| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
前 |
次 |
この章では、Oracle Password Filter for Microsoft Active Directoryのインストールおよび構成の方法について説明します。
この章には次の項が含まれます:
Oracle Internet DirectoryとMicrosoft Active Directory間のSSL通信のテスト
Oracle Password Filter for Microsoft Active Directoryのインストールおよび再構成
Oracle Password Filter for Microsoft Active Directoryでの問題のトラブルシューティングに役立てるために、付録E「Oracle Directory Integration Platformのトラブルシューティング」の次のトピックを参照してください。
|
注意: Oracle Password Filter for Microsoft Active Directoryのインストール・ファイルは、Windows版Oracle Application ServerのCDにあります。 パスワード・フィルタ・アプリケーションの32ビット・バージョンおよび64ビット・バージョンが提供されています。32ビット・バージョンは32ビットOSにのみ、64ビット・バージョンは64ビットOSにのみインストールします。インストール手順の詳細は、「Oracle Password Filter for Microsoft Active Directoryのインストール」を参照してください。 |
この項では、Oracle Password Filter for Microsoft Active Directoryの目的と動作について説明します。内容は次のとおりです。
Oracle Directory Integration Platformを使用すると、Oracleバックエンド・ディレクトリ(Oracle Password Filter for Microsoft Active Directoryを使用するには、バックエンド・ディレクトリがOracle Internet Directoryである必要があります)とMicrosoft Active Directoryの間で同期できます。Oracle Directory Integration Platformでは、ユーザー・パスワードを除いたすべてのMicrosoft Active Directoryの属性を取得できます。Oracle Application Server Single Sign-Onは、外部認証プラグインを使用してMicrosoft Active Directoryのユーザー資格証明を確認し、更新されたパスワードを自動的にOracleバックエンド・ディレクトリに格納します。Oracle Application Server Single Sign-Onを使用しないOracle Databaseエンタープライズ・ユーザー・セキュリティなどのアプリケーションでは、Oracle Password Filter for Microsoft Active Directoryを使用して、Microsoft Active Directoryからパスワードを取り出して、Oracleバックエンド・ディレクトリにパスワードを格納します。
|
注意: エンタープライズ・ユーザー・セキュリティをサポートするには、Oracleバックエンド・ディレクトリがOracle Internet Directoryである必要があります。Oracle Unified Directoryバックエンド・ディレクトリおよびOracle Directory Server Enterprise Editionバックエンド・ディレクトリでは、エンタープライズ・ユーザー・セキュリティを含む、その他のFusion Middlewareコンポーネントとの統合をサポートしていません。 |
ユーザーがデスクトップからパスワードを変更すると、更新されたパスワードはOracleバックエンド・ディレクトリと自動的に同期化されます。つまり、Oracle Password Filter for Microsoft Active Directoryは、パスワードの変更についてMicrosoft Active Directoryを監視し、その変更をOracleバックエンド・ディレクトリに格納します。これにより、ユーザーはMicrosoft Active Directoryの資格証明で認証され、Oracleバックエンド・ディレクトリに格納された情報を使用してリソースへのアクセスを認可されます。また、Microsoft Active Directoryユーザーの資格証明をOracleバックエンド・ディレクトリに格納すると、Microsoft Active Directoryサーバーが停止した場合には可用性の高いソリューションが提供されます。Oracle Password Filterは、各Microsoft Active Directoryサーバーにインストールされ、パスワードの変更をOracleバックエンド・ディレクトリに自動的に転送します。
|
注意: エンタープライズ・ユーザー・セキュリティは、Oracle Internet Directoryバックエンド・ディレクトリに格納されているユーザーの資格証明しか検証できません。このため、Microsoft Active Directoryのユーザーの資格証明をエンタープライズ・ユーザー・セキュリティを使用して検証するには、Oracle Password Filterを使用してMicrosoft Active DirectoryからOracle Internet Directoryバックエンド・ディレクトリにパスワードを取り出す必要があります。 |
