この章では、次の項目について説明します。
次の各項では、インストール前の作業について説明します。
この項では、インストール・メディアのファイルとディレクトリを示します。
表2-1に、これらを示して説明します。
表2-1 インストール・パッケージのファイルおよびディレクトリ
インストール・パッケージ・ディレクトリのファイル | 説明 |
---|---|
bundle/org.identityconnectors.genericunix-1.0.0.jar |
このJARファイルにはコネクタ・バンドルが含まれます。 |
configuration/GenericUNIX-CI.xml |
このXMLファイルには、コネクタ・インストール・プロセス時に使用される構成情報が含まれます。 |
resourcesディレクトリにあるファイル |
これらの各リソース・バンドルには、コネクタで使用される言語固有の情報が含まれます。コネクタのインストール時に、これらのリソース・バンドルはOracle Identity Managerデータベースにコピーされます。 ノート: リソース・バンドルは、管理およびユーザー・コンソールに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、GUI要素のラベルおよびメッセージが含まれます。 |
test-utilityディレクトリ内のファイル:
|
これらのファイルはテスト・ユーティリティにより使用され、ターゲット・システムへの接続およびターゲット・システムでの基本操作の実行に関する問題の原因を特定できます。
|
upgrade/PostUpgradeScriptUnix.sql |
このファイルはコネクタのアップグレード後に使用されます。 詳細は、「コネクタのアップグレード」を参照してください。 |
util/privateKeyGen.sh |
このファイルはSSHキーベースの認証で使用されます。 |
util/sudoers |
このファイルには、SUDOユーザーの仕様および構成が含まれます。 |
xml/UNIX-ConnectorConfig.xml |
このXMLファイルには、コネクタ・コンポーネントの定義が含まれます。これらのコンポーネントには、次のものが含まれます。
|
xml/UNIX-RequestDatasets.xml |
このXMLファイルにはデプロイメント・マネージャを使用してインポートできるリクエスト・データセットが含まれています。これはリクエストベースのプロビジョニング操作中にリクエスタにより送信される情報を指定します。 詳細は、「デプロイメント・マネージャを使用したリクエスト・データセットのインポート」を参照してください。 ノート: このファイルは、Oracle Identity Managerの11.1.2より前のリリースを使用している場合にのみ使用します。 |
ターゲット・システムおよび要件に応じて、次のプロシージャのいくつかを実行します。
HP-UX環境では、次のステップを実行します。
HP-UXの信頼できるモードに切り替える場合は、次のようにします。
ノート:
ターゲット・システムを信頼できるシステムに変換している場合、信頼できるシステムへ変換した後で、ターゲットにshadowファイルが存在しないことを確認します。存在する場合、pwunconv
コマンドを使用して、shadowファイルを取り除いてください。
rootとしてログインし、次のコマンドを実行します。
/usr/bin/sam
/usr/sbin/sam
「Auditing and Security」、「System Security Policies」の順に選択します。信頼できるモードに切り替えるかどうか確認するメッセージが表示されます。
「はい」をクリックします。次のメッセージが表示されます。
System changed successfully to trusted system
ターゲット・サーバーで/etc/passwdおよび/etc/shadowディレクトリが使用可能であることを確認します。
ターゲット・システムにディレクトリを作成し、そこにコネクタは/etc/passwd and /etc/shadowファイルのミラー・ファイルを作成できます。
このディレクトリはLookup.UNIX.Configuration参照定義のmirrorFilesLocationエントリに指定されます。デフォルト値は/etc/connector_mirror_files
です。ディレクトリ・パスがデフォルト値と異なる場合、参照の正しいパスに更新する必要があります。ログイン・ユーザー(sudoまたはrootユーザー)はこのディレクトリに読取りおよび書込み権限が必要です。
次のステップに従ってOpenSSHをターゲット・システムにインストールします。
Solaris 9の場合
sshd
という名前で、グループIDが27
のグループを作成します。このグループにsshadmin
という名前のユーザーを追加します。PermitRootLogin
の値を変更します。PermitRootLogin yes
ノート:
この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開キー認証が有効な場合は、PermitRootLogin
の値をwithout-password
に変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、このステップを行う必要はありません。
Solaris 10以降のバージョンの場合
デフォルトで、Solaris 10以降のバージョンにはOpenSSHがインストールされています。インストールされていない場合には、オペレーティング・システムのインストールCDからOpenSSHサーバーをインストールします。SSHを有効化するには、/etc/ssh/ssh_configファイルに次の変更を行います。
Host *
の行からコメント文字を削除します。PermitRootLogin
の値を変更します。PermitRootLogin yes
ノート:
この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開キー認証が有効な場合は、PermitRootLogin
の値をwithout-password
に変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、このステップを行う必要はありません。
HP-UXの場合
SSHがUNIXサーバーにインストールされていない場合、適切なOpenSSHをインストール・メディアからインストールします。
Linuxの場合
デフォルトで、Red Hat LinuxにはOpenSSHがインストールされています。インストールされていない場合には、オペレーティング・システムのインストールCDからOpenSSHサーバーをインストールします。
AIXの場合
SSHがAIXサーバーにインストールされていない場合、インストール・メディアから次のことを行います。
PermitRootLogin
の値を変更します。PermitRootLogin yes
ノート:
この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開キー認証が有効な場合は、PermitRootLogin
の値をwithout-password
に変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、このステップを行う必要はありません。
Oracle Identity Managerでは、リコンシリエーションおよびプロビジョニングの操作を実行するためにターゲット・システム・アカウントを使用します。サポートされているすべてのターゲット・システムにおいて、このアカウントはrootユーザーまたはsudoユーザーのいずれかである必要があります。
関連項目:
コネクタ操作の実行に必要な権限の詳細は、「プロビジョニングとリコンシリエーションの実行に必要な権限」を参照してください
コネクタ操作の実行に必要な最低限の権限を持つターゲット・システム・ユーザー・アカウントを作成するには、次の手順を実行します。
SUDOがターゲット・システムにインストールされていない場合、インストール・メディアからインストールします。
visudo
コマンドを使用し、要件に応じて/etc/sudoersファイルを編集およびカスタマイズします。
ノート:
visudo
コマンドを使用してsudoers
ファイルを編集できない場合は、次を実行します。
次のコマンドを入力します。
chmod 777 /etc/sudoers
sudoers
ファイルに必要な変更を行います。
次のコマンドを入力します。
chmod 440 /etc/sudoers
たとえば、Linuxサーバーにmqm
という名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoers
ファイルには次の行が含まれている必要があります。
mqm ALL= (ALL) ALL
これはサンプル構成の例です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqm
に対して行ったのと同じようにこのファイルを編集します。
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
ノート:
任意のSUDOユーザーまたはグループに対してNOPASSWD: ALL
オプションはサポートされません。これを構成するには、参照フィールドを追加する必要があります。参照フィールドの追加の詳細は、「コネクタ構成用の参照定義の設定」を参照してください。
SUDOユーザーが一度検証されたら10分間有効となるように、同じsudoers
ファイルを編集します。リコンシリエーション操作が10分を超え、「許可されませんでした」などのエラーが表示される場合は、タイムアウト値を大きくすることが必要になることがあります。コネクタでは、各操作の最初に、その操作が最大10分間有効となるよう、sudo -v
