この章では、一般的に使用されているディレクトリ・テクノロジおよびID管理テクノロジと統合するためのOracle Virtual Directoryの構成方法について説明します。この章の内容は次のとおりです。
注意: Oracle Virtual Directoryは、ほとんどのLDAP対応テクノロジとともに使用できます。この章では、一般的な統合を簡略化するOracle Virtual Directoryの機能を中心に説明します。 その他のOracle Virtual Directoryの統合に関しては、Oracleサポートに連絡してください。 |
Oracle Directory Services Managerの「クイック・コンフィギュレーション・ウィザード: Oracle Access Managerの設定」を使用して、Oracle Access Manager(OAM)と統合するためにOracle Virtual Directoryを構成するには、次の手順を実行します。「クイック・コンフィギュレーション・ウィザード: Oracle Access Managerの設定」は、必要なローカル・ストア・アダプタや、Oracle Access Managerが使用するデータ・リポジトリに適切なアダプタ・タイプ(LDAP、データベースまたはカスタム)を作成する手順を1つずつ説明します。
Oracle Directory Services Managerにログインします。
タスク選択バーから「拡張」を選択します。拡張ナビゲーション・ツリーが表示されます。
拡張ツリーの「クイック構成ウィザード」エントリを開きます。
ツリーで、「Oracle Access Managerの設定」をクリックします。「Oracle Access Managerの設定」画面が表示されます。
「ローカル・ストア・アダプタ(LSA)の作成に使用されるネームスペース」フィールドにローカル・ストア・アダプタのネームスペースをDN形式入力し、「適用」をクリックします。「アダプタ」画面が表示されます。
Oracle Access Managerが使用するデータ・リポジトリのアダプタを作成します。Oracle Access Managerが使用するデータ・リポジトリに適切な、次のいずれかの手順を実行します。
Oracle Access Manager用のLDAPアダプタを作成する手順:
「OAM LDAPアダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - LDAPアダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにLDAPアダプタの一意の名前を入力します。「アダプタ・テンプレート」リストからオプションを選択することで、LDAPアダプタに適したテンプレートを選択します。Microsoft Active DirectoryまたはOracle Directory Server Enterprise Edition (旧称はSun Java System Directory Server)と統合している場合以外は「デフォルト」を選択します。詳細は、「アダプタ・テンプレートの概要」を参照してください。「次」をクリックします。「OAM用のOVDを準備中 - LDAPアダプタの作成」ダイアログ・ボックスの「接続」画面が表示されます。
OAM用にLDAPアダプタを構成するには、「LDAPアダプタの作成」の手順5から16を実行します。
設定の概要を確認し、「終了」をクリックしてOAM用のLDAPアダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいLDAPアダプタが表示されます。
Oracle Access Manager用のデータベース・アダプタを作成する手順:
「OAMデータベース・アダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - データベース・アダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにデータベース・アダプタの一意の名前を入力します。「アダプタ・テンプレート」リストからオプションを選択することで、データベース・アダプタに適したテンプレートを選択します。詳細は、「アダプタ・テンプレートの概要」を参照してください。「次」をクリックします。「OAM用のOVDを準備中 - データベース・アダプタの作成」ダイアログ・ボックスの「接続」画面が表示されます。
OAM用にデータベース・アダプタを構成するには、「データベース・アダプタの作成」の手順5から10を実行します。
設定の概要を確認し、「終了」をクリックしてOAM用のデータベース・アダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいデータベース・アダプタが表示されます。
Oracle Access Manager用のカスタム・アダプタを作成する手順:
「OAMカスタム・アダプタの作成」ボタンをクリックします。「OAM用のOVDを準備中 - カスタム・アダプタの作成」ダイアログ・ボックスが表示されます。
「アダプタ名」フィールドにカスタム・アダプタの一意の名前を入力します。
「アダプタ接尾辞/ネームスペース」フィールドに有効なベースDNを入力します。
「OAM用のOVDを準備中 - カスタム・アダプタの作成」ダイアログ・ボックスで、「次へ」をクリックします。プラグインの構成画面が表示されます。
「名前」フィールドにプラグインの名前を入力します。
「クラス」フィールドにプラグインのクラス名を入力するか、「参照」をクリックし、「プラグインの選択」ボックスからプラグインを選択して「OK」をクリックします。
「パラメータ」表の「作成」ボタンをクリックして「名前」リストからパラメータを選択し、「値」フィールドにパラメータの値を入力して、プラグインにパラメータと値を追加します。
プラグインの構成画面の「次へ」をクリックします。
設定の概要を確認し、「終了」をクリックしてOAM用のカスタム・アダプタを作成します。「Oracle Access Managerの設定」画面のアダプタのリストに、OAM用の新しいカスタム・アダプタが表示されます。
Oracle Directory Services Managerのタスク選択バーから「アダプタ」を選択し、「アダプタ」ツリーで構成するアダプタの名前をクリックすることで、Oracle Access Managerが使用するデータ・リポジトリのアダプタを構成します。
Oracle Access Managerの統合アダプタの設定を変更するには、次のようにします。
Oracle Directory Services Managerにログインし、Oracle Directory Services Managerのタスク選択バーから「アダプタ」タブを選択します。
「アダプタ」ツリーで、変更するアダプタの名前を選択します。
「アダプタ」タブのアダプタ設定を必要に応じて変更します。アダプタ設定の詳細は、第12章「Oracle Virtual Directoryのアダプタの作成および構成」を参照してください。
変更を適用するには、「適用」をクリックします。
Oracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティ(EUS)と統合すると、外部LDAPリポジトリに格納されたユーザーIDを活用することによって、認証機能や認可機能が強化および簡略化され、追加の同期も必要ありません。
この項では、Oracle Virtual DirectoryとOracleのエンタープライズ・ユーザー・セキュリティとの統合方法について説明します。この項の内容は次のとおりです。
注意: アップグレード環境では、次のようになります。 Oracle Virtual Directoryのエンタープライズ・ユーザー・セキュリティの統合手順は、11.1.1.6.0リリースで変更されました。 11.1.1.6.0にアップグレードする前にデプロイメントにEUSをすでに構成してある場合、EUSの構成には以前の手順を引き続き使用する必要があります。この手順を確認するには、前にリリースされたバージョンの『Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド』のOracleのエンタープライズ・ユーザー・セキュリティとの統合に関する項を参照してください。 11.1.1.6.0にアップグレードした後は、すべての新しい構成についてこの項で説明する統合手順を使用する必要があります。 |
ユーザーIDを格納している外部ディレクトリに関係なく、まずこの項の手順を実行する必要があります。この項の手順を実行したら、「外部ディレクトリとOracle Virtual Directoryとの統合」を参照して統合を続行します。
エンタープライズ・ユーザー・セキュリティと統合するためにOracle Virtual Directoryを準備するには、次の手順を実行します。
ORACLE_HOME
/ovd/eus/
ディレクトリのバックアップ・コピーを作成します。エンタープライズ・ユーザー・セキュリティ統合で必要な構成ファイルはすべてeus
ディレクトリにあります。eus
ディレクトリのバックアップコピーを作成すると、使用する環境に基づいているオリジナルのeus
ディレクトリにあるファイルをテンプレートとして編集しつつ、オリジナル・ファイルのコピーを保持しておくことができます。
存在しない場合は、第11章「Oracle Virtual Directoryリスナーの作成および管理」を参照して、SSL認証なしモードで保護されたLDAPリスナーを作成します。
重要: Oracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合するためのこの先の手順は、ユーザーIDを格納している外部ディレクトリにより異なります。 「外部ディレクトリとOracle Virtual Directoryとの統合」を参照して、エンタープライズ・ユーザー・セキュリティとの統合を続行します。 |
EUS用にLDAPおよびローカル・ストア・アダプタを構成するには、次の手順を実行します。
Oracle Directory Services Managerにログインします。
「アダプタ」タブを選択します。
「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタを構成します。」アイコンをクリックします。
ウィザードが表示され、デフォルトのdc=eusovd,dc=com Realm DNが表示されます。
注意: このデフォルトのレルムDNは必要に応じて変更できますが、デフォルトを使用することをお薦めします。dc=eusovd,dc=comを選択した場合、NetCA、DBCA、ESM、EMなどのRDBMSツールはdc=eusovd,dc=comをレルムDNとして認識します。 |
「次」をクリックし、「ユーザーおよびグループの場所」ページに移動します。
次のオプションのいずれかを選択することで、ユーザーおよびグループのエントリの場所を指定します。
同じ親 (デフォルト): バックエンド・ディレクトリの同じ親コンテナの下にあるエントリを使用します。
たとえば、バックエンド・ディレクトリのユーザーとグループがou=People,dc=example,dc=comおよびou=Groups,dc=example,dc=comの下にある場合、構成でバックエンド・ディレクトリの共通の親コンテナdc=example,dc=comを使用できます。
異なる親: バックエンド・ディレクトリの異なる親コンテナからのエントリを使用します。
このオプションを選択した場合、Oracle Virtual Directoryによって2つのLDAPアダプタ(1つはユーザー用、1つはグループ用)が作成されます。デフォルトでは、ユーザーの「マップされたネームスペース」はcn=Users,dc=eusovd,dc=comであり、グループの「マップされたネームスペース」はcn=Groups,dc=eusovd,dc=comです。これらの値は必要に応じて変更できます。
異なるディレクトリ: 異なるバックエンド・ディレクトリからのエントリを使用します。
このオプションを選択すると、入力に基づいてOracle Virtual Directoryが複数のLDAPアダプタを作成します。ポップアップが表示されたら、適切な「次のエントリを含む」ボタンをクリックし、「OK」をクリックすることでLDAPアダプタにユーザー・エントリとグループ・エントリのいずれが含まれるのかを示し、新しいLDAPアダプタを作成します。