Oracle Password Filter for Microsoft Active Directoryでは、Oracle Directory Integration PlatformによるMicrosoft Active DirectoryからOracleバックエンド・ディレクトリへのパスワードの同期は必要ありません。唯一の要件は、Microsoft Active DirectoryからOracleバックエンド・ディレクトリに同期化されたユーザーに、両方のディレクトリでユーザーを識別するためのObjectGUID属性値が含まれている必要があることです。Oracle Password Filter for Microsoft Active Directoryは、Microsoft Active DirectoryとOracleバックエンド・ディレクトリの間に複数のパスワード・ポリシー(すなわち異なるパスワード・ポリシー)を施行しません。かわりに、システム管理者が両方のディレクトリのパスワード・ポリシーが一致するようにする必要があります。
パスワード変更リクエストは、アカウントが作成されるとき、管理者がユーザーのパスワードをリセットするとき、ユーザーが自分のパスワードを変更するときに発生します。Oracle Password Filter for Microsoft Active DirectoryでMicrosoft Active Directoryのパスワードを取得するには、これらのイベントのいずれかが発生する必要があります。Oracle Password Filter for Microsoft Active Directoryのインストール前に設定されたパスワードは、システム管理者がすべてのユーザーに対してパスワード変更のグローバル・リクエストを強制しないかぎり取得できません。
|
注意: Oracle Password Filter for Microsoft Active Directoryは、Microsoft Active Directoryと統合されている32ビット以上のWindowsシステムに対するパスワードの変更のみを取得します。 |
この項では、Oracle Password Filter for Microsoft Active Directoryの動作について説明します。内容は次のとおりです。
パスワード変更リクエストが作成されると、Windowsオペレーティング・システムのLocal Security Authority(LSA)は、システムに登録されているOracle Password Filter for Microsoft Active Directoryパッケージをコールします。LSAは、Oracle Password Filter for Microsoft Active Directoryパッケージをコールすると、ユーザー名と変更されたパスワードを渡します。次に、Oracle Password Filter for Microsoft Active Directoryは同期を実行します。
Oracleバックエンド・ディレクトリが使用できないとき、パスワード変更イベントは安全にアーカイブされ、暗号化されたパスワードはMicrosoft Active Directoryに格納されます。Oracle Password Filter for Microsoft Active Directoryは、指定された最大再試行回数に達するまでこれらのエントリの同期を試みます。
Oracle Password Filter for Microsoft Active Directoryには、ユーザーがMicrosoft Active Directoryに新規作成されるとすぐに通知されます。しかし、Oracle Directory Integration Platformは次にスケジュールされた同期間隔までエントリを同期化しません。このため、次の同期まで、新規ユーザー・エントリのパスワードは暗号化された形式でMicrosoft Active Directoryに格納されます。その後、Oracle Password Filter for Microsoft Active Directoryは、指定された最大再試行回数に達するまでこれらのエントリの同期を試みます。
Oracle Password Filter for Microsoft Active Directoryでは元のクリアテキスト形式のパスワードを取得できないため、Microsoft Active DirectoryからOracleバックエンド・ディレクトリにパスワードを同期化するための初期ブートストラップは実行できません。しかし、ユーザーにパスワードの変更を指示するか、またはパスワードの有効期限ポリシーを変更してMicrosoft Active Directory内のすべてのユーザーに対してパスワードの変更を強制することができます。
Oracle Password Filter for Microsoft Active Directoryのインストールおよび構成の一般的な手順は、次のとおりです。
第18章「Microsoft Active Directoryとの統合」の指示に従って、Oracleバックエンド・ディレクトリ(Oracle Internet Directory)とMicrosoft Active Directoryの間の同期を有効にします。
「SSLサーバー側認証でのOracle Internet Directoryの構成およびテスト」の指示に従い、SSLサーバー認証モードでOracleバックエンド・ディレクトリを構成およびテストします。
「Microsoft Active Directoryドメイン・コントローラへの信頼できる証明書のインポート」の指示に従い、Microsoft Active Directoryドメイン・コントローラにOracleバックエンド・ディレクトリの信頼できるサーバー証明書をインポートします。
「Oracle Internet DirectoryとMicrosoft Active Directory間のSSL通信のテスト」の指示に従って、Oracleバックエンド・ディレクトリとMicrosoft Active DirectoryがSSLサーバー認証により通信できることを確認します。
「Oracle Password Filter for Microsoft Active Directoryのインストール」の指示に従い、Oracle Password Filter for Microsoft Active Directoryをインストールします。
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Oracle Password Filter for Microsoft Active Directoryを構成します。