オプションを使用してユーザーが検証されます。操作の実行後、sudo -k
が実行され、無効化されます。
# Defaults specification
ヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=10
これは、このコネクタが正常に機能するための前提条件です。
次のようにしてSUDOユーザーを作成します。
次のコマンドを入力します。
useradd -g group_name -d /home/directory_name -m user_name
このコマンドの説明:
group_name
は、/etc/sudoers
ファイルにエントリのあるSUDOユーザー・グループです。
directory_name
は、ユーザーのデフォルトのディレクトリを作成するディレクトリの名前です。
/home/directory_nameディレクトリに作成される.bash_profileファイルに、次の行を追加してPATH
環境変数を設定します。
PATH=/usr/sbin:$PATH export PATH
SUDOユーザーのホーム・ディレクトリに作成されるSUDOユーザーの.bashrc、.cshrcまたは.kshrcファイルに、次の行を追加して、プロンプトの終了文字を$ (ドル記号)から# (ポンド記号)に変更します。
PS1="[\\u@\\h:\\w]#"
shadowファイル内の暗号化されたパスワードには$ (ドル記号)が含まれ、これはデフォルトのプロンプトの終了文字と一致します。shadowファイルへの変更が正しくリコンサイルされるように、プロンプトの終了文字を変更する必要があります。
sudoユーザーでログインします。
ターゲット・システムでsudo -k
コマンドを実行し、検証内容をクリアします。
ターゲット・システムでsudo -v
コマンドを実行し、パスワード・プロンプトが表示されることを確認します。
このステップでsudoユーザーがパスワードの入力を求められない場合は、コネクタが機能していない可能性があります。
Solarisでは、sudoユーザーを作成するか、またはロールベースのアクセス制御(RBAC)機能を適用して、アカウントを作成し、コネクタ操作に必要な最小限の権限をそのアカウントに割り当てることができます。
ノート:
RBACユーザーを使用するかどうかを指定するには、ITリソースを使用します。ITリソースのパラメータについては、この章で後述します。
RBACユーザー・アカウントを作成するには、次のようにします。
次のコマンドを実行して、ユーザーのロールを作成します。
roleadd -d /export/home/ROLE_NAME -m ROLE_NAME
このコマンドのROLE_NAME
は、ロールに割り当てる名前(たとえば、OIMRole
など)に置き換えます。
次のコマンドを実行して、パスワードをロールに割り当てます。
passwd ROLE_NAME
プロンプトで、ロールのパスワードを入力します。
関連項目:
プロビジョニングおよびリコンシリエーションに使用されるコマンドの実行に必要な権限の詳細は、「プロビジョニングとリコンシリエーションの実行に必要な権限」を参照してください
次のようにして、ユーザーのプロファイルを作成します。
テキスト・エディタで/etc/security/prof_attrファイルを開き、ファイルに次の行を挿入します。
PROFILE_NAME:::Oracle Identity Manager Profile:
この行のPROFILE_NAME
は、プロファイルに割り当てる名前(たとえば、OIMProf
など)に置き換えます。
保存してファイルを閉じます。
/etc/security/exec_attrファイルに実行属性エントリを追加します。各エントリは、実行するタスクと、タスクの実行時にロールが想定するuidを定義しています。
テキスト・エディタで/etc/security/exec_attrファイルを開き、次の行を挿入します。
ノート:
このファイルには7つのフィールドがあります。区切り文字としてコロン(:)が使用されます。
Solaris 10では、値suser
をsolaris
に置き換えることができます。
一部のエントリには、euid
が含まれています。これらのeuid
のインスタンスは、uid
に置き換えることができます。
PROFILE_NAME:suser:cmd:::/usr/sbin/usermod:uid=0 PROFILE_NAME:suser:cmd:::/usr/sbin/useradd:uid=0 PROFILE_NAME:suser:cmd:::/usr/sbin/userdel:uid=0 PROFILE_NAME:suser:cmd:::/usr/bin/passwd:uid=0 PROFILE_NAME:suser:cmd:::/usr/bin/cat:euid=0 PROFILE_NAME:suser:cmd:::/usr/bin/diff:euid=0 PROFILE_NAME:suser:cmd:::/usr/bin/sort:euid=0 PROFILE_NAME:suser:cmd:::/usr/bin/rm:uid=0 PROFILE_NAME:suser:cmd:::/usr/bin/grep:euid=0 PROFILE_NAME:suser:cmd:::/usr/bin/egrep:euid=0 PROFILE_NAME:suser:cmd:::/bin/echo:euid=0 PROFILE_NAME:suser:cmd:::/bin/sed:euid=0
他のコマンドを使用するように事前構成済Solarisスクリプトをカスタマイズした場合、他のコマンドに対する同様のエントリを追加できます。
次のコマンドを実行して、プロファイルをロールに関連付けます。
rolemod -P PROFILE_NAME ROLE_NAME
次のコマンドを実行して、ユーザーを作成します。
useradd -d /export/home/USER_NAME -m USER_NAME
次のコマンドを実行して、パスワードをユーザーに割り当てます。
passwd USER_NAME
次のコマンドを実行して、ユーザーにロールを付与します。
usermod -R ROLE_NAME USER_NAME
変更した内容を確認するには、テキスト・エディタで/etc/user_attrファイルを開き、ファイル内に次のエントリが存在していることを確認します。
ROLE_NAME::::type=role;profiles=PROFILE_NAME USER_NAME::::type=normal;roles=ROLE_NAME
公開キー認証を構成するには、次のようにします。
ノート:
公開キー認証を使用する場合、Solarisターゲット・システムのRBACユーザーは使用できません。
この項には、rootユーザー用に公開キー認証を構成する手順が含まれています。SUDOユーザー用に構成することもできます。
SSH公開キー認証を構成するには、次のようにします。
Solarisの場合
PubKeyAuthorization yes PasswordAuthentication no PermitRootLogin yes
ノート:
ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLogin
の値をyes
に変更してください。公開キー認証が有効な場合は、PermitRootLogin
の値をwithout-password
に変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、このステップを行う必要はありません。
/etc/init.d/sshd stop
/etc/init.d/sshd start
ssh -i /.ssh/id_rsa -l root server_IP_address
このコマンドにより、接続の設定前にパスキーを要求されます。
file://
が付いているid_rsa
ファイルの完全なパスを含むようにprivateKey[LOADFROMURL]
拡張設定パラメータを設定しますたとえば、次のようになります。
file:///OIM_HOME/server/ConnectorDefaultDirectory/SSH/config/id_rsa
PermitRootLogin yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
ノート:
ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLogin
の値をyes
に変更してください。公開キー認証が有効な場合は、PermitRootLogin
の値をwithout-password
に変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、このステップを行う必要はありません。
/opt/ssh/sbin/sshd
ssh -i /.ssh/id_rsa -l root server_IP_address
必要な場合には、パスキーを入力してサーバーに接続します。
コード・キー: privateKey[LOADFROMURL]
デコード: 接頭辞file://を含む、id_rsa
ファイルの完全なパスを追加します。
たとえば、次のようになります。
file:///OIM_HOME/server/ConnectorDefaultDirectory/SSH/config/id_rsa
Linuxの場合
/etc/init.d/sshd stop /etc/init.d/sshd start
OIM_HOME/server/ConnectorDefaultDirectory/SSH/config
ノート:
UNIXでOIMアプリケーション・サーバーを実行するのに使用するアカウントには、id_rsaファイルの所有権が必要です。
ssh -i OIM_HOME/server/ConnectorDefaultDirectory/SSH/config/id_rsa -l root host_ip_address
