Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
この章では、Directory Proxy ServerとバックエンドLDAPサーバー間の接続の構成方法について説明します。この章の内容は次のとおりです。
LDAPデータソースが作成されるとき、LDAPデータソースに対して開いているデフォルトの接続数は、6個です。つまり、読取り、バインドおよび書込みの各操作それぞれに2個ずつです。デフォルトの接続を確認するには、次のコマンドを入力します。
$ dpconf get-ldap-data-source-prop src-name num-read-init num-write-init num-bind-init
num-bind-init : 2
num-read-init : 2
num-write-init : 2
接続数は、トラフィックが増加すると自動的に増加します。
Directory Proxy ServerとバックエンドLDAPサーバー間の接続の構成方法の詳細は、次の手順を参照してください。
注意: この手順では、バインド操作の接続数を構成します。読取り操作または書込み操作の接続数を構成するには、同じ手順を |
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
バインド操作のためのDirectory Proxy ServerとバックエンドLDAPサーバー間の初期接続数を構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ num-bind-init:new-value
バインド操作のための接続の増分を構成します。
増分は、現在の接続数を超える接続がリクエストされるたびに追加される接続数です。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ num-bind-incr:new-value
バインド操作のための最大接続数を構成します。
最大接続数に達すると、それ以上の接続を追加できません。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ num-bind-limit:new-value
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverがデータソースへの接続を試行できる最長時間を構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ connect-timeout:new-value
たとえば、接続タイムアウトを10ミリ秒に構成します。
$ dpconf set-ldap-data-source-prop -h host1 -p 1389 data-source-name connect-timeout:10
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverが接続プール内の確立された接続が使用可能になるまで待機できる最長時間を構成します。
$ dpconf set-server-prop -h host -p port data-source-name \ connection-pool-wait-timeout:value
たとえば、タイムアウトを20秒に構成します。
$ dpconf set-ldap-data-source-prop -h host1 -p 1389 data-source-name \
connection-pool-wait-timeout:20000
次の手順では、Directory Proxy ServerとバックエンドLDAPサーバー間にSSLを構成する方法について説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy ServerとバックエンドLDAPサーバー間にセキュア・ポートを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ ldaps-port:port-number
Directory Proxy ServerとバックエンドLDAPサーバー間の接続にいつSSLを使用するかを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name ssl-policy:value
valueがalways
の場合、SSLは常に接続に使用されます。
valueがclient
の場合、クライアントがSSLを使用している場合にSSLが使用されます。
接続がSSLを使用していない場合、startTLS
コマンドを使用して、接続をSSLにプロモートできます。
Transport Layer Security(TLS)は、標準バージョンのSSLです。TLS over LDAPは、IETF認可のLDAPを保護する標準の方法です。LDAPSは、事実上の標準ですが、サービスに対してポートが1つのみではなく2つあるなど、若干の複雑さがあります。
「Directory Proxy ServerのSSL暗号およびSSLプロトコルの選択」の説明に従って、SSLのプロトコルおよび暗号を選択します。
バックエンドLDAPサーバーからSSLサーバー証明書を検証するようにDirectory Proxy Serverを構成します。
詳細は、「バックエンドDirectory ServerからDirectory Proxy Serverの証明書データベースに証明書を追加するには:」を参照してください。
バックエンドLDAPサーバーがDirectory Proxy Serverからの証明書をリクエストした場合、SSLクライアント証明書を送信するようにDirectory Proxy Serverを構成します。
詳細は、「バックエンドLDAPサーバーへの証明書のエクスポート」を参照してください。
Directory Proxy Serverのインスタンスを再起動して、変更を有効にします。
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
Directory Proxy Serverが使用できる暗号およびプロトコルは、使用されるJava仮想マシン(JVM)によって異なります。デフォルトでは、Directory Proxy Serverは、JVMマシンに対して有効にされているデフォルトの暗号およびプロトコルを使用します。
この手順を使用して、サポートされている暗号とプロトコル、および有効にされている暗号とプロトコルを取得します。暗号またはプロトコルがサポートされている場合、これを有効化または無効化できます。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
サポートされている暗号およびプロトコルのリストを表示します。
$ dpconf get-server-prop -h host -p port supported-ssl-cipher-suites \ supported-ssl-protocols
有効にされている暗号およびプロトコルのリストを表示します。
$ dpconf get-server-prop -h host -p port enabled-ssl-cipher-suites \ enabled-ssl-protocols
サポートされている1つ以上の暗号またはプロトコルを有効にします。
サポートされている1つ以上の暗号を有効にします。
$ dpconf set-server-prop -h host -p port \ enabled-ssl-cipher-suites:supported-ssl-cipher-suite \ [enabled-ssl-cipher-suites:supported-ssl-cipher-suite ...]
暗号を既存のサポートされている暗号のリストに追加するには、次のコマンドを使用します。
$ dpconf set-server-prop -h host -p port \ enabled-ssl-cipher-suites+:supported-ssl-cipher-suite
サポートされている1つ以上のプロトコルを有効にします。
$ dpconf set-server-prop -h host -p port \ enabled-ssl-cipher-protocols:supported-ssl-cipher-protocol \ [enabled-ssl-cipher-protocols:supported-ssl-cipher-protocol ...]