Oracle Password Filterは、TCP/IP接続に対してデータの暗号化とメッセージの整合性を提供するSecure Sockets Layer(SSL)プロトコルを使用して、Microsoft Active DirectoryからOracle Internet Directoryにパスワードの変更を通信します。つまり、Oracle Internet DirectoryとMicrosoft Active Directory間でパスワードの変更を同期化するには、SSLサーバー認証モードを使用して、クライアントでサーバーのアイデンティティを確認できるようにする必要があります。
また、デジタル証明と組み合せると、SSLはサーバー認証とクライアント認証の両方を提供します。SSLによるサーバー認証では、通信リンクのサーバー側にデジタル証明をインストールする必要があります。SSLトランザクションがクライアントによって開始されると、サーバーはデジタル証明をクライアントに送信します。クライアントは証明書を調べ、証明書が信頼できる認証局(CA)によって発行されていることを含め、サーバーが正しく自身を証明していることを確認します。
Oracle Internet Directoryサーバー証明書のサブジェクト属性は、Oracle Internet Directoryサーバーのホスト名と一致する必要があります。たとえば、Oracle Internet Directoryサーバーのホスト名がoid.oracle.comである場合、Oracle Internet Directoryのサーバー証明書のサブジェクト属性もoid.oracle.comである必要があります。Oracle Internet Directoryのサーバー証明書のサブジェクト属性がOracle Internet Directoryサーバーのホスト名と一致しない場合、Microsoft Active Directoryのパスワード・フィルタAPIは、ldapbind -U 2コマンドが成功しても、Oracle Internet Directoryのサーバー証明書を有効なものとして受け入れません。サーバー認証用に構成されたOracle Internet Directoryは、SSLタイプ2とも呼ばれます。
Oracle Internet DirectoryとMicrosoft Active Directoryの統合の場合、Oracle Internet Directoryがサーバーで、Microsoft Active Directoryがクライアントです。Oracle Password Filter for Microsoft Active Directoryでは、Microsoft Active Directoryドメイン・コントローラとOracle Internet Directoryサーバー間の送信時、SSLを使用してパスワードを保護します。
|
注意: Oracle Password Filter for Microsoft Active Directoryとともに使用する証明書は、PKCS#10規格の証明書リクエストを受け入れ、X.509バージョン3、ISO規格およびRFC2459に準拠した証明書を作成できるX.509準拠の認証局であればどれでも生成できます。 |
Oracle Internet DirectoryをSSLサーバー側認証で構成およびテストするには、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
Microsoft Active Directoryドメイン・コントローラとOracle Internet Directory間のサーバー認証されたSSL通信は、ドメイン・コントローラがOracle Internet DirectoryのSSL証明書を有効と認識しないと障害が発生します。ドメイン・コントローラがOracle Internet DirectoryのSSL証明書を受け入れるようにするには、Microsoft管理コンソールを使用して認証局の信頼できる証明書をドメイン・コントローラにインポートする必要があります。
Microsoft管理コンソールを使用して認証局の信頼できる証明書をドメイン・コントローラにインポートするには、次のようにします。
Windowsの「スタート」メニューから「ファイル名を指定して実行」を選択します。「ファイル名を指定して実行」ダイアログ・ボックスが表示されます。「ファイル名を指定して実行」ダイアログ・ボックスにmmcと入力し、「OK」をクリックします。「Microsoft管理コンソール」ウィンドウが表示されます。
「ファイル」メニューから「スナップインの追加と削除」を選択します。「スナップインの追加と削除」ダイアログ・ボックスが表示されます。
「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。「スタンドアロン スナップインの追加」ダイアログ・ボックスが表示されます。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで「証明書」を選択した後、「追加」をクリックします。「証明書スナップイン」ダイアログ・ボックスが表示され、このスナップインで管理する証明書のオプションを選択するように要求されます。
「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。「コンピュータの選択」ダイアログ・ボックスが表示されます。
「コンピュータの選択」ダイアログ・ボックスで「ローカル コンピュータ」を選択した後、「完了」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで「閉じる」をクリックした後、「スナップインの追加と削除」ダイアログ・ボックスで「OK」をクリックします。新しいコンソールのコンソール・ツリーに「証明書 (ローカル コンピュータ)」と表示されます。
コンソール・ツリーで「証明書 (ローカル コンピュータ)」を開き、「信頼されたルート証明機関」をクリックします。
「操作」メニューの「すべてのタスク」を選択し、次に「インポート」を選択します。「証明書のインポート ウィザードの開始」ページが表示されます。「次へ」をクリックして「インポートする証明書ファイル」ページを表示します。