コード・キー: privateKey[LOADFROMURL]
デコード: 接頭辞file://を含む、id_rsa
ファイルの完全なパスを追加します。
file:///OIM_HOME/server/ConnectorDefaultDirectory/SSH/config/id_rsa
export PATH=$PATH: /usr/sbin Installation path: /etc/ssh/ sshd -- /usr/sbin/
AuthorizedKeysFile .ssh/authorized_keys PermitRootLogin yes PubkeyAuthentication yes
ノート:
ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLogin
の値をyes
に変更してください。公開キー認証が有効な場合は、PermitRootLogin
の値をwithout-password
に変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、このステップを行う必要はありません。
/usr/sbin/sshd
ssh -i /.ssh/id_rsa -l root server_IP_address
必要な場合には、パスキーを入力してサーバーに接続します。
コード・キー: privateKey[LOADFROMURL]
デコード: 接頭辞file://を含む、id_rsa
ファイルの完全なパスを追加します。
たとえば、次のようになります。
file:///OIM_HOME/server/ConnectorDefaultDirectory/SSH/config/id_rsa
コネクタをOracle Identity Managerにインストールする必要があります。必要に応じて、コネクタをコネクタ・サーバーにインストールすることもできます。
ノート:
このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を示すために使用されます。
コネクタ・コード(バンドル)を実行する場所に応じて、コネクタのインストール・オプションは次のようになります。
コネクタ・コードをOracle Identity Managerでローカルに実行するには、「Oracle Identity Managerへのコネクタのインストール」の手順を実行します
コネクタ・コードをコネクタ・サーバーでリモートで実行するには、「Oracle Identity Managerへのコネクタのインストール」および「コネクタ・サーバーへのコネクタ・バンドルのデプロイ」に示されている手順を実行します。
このシナリオでは、コネクタ・インストーラを使用してコネクタをOracle Identity Managerにインストールします。
ノート:
このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を示すために使用されます。
Oracle Identity Managerでローカルにコネクタ・コードを実行するには、次のステップを実行します:
コネクタ・インストール・メディア・ディレクトリの内容を次のディレクトリにコピーします。
OIM_HOME/server/ConnectorDefaultDirectory
ノート:
Oracle Identity Managerクラスタでは、このステップをクラスタの各ノードで実行します。
Oracle Identity Managerリリース11.1.1を使用している場合は、次のステップを実行します:
管理およびユーザー・コンソールにログインします。
「Identity Manager拡張管理へようこそ」ページの「システム管理」領域で、「コネクタの管理」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」で、「コネクタの管理」をクリックします。
「コネクタの管理」ページで「インストール」をクリックします。
「コネクタ・リスト」リストで、Generic UNIX Connector 11.1.1.7.0を選択します。このリストには、ステップ1で、インストール・ファイルがデフォルト・コネクタ・インストールにコピーされているコネクタの、名前およびリリース番号が表示されます。
インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。
「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。
「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。
「コネクタ・リスト」リストで、Generic UNIX Connector 11.1.1.7.0を選択します。
「ロード」をクリックします。
「続行」をクリックして、インストール処理を開始します。
次のタスクを順に実行します。
コネクタ・ライブラリの構成
コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)
アダプタのコンパイル
正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかのステップを実行します。
「再試行」をクリックして、インストールを再試行します。
インストールを取り消して、ステップ1から再度実行します。
コネクタのインストール手順の3つのタスクがすべて正常に終了すると、インストールの成功を示すメッセージが表示されます。また、インストール後に実行が必要なステップのリストも表示されます。ステップは次のとおりです。
コネクタの使用の前提条件が満たされていることの確認
ノート:
この段階で、前提条件のリストを表示するには、Oracle Identity Manager PurgeCacheユーティリティを実行し、サーバー・キャッシュにコネクタ・リソース・バンドルの内容をロードします。PurgeCacheユーティリティの実行の詳細は、サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリアを参照してください。
事前定義されたコネクタには前提条件がない場合があります。
コネクタのITリソースの構成
このページに表示されるITリソースの名前を記録します。ITリソースを構成する手順は、このガイドで後述します。
スケジュール済タスクの構成
このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクを構成する手順は、このガイドで後述します。
コネクタ・インストーラを実行すると、コネクタ・ファイルおよび外部コード・ファイルがOracle Identity Managerホスト・コンピュータ上のコピー先ディレクトリにコピーされます。インストール・メディアのファイルおよびディレクトリに、これらのファイルを示します。
コネクタ・バンドルをコネクタ・サーバーにリモートにデプロイするには、最初にコネクタをOracle Identity Managerにデプロイする必要があります。
これを行うには、「Oracle Identity Managerへのコネクタのインストール」で説明されている手順を実行します。
ノート:
コネクタ・サーバーはOracle Technology Network Webページからダウンロードできます。
関連情報は、「コネクタ・サーバーのITリソースの構成」を参照してください。
コネクタ・サーバーのインストール、構成および実行の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアイデンティティ・コネクタ・サーバーの使用を参照してください。
コネクタ・サーバーにコネクタをインストールするには、次の手順を実行します。
コネクタのインストール後の作業には、Oracle Identity Managerの構成、すべてのコネクタ・イベントに関する情報を追跡するためのロギングの有効化、およびITリソースの構成が含まれます。また、ユーザー・インタフェースのローカライズや接続プーリングの参照定義の設定などのオプションの構成も行います。
次の各項では、インストール後の作業について説明します。
Oracle Identity Managerリリース11.1.2以降を使用している場合は、UIフォームやアプリケーション・インスタンスなどの追加のメタデータを作成する必要があります。さらに、権限およびカタログ同期化ジョブを実行する必要があります。
これらの手順について、次の各項で説明します。
次のようにして、サンドボックスを作成し、アクティブ化します。
サンドボックスがアクティブ化されます。
次のようにして、新しいUIフォームを作成します。手順の詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のフォーム・デザイナを使用したフォームの作成に関する項を参照してください。
アプリケーション・インスタンスを作成し、それを「UIフォームの新規作成」で作成したフォームと関連付けます。次に、アプリケーション・インスタンスを組織に公開して、アプリケーション・インスタンスのリクエストとそれに続くユーザーへのプロビジョニングを可能にします。アプリケーション・インスタンスを作成および公開する手順の詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』の次の項を参照してください。
サンドボックスの作成およびアクティブ化で作成したサンドボックスを公開するには、次のようにします。
権限の収集とカタログ同期化を行うには、次の手順を実行します。
フォーム・デザイナで行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。
ノート:
ターゲット・システムを信頼できるソースとして構成した場合は、UNIXタイプのITリソースを作成します。たとえば、UNIX Trustedです。このITリソースのパラメータは、この項の表2-2で示されているITリソースのパラメータと同じです。『Fusion Middleware Oracle Identity Managerの管理』のITリソースの作成に関する項を参照してください。
プロビジョニングおよびリコンシリエーションの両方で、コネクタはUNIXサーバーITリソースを使用します。このITリソースは、コネクタのインストールの一部としてデフォルトのパラメータ値で作成されます。ITリソース・パラメータはターゲット・システムに関する情報で更新する必要があります。
UNIXサーバーITリソースを構成するには、次のようにします。
使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。
Oracle Identity Managerリリース11.1.1を使用している場合は、
Oracle Identity Managerリリース11.1.2.xを使用している場合、左ペインの「構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにUNIX Server
と入力し、「検索」をクリックします。図2-1に、「ITリソースの管理」ページを示します。
UNIXサーバーITリソースに対応する編集アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
UNIXサーバーITリソースのパラメータの値を指定します。図2-2に、「ITリソースの詳細およびパラメータの編集」ページを示します。
表2-2に、UNIXサーバーITリソースの各パラメータの説明を示します。
表2-2 ターゲット・システムのUNIXサーバーITリソースのパラメータ
パラメータ | 説明 |
---|---|
構成参照 |
リコンシリエーションおよびプロビジョニング中に使用される構成情報を格納する参照定義の名前 ターゲット・システムをターゲット・リソースとして使用するには、次の値(デフォルト)を設定します: ターゲット・システムを信頼できるソースとして使用するには、次の値を設定します: |
コネクタ・サーバー名 |
「コネクタ・サーバー」タイプのITリソースの名前 コネクタ・サーバーのデフォルトのITリソースは、コネクタのインストール時に作成されます。デフォルトのITリソースの変更の詳細は、「コネクタ・サーバーのITリソースの構成」を参照してください。 デフォルトでは、このフィールドは空白です。 コネクタ・サーバーを使用する場合、デフォルトは次の値です: |
connectionType |
コネクタがターゲット・システムへの接続に使用するプロトコル このコネクタでは次の接続タイプがサポートされます。
デフォルト値: |
connectorPrompt |
コネクタがターゲット・システムでの操作のために設定するシェル・プロンプト デフォルト値: ノート: この値がユーザーのログイン名、コメント・フィールド、ディレクトリ名などで使用されていると、コネクタ操作が影響を受ける場合があります。 そのような場合、コネクタ・プロンプトの値を、名前に使用されていない値に変更することができます。 |
host |
ターゲット・システム・コンピュータのホスト名またはIPアドレス |
loginShellPrompt |
loginUserアカウントを使用してターゲット・システムにログインする場合に発生するシェル・プロンプト デフォルト値: ノート: この値は正規表現です。デフォルトでは、コネクタはターゲット・システム上のシェル・プロンプトが しかし、シェル・プロンプトが別の loginShellPromptを確認するには、ターゲット・システムで次のステップを実行します。
例に示した値の場合、loginShellPromptパラメータ値は |
loginUser |
コネクタ操作を実行する管理者のユーザーID
SUDO Adminモードの場合、 |
loginUserpassword |
管理者のパスワード。 |
passphrase |
キーベースの認証で使用されるキー・ファイルのパスフレーズ ノート: キーベースの認証を使用する場合、パスフレーズを指定する必要があります。 |
port |
サーバーでSSHまたはTelnetサービスが実行されているポート SSHの場合のデフォルト値: Telnetの場合のデフォルト値: |
propertyFileName |
ターゲット・システムのScriptProperties.propertiesファイルの相対パス デフォルトのスクリプトを使用する場合は、このフィールドを空白にしておくことができます。しかし、OOTBスクリプトではなくカスタム・スクリプトを使用する場合、このフィールドに値を指定する必要があります。 コネクタはターゲット・システムで
エラー・メッセージの場合、ターゲット・システムおよびユーザー・アカウントに応じて、次の値のいずれか(またはカスタム・スクリプトを使用する場合は異なるパス)を入力します。
|
rbacAuthorization |
loginUserパラメータに指定されたユーザーがRBACユーザーかどうかを示します。 デフォルト値: 詳細は、「Solarisでのコネクタ操作用のRBACユーザー・アカウントの作成」を参照してください。 |
rbacRoleName |
rbacAuthorizationパラメータを |
rbacRolePassword |
rbacAuthorizationパラメータを |
sudoAuthorization |
loginUserパラメータに指定されたユーザーがSUDOユーザーかどうかを示します。 デフォルト値: |
「更新」をクリックして、値を保存します。
コネクタ・サーバーにコネクタ・バンドルをインストールした場合にのみ、この項で説明する手順を実行します。
コネクタ・バンドルをコネクタ・サーバーにインストールする手順は、「コネクタ・サーバーへのコネクタ・バンドルのデプロイ」で説明しています。コネクタのインストール時に、UNIXのコネクタ・サーバーのデフォルトのITリソースが、UNIX Connector Serverの名前で作成されます。
コネクタ・サーバーのITリソースを構成または変更するには、次のようにします。
コネクタをデプロイすると構成参照定義がOracle Identity Managerに作成されます。
これらの参照定義には値が事前移入される場合もありますが、そうでない場合はコネクタのデプロイ後に値を入力する必要があります。参照定義は次のとおりです。
Lookup.UNIX.Configuration
この参照定義には、リコンシリエーション操作およびプロビジョニング操作時に使用されるコネクタ構成エントリが含まれます。
Lookup.UNIX.Configuration.Trusted
ターゲット・システムが信頼できるソースとして構成される場合、この参照定義にはコネクタ構成エントリが含まれます。
表2-4に、この参照定義のデフォルト・エントリを示します。
表2-4 UNIX構成参照定義のエントリ
コード・キー | デコード | 説明 |
---|---|---|
バンドル名 |
|
コネクタ・バンドル・パッケージの名前 このエントリは変更しないでください。 |
バンドルのバージョン |
1.0.0 |
コネクタ・バンドル・クラスのバージョン このエントリは変更しないでください。 |
commandTimeout |
100000 |
コネクタでターゲット・システムからのレスポンスを待機する時間(ミリ秒単位)。この時間の後、コネクタはタイムアウト例外をスローします。 コネクタ操作に対し「コマンドのタイムアウト」例外が発生する場合、この値を増やすことができます。 |
configPropertiesOnScripts |
moveHomeDirContents,shadow,defaultHomeBaseDir, defaultPriGroup,defaultShell,nisPwdDir, nisBuildDirectory,removeHomeDirContents,forceDeleteUserHome,syncToken, mirrorFilesLocation,connectorPrompt |
スクリプトに送信されるプロパティをリストします。 たとえば、プロビジョニング中、ユーザーにデフォルトのシェルを設定する場合です。これを行うには、次のようにします:1. defaultShellプロパティがこのリストの一部であることを確認します。2. この参照のこのプロパティにエントリを追加します。コード・キーの値をdefaultShellに設定します。デコードの値を ターゲット固有のスクリプトがdefaultShellプロパティをサポートする場合に、これが設定されます。すべてのスクリプトがデコード列のすべての属性をサポートするわけではありません。スクリプト・コンテンツのサポートされる属性を手動でチェックする必要があります。 |
コネクタ名 |
|
コネクタ・クラスの名前 このエントリは変更しないでください。 |
mirrorFilesLocation |
|
コネクタが/etc/passwdおよびshadowファイルのコピーを格納するのに使用するディレクトリ ノート: このディレクトリはリコンシリエーションの実行前にターゲットに手動で作成する必要があります。別のディレクトリを指定する場合、そのディレクトリがターゲット・システムに存在し、loginUserにそのディレクトリに対する読取りおよび書込みアクセス権限があることを確認します。 |
moveHomeDirContents |
デフォルト値: |
ホーム・ディレクトリを変更する際に、前のホーム・ディレクトリのコンテンツを新しいディレクトリの場所に移動する必要があるかどうかを指定します。 デコード値として、 |
passwordExpectExpressions |
ノート: サードパーティのライブラリであるExpect4jは、これらの予期される式と、UNIXターゲット・システムのコンソール出力の実際のコンテンツとを照合します。 そのため、これらのフィールドに正しい値が含まれていることを確認する必要があります。正しくない値はコネクタ操作に影響を与える可能性があります。 |
