| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionアップグレードおよび移行ガイド 11gリリース1 (11.1.1.7.0) B72438-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionアップグレードおよび移行ガイド 11gリリース1 (11.1.1.7.0) B72438-01 |
|
前 |
次 |
この章では、5.2以降の移行に影響するDirectory Serverに対するアーキテクチャ変更について説明します。Directory Serverに対するすべての変更およびバグ修正の詳細は、『Oracle Directory Server Enterprise Editionリリース・ノート』の第1章のOracle Directory Server Enterprise Edition 11gリリース1 (11.1.1.7.0)の新機能に関する説明を参照してください。
この章の内容は、次のとおりです。
Directory Server 11gリリース1 (11.1.1.7.0)には、バージョン5.2とは異なり管理サーバーがありません。サーバーは、Directory Service Control Center (DSCC)に登録するようになり、WebベースのGUIまたはコマンドライン・ツールを使用してリモートから管理するようになりました。
新しい管理フレームワークに移行するには、次を実行する必要があります。
各サーバーを個々に移行する
DSCCに各サーバーを登録する
新しい管理モデルでは、Directory ServerインスタンスはServerRootとは関連付けなくなりました。各Directory Serverインスタンスは、通常のスタンドアロン・ディレクトリと同様な方法で操作できるスタンドアロン・ディレクトリです。
o=netscapeRootサフィックスの削除Directory Serverの以前のバージョンでは、管理情報は一元的にo=netscapeRootに保持されていました。新しい管理モデルでは、構成ディレクトリ・サーバーという概念はなくなりました。o=netscapeRootサフィックスが必要でなくなったため、netscapeRootデータベース・ファイルは移行されなくなりました。このサフィックスの構成データは、特に必要な場合は移行することが可能です。
Directory Server 11gリリース1 (11.1.1.7.0)のACIでは、次が変更されています。
Directory Server 5.2のルートDSEのACIには、ベース・スコープがありました。Directory Server 11gリリース1 (11.1.1.7.0)のルートDSEのACIには、デフォルトでtargetscope="subtree"と同等なグローバル・スコープがあります。
Directory Server 5.2と同じ動作を再現するには、ルートDSEのACIにtargetscope="base"を追加します。これは、構成の移行にdsmigを使用した場合は自動的に実行されます。
Directory Server 5.2には、サフィックス・レベルで次のACIがあります。
aci: (targetattr != "nsroledn || aci || nsLookThroughLimit || nsSizeLimit || nsTimeLimit || nsIdleTimeout || passwordPolicySubentry || passwordExpirationTime || passwordExpWarned || passwordRetryCount || retryCountResetTime || acc ountUnlockTime || passwordHistory || passwordAllowChangeTime")(version 3.0; acl "Allow self entry modification except for nsroledn, aci, resource limit attributes, passwordPolicySubentry and password policy state attributes"; allow (write)userdn ="ldap:///self";)
このACIでは、ユーザー・パスワードの自己変更などが許可されていました。このACIは、Directory Server 11gリリース1 (11.1.1.7.0)には含まれなくなりました。かわりに、デフォルトで次のグローバルACIが用意されています。
aci: (targetattr != "aci") (targetscope = "base") (version 3.0; aci "Enable read access to rootdse for anonymous users"; allow(read,search,compare) user dn="ldap:///anyone"; ) aci: (targetattr = "*") (version 3.0; acl "Enable full access for Administrators group"; allow (all)(groupdn = "ldap:///cn=Administrators,cn=config"); ) aci: (targetattr = "userPassword") ( version 3.0; acl "allow userpassword self modification"; allow (write) userdn = "ldap:///self";)
