Oracle® Fusion Middleware Oracle Authentication Services for Operating Systems管理者ガイド 11g リリース(11.1.1) B61411-01 |
|
前 |
次 |
Oracle Authentication Services for Operating Systemsを構成する前に、使用するオペレーティング・システムおよび使用するOracle Internet Directoryのバージョンがサポートされていることを確認してください。また、インストールを開始する前に、オプションの製品機能のうち使用する機能を決定し、移行に使用するスクリプトの場所を確認してください。
この章の内容は次のとおりです。
Oracle Authentication Services for Operating Systemsには、サーバーとクライアントの両方のコンポーネントが含まれています。サーバーは、Oracle Internet Directoryを実行するコンピュータです。クライアントは、Oracle Internet Directoryのサービスを認証に使用するコンピュータです。
サポートされているサーバーおよびクライアントのオペレーティング・システムに関する最新情報は、次のドキュメントを参照してください。
このリリースに同梱されているREADMEドキュメント
ノート1064891.1: Oracle Authentication Services for Operating Systems補足ドキュメント(11.1.1.3)。このドキュメントは、My Oracle Support(https://support.oracle.com
)で入手できます。
Oracle Authentication Services for Operating Systemsを構成する前に、Oracle Internet Directoryをインストールする必要があります。既存のLDAP準拠ディレクトリからエントリを移行する場合、またはOracle Internet Directoryを別のディレクトリ(Active Directoryなど)と同期化する場合は、Oracle Internet DirectoryとともにOracle Directory Integration Platformをインストールする必要があります。
関連項目: Identity Managementのコンポーネントのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。 |
Oracle Authentication Services for Operating Systems 10gがすでにインストールされている場合は、ポートやSSL証明書などの構成機能を変更するのでなければ、サーバーまたはクライアントのマシンを再構成する必要はありません。
『Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド』の説明に従ってOracle Internet Directory 11gにアップグレードします。11g R1パッチ・セット2(11.1.1.3.0)を適用します。
構成を変更する必要がある場合は、第3章「Oracle Authentication Services for Operating Systemsの構成」の説明に従って、11gのスクリプトを使用してください。
Oracle Internet Directory 11gリリース1(11.1.1)以上では、デフォルトで匿名バインドが許可されていますが、匿名ユーザーが実行できるのはルートDSEエントリに対する検索操作のみです。ただし、アップグレードすると、Oracle Internet Directoryによって匿名バインドが有効化されます。なんらかの理由で匿名バインドが無効になっている場合は、「ユーザーがログインできない」のトラブルシューティングに関する項の説明に従って、ldapmodify
コマンドを使用して匿名バインドを有効化できます。
インストールを開始する前に、製品のどの機能を使用するか考慮します。基本的な機能については、Oracle Internet Directoryサーバーを実行するシステム上でサーバー・スクリプトを実行して、各クライアント上でクライアント・スクリプトを実行します。これらのスクリプトによって、サーバーおよびクライアントがLDAP認証用に構成されます。基本的なLDAP認証以外にも、次のオプションを選択できます。
Secure Socket Layer(SSL): 使用するサーバーおよびクライアントがインターネットから隔離されている場合を除き、SSLを有効にする必要があります。これには、SSLバージョンのサーバー構成スクリプトおよびクライアント構成スクリプトを使用します。Red HatまたはOracle Enterprise Linux上でOracle Authentication Services for Operating Systemsとともにlibuser
ツールおよびsystem-config-users
を使用する場合は、SSLが必要です。
SSLで使用する証明書およびウォレット: SSLサーバー構成スクリプトでは、既存の証明書を使用することも、本番モード用に設計されていない自己署名の証明書を生成することもできます。既存の証明書を使用する場合は、Oracle Internet Directoryをこの証明書とともにSSLモードで構成しておく必要があります。また、デフォルトのウォレットのかわりにカスタマイズしたウォレットを使用することもできます。
関連項目:
|
移行元となる現在の認証のソース: ファイル、NISまたは別のLDAPサーバーを使用している場合は、Oracle Internet Directoryに移行できます。
LDAPを使用するためにlibuser
ツールを構成するかどうか: Red Hat Enterprise LinuxおよびOracle Enterprise Linuxには、デフォルトでGUIツールsystem-config-users
およびコマンドライン・ユーティリティ(luseradd
、luserdelete
など)が存在します。luseradd
などを使用してユーザーを追加した場合にそのユーザー・エントリがOracle Internet Directoryに追加されるように、LDAPと連携するようにlibuser
ツールを構成できます。libuser
