであり、「同じ親」オプションが、ユーザー・エントリおよびグループ・エントリの場所に使用されると想定しています。カスタム・レルムDNを使用した場合、それに応じて検索ベースも変更する必要があります。さらに、ユーザーおよびグループのエントリの場所に対して他のオプションを使用した場合、 |
この項では、Oracle Virtual Directoryを、特定の外部ディレクトリと使用するためのエンタープライズ・ユーザー・セキュリティと統合する手順を説明します。ユーザーIDを格納している外部ディレクトリに固有の適切な項の手順を実行してください。この項の内容は次のとおりです。
Oracle Virtual Directoryを、Active Directoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。
Active Directoryを統合用に構成するには、次の手順を実行します。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
次のコマンドを実行することで、Oracle Virtual Directoryに組み込まれているJavaクラスを使用してActive Directoryに、エンタープライズ・ユーザー・セキュリティの必須スキーマであるextendADをロードします。extendADファイルは、$ORACLE_HOME/ovd/eus/ディレクトリにあります。ORACLE_HOME/jdk/binディレクトリのjava実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN -commonattr
|
注意: 有効なActive DirectoryドメインDNは、たとえばdc=oracle,dc=comです。 |
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグイン、oidpwdcn.dllをインストールします。
$ORACLE_HOME/ovd/eus/oidpwdcn.dllファイルをActive Directory WINDOWS\system32ディレクトリにコピーします。
regedt32を使用してレジストリを編集し、oidpwdcn.dllを有効にします。コマンド・プロンプトでregedt32と入力して、regedt32を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\レジストリにあるNotification Packagesエントリの末尾にoidpwdcnを追加します。次に例を示します。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
変更したら、Active Directoryシステムを再起動します。
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグインを検証します。
Active Directoryユーザーのパスワードを変更します。
パスワードを変更したユーザーをActive Directoryで検索します。orclCommonAttribute属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
この値は、Active DirectoryにorclCommonAttribute属性定義を追加します。
すべてのActive Directoryユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
Oracle Database Advanced SecurityとともにWindows 2000またはWindows 2003上でKerberos認証を使用している場合、『Oracle Database Advanced Security管理者ガイド』を参照してここでそれを構成する必要があります。
Kerberos認証を構成した後、次の手順に進む前に、Active Directoryユーザー資格証明を使用してデータベースにログインできることを確認します。
Oracle Virtual Directoryを統合構成する手順は次のとおりです。
この手順に進む前に「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行済であることを確認します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
第19.2.2項「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタの構成」に示す手順を使用してローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
EUS_ActiveDirectoryテンプレートを選択します。
「SSL/TLSの使用」オプションが有効になっていることを確認します。
「SSL認証モード」を「サーバー認証のみ/相互認証」に設定します。
これで、エンタープライズ・セキュリティとの統合、およびMicrosoft Active Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照して、統合プロセスを続行し、エンタープライズ・ユーザー・セキュリティを構成します。
Active DirectoryにユーザーIDが格納されている場合にOracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合し、Oracle Internet Directoryにメタデータを格納するには、次の手順を実行します。
|
注意:
|
ORACLE_HOME/ovd/eus/ディレクトリのバックアップ・コピーを作成します。エンタープライズ・ユーザー・セキュリティ統合で必要な構成ファイルはすべてeusディレクトリにあります。eusディレクトリのバックアップコピーを作成すると、使用する環境に基づいているオリジナルのeusディレクトリにあるファイルをテンプレートとして編集しつつ、オリジナル・ファイルのコピーを保持しておくことができます。
存在しない場合は、第11章「Oracle Virtual Directoryリスナーの作成および管理」を参照して、SSLで保護されたLDAPリスナーを作成します。
Dynamic Groupsプラグインをグローバル・サーバー・プラグインとして作成および追加します。サーバー・プラグインを作成する手順は、「グローバル・サーバー・プラグインの管理」を参照してください。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
次のコマンドを実行することで、Oracle Virtual Directoryに組み込まれているJavaクラスを使用してActive Directoryに、エンタープライズ・ユーザー・セキュリティの必須スキーマをロードします。ORACLE_HOME/jdk/binディレクトリのjava実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN -commonattr
|
注意: 有効なActive DirectoryドメインDNは、たとえばdc=oracle,dc=comです。 |
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグイン、oidpwdcn.dllをインストールします。
oidpwdcn.dllファイルを見つけ、Active DirectoryのWINDOWS\system32ディレクトリにコピーします。
regedt32を使用してレジストリを編集し、oidpwdcn.dllを有効にします。コマンド・プロンプトでregedt32と入力して、regedt32を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\レジストリにあるNotification Packagesエントリの末尾にoidpwdcnを追加します。次に例を示します。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