「次」をクリックし、「LDAPアダプタ」ページに移動し、アダプタについて次の情報を入力します。
アダプタ名(必須) |
新しいアダプタの一意の名前を入力します。その他の構成フィールドでは、この名前を使用してこのアダプタが参照されます。 |
アダプタ・テンプレート(必須) |
メニューからEUSテンプレートを選択します。たとえば、Oracle Virtual Directoryを、Active Directoryに格納されているユーザーID用のEUSと統合するには、EUS ActiveDirectoryを選択します。 |
LDAPサーバー表 |
表から既存のホストを選択するか、「ホストの追加」をクリックして新しいホストを追加します。 新しいホストの場合、ホストIPアドレス、ポート番号、および重みの値を指定する必要があります。読取り専用サーバーが必要な場合は、「読取り専用」ボックスを有効にします。 |
プロキシDN |
プロキシDNを入力します。アダプタは、このDNを使用してディレクトリにバインドします。 |
プロキシ・パスワード |
プロキシ・パスワードに変更します。 |
SSL/TLSの使用 |
このオプションはデフォルトで有効化されています。 |
SSL認証モード |
メニューを使用して、「サーバー認証のみ/相互認証」または「認証なし」を指定します。 |
ユーザー・アカウントのロックアウトの有効化 |
ユーザー・アカウントのロックアウト機能を有効化するには、このオプションを選択します。 注意: Oracle Directory Server Enterprise EditionをバックエンドLDAPサーバーとして使用している場合、追加の「パスワード失敗の最大数」パラメータを入力する必要があります。 Oracle Directory Server Enterprise Editionに問合せをしてその
ORACLE_HOME/bin/ldapsearch -h Sun_Java_System_Directory_Server_Name \
-D bindDN -q -s base -b "cn=password policy,cn=config" objectclass="*" passwordmaxfailure
|
次のエントリを含む |
ディレクトリにユーザーとグループのどちらのエントリが含まれるのかを指定します。 |
マップされたネームスペース(必須) |
|
リモート・ベース(必須) |
|
「次」をクリックし、「概要」ページに移動します。
このページに表示されている情報を確認し、追加で変更する必要がなければ「終了」をクリックします。
Oracle Virtual Directoryによって次のアクションが実行されます。
subSchemaSubentryプラグインとDynamic Groupsプラグインをグローバル・プラグインとして追加します。
cn=OracleContext、cn=OracleSchemaVerison、およびレルムDNという接尾辞を持つ3つのローカル・ストア・アダプタを作成します。
選択したユーザー・エントリおよびグループ・エントリの場所に基づいて1つ以上のLDAPアダプタを作成します。
必要なエントリすべてをOracle Virtual Directoryにアップロードします。
必要なACLすべてをOracle Virtual Directoryに追加します。
各ACLの詳細は、「エンタープライズ・ユーザー・セキュリティとの統合のためのアクセス制御リストの構成」を参照してください。
Oracle Virtual Directoryサーバーに問合せを実行し、次のすべてのエントリがアップロードされていることを確認します。
注意: この例では、 |
$ldapsearch -p 5566 -h ovd_host_name -D cn=orcladmin -q -s base -b "cn=Common,cn=Products,cn=OracleContext,dc=eusovd,dc=com" "(objectclass=*)" dn orclCommonUserSearchBase orclCommonGroupSearchBase cn=Common,cn=Products,cn=OracleContext,dc=eusovd,dc=com orclCommonGroupSearchBase=cn=UsersGroups,dc=eusovd,dc=com orclCommonUserSearchBase=cn=UsersGroups,dc=eusovd,dc=com
注意: この例では、レルムDNはdc=eusovd,dc=comであり、「同じ親」オプションが、ユーザー・エントリおよびグループ・エントリの場所に使用されると想定しています。 カスタム・レルムDNを使用した場合、それに応じて検索ベースも変更する必要があります。さらに、ユーザーおよびグループのエントリの場所に対して他のオプションを使用した場合、 |
この項では、Oracle Virtual Directoryを、特定の外部ディレクトリと使用するためのエンタープライズ・ユーザー・セキュリティと統合する手順を説明します。これらの手順は、次の項に外部ディレクトリ・タイプに基づいて編成されています。
ユーザーIDを格納している外部ディレクトリを説明している項に進んでください。
注意: バックエンドLDAPのスキーマ拡張はActive Directoryを除き、これらの外部ディレクトリのいずれも必要ありません。これらの変更は、現在はOracle Virtual Directoryのローカル・ストアで行われます。
|
Oracle Virtual Directoryを、Active Directoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。
Active Directoryの統合を構成するには、次の手順を実行します。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
Oracle Virtual Directoryに組み込まれているJavaクラスを使用して、Active Directoryにエンタープライズ・ユーザー・セキュリティの必須スキーマであるextendAD
をロードするために、次のコマンドを実行します。
extendAD
ファイルは、$
ORACLE_HOME
/ovd/eus/
ディレクトリにあります。ORACLE_HOME
/jdk/bin
ディレクトリのjava
実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN -commonattr
注意: 有効なActive DirectoryドメインDNは、たとえば |
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグイン、oidpwdcn.dll
をインストールします。
$
ORACLE_HOME
/ovd/eus/oidpwdcn.dll
ファイルをActive Directory WINDOWS\system32
ディレクトリにコピーします。
regedt32
を使用してレジストリを編集し、oidpwdcn.dll
を有効にします。コマンド・プロンプトでregedt32
と入力して、regedt32
を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
レジストリにあるNotification Packagesエントリの末尾にoidpwdcn
を追加します。次に例を示します。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
変更したら、Active Directoryシステムを再起動します。
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグインを検証します。
Active Directoryユーザーのパスワードを変更します。
パスワードを変更したユーザーをActive Directoryで検索します。orclCommonAttribute
属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
この値は、Active DirectoryにorclCommonAttribute
属性定義を追加します。
すべてのActive Directoryユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
Oracle Database Advanced SecurityとともにWindows 2000またはWindows 2003上でKerberos認証を使用している場合、『Oracle Database Advanced Security管理者ガイド』を参照してここでそれを構成する必要があります。
Kerberos認証を構成した後、次の手順に進む前に、Active Directoryユーザー資格証明を使用してデータベースにログインできることを確認します。
Oracle Virtual Directoryを統合構成する手順は次のとおりです。
この手順に進む前に「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行済であることを確認します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
第19.2.2項「エンタープライズ・ユーザー・セキュリティのアダプタの構成」に示す手順を使用して、ローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
EUS_ActiveDirectoryテンプレートを選択します。
「SSL/TLSの使用」オプションが有効になっていることを確認します。
「SSL認証モード」を「サーバー認証のみ/相互認証」に設定します。
これで、エンタープライズ・セキュリティとの統合、およびMicrosoft Active Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照して、統合プロセスを続行し、エンタープライズ・ユーザー・セキュリティを構成します。
Active DirectoryにユーザーIDが格納されている場合にOracle Virtual Directoryをエンタープライズ・ユーザー・セキュリティと統合し、Oracle Internet Directoryにメタデータを格納するには、次の手順を実行します。
注意:
|
ORACLE_HOME
/ovd/eus/
ディレクトリのバックアップ・コピーを作成します。エンタープライズ・ユーザー・セキュリティ統合で必要な構成ファイルはすべてeus
ディレクトリにあります。eus
ディレクトリのバックアップコピーを作成すると、使用する環境に基づいているオリジナルのeus
ディレクトリにあるファイルをテンプレートとして編集しつつ、オリジナル・ファイルのコピーを保持しておくことができます。
存在しない場合は、第11章「Oracle Virtual Directoryリスナーの作成および管理」を参照して、SSLで保護されたLDAPリスナーを作成します。
SubschemaSubentryプラグインおよびDynamic Groupsプラグインをグローバル・サーバー・プラグインとして作成および追加します。サーバー・プラグインを作成する手順は、「グローバル・サーバー・プラグインの管理」を参照してください。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
次のコマンドを実行することで、Oracle Virtual Directoryに組み込まれているJavaクラスを使用してActive Directoryに、エンタープライズ・ユーザー・セキュリティの必須スキーマをロードします。ORACLE_HOME
/jdk/bin
ディレクトリのjava
実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN -commonattr
注意: 有効なActive DirectoryドメインDNは、たとえば |
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグイン、oidpwdcn.dll
をインストールします。
