Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
前 |
次 |
この章では、ディレクトリのブートストラップ(接続ディレクトリとOracleバックエンド・ディレクトリ間の初期のデータ移行)について説明します。同期プロセスでは接続ディレクトリとOracleバックエンド・ディレクトリ間のデータの移行も処理されるため、ディレクトリのブートストラップを実行する必要はありません。ただし、初期のデータ移行を同期プロセスに依存すると、特にデータの量が多い場合など、時間がかかる可能性があります。このため、初めてOracle Directory Integration Platformをデプロイする場合には、ディレクトリのブートストラップを実行します。
この章は、次の項目を含みます。
関連項目: バックエンド・ディレクトリとしてOracle Internet Directoryを使用する場合は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の他のディレクトリおよびデータ・リポジトリからのデータの移行に関する章を参照してください。 |
接続ディレクトリとOracleバックエンド・ディレクトリの間でブートストラップするには、ORACLE_HOME/bin
ディレクトリにあるsyncProfileBootstrap
ユーティリティを使用します。
注意:
|
このトピックには、次の項があります。
syncProfileBootstrap
syncProfileBootstrap -h HOST -p PORT -D wlsuser {-file FILENAME |-profile -PROFILE_NAME} [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-loadParallelism INTEGER] [-loadRetry INTEGER][-help]
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーのリスニング・ポート。
-D | wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードを要求されます。パスワードをコマンドライン引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトから |
-f | -file
ブートストラップ・プロパティ・ファイル。
-pf | -profile
操作の実行時に使用する同期プロファイルの名前。
-ssl
SSLモードでコマンドを実行します。
注意: Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。 |
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-lp | -loadParallelism
Oracleバックエンド・ディレクトリへのロードが、複数のスレッドを使用してパラレルで実行されることを示します。たとえば、-loadparallelism 5
は、5つのスレッドが作成され、各スレッドでOracleバックエンド・ディレクトリへのエントリのロードがパラレルで実行されることを意味します。
-lr | -loadRetry
宛先へのロードに失敗した場合に、そのエントリを不正なエントリとしてマークするまでに実行する再試行の回数。
-help
コマンドの使用方法のヘルプを提供します。
syncProfileBootstrap -h myhost.mycompany.com -p 7005 -D login_ID \
-pf myProfile -lp 5
syncProfileBootstrap -h myhost.mycompany.com -p 7005 -D login_ID \
-f /opt/ldap/odip/bootstrap.properties -lr 3
データのロード元のソース・ディレクトリに多数のエントリが含まれる場合は、LDIFファイルを使用すると、最も迅速で簡単にターゲット・ディレクトリをブートストラップできます。この場合、ソース・ディレクトリとターゲット・ディレクトリ間での読取りおよび書込み時に接続エラーが発生する可能性があるため、統合プロファイルを使用したブートストラップはお薦めしません。特殊文字は、統合プロファイルを使用したブートストラップでは適切にエスケープされないことがあるため、識別名に特殊文字が含まれる場合にもLDIFファイルの使用をお薦めします。
このファイルのパラメータは、次のものを指定します。
ソースおよび宛先のインタフェース・タイプ(LDIFおよびLDAP)
接続詳細および資格証明(LDAPの場合のみ有効)
マッピング・ルール
ディレクトリ依存ツールを使用してソース・ディレクトリを読み取ることで、LDIFファイルによるブートストラップを行えます。
インストール時に、次のサンプル・パラメータ・ファイルが$ORACLE_HOME/ldap/odi/conf/
ディレクトリにコピーされます。
Ldp2ldp.properties
Ldp2ldf.properties
Ldf2ldp.properties
Ldf2ldf.propertie
s
これらのファイルには、ブートストラップにおける各パラメータの機能が記述されています。ブートストラップ用にツールを実行する場合は、ORACLE_HOME
とNLS_LANG
が正しく設定されていることを確認してください。
ブートストラップは、中間ファイルの有無にかかわらず、サービス間で実行できます。ただし、大きいディレクトリの場合は、中間LDIFファイルが必要です。
この方法は、エントリが次の状態の小さいディレクトリに使用することをお薦めします。
比較的少数
フラット構造
非相互依存(グループ・エントリの作成はユーザー・メンバー・エントリの存在に依存する場合などとは異なり、この場合、エントリの作成は別のエントリの存在には依存しない)
この方法を使用する手順は、次のとおりです。
適切なマッピング・ルールを持つマッピング・ファイルを作成します。マッピング・ファイルは、ブートストラップ・ファイル内のプロパティの1つです。同期用に定義されたマッピング・ルールと一致していることを確認してください。
