| Oracle® Fusion Middleware Oracle Unified Directory管理者ガイド 11g リリース2 (11.1.2) B72794-02 |
|
 前 |
 次 |
Oracleのエンタープライズ・ユーザー・セキュリティ(EUS)を使用することによって、Oracle Database認証用に、LDAPに準拠したディレクトリ・サービスにユーザーIDを格納できます。
エンタープライズ・ユーザー・セキュリティを使用すると、エンタープライズ全体でデータベース・ユーザーを一元的に管理できます。エンタープライズ・ユーザーは、LDAPに準拠にしたディレクトリ・サービス内に作成されます。ディレクトリに登録された様々なエンタープライズ・データベースのロールや特権をこのエンタープライズ・ユーザーに割り当てることができます。
ユーザーは、Oracle Unified Directoryに格納されている資格証明を提供することによって、Oracle Databaseに接続します。データベースはLDAP検索操作を実行して、ユーザー固有の認証および認可情報について問い合せます。
Oracle Unified Directoryとエンタープライズ・ユーザー・セキュリティとを統合すると、追加の同期を行うことなく、LDAP準拠ディレクトリ・サービスに格納されているユーザーIDを活用できるため、認証機能と認可機能が強化され、かつ簡素化されます。
この章では、次のトピックを取り扱います:
Oracle Unified Directoryとエンタープライズ・ユーザー・セキュリティとを統合するには、次のいずれかのシナリオを選択できます:
Oracle Unified DirectoryにユーザーIDを格納。詳細は、第25.3項「エンタープライズ・ユーザー・セキュリティへのOracle Unified Directoryの統合」で説明しています。
LDAPに準拠した外部ディレクトリ・サービスにユーザーIDを格納し、プロキシ・サーバーとしてOracle Unified Directoryを使用。詳細は、第25.4項「エンタープライズ・ユーザー・ディレクトリおよび外部LDAPディレクトリとの統合」で説明しています。
このリリースにおけるOracle Unified DirectoryでのEUSのサポート内容は次のとおりです:
証明書認証、Kerberos認証との統合。
|
注意: 証明書認証では、証明書内のDNに一致するDNエントリのみをサポートしています。 |
パスワード・ポリシー: パスワード・ポリシーは、アイデンティティ管理レルムのすべてのユーザー・パスワードに適用されるルール・セットです。パスワード・ポリシーには、パスワードの難易度、パスワードの最低限の文字数などが含まれます。アカウントのロックアウトとパスワード有効期限の設定も含まれます。
ユーザー・エントリを格納するLDAP準拠ディレクトリで定義されているパスワード・ポリシー・エントリを、エンタープライズ・ユーザー・セキュリティ用にOracle Databaseで使用できます。
データベースはOracle Unified Directoryと通信し、パスワード・ポリシー違反についてレポートするようにOracle Unified Directoryにリクエストします。データベースは、Oracle Unified Directoryからポリシー違反に関するレスポンスを取得すると、適切な警告またはエラー・メッセージをユーザーに表示します。
データベースは次のイベントをレポートします:
ユーザー・パスワードがまもなく期限切れになる場合に警告を表示し、ユーザーが自分のパスワードを何日以内に変更する必要があるかを表示します。
パスワードが期限切れになった場合に警告を表示し、残っている猶予期間ログイン数についてユーザーに通知します。
ユーザー・パスワードが期限切れになり、ユーザーに猶予期間ログインが残っていない場合に、エラーを表示します。
ログイン試行に繰り返し失敗したためにユーザー・アカウントがロックされた場合に、エラーを表示します。
ユーザー・アカウントが管理者によって無効にされている場合に、エラーを表示します。
ユーザー・アカウントが非アクティブである場合に、エラーを表示します。
エンタープライズ・ユーザーによってデータベースへのログイン試行が行われると、Oracle Unified Directoryまたはサポートされている外部LDAP準拠ディレクトリでそのユーザー・アカウントのステータスが更新されます。たとえば、データベースへのログイン試行が連続して失敗すると、ディレクトリのパスワード・ポリシーに従って、そのアカウントはディレクトリでロックされます。
次の外部LDAP準拠ディレクトリをサポートしています:
Microsoft Active Directory
Novell eDirectory
Oracle Directory Server Enterprise Edition
Oracle Unified Directory
|
注意: 別のOracle Unified Directoryをプロキシ・サーバーとして持つ外部ディレクトリ・サーバーとして、Oracle Unified Directoryインスタンスを構成できます。 |
エンタープライズ・ユーザー・セキュリティの構成の詳細は、『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照してください。
ユーザーIDを格納するOracle Unified Directoryを、追加の同期不要でエンタープライズ・ユーザー・セキュリティに統合できます。これを行うには、次を実行します:
Oracle Unified DirectoryサーバーでEUSの構成を行うには、次のいずれかのオプションを使用します:
|
注意:
|
このオプションは、Oracle Unified Directoryのインストール時に使用できます。Oracle Unified Directoryディレクトリ・サーバー・インスタンスの設定時に、そのサーバー・インスタンスとEUSとの統合を有効化します。この手順は、Oracle Fusion Middleware Oracle Unified Directoryインストレーション・ガイドのディレクトリ・サーバーの設定に関する項の説明に従ってください。
|
注意:
oud-setup --eus |
既存のディレクトリ・サーバー・インスタンスで、ODSMを使用してEUS用の新しい接尾辞を作成できます。この機能と同等のコマンドラインはありません。
ODSMを使用してEUS用の接尾辞を作成する手順は次のとおりです:
SSLが有効化されたLDAP接続ハンドラがサーバー・インスタンスに存在することを確認します。
SSLが有効になっていない場合は、第14.2項「Oracle Directory Services Managerを使用したサーバー構成の管理」で説明している手順に従ってLDAPS接続を追加します。
第18.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからディレクトリ・サーバーに接続します。
「ホーム」タブを選択します。
「構成」メニューで、「ローカル・ネーミング・コンテキストの作成」を選択します。
「新規ローカル・ネーミング・コンテキスト」ウィンドウが表示されます。
次の詳細を入力します:
「ベースDN」フィールドに、作成する接尾辞の名前を入力します。
|
注意: ユーザー・データがすでに移入されている既存の接尾辞では、EUSの有効化はできません。 |
「ディレクトリ・データ・オプション」グループから、接尾辞へのデータの移入オプションとして次のいずれかを選択します:
「ベース・エントリの作成のみ」では、接尾辞のベース・エントリとともにデータベースが作成されます。その他のエントリは、接尾辞の作成後に追加する必要があります。
「データベースを空のままにする」では、空のデータベースが作成されます。ベース・エントリおよびその他のエントリは、接尾辞の作成後に追加する必要があります。
|
注意: 接尾辞は少なくとも1つのエントリを含んでいる必要があるため、「データベースを空のままにする」オプションは選択しないでください。 |
「生成されたサンプル・データのインポート」を選択すると、接尾辞にサンプル・エントリが移入されます。
「ユーザー・エントリ数」フィールドに、生成するエントリ数を指定します。ODSMを使用してインポートできるサンプル・エントリ数は、最大30,000です。30,000を超える数のエントリを追加する場合は、import-ldifコマンドを使用する必要があります。
「Oracleコンポーネントの統合」リージョンで、「エンタープライズ・ユーザー・セキュリティ(EUS)に使用可能」を選択して、新しい接尾辞を有効にします。
EUSを選択すると、この接尾辞が作成されるほかに、2つの接尾辞"cn=oracleschemaversion"と"cn=oraclecontext"が自動的に作成されます。また、EUSワークフロー要素がローカルのバックエンド・ワークフロー要素の前に追加されます。さらに、"cn=schema"のDNリネーム・ワークフロー要素が追加され、"cn=subschemasubentry" DNを使用してこの要素にアクセスできるようになります。
「ネットワーク・グループ」リージョンで、次の手順に従って1つ以上のネットワーク・グループに接尾辞をアタッチします:
接尾辞を既存のネットワーク・グループにアタッチする場合は、「既存のものを使用」を選択し、必要なネットワーク・グループをリストから選択します。
接尾辞を新しいネットワーク・グループにアタッチする場合は、「新規作成」を選択し、作成するネットワーク・グループ名を「名前」フィールドに入力します。
同じ接尾辞を複数のネットワーク・グループにアタッチできます。
「ワークフロー要素」リージョンで、次のいずれかの手順に従ってワークフロー要素に接尾辞をアタッチします:
接尾辞を既存のワークフロー要素にアタッチする場合は、「既存のものを使用」を選択し、必要なワークフロー要素をリストから選択します。
接尾辞を新しいワークフロー要素にアタッチする場合は、「新規作成」を選択し、作成するワークフロー要素名を「名前」フィールドに入力します。
「作成」をクリックします。
次の確認メッセージが表示されます:
構成が正常に作成されました。
OUDをEUS対応に設定した後は、次の手順に従ってOUD構成のレルム情報を更新する必要があります:
LDIFテンプレート・ファイル(install_dir/config/EUS/modifyRealm.ldif)を見つけます。
modifyRealm.ldifファイルを次のように編集します:
dc=example,dc=comをサーバー・インスタンスの現在のネーミング・コンテキストに置き換えます。
ou=peopleとou=groupsをDIT内のユーザー・エントリとグループ・エントリの現在の場所にそれぞれ置き換えます。
ldapmodifyコマンドを使用して、編集済のLDIFテンプレート・ファイルで構成を更新します。例:
$ ldapmodify -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -v -f modifyRealm.ldif