「インポートする証明書ファイル」ページで、認証局の信頼できるルート証明書のパスとファイル名を入力するか、「参照」をクリックしてファイルを検索して、「次へ」をクリックします。「証明書ストア」ページが表示されます。
「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択します。「信頼されたルート証明機関」が証明書ストアとして選択されていない場合は、「参照」をクリックして選択します。「次へ」をクリックします。「証明書のインポート ウィザードの完了」ページが表示されます。
「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。インポートが成功したことを示すダイアログ・ボックスが表示されます。「OK」をクリックします。
「ファイル」メニューから「上書き保存」をクリックします。「名前を付けて保存」ダイアログ・ボックスが表示されます。新しいコンソールの名前を入力した後、「保存」をクリックします。
「Microsoft管理コンソール」を閉じます。
|
注意: Microsoft管理コンソールを使用した信頼できる証明書のインポートに関するヘルプは、Windows製品のドキュメントを参照するか、Microsoft社のサポート オンライン( |
Oracle Password Filter for Microsoft Active Directoryは、ldapbindsslコマンドをドメイン・コントローラにインストールします。このコマンドは、Oracle Internet DirectoryとMicrosoft Active Directory間のSSL通信のテストに使用できます。
|
注意:
|
ldapbindsslの構文は、次のとおりです。
ldapbindssl -h oid_hostname -p ssl_port -D binddn -w password
Microsoft Active DirectoryからOracle Internet DirectoryへのSSL通信をテストするには、次のようにします。
ドメイン・コントローラで「コマンド プロンプト」ウィンドウを開き、Oracle Password Filter for Microsoft Active Directoryをインストールしたフォルダにナビゲートします。
ldapbindsslコマンドを入力してOracle Internet DirectoryとのSSL通信をテストします。たとえば、次のコマンドでは、SSLポート3133でoraas.mycompany.comというOracle Internet Directoryホストにバインドしようとします。
ldapbindssl -h oraas.mycompany.com -p 3133 -D binddn -w password
ldapbindsslコマンドが成功した場合は、次のレスポンスが返されます。
bind successful
ldapbindsslコマンドが失敗した場合は、次のレスポンスが返されます。
Cannot connect to the LDAP server
Microsoft Active DirectoryからOracle Internet DirectoryにSSLモードで接続できない場合は、「Microsoft Active Directoryドメイン・コントローラへの信頼できる証明書のインポート」で説明されているように、Microsoft Active Directoryドメイン・コントローラに信頼できる証明書が正常にインポートされていることを確認してください。
「コマンド プロンプト」ウィンドウを閉じます。
この項では、Oracle Password Filter for Microsoft Active Directoryのインストールおよび再構成の方法について説明します。内容は次のとおりです。
Oracle Password Filter for Microsoft Active Directoryをインストールまたは再構成する前に、Microsoft Active DirectoryおよびOracle Internet Directoryに必要な構成パラメータの情報を必ず収集してください。表19-1にMicrosoft Active Directory用に必要な構成パラメータを示し、表19-2にOracle Internet Directory用に必要な構成パラメータを示します。
表19-1 Microsoft Active Directory用のOracle Password Filterの構成パラメータ
| パラメータ | 説明 |
|---|---|
|
ドメイン |
このドメイン・コントローラのMicrosoft Active Directoryドメイン。この値は、通常、mycompany.com形式のDNSドメイン名です。 |
|
ベースDN |
Oracle Password Filterが変更済パスワードのエントリを検索するMicrosoft Active DirectoryのDIT内のコンテナ。パスワード伝播が失敗した場合、失敗したパスワードのDNSは、指定されたコンテナ内の |
|
ポート |
Microsoft Active DirectoryのLDAPポート(通常3060)。 |
|
ホスト |
Microsoft Active Directoryドメイン・コントローラのIPアドレス(ホスト名ではありません)。 |
|
Microsoft Active Directoryユーザー |
Microsoft Active DirectoryのDIT全体に対しての読取り権限と、Microsoft Active DirectoryのベースDNの下に組織単位およびサブツリーのエントリを作成する権限を持つユーザー名。管理ユーザーのDNではなく、ユーザー名を入力する必要があります。この値の形式は、通常、administrator@machine_nameです。 |
|
Microsoft Active Directoryユーザー・パスワード |
指定されたMicrosoft Active Directoryユーザーのパスワード。 |
|
ログ・ファイル・パス |
