8 Identity Managementコンポーネントの高可用性の構成

Oracle Identity Management製品を使用すると、多様なサーバーにわたるユーザー、デバイス、およびサービスを構成および管理して、これらのアイデンティティの管理を委託し、エンド・ユーザーにセルフサービスの特権を提供することができます。これらの製品を使用して、アプリケーション全体にわたるシングル・サインオンを構成し、有効な資格証明を持つユーザーのみがオンライン・リソースにログインしてアクセスできるようにユーザーの資格証明を処理します。

他のエンタープライズ・レベルのアプリケーションは、Oracle Identity Management製品に依存するため、高可用性を構成しておくことが必要不可欠になります。Oracle Identity Management製品に障害が発生すると、この製品に依存するアプリケーションにも障害が発生します。

この章では、アクティブ/アクティブ構成における高可用性のための11gリリース1 Identity Management製品の構成について説明します。これらの製品には次のものが含まれます。

Oracle Internet Directory(OID)
Oracle Virtual Directory(OVD)
Oracle Directory Service Manager(ODSM)
Oracle Directory Integration Platform(ODIP)
Oracle Identity Federation(OIF)

注意:

新規または11gリリース2 (11.1.2)に更新したOracle Identity and Access Managementコンポーネントについては、第9章「Identity Management and Access Managementコンポーネントの高可用性の構成」を参照してください。

この章の内容は次のとおりです。

第8.1項「Identity Management製品のコンポーネントと高可用性の概要」
第8.2項「Oracle Identity Managementの高可用性構成のための前提条件」
第8.3項「Oracle Internet Directoryの高可用性」
第8.4項「Oracle Virtual Directoryの高可用性」
第8.5項「Oracle Directory Services Managerの高可用性」
第8.6項「Oracle Directory Integration Platformの高可用性」
第8.7項「コンポーネントの起動と停止」

8.1 Identity Management製品のコンポーネントと高可用性の概要

図8-1に、Oracle Identity Managementの高可用性アーキテクチャの例を示します。

図8-1 Oracle Identity Managementの高可用性アーキテクチャ

「図8-1 Oracle Identity Managementの高可用性アーキテクチャ」の説明

図8-1では、Web層にコンピュータWEBHOST1とWEBHOST2があります。

Oracle HTTP Serverインスタンスの1つはWEBHOST1に、もう1つのOracle HTTP ServerインスタンスはWEBHOST2にインストールされています。ロード・バランシング・ルーターによって、WEBHOST1およびWEBHOST2上のOracle HTTP Serverインスタンスにリクエストがルーティングされます。

アプリケーション層には、コンピュータIDMHOST1とIDMHOST2コンピュータがあります。

IDMHOST1では、次のインストールが実行されています。

Oracle Directory Services ManagerインスタンスとOracle Directory Integration Platformインスタンスが、WLS_ODS1管理対象サーバー上にインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。
Oracle Access Manager Access ServerインスタンスがWLS_OAM1管理対象サーバーにインストールされています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。管理サーバーは、シングルトン・アプリケーションです。Oracle Access Manager Consoleもシングルトン・アプリケーションとしてインストールされています。

IDMHOST2では、次のインストールが実行されています。

Oracle Directory Services ManagerインスタンスとOracle Directory Integration Platformインスタンスが、WLS_ODS2管理対象サーバー上にインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。

IDMHOST2上のWLS_ODS2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_ODS1管理対象サーバーにあるインスタンスは、Cluster_ODSクラスタとして構成されています。
Oracle Access Manager Access ServerインスタンスがWLS_OAM2管理対象サーバーにインストールされています。

IDMHOST2上のWLS_OAM2管理対象サーバーにあるAccess Serverインスタンスと、IDMHOST1上のWLS_OAM1管理対象サーバーにあるAccess Serverインスタンスは、Cluster_OAMクラスタとして構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。アクティブ/パッシブの構成の詳細は、第12章「Oracle Fusion Middleware高可用性のためのアクティブ/パッシブ・トポロジ」を参照してください。Oracle Access Manager Consoleもシングルトン・アプリケーションとしてインストールされており、それはIDMHOST2上の管理サーバーがアクティブになるまではパッシブです。

ディレクトリ層には、コンピュータOIDHOST1とOIDHOST2があります。

OIDHOST1上には、Oracle Internet DirectoryインスタンスとOracle Virtual Directoryインスタンスがインストールされています。Oracle RACデータベースをセキュリティ・メタデータ・リポジトリとして使用しているOracle Internet Directoryインスタンスには、透過的アプリケーション・フェイルオーバー(TAF)により接続されます。サーバー側のTAFおよび高可用性のイベント通知に対してデータベースが有効化されます。