oidpwdcn.dll
ファイルを見つけ、Active DirectoryのWINDOWS\system32
ディレクトリにコピーします。
regedt32
を使用してレジストリを編集し、oidpwdcn.dll
を有効にします。コマンド・プロンプトでregedt32
と入力して、regedt32
を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
レジストリにあるNotification Packagesエントリの末尾にoidpwdcn
を追加します。次に例を示します。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
変更したら、Active Directoryシステムを再起動します。
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグインを検証します。
Active Directoryユーザーのパスワードを変更します。
パスワードを変更したユーザーをActive Directoryで検索します。orclCommonAttribute
属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
この値は、Active DirectoryにorclCommonAttribute
属性定義を追加します。
すべてのActive Directoryユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
Oracle Database Advanced SecurityとともにWindows 2000またはWindows 2003上でKerberos認証を使用している場合、『Oracle Database Advanced Security管理者ガイド』を参照してここでそれを構成する必要があります。
Kerberos認証を構成した後、次の手順に進む前に、Active Directoryユーザー資格証明を使用してデータベースにログインできることを確認します。
次のコマンドを使用して、Oracle Internet Directory LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h OID_Host_Name -p OID_Port -D bindDN \ -q -v -f OIDSchema.ldif
次の設定を使用し、Oracle Internet Directoryのホスト情報を入力して、新しいLDAPアダプタを4つ作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
最初の3つの新規LDAPアダプタでは、次の点に注意してください。
Oracle_Internet_Directoryアダプタ・テンプレートを使用します。
1つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=OracleContext
であることが必要です。
2つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=OracleSchemaVersion
であることが必要です。
3つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=subschemasubentry
であることが必要です。
4つ目の新規LDAPアダプタでは、次の点に注意してください。
EUS_OIDアダプタ・テンプレートを使用します。
4つ目のアダプタのリモート・ベースおよびマップされたネームスペースはcn=oraclecontext,
your_OID_realm
であることが必要です。
次の設定を使用して、新規ローカル・ストア・アダプタを作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
Local_Storage_Adapterテンプレートを使用します。
Oracle Internet Directoryレルムがdc=example,dc=net
の場合、「アダプタ接尾辞」をdc=net
にする必要があります。それ以外の場合は、「アダプタ接尾辞」をdc=com
にする必要があります。
dn
、dc
、o
、orclsubscriberfullname
、memberurl
属性など、独自のネームスペースを使用するには、realmRoot.ldif
を更新します。Active DirectoryとOracle Virtual Directoryの間にDNマッピングがある場合、Oracle Virtual Directoryから認識できるDNを使用します。
注意:
|
次のコマンドを使用して、realmRoot.ldif
ファイルにあるドメイン・ルート情報をOracle Virtual Directoryにロードします。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a –f realmRoot.ldif
次の設定を使用し、リモート・ベースを含むActive Directoryのホスト情報を入力して、Active Directoryにユーザー検索ベース用の新規LDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
アダプタにEUS_ActiveDirectoryテンプレートを使用します。
「SSL/TLSの使用」オプションを有効化します。
「SSL認証モード」を「サーバー認証のみ/相互認証」に設定します。
リモート・ベースに、cn=users,dc=adrealm,dc=com
など、Active Directoryのコンテナを入力します。
EUSActiveDirectory.pyマッピングがすでにデプロイされているかどうかをチェックします。
注意: アダプタにマッピングをデプロイするには、2つの手順を実行する必要があります。
|
この手順では、EUSActiveDirectory.pyマッピングがすでにアダプタ・レベルでデプロイされているかどうかを確認しています。Oracle Directory Services Managerの「アダプタ」タブをオープンしてください。手順14で作成した新しいアダプタの名前を選択し、「プラグイン」タブを選び、マッピングが表に表示されていることを確認してください。
表にマッピングが表示されていたら、手順3へ進んでください。
EUSActiveDirectory.pyマッピングが表にリストされていない場合は、まだデプロイされていません。Active Directoryユーザー検索ベース・アダプタにマッピングを作成するためには、「マッピングの作成」ボタンをクリックし、EUSActiveDirectory.pyを選択して一意のマッピング名を入力します。次に、「OK」をクリックして、「適用」をクリックします。
注意: 「Oracle Directory Services Manager」→「詳細」→「デプロイ済マッピング」を選択して、マッピングを最初にデプロイすることが必要な場合もあります。 |
cn=Common,cn=Products,cn=oraclecontext,
<OIDレルム>
の下にあるorclcommonusersearchbase
に、マップされたネームスペースを追加します。次のようなLDIFファイルを使用します。
dn: cn=Common,cn=Products,cn=oraclecontext,dc=oracle,dc=com changetype: modify add: orclcommonusersearchbase orclcommonusersearchbase: cn=users,dc=adrealm,dc=com
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
authpassword |
拒否 |
すべての操作 |
アクセス |
public |
注意: 次のACLは、dc=comのACLリスト内で最後のACLである必要があります。 |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
authpassword |
権限 |
検索と読取り |
アクセス |
|
次のように、OracleContextAdmins
管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
すべて |
アクセス |
次のDNを持つグループ:
|
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
すべて |
アクセス |
次のDNを持つグループ:
|
Oracle Internet DirectoryのACLをcn=OracleContext,
<YOUR DOMAIN>
の下のデータを保護するように設定します。
この統合では、Oracle Directory Server Enterprise Editionを手動で構成する必要はありません。
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
この手順に進む前に「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行済であることを確認します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
第19.2.2項「エンタープライズ・ユーザー・セキュリティのアダプタの構成」に示す手順を使用して、新しいローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
EUS_Sunテンプレートを選択します。
SSL認証モードを「サーバー認証のみ/相互認証」に設定します。
プロキシDNユーザーは、Oracle Directory Server Enterprise EditionでuserPassword
属性を読み取ることができる必要があります。
これで、エンタープライズ・セキュリティと統合してOracle Directory Server Enterprise Editionとともに使用するためのOracle Virtual Directoryの構成手順は完了です。『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照して、統合プロセスを続行し、エンタープライズ・ユーザー・セキュリティを構成します。
Oracle Virtual Directoryを、Novell eDirectoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。
統合用にNovell eDirectoryを構成するには、eDirectoryのユニバーサル・パスワードを有効化し、管理者がユーザー・パスワードを取得できるようにします。詳細は、Novell eDirectoryのパスワード管理に関するドキュメントを参照してください。
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
この手順に進む前に「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行済であることを確認します。
Novell開発者コミュニティのWebサイトから、NMASツールキットをダウンロードします。
Oracle Directory Services Managerを使用してこのライブラリをOracle Virtual Directoryにアップロードします。詳細は、「Oracle Virtual Directoryサーバーへのライブラリのロード」を参照してください。
Oracle Virtual Directoryサーバーを再起動します。
Oracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
「エンタープライズ・ユーザー・セキュリティのアダプタの構成」に示す手順を使用して、新しいローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
EUS_eDirectoryテンプレートを選択します。
「SSL/TLSの使用」オプションを有効化し、「SSL認証モード」を「サーバー認証のみ/相互認証」に設定します。