次の手順に従って、エンタープライズ・ユーザー・セキュリティに対応するようにOracle Databaseを構成する必要があります:
Net Configuration Assistant (NetCA)ツールを実行して、Oracle Unified Directoryのホスト名とポート番号をデータベースに対して構成します。
ディレクトリを使用するようにデータベースを構成するには:
Oracle Net Configuration Assistantを起動します:
Unix
コマンドラインでnetcaを実行します(これは$ORACLE_HOME/binにあります)。
Windows
「スタート」→「プログラム」→「Oracle - HOME_NAME」→「構成および移行ツール」→「Net Configuration Assistant」の順に選択します。
「Oracle Net Configuration Assistant: ようこそ」画面が表示されます。
ディレクトリ・サービス使用構成を選択して「次へ」をクリックします。
「Oracle Net Configuration Assistant: ディレクトリ使用構成-ディレクトリ・タイプ」画面が表示されます。
ディレクトリ・タイプとして「Oracle Unified Directory」を選択して、「次へ」をクリックします。
「Oracle Net Configuration Assistant: ディレクトリ使用構成-ディレクトリの場所」画面が表示されます。
次の詳細を入力します:
ホスト名: Oracle Unified Directoryサーバーを実行するホストの名前を入力します。
ポート: Oracle Unified Directoryのポート番号を入力します。
SSLポート: Oracle Unified DirectoryのSSLポート番号を入力します。
「次へ」をクリックします。
「Oracle Net Configuration Assistant: ディレクトリ使用構成-Oracleコンテキストの選択」画面が表示されます。
使用するデフォルトのOracleコンテキストを選択します。ディレクトリ・サーバー上にOracle Unified Directoryレルムが複数存在する場合は、これを選択する必要があります。「次へ」をクリックします。
ディレクトリ使用構成の完了画面が表示されます。
ディレクトリ使用構成が正常に完了したことを確認します。「次へ」をクリックします。
「終了」をクリックします。
NetCAによって、$ORACLE_HOME/network/adminディレクトリ(Unixの場合)またはORACLE_HOME\network\adminディレクトリ(Windowsの場合)にldap.oraファイルが作成されます。このファイルには、ディレクトリに関する接続情報の詳細が格納されます。
データベースをディレクトリ・サービスに登録します。Database Configuration Assistant (DBCA)ツールを使用して、データベースをOracle Unified Directoryに登録できます。
データベースをディレクトリに登録するには:
dbcaコマンドを使用してDBCAを起動します。
UNIXシステムでは、次のコマンドを使用してDBCAを起動できます:
$ORACLE_HOME/bin/dbca
Windowsでは、「スタート」メニューからDBCAを起動することもできます:
「スタート」→「すべてのプログラム」、「Oracle - OracleHomeName」→「構成および移行ツール」の順にクリックし、「Database Configuration Assistant」を選択します。
「ようこそ」画面が表示されます。
「次へ」をクリックします。
「操作」画面が表示されます。
「データベース・オプションの構成」を選択します。
「次へ」をクリックします。
「データベース」画面が表示されます。
構成するデータベース名を選択します。オペレーティング・システムの認証を使用していない場合は、SYSユーザー資格証明の入力を求められることもあります。
「次へ」をクリックします。
「管理オプション」画面が表示されます。
Database Controlを使用してデータベースの管理を続行する場合は、「Database Controlで構成済のデータベースを維持」を選択します。また、Grid Controlを使用したデータベースの管理を選択することもできます。
「次へ」をクリックします。
「セキュリティ設定」画面が表示されます。
11gのセキュリティ設定を維持する場合は、「11gのデフォルトの高度セキュリティ設定を維持」を選択します。
「次へ」をクリックします。
「ネットワーク構成」画面が表示されます。
データベースをディレクトリに登録するには、「データベースを登録する」を選択します。Oracle Unified Directoryへのデータベースの登録を許可されたユーザーの識別名(DN)を入力します。また、ディレクトリ・ユーザーのパスワードも入力します。ウォレット・パスワードを入力します。「パスワードの確認」フィールドにパスワードを再度入力します。
「次へ」をクリックします。
|
注意: データベースでは、ランダムに生成されたパスワードを使用してディレクトリにログインします。このデータベース・パスワードは、Oracleウォレットに格納されます。また、このウォレットを使用して、SSL接続に必要な証明書を格納することもできます。 指定するウォレット・パスワードは、データベース・パスワードとは異なります。ウォレット・パスワードは、ウォレットの保護に使用します。 |