変更したら、Active Directoryシステムを再起動します。
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグインを検証します。
Active Directoryユーザーのパスワードを変更します。
パスワードを変更したユーザーをActive Directoryで検索します。orclCommonAttribute属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
この値は、Active DirectoryにorclCommonAttribute属性定義を追加します。
すべてのActive Directoryユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
Oracle Database Advanced SecurityとともにWindows 2000またはWindows 2003上でKerberos認証を使用している場合、『Oracle Database Advanced Security管理者ガイド』を参照してここでそれを構成する必要があります。
Kerberos認証を構成した後、次の手順に進む前に、Active Directoryユーザー資格証明を使用してデータベースにログインできることを確認します。
次のコマンドを使用して、Oracle Internet Directory LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h OID_Host_Name -p OID_Port -D bindDN \ -q -v -f OIDSchema.ldif
次の設定を使用し、Oracle Internet Directoryのホスト情報を入力して、新しいLDAPアダプタを4つ作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
最初の3つの新規LDAPアダプタでは、次の点に注意してください。
Oracle_Internet_Directoryアダプタ・テンプレートを使用します。
1つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=OracleContextであることが必要です。
2つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=OracleSchemaVersionであることが必要です。
3つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=subschemasubentryであることが必要です。
4つ目の新規LDAPアダプタでは、次の点に注意してください。
EUS_OIDアダプタ・テンプレートを使用します。
4つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=oraclecontext,your_OID_realmであることが必要です。
次の設定を使用して、新規ローカル・ストア・アダプタを作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
Local_Storage_Adapterテンプレートを使用します。
Oracle Internet Directoryレルムがdc=example,dc=netの場合、「アダプタ接尾辞」をdc=netにする必要があります。それ以外の場合は、「アダプタ接尾辞」をdc=comにする必要があります。
dn、dc、o、orclsubscriberfullname、memberurl属性など、独自のネームスペースを使用するには、realmRoot.ldifを更新します。Active DirectoryとOracle Virtual Directoryの間にDNマッピングがある場合、Oracle Virtual Directoryから認識できるDNを使用します。
|
注意: realmRoot.ldifファイルには、エンタープライズ・ユーザー・セキュリティが問合せを行うディレクトリ・ネームスペースにあるコア・エントリが含まれます。realmRoot.ldifファイルには、登録されたエンタープライズ・ユーザー・セキュリティ・データベースが含まれる動的グループも含まれ、機密性の高いエンタープライズ・ユーザー・セキュリティ関連の属性(ユーザーのエンタープライズ・ユーザー・セキュリティのハッシュ化されたパスワード属性など)への保護されたアクセスが可能になっています。 |
次のコマンドを使用して、realmRoot.ldifファイルにあるドメイン・ルート情報をOracle Virtual Directoryにロードします。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a –f realmRoot.ldif
次の設定を使用し、リモート・ベースを含むActive Directoryのホスト情報を入力して、Active Directoryにユーザー検索ベース用の新規LDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
アダプタにEUS_ActiveDirectoryテンプレートを使用します。
リモート・ベースに、cn=users,dc=adrealm,dc=comなど、Active Directoryのコンテナを入力します。
EUSActiveDirectory.pyマッピングがすでにデプロイされているかどうかをチェックします。その場合は、ここで手順16に進みます。
EUSActiveDirectory.pyマッピングがデプロイされていない場合、Active Directoryユーザー検索ベース・アダプタにマッピングを作成する必要があります。これには、「マッピングの作成」ボタンをクリックし、EUSActiveDirectory.pyを選択して一意のマッピング名を入力します。次に、「OK」ボタンをクリックして、「適用」ボタンをクリックします。
cn=Common,cn=Products,cn=oraclecontext,<OIDレルム> の下にあるorclcommonusersearchbaseに、マップされたネームスペースを追加します。次のようなLDIFファイルを使用します。
dn: cn=Common,cn=Products,cn=oraclecontext,dc=oracle,dc=com changetype: modify add: orclcommonusersearchbase orclcommonusersearchbase: cn=users,dc=adrealm,dc=com
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
| ターゲットDN | cn=subschemasubentry |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=subschemasubentry |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | サブツリー |
| 適用先 | authpassword |
| 拒否 | すべての操作 |
| アクセス | public |
|
注意: 次のACLは、dc=comのACLリスト内で最後のACLである必要があります。 |
| ターゲットDN | dc=com |
| 有効範囲 | サブツリー |
| 適用先 | authpassword |
| 権限 | 検索と読取り |