パスワードがユーザーに設定されるときに、ターゲット・システムに表示される2つのカンマ区切りパスワード・プロンプトの正規表現 正規表現がターゲット・システムで動作しない場合、この参照エントリで正確なプロンプトを指定できます。 たとえば、ユーザーにパスワードを設定し、次のプロンプトが表示される場合:
この場合、次のようにデコードの値を設定できます。
|
prePasswdExpectExpression ノート: このエントリはデフォルトでは存在しません。説明列に表示されるプロンプトなどの追加プロンプトをターゲットが表示する場合は、構成参照に追加する必要があります。 |
説明列に表示される例では、選択肢「p」に対するサンプル値は次のようになります。
|
HP-UXなどのターゲット・システムによっては、 たとえば、次のようになります。 Do you want (choose one letter only): pronounceable passwords generated for you (g) a string of letters generated (l) ? to pick your passwords (p)? Enter choice here: このような場合、これらのコード・キーおよびデコード・エントリを参照定義に追加できます。 |
privateKey[LOADFROMURL] ノート: このエントリはデフォルトでは存在しません。キーベースの認証を有効にする場合は、構成参照に追加する必要があります。 |
サンプル値:
|
id_rsaファイルへのパス |
rbacRoleExpectExpressions ノート: このエントリはLookup.UNIX.Configurationにのみ適用可能です。 |
ノート: サードパーティのライブラリであるExpect4jは、これらの予期される式と、UNIXターゲット・システムのコンソール出力の実際のコンテンツとを照合します。 そのため、これらのフィールドに正しい値が含まれていることを確認する必要があります。正しくない値はコネクタ操作に影響を与える可能性があります。 |
2つのカンマ区切りプロンプトの正規表現 最初のプロンプト(password:)は、RBACロールに対しSUDOモードを入力したときに、Solarisターゲット・システムに表示されるパスワード・プロンプトです。ターゲット・システムが異なるプロンプトを表示する場合は、このパスワード・プロンプトを変更する必要があります。 2番目のプロンプト([$#])は、SUDOモードでの前のコマンドの実行後に表示されるシェル・プロンプトです。ターゲット・システムが異なるプロンプトを表示する場合は、このシェル・プロンプトを変更する必要があります。 |
sudoPasswdExpectExpression |
ノート: サードパーティのライブラリであるExpect4jは、これらの予期される式と、UNIXターゲット・システムのコンソール出力の実際のコンテンツとを照合します。 そのため、これらのフィールドに正しい値が含まれていることを確認する必要があります。正しくない値はコネクタ操作に影響を与える可能性があります。 |
SUDOモードを入力したときに、ターゲット・システムに表示されるパスワード・プロンプトの正規表現です。 ターゲット・システムが異なるプロンプトを表示する場合は、このパスワード・プロンプトを変更する必要があります。 |
supportedLanguage |
Bourne |
ターゲット・システムでサポートされているシェル・スクリプト言語 |
targetDateFormat |
yyyy-MM-dd ノート: これがターゲット・システムでの正しいJava日付書式であることを確認する必要があります。正しくない書式は「有効期限」属性のプロビジョニングに影響を与える可能性があります。 日付書式の詳細は、 |
ターゲット・システムでの日付書式 |
telnetAuthenticationPrompts ノート: このエントリは、ITリソースのconnectionTypeパラメータがTELNETに設定されている場合の、Telnet接続に適用可能です。 |
ノート: サードパーティのライブラリであるExpect4jは、これらの予期される式と、UNIXターゲット・システムのコンソール出力の実際のコンテンツとを照合します。 そのため、これらのフィールドに正しい値が含まれていることを確認する必要があります。正しくない値はコネクタ操作に影響を与える可能性があります。 |
Telnet接続を使用した、ターゲット・システムでのログインおよびパスワード・プロンプトです。 |
ユーザー構成参照 |
|
ユーザー特有の構成プロパティを含む参照定義の名前 このエントリは変更しないでください。 |
whitelistRegex |
|
フィールド値の一部として使用できる文字を指定します。 たとえば、次のようになります。 正規表現の ノート: サポートされている正規表現の詳細は、 この正規表現は、任意の文字を含むことのできるGECOSフィールドには適用されません。 |
isSudoWithNoPasswd ノート: このエントリはデフォルトでは存在しません。NoPasswdを使用するSUDOユーザーに対するサポートが必要な場合は、これを構成参照定義に追加する必要があります。 |
trueまたはfalse |
true: NoPasswdをSUDOユーザーに構成する場合。 それ以外の場合は、false。 |
defaultConnectorShell |
ノート: RBACを使用する場合は、デコード値を |
これはコネクタ操作に使用されるdefaultShellです。 RBACを使用中でない場合はこのエントリを変更しないでください |
デフォルトではこのコネクタはICF接続プーリングを使用します。
表2-5に、接続プーリングのプロパティ、説明、およびICFで設定されているデフォルト値を示します。
表2-5 接続プーリングのプロパティ
プロパティ | 説明 |
---|---|
プールの最大アイドル数 |
プール内のアイドル状態のオブジェクトの最大数。 デフォルト値: |
プールの最大サイズ |
プールで作成できる接続の最大数。 デフォルト値: |
プールの最大待機時間 |
プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 デフォルト値: |
プールの最小削除アイドル時間 |
コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 デフォルト値: |
プールの最小アイドル数 |
プール内のアイドル状態のオブジェクトの最小数。 デフォルト値: |
接続プーリング・プロパティを変更して環境の要件に適した値を使用する場合は、次のようにします。
コネクタをデプロイするとユーザー管理参照定義がOracle Identity Managerに作成されます。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。参照定義は次のとおりです。
Lookup.UNIX.UM.Configuration参照定義には、ユーザー・オブジェクト・タイプに特有な構成エントリが保持されます。この参照定義は、ユーザー管理操作の際に使用されます。
表2-6に、この参照定義のデフォルト・エントリを示します。
表2-6 Lookup.UNIX.UM.Configurationのエントリ
コード・キー | デコード | 説明 |
---|---|---|
プロビジョニング属性マップ |
Lookup.UNIX.UM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、「Lookup.UNIX.UM.ProvAttrMap」を参照してください。 |
リコンシリエーション属性マップ |
Lookup.UNIX.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、「Lookup.UNIX.UM.ReconAttrMap」を参照してください。 |
リコンシリエーション変換参照 ノート: このエントリはデフォルトでは存在しません。リコンシリエーション時の変換を有効にする場合に追加する必要があります。 |
Lookup.UNIX.UM.ReconTransformation |
このエントリは、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用される参照定義の名前を含みます。 この参照定義へのエントリの追加の詳細は、「ユーザー・リコンシリエーション時のデータ変換の構成」を参照してください。 |
リコンシリエーション検証参照 ノート: このエントリはデフォルトでは存在しません。リコンシリエーション時の検証を有効にする場合に追加する必要があります。 |
Lookup.UNIX.UM.ReconValidation |
このエントリは、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用される参照定義の名前を含みます。 この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
プロビジョニング検証参照 ノート: このエントリはデフォルトでは存在しません。プロビジョニング時の検証を有効にする場合に追加する必要があります。 |
Lookup.UNIX.UM.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます。 この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
リコンシリエーション除外参照 ノート: このエントリはデフォルトでは存在しません。リコンシリエーション中にリソースの除外を有効にする場合は、それを追加する必要があります。 |
Lookup.UNIX.UM.ProvExclusionList |