OIDHOST2も同じ設定です。

OIDHOST1とOIDHOST2のOracle Internet Directoryインスタンスは、クラスタとして構成されています。

Oracle Real Applications Cluster(Oracle RAC)データベースは、セキュリティ・メタデータ・リポジトリとして使用されます。

8.2 Oracle Identity Managementの高可用性構成のための前提条件

この項では、Oracle Identity Managementの高可用性構成を設定する前に完了する必要のある手順について説明します。

8.2.1 Oracleホームの要件

Identity ManagementコンポーネントのOracleホームは、すべてのノードで同一である必要があります。たとえば、Node1でOracleホームとして/u01/app/oracle/product/fmw/idmを選択した場合は、すべての後続のノードのOracleホームとして/u01/app/oracle/product/fmw/idmを選択する必要があります。

8.2.2 データベースに関する前提条件

いくつかのOracle Identity Managementコンポーネントでは、サポートされているデータベースおよびスキーマが必要です。

データベースが動作保証されているかどうかを確認するか、または動作保証されたデータベースをすべて表示するには、次の動作保証ドキュメントで、動作保証されたデータベースに関する項を参照してください。

http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html

データベースのバージョンを調べるには、次の問合せを実行します。

SQL>select version from sys.product_component_version where product like 'Oracle%';

8.2.3 データベース・リポジトリのインストールと構成

高可用性データベースを使用してメタデータ・リポジトリを格納することをお薦めします。可用性を最大にするために、Oracle Real Application Cluster (Oracle RAC) データベースの使用をお薦めします。データベースでは、データ記憶域にOracle自動ストレージ管理を使用することをお薦めします。Oracle ASMを使用する場合、ベスト・プラクティスはOracle Managed Filesも使用することです。

Oracle ASMを使用する場合、Oracle ASMを独自のOracleホームにインストールし、次の2つのディスク・グループを用意します。

データベース・ファイル用のグループ。
フラッシュ・リカバリ領域用のグループ。

この項には、データベース・リポジトリのインストールおよび構成手順への関連項目が記載されています。

Oracle Clusterware

10g リリース2(10.2)については、『Oracle Database Oracle ClusterwareおよびOracle Real Application Clustersインストレーション・ガイド』を参照してください。
11g リリース1(11.1)以降については、Oracle Clusterwareインストレーション・ガイドを参照してください。

自動ストレージ管理およびOracle Real Application Clusters

10g リリース2(10.2)については、『Oracle Database Oracle ClusterwareおよびOracle Real Application Clustersインストレーション・ガイド』を参照してください。
11g リリース1(11.1)以降については、Oracle Real Application Clustersインストレーション・ガイドを参照してください。

インストーラを実行するときは、「構成の選択」ページで「自動ストレージ管理の構成」を選択して、個別の自動ストレージ管理ホームを作成します。

Oracle Fusion Middlewareコンポーネントの多くは、インストールの前にデータベース内にスキーマが必要です。RCUを使用してOracle Identity ManagementスキーマをOracle RACデータベース・リポジトリにロードする操作の詳細は、次の項を参照してください。

8.2.4 リポジトリ作成ユーティリティ・ソフトウェアの取得

RCUの最新バージョンを取得するには、次のOracle Technology NetworkのOracle Fusion Middleware 11gのソフトウェア・ダウンロード・ページにアクセスしてください。

http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html

Required Additional Softwareの表でRepository Creation Utilityを探します。.zipファイルをダウンロードしたら、その内容を自身で選択したディレクトリに抽出します。このディレクトリをRCU_HOMEディレクトリと呼びます。

注意:

Windowsオペレーティング・システムでは、名前に空白が含まれていないディレクトリにRCUの.zipファイルを解凍してください。

この章で説明するコンポーネントのいずれかをインストールする前には、RCUを実行して、スキーマをOracle RACデータベースに作成しておきます。これらのスキーマは、Oracle Identity Managementの高可用性の構成に必要です。

RCUの詳細は、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』および『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。

8.2.5 Oracle Fusion Middleware 11gメタデータ用データベースの構成

次の特性を持つOracle Fusion Middleware 11gメタデータを格納するOracle Real Application Clustersデータベースを作成します。

バックアップとリカバリを容易にするためにアーカイブ・ログ・モードになっている必要があります。
オプションでフラッシュバックを有効化する必要があります。
ALT32UTF8キャラクタ・セットで作成されている必要があります。

静的なPROCESSES初期化パラメータの値は、Oracle Internet Directoryに対して500以上にする必要があります。この値はリポジトリ作成ユーティリティによって確認されます。

