| Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition評価ガイド 11g リリース1 (11.1.1.7.0) B72442-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition評価ガイド 11g リリース1 (11.1.1.7.0) B72442-01 |
|
前 |
次 |
この章では、Oracle Directory Server Enterprise Editionのコンポーネントを紹介し、DSEE管理モデルを説明し、また最新の機能について説明します。この章の内容は、次のとおりです。
Directory Server Enterprise Editionは、アイデンティティ・データの格納や管理に、セキュアで、可用性が高く、拡張可能なディレクトリ・サービスを提供します。Directory Server Enterprise Editionは、エンタープライズ・アイデンティティ・インフラストラクチャの基盤です。これにより、重要なエンタープライズ・アプリケーションおよび大規模なエクストラネット・アプリケーションは、一貫性と信頼性のあるアイデンティティ・データにアクセスできるようになります。
Directory Server Enterprise Editionは、アイデンティティ・プロファイル、アクセス権限、アプリケーションおよびネットワーク・リソース情報を格納および管理するための中央リポジトリを提供します。Directory Server Enterprise Editionは、複数のプラットフォーム環境に円滑に統合します。また、Microsoft Active Directoryを使用して、オンデマンドのパスワード、ユーザーおよびグループの同期をセキュアに実行することもできます。
Directory Server Enterprise Editionより前では、これらの機能は、4つの別々の製品(Directory Server、Directory Proxy Server、Directory Server Resource KitおよびIdentity Synchronization for Windows)の一部でした。これらの製品は、包括的に統合された1つのソリューションのコンポーネントになりました。
企業では、ユーザーやアプリケーションが増えるほど、強力なディレクトリ・サービスの重要性が大きくなります。Directory Server Enterprise Editionでは、急速に変化および拡張する企業が直面する課題を、次のようなサービス品質要件を提供することで解決します。
可用性。エンド・ユーザーがどのくらいの頻度でシステムのリソースやサービスにアクセスできるかを示す尺度で、システムの稼働時間と呼ばれることもあります。
スケーラビリティ。デプロイされているシステムに容量およびユーザーを一定の期間にわたり追加する能力。スケーラビリティには通常、システムにリソースを追加する必要がありますが、デプロイメント・アーキテクチャを変更する必要はありません。
セキュリティ。システムおよびそのユーザーの整合性を説明する要因の複雑な組み合せ。セキュリティには、ユーザーの認証と認可、データのセキュリティおよびデプロイされているシステムへのセキュアなアクセスが含まれます。
相互運用性。システムが他のシステムと連動するときの容易さ。
運用性。デプロイされているシステムを維持するときの容易さ。メンテナンス・タスクには、システムの監視、発生した問題の修復およびハードウェアやソフトウェア・コンポーネントのアップグレードなどがあります。
この章では、Directory Server Enterprise Editionのコンポーネントがどのようにサービス品質の要件を満たすかを簡単に説明します。このガイドの後の項で、要件を詳しく説明します。
Directory Server Enterprise Edition (DSEE)は、エンタープライズ・アイデンティティ・インフラストラクチャの重要要素として機能します。DSEEには、次のコンポーネントがあります。
これらのコンポーネントはそれぞれ、前述の1つ以上のサービス品質の要件を満たします。この項では、コンポーネントについて説明し、それらがどのように組み合さって強力なディレクトリ・サービスを提供するか説明します。
Directory Serverは、アイデンティティ情報に拡張可能でパフォーマンスの高いデータ・ストアを提供します。Directory Serverは、Lightweight Directory Access Protocol (LDAP) v3およびDirectory Service Markup Language (DSML) v2をネイティブにサポートしているため、規格に基づいたアクセスが可能です。HTTPまたはSOAP (Simple Object Access Protocol)経由でLDAPおよびDSMLを使用すると、ネットワーク上にいるクライアントは、安全にディレクトリ・データ・オブジェクトを検索したり更新することができます。また、クライアントは、他のアプリケーションが変更した内容を受信し、ファイアウォールを使用していてもユーザーまたはアプリケーションを認証することができます。