| アクセス | cn=EUSDBGroup,<Your Mapped OID domain>のDNを持つグループ。 |
次のように、OracleContextAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
| ターゲットDN | cn=OracleContext,<YOUR DOMAIN> |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
| ターゲットDN | cn=OracleContext,<YOUR DOMAIN> |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
Oracle Internet DirectoryのACLをcn=OracleContext,<YOUR DOMAIN>の下のデータを保護するように設定します。
この統合では、Oracle Directory Server Enterprise Editionを手動で構成する必要はありません。
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
この手順に進む前に「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行済であることを確認します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
第19.2.2項「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタの構成」に示す手順を使用して新しいローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
EUS_Sunテンプレートを選択します。
プロキシDNユーザーは、Oracle Directory Server Enterprise EditionでuserPassword属性を読み取ることができる必要があります。
これで、エンタープライズ・セキュリティと統合してOracle Directory Server Enterprise Editionとともに使用するためのOracle Virtual Directoryの構成手順は完了です。『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照して、統合プロセスを続行し、エンタープライズ・ユーザー・セキュリティを構成します。
Oracle Virtual Directoryを、Novell eDirectoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。
統合用にNovell eDirectoryを構成するには、eDirectoryのユニバーサル・パスワードを有効化し、管理者がユーザー・パスワードを取得できるようにします。詳細は、Novell eDirectoryのパスワード管理に関するドキュメントを参照してください。
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
この手順に進む前に「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行済であることを確認します。
Novell開発者コミュニティのWebサイトから、NMASツールキットをダウンロードします。
Oracle Directory Services Managerを使用してこのライブラリをOracle Virtual Directoryにアップロードします。詳細は、「Oracle Virtual Directoryサーバーへのライブラリのロード」を参照してください。
Oracle Virtual Directoryサーバーを再起動します。
Oracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタの構成」に示す手順を使用して新しいローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
EUS_eDirectoryテンプレートを選択します。
「SSL/TLSの使用」オプションを有効化し、「SSL認証モード」を「サーバー認証のみ/相互認証」に設定します。
これで、エンタープライズ・セキュリティとの統合のためにOracle Virtual Directoryを構成し、Novell eDirectoryとともに使用するための手順は完了です。『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照して、統合プロセスを続行し、エンタープライズ・ユーザー・セキュリティを構成します。
Oracle Virtual Directoryを、Oracle Internet Directoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。
この統合では、Oracle Internet Directoryを手動で構成する必要はありません。
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
この手順に進む前に「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行済であることを確認します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタの構成」に示す手順を使用して新しいローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
EUS_OIDテンプレートを選択します。
これで、エンタープライズ・セキュリティ用にOracle Virtual Directoryを構成してOracle Internet Directoryとともに使用するための手順は完了です。『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照して、統合プロセスを続行し、エンタープライズ・ユーザー・セキュリティを構成します。
この項では、ユーザーIDの格納に使用している外部リポジトリに関係なく、エンタープライズ・ユーザー・セキュリティとの統合のためにOracle Virtual Directoryに構成する必要のあるアクセス制御リスト(ACL)について説明します。
|
注意: これらのACLは、第19.2.2項「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタの構成」に示すようにEUS構成ウィザードを実行するときに、Oracle Virtual Directoryで自動的に構成されます。 |
ただし、Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。エンタープライズ・ユーザー・セキュリティと統合するためにOracle Virtual DirectoryのACLを手動で構成するには、次の手順を実行します。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=com |
| 有効範囲 | サブツリー |
| 適用先 | authpassword |
| 拒否 | すべての操作 |
| アクセス | public |
|
注意: 次のACLは、dc=comのACLリスト内で最後のACLである必要があります。 |
| ターゲットDN | dc=com |
| 有効範囲 | サブツリー |
| 適用先 | authpassword |
| 権限 | 検索と読取り |
| アクセス | cn=EUSDBGroup,dc=dbdemo,dc=orion,dc=comのDNを持つグループ
注意: |
次のように、OracleContextAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