ログ・ファイルが作成されるディレクトリ(E:\ADPasswordFilter\Logなど)。 |
表19-2 Oracle Internet Directory用のOracle Password Filterの構成パラメータ
| パラメータ | 説明 |
|---|---|
|
ベースDN |
Oracle Password FilterがMicrosoft Active Directoryから同期化されたエントリを検索するOracle Internet DirectoryのDIT内のコンテナ。 |
|
ホスト |
Oracle Internet DirectoryのLDAPプロセスが実行されるホスト名を指定します。高可用性構成で稼働するOracle Internet Directoryの場合、ロード・バランサの仮想ホスト名を使用します。 |
|
SSLポート |
SSLサーバー認証用に構成されたOracle Internet Directoryのポート。 |
|
非SSLポート |
暗号化されていない通信用のOracle Internet Directory。 |
|
Oracle Internet Directoryユーザー |
ベースDNのユーザー・パスワードを更新する権限を持つOracle Internet Directoryユーザーの識別名。 |
|
Oracle Internet Directoryユーザー・パスワード |
指定されたOracle Internet Directoryユーザーのパスワード。 |
この項では、Oracle Password Filter for Microsoft Active Directoryをドメイン・コントローラにインストールする方法について説明します。
Oracle Password Filter for Microsoft Active Directoryをドメイン・コントローラにインストールするには、次のようにします。
次を実行します。
32-bitシステムの場合
配布パッケージのutils\adpwdfilterディレクトリにあるsetup.exeファイルを見つけます。
setup.exeコマンドを実行して、インストール・ファイルをドメイン・コントローラのディレクトリに解凍します。
インストール・ファイルを解凍したディレクトリにナビゲートし、setup.exeをダブルクリックします。
Oracle Password Filter for Microsoft Active Directoryインストール・プログラムの「ようこそ」ページが表示され、プログラムによるOracle Password Filter for Microsoft Active Directoryのインストールが通知されます。
64-bitシステムの場合
WindowsシステムのPATH環境変数の更新は、64ビット・バージョンのOracle Password Filter for Microsoft Active Directoryのインストールの前提条件です。
WindowsシステムのPATH環境変数に次を追加します。
C:\windows\SysWOW64
Windows環境変数を編集する方法については、次のページを参照してください。
配布パッケージのutils\adpwdfilter\64bitディレクトリにあるsetup.exeファイルを見つけます。
setup.exeコマンドを実行して、インストール・ファイルをドメイン・コントローラのディレクトリに解凍します。
インストール・ファイルを解凍したディレクトリにナビゲートし、setup.exeをダブルクリックします。
Oracle Password Filter for Microsoft Active Directoryインストール・プログラムの「ようこそ」ページが表示され、プログラムによるOracle Password Filter for Microsoft Active Directoryのインストールが通知されます。
「ようこそ」ページで、「次へ」をクリックします。インストール要件のページが表示され、Oracle Internet DirectoryとMicrosoft Active Directory間のSSLが有効である必要があり、インストール・プロセスの最後にOracle Password Filter for Microsoft Active Directoryによるコンピュータの再起動が必要であることが通知されます。
インストール要件のページで、「次へ」をクリックします。「インストール・オプション」ページが表示されます。
「インストール・オプション」ページで、「標準(推奨)」または「拡張」を選択します。拡張インストールの実行を選択すると、インストール・プロセスの後半(手順13)でOracle Internet DirectoryおよびMicrosoft Active Directoryの属性を指定できます。「次へ」をクリックします。インストール場所のページが表示され、Oracle Password Filter for Microsoft Active Directoryをインストールするフォルダを指定するように要求されます。
インストール場所のページで、デフォルトのインストール・ディレクトリを使用するか、別のディレクトリを入力します。「参照」をクリックして別のディレクトリを探すこともできます。インストール・ディレクトリを選択したら、「次へ」をクリックします。Microsoft Active Directory構成パラメータページが表示されます。
Microsoft Active Directory構成パラメータページで、次のパラメータの値を入力します。
ドメイン
ベースDN
ポート
ホスト
「次へ」をクリックします。Microsoft Active Directoryドメイン・コントローラ情報ページが表示されます。
Microsoft Active Directoryドメイン・コントローラ情報ページで、次のパラメータの値を入力します。
ユーザー
ユーザー・パスワード
ログ・ファイル・パス
「次へ」をクリックして続行します。「Oracle Internet Directory構成パラメータ」ページが表示されます。
「Oracle Internet Directory構成パラメータ」ページで、次のパラメータの値を入力します。
ベースDN
ホスト
SSLポート
非SSLポート