このエントリには、リコンシリエーション中にリソース除外リストを構成するのに使用される参照定義の名前が保持されます。 詳細は、「リソース除外リストの構成」を参照してください。 |
プロビジョニング除外参照 ノート: このエントリはデフォルトでは存在しません。プロビジョニング中にリソースの除外を有効にする場合は、それを追加する必要があります。 |
Lookup.UNIX.UM.ReconExclusionList |
このエントリには、プロビジョニング操作中にリソース除外リストを構成するのに使用される参照定義の名前が保持されます。 この参照定義へのエントリの追加の詳細は、「リソース除外リストの構成」を参照してください。 |
ターゲット・システムが信頼できるソースとして構成される場合、Lookup.UNIX.UM.Configuration.Trusted参照定義には、ユーザー・オブジェクト・タイプに特有な構成エントリが保持されます。この参照定義は、ユーザー管理操作の際に使用されます。
表2-7に、この参照定義のデフォルト・エントリを示します。
表2-7 Lookup.UNIX.UM.Configuration.Trustedのエントリ
コード・キー | デコード | 説明 |
---|---|---|
リコンシリエーション属性デフォルト |
Lookup.UNIX.UM.ReconAttrMap.TrustedDefaults |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、「Lookup.UNIX.UM.ReconAttrMap.TrustedDefaults」を参照してください。 |
リコンシリエーション属性マップ |
Lookup.UNIX.UM.ReconAttrMap.Trusted |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、「Lookup.UNIX.UM.ReconAttrMap.Trusted」を参照してください。 |
コネクタをデプロイすると属性マッピング参照定義がOracle Identity Managerに作成されます。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。参照定義は次のとおりです。
Lookup.UNIX.UM.ProvAttrMap参照定義には、プロビジョニング操作時に使用される、ターゲット・システム属性(「デコード」の値)とプロセス・フォーム・フィールド(「コード・キー」の値)間のマッピングが保持されます。
プロビジョニング用に新しいターゲット・システム属性をマップする場合、この参照にエントリを追加できます。詳細は、「プロビジョニング用のカスタム属性の追加」を参照してください。
表2-8に、この参照定義のデフォルト・エントリを示します。
表2-8 Lookup.UNIX.UM.ProvAttrMapのエントリ
コード・キー | デコード |
---|---|
ホーム・ディレクトリの作成 |
CREATE_HOME_DIR |
有効期限[DATE] |
EXP_DATE##DATE## |
GECOS |
COMMENTS##COMMENTS## |
ホーム・ディレクトリ |
HOME_DIR |
非アクティブ日 |
INACTIVE |
パスワード |
__PASSWORD__ |
プライマリ・グループ[LOOKUP] |
PGROUP |
ReturnValue |
__UID__ |
スケルトン・ディレクトリ |
SKEL_DIR |
UD_UNIX_CH~セカンダリ・グループ[LOOKUP] |
SECONDARYGROUP |
UID |
USID |
ユーザー・ログイン |
__NAME__ ノート: これは、内部目的でコネクタにより使用されるターゲット・システム属性です。 |
ユーザー・シェル[LOOKUP] |
USER_SHELL |
Lookup.UNIX.UM.ReconAttrMap参照定義には、リコンシリエーション操作時に使用される、ターゲット・システム属性(「デコード」の値)とリソース・オブジェクト・フィールド(「コード・キー」の値)間のマッピングが保持されます。
リコンシリエーション用に新しいターゲット・システム属性をマップする場合、この参照定義にエントリを追加できます。詳細は、「ターゲット・リソース・リコンシリエーション用のカスタム属性の追加」を参照してください。
表2-9に、この参照定義のデフォルト・エントリを示します。
表2-9 Lookup.UNIX.UM.ReconAttrMapのエントリ
コード・キー | デコード |
---|---|
ホーム・ディレクトリの作成 |
CREATE_HOME_DIR |
有効期限[DATE] |
EXP_DATE##DATE## |
GECOS |
COMMENTS |
ホーム・ディレクトリ |
HOME_DIR |
非アクティブ日 |
INACTIVE |
プライマリ・グループ[LOOKUP] |
PGROUP |
ReturnValue |
__UID__ ノート: これは、内部目的でコネクタにより使用されるターゲット・システム属性です。 |
セカンダリ・グループ~セカンダリ・グループ[LOOKUP] |
SECONDARYGROUP |
ステータス |
__ENABLE__ |
UID |
USID |
ユーザー・ログイン |
__NAME__ |
ユーザー・シェル[LOOKUP] |
USER_SHELL |
Lookup.UNIX.UM.ReconAttrMap.Trusted参照定義には、リコンシリエーション操作時に使用される、ターゲット・システム属性(「デコード」の値)とリソース・オブジェクト・フィールド(「コード・キー」の値)間のマッピングが保持されます。ターゲット・システムが信頼できるソースとして構成される場合、この参照定義はユーザー管理操作中に使用されます。
表2-10に、この参照定義のデフォルト・エントリを示します。
表2-10 Lookup.UNIX.UM.ReconAttrMap.Trustedのエントリ
コード・キー | デコード |
---|---|
姓 |
__NAME__ |
TrustedStatus[TRUSTED] |
__ENABLE__ |
ユーザーID |
__UID__ |
Lookup.UNIX.UM.ReconAttrMap.TrustedDefaults参照定義は、ターゲット・システムが信頼できるソースとして構成される場合に使用されます。
これらのエントリはOIMユーザー属性です。このフィールドはどのUNIXターゲット・システム・フィールドにもマップされません。デフォルト値はこの参照のこれらのフィールドに設定されます。
表2-11に、この参照定義のデフォルト・エントリを示します。
表2-11 Lookup.UNIX.UM.ReconAttrMap.TrustedDefaultsのエントリ
コード・キー | デコード |
---|---|
組織 |
Xellerate Users |
ロール |
Full-Time |
ユーザー・タイプ |
End-User |
Oracle Identity Managerでは、ロギングにOracle Java Diagnostic Logging (OJDL)が使用されます。OJDLは、java.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ノート:
Oracle Identity Managerクラスタで、クラスタのノードごとにこの手順を実行します。その後、各ノードを再起動します。
SEVERE.intValue()+100
このレベルでは、致命的エラーに関する情報のロギングが有効化されます。
SEVERE
このレベルでは、Oracle Identity Managerの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。
WARNING
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。
CONFIG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
FINE、FINER、FINEST
これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。
これらのログ・レベルは、次に示すようにODLメッセージ・タイプとレベルの組合せにマップされます
表2-12 ログ・レベルとODLのメッセージ・タイプ: レベルの組合せのマッピング
ログ・レベル | ODLメッセージ・タイプ:レベル |
---|---|
SEVERE.intValue()+100 | INCIDENT_ERROR:1 |
SEVERE | ERROR:1 |
WARNING | WARNING:1 |
INFO | NOTIFICATION:1 |
CONFIG | NOTIFICATION:16 |
FINE | TRACE:1 |
FINER | TRACE:16 |
FINEST | TRACE:32 |
OJDLの構成ファイルはlogging.xmlであり、次のパスにあります。
DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml
ここで、DOMAIN_HOMEとOIM_SERVERは、Oracle Identity Managerのインストール時に指定されたドメイン名とサーバー名です。
Oracle WebLogic Serverでロギングを有効化するには:
次のようにしてlogging.xmlファイルを編集します。
ファイル内に次のブロックを追加します。
<log_handler name='unix-handler' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='[FILE_NAME]'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler>