これで、エンタープライズ・セキュリティとの統合のためにOracle Virtual Directoryを構成し、Novell eDirectoryとともに使用するための手順は完了です。『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照して、統合プロセスを続行し、エンタープライズ・ユーザー・セキュリティを構成します。
Oracle Virtual Directoryを、Oracle Internet Directoryに格納されているユーザーID用のエンタープライズ・ユーザー・セキュリティと統合するには、次の手順を実行します。
この統合では、Oracle Internet Directoryを手動で構成する必要はありません。
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
この手順に進む前に「エンタープライズ・ユーザー・セキュリティとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行済であることを確認します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
「エンタープライズ・ユーザー・セキュリティのアダプタの構成」に示す手順を使用して、新しいローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
EUS_OIDテンプレートを選択します。
これで、エンタープライズ・セキュリティ用にOracle Virtual Directoryを構成してOracle Internet Directoryとともに使用するための手順は完了です。『Oracle Databaseエンタープライズ・ユーザー管理者ガイド』を参照して、統合プロセスを続行し、エンタープライズ・ユーザー・セキュリティを構成します。
この項では、ユーザーIDの格納に使用している外部リポジトリに関係なく、エンタープライズ・ユーザー・セキュリティとの統合のためにOracle Virtual Directoryに構成する必要のあるアクセス制御リスト(ACL)について説明します。
注意: これらのACLは、第19.2.2項「エンタープライズ・ユーザー・セキュリティのアダプタの構成」に示すようにEUS構成ウィザードを実行するときに、Oracle Virtual Directoryで自動的に構成されます。 |
ただし、Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。エンタープライズ・ユーザー・セキュリティと統合するためにOracle Virtual DirectoryのACLを手動で構成するには、次の手順を実行します。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
authpassword |
拒否 |
すべての操作 |
アクセス |
public |
注意: 次のACLは、dc=comのACLリスト内で最後のACLである必要があります。 |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
authpassword |
権限 |
検索と読取り |
アクセス |
注意: |
次のように、OracleContextAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
すべて |
アクセス |
次のDNを持つグループ:
|
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
すべて |
アクセス |
次のDNを持つグループ:
|
cn=OracleContextAdmins,cn=Groups,cn=OracleContext,
<YOUR DOMAIN>
グループに書込み権限を付与します。
複数のドメインに含まれるエンタープライズ・ユーザー・セキュリティのユーザーがデータベースに対して認証できるようにOracle Virtual Directoryを構成するには、次の手順を実行します。
「エンタープライズ・ユーザー・セキュリティ(EUS)のアダプタを構成します。」アイコンをクリックし、その構成ウィザードのユーザーおよびグループの場所ページで「異なるディレクトリ」オプションを指定します。
詳細は、「エンタープライズ・ユーザー・セキュリティのアダプタの構成」を参照してください。
追加のドメインをサポートするには、前述の手順を繰り返します。
注意: これらの追加のドメインのいずれかからエンタープライズ・ユーザーとしてデータベースにログインするには、Enterprise Security ManagerまたはEnterprise Managerから追加のユーザー・コンテナのユーザーとスキーマのマッピングを作成する必要があります。 詳細は、『Oracle® Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。 |
バインドの試行が何度か失敗したら、LDAPサーバーによりユーザー・アカウントをロックできます。Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合では、このロックアウト機能を使用し、次のようにして、バックエンドのLDAPサーバーのパスワード・ロックアウト・ポリシーを適用できます。
Oracleデータベースへの不正なログインでは、バックエンドのLDAPサーバーにログインの失敗が記録されます。
Oracleデータベースへの適切なログインにより、バックエンドのLDAPサーバーのログインの失敗数がリセットされます。
注意: Active Directoryを使用する統合では、この機能はRDBMSバージョン10.2.0.5および11.2のみでサポートされています。 |
ロックされたユーザー・アカウントを使用して、Oracleデータベースにログインすることはできません。
Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティとの統合を実行した後、「エンタープライズ・ユーザー・セキュリティのアダプタの構成」の説明に従ってエンタープライズ・ユーザー・セキュリティの構成手順を実行するときに「ユーザー・アカウント・ロックアウトの有効化」オプションを選択することで、ユーザー・アカウント・ロックアウトを有効化できます。
ユーザーIDがActive Directoryに、およびOracle Internet Directoryにメタデータが格納されている場合のアカウント・ロックアウトの有効化
ユーザーIDがActive Directoryに、およびOracle Internet Directoryにメタデータが格納されている場合にユーザー・アカウント・ロックアウト機能を有効化するためには、次の手順を実行する必要があります。
注意: ユーザーIDがActive Directoryに格納されている場合のOracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合、およびOracle Internet Directoryへのメタデータの格納方法の詳細は、第19.2.3.2項「Microsoft Active DirectoryのユーザーIDおよびOracle Internet Directoryのメタデータ」を参照してください。 |
「アダプタ・プラグインの管理」を参照して、エンタープライズ・ユーザー・セキュリティ統合のLDAPアダプタ用にeuslockoutプラグインを作成および構成します。euslockoutプラグインを構成するには、次の手順を実行する必要があります。
Active Directoryに対するActiveDirectoryのような、バックエンドLDAPサーバーに応じた値を持つdirectoryTypeパラメータを作成します。
ユーザー・コンテナの名前を使用して、ネームスペースを作成します。
次のアクセス制御リストを作成します。ACL作成の詳細は、第16.1項「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
ターゲットDN |
Your_User_Container |
有効範囲 |
サブツリー |
適用先 |
orclaccountstatusevent |
拒否 |
すべての操作 |
アクセス |
public |
ターゲットDN |
Your_User_Container |
有効範囲 |
サブツリー |
適用先 |
orclaccountstatusevent |
権限 |
書込み |
アクセス |
注意: |
次に、Oracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合の既知の制限事項を示します。
統合では次の機能がサポートされません。
ドメインDNを含むActive DirectoryのドメインがOracle Virtual Directoryにマップされている場合の、Microsoft Active DirectoryおよびOracle Virtual Directoryの間のDNマッピング。たとえば、Active DirectoryのDNがdc=us,dc=oracle,dc=com
で、Oracle Virtual Directoryのdc=oracle,dc=com
へのマップを試行している場合、このタイプのDNマッピングはサポートされません。
OracleContextAdmins以外の管理グループ
Oracle Internet Directory Delegated Administration ServiceへのEnterprise Security Managerコンソール
パスワード・ポリシー
クライアント証明書の認証
Oracle Directory Server Enterprise EditionおよびOracle Internet Directoryとともに使用するために統合する場合のKerberos認証
ユーザー移行ユーティリティ(UMU)
複数ドメイン環境
JDBCシン・ドライバ - 必ずOCIドライバを使用
Microsoft Active DirectoryとOracle Directory Server Enterprise Editionを組み合せた環境
適切なログイン後のアカウント・ロックアウト・カウンタのリセットは、Active Directoryを使用したOracle Virtual Directoryとエンタープライズ・ユーザー・セキュリティの統合では使用できません。かわりに、Active Directoryには、指定された期間が経過した後に、アカウント・ロックアウト・カウンタをリセットする機能があります。このオプションは、ロックアウト・カウンタが無制限に累積されるのを防ぐために使用できます。
Enterprise Security Managerインタフェースでの制限
リストされたデータベースにActive Directoryの廃棄エントリが含まれることがあります。
データベースおよびOracle Internet Directoryのバージョン情報は利用できません。
この項では、Oracle Virtual DirectoryとOracle Database Net Servicesを統合し、Oracle Internet Directory、Microsoft Active DirectoryおよびOracle Directory Server Enterprise Editionのネーム・サービスを集中管理する方法を説明します。この項は、次の内容で構成されます。
Oracle Virtual Directoryは、OracleのNet Servicesデータベース製品と統合できます。Oracle Virtual Directoryをネット・サービスと統合すると、外部LDAPリポジトリに格納されたサービス・エントリを活用することによって、追加の同期を行わずに、ネーム・サービスが強化および簡略化されます。
この項では、Oracle Virtual Directoryとネット・サービスのすべての統合に必要な共通の手順をリストします。統合を開始するには、まずこの項の手順を実行し、Oracle Internet Directory、Microsoft Active DirectoryおよびOracle Directory Server Enterprise Editionに固有の後続のいずれかの項に進みます。Oracle Internet Directory、Microsoft Active Directory、Oracle Directory Server Enterprise Editionのいずれと使用するためにOracle Virtual DirectoryをNet Servicesと統合するかによって、説明されている手順が異なります。使用する環境に該当する手順のみを実行してください。
