| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11gリリース2 (11.1.2) B69541-02 |
|
 前 |
 次 |
| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11gリリース2 (11.1.2) B69541-02 |
|
前 |
次 |
LDAPディレクトリをアイデンティティ・ストアとして使用できるようにするには、事前構成を実行する必要があります。この項の手順により、Oracle Unified Directory(OUD)を事前構成して、LDAPアイデンティティ・ストアとしてOracle Unified Directory(OUD)を使用できます。
|
注意: LDAPアイデンティティ・ストア(Oracle Unified Directory(OUD))が、スキーマ拡張子を持つoimadminuserおよびコンテナに対して構成されている場合、次の構成手順に従う必要はありません。 |
アイデンティティ・ストアを事前構成するには、次の手順を実行する必要があります。
新しいファイルOUDContainers.ldifを作成します。次のエントリを追加して、ファイルに保存します。
dn:cn=oracleAccounts,dc=mycompany,dc=com cn:oracleAccounts objectClass:top objectClass:orclContainer dn:cn=Users,cn=oracleAccounts,dc=mycompany,dc=com cn:Users objectClass:top objectClass:orclContainer dn:cn=Groups,cn=oracleAccounts,dc=mycompany,dc=com cn:Groups objectClass:top objectClass:orclContainer dn:cn=Reserve,cn=oracleAccounts,dc=mycompany,dc=com cn:Reserve objectClass:top objectClass:orclContainer
ldapaddコマンドを使用して、コンテナをOracle Unified Directoryサーバーにインポートします。これにより、ユーザー、グループおよび予約コンテナが作成されます。
ldapadd -h <OUD Server> -p <OUD port> -D <OUD Admin ID> -w <OUD Admin password> -c -f ./OUDContainers.ldif For example:
ldapadd -h localhost -p 3389 -D "cn=Directory Manager" -w "welcome1" -c -f ./OUDContainers.ldif
このコマンドで認証エラーが返されたら、シンプル・バインド・オプションの「-x」オプションでコマンドを試行します。
ldapadd -h localhost -p 1389 -x -D "cn=Directory Manager" -w "welcome1" -c -f ./OUDContainers.ldif
OUDをインストールした後にOUDと通信するには、OIMプロキシ・ユーザーとACIを構成します。OIM管理ユーザー、グループおよびACIを作成します。
ルート接尾辞はdc=mycompany,dc=comです。これは、OUDサーバーの適切なルート接尾辞と置換できます。
新しいファイルoudadmin.ldifを開きます。次のLDAPエントリを追加して、ファイルoudadmin.ldifを保存します。次のコマンドを実行してldifファイル(oudadmin.ldif)をロードします。
|
注意:
|
cd <OUD instance>/bin
./ldapmodify -h <OUD Server> -p <OUD port> -D <OUD Admin ID> -j <pwd.txt> -c-v-f oudadmin.ldif
Note: In the above command pwd.txt is the text file containing the OUD Admin password.
dn: cn=systemids,dc=mycompany,dc=com
changetype: add
objectclass: orclContainer
objectclass: top
cn: systemids
dn: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com
changetype: add
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetorgperson
mail: oimAdminUser
givenname: oimAdminUser
sn: oimAdminUser
cn: oimAdminUser
uid: oimAdminUser
userPassword: welcome1
dn: cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com
changetype: add
objectclass: groupOfUniqueNames
objectclass: top
cn: oimAdminGroup
description: OIM administrator role
uniquemember: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com
dn: cn=oracleAccounts,dc=mycompany,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///cn=oracleAccounts,dc=mycompany,dc=com")(targetattr =
"*")(version 3.0; acl "Allow OIMAdminGroup add, read and write access to
all attributes"; allow (add, read, search, compare,write, delete, import,export)
(groupdn = "ldap:///cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com");)
dn: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com
changetype: modify
add: ds-privilege-name
ds-privilege-name: password-reset
OUDサーバーで変更ログを構成するには、次の手順を実行します。
|
注意: OUDサーバーのインストール中にレプリケーションを構成した場合のみ、次の手順を実行してください。 |
dsconfigコマンドを使用して、レプリケーション・サーバーを作成します。
dsconfig -h <OUD host> -p <OUD Admin SSL Port> -D <OUD Admin id> -j <password file> -X -n create-replication-server --provider-name 'Multimaster Synchronization' --set replication-port:8989 --set replication-server-id:1 --type generic
dsconfigコマンドを使用して、レプリケーション・ドメインを作成します。
dsconfig -h <OUD host> -p <OUD Admin SSL port> -D <OUD Admin id> -j <password file> -X -n create-replication-domain --provider-name 'Multimaster Synchronization' --set base-dn:<dc=myDomain,dc=com> --set replication-server:<OUD host>:8989 --set server-id:1 --type generic --domain-name <dc=myDomain,dc=com>
ACIが追加されたかどうかを確認するには、次のコマンドを使用します。
./ldapsearch -h <OUD Server> -p <OUD Port> -D "cn=Directory Manager"
-j <pwd.txt> -b "dc=mycompany,dc=com" -s base "objectclass=*" aci
Note: In the above command pwd.txt is the text file containing the OUD Admin password.