「データベース・コンポーネント」画面が表示されます。
「次へ」をクリックします。
「接続モード」ページが表示されます。
「専用サーバー・モード」または「共有サーバー・モード」を選択します。
「終了」をクリックします。
「確認」ダイアログ・ボックスが表示されます。
「OK」をクリックします。
|
注意: データベースをディレクトリに登録した後に、データベース・ウォレットの自動ログインが有効になっていることを確認します。デフォルトのウォレットは、 ウォレット・ディレクトリに |
Oracle Unified Directoryとエンタープライズ・ユーザー・セキュリティ(EUS)とを統合すると、追加の同期を行うことなく、外部LDAPリポジトリに格納されているユーザーIDを一元化できるため、認証機能と認可機能が強化され、かつ簡素化されます。
Oracle Unified Directoryが外部LDAPリポジトリのフロントエンド処理を実行するプロキシとして構成されている場合は、EUSを外部LDAPディレクトリに統合できます。EUSの構成の詳細はOracle Unified Directoryにローカルで格納され、エンタープライズ・ユーザーとエンタープライズ・グループの詳細のみがリモートの外部LDAPディレクトリに格納されます。
この項では、Oracle Unified DirectoryをOracleのエンタープライズ・ユーザー・セキュリティに統合する方法について説明します。この項の内容は次のとおりです:
|
注意:
|
この項では、Oracle Unified Directoryをエンタープライズ・ユーザー・セキュリティと統合し、特定の外部ディレクトリを使用できるようにするための手順を説明します。
この手順は、外部ディレクトリのタイプごとに次の項に分かれています:
|
注意: Microsoft Active Directoryを除いて、これらの外部ディレクトリではバックエンドのLDAPスキーマ拡張は不要になりました。これらの変更はOracle Unified Directoryローカル・ストアで実行されるようになりました。 Active Directoryの場合は、 |
ユーザーIDがActive Directoryに格納されている場合に、Oracle Unified Directoryをエンタープライズ・ユーザー・セキュリティに統合する手順は次のとおりです:
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
Oracle Unified Directoryに組み込まれているJavaクラスを使用してエンタープライズ・ユーザー・セキュリティの必須スキーマであるExtendADをActive Directoryにロードするために、次のコマンドを実行します。
ExtendADファイルは、$ORACLE_HOME/config/EUS/ActiveDirectory/ディレクトリ(Unixの場合)またはORACLE_HOME\config\EUS\ActiveDirectory\ディレクトリ(Windowsの場合)にあります。ORACLE_HOME/jdk/binディレクトリのjava実行可能ファイルを使用できます。
java ExtendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN -commonattr
例:
java ExtendAD -h myhost -p 389 -D cn=administrator,cn=users,dc=example,dc=com -w <pwd> -AD dc=example,dc=com -commonattr
次の手順に従って、Oracle Unified Directoryパスワード変更通知プラグインoidpwdcn.dllをインストールします:
Windowsのタイプに応じて、次の操作を行います:
Windows 32ビット
OUD_HOME\config\EUS\ActiveDirectory\win\oidpwdcn.dllファイルをActive DirectoryのWINDOWS\system32ディレクトリにコピーします。
Windows 64ビット
OUD_HOME\config\EUS\ActiveDirectory\win64\oidpwdcn.dllファイルをActive DirectoryのWINDOWS\system64ディレクトリにコピーします。
regedt32またはregedt64を使用してレジストリを編集し、oidpwdcn.dllを有効にします。コマンド・プロンプトでregedt32と入力して、regedt32を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\レジストリにあるNotification Packagesエントリの末尾にoidpwdcnを追加します。例:
RASSFM KDCSVC WDIGEST scecli oidpwdcn
それによって、パスワードDLLが有効化され、EUSで必要なパスワード検証がorclCommonAttribute属性に移入されます。
変更したら、Active Directoryシステムを再起動します。
ldapmodifyを実行して、Active Directoryでの匿名ログインを許可します:
ldapmodify -h <ADhost> -p <AD port> -D <AD dirmgr> -w <pwd> dn: cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=example,dc=com changetype: modify replace: dsHeuristics dsHeuristics: 0000002
|
注意:
|
すべてのActive Directoryユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
次の手順に従って、Active Directoryの設定を検証します:
Active Directoryユーザーのパスワードを変更します。
パスワードを変更したユーザーをActive Directoryで検索します。orclCommonAttribute属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
この値は、Active DirectoryにorclCommonAttribute属性定義を追加します。
「Oracle Unified Directoryでの統合の構成」で説明しているタスクを実行することによって、統合を完了します。
ユーザーIDがOracle Directory Server Enterprise Editionに格納されている場合に、Oracle Unified Directoryをエンタープライズ・ユーザー・セキュリティに統合する手順は次のとおりです:
Oracle Directory Server Enterprise Editionからldapmodifyコマンドを次のように実行して、アカウント・ロックの拡張操作を有効化します:
ldapmodify -h <ODSEE Server> -p <ODSEE port> -D <ODSEE Admin ID> -w <ODSEE Admin password> dn: oid=1.3.6.1.4.1.42.2.27.9.6.25,cn=features,cn=config changetype: add objectclass: directoryServerFeature oid: 1.3.6.1.4.1.42.2.27.9.6.25 cn: Password Policy Account Management
「Oracle Unified Directoryでの統合の構成」で説明しているタスクを実行することによって、統合を完了します。
ユーザーIDがNovell eDirectoryに格納されている場合に、Oracle Unified Directoryをエンタープライズ・ユーザー・セキュリティに統合する手順は次のとおりです:
統合用にNovell eDirectoryを構成するには、eDirectoryのユニバーサル・パスワードを有効化し、管理者がユーザー・パスワードを取得できるようにします。詳細は、Novell eDirectoryのパスワード管理に関するドキュメントを参照してください。
「Oracle Unified Directoryでの統合の構成」で説明しているタスクを実行することによって、統合を完了します。
別のOracle Unified Directoryをプロキシ・サーバーとして持つ外部ディレクトリ・サーバーとして、Oracle Unified Directoryインスタンスを構成できます。このシナリオでは、EUSの構成の詳細はOracle Unified Directoryプロキシ・サーバーにローカルで格納され、エンタープライズ・ユーザーとエンタープライズ・グループの詳細のみが外部Oracle Unified Directoryに格納されます。
このためには、dsconfigコマンドを次のように実行することによって、パスワード記憶スキームとしてSalted SHA-1を使用するようにデフォルトのパスワード・ポリシーを変更する必要があります:
dsconfig -h <OUD host> -p <OUD admin port> -D <OUD dirmgr> -j <pwdfile> -X -n set-password-policy-prop --policy-name "Default Password Policy" --set default-password-storage-scheme:"Salted SHA-1"
|
注意: エンタープライズ・ユーザーとエンタープライズ・グループの詳細を格納するOracle Unified Directoryのデフォルトのパスワード・ポリシーを変更します。プロキシ・サーバーとして機能するOracle Unified Directoryインスタンスのデフォルトのパスワード・ポリシーは変更しないでください。 |
次の手順に従って、Oracle Unified Directoryで外部LDAPディレクトリに関する構成を行います:
Oracle Unified Directoryプロキシ・サーバーでEUSの構成を行うには、次のいずれかのオプションを使用します:
|
注意:
|
Oracle Unified Directoryディレクトリ・サーバー・インスタンスの設定時に、そのサーバー・インスタンスとEUSとの統合を有効化できます。この手順は、Oracle Fusion Middleware Oracle Unified Directoryインストレーション・ガイドのプロキシ・サーバーの設定に関する項の説明に従ってください。
|
注意:
|
既存のOracle Unified Directoryプロキシ・サーバー・インスタンスでエンタープライズ・ユーザー・セキュリティの構成を行う手順は次のとおりです:
SSLが有効化されたLDAP接続ハンドラがサーバー・インスタンスに存在することを確認します。
SSLが有効になっていない場合は、第14.2項「Oracle Directory Services Managerを使用したサーバー構成の管理」で説明している手順に従ってLDAPS接続を追加します。
第18.2項「Oracle Directory Services Managerからサーバーへの接続」の説明に従って、ODSMからプロキシ・サーバーに接続します。
「ホーム」タブを選択します。
「構成」メニューで、「リモートEUSネーミング・コンテキストの作成」を選択します。
「リモートEUSネーミング・コンテキストの作成」ウィンドウが表示されます。
次の詳細を入力します:
ベースDN: 接尾辞の名前を入力します。
ネットワーク・グループ: 接尾辞にアタッチするネットワーク・グループを選択します。
サーバー・タイプ: EUSユーザー・エントリを格納するサーバーを選択します。
ホスト名: リモート・サーバーのホスト名を入力します。
使用可能なポート: リモート・サーバーのLDAPポート、LDAPSポートまたはLDAPポートとLDAPSポートを入力します。
|
注意: Novell eDirectoryの場合は、Oracle Unified Directoryプロキシ・サーバーのLDAPSポートを入力します。 |
すべて信頼: リモート・サーバーが提示するすべての証明書を信頼する場合は、このチェック・ボックスを選択します。
信頼マネージャ: サーバーがリクエストを転送するためにリモート・サーバーのLDAPSポートに接続するときに使用する信頼マネージャを選択します。
「作成」をクリックします。
次の確認メッセージが表示されます:
構成が正常に作成されました。
第25.4.2.1項「Oracle Unified Directoryプロキシ・サーバーでのエンタープライズ・ユーザー・セキュリティの構成」の説明に従って必要な構成を完了した後は、次の操作を実行する必要があります:
dsconfigコマンドを次のように実行して、外部LDAP準拠ディレクトリのプロキシ・ワークフロー要素、リモート・ルートDNおよびリモート・ユーザー・アカウントを構成します:
dsconfig set-workflow-element-prop \
--element-name proxy-we1 \
--set remote-root-dn:cn=administrator,cn=users,dc=example,dc=com \
--set remote-root-password:******** \
--hostname localhost \
--port 4444 \
--trustAll \
--bindDN cn=directory\ manager \
--bindPasswordFile pwd.txt \
--no-prompt
外部LDAP準拠ディレクトリのプロキシ・ワークフロー要素の構成では、除外リスト、リモートldapサーバー・バインドdnおよびリモートldapサーバー・バインド・パスワードを定義することによって、use-client-identityを指定できます。EUSが有効化されている場合、データベースは自身の資格証明を使用して接続を行い、外部LDAPサーバー上で検索を実行します。DBエントリはOUDプロキシにローカルで格納され、外部LDAPサーバー上にはデータベース・エントリは存在しないため、代替IDを使用して外部LDAPサーバーへのバインドが行われます。
dsconfig set-workflow-element-prop \
--element-name proxy-we1 \
--add exclude-list:cn=directory\ manager \
--add exclude-list:cn=oraclecontext,dc=example,dc=com \
--set remote-ldap-server-bind-dn:cn=administrator,cn=users,dc=example,dc=com \
--set remote-ldap-server-bind-password:******** \
--hostname localhost \
--port 4444 \
--trustAll \
--bindDN cn=directory\ manager \
--bindPasswordFile pwd.txt \
--no-prompt
OUDをEUS対応に設定した後は、次の手順に従ってOUD構成のレルム情報を更新する必要があります:
LDIFテンプレート・ファイル(install_dir/config/EUS/modifyRealm.ldif)を見つけます。
modifyRealm.ldifファイルを次のように編集します:
dc=example,dc=comをサーバー・インスタンスの現在のネーミング・コンテキストに置き換えます。
ou=peopleとou=groupsをDIT内のユーザー・エントリとグループ・エントリの現在の場所にそれぞれ置き換えます。
ldapmodifyコマンドを使用して、編集済のLDIFテンプレート・ファイルで構成を更新します。例:
$ ldapmodify -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -v -f modifyRealm.ldif
「Oracle Unified Directoryに対応した、Oracle Databaseの構成」の説明に従って、Oracle Databaseを構成する必要があります。