Oracle Virtual DirectoryとNet Servicesの統合プロセスを開始するには、次の手順を実行します。
ORACLE_HOME
/ovd/eus/
ディレクトリのバックアップ・コピーを作成します。
subschemasubentryプラグインをグローバル・サーバー・プラグインとして作成します。サーバー・プラグインを作成する手順は、「グローバル・サーバー・プラグインの管理」を参照してください。
Microsoft Active Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。Microsoft Active Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合する手順には、次のタスクが含まれます。
Active Directoryを統合用に構成するには、次の手順を実行します。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
次のコマンドを実行することで、Oracle Virtual Directoryに組み込まれているJavaクラスを使用してActive Directoryに、Net Servicesの必須スキーマをロードします。ORACLE_HOME
/jdk/bin
ディレクトリにあるjava実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN
注意: 有効なActive DirectoryドメインDNは、たとえば |
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContext
で、他のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersion
であることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldif
ファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldif
ファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldif
ファイルは、ORACLE_HOME
/ovd/eus/
ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
次の設定を使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Active Directoryのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
ONames_ActiveDirectoryアダプタ・テンプレートを使用します。
「バインドのみ」の「パススルー資格証明」オプションを選択します。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
次のように、OracleNetAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
すべて |
アクセス |
次のDNを持つグループ:
|
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
すべて |
アクセス |
次のDNを持つグループ:
|
次の設定を使用し、ポート番号、プロキシDNおよびパスワードも含め、Active Directoryのホスト情報を入力して、OracleNetAdmins管理グループ用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
Active_Directoryアダプタ・テンプレートを使用します。
リモート・ベースとしてcn=OracleNetAdmins,cn=users,
<YOUR Active_Directory_Domain_DN>
を入力します。
マップされたネームスペースとしてcn=OracleNetAdmins,cn=OracleContext,
<YOUR MAPPED DOMAIN DN in Oracle Virtual Directory>
を入力します。
次の手順を実行して、OracleNetAdmins管理グループ・アダプタのマッピングとプラグインを構成します。
拡張タブ→「Active_Directory_to_inetOrg」→「適用」ボタンをクリックして、マッピングをデプロイします。
「アダプタ」タブをクリックし、OracleNetAdmins管理グループ用のアダプタをクリックして、「プラグイン」タブをクリックします。次に、「マッピングの作成」ボタンをクリックして「Active_Directory_to_inetOrg.py」を選択し、一意のマッピング名を入力して「OK」をクリックします。
「プラグインの作成」ボタンをクリックし、「選択」ボタンをクリックし、EUSMemberDNMappingプラグインを選択して、「OK」をクリックします。その後、一意のプラグイン名を入力し、localDomainDN
およびremoteDomainDN
パラメータを作成し、「OK」をクリックします。DNマッピングを構成済である場合は、localDomainDN
およびremoteDomainDN
が異なることがあります。
「適用」ボタンをクリックします。
注意: Active Directoryで変更した直後は、グループ・メンバーシップの変更が表示されない場合があります。これは、Active Directoryのグループ・メンバーシップのリフレッシュ間隔の構成によるものです。 |
これで、Net Servicesとの統合、およびMicrosoft Active Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。『Oracle Database Net Services管理者ガイド』を参照して、統合プロセスを続行し、Oracle Net Servicesを構成します。
Oracle Directory Server Enterprise Editionとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。Oracle Directory Server Enterprise Editionとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合する手順には、次のタスクが含まれます。
Oracle Directory Server Enterprise Editionを統合用に構成するには、次の手順を実行します。
次のコマンドを使用して、iPlanet LDAP属性およびオブジェクト・クラスを拡張します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./iPlanetSchema.ldif
次の手順を実行して、iPlanetにレルムを作成します。
realmiPlanet.ldif
ファイルを開き、文字列dc=us,dc=oracle,dc=com
のすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、realmiPlanet.ldif
ファイルを使用してiPlanetにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./realmiPlanet.ldif
新しいユーザー・コンテナまたはグループ・コンテナを作成するか、既存のユーザー・コンテナまたはグループ・コンテナを使用して、ユーザー・コンテナとグループ・コンテナを構成します。
新しいユーザー・コンテナとグループ・コンテナの作成
iPlanetContainers.ldif
ファイルを開き、文字列dc=us,dc=oracle,dc=com
のすべてのインスタンスを、使用するドメイン名に置換します。
次のコマンドを実行し、iPlanetContainers.ldif
ファイルを使用してiPlanetにユーザーおよびグループのコンテナを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./iPlanetContainers.ldif
既存のユーザー・コンテナとグループ・コンテナの使用
useiPlanetContainers.ldif
ファイルを開きます。
文字列cn=users,dc=us,dc=oracle,dc=com
のすべてのインスタンスを、使用するユーザー・コンテナの名前に置換します。
文字列cn=groups,dc=us,dc=oracle,dc=com
のすべてのインスタンスを、使用するグループ・コンテナの名前に置換します。
注意: ユーザー・コンテナとグループ・コンテナが、作成しているものと同一のドメインとレルムにあることを確認します。たとえば、ドメインが |
次のコマンドを実行し、useiPlanetContainers.ldif
ファイルを使用してiPlanetにレルムを作成します。
ORACLE_HOME/bin/ldapmodify -h iPlanet_Host_Name -p iPlanet_Port \ -D cn="directory manager" -q -v -a -f ./useiPlanetContainers.ldif
Oracle Virtual Directoryを統合用に構成するには、次の手順を実行します。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContext
で、他のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersion
であることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldif
ファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldif
ファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldif
ファイルは、ORACLE_HOME
/ovd/eus/
ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
次の設定を使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Oracle Directory Server Enterprise Editionのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
ONames_Sunアダプタ・テンプレートを使用します。
「バインドのみ」の「パススルー資格証明」オプションを選択します。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
次のように、OracleNetAdmins管理グループをサポートするようにOracle Virtual DirectoryのACLを設定します。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
すべて |
アクセス |
次のDNを持つグループ:
|
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
すべて |
アクセス |
次のDNを持つグループ:
|
外部ディレクトリのACLをcn=OracleContext,
<YOUR DOMAIN>
の下のデータを保護するように設定します。
OracleContextAdmins
グループのみが、ドメイン固有のOracleContext
サブツリーにアクセスおよび管理できるようにOracle Directory Server Enterprise Editionのアクセス制御項目(ACI)を作成する必要があります。
次のLDIFエントリは、OracleContext