OUDにプロキシ・ユーザーがアクセス可能かどうかを確認するには、次のコマンドを使用します。
./ldapsearch -h <OUD Server> -p <OUD Port> -D
"cn=oimAdminUser,cn=systemids,dc=oracle,dc=com" -j <pwd.txt> -b
"cn=changelog" -s sub "changenumber>=0"
Note: In the above command pwd.txt is the text file containing the OUD Admin password.
OUDの変更ログ・ノードにグローバルACIを追加します。
Oracle Fusion Middleware Oracle Unified Directoryコマンドライン使用ガイド11gリリース1(11.1.1)を参照してください。このドキュメントは次の場所で入手できます。
http://docs.oracle.com/cd/E22289_01/html/821-1279/dsconfig.html
前述のドキュメントの手順を実行し、グローバルACIをOUDのcn=changelogエントリに追加します。
(target="ldap:///cn=changelog")(targetattr="*")(version 3.0; acl "External changelog access"; allow(read,search,compare,add,write,delete,export) groupdn="ldap:///cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com";)
denyが優先されないように、グローバルACIからdenyを、またOIMプロキシ・ユーザーからallowを削除する必要があります。
|
注意: OUD 11.1.1.5.0を使用している場合、次のACIを使用します。 (target="ldap:///cn=changelog")(targetattr="*")(version 3.0; acl "External changelog access";deny (all) groupdn!="ldap:///cn=oimAdminGroup,cn=systemids,dc=myDomain,dc=com";) |
Oracle Fusion Middleware Oracle Unified Directoryコマンドライン使用ガイド11gリリース1(11.1.1)を参照してください。このドキュメントは次の場所で入手できます。
http://docs.oracle.com/cd/E22289_01/html/821-1279/dsconfig.html
前述のドキュメントの手順を実行し、デフォルトのdenyグローバルACIをOUDのcn=changelogエントリから削除します。
(target="ldap:///cn=changelog")(targetattr="*")(version 3.0; acl "External changelog access"; deny (all) userdn="ldap:///anyone";)
Oracle Identity Manager(OIM)でユーザー・アカウントをロックするには、OUDサーバーでパスワード・ポリシーを構成する必要があります。
パスワード・ポリシーで、無効なログインの最大試行回数(ソースのLDAPディレクトリ・サーバーで必要です)を定義する必要があります。これでアカウントがロックされます。この最大試行回数は、第5.7.5.2.4項「Oracle Unified Directory(OUD)向けのアダプタの作成」のユーザー管理プラグイン(pwdMaxFailureパラメータ)に定義されているものと同じ値にする必要があります。
次のコマンドを使用し、OUDのパスワード・ポリシーを構成します(ログインに3回失敗したらアカウントをロックする例)。
dsconfig -h <OUD host> -p <OUD Admin SSL port> -D <OUD Admin id> -j <password file> -X -n set-password-policy-prop --policy-name 'Default Password Policy' --set lockout-failure-count:3