この値をチェックするには、次のようにSQL*PlusでSHOW PARAMETERコマンドを使用します。

prompt> sqlplus "sys/password as sysdba"
SQL> SHOW PARAMETER processes

パラメータの値を変更する一般的な方法の1つとして、次のようなコマンドを使用し、データベースの停止および再起動をしてパラメータを有効化する方法があります。

prompt> sqlplus "sys/password as sysdba"
SQL> ALTER SYSTEM SET PROCESSES=500 SCOPE=SPFILE;

パラメータの値を変更する方法は、パラメータが静的か動的かによって異なり、データベースがパラメータ・ファイルとサーバー・パラメータ・ファイルのどちらを使用しているかによっても異なります。パラメータ・ファイル、サーバー・パラメータ・ファイル、およびパラメータ値の変更方法の詳細は、Oracle Database管理者ガイドを参照してください。

8.2.5.1 この章で使用するデータベースの例

表8-1は、この章のデータベースの構成例で使用されている値を示しています。

表8-1 アイデンティティ管理で使用されるデータベースの構成例

コンポーネント	データベース・サービス名	データベース・インスタンス名
Oracle Internet Directory	oid.mycompany.com	oiddb1、oiddb2
Oracle Virtual Directory	N/A	N/A
Oracleディレクトリ統合プラットフォーム	oid.mycompany.com	oiddb1、oiddb2
Oracle Directory Services Manager	N/A	N/A
Oracle Identity Navigator	N/A	N/A
Oracle Identity Federation	oif.mycompany.com	oifdb1、oifdb2
Oracle Identity Management	idm.mycompany.com	idmdb1,idmdb2

8.2.5.2 データベース・サービス

Oracle Enterprise Manager Cluster Managed Services Pageを使用して、クライアント・アプリケーションがデータベースへの接続に使用するデータベース・サービスを作成することをお薦めします。データベース・サービスの作成の詳細は、Oracle Real Application Clusters管理およびデプロイメント・ガイドの「ワークロード管理」を参照してください。

SQL*Plusを使用してOracle Internet Directoryのフェイルオーバーを自動化するようにOracle RACデータベースを構成するには、次の指示に従います。次の各コマンドは、クラスタ内の1つのノードにのみ実行してください。

CREATE_SERVICEサブプログラムは、データベース・サービスの作成、および高可用性通知の有効化とサーバー側の透過的アプリケーション・フェイルオーバー(TAF)設定の構成の両方に使用します。
```
prompt> sqlplus "sys/password as sysdba"

SQL> EXECUTE DBMS_SERVICE.CREATE_SERVICE
(SERVICE_NAME => 'idm.mycompany.com',
NETWORK_NAME => 'idm.mycompany.com',
AQ_HA_NOTIFICATIONS => TRUE, 
FAILOVER_METHOD => DBMS_SERVICE.FAILOVER_METHOD_BASIC, 
FAILOVER_TYPE => DBMS_SERVICE.FAILOVER_TYPE_SELECT, 
FAILOVER_RETRIES => 5, FAILOVER_DELAY => 5);
```
EXECUTE DBMS_SERVICEコマンドを正常に実行するには、1行で入力してください。
サービスをデータベースに追加し、srvctlを使用してインスタンスに割り当てます。
```
prompt> srvctl add service -d idmdb -s idm -r idmdb1,idmdb2
```
srvctlを使用してサービスを開始します。
```
prompt> srvctl start service -d idmdb -s  idm
```
注意:

SRVCTLコマンドの詳細は、Oracle Real Application Clusters管理およびデプロイメント・ガイドを参照してください。

データベースにサービスが存在している場合は、高可用性通知が有効化され、サーバー側で正しく透過的アプリケーション・フェイルオーバー(TAF)が設定されていることを確認します。DBMS_SERVICEパッケージを使用して、高可用性通知がアドバンスト・キューイング(AQ)を通して送信されるようにサービスを変更するには、次のようにAQ_HA_NOTIFICATIONS属性をTRUEに設定し、サーバー側のTAFの設定を構成します。

prompt> sqlplus "sys/password as sysdba"

SQL> EXECUTE DBMS_SERVICE.MODIFY_SERVICE
(SERVICE_NAME => 'idm.mycompany.com',
AQ_HA_NOTIFICATIONS => TRUE,
FAILOVER_METHOD => DBMS_SERVICE.FAILOVER_METHOD_BASIC, 
FAILOVER_TYPE => DBMS_SERVICE.FAILOVER_TYPE_SELECT, 
FAILOVER_RETRIES => 5, FAILOVER_DELAY => 5);