レルムに読取りおよび書込みアクセスを提供します。<YOUR DOMAIN>
は、使用している具体的なドメインDNに置き換えてください。
dn:cn=OracleContext,<YOUR DOMAIN> changetype:modify add:aci aci:(target = "ldap:///cn=OracleContext,<YOUR DOMAIN>")(targetattr = "*") (version 3.0; acl "Allow OracleContextAdmins Group read and write access to all attributes"; allow (read, search, compare, add, write, delete) (groupdn = "ldap:///cn=OracleContextAdmins,cn=Groups, cn=OracleContext,< YOUR DOMAIN>");)
注意: ACIの詳細は、ディレクトリ固有のACLの管理ガイドを参照してください。 |
ACIが適切にロードされたことを確認するには、明示的にACI属性をリクエストするときにldapsearchを使用します。次に例を示します。
ldapsearch -h <sun host> -p <port> -D "<admin dn, ie cn=directory manager>" -w <password> -s base -b "cn=OracleContext,dc=mydomain,dc=com" objectclass=* aci
これで、Net Servicesと統合してOracle Directory Server Enterprise Editionとともに使用するためのOracle Virtual Directoryの構成手順は完了です。『Oracle Database Net Services管理者ガイド』を参照して、統合プロセスを続行し、Oracle Net Servicesを構成します。
Oracle Internet Directoryとともに使用するためにOracle Virtual DirectoryをNet Servicesと統合するには、次の手順を実行します。この手順は、「統合の開始」の項の手順を完了してから実行してください。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
次の設定を使用して、新規ローカル・ストア・アダプタを2つ作成します。ローカル・ストア・アダプタの作成の詳細は、「ローカル・ストア・アダプタの作成」を参照してください。
各アダプタにLocal_Storage_Adapterテンプレートを使用します。
ローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleContext
で、他のローカル・ストア・アダプタの「アダプタ接尾辞」はcn=OracleSchemaVersion
であることが必要です。
各アダプタの「データベース・ファイル」および「バックアップ・ファイル」フィールドは一意である必要があります。
次のコマンドを実行し、loadOVD.ldif
ファイルを使用してOracle Virtual Directoryスキーマを拡張することで、ローカル・ストア・アダプタにエントリを更新してロードします。loadOVD.ldif
ファイルには、Net Servicesが問合せを行うOracleコンテキストおよびschemaversionに対応するエントリが含まれます。loadOVD.ldif
ファイルは、ORACLE_HOME
/ovd/eus/
ディレクトリにあります。
ORACLE_HOME/bin/ldapmodify -h Oracle_Virtual_Directory_Host –p OVD_Port \ -D bindDN -q -v -a -f loadOVD.ldif
ONames_OIDアダプタ・テンプレートを使用し、ホスト名、SSL以外のポート番号、プロキシDNとパスワード、適切なリモート・ベースおよびマップされたネームスペースも含め、Oracle Internet Directoryのホスト情報を入力して、Net Services用のLDAPアダプタを作成します。LDAPアダプタの作成の詳細は、「LDAPアダプタの作成」を参照してください。
次の手順を実行して、アクセス制御リストを更新します。Oracle Virtual Directoryインストール後にACLをカスタマイズした場合、カスタマイズの結果を有効にするには次のACL設定を調整する必要があります。
次のACLを作成します。ACL作成の詳細は、「Oracle Directory Services Managerを使用したアクセス制御リストの作成」を参照してください。
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
エントリ |
権限 |
DNの参照と戻し |
アクセス |
public |
ターゲットDN |
|
有効範囲 |
サブツリー |
適用先 |
すべての属性 |
権限 |
検索と読取り |
アクセス |
public |
これで、Net Servicesとの統合、およびOracle Internet Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。『Oracle Database Net Services管理者ガイド』を参照して、統合プロセスを続行し、Oracle Net Servicesを構成します。
Oracle Virtual DirectoryとReal Application Security(RAS)の統合では、アプリケーション層とデータベース・インスタンスに及ぶ統合したインフラストラクチャを使用することで、Oracleアプリケーションに均一な認可サービスが提供されます。
RASのユーザー・セッションは、処理と格納にOracle RDBMSを使用するアプリケーションや中間層サーバーのセキュリティおよびパフォーマンスを向上させるように設計されています。RASセッションを使用すると、アプリケーションとそのユーザーに関連する状態を保持するデータベース・サーバー上のユーザー・セッションを、アプリケーションで作成できます。
RASはOracle Platform Security Services(OPSS)と統合されているため、RASセッションは外部で管理されているユーザーとロールをサポートします。また、アイデンティティ・ストアに存在する外部ユーザーとして、RASはRAS DBへのロギングを直接サポートします。この機能はエンタープライズ・ユーザー・セキュリティ(EUS)に似ています。
この項では、Oracle Virtual DirectoryとOracleのReal Application Security(RAS)との統合方法について説明します。この項の内容は次のとおりです。
どの外部ディレクトリをユーザーIDの格納に使用しているかにかかわらず、Real Application Securityとの統合用にOracle Virtual Directoryを準備するために次の手順を実行する必要があります。
Active Directoryのバックエンド·ディレクトリを使用している場合は、バックエンドのLDAPスキーマをロードする必要があります。orclCommonAttribute
属性定義を追加するという、1つの最小限のスキーマ変更がActive Directoryで必要です。この手順は、他のディレクトリ・タイプには必要ありません。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「Java SEアプリケーションの認可」の章の手順に従って、Java SEアプリケーションの認可のためのOracle Virtual Directoryのポリシー・ストアを構成します。
Real Application Security統合のためにOracle Virtual Directoryを構成する前に、ORACLE_HOME
/ovd/ras/
ディレクトリのバックアップ・コピーを作成する必要があります。
Real Application Security統合に必要なすべての構成ファイルはras
ディレクトリに格納されています。ras
ディレクトリのバックアップ・コピーを作成すると、使用する環境に基づいた元のras
ディレクトリにあるファイルをテンプレートとして編集しつつ、元のファイルのコピーを保持しておくことができます。
各アイデンティティ・ストアのLDAPアダプタを作成する必要があります。LDAPアダプタがすでに存在している場合は、RASプラグインを構成できます。
RAS用のOracle Virtual Directoryを構成すると、Oracle Virtual Directoryのローカル・ストア・アダプタにcn = RealApplicationSecurityRootエントリが作成されます。Oracle Virtual Directoryは、このサブツリー内のすべてのRAS固有データを格納します。さらに、cn=RealApplicationSecurityRootエントリは、RASがデータベースからLDAPを要求するためのデフォルトの検索ベースとして使用するオプションのorclRASSearchBase
属性を組み込んでいます。
RAS用にLDAPおよびローカル・ストア・アダプタを構成するには、次の手順を実行します。
Oracle Directory Services Managerにログインします。
「アダプタ」タブを選択し、Real Application Security(RAS)のアダプタの構成のアイコンをクリックします。
「Real Application SecurityのLDAPアダプタ構成」ウィザードが表示されたら、RASプラグインおよびRASセッションについて読み込む必要のある「情報」ノードを展開します。
次のようにLDAPアダプタを作成、追加、編集あるいは削除するには、アダプタ表の上に位置するアイコンを使用します。
RASの新しいLDAPアダプタを作成するには、「新規LDAPアダプタの作成」アイコンをクリックします。「LDAPアダプタの作成」ダイアログが表示されたら次の情報を入力し、「OK」をクリックします。
表19-1 LDAPアダプタのパラメータ
パラメータ | 説明 |
---|---|
アダプタ名(必須) |
新しいアダプタの一意の名前を入力します。その他の構成フィールドでは、この名前を使用してこのアダプタが参照されます。 |
アダプタ・テンプレート(必須) |
メニューからRASテンプレートを選択します。たとえば、Oracle Virtual Directoryを、Active Directoryに格納されているユーザーID用のRASと統合するには、RAS ActiveDirectoryを選択します。 |
ホスト(必須) |
LDAPサーバー接続に使用されているホストDNS名またはIPアドレスを入力します。 |
ポート(必須) |
ポート番号を入力します。 |
サーバー・プロキシ・バインドDN |
アダプタがディレクトリにバインドするために使用する識別名を入力します。匿名バインドのために、このフィールドを空白にしておきます。 |
プロキシ・パスワード |
プロキシ・パスワードを入力します。匿名バインドのために、このフィールドを空白にしておきます。 |
SSL/TLSの使用 |
このオプションはデフォルトで有効化されています。 注意: LDAPアダプタでSSLを使用する必要があります。 |
SSL認証モード |
「認証なし」または「サーバー認証のみ」を指定するためにメニューを使用します。 |
リモート・ベース(必須) |
すべての操作の開始点であるリモート・ベース・エントリ(DN)を入力します。 |
マップされたネームスペース(必須) |
ローカルのマップされたDNを入力します。たとえば、dc=org。 |
プラグイン名(必須) |
この値はデフォルトではRASです。 |
バックエンドのログイン属性(必須) |
バックエンドのログイン属性名を入力します。 |
オプションのパラメータ |
このアダプタにオプションのプラグインのパラメータを指定するには、「追加」または「削除」のアイコンを使用します。
これらのオプションのパラメータの詳細は、第4.3.9項「Real Application Securityのプラグイン」を参照してください。 |
