2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
Directory Proxy ServerとバックエンドLDAPサーバー間の接続の構成
Directory Proxy ServerとバックエンドLDAPサーバー間の接続数を構成するには:
Directory Proxy ServerとバックエンドLDAPサーバー間のSSLの構成
Directory Proxy ServerとバックエンドLDAPサーバー間のSSLを構成するには:
Directory Proxy ServerのSSL暗号およびSSLプロトコルの選択
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
この項では、リクエストをDirectory Proxy ServerからバックエンドLDAPサーバーに転送するために使用できる様々な方法について説明します。
Directory Proxy Serverのクライアント資格証明のバインド・リプレイの詳細は、Oracle Directory Server Enterprise Editionリファレンスのバインド・リプレイのために構成されたDirectory Proxy Serverに関する項を参照してください。次の手順では、バインド・リプレイを使用してリクエストをDirectory Proxy ServerからバックエンドLDAPサーバーに転送する方法について説明します。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-client-identity
Directory Proxy Serverでのプロキシ認可の詳細は、Oracle Directory Server Enterprise Editionリファレンスのプロキシ認可のために構成されたDirectory Proxy Serverに関する項を参照してください。
この項では、プロキシ認可を使用してリクエストを転送する手順およびプロキシ認可制御を使用してリクエストを転送する手順について説明します。
たとえば、バージョン1のプロキシ認可制御のためのデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:true
または、バージョン2のプロキシ認可制御のためのデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:false
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth
書込み操作のみに対してプロキシ認可を使用して、バックエンドLDAPサーバーに対して認証するようにデータソースを構成するには、次のコマンドを実行します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth-for-write
プロキシ認可制御を使用して書込み操作のみが実行されると、読取りリクエストに対するクライアントIDは、LDAPサーバーに転送されません。クライアントIDなしでのリクエストの転送の詳細は、「クライアントIDなしでのリクエストの転送」を参照してください。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:DPS-bind-dn bind-pwd-file:filename
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-check-timeout:value
Directory Proxy Serverは、getEffectiveRightsコマンドを使用して、クライアントDNにプロキシ認可のための関連ACIがあることを確認します。この結果は、Directory Proxy Serverにキャッシュされ、proxied-auth-check-timeoutが期限切れになると更新されます。
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2
次の手順では、クライアントIDを転送せずにリクエストをDirectory Proxy ServerからバックエンドLDAPサーバーに転送する方法について説明します。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-specific-identity
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:bind-dn-of-DPS bind-pwd-file:filename
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
この項では、代替ユーザーとしてリクエストを転送する方法について説明します。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
$ dpconf set-server-prop -h host -p port \ remote-user-mapping-bind-dn-attr:attribute-name
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename
マップされるIDがリモートLDAPサーバーにない場合、クライアントIDがデフォルトのIDにマップされます。
Directory Serverでのユーザー・マッピングの構成の詳細は、「プロキシ認可」を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename
リモートLDAPサーバーへのマッピングが失敗すると、クライアントIDはこのDNにマップされます。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
認証されていないユーザーによる操作の実行を許可する方法の詳細は、「匿名アクセスを構成するには:」を参照してください。
$ dpconf set-user-mapping-prop -h host -p port \ user-bind-dn:client-bind-dn user-bind-pwd-file:filename
$ dpconf set-user-mapping-prop -h host -p port \ mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
匿名クライアントのマッピングは、Directory Proxy Serverで構成されます。これは、リモートLDAPサーバーには、匿名クライアントのエントリが含まれていないためです。
認証されていないユーザーによる操作の実行の許可の詳細は、「匿名アクセスを構成するには:」を参照してください。