ユーザー
ユーザー・パスワード
|
重要: Oracle Internet DirectoryとMicrosoft Active Directory間にインポート同期とエクスポート同期の両方を構成した場合、Microsoft Active DirectoryからOracle Internet Directoryに値をインポートする同期プロファイルに指定されているものと同じバインドDNとパスワードを、ユーザー・パラメータとユーザー・パスワード・パラメータとして入力してください。この指定は、Oracle Internet DirectoryとMicrosoft Active Directory間でのパスワード更新のループを回避するために必要です。 |
「次へ」をクリックして続行します。Oracle Password Filter構成パラメータページが表示されます。
Oracle Password Filter構成パラメータページで、次のパラメータの値を入力します。
SleepTime: Oracle Internet DirectoryとMicrosoft Active Directory間でパスワードの変更を同期化する試行の時間間隔(分)。
ConfigSleepTime: Oracle Internet DirectoryとMicrosoft Active Directory間で構成の変更を同期化する試行の時間間隔(分)。
ExcludeListDN: 同期化する必要がないパスワードを持つユーザーのリストが格納されている完全修飾識別名。
再試行最大数: パスワードの同期化を試行する最大回数。
「次へ」をクリックして続行します。「インストール・オプション」ページの「拡張」を選択すると、属性の指定ページが表示されます。
拡張インストールの場合、次の手順を実行します。
表示される属性の指定ページで、2つのディレクトリ間で同期化する属性のソース属性(Microsoft Active Directory)ボックスおよびターゲット属性(Oracle Internet Directory)ボックスに値を入力します。また、「バイナリ属性タイプ*」ボックスで「True」または「False」の値を選択し、ソースの属性タイプがバイナリかどうかを指定します。
「次へ」をクリックして続行します。サマリー・ページが表示され、Oracle Password Filter for Microsoft Active Directoryがインストールされるパスが表示されます。
サマリー・ページで、「次へ」をクリックし、Oracle Password Filterをインストールします。
Oracle Internet Directoryにスキーマ拡張をアップロードするかどうかの入力を求めるプロンプトが表示されたら、常に「No」を選択します。Oracle Internet Directoryには、Microsoft Active Directoryのパスワード・フィルタに必要なスキーマ拡張属性があらかじめロードされているため、スキーマ拡張をOracle Internet Directoryにアップロードする必要はありません。
ドメイン・コントローラの再起動ページが表示されます。
ドメイン・コントローラの再起動ページで、「次へ」をクリックしてコンピュータを再起動します。
次を実行します。
32-bitシステムの場合
コンピュータが再起動したら、管理者としてログインします。ログインすると、Oracle Password Filterの残りの構成タスクが自動的に実行されます。
64-bitシステムの場合
コンピュータが再起動したら、管理者としてログインします。
次の2つのDLLファイルをC:\WINDOWS\syswow64で検索し、これらをC:\WINDOWS\system32にコピーします。
oraidmpwf10.dll
orclmessages.dll
|
注意: これらのDLLファイルは、(移動ではなく)必ずコピーしてください。これらのDLLファイルは、<system root> |
Active Directoryサーバーを再起動します。
これで、Oracle Password Filter for Microsoft Active Directoryがインストールされました。
ほとんどの場合、インストール・プロセス後にOracle Password Filterを再構成する必要はありません。しかし、Oracle Password Filter for Microsoft Active Directoryインストール・プログラムを実行すると、Oracle Password Filter for Microsoft Active Directoryを再構成できます。
Oracle Password Filter for Microsoft Active Directoryを再構成するには、次のようにします。
インストール・ファイルを解凍したディレクトリにナビゲートし、setup.exeをダブルクリックします。Oracle Password Filter for Microsoft Active Directory構成プログラムの「ようこそ」ページが表示され、プログラムによるOracle Password Filter for Microsoft Active Directoryの再構成が通知されます。
「ようこそ」ページで、「次へ」をクリックします。Microsoft Active Directory構成パラメータページが表示されます。
Microsoft Active Directory構成パラメータページで、次のパラメータの値を変更します。
ドメイン
ベースDN
ポート
ホスト
「次へ」をクリックします。「Oracle Internet Directory構成パラメータ」ページが表示されます。
「Oracle Internet Directory構成パラメータ」ページで、次のパラメータの値を変更します。
ベースDN
ホスト
SSLポート
|
注意: 再構成の時点では、Oracle Internet Directoryに2つの構成設定エントリが存在し、それぞれが1つの構成設定エントリを使用するOracle Internet Directoryサーバーの2つのインスタンスが稼働しています。2番目の構成設定エントリのSSLポートを「SSLポート*」フィールドに入力してください。 |