既存のLDAPアダプタを使用してRASプラグインを構成するには、「既存のLDAPアダプタの追加」アイコンをクリックします。「LDAPアダプタの追加」ダイアログが表示されたら、表の複数のアダプタを選択し、「OK」をクリックします。
表にリストされたアダプタを編集するには、アダプタ名を選択し、「選択したLDAPアダプタの編集」アイコンをクリックします。「LDAPアダプタの編集」ダイアログが表示されたら、必要に応じてパラメータを編集し、「OK」をクリックします。
表にリストされたアダプタを削除するには、アダプタ名を選択し、「選択したLDAPアダプタの削除」アイコンをクリックします。アダプタの情報がすぐにアダプタ表から削除されます。
アダプタ表にリストされているアダプタが適切な場合、「次」をクリックして「検索ベース」のページへ進んでください。以前指定した「マップされたネームスペース」値が、この表に記載されていることに注意してください。
RAS検索ベースDNを追加または削除するには、「検索ベース」ページを使用します。
追加するDNを指定するには、「追加」アイコンをクリックし、表に新しい行が表示されたらDN情報を入力します。
DNを削除するには、削除対象の行を選択し、「削除」アイコンをクリックします。
「Next」をクリックして、「Summary」ページに移動します。
このページに表示されている「LDAPアダプタ詳細」および「検索ベース」情報を確認します。追加の変更が必要ない場合は、「終了」をクリックします。
Oracle Virtual Directoryによって次のアクションが実行されます。
新しいLDAPアダプタを作成するか、または既存のLDAPアダプタをRASプラグイン・パラメータを使用して更新します。
ルートとしてcn=RealApplicationSecurityRootを使用して、RealApplicationSecurityRootローカル・ストア・アダプタを作成します。
「ローカル・ストア・アダプタ」にcn=RealApplicationSecurityRootエントリを作成します(まだ存在していない場合)。
すべてのRAS固有のデータはこのサブツリーに格納されます。
ユーザーが提供する検索ベースを使用してorclRASSearchBase
属性を更新します。この検索ベースは、データベースからのLDAPリクエストのデフォルトの検索ベースとして使用されます。
cn=RealApplicationSecurityRootエントリにACLを作成することでACLを更新します(まだ存在していない場合)。
Oracle Virtual Directoryは、cn=RealApplicationSecurityRootエントリにオプション属性の一部としてorclRASSearchBase
と呼ばれるRAS DBルートDNを発行します。
orclRASSearchBase
属性は複数値です。それらのディレクトリ構造に基づいて、RAS DBは、DBのログオン時のユーザーを検索するための検索ベースとして、これらのDNを使用しています。RAS DBのOracle Virtual Directoryを構成した後、管理者は必要に応じてこの属性を移入する必要があります。RAS DBのLDAPアダプタがOracle Virtual Directoryに構成されている場合、この属性は複数の値を持っている可能性があります。orclRASSearchBase
属性値の例を次に示します。
注意: 管理者はデプロイメントDITに基づいて、使用する検索ベースを決定します。管理者は、それがOracle Virtual Directoryアダプタのルートと同じネームスペース内にあるという条件でDNを選択できます。 |
単一のRAS DB LDAPアダプタの場合、または同じアダプタのルートDNを使用する複数のRAS DBアダプタ
たとえば、Oracle Virtual Directory LDAPアダプタのルートがdc=oracle,dc=comの場合、orclRASSearchBase
はdc=oracle,dc=comの可能性があります。
アダプタが同じルートを共有しない複数のRAS DB LDAPアダプタの場合
たとえば、Oracle Virtual Directory LDAPアダプタのルートがdc=oracle,dc=comおよびdc=test,dc=comの場合、orclRASSearchBase
はdc=oracle,dc=comおよびdc=test,dc=comの可能性があります。
管理者が、RAS DBから特定のコンテナ(バックエンドにある)へのユーザー検索リクエストの検索範囲を制限する、RAS DB LDAPアダプタの場合
たとえば、Oracle Virtual Directory LDAPアダプタのルートがdc=oracle,dc=comの場合、orclRASSearchBase
はou=ST-Dev,dc=oracle,dc=comと類似している可能性があります。
次のコマンド・ラインldapsearch
は、どの値がorclRASSearchBase
に構成されているのかを表示します。
ldapsearch –h <host> -p <port> -D DN –w password –b "cn=RealApplicationSecurityRoot" –s base "objectclass=*" orclRASSearchBase
この項では、Oracle Virtual Directoryと、特定の外部ディレクトリで使用するReal Application Securityとの統合手順を説明します。これらの手順は、次の項に外部ディレクトリ・タイプに基づいて編成されています。
ユーザーIDを格納している外部ディレクトリを説明している項に進んでください。
注意: Active Directoryを除き、バックエンドLDAPのスキーマ拡張は、これらのどの外部ディレクトリでも必要ありません。これらの変更は、Oracle Virtual Directoryのローカル・ストアで行われます。 Active Directoryディレクトリでは、1つの最小限のスキーマ変更のみが必要です。Oracle Internet Directoryパスワード変更通知プラグインで、生成されたパスワードのハッシュ値の格納に使用される |
RAS DBについては、バックエンド・ディレクトリにはメタデータのエントリは格納されません。したがって、Active Directoryを除き、バックエンドのLDAPスキーマの拡張は、どの外部ディレクトリでも行う必要はありません。
この項では、RASとの統合のためのActive DirectoryおよびOracle Virtual Directoryを構成する方法について説明します。
Active Directoryの統合を構成するには、次の手順を実行します。
Active Directoryイメージのバックアップ・コピーを作成します。Active Directory内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
Oracle Virtual Directoryに組み込まれているJavaクラスを使用して、Active DirectoryにRASの必須のorclCommonAttribute
スキーマであるextendAD
をロードするために、次のコマンドを実行します。
extendAD
ファイルは、$
ORACLE_HOME
/ovd/eus/
ディレクトリにあります。ORACLE_HOME
/jdk/bin
ディレクトリのjava
実行可能ファイルを使用できます。
java extendAD -h Active_Directory_Host_Name -p Active_Directory_Port -D Active_Directory_Admin_DN -w Active_Directory_Admin_Password –AD Active_Directory_Domain_DN -commonattr
注意: 有効なActive DirectoryドメインDNは、たとえば |
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグイン、oidpwdcn.dll
をインストールします。
$
ORACLE_HOME
/ovd/ras/oidpwdcn.dll
ファイルをActive DirectoryのWINDOWS\system32
ディレクトリにコピーします。
regedt32
を使用してレジストリを編集し、oidpwdcn.dll
を有効にします。コマンド・プロンプトでregedt32
と入力して、regedt32
を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
レジストリにあるNotification Packagesエントリの末尾にoidpwdcn
を追加します。次に例を示します。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
変更したら、Active Directoryシステムを再起動します。
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグインを検証します。
Active Directoryユーザーのパスワードを変更します。
パスワードを変更したユーザーをActive Directoryで検索します。orclCommonAttribute
属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
この値は、Active DirectoryにorclCommonAttribute
属性定義を追加します。
すべてのActive Directoryユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
Oracle Database Advanced SecurityとともにWindows 2000またはWindows 2003上でKerberos認証を使用している場合、『Oracle Database Advanced Security管理者ガイド』を参照してここでそれを構成する必要があります。
Kerberos認証を構成した後、次の手順に進む前に、Active Directoryユーザー資格証明を使用してデータベースにログインできることを確認します。
注意: この手順を開始する前に、第19.4.2項「Real Application Securityとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行したことを確認してください。 |
Oracle Virtual Directoryを統合構成する手順は次のとおりです。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
第19.2.3項「Real Application Security (RAS)のアダプタの構成」に示す手順を使用して、ローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
RAS_ActiveDirectoryテンプレートを選択します。
「SSL/TLSの使用」オプションが有効になっていることを確認します。
「SSL認証モード」を「サーバー認証のみ/相互認証」に設定します。
これで、RASとの統合、およびMicrosoft Active Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。統合プロセスを続行してRASを構成するには、Oracle Real Application Security製品マニュアルを参照してください。
この項では、Novell eDirectoryおよびOracle Virtual Directoryを構成してRASと統合する方法について説明します。
統合用にNovell eDirectoryを構成するには、eDirectoryのユニバーサル・パスワードを有効化し、管理者がユーザー・パスワードを取得できるようにします。詳細は、Novell eDirectoryのパスワード管理に関するドキュメントを参照してください。
注意: この手順を開始する前に、第19.4.2項「Real Application Securityとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行したことを確認してください。 |
Oracle Virtual Directoryを統合構成する手順は次のとおりです。