Directory Serverは、情報セキュリティ・ポリシーを遵守できるように、複数のセキュリティ機能を提供しています。これらの機能は、適切な認証を持つユーザーのみが情報にアクセスできることを保証します。
マクロレベルの動的アクセス制御命令(ACI)。LDAP属性のレベルでアクセスを定義する方法を提供します。アクセス制御ポリシーは、一度定義するとディレクトリ・ツリーで再利用できます。マクロACIを使用して、ディレクトリ内のACIの数を最適化できるため、セキュリティ・フレームワークの複雑さを緩和することができます。
ロール・ベース・アクセス。ユーザーのエントリの情報に基づいてアクセスできるようになります。ロールは、グループのように定義、および管理されますが、ロールを使用すると、アプリケーションのグループ化メカニズムはさらに効率的になります。ロールをACIで使用して、データへのアクセスを制御できます。また、ロールを、Directory Serverの1つであるサービス・クラス(CoS)で使用して、同時に多くのエントリに適用できる仮想属性を作成できます。これらの仮想属性は、エントリに必要な記憶域を削減します。また、1回の変更で、無制限の関連するエントリを更新できます。
実効権限取得制御。ユーザーが持っている一連の情報に対するアクセス権の種類を判断する方法を提供します。ディレクトリ サービスのアクセス・ポリシーを管理する管理者は、ディレクトリ・ユーザーおよびアプリケーションの権限を監査することで、セキュリティを厳しくすることができます。この機能を使用すると、ユーザーの権限に基づいた適応インタフェースを使用してアプリケーションを作成することができます。
暗号化メカニズム。通信チャンネルを使用して転送するときのディスク上のデータを保護します。Directory Serverは、部分レプリケーションおよびアクセスに基づくデータの非表示もサポートしています。これらのメカニズムを使用して、欧州連合およびその他の国際的なプライバシー規則に準拠することができます。
複数のパスワード・ポリシー。1人のユーザーを対象に定義することも、特定のグループを対象に定義することもできます。これらのポリシーは、ユーザーが定期的にパスワードを変更して、アカウントへの不正なアクセスがブロックされることを確実にするために役立ちます。
Directory Serverは、様々なアクセス・プロトコルをネイティブにサポートし、分散環境での可用性を保証する、柔軟性の高いスケーラブルなレプリケーション環境を提供します。
Directory Serverレプリケーションは、これらのプロトコルを使用してアイデンティティ・データにアクセスするアプリケーションでのシングル・ポイント障害を防ぎます。Directory Serverは、ローカルおよびワイド・エリア・ネットワーク上のレプリケートされた環境で、理論的に無制限の数のマスターおよび読取り専用コンシューマをサポートしています。レプリケーション・プロトコルの特別な機能により、遅延の大きいネットワークでデータをレプリケートする際に最適化できます。詳細は、『Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』の可用性を高めるためのレプリケーションおよび冗長性の使用に関する説明を参照してください。
Directory Serverは、大規模なデプロイメントの再設計が必要ない、垂直および並行な拡張性を提供します。デプロイメントが大規模になると、このレベルのスケーラビリティは、ますます重要になります。
ハードウェアによっては、Directory Serverによって、1台のコンピュータで1秒当たり20,000回の検索の実行を維持することが可能となり、1秒当たり数千回の検索に水平に拡張できます。Directory Serverをデプロイして読込みのスケーラビリティを高める方法の詳細は、『Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』の第10章のスケーリングされたデプロイメントの設計に関する説明を参照してください。
組織内での利用が拡大するにつれ、情報を絶えず格納したり更新する必要性が増大します。Directory Serverのパフォーマンスの更新は、リレーショナル・データベースの読込みパフォーマンスと同様です。Directory Serverをデプロイして書込みのスケーラビリティを高める方法の詳細は、『Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』の第10章のスケーリングされたデプロイメントの設計に関する説明を参照してください。
Directory Serverは、「キャッシュからの読込み」操作に最大28CPUの線形のCPUスケーラビリティを提供します。これにより、最大メモリー容量にアクセスして高いパフォーマンスを実現することができるため、1つのシステム上に大規模なディレクトリを収容してハードウェアのメリットを最大化することができます。