「次へ」をクリックして続行します。Oracle Password Filter構成パラメータページが表示されます。
Oracle Password Filter構成パラメータページで、次のパラメータの値を変更します。
SleepTime: Oracle Internet DirectoryとMicrosoft Active Directory間でパスワードの変更を同期化する試行の時間間隔(分)。
ConfigSleepTime: Oracle Internet DirectoryとMicrosoft Active Directory間で構成の変更を同期化する試行の時間間隔(分)。
ExcludeListDN: 同期化する必要がないパスワードを持つユーザーのリストが格納されている完全修飾識別名。
再試行最大数: パスワードの同期化を試行する最大回数。
「次へ」をクリックして続行します。Oracle Password Filterユーザーページが表示されます。
Oracle Password Filterユーザーページで、次のパラメータの値を変更します。
Microsoft Active Directoryユーザー
Microsoft Active Directoryユーザー・パスワード
Oracle Internet Directoryユーザー
Oracle Internet Directoryユーザー・パスワード
|
重要: Oracle Internet DirectoryとMicrosoft Active Directory間にインポート同期とエクスポート同期の両方を構成した場合、Microsoft Active DirectoryからOracle Internet Directoryに値をインポートする同期プロファイルに指定されているものと同じバインドDNとパスワードを、ユーザー・パラメータとユーザー・パスワード・パラメータとして入力してください。この指定は、Oracle Internet DirectoryとMicrosoft Active Directory間でのパスワード更新のループを回避するために必要です。 |
「次へ」をクリックして続行します。「再構成は正常に完了しました」ページが表示されます。
「再構成は正常に完了しました」ページで、「終了」をクリックしてOracle Password Filterを再構成します。
この項では、Oracle Password Filter for Microsoft Active Directoryの削除(アンインストール)方法について説明します。
Oracle Password Filter for Microsoft Active Directoryを削除するには、次のようにします。
Oracle Password Filter for Microsoft Active Directoryをインストールしたディレクトリ内にあるprepAD.ldifファイルを、テキスト・エディタでを開きます。Microsoft Active Directoryのインストールから、prepAD.ldifファイルに示されているエントリおよびコンテナを削除します。
Windowsの「スタート」メニューをクリックして「ファイル名を指定して実行」を選択します。
「ファイル名を指定して実行」ダイアログ・ボックスが表示されます。
「ファイル名を指定して実行」ダイアログ・ボックスにregedt32と入力し、「OK」をクリックします。
レジストリ エディタが表示されます。
次のレジストリ・キーにナビゲートします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\orclidmpwf\OIDConfig
OidSinkNodeエントリに割り当てられたコンテナをメモします。このエントリに割り当てられたデフォルト値はcn=Products,cn=OracleContextです。
Windowsの「スタート」メニューから「コントロール パネル」を選択します。「コントロール パネル」ウィンドウが表示されます。「コントロール パネル」ウィンドウで、「プログラムの追加と削除」を選択します。「プログラムの追加と削除」ウィンドウが表示されます。
「プログラムの追加と削除」ウィンドウで、現在インストールされているプログラムのリストから「Oracle Password Filter for Microsoft Active Directory」を選択し、「変更/削除」をクリックします。Oracle Password Filter for Microsoft Active Directoryインストール・プログラムの「ようこそ」ページが表示され、プログラムによるOracle Password Filter for Microsoft Active Directoryの削除が通知されます。
「ようこそ」ページで、「次へ」をクリックします。サマリー・ページが表示され、Oracle Password Filter for Microsoft Active Directoryが削除されるパスが表示されます。
サマリー・ページで、「次へ」をクリックします。「再起動が必要」ページが表示され、Oracle Password Filter for Microsoft Active Directoryの削除には削除プロセスの最後に再起動が必要であることが通知されます。
「再起動が必要」ページで、「次へ」をクリックします。最後のページが表示され、コンピュータを再起動する必要があることが通知されます。「次へ」をクリックしてコンピュータを再起動します。
Oracle Internet Directoryがインストールされているシステムでは、Oracle Directory Services Managerまたはldapdeleteを使用して、cn=PWSync,OidSinkNodeコンテナの次のエントリおよびそのサブエントリを削除します。
CN=Active_Directory_Host, cn=PWSync,OidSinkNode
次の内容のテキスト・ファイルをdeleteOIDSchema.ldifという名前で新規作成します。