<logger name="ORG.IDENTITYCONNECTORS.GENERICUNIX" level="[LOG_LEVEL]" useParentHandlers="false">
<handler name="unix-handler"/>
<handler name="console-handler"/>
</logger>
[LOG_LEVEL]
が出現したら両方を必要なODLのメッセージ・タイプとレベルの組合せに置き換えます。表2-12にサポートされるメッセージ・タイプおよびレベルの組合せを示します。
同様に、[FILE_NAME]
は、ログ・メッセージを記録するログ・ファイルのフルパスおよび名前で置き換えます。
次のブロックは、[LOG_LEVEL]
および[FILE_NAME]
のサンプル値を示しています。
<log_handler name='unix-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler> <logger name="ORG.IDENTITYCONNECTORS.GENERICUNIX" level="NOTIFICATION:1" useParentHandlers="false"> <handler name="telnetssh-handler"/> <handler name="console-handler"/> </logger>
Oracle Identity Governanceをこれらのサンプル値とともに使用すると、このコネクタに対して生成された、ログ・レベルがNOTIFICATION:1
レベル以上のすべてのメッセージが、指定したファイルに記録されます。
保存してファイルを閉じます。
サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。
Microsoft Windowsの場合:
set WLS_REDIRECT_LOG=FILENAME
UNIXの場合:
export WLS_REDIRECT_LOG=FILENAME
FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。
アプリケーション・サーバーを再起動します。
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
ノート:
Oracle Identity Managerクラスタでは、クラスタのノードごとにこのステップを実行する必要があります。その後、各ノードを再起動します。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
コネクタをデプロイすると、リソース・バンドルがインストール・メディアのresourcesディレクトリからOracle Identity Managerデータベースにコピーされます。connectorResourcesディレクトリに新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
ノート:
Oracle Identity Managerクラスタでは、クラスタのノードごとにこのステップを実行する必要があります。その後、各ノードを再起動します。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュからクリアするには、次のようにします。
使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタのインストール・パッケージに用意されています。
ノート:
この項で説明する手順は、Oracle Identity Managerリリース11.1.2.x以降を使用しており、UIフォーム・フィールド・ラベルをローカライズする場合にのみ実行します。
UIフォームで追加するフィールド・ラベルをローカライズするには:
Oracle Enterprise Managerにログインします。
左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します
右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します
「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブを保存します。
アーカイブの内容を解凍して、テキスト・エディタで次のファイルを開きます。
Oracle Identity Manager 11gリリース2 PS2 (11.1.2.2.0)以降のリリースの場合:
SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlf
Oracle Identity Manager 11gリリース2 PS2 (11.1.2.2.0)より前のリリースの場合
SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle.xlf
BizEditorBundle.xlfファイルを次の方法で編集します。
次のテキストを検索します。
<file source-language="en" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
次のテキストで置き換えます。
<file source-language="en" target-language="LANG_CODE"
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">
このテキストのLANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。次に、フォーム・フィールド・ラベルをフランス語でローカライズするためのサンプル値を示します。
<file source-language="en" target-language="fr" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
アプリケーション・インスタンスのコードを検索します。この手順は、UNIXアプリケーション・インスタンスのサンプル編集を示しています。元のコードは次のとおりです。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_UNIX_GRPNAME__c_description']}"> <source>Primary Group</source> </target> </trans-unit> <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.UNIX.entity.UNIXEO.UD_UNIX_GRPNAME__c_LABEL"> <source>Primary Group</source> </target> </trans-unit>
コネクタ・パッケージに入っているリソース・ファイル(例: UNIX_fr.properties)を開き、そのファイルの属性の値(例: global.udf.UD_UNIX_GRPNAME= Groupe principal)を取得します。
ステップ6.cに示されている元のコードを、次のものに置き換えます。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_UNIX_GRPNAME__c_description']}"> <source> Primary Group</source> <target> Groupe principal</target> </trans-unit> <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.UNIX.entity.UNIXEO.UD_UNIX_GRPNAME__c_LABEL"> <source> Primary Group</source> <target> Groupe principal</target> </trans-unit>
プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。
ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名のLANG_CODEを、ローカライズしている言語のコードに置き換えます。
サンプル・ファイル名: BizEditorBundle_fr.xlf
ZIPファイルを再パッケージしてMDSにインポートします。
関連項目:
メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』の「カスタマイズのデプロイおよびアンデプロイ」を参照してください
Oracle Identity Governanceからログアウトしてから、ログインします。
このコネクタの前のリリースがすでにデプロイされている場合は、コネクタを現在のリリース11.1.1.7.0にアップグレードします。
ノート:
アップグレード手順を実行する前に、次の手順を実行します。
Oracle Identity Managerデータベースのバックアップを作成することを強くお薦めします。バックアップの作成の詳細は、データベースのドキュメントを参照してください。
ベスト・プラクティスとして、アップグレード手順はまずテスト環境で実行してください。
このコネクタの以前のリリースにカスタム属性を追加済である場合、アップグレード手順の後に、すべてのカスタム属性を保持および構成します。
次の項では、コネクタをアップグレードする手順について説明します。
次のアップグレード前のステップを実行します。
UNIXコネクタをリリース11.1.1.6.0からこのリリースのコネクタにアップグレードできます。
これを行うには、次の手順を実行します。
セカンダリ・グループの子フォーム(UD_UNIX_CH)の権限のタグ付けを設定するには、次のようにします:
UD_UNIX_CH
を入力し、レコードに対する問合せボタンをクリックします。true