Directory Serverは、各サーバーとディレクトリ・サービス全体を管理する包括的な管理ツールのセットを提供します。
集中管理されたWebベースの管理コンソールを使用して、複数のDirectory Serverを構成したり管理することができます。インタフェースには、構成から監視に至るまでの、日常的に行われる効果的なサーバー管理やサービスに必要なツールが含まれています。また、サーバーの実行中に、dsadmおよびdsconfコマンドライン・ユーティリティを動的に使用できます。これらの管理機能により、ディレクトリがオンラインのときでもほとんどの管理操作を実行できるため、可用性が最大化されます。
柔軟に管理できるため、多数の異なる環境へのディレクトリ・サービスのデプロイメントが簡略化されます。コマンドライン・ユーティリティを使用すると、リモート管理は、サービスがローカルのデータ・センターにあるかのように簡単になります。
Directory Proxy Serverは、LDAPアプリケーション層プロトコル・ゲートウェイです。これは、ディレクトリ・アクセス制御、スキーマ互換性および高可用性が強化されるように設計されています。
構成可能なロード・バランシング、フェイルオーバーおよびフェイルバックなどの機能を使用する場合、Directory Proxy Serverによって、システムが必要なデータにアクセスできることが保証されます。
Directory Proxy Serverは、Directory Serverと連携して動作することで信頼性を保証し、DoS攻撃から保護します。Directory Proxy Serverは、リクエストの適切なルーティングを自動的に行い、セキュリティ保護されたファイアウォールと同様のサービスをDirectory Serverに提供します。
重要なアプリケーションでのシングル・ポイント障害を防ぐために、Directory Proxy Serverは、停止を検出し、影響のあるエリア周辺のトラフィックとロード・バランシング・リクエストを効果的にシステムにルーティングします。問題のあるエリアがリストアされて操作できるようになると、Directory Proxy Serverは、リストアされたサーバーを自動的に検出します。
詳細は、『Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』の冗長性ソリューションの一環としてDirectory Proxy Serverを使用する方法に関する説明を参照してください。
Directory Proxy Serverは、ディレクトリにアクセスする多数のユーザーを処理して、このレベルのアクセスの提供に関連するセキュリティ・リスクを最小化します。セキュリティ機能により、管理者は、リクエストの送信元、リクエストが許可されているかどうか、必要な認証の種類を判断できます。Directory Proxy Serverは、検索がリクエストされたときに、リクエストが最小要件を満たしているか確認することもできます。
Directory Proxy Serverは、グループを使用して、LDAPクライアントおよび特定のグループに一致するクライアントに適用する制限事項の特定方法を定義します。グループは、様々な基準を使用して定義できます。
不正なアクセスからプライベート・ディレクトリ情報を保護するために、Directory Proxy Serverは、LDAPディレクトリに詳細なアクセス制御ポリシーを構成することができます。このようなポリシーには、ディレクトリの様々な部分で異なる種類の操作を実行できるユーザーの制御を含めることもできます。Directory Proxy Serverでは、Webトローラおよびロボットが情報収集を目的に通常実行する特定の種類の操作を回避するように構成できます。
Directory Service Control Center (DSCC)は、グラフィカル・ユーザー・インタフェースで、Directory ServerおよびDirectory Proxy Serverインスタンスの管理に使用されます。DSCCは、任意のサポートされているアプリケーション・サーバーにwarファイルをデプロイして構成します。DSCCレジストリは、登録されているDirectory ServerおよびDirectory Proxy Serverのリストを維持して、複数のサーバー・インスタンスを単一のディレクトリ・サービスにグループ化することができます。
Identity Synchronization for Windowsは、Directory Server Enterprise EditionおよびMicrosoft Active Directory間でのアイデンティティ・データの基本的な同期機能を提供します。
Identity Synchronization for Windowsは、相互運用性の要件を満たします。パスワードなどのアイデンティティ・データを同期することで、ユーザーは、異なるアプリケーション認証メカニズムを使用するためにパスワードを何回も変更する必要がなくなります。