dn: cn=subschemasubentry changetype: modify delete: objectclasses objectclasses: ( 2.16.840.1.113894.8.2.1002 NAME 'adconfig' SUP top STRUCTURAL MUST ( cn ) MAY ( ADBaseDN $ deleteomain $ ADHost $ ADPort $ Log $ ResourceFilePath ) ) dn: cn=subschemasubentry changetype: modify delete: objectclasses objectclasses: ( 2.16.840.1.113894.8.2.1001 NAME 'oidconfig' SUP top STRUCTURAL MUST ( cn ) MAY ( OIDBaseDN $ OIDHost $ OIDPort $ passwdattr $ MSDEDSN $ OIDObjectClass $ OIDLog $ ExcludeListDN $ MAX_RETRIES $ OIDSSLType $ OIDWalletLoc $ OidSinkNode $ SleepTime $ stop $ ConfigSleepTime $ OIDConfigSynchKey ) ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1001 NAME 'OIDBaseDN' DESC 'OID Base Search DN' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1002 NAME 'OIDHost' DESC 'OID Host' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1003 NAME 'OIDPort' DESC 'OID Port' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1004 NAME 'passwdattr' DESC 'Pass Attribute' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1005 NAME 'MSDEDSN' DESC 'DB DSN' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1006 NAME 'OIDObjectClass' DESC 'AD Object Class' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1007 NAME 'OIDLog' DESC 'OID Log' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1008 NAME 'ExcludeListDN' DESC 'Exclude List' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1009 NAME 'MAX_RETRIES' DESC 'Max Retries' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1010 NAME 'OIDSSLType' DESC 'OID SSL Type' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1011 NAME 'OIDWalletLoc' DESC 'OID Wallet Loc' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1012 NAME 'OidSinkNode' DESC 'Config Sync Node' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1013 NAME 'SleepTime' DESC 'Sleep Time for store thread' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1014 NAME 'stop' DESC 'Stop flag for store thread' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1015 NAME 'ConfigSleepTime' DESC 'Sleep Time for config thread' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 22.16.840.1.113894.8.1.1016 NAME 'OIDConfigSynchKey' DESC 'Config Sync key' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1017 NAME 'ADBaseDN' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1018 NAME 'ADPort' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1019 NAME 'ADHost' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1020 NAME 'ADDomain' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1021 NAME 'Log' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1022 NAME 'ResourceFilePath' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' )
ldapmodifyコマンドを使用して、deleteOIDSchema.ldifファイルをロードします。
$ORACLE_HOME/bin/ldapmodify -h OID host -p OID port \ -D binddn -q -f deleteOIDSchema.ldif
|
注意: パスワードを要求されます。 |