| ターゲットDN | cn=OracleContext,<YOUR DOMAIN> |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
| ターゲットDN | cn=OracleContext,<YOUR DOMAIN> |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
cn=OracleContextAdmins,cn=Groups,cn=OracleContext,<YOUR DOMAIN>グループに書込み権限を付与します。
複数のドメインに含まれるエンタープライズ・ユーザー・セキュリティのユーザーがデータベースに対して認証できるようにOracle Virtual Directoryを構成するには、次の手順を実行します。
「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタを構成します。」アイコンをクリックし、その構成ウィザードのユーザーおよびグループの場所ページで「異なるディレクトリ」オプションを指定します。
詳細は、「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタの構成」を参照してください。
追加のドメインをサポートするには、前述の手順を繰り返します。
|
注意: これらの追加のドメインのいずれかからエンタープライズ・ユーザーとしてデータベースにログインするには、Enterprise Security ManagerまたはEnterprise Managerから追加のユーザー・コンテナのユーザーとスキーマのマッピングを作成する必要があります。詳細は、『Oracle® Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。 |
バインドの試行が何度か失敗したら、LDAPサーバーによりユーザー・アカウントをロックできます。Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合では、このロックアウト機能を使用し、次のようにして、バックエンドのLDAPサーバーのパスワード・ロックアウト・ポリシーを適用できます。
Oracleデータベースへの不正なログインでは、バックエンドのLDAPサーバーにログインの失敗が記録されます。
Oracleデータベースへの適切なログインにより、バックエンドのLDAPサーバーのログインの失敗数がリセットされます。
|
注意: この機能は、Active Directoryを使用する統合では使用できません。 |
ロックされたユーザー・アカウントを使用して、Oracleデータベースにログインすることはできません。
Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティとの統合を実行した後、「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタの構成」の説明に従いエンタープライズ・ユーザー・セキュリティの構成手順を実行するときにユーザー・アカウント・ロックアウトの有効化オプションを選択することで、ユーザー・アカウント・ロックアウトを有効化できます。
次に、Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合の既知の制限事項を示します。
統合では次の機能がサポートされません。
ドメインDNを含むActive DirectoryのドメインがOracle Virtual Directoryにマップされている場合の、Microsoft Active DirectoryおよびOracle Virtual Directoryの間のDNマッピング。たとえば、Active DirectoryのDNがdc=us,dc=oracle,dc=comで、Oracle Virtual Directoryのdc=oracle,dc=comへのマップを試行している場合、このタイプのDNマッピングはサポートされません。
OracleContextAdmins以外の管理グループ
Oracle Internet Directory Delegated Administration ServiceへのEnterprise Security Managerコンソール
パスワード・ポリシー
クライアント証明書の認証
Oracle Directory Server Enterprise EditionおよびOracle Internet Directoryとともに使用するために統合する場合のKerberos認証
ユーザー移行ユーティリティ(UMU)
複数ドメイン環境
JDBCシン・ドライバ - 必ずOCIドライバを使用
Microsoft Active DirectoryとOracle Directory Server Enterprise Editionを組み合せた環境
適切なログイン後のアカウント・ロックアウト・カウンタのリセットは、Active Directoryを使用したOracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合では使用できません。かわりに、Active Directoryには、指定された期間が経過した後に、アカウント・ロックアウト・カウンタをリセットする機能があります。このオプションは、ロックアウト・カウンタが無制限に累積されるのを防ぐために使用できます。
Enterprise Security Managerインタフェースでの制限
リストされたデータベースにActive Directoryの廃棄エントリが含まれることがあります。
データベースおよびOracle Internet Directoryのバージョン情報は利用できません。
この項では、Oracle Virtual DirectoryとOracle Database Net Servicesを統合し、Oracle Internet Directory、Microsoft Active DirectoryおよびOracle Directory Server Enterprise Editionのネーム・サービスを集中管理する方法を説明します。この項の内容は次のとおりです。
Oracle Virtual Directoryは、OracleのNet Servicesデータベース製品と統合できます。Oracle Virtual Directoryをネット・サービスと統合すると、外部LDAPリポジトリに格納されたサービス・エントリを活用することによって、追加の同期を行わずに、ネーム・サービスが強化および簡略化されます。
この項では、Oracle Virtual Directoryとネット・サービスのすべての統合に必要な共通の手順をリストします。統合を開始するには、まずこの項の手順を実行し、Oracle Internet Directory、Microsoft Active DirectoryおよびOracle Directory Server Enterprise Editionに固有の後続のいずれかの項に進みます。Oracle Internet Directory、Microsoft Active Directory、Oracle Directory Server Enterprise Editionのいずれと使用するためにOracle Virtual DirectoryをNet Servicesと統合するかによって、説明されている手順が異なります。使用する環境に該当する手順のみを実行してください。
Oracle Virtual DirectoryとNet Servicesの統合プロセスを開始するには、次の手順を実行します。
ORACLE_HOME/ovd/eus/ディレクトリのバックアップ・コピーを作成します。
subschemasubentryプラグインをグローバル・サーバー・プラグインとして作成します。サーバー・プラグインを作成する手順は、「グローバル・サーバー・プラグインの管理」を参照してください。