ツールを使用しない場合は、Oracle Directory Manager、Oracle Internet Directoryのバルク・ツール、またはOracle Internet DirectoryのLDAPツールを使用して、直接Oracle Internet Directoryでエントリを構成する必要があります。クライアントがRed Hat Enterprise LinuxまたはOracle Enterprise Linuxの場合は、クライアント・スクリプトによって、libuser
を構成するかどうかを尋ねるプロンプトが表示されます。
注意:
|
移行するデータ: 次項で説明するようなオープン・ソースのスクリプトは、NISまたはファイルからのユーザー、グループおよびその他の構成データの移行をサポートしています。Oracle Authentication Services for Operating Systemsには、サード・パーティのLDAPディレクトリ・サーバーから移行するためのツールが含まれています。
sudo
を移行するかどうか: sudoers
構成ファイルのかわりにOracle Internet Directoryを使用して、sudo
コマンドを認証できます。
パスワード・ポリシーの強制方法: 引き続きオペレーティング・システムを使用してパスワードを強制できます。もしくは、Oracle Internet Directoryを使用してパスワード・ポリシーを集中化できます。
Active Directoryと統合するかどうか: LinuxまたはUNIXベースのオペレーティング・システムでは、Active Directoryに格納されている資格証明をユーザー認証のために使用できます。
ローカル・ファイル・システムまたはNIS/NIS+でユーザー、グループおよびその他のエントリを管理している場合は、これらのエントリの記憶域メカニズムとしてLDAPに移行できます。既存の情報を抽出し、出力ファイルをLDAP Data Interchange Format(LDIF)で生成するために使用できるツールがいくつかあります。LDIFファイルに格納した情報は、ldapadd
ツールを使用してOracle Internet Directoryにロードできます。
AIXでは、ユーザーおよびグループを移行する場合、sectoldif
ツールとnistoldif
ツールを使用する必要があります。http://www.padl.com/
からの移行ツールは使用しないでください。
sudoers
ファイルの内容をLDAPに移行する場合は、移行スクリプトを実行し、LDAPを有効にしてsudo
をビルドする必要があります。sudo
パッケージは次のサイトから入手できます。
Oracle Internet Directoryで属性を検索するには、その属性が索引付けされている必要があります。カスタム属性を追加する場合は、属性の作成時にOracle Directory Managerを使用して索引付けできます。また、ldapmodify
を使用して索引付き属性を作成することもできます。次のようなLDIFファイルを使用します。
dn: cn=catalogs
changetype: modify
add: orclindexedattribute
orclindexedattribute: attribute_name
あるいは、「Oracle Internet Directoryでのカスタム属性の使用」で説明しているように、Oracle Internet Directoryで属性を作成した後に、catalog
を使用して索引付けすることもできます。
注意: 必須属性として指定されている索引付けされていない属性の検索を実行しようとすると、サーバーから次のエラーが戻されます。Function not implemented. DSA unwilling to perform.
|
次のインストール前タスクは、プラットフォームに固有のものです。
クライアントとして使用するコンピュータでHP-UXが実行されている場合は、LDAP-UX Integration J4269AA、HP-UX 11iv2 for Workstations and Servers B.04.00.03をダウンロードし、root
としてインストールする必要があります。このソフトウェアは、http://h20293.www2.hp.com/portal/swdepot/try.do?productNumber=J4269AA
からダウンロードできます。
Solaris 5.9または5.10でSSLバージョンのサーバー構成スクリプトを実行する場合は、Oracle Internet Directoryが標準のLDAPポートである389
(非SSLの場合)および636
(SSLの場合)を使用していることを確認する必要があります。
必要に応じて、標準のLDAPポートを使用して新しいOracle Internet Directoryインスタンスを起動します。次の手順を実行します。
opmnctl
コマンドを使用して、Oracle Internet Directoryのすべてのインスタンスを停止します。次のように入力します。
opmnctl stopproc process-type=OID
root
として次のコマンドを実行します。
$ORACLE_HOME/oidRoot.sh
タイプOID
の新規コンポーネントを作成します。たとえば、コンポーネント名がoid2
でネームスペースがdc=us,dc=example,dc=com
のコンポーネントを作成する場合は、次のように入力します。
$ORACLE_INSTANCE/bin/opmnctl createcomponent -componentType OID \ -componentName oid2 -Db_info \ "myhost.us.example.com:1521:dbservice.us.example.com" \ -Port 389 -Sport 636 -Namespace "dc=us,dc=example,dc=com"
Oracle Internet Directoryインスタンスを起動します。たとえば、コンポーネントoid2
を起動する場合は、次のように入力します。
$ORACLE_INSTANCE/bin/opmnctl startproc ias-component=oid2
関連項目: 『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の「Oracle Internet Directoryインスタンスの管理」の章。 |