重要なアイデンティティ・データの同期に負担の少ない実装を使用することで、Active Directoryサーバーにクライアント・コンポーネントをインストールする時間が削減され、集中的なメンテナンスが不要になります。
Identity Synchronization for Windowsでは、ユーザーがパスワードおよびその他のアイデンティティ・データをWindows環境またはWebベースのアプリケーション環境で変更できます。これにより、Identity Synchronization for Windowsは、Active DirectoryとDirectory Serverの間で同期を維持します。また、無効化されたアカウントをActive DirectoryとDirectory Serverの間で同期することもできます。この同期により、WindowsデスクトップとWebベースのアプリケーションの間で、アプリケーションおよびデータに対するアクセス・ポリシーの適合性が保証されます。
Directory Server Resource Kitは、Directory Server Enterprise Editionのデプロイメント、アクセス、チューニングおよび管理のためのDirectory Server Enterprise Editionツールおよびアプリケーション・プログラミング・インタフェース(API)を提供します。これらのユーティリティは、より強力なLDAPベースのソリューションの実装および維持に役立ちます。
パフォーマンスのテストおよび容量計画ツールにより、管理者はパフォーマンスを測定したり、Directory Server Enterprise Editionのインストール時に容量計画を実行することができます。デバッグおよびメンテナンス・ツールは、トラブルシューティングおよびDirectory Server Enterprise Editionの日常のメンテナンスに役立ちます。デプロイメント・ユーティリティおよびツールは、Directory Server Enterprise Editionの新規インストールのロールアウトおよび新バージョンへの移行を容易にします。LDAP生産性ツールには、Directory Server Enterprise Editionを使用して開発されたLDAPアプリケーションのサンプルが含まれています。
また、Sunは、Directory Server Enterprise Editionアプリケーションの詳細なパフォーマンスをテストするために必要なすべてのテストが含まれた強力な負荷生成テスト・アプリケーションであるSLAMDを開発しました。SLAMDは、http://www.slamd.comより無料で利用できます。
DSEEの機能を評価する前に、DSEEの基本的なアーキテクチャを理解する必要があります。
DSEEは、2つの管理インタフェースを提供します。
Webベースのコンソール
コマンドライン・インタフェース
管理者として、いずれかのインタフェースを使用して、ほとんどの管理タスクを実行できます。次の図は、DSEE管理フレームワークを示しています。
図1-1 Directory Server Enterprise Editionの管理フレームワーク
この管理フレームワークは、Directory ServerおよびDirectory Proxy Serverをサポートし、次のコンポーネントで構成されています。
Directory Service Control Center (DSCC)。Directory ServerおよびDirectory Proxy Serverインスタンスの管理に使用されるグラフィカル・ユーザー・インタフェース。
DSCCエージェント。1つのDSCCエージェントは、Directory ServerまたはDirectory Proxy Serverをリモートで管理する各サーバー上で実行されます。DSCCエージェントは、Directory Serverのローカル・インスタンスの管理に、ローカルDirectory ServerおよびDirectory Proxy Serverコマンドを実行します。
ローカルまたはリモート・サーバーへのDirectory ServerおよびDirectory Proxy Server製品インストール。
ローカルまたはリモート・サーバー上に作成されるDirectory ServerおよびDirectory Proxy Serverインスタンス。
このガイドは、コンソールおよびコマンドライン・インタフェース(CLI)の両方の情報を提供していますが、通常コンソールを使用して機能を説明しています。
DSEE管理モデルの詳細は、『Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』のDirectory Server Enterprise Edition管理モデルに関する説明を参照してください。
新機能および動作の変更のリストについては、『Oracle Directory Server Enterprise Editionリリース・ノート』の第1章のOracle Directory Server Enterprise Edition 11g リリース1 (11.1.1.7.0)に関する説明を参照してください。