Microsoft Active Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。Microsoft Active Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合する手順には、次のタスクが含まれます。
Active Directoryを統合用に構成するには、次の手順を実行します。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
次のコマンドを実行することで、Oracle Virtual Directoryに組み込まれているJavaクラスを使用してActive Directoryに、Net Servicesの必須スキーマをロードします。ORACLE_HOME/jdk/binディレクトリにあるjava実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN
|
注意: 有効なActive DirectoryドメインDNは、たとえばdc=oracle,dc=comです。 |
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContextで、他のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersionであることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldifファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
次の設定を使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Active Directoryのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
ONames_ActiveDirectoryアダプタ・テンプレートを使用します。
「バインドのみ」の「パススルー資格証明」オプションを選択します。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
次のように、OracleNetAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
| ターゲットDN | cn=OracleContext,<YOUR MAPPED ORACLE VIRTUAL DIRECTORY NAMESPACE> |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
| ターゲットDN | cn=OracleContext,<YOUR MAPPED ORACLE VIRTUAL DIRECTORY NAMESPACE> |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
次の設定を使用し、ポート番号、プロキシDNおよびパスワードも含め、Active Directoryのホスト情報を入力して、OracleNetAdmins管理グループ用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
Active_Directoryアダプタ・テンプレートを使用します。
リモート・ベースとしてcn=OracleNetAdmins,cn=users, <YOUR Active_Directory_Domain_DN>を入力します。
マップされたネームスペースとしてcn=OracleNetAdmins,cn=OracleContext,<YOUR MAPPED DOMAIN DN in Oracle Virtual Directory>を入力します。
次の手順を実行して、OracleNetAdmins管理グループ・アダプタのマッピングとプラグインを構成します。
拡張タブ→「Active_Directory_to_inetOrg」→「適用」ボタンをクリックして、マッピングをデプロイします。
「アダプタ」タブをクリックし、OracleNetAdmins管理グループ用のアダプタをクリックして、「プラグイン」タブをクリックします。次に、「マッピングの作成」ボタンをクリックして「Active_Directory_to_inetOrg.py」を選択し、一意のマッピング名を入力して「OK」をクリックします。
「プラグインの作成」ボタンをクリックし、「選択」ボタンをクリックし、EUSMemberDNMappingプラグインを選択して、「OK」をクリックします。その後、一意のプラグイン名を入力し、localDomainDNおよびremoteDomainDNパラメータを作成し、「OK」をクリックします。DNマッピングを構成済である場合は、localDomainDNおよびremoteDomainDNが異なることがあります。
「適用」ボタンをクリックします。
|
注意: Active Directoryで変更した直後は、グループ・メンバーシップの変更が表示されない場合があります。これは、Active Directoryのグループ・メンバーシップのリフレッシュ間隔の構成によるものです。 |
これで、Net Servicesとの統合、およびMicrosoft Active Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。『Oracle Database Net Services管理者ガイド』を参照して、統合プロセスを続行し、Oracle Net Servicesを構成します。
Oracle Directory Server Enterprise Editionとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。Oracle Directory Server Enterprise Editionとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合する手順には、次のタスクが含まれます。
Oracle Directory Server Enterprise Editionを統合用に構成するには、次の手順を実行します。
次のコマンドを使用して、iPlanet LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./iPlanetSchema.ldif
次の手順を実行して、iPlanetにレルムを作成します。
realmiPlanet.ldifファイルを開き、文字列dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、realmiPlanet.ldifファイルを使用してiPlanetにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./realmiPlanet.ldif
新しいユーザー・コンテナまたはグループ・コンテナを作成するか、既存のユーザー・コンテナまたはグループ・コンテナを使用して、ユーザー・コンテナとグループ・コンテナを構成します。
新しいユーザー・コンテナとグループ・コンテナの作成
iPlanetContainers.ldifファイルを開き、文字列dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、iPlanetContainers.ldifファイルを使用してiPlanetにユーザーおよびグループのコンテナを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./iPlanetContainers.ldif
既存のユーザー・コンテナとグループ・コンテナの使用
useiPlanetContainers.ldifファイルを開きます。