EXECUTE DBMS_SERVICEコマンドを正常に実行するには、1行で入力してください。

注意:

DBMS_SERVICEパッケージの詳細は、Oracle Database PL/SQLパッケージおよびタイプのリファレンスを参照してください。

11.2データベースを使用する場合は、11gリリース2 (11.2)用のOracle Database管理者ガイドのSRVCTLを使用したデータベース・サービスの作成と削除に関する説明の手順に従います。

8.2.5.3 透過的アプリケーション・フェイルオーバー(TAF)の検証

ここでは、すでに設定されている透過的アプリケーション・フェイルオーバー(TAF)構成を検証する方法について説明します。

Oracle Internet Directoryプロセスの起動後、V$SESSION_VIEWのFAILOVER_TYPE、FAILOVER_METHOD、およびFAILED_OVER列を問い合せて、接続されているクライアントおよびそのTAFステータスを取得できます。

たとえば、次のSQL文を使用して、TAFが正しく構成されていることを検証します。

SELECT MACHINE, FAILOVER_TYPE, FAILOVER_METHOD, FAILED_OVER, COUNT(*)
FROM V$SESSION
GROUP BY MACHINE, FAILOVER_TYPE, FAILOVER_METHOD, FAILED_OVER;

フェイルオーバー前の出力は次のようになります。

MACHINE              FAILOVER_TYPE FAILOVER_M  FAI   COUNT(*)
-------------------- ------------- ---------- ---- ----------
oidhost1             SELECT        BASIC       NO          11
oidhost1             SELECT        BASIC       NO           1

フェイルオーバー後の出力は次のようになります。

MACHINE              FAILOVER_TYPE FAILOVER_M  FAI   COUNT(*)
-------------------- ------------- ---------- ---- ----------
oidhost2             SELECT        BASIC       NO          11
oidhost2             SELECT        BASIC       NO           1

8.2.5.4 ロード・バランサの仮想サーバー名とポートの構成

この項では、Oracle Identity Managementの高可用性環境をデプロイするためのネットワークの前提条件について説明します。

8.2.5.4.1 ロード・バランサ

Oracle Identity Managementソフトウェア・スタック内のコンポーネントを高可用性構成にデプロイする場合は、すべてのコンポーネントにハードウェア・ロード・バランサが必要です。次の機能を備えたハードウェア・ロード・バランサをお薦めします。

仮想ホスト名を介した実サーバー・プールへのトラフィックのロード・バランシング機能

クライアントは、仮想ホスト名を使用して(実ホスト名を使用するかわりに)、サービスにアクセスします。これにより、ロード・バランサは、プール内のサーバーに対するリクエストをロード・バランシングできます。
ポート変換の構成: ポート変換では、1つのポートで受信した受信リクエストの、別のポートで実行されているサーバー・プロセスへのルーティングが可能です。たとえば、ポート80で受信したリクエストをポート7777にルーティングできます。
プロトコル変換: ロード・バランサには、異なるプロトコルを実行するシステム間のプロトコル変換機能が必要です。これにより、発行元デバイスとターゲット指定されたホストに関連付けられているネイティブ・プロトコル・スタックが異なる場合も、あるネットワークに接続しているユーザーが別のネットワーク上のホストにアクセスできます。たとえば、HTTPSリクエストを受信して、HTTPリクエストを送信することができます。
SSLアクセラレーション: SSLアクセラレーションは、SSLトランザクションで実行され、プロセッサを集中的に使用する公開鍵暗号化アルゴリズムを、ハードウェア・アクセラレータにオフロードする方法です。
ポート(HTTP、HTTPS、LDAP、LDAPS)の監視
仮想サーバーとポートの構成

外部ロード・バランサの仮想サーバー名とポートを構成する機能。さらに、仮想サーバー名とポートは次の要件を満たしている必要があります。
- ロード・バランサには複数の仮想サーバーを構成できる必要があります。各仮想サーバーに対し、ロード・バランサには2つ以上のポートでトラフィック管理を構成できることが必要です。たとえば、Oracle Internet Directoryクラスタでは、LDAPおよびLDAPSトラフィック用の仮想サーバーとポートでロード・バランサを構成する必要があります。
- 仮想サーバー名をIPアドレスに関連付け、DNSに含める必要があります。クライアントは、仮想サーバー名を介してロード・バランサへアクセスできる必要があります。
ノード障害を検出し、障害が発生したノードへのトラフィックのルーティングを即座に停止する機能
リソースの監視/ポートの監視/プロセス障害検出

