D Oracle WebCenter Interaction Identity Service for LDAPのインストールまたはアップグレードの完了

Oracle WebCenter Interaction Identity Service for LDAPをインストールまたはアップグレードした場合は、ここに記載されている作業を実行してインストールまたはアップグレードを完了します。

この章には、次の項があります。

• インストールまたはアップグレードの検証

• アップグレードの完了

• 新しいインストールの完了

この付録には、LDAP構成に関する、次のようなオプションの高度な手順を含む「詳細構成」という項もあります。

• ロギングの構成

• アプリケーション・サーバー・セッション設定の構成

• LDAPサーバー設定の構成

• SSL上でのOracle WebCenter Interaction Identity Service for LDAPの使用

インストールまたはアップグレードの検証

Oracle WebCenter Interaction Identity Service for LDAPパッケージのデプロイ後に、診断ユーティリティを実行してデプロイメント・コンポーネント間の接続を検証できます。

Oracle WebCenter Interaction Identity Service for LDAPパッケージのデプロイメントを検証する手順は次のとおりです。

1. Webブラウザで、リモート・サーバーの診断ユーティリティのURL(例: http://RemoteServer:port/ldapws/install/index.html)を開きます。

2. ユーティリティのサマリー・ページに記載されている手順を実行して、デプロイメント・コンポーネントの構成が正しいことを検証します。

アップグレードの完了

Oracle WebCenter Interaction Identity Service for LDAPをアップグレードした場合は、次の手順を実行します。

1. 作成したテンプレート・ファイルをinstall_dir/ptldapaws/10.3/settings/ldap/templatesからinstall_dir/ptldapaws/10.3.3/settings/config/ldap/templatesにコピーします。

2. 10.3暗号化キーを10.3.3インストールにインポートします。

   1. Webブラウザで、リモート・サーバーの診断ユーティリティ(http://remoteserver:port/ldapws/install/index.html)を開きます。

   2. 診断ユーティリティのユーティリティ・サマリー・ページに記載されている手順を実行します。

   3. 暗号化キーのインポート手順で「インポート」をクリックし、バージョン10.3インストールに対して作成されたLDAPKeyStoreファイルを参照し、キーを選択します。このファイルは、JRE_HOME_FOR_YOUR_OLD_APP_SERVER/lib/ext/LDAPKeyStoreにあります。

   4. ポータルで、Oracle WebCenter Interaction Identity Service for LDAPのリモート・サーバー・オブジェクトに移動し、ポート番号を、バージョン10.3.3のインストール時に設定した番号に変更します。

3. 新しいバージョンにアップグレードする前にバックアップしたconfiguration.xmlファイルと比較し、すべてのLDAP設定が正しくマージされたことを確認します。

新しいインストールの完了

Oracle WebCenter Interaction Content Service for Documentumを初めてインストールした場合は、次の各項の手順を実行します。

1. リモート認証ソースの作成

2. リモート・プロファイル・ソースの作成

3. ジョブの作成

リモート認証ソースの作成

ユーザーとグループをLDAPからインポートするためのリモート認証ソースを作成します。

1. ポータルに管理者としてログインします。

2. 「管理」をクリックします。

3. LDAP IDSフォルダをクリックします。

4. 「オブジェクトの作成」メニューから、「認証ソース・リモート」を選択します。

5. 「Webサービスの選択」ダイアログ・ボックスで、LDAP IDSを選択します。

6. オンライン・ヘルプの説明に従って、認証ソースを構成します。

次の手順のために、LDAP IDSフォルダを開いた状態でポータルにログインしたままでいます。

リモート・プロファイル・ソースの作成

ユーザーのプロファイル情報をLDAPからインポートするためのリモート・プロファイル・ソースを作成します。リモート・プロファイル・ソースを作成するには、ポータルの管理オブジェクト・ディレクトリのLDAP IDSフォルダで、次の手順を実行します。

1. 「オブジェクトの作成」メニューから、「プロファイル・ソース・リモート」を選択します。

2. 「Webサービスの選択」ダイアログ・ボックスで、LDAP IDSを選択します。

3. オンライン・ヘルプの説明に従って、プロファイル・ソースを構成します。

ジョブの作成

ユーザー、グループまたはユーザーのプロファイル情報をインポートするには、認証ソースまたはプロファイル・ソースをジョブに関連付け、ジョブを実行する必要があります。ジョブを作成して実行するには、ポータルの管理オブジェクト・ディレクトリのOracle WebCenter Interaction Identity Service for LDAPフォルダで、次の手順を実行します。

1. 「オブジェクトの作成」メニューから、「ジョブ」を選択します。

2. 「操作の追加」をクリックします。

3. 作成した認証ソースまたはプロファイル・ソースを選択します。

4. ジョブのスケジュール値を選択して、「終了」をクリックします。

5. ジョブに名前を付け、「OK」をクリックします。

6. ジョブの作成が完了したら、Oracle WebCenter Interaction Identity Service for LDAPフォルダが自動化サービスに関連付けられていることを確認します。詳細は、「ユーティリティの選択」→「自動化サービス」のオンライン・ヘルプを参照してください。

詳細構成

この項では、LDAP構成に関連する次のオプションの詳細手順について説明します。

• ロギングの構成

• アプリケーション・サーバー・セッション設定の構成

• LDAPサーバー設定の構成

• SSL上でのOracle WebCenter Interaction Identity Service for LDAPの使用

ロギングの構成

ldapws.warファイルにはlog4j.propertiesファイルが含まれます。log4j.propertiesは、アプリケーションのロギング設定を制御します。ldapws.warファイル内でlog4j.propertiesファイルを開いて編集できます。