文字列cn=users,dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するユーザー・コンテナの名前に置換します。
文字列cn=groups,dc=us,dc=oracle,dc=comのすべてのインスタンスを、使用するグループ・コンテナの名前に置換します。
|
注意: ユーザー・コンテナとグループ・コンテナが、作成しているものと同一のドメインとレルムにあることを確認します。たとえば、ドメインがdc=superdemo,dc=netの場合、ou=people,dc=ultrademo,dc=orgは有効なユーザー・コンテナではありません。 |
次のコマンドを実行し、useiPlanetContainers.ldifファイルを使用してiPlanetにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./useiPlanetContainers.ldif
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContextで、他のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersionであることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldifファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
次の設定を使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Oracle Directory Server Enterprise Editionのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
ONames_Sunアダプタ・テンプレートを使用します。
「バインドのみ」の「パススルー資格証明」オプションを選択します。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
次のように、OracleNetAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
| ターゲットDN | cn=OracleContext,<YOUR MAPPED ORACLE VIRTUAL DIRECTORY NAMESPACE> |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
| ターゲットDN | cn=OracleContext,<YOUR MAPPED ORACLE VIRTUAL DIRECTORY NAMESPACE> |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | すべて |
| アクセス | 次のDNを持つグループ:
|
外部ディレクトリのACLをcn=OracleContext,<YOUR DOMAIN>の下のデータを保護するように設定します。
OracleContextAdminsグループのみが、ドメイン固有のOracleContextサブツリーにアクセスおよび管理できるようにOracle Directory Server Enterprise Editionのアクセス制御項目(ACI)を作成する必要があります。
次のLDIFエントリは、OracleContextレルムに読取りおよび書込みアクセスを提供します。<YOUR DOMAIN>は、使用している具体的なドメインDNに置き換えてください。
dn:cn=OracleContext,<YOUR DOMAIN> changetype:modify add:aci aci:(target = "ldap:///cn=OracleContext,<YOUR DOMAIN>")(targetattr = "*") (version 3.0; acl "Allow OracleContextAdmins Group read and write access to all attributes"; allow (read, search, compare, add, write, delete) (groupdn = "ldap:///cn=OracleContextAdmins,cn=Groups, cn=OracleContext,< YOUR DOMAIN>");)
|
注意: ACIの詳細は、ディレクトリ固有のACLの管理ガイドを参照してください。 |
ACIが適切にロードされたことを確認するには、明示的にACI属性をリクエストするときにldapsearchを使用します。次に例を示します。
ldapsearch -h <sun host> -p <port> -D "<admin dn, ie cn=directory manager>" -w <password> -s base -b "cn=OracleContext,dc=mydomain,dc=com" objectclass=* aci
これで、Net Servicesと統合してOracle Directory Server Enterprise Editionとともに使用するためのOracle Virtual Directoryの構成手順は完了です。『Oracle Database Net Services管理者ガイド』を参照して、統合プロセスを続行し、Oracle Net Servicesを構成します。
Oracle Internet Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContextで、他のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersionであることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldifファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldifファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldifファイルは、ORACLE_HOME/ovd/eus/ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
ONames_OIDアダプタ・テンプレートを使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Oracle Internet Directoryのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleContext |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | cn=OracleSchemaVersion |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | サブツリー |
| 適用先 | エントリ |
| 権限 | DNの参照と戻し |
| アクセス | public |
| ターゲットDN | dc=example,dc=comなど、Oracle Virtual Directoryのマップされたネームスペース |
| 有効範囲 | サブツリー |
| 適用先 | すべての属性 |
| 権限 | 検索と読取り |
| アクセス | public |
これで、Net Servicesとの統合、およびOracle Internet Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。『Oracle Database Net Services管理者ガイド』を参照して、統合プロセスを続行し、Oracle Net Servicesを構成します。