プロトコルを既存のサポートされているプロトコルのリストに追加するには、次のコマンドを使用します。
$ dpconf set-server-prop -h host -p port \ enabled-ssl-cipher-protocols+:supported-ssl-cipher-protocol
サポートされている暗号またはプロトコルを無効にします。
$ dpconf set-server-prop -h host -p port \ enabled-ssl-cipher-protocols-:supported-ssl-cipher-protocol
この項では、リクエストをDirectory Proxy ServerからバックエンドLDAPサーバーに転送するために使用できる様々な方法について説明します。
Directory Proxy Serverのクライアント資格証明のバインド・リプレイの詳細は、Oracle Directory Server Enterprise Editionのリファレンスのバインド・リプレイのために構成されたDirectory Proxy Serverに関する項を参照してください。次の手順では、バインド・リプレイを使用してリクエストをDirectory Proxy ServerからバックエンドLDAPサーバーに転送する方法について説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
クライアントによって提供される資格証明を使用して、バックエンドLDAPサーバーに対して認証するようにデータソースのクライアント資格証明を構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-client-identity
Directory Proxy Serverでのプロキシ認可の詳細は、Oracle Directory Server Enterprise Editionのリファレンスのプロキシ認可のために構成されたDirectory Proxy Serverに関する項を参照してください。
この項では、プロキシ認可を使用してリクエストを転送する手順およびプロキシ認可制御を使用してリクエストを転送する手順について説明します。
バージョン1またはバージョン2のプロキシ認可制御をするためのデータソースを構成します。
たとえば、バージョン1のプロキシ認可制御のためのデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:true
または、バージョン2のプロキシ認可制御のためのデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:false
プロキシ認可を使用してバックエンドLDAPサーバーに対して認証するようにデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth
書込み操作のみに対してプロキシ認可を使用して、バックエンドLDAPサーバーに対して認証するようにデータソースを構成するには、次のコマンドを実行します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth-for-write
プロキシ認可制御を使用して書込み操作のみが実行されると、読取りリクエストに対するクライアントIDは、LDAPサーバーに転送されません。クライアントIDなしでのリクエストの転送の詳細は、「クライアントIDなしでのリクエストの転送」を参照してください。
Directory Proxy Serverのバインド資格証明を使用してデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:DPS-bind-dn bind-pwd-file:filename
タイムアウトを使用してデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-check-timeout:value
Directory Proxy Serverは、getEffectiveRights
コマンドを使用して、クライアントDNにプロキシ認可のための関連ACIがあることを確認します。この結果は、Directory Proxy Serverにキャッシュされ、proxied-auth-check-timeout
が期限切れになると更新されます。
必要な場合は、Directory Proxy Serverのインスタンスを再起動して、変更を有効にします。
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
バージョン1、バージョン2または両方のプロキシ認可制御を受け入れるようにDirectory Proxy Serverを構成します。
$ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2
次の手順では、クライアントIDを転送せずにリクエストをDirectory Proxy ServerからバックエンドLDAPサーバーに転送する方法について説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverの資格証明を使用してバックエンドLDAPサーバーに対して認証するようにデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-specific-identity
Directory Proxy Serverのバインド資格証明を使用してデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:bind-dn-of-DPS bind-pwd-file:filename
必要な場合は、Directory Proxy Serverのインスタンスを再起動して、変更を有効にします。
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
この項では、代替ユーザーとしてリクエストを転送する方法について説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
代替ユーザーを使用して転送する操作を有効にします。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
リモート・マッピングのIDを含む属性の名前を指定します。
$ dpconf set-server-prop -h host -p port \ remote-user-mapping-bind-dn-attr:attribute-name
Directory Proxy Serverを有効にして、クライアントIDをリモートでマップします。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true
デフォルトのマッピングを構成します。
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename
マップされるIDがリモートLDAPサーバーにない場合、クライアントIDがデフォルトのIDにマップされます。
リモートLDAPサーバーのクライアントのエントリでユーザー・マッピングを構成します。
Directory Serverでのユーザー・マッピングの構成の詳細は、「プロキシ認可」を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
代替ユーザーを使用して転送する操作を有効にします。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
Directory Proxy ServerがクライアントIDをリモートでマップするように構成されていないことを確認します
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false
デフォルトのマッピングを構成します。
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename
リモートLDAPサーバーへのマッピングが失敗すると、クライアントIDはこのDNにマップされます。
認証されていないユーザーが操作を実行することを許可する場合、認証されていないクライアントのマッピングを構成します。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
認証されていないユーザーによる操作の実行を許可する方法の詳細は、「匿名アクセスを構成するには:」を参照してください。
クライアントのIDを構成します。
$ dpconf set-user-mapping-prop -h host -p port \ user-bind-dn:client-bind-dn user-bind-pwd-file:filename
代替ユーザーのIDを構成します。
$ dpconf set-user-mapping-prop -h host -p port \ mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
認証されていないクライアントのマッピングを構成します。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
匿名クライアントのマッピングは、Directory Proxy Serverで構成されます。これは、リモートLDAPサーバーには、匿名クライアントのエントリが含まれていないためです。
認証されていないユーザーによる操作の実行の許可の詳細は、「匿名アクセスを構成するには:」を参照してください。