次の2つのアペンダが定義されています。

• A1は認証ソース・ログ用です。

• A2はプロファイル・ソース・ログ用です。

このファイルのパラメータのデフォルト設定で十分ですが、いくつかの設定を変更できます。

表D-1 ロギング設定

ファイル	機能
Append	ログ・ファイルへの書込みがファイルの最後に追加されるのか、またはファイルが上書きされるのかを決定します。これはtrueに設定してください。
MaxFileSize	アペンダがRollingFileAppenderの場合に、ログ・ファイルのサイズがどれだけになると新しいファイルにロールオーバーされるかを指定します。 日付に基づいてロールオーバーするように選択した場合、MaxFileSize設定は無効です。
MaxBackupIndex	保存されるロールオーバー・ファイルの数を設定します。MaxBackupIndex値に設定するロールオーバー・ファイルの数は、ログ・ファイルに充てるディスク容量によって異なります。
DatePattern	アペンダがDailyRollingFileAppenderの場合に、ファイルをロールオーバーする基準を決定します。YYY-mmの場合、ファイルは月に一度ロールオーバーします。YYYY-mm-ddの場合、ファイルは毎日ロールオーバーします。YYYY-mm-dd-HHの場合、ファイルは毎時間ロールオーバーします(以下同様)。
RollingFileAppender	複数の同期ジョブが1日1回実行される場合は、個々のログ・ファイルが大きくなりすぎないように、RollingFileAppenderを使用します。
DailyRollingFIleAppender	RollingFileAppenderのDailyRollingFileAppenderを変更すると、MaxFileSize設定は無視されます。これにより、日付またはサイズのいずれかに基づいてロールオーバーするようにアペンダのタイプを設定できます。 DailyRollingFileAppenderを使用する場合、1回の同期実行で作成されたログの平均サイズを調べて、ディスク容量の合計がどのくらいになるかを判断する必要があります。同期が週に一度実行される場合、MaxBackupIndexを10に設定すると、約2ヶ月分のジョブ履歴が表示されます。

アプリケーション・サーバー・セッション設定の構成

ldapws.warファイルにはweb.xmlファイルがあり、このファイルにはアプリケーション・セッションの設定が含まれます。ldapws.warファイル内でこのファイルを開いて編集できます。

大規模な同期では、ポータルはOracle WebCenter Interaction Identity Service for LDAPによって戻されるすべてのユーザーとグループに対してデータベース・オブジェクトを作成する必要があります。このため、GetGroups、GetUsersおよびGetMembersのコールでセッションがタイムアウトする場合があります。

このタイムアウト・エラーは、web.xmlのsession-configオブジェクト内のsession-time-out値を大きくすることにより回避できます。

LDAPサーバー設定の構成

LDAPサーバーでは、戻される問合せ結果の最大サイズおよび問合せの時間制限を設定できます。Oracle WebCenter Interaction Identity Service for LDAPログ・ファイルにSizeLimitExceededまたはTimeLimitExceededエラーが記録されている場合、これらの値をLDAPサーバー上で調整する必要があると考えられます。LDAPサーバー管理コンソールごとにこれらの設定を行う箇所が異なるため、設定箇所がわからない場合はLDAPシステム管理者に問い合せてください。

SSL上でのOracle WebCenter Interaction Identity Service for LDAPの使用

Oracle WebCenter Interaction Identity Service for LDAPをSSL上で使用するには、2つの接続を保護する必要があります。この項のトピックは、次のとおりです。

• ポータルとリモート・サーバー間のSSLの設定

• リモート・サーバーとLDAPサーバー間のSSLの設定

ポータルとリモート・サーバー間のSSLの設定

ポータルからOracle WebCenter Interaction Identity Service for LDAPにSSLで接続するには、リモート・サーバーにSSLポートで接続してその信頼できる証明書をインポートする必要があります。

ポータル・サーバーのWebブラウザで、https://remote_server:app_server_ssl_portに移動します。

ポータルをホストするコンピュータにリモート・サーバーからの証明書が存在しない場合は、セキュリティ・アラートが表示されます。証明書を表示して、その証明書を信頼できるルート認証機関ストアにインストールするように選択します。

Oracle WebCenter Interaction Identity Service for LDAPインストーラの実行時には、httpsプロトコルを選択し、アプリケーション・サーバーのSSLポートを指定します。ポータルでリモート・サーバー・オブジェクトを構成する際に、httpsとSSLポートを使用します。

リモート・サーバーとLDAPサーバー間のSSLの設定

LDAPサーバーにSSLで接続するには、LDAPサーバーの証明書を、アプリケーション・サーバーのjreのcacertsファイルにインポートします。

1. リモート・サーバーのWebブラウザで、https://ldap_server:ldap_ssl_portに移動します。セキュリティ・アラートが表示されるはずです。

2. 証明書を表示してインポートするように選択します。

3. 「ツール」→「インターネット オプション」をクリックします。

4. 「コンテンツ」タブを選択し、「証明書」をクリックします。

5. インポートしたLDAPサーバーの証明書を探し、その証明書をDERエンコードのバイナリでエクスポートするように選択します。証明書をAPP_SERVER_JAVA_HOME/jre/lib/securityフォルダにエクスポートします。

6. java keytoolを使用して、この証明書をAPP_SERVER_JAVA_HOME/jre/lib/securityにあるcacertsファイルにインポートします。

   keytoolの使用方法については、SunJavaのドキュメントを参照してください。

   ポータルでの認証ソースの作成時には、「セキュリティ・モード」に2と入力します。標準のSSLポートは636です。LDAPサーバーで別のSSLポートが使用されている場合は、それを代替ポートボックスに入力します。