Directory Server 11gリリース1 (11.1.1.7.0)では、ルートDSEレベルでのデフォルトのuserPassword ACIが、サフィックス・レベルでのデフォルトのレガシーACIと同等なアクセス制御を行います。ただし、レガシー・バージョンと完全に同じアクセス制御を再現したい場合は、サフィックスに次のACIを追加する必要があります。このACIは、レガシーACIにDirectory Server 11gリリース1 (11.1.1.7.0)の新しいパスワード・ポリシー操作属性を持たせたものです。
aci: (targetattr != "nsroledn || aci || nsLookThroughLimit || nsSizeLimit || nsTimeLimit || nsIdleTimeout || passwordPolicySubentry || passwordExpirationTime || passwordExpWarned || passwordRetryCount || retryCountResetTime || accountUnlockTime || passwordHistory || passwordAllowChangeTime || pwdAccountLockedTime || pwdChangedTime || pwdFailureTime || pwdGraceUseTime || pwdHistory || pwdLastAuthTime || pwdPolicySubentry || pwdReset")(version 3.0; acl "Allow self entry modification except for nsroledn, aci, resource limit attributes, passwordPolicySubentry and password policy state attributes"; allow (write)userdn ="ldap:///self";)
|
ヒント: ユーザーにすべての書込み権限を付与後、特定の属性の書込み権限を制限しないでください。かわりに、書込み権限を許可する属性を明示的に列挙します。 |
コマンドライン・ツールの大部分の機能は、dsadmとdsconfの2つのコマンドのみに置き換えられました。
次の表に、Directory Server 5.2で使用されていたコマンドと、それに対応するDirectory Server 6および11gリリース1 (11.1.1.7.0)のコマンドを示します。バージョン11gリリース1 (11.1.1.7.0)では、これらのコマンドのデフォルトのパスは/opt/SUNWdsee7/binになります。zipインストールからインストールした場合は、デフォルトのパスはinstall-path/dsee7/binになります。
表9-1 Directory Server 5、6および7のコマンド
| バージョン5.2のコマンド | バージョン6のコマンド | バージョン11gリリース1 (11.1.1.7.0)のコマンド | 説明 |
|---|---|---|---|
|
|
|
|
バックアップからデータベースをリストアします(ローカル、オフライン) |
|
|
|
|
バックアップからデータベースをリストアします(リモート、オンライン) |
|
|
|
|
データベースのバックアップ・アーカイブを作成します(ローカル、オフライン) |
|
|
|
|
データベースのバックアップ・アーカイブを作成します(リモート、オンライン) |
|
|
|
|
インデックスを作成および生成します(ローカル、オフライン) |
|
|
|
|
インデックスを作成および生成します(リモート、オンライン) |
|
|
|
|
LDIFにデータベース・コンテンツをエクスポートします(ローカル、オフライン) |
|
|
|
|
LDIFにデータベース・コンテンツをエクスポートします(リモート、オンライン) |
|
|
|
|
複数のレプリカの同じエントリを比較します |
|
|
|
|
LDIFファイルのフィルタされたバージョンを作成します |
|
|
削除されています |
削除されています |
暗号化されたパスワードを出力します |
|
|
|
|
パッチとシステム・チューニングを確認します |
|
|
|
|
複数のレプリカ間の同期について示します |
|
|
|
|
LDIFからデータベース・コンテンツをインポートします(ローカル、オフライン) |
|
|
|
|
LDIFからデータベース・コンテンツをインポートします(リモート、オンライン) |
|
|
|
|
LDAPを介してLDIFからデータをインポートします(リモート、オンライン) |
|
|
|
|
以前のバージョンからデータを移行します |
|
|
|
|
複数のLDIFファイルを結合します |
|
|
|
|
パフォーマンスの監視情報を取得します |
|
|
削除されています |
削除されています |
Directory ServerのSNMPサブエージェントを起動します |