と入力します。プロセス・フォーム(UD_UNIX)にITリソース、アカウントIDおよびアカウント名のタグ付けを設定するには、次のようにします:
UD_UNIX
を入力し、レコードに対する問合せボタンをクリックします。true
と入力します。true
と入力します。true
と入力します。セカンダリ・グループの更新プロセス・タスクのタスクからオブジェクトへのステータス・マッピングのステータスをNoneに設定するには、次のようにします:
UNIX
と入力し、レコードに対する問合せボタンをクリックします。None
に変更します。コネクタをアップグレードする環境に応じて、次のいずれかのステップを実行します。
ステージング環境
ウィザード・モードを使用してアップグレード手順を実行します。
本番環境
サイレント・モードを使用してアップグレード手順を実行します。
ウィザードおよびサイレント・モードの詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のコネクタのアップグレード手順に関する項を参照してください。
次のサンプルのスクリーンショットで、新旧コネクタ間でマップされるコネクタ・アーティファクトを示します。
次のアップグレード後のステップを実行します。
Oracle Identity Managerリリース11.1.2.x以降を使用している場合、新しいUIフォームを作成し、これを既存のアプリケーション・インスタンスに添付して、ユーザー定義フィールド(UDFまたはカスタム属性)を表示する必要があります。UDFの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のカスタム属性の構成を参照してください。
次のように親フォームおよび子フォームを変更します。
新しいバージョンの親フォームUD_UNIXを作成し、アクティブにします。
例: v_11.1.1.7.2
デザイン・コンソールで子フォームUD_UNIX_CHが親フォームUD_UNIXにリンクされていることを確認します。
ノート:
コネクタのアップグレード後に親フォームが子フォームにリンクされないという、既知の問題の回避策として、これらのステップを実行する必要があります。この問題は「既知の問題」のOracle Bug#13690646でも説明しています。
ソース・コネクタ(アップグレードする必要がある以前のリリースのコネクタ)のITリソースを再構成します。詳細は、「ターゲット・システムのITリソースの構成」を参照してください。
アップグレード操作後に、フォームのデータ変更を管理するには、フォーム・バージョン制御(FVC)ユーティリティを実行します。これを行うには、次のようにします。
テキスト・エディタでOIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開いて、次のエントリを追加します。
FormName;UD_UNIX FromVersion;3 ToVersion;v_11.1.1.7.2 ParentParent;UD_UNIX_USERLOGIN;UD_UNIX_RETURNVALUE Parent;UD_UNIX_CREATE_HOME_DIR;false
ノート:
ToVersionフィールドの値はステップ3.aで作成した子フォームのバージョンと一致する必要があります。
FVCユーティリティを実行します。このユーティリティは、Design Consoleをインストールすると次のディレクトリにコピーされます。
Microsoft Windowsの場合:
OIM_DC_HOME/fvcutil.bat
UNIXの場合:
OIM_DC_HOME/fvcutil.sh
このユーティリティを実行すると、Oracle Identity Manager管理者のログイン資格証明と、ロガー・レベルおよびログ・ファイルの場所を入力するように求められます。
PostUpgradeScriptUnix.sqlスクリプトを次のように実行します。
OIMユーザー資格証明を使用して、Oracle Identity Managerデータベースに接続します。
OIM_HOME/server/ConnectorDefaultDirectory/UNIX_Package/UpgradeディレクトリにあるPostUpgradeScriptUnix.sqlを実行します。
次のように増分リコンシリエーションを設定します。
ターゲット・システムで、パスワード・ミラー・ファイル(/etc/passwd1
)、shadowミラー・ファイル(/etc/shadow1
)およびグループ・ファイル(/etc/group
)を、構成参照定義(Lookup.UNIX.Configuration)のmirrorFilesLocation
属性(/etc/connector_mirror_files
)で指定した場所にコピーします。
次のいずれかのコマンドを実行して、ターゲット・システムの現在の日付と時間を取得します。
Linuxの場合、$(date '+%d%m%Y%s%N')
を使用します
Solarisの場合、(date '+%m%d%y%H%M%S'$random)
を使用します
HPUXおよびAIXの場合、($(date '+%m%d%Y%S')$RANDOM)
を使用します
この値をsyncToken.として保存します。
たとえば、syncToken = '090420121333955808939929000'
です
/etc/connector_mirror_files/passwd1ファイルをSYNCTOKEN.passwdに名前を変更します。
たとえば、/etc/connector_mirror_files/090420121333955808939929000.passwd
です。
/etc/connector_mirror_files/shadow1ファイルをSYNCTOKEN.shadowに名前を変更します。
たとえば、/etc/connector_mirror_files/090420121333955808939929000.shadow
です。
/etc/connector_mirror_files/groupファイルをSYNCTOKEN.groupに名前を変更します。
たとえば、/etc/connector_mirror_files/090420121333955808939929000.group
です。
Oracle Identity Manager管理およびユーザー・コンソールにログインします。
「Oracle Identity Managerへようこそ」の「セルフ・サービス」ページで、ページの右上隅の「拡張」をクリックします。
UNIXターゲット増分リソース・ユーザー・リコンシリエーション・スケジュール済タスクを検索し、開きます。
「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの同期トークン属性に次の値を指定します。
<String>090420121333955808939929000</String>
ノート:
Unixの他のフレーバでは、増分リコンシリエーション・スケジュール済タスクの同期トークン属性に同じsyncToken形式を使用できます。
属性の指定後、「適用」をクリックすると、変更が保存されます。
コネクタを構成するオブジェクトのいくつかに新しい名前を設定することによって、コネクタをクローニングできます。この処理により、新しいコネクタXMLファイルが生成されます。リソース・オブジェクト、プロセス定義、プロセス・フォーム、ITリソース・タイプ定義、ITリソース・インスタンス、参照定義、アダプタ、リコンシリエーション・ルールなど、新しいコネクタXMLファイル内のほとんどのコネクタ・オブジェクトの名前が新しくなります。
関連項目:
コネクタ操作の実行に必要な権限の詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のコネクタのクローニングに関する項を参照してください
コネクタ・オブジェクトの新しい名前を設定することによってコネクタのコピーを作成した後、一部のオブジェクトに以前のコネクタ・オブジェクトの詳細が含まれていることがあります。このため、次のOracle Identity Managerオブジェクトを変更して、ベース・コネクタのアーティファクトまたは属性参照を、対応するクローニングされるアーティファクトまたは属性と置き換える必要があります。
参照定義
参照定義に以前の参照定義の詳細が含まれる場合は、それを変更してクローニングされる参照定義の新しい名前を指定する必要があります。コード・キーおよびデコードの値がベース・コネクタの属性参照を参照している場合、これらを、クローニングされる新しい属性と置き換えます。
スケジュール済タスク
スケジュール済タスク内のベース・コネクタのリソース・オブジェクト名は、クローニングされるリソース・オブジェクト名と置き換える必要があります。スケジュール済タスクのパラメータに、ベース・コネクタのアーティファクトまたは属性を参照しているデータがある場合、これらを、クローニングされるコネクタの新しいアーティファクトまたは属性と置き換える必要があります。
子表
コネクタのクローニング後、アダプタを再度割り当て、新しいリテラル値を子表のchildTableName変数に追加する必要があります。
子表を更新するには、次のようにします。
ローカリゼーション・プロパティ
コネクタのクローニング後に、ユーザー・ロケールのリソース・バンドルを、適切な変換を行うためのプロセス・フォーム属性の新しい名前で更新する必要があります。コネクタ・バンドルのresourcesディレクトリにあるロケールのpropertiesファイルを変更できます。
たとえば、プロセス・フォーム属性は、日本語のプロパティ・ファイルであるUNIX_ja.propertiesで、global.udf.UD_UNIX_ALIASNAME
として参照されます。クローニング中に、プロセス・フォーム名をUD_UNIX
からUD_UNIX1
に変更する場合、プロセス・フォーム属性をglobal.udf.UD_UNIX1_ALIASNAME
に更新する必要があります。