ソースをLDAP、宛先タイプをLDIFと指定した必須の詳細情報を持つパラメータ・ファイルを作成します。サンプル・パラメータ・ファイルldp2ldf.properties
は、$ORACLE_HOME/ldap/odi/samples
にあります。バイナリ属性が、SrcAttrType
フィールドでバイナリとして指定されていることを確認します。
次のように指定されている構成ファイルとともに、syncProfileBootstrap
コマンドを実行します。
ソースがLDAPディレクトリと指定されている。
宛先タイプがLDIFと指定されている。
NAME_OF_MANAGED_SERVER-diagnostic.log
ファイルでエラーがないかどうかを確認します。このファイルは、次の場所にあります。
MW_HOME/user_projects/domains/
DOMAIN_NAME/servers/
NAME_OF_MANAGED_SERVER/logs/
NAME_OF_MANAGED_SERVER-diagnostic.log
bulkload.sh
コマンドまたはldapadd
コマンドを使用して、Oracleバックエンド・ディレクトリにデータをアップロードします。
同期を継続するには、次のようにmanageSyncProfiles
コマンドのupdatechgnum
操作を使用して最終変更番号を更新します。
manageSyncProfiles updatechgnum -h HOST -p PORT -D wlsuser \ -profile my_Import_Profile
この項では、LDIFファイルを使用してディレクトリをブートストラップする次の2つの方法について説明します。
ディレクトリ依存ツールを使用してソース・ディレクトリを読み取ることによってLDIFファイルからブートストラップする方法
大きいディレクトリに対してはこの方法を使用することをお薦めします。この方法を使用する手順は、次のとおりです。
ディレクトリからLDIFファイルにデータをダウンロードします。使用するツールは、データのロード元のディレクトリによって異なります。Microsoft Active Directoryからブートストラップしている場合は、ldifde
コマンドを使用してデータをロードします。各エントリに必要なすべての属性をロードしてください。
適切なマッピング・ルールを持つマッピング・ファイルを作成します。さらに同期を行う場合は、マッピング・ファイルが同期に使用されるものと同じであることを確認してください。
LDIFとしてのソースと宛先、およびその他の詳細情報を持つ宛先パラメータ・ファイルを作成します。サンプル・パスワード・ファイルは次の場所にあります。
$ORACLE_HOME/ldap/odi/conf/ldf2ldf.properties
ソースをLDIF、宛先タイプをLDIFと指定したパラメータ・ファイルとともに、syncProfileBootstrapコマンドを使用します。これによって、ソース・データが変換され、Oracle Internet Directoryで必要な新しいLDIFが作成されます。syncProfileBootstrapコマンドを次のように実行します。
syncProfileBootstrap -profile profile_name -loadParallelism threads -loadRetry retries
NAME_OF_MANAGED_SERVER-diagnostic.log
ファイルでエラーがないかどうかを確認します。このファイルは、次の場所にあります。
MW_HOME/user_projects/domains/
DOMAIN_NAME/servers/
NAME_OF_MANAGED_SERVER/logs/
NAME_OF_MANAGED_SERVER-diagnostic.log
bulkload.sh
コマンドまたはldapadd
コマンドを使用して、Oracleバックエンド・ディレクトリにデータをアップロードします。
同期を継続するには、次のようにmanageSyncProfiles
コマンドのupdatechgnum
操作を使用して最終変更番号を更新します。
manageSyncProfiles updatechgnum -h HOST -p PORT -D wlsuser \ -profile my_Import_Profile
syncProfileBootstrapコマンドを使用してバックエンド・ディレクトリにデータをロードすることによってLDIFファイルからブートストラップする方法
この方法を使用する手順は、次のとおりです。
ディレクトリからLDIFファイルにデータをダウンロードします。使用するツールは、データのロード元のディレクトリによって異なります。Microsoft Active Directoryからブートストラップしている場合は、ldifde
コマンドを使用してデータをロードします。各エントリに必要なすべての属性をロードしてください。
適切なマッピング・ルールを持つマッピング・ファイルを準備します。さらに同期を行う場合は、マッピング・ファイルが同期に使用されるものと同じであることを確認してください。
ソースをLDIF、宛先をLDAPと指定して、プロパティ・ファイルを作成します。
ソースをLDIF、宛先タイプをLDAP、宛先をOracle Internet Directoryと指定したパラメータ・ファイルとともに、syncProfileBootstrapコマンドを使用します。これによってソース・データが変換され、Oracle Internet Directory内に必要なエントリが作成されます。サンプル・プロパティ・ファイルldf2ldp.properties
は、$ORACLE_HOME/ldap/odi/samples
にあります。
NAME_OF_MANAGED_SERVER-diagnostic.log
ファイルでエラーがないかどうかを確認します。このファイルは、次の場所にあります。
MW_HOME/user_projects/domains/
DOMAIN_NAME/servers/
NAME_OF_MANAGED_SERVER/logs/
NAME_OF_MANAGED_SERVER-diagnostic.log
同期を継続するには、次のようにmanageSyncProfilesコマンドのupdatechgnum