|
|
|
|
暗号化された形式のパスワードを出力します |
|
|
|
|
レプリケーション・トポロジを検出します |
|
|
|
|
Directory Serverインスタンスを再起動します |
|
|
|
|
管理サーバーの構成をリストアします |
|
|
削除されています |
削除されています |
管理サーバーの構成を保存します |
|
|
|
|
スキーマ変更のタイム・スタンプを更新します |
|
|
|
|
Directory Serverインスタンスを起動します |
|
|
|
|
Directory Serverインスタンスを停止します |
|
|
|
|
サフィックスのバックエンド名を参照します |
|
|
|
|
仮想リスト表示インデックスを作成します |
表9-2 Directory Server 5、6および7のコマンド
| バージョン5.2のコマンド | バージョン6のコマンド | バージョン11gリリース1 (11.1.1.7.0)のコマンド | 説明 |
|---|---|---|---|
|
|
|
|
アカウントのステータスを確認します |
|
|
|
|
エントリまたはグループ・エントリをアクティブ化します |
|
|
インストール手順 |
インストール手順 |
Directory Serverをインストールします |
|
|
|
|
エントリまたはグループ・エントリを非アクティブ化します |
|
|
アンインストール手順 |
アンインストール手順 |
Directory Serverをアンインストールします |
ダウンロードしたJavaのSwingベースのコンソールは、Directory Service Control Center (DSCC)に置き換わりました。DSCCは、Webブラウザを使用するディレクトリ・サービス全体を管理するグラフィカル・インタフェースです。DSCCは移行の必要がありません。移行したDirectory ServerインスタンスはDSCCに登録できます。DSCCの詳細は、『Oracle Directory Server Enterprise Editionリファレンス』の第2章のDirectory Serverの概要に関する説明を参照してください。
Directory Server 11gリリース1 (11.1.1.7.0)には、LDAPディレクトリのパスワード・ポリシーに関するインターネット・ドラフト(http://datatracker.ietf.org/doc/draft-behera-ldap-password-policy/)で説明されている標準のオブジェクト・クラスおよび属性を使用するパスワード・ポリシーが実装されています。
このパスワード・ポリシーには次の機能があります。
ログインに対する制限の猶予(pwdGraceAuthNLimit属性で指定)。この属性は、期限切れのパスワードを認証に使用できる回数を指定します。これがない場合や0に設定されている場合、認証は失敗します。
安全なパスワードの変更(pwdSafeModify属性で指定)。この属性は、パスワードの変更時に既存のパスワードを送信する必要があるか指定します。属性がない場合、既存のパスワードは送信する必要がありません。
また、このパスワード・ポリシーでは次も制御しています。
LDAP_CONTROL_PWP_[REQUEST|RESPONSE]
LDAP_CONTROL_ACCOUNT_USABLE_[REQUEST|RESPONSE]
LDAPクライアントは、これらのコントロールによりアカウントのステータス情報を取得できます。
LDAP_CONTROL_PWPコントロールはLDAPのバインド、検索、変更、追加、削除、modDNおよび比較操作のアカウントのステータス情報を提供します。
検索でOID 1.3.6.1.4.1.42.2.27.8.5.1を使用すると、次の情報を得ることができます。
パスワードが期限切れになるまでの時間
ログインを試行できる残りの回数
パスワードが失効しているかどうか
アカウントがロックされているかどうか
リセット後にパスワードを変更する必要があるかどうか
パスワードの変更が許可されているかどうか
ユーザーが古いパスワードを入力する必要があるかどうか
パスワードの品質(構文)が不適切かどうか
パスワードが短いかどうか
前回のパスワード変更からの間隔が短いかどうか
パスワードが履歴にすでにあるかどうか
LDAP_CONTROL_PWPコントロールは、警告およびエラーの状態を示します。制御値は、次の意味がある{tii}の形式のBERオクテット文字列です。
tは、警告が設定されている場合のタグ定義です。tの値は、次のいずれかになります。
LDAP_PWP_WARNING_RESP_NONE (0x00L) LDAP_PWP_WARNING_RESP_EXP (0x01L) LDAP_PWP_WARNING_RESP_GRACE (0x02L)
最初のiは警告情報を示します。
警告は、tに設定した次の値に依存します。
tがLDAP_PWP_WARNING_RESP_NONEに設定されている場合、警告は-1になります。
tがLDAP_PWP_WARNING_RESP_EXに設定されている場合、警告は期限切れになるまでの秒数になります。
tがLDAP_PWP_WARNING_RESP_GRACEに設定されている場合、警告はログインを試行できる残りの回数になります。