ロード・バランサは、サービスおよびノードの障害を通知などの方法を通じて検出し、障害が発生したノードへの非Oracle Netトラフィックの送信を停止できる必要があります。ロード・バランサに障害の自動検出機能がある場合は、それを使用する必要があります。
フォルト・トレラント・モード

ロード・バランサをフォルト・トラレント・モードに構成することを強くお薦めします。
その他

トラフィックの転送先となるバックエンド・サービスが使用不可の場合に、即座にコール元クライアントに戻るようロード・バランサの仮想サーバーを構成しておくことをお薦めします。この構成は、クライアント・マシンのTCP/IP設定に基づいてタイムアウト後にクライアント側で接続を切断する構成よりも推奨されます。
スティッキーなルーティング機能

CookieまたはURLに基づいたコンポーネントへのスティッキーな接続を維持する機能

表8-2は、Oracle Identity Managementの高可用性環境で外部ロード・バランサに使用する仮想サーバー名を示しています。

表8-2 外部ロード・バランサの仮想サーバー名

コンポーネント	仮想サーバー名
Oracle Internet Directory	oid.mycompany.com
Oracle Virtual Directory	ovd.mycompany.com
Oracle Identity Federation	oif.mycompany.com
Oracle Directory Services Managerコンソール	admin.mycompany.com

8.2.5.4.2 仮想サーバー名

この項では、この章で説明する高可用性デプロイメントの設定で推奨される仮想サーバー名について説明します。

仮想サーバー名に対応するIPアドレスが設定されていることと、仮想サーバー名がドメイン・ネーム・システム(DNS)に登録されていることを確認します。Oracle Fusion Middlewareを実行するコンピュータは、これらの仮想サーバー名を解決できることが必要です。

oid.mycompany.com

この仮想サーバーは、ディレクトリ層のOracle Internet DirectoryサーバーへのすべてのLDAPトラフィックのアクセス・ポイントとして機能します。SSLポートおよび非SSLポートの両方へのトラフィックが構成されます。クライアントは、SSLの場合はアドレスoid.mycompany.com:636、非SSLの場合はoid.mycompany.com:389を使用してこのサービスにアクセスします。

OIDHOST1およびOIDHOST2上のOracle Internet Directoryプロセスのハートビートを監視します。OIDHOST1またはOIDHOST2上でOracle Internet Directoryプロセスが停止した場合、あるいはホストOIDHOST1またはホストOIDHOST2のいずれかで障害が発生した場合、ロード・バランサは障害が発生していないコンピュータへのLDAPトラフィックのルーティングを継続する必要があります。

ovd.mycompany.com

この仮想サーバーは、ディレクトリ層のOracle Virtual DirectoryサーバーへのすべてのLDAPトラフィックのアクセス・ポイントとして機能します。SSLポートおよび非SSLポートの両方へのトラフィックが構成されます。クライアントは、SSLの場合はアドレスovd.mycompany.com:7501、非SSLの場合はovd.mycompany.com:6501を使用してこのサービスにアクセスします。

OVDHOST1およびOVDHOST2上のOracle Virtual Directoryプロセスのハートビートを監視します。OVDHOST1またはOVDHOST2上でOracle Virtual Directoryプロセスが停止した場合、あるいはホストOVDHOST1またはホストOVDHOST2のいずれかで障害が発生した場合、ロード・バランサは障害が発生していないコンピュータへのLDAPトラフィックのルーティングを継続する必要があります。

oif.mycompany.com

この仮想サーバーは、アプリケーション層のOracle Identity FederationサーバーへのすべてのHTTPトラフィックのアクセス・ポイントとして機能します。

8.3 Oracle Internet Directoryの高可用性

この項では、Oracle Internet Directoryの概要、およびOracle Internet Directoryの高可用性環境の設計とデプロイ方法について説明します。

この項の内容は次のとおりです。

第8.3.1項「Oracle Internet Directoryコンポーネント・アーキテクチャ」
第8.3.2項「Oracle Internet Directoryの高可用性の概要」
第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」
第8.3.4項「高可用性を最大化するOracle Internet Directoryデプロイメント(マルチマスター・レプリケーション)の構成」
第8.3.5項「Oracle Internet Directoryの高可用性の検証」
第8.3.6項「Oracle Internet Directoryのフェイルオーバーおよび予想される動作」
第8.3.7項「Oracle Internet Directoryの高可用性のトラブルシューティング」
第8.3.8項「Oracle Internet Directoryの高可用性に関するその他の問題」

8.3.1 Oracle Internet Directoryコンポーネント・アーキテクチャ

Oracle Internet Directoryは、Directory Integration Platform