Novell開発者コミュニティのWebサイトから、NMASツールキットをダウンロードします。
Oracle Directory Services Managerを使用してこのライブラリをOracle Virtual Directoryにアップロードします。詳細は、「Oracle Virtual Directoryサーバーへのライブラリのロード」を参照してください。
Oracle Virtual Directoryサーバーを再起動します。
Oracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
「Real Application Security (RAS)のアダプタの構成」に示す手順を使用して、新しいローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
RAS_eDirectoryテンプレートを選択します。
「SSL/TLSの使用」オプションを有効化し、「SSL認証モード」を「サーバー認証のみ/相互認証」に設定します。
これで、RASとの統合のためにOracle Virtual Directoryを構成し、Novell eDirectoryとともに使用するための手順は完了です。統合プロセスを続行してRASを構成するには、Oracle Real Application Security製品マニュアルを参照してください。
この項では、Oracle Internet DirectoryおよびOracle Virtual Directoryを構成してRASと統合する方法について説明します。
注意: この手順を開始する前に、第19.4.2項「Real Application Securityとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行したことを確認してください。 |
Oracle Virtual Directoryを統合構成する手順は次のとおりです。
Oracle Virtual Directoryサーバーを起動します。
Oracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
第19.2.3項「Real Application Security (RAS)のアダプタの構成」に示す手順を使用して、ローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタ用に、RAS_OIDテンプレートを選択してください。
これで、RASとの統合、およびOracle Internet Directoryとの使用のためにOracle Virtual Directoryを構成する手順は完了です。統合プロセスを続行してRASを構成するには、Oracle Real Application Security製品マニュアルを参照してください。
この項では、Oracle Directory Services ManagerおよびOracle Virtual Directoryを構成してRASと統合する方法について説明します。
Oracle Directory Services Managerを統合構成するには、次の手順を実行します。
Oracle Directory Services Managerのイメージのバックアップ・コピーを作成します。Oracle Directory Services Managerの内部のスキーマ拡張機能は永続的で、キャンセルできません。バックアップ・イメージがあると、必要になったときに変更をすべてリストアできます。
Oracle Virtual Directoryに組み込まれているJavaクラスを使用して、Oracle Directory Services ManagerにRASの必須のorclCommonAttribute
スキーマであるextendODSM
をロードするために、次のコマンドを実行します。
extendODSM
ファイルは、$
ORACLE_HOME
/ovd/eus/
ディレクトリにあります。ORACLE_HOME
/jdk/bin
ディレクトリのjava
実行可能ファイルを使用できます。
java extendODSM -h ODSM_Host_Name -p ODSM_Port -D ODSM_Admin_DN -w ODSM_Admin_Password –ODSM ODSM_Domain_DN -commonattr
注意: 有効なOracle Directory Services ManagerドメインDNは、たとえば |
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグイン、oidpwdcn.dll
をインストールします。
$
ORACLE_HOME
/ovd/ras/oidpwdcn.dll
ファイルをOracle Directory Services ManagerのWINDOWS\system32
ディレクトリにコピーします。
regedt32
を使用してレジストリを編集し、oidpwdcn.dll
を有効にします。コマンド・プロンプトでregedt32
と入力して、regedt32
を起動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
レジストリにあるNotification Packagesエントリの末尾にoidpwdcn
を追加します。次に例を示します。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
変更したら、Oracle Directory Services Managerシステムを再起動します。
次の手順を実行して、Oracle Internet Directoryパスワード変更通知プラグインを検証します。
Oracle Directory Services Managerユーザーのパスワードを変更します。
パスワードを変更したユーザーをOracle Directory Services Managerで検索します。orclCommonAttribute
属性に、生成されたハッシュ・パスワード値が含まれることを確認します。
この値は、Oracle Directory Services ManagerのorclCommonAttribute
属性定義を追加します。
すべてのOracle Directory Services Managerユーザーのパスワードをリセットすることで、プラグインがパスワード変更を取得して、パスワード検証を生成および格納できるようにします。
Oracle Database Advanced SecurityとともにWindows 2000またはWindows 2003上でKerberos認証を使用している場合、『Oracle Database Advanced Security管理者ガイド』を参照してここでそれを構成する必要があります。
Kerberos認証を構成した後、次の手順に進む前に、Oracle Directory Services Managerユーザー資格証明を使用してデータベースにログインできることを確認します。
注意: この手順を開始する前に、第19.4.2項「Real Application Securityとの統合のためのOracle Virtual Directoryの準備」のすべての手順を実行したことを確認してください。 |
Oracle Virtual Directoryを統合構成する手順は次のとおりです。
Oracle Virtual Directoryサーバーを起動し、次にOracle Directory Services Managerを起動し、Oracle Virtual Directoryサーバーに接続します。
第19.2.3項「Real Application Security (RAS)のアダプタの構成」に示す手順を使用して、ローカル・ストア・アダプタおよびLDAPアダプタを作成します。
LDAPアダプタに対して必ず次の設定を使用してください。
RAS_ODSMテンプレートを選択します。
「SSL/TLSの使用」オプションが有効になっていることを確認します。
「SSL認証モード」を「サーバー認証のみ/相互認証」に設定します。
これで、RASとの統合、およびOracle Directory Services Managerとの使用のためにOracle Virtual Directoryを構成する手順は完了です。統合プロセスを続行してRASを構成するには、Oracle Real Application Security製品マニュアルを参照してください。
この項では、ユーザーIDの格納に使用している外部リポジトリに関係なく、Real Application Securityとの統合のためにOracle Virtual Directoryに構成する必要のあるアクセス制御リスト(ACL)について説明します。
Oracle Virtual DirectoryのデフォルトRASDB ACL
Oracle Virtual Directoryの構成時に、次のACLが、RASに構成されているサブツリーにデフォルトで設定されています。
RAS DBエントリへのアダプタ・サブツリーの読取りおよび検索アクセス。
全員に対して、authpassword
およびorclaccountstatusevent
へのアクセス拒否。
cn=RealApplicationSecurityRootエントリのACL
このACLは、管理者にのみ読取りおよび書込みアクセスを設定します。
デフォルトでは、Oracle Virtual DirectoryがRASアクセス用に構成された後、ユーザーがログインできるように、管理者が明示的にユーザーにアクセス権を付与するまで、どのユーザーもRAS DBにログインできません。
ユーザーがRAS DBにログインするためには、Oracle Virtual Directoryに次のACLを設定する必要があります。
RAS DBエントリのauthpassword
属性へのアクセスを指定し、他の人にはそれを拒否します。
RAS DBエントリのorclaccountstatusevent
属性へのアクセスを指定し、他の人にはそれを拒否します。
ユーザーにRAS DBアクセスを可能にするACLを設定するには、次のいずれかの方法を使用します。
サブツリー全体へのアクセス権の付与。
ユーザー属性に基づいたユーザー・グループへのアクセス権の付与。たとえば、ou:st-dev
ユーザー属性を持つすべてのユーザーに対して、データベースへのアクセス権を付与できます。
個々のユーザーへのアクセス権の付与。
これらのACLは、Oracle Directory Services Managerまたはldapmodify
を使用してコマンド・ラインから設定できます。Oracle Virtual Directoryでは、$
ORACLE_HOME/ovd/ras
ディレクトリにこれらのACLを構成するためのいくつかのLDIF例が送信されます。
Oracle Virtual Directoryは複数のアイデンティティ・ストアをサポートできますが、それぞれのアイデンティティ・ストアのRAS DBのプラグインを使用して、対応するLDAPアダプタを構成する必要があります。
Oracle Virtual DirectoryのLDAPアダプタで、どのルートDNを使用するかを決定します。次に、LDAPアダプタを作成した後、これらのすべてのアダプタ・ルートDNを使用してorclRASSearchBase
属性を移入する必要があります。
バインドの試行が何度か失敗したら、LDAPサーバーによりユーザー・アカウントをロックできます。Oracle Virtual DirectoryとReal Application Securityの統合では、このロックアウト機能を使用して、次のようにバックエンドのLDAPサーバーのパスワード・ロックアウト・ポリシーを施行できます。
Oracleデータベースへの不正なログインでは、バックエンドのLDAPサーバーにログインの失敗が記録されます。
Oracleデータベースへの適切なログインにより、バックエンドのLDAPサーバーのログインの失敗数がリセットされます。
ロックされたユーザー・アカウントを使用して、Oracleデータベースにログインすることはできません。
Real Application Securityのユーザー・アカウント・ロックアウトを有効にするには、第19.2.6「ユーザー・アカウント・ロックアウトの有効化」を参照してください。