2番目のiは、エラー情報を示します。tがLDAP_PWP_WARNING_RESP_NONEに設定されている場合、エラーには次のいずれかの値が含まれます。
pwp_resp_no_error (-1) pwp_resp_expired_error (0) pwp_resp_locked_error (1) pwp_resp_need_change_error (2) pwp_resp_mod_not_allowed_error (3) pwp_resp_give_old_error (4) pwp_resp_bad_qa_error (5) pwp_resp_too_short_error (6) pwp_resp_too_young_error (7) pwp_resp_in_hist_error (8)
LDAP_CONTROL_ACCOUNT_USABLEコントロールは、LDAPの検索操作のみのアカウントのステータス情報を示します。
パスワード・ポリシーの互換性の問題の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』を参照してください。
この項では、バージョン5.2以降にDirectory Serverに追加された新しいプラグインを列挙します。また、この項では、古いプラグインAPIで作成したカスタム・プラグインを使用している場合に実行する必要のある事柄についても説明します。
追加されたプラグインは次のとおりです。
cn=gle,cn=plugins,cn=config cn=MemberOf Plugin,cn=plugins,cn=config cn=Monitoring Plugin,cn=plugins,cn=config cn=ObjectDeletionMatch,cn=plugins,cn=config cn=pswsync,cn=plugins,cn=config cn=Replication Repair,cn=plugins,cn=config cn=RMCE,cn=Password Storage Schemes,cn=plugins,cn=config cn=Strong Password Check,cn=plugins,cn=config
これらのプラグインの詳細は、plugin(5dsconf)のマニュアル・ページを参照してください。
独自に開発したカスタム・プラグインがある場合、Directory Server 11gリリース1 (11.1.1.7.0)で動作するように再コンパイルする必要があります。プラグインAPIに行われた変更のすべてのリストについては、『Oracle Directory Server Enterprise Edition開発者ガイド』の第2章のDirectory Server 5.2以降のプラグインAPIに対する変更に関する説明を参照してください。
この項では、Directory Server 5.2以降のインストール済の製品レイアウトに対する変更の概要を示します。Directory Server 5.2以降、次の項で説明するいくつかのファイルおよびユーティリティは非推奨になっています。
Directory Server 11gリリース1 (11.1.1.7.0)では、サーバー・インスタンスの管理に管理サーバーは使用されなくなりました。
したがって、以前ServerRoot下にあった次のシステム管理ユーティリティは非推奨になっています。
restart-admin
start-admin
startconsole
stop-admin
uninstall
ServerRoot/bin下の次のユーティリティは非推奨になっています。
ServerRoot/bin/admin/admconfig
ServerRoot/bin/https/bin/ns-httpd
ServerRoot/bin/https/bin/uxwdog
ServerRoot/bin/slapd/server/ns-ldapagt
Solaris SPARCでは、ns-slapdデーモンは、install-path/lib/sparcvSolaris-Versionにあります。Solaris SPARC以外のプラットフォームでは、ns-slapdデーモンは、install-path/libにあります。
Directory Server 5.2では、製品ライブラリおよびプラグインがServerRoot/libにありました。Solaris SPARC上のDirectory Server 11gリリース1 (11.1.1.7.0)では、これらのライブラリおよびプラグインは、install-path/lib/sparcvSolaris-Versionに配置されています。Solaris SPARC以外のプラットフォームでは、これらはinstall-path/lib下にあります。
Directory Server 11gリリース11.1.1.5.0のコンソール・オンライン・ヘルプは/opt/SUNWdsee7/resources/dcc7app/htmlに配置されていました。このリリースの「ヘルプ」ボタンは、Oracle Technology NewtorkにホストされているODSEEオンライン・ドキュメントにリンクしています。
次の表に、サンプルのサーバー・プラグイン、プラグイン開発用のヘッダー・ファイルの新しい場所を示します。
表9-3 プラグインのサポート