操作を使用して最終変更番号を更新します。
manageSyncProfiles updatechgnum -h HOST -p PORT -D wlsuser \ -profile my_Import_Profile
ブートストラップは、同期用に構成された既存の統合プロファイルに依存します。この構成情報は、他のディレクトリに接続するために使用されます。
この方法を使用する場合は、ソース・ディレクトリを読取り専用モードに設定します。
プロファイルがインポート・プロファイルの場合は、接続ディレクトリ内の必須オブジェクトのフットプリントがOracleバックエンド・ディレクトリに作成されます。プロファイルがエクスポート・プロファイルの場合は、Oracleバックエンド・ディレクトリからの必須オブジェクトのフットプリントが接続ディレクトリ内に作成されます。
これらのエントリの作成中、統合プロファイルに指定されているとおり、識別名およびオブジェクト・レベルのマッピングが使用されます。エントリのアップロードに失敗した場合、この情報は、MW_HOME/user_projects/domains/
DOMAIN_NAME/servers/
NAME_OF_MANAGED_SERVER/logs
ディレクトリにあるNAME_OF_MANAGED_SERVER-diagnostic.log
ファイルに記録されます。
たとえば、Oracle Directory Server Enterprise Edition(以前のSun Java System Directory Server)からOracle Internet Directoryにブートストラップする場合は、次の手順を実行します。
「Oracle Directory Server Enterprise Editionとの拡張統合の構成」の方法に従うとインストールの一部として作成される、デフォルトの統合プロファイルiPlanetImport
をカスタマイズします。
次のコマンドを入力します。
syncProfileBootstrap -h HOST -p PORT -D wlsuser -profile iPlanetImport -loadParallelism 5 -loadRetry 3
NAME_OF_MANAGED_SERVER-diagnostic.log
ファイルでエラーがないかどうかを確認します。このファイルは、次の場所にあります。
MW_HOME/user_projects/domains/
DOMAIN_NAME/servers/
NAME_OF_MANAGED_SERVER/logs/
NAME_OF_MANAGED_SERVER-diagnostic.log
syncProfileBootstrapコマンドを使用している場合は、ブートストラップ処理の後に、以降の同期化のためにlastchangenumber
属性が初期化されます。
パラメータ・ファイルまたは統合プロファイルを使用すると、SSLモードでブートストラップできます。SSLモードでブートストラップする場合、Oracleバックエンド・ディレクトリ、接続ディレクトリまたはOracleバックエンド・ディレクトリと接続ディレクトリの両方のいずれかをSSLモードで実行できます。
パラメータ・ファイルからSSLモードでブートストラップするには、パラメータ・ファイルでodip.bootstrap.srcsslmode
引数とodip.bootstrap.destsslmode
引数にtrueまたはfalseの値を割り当てる必要があります。
統合プロファイルからブートストラップすると、デフォルトの統合プロファイルのodip.profile.condirurl
に割り当てられた値を使用して、接続ディレクトリへのSSL接続が確立されます。
SSLモードでブートストラップする場合、Directory Integration Platformのキーストアにサード・パーティのディレクトリの信頼できる証明書が格納されている必要があります。DIPは、SSLサーバー認証モードを使用してサード・パーティのディレクトリに接続します。
ブートストラップをSSLモードで開始する前に次の手順を実行します。
keytool
コマンドを使用して物理的な場所に新しいJavaキーストアを作成し、このキーストアにサード・パーティのディレクトリの信頼できる証明書を追加します。
keytool -importcert -noprompt -trustcacerts -alias
<ALIAS_NAME> -file
<PATH_TO_CERTIFICATE_FILE> -keystore
<PHYSICAL_LOCATION_OF_KEYSTORE> -storepass
<KEYSTORE_PASSWORD>
Directory Integration PlatformアプリケーションでJavaキーストア(JKS)の場所(前の手順で作成)を構成します。
次のコマンドで、WLSはWebLogic Serverを表します。
$OH/bin/manageDIPServerConfig set -attr keystorelocation -val
<FULL_PATH_TO_KEYSTORE> -h
<WLS_HOST> -p
<WLS_MANAGED_SERVER_PORT> -wlsuser
<WLS_USER>
DIPが証明書を検証するのにCSFからパスワードを読み取ってキーストアを開くことができるように、CSF(資格証明ストア・フレームワーク)のパスワード資格証明を作成します。
次のコマンドを実行します。
$
MW_HOME/oracle_common/common/bin/wlst.sh
次のコマンドを実行します。
connect('%
WLSUSER%','%
WLSPWD%', 't3://%
HOST%:%
ADMINSERVER_PORT%')
次のWLSTコマンドを実行して資格証明を作成します。
createCred(map="dip", key="jksKey", user="cn=odisrv,cn=Registered Instances,cn=Directory Integration Platform,cn=products,cn=oraclecontext", password="
<JKS_PASSWORD>", desc="DIP SSL JKS")