| Directory Server 5.2のプラグイン・ディレクトリ | Directory Server 11gリリース1 (11.1.1.7.0)のプラグイン・ディレクトリ | 備考 |
|---|---|---|
|
|
この製品では提供されなくなりました。すべてのコード・ファイルは、 |
サンプル・プラグイン |
|
|
|
プラグイン・ヘッダー・ファイル |
Directory ServerではSNMPがサポートされなくなりました。SNMPと関係するすべてのプラグインおよびバイナリは、Directory Serverでは非推奨になっています。
これらは、次などのプラグインです。
ServerRoot/plugins/snmp/magt/magt
ServerRoot/plugins/snmp/mibs/
ServerRoot/plugins/snmp/sagt/sagt
SNMPの監視の有効化の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』を参照してください。
ServerRoot/shared/bin下にあったユーティリティ次の表に、以前ServerRoot/shared/bin下にあった管理ツールの新しい場所を示します。これらの一部のツールは、管理フレームワークに対する変更のため非推奨になっていることに注意してください。
表9-4 以前ServerRoot/shared/bin下にあったツール
| 5.2のファイル | 11gリリース1 (11.1.1.7.0)のファイル | 用途 |
|---|---|---|
|
|
非推奨 |
IPアドレスを変更します |
|
|
|
レプリケーション用にエントリを比較します |
|
|
|
フィルタされたLDIFをダンプします |
|
|
|
レプリケーションの同期を確認します |
|
|
|
属性値を比較します Directory Server 11gリリース1 (11.1.1.7.0)では、このユーティリティを取得するために |
|
|
|
ディレクトリのエントリを削除します Directory Server 11gリリース1 (11.1.1.7.0)では、このユーティリティを取得するために、 |
|
|
|
ディレクトリのエントリを変更します Directory Server 11gリリース1 (11.1.1.7.0)では、このユーティリティを取得するために、 |
|
|
|
ディレクトリのエントリを検索します Directory Server 11gリリース1 (11.1.1.7.0)では、このユーティリティを取得するために、 |
|
|
非推奨 |
PKCS #11モジュールを管理します |
|
|
非推奨 |
ISOからUTF-8に変換します |
|
|
|
レプリケーション・トポロジを検出します |
次の表に、Directory Server 11gリリース1 (11.1.1.7.0)の証明書およびキー・ファイルの新しい場所を示します。
表9-5 証明書およびキー・ファイルの場所
| 5.2のファイル | 11gリリース1 (11.1.1.7.0)のファイル | 備考 |
|---|---|---|
|
|
|
証明書をディレクトリ・エントリにマップする構成ファイルです |
|
|
|
信頼できる証明書データベース・ファイルです |
|
|
|
クライアント・キーを含むデータベース・ファイルです |
|
|
|
|
Directory Server 5.2には、ServerRoot/setup5ディレクトリにサイレント・インストールおよびアンインストール用のサンプル・テンプレートが用意されていました。Directory Server 11gリリース1 (11.1.1.7.0)では、サイレント・インストールおよびアンインストールは不要になったため、これらのファイルは非推奨になっています。
ServerRoot/slapd-ServerID下にあったサーバー・インスタンスのスクリプト以前ServerRoot/slapd-ServerIDにあったコマンドラインの管理スクリプトは、新しい管理フレームワークでは置き換えられ、非推奨になっています。これらのコマンドおよびそれらのDirectory Server 11gリリース1 (11.1.1.7.0)での対応コマンドについては、「コマンドラインに対する変更」で説明しています。
次の表に、以前ServerRoot/slapd-instance-nameにあった構成、ログおよびバックアップ・データの新しい場所を示します。
表9-6 インスタンス固有のサブディレクトリ
| バージョン5.2のディレクトリ | バージョン11gリリース1 (11.1.1.7.0)のディレクトリ | 備考 |
|---|---|---|
|
|
|
ディレクトリ・インスタンスのデータベース・バックアップ |
|
|
非推奨 |
管理サーバーの構成のバックアップ |
|
|
非推奨 |
ディレクトリ・インスタンスの構成のバックアップ |
|
|
|
ディレクトリ・インスタンスの構成 |
|
|
|
ディレクトリ・インスタンスのスキーマ |
|
|
|
ディレクトリ・インスタンスのデータベース |
|
|
|
サンプルのLDIFファイル |
|
|
|
ランタイム・プロセスのロック |
|
|
|
サーバー・インスタンスのログ・ファイル |
|
|
|
実行時の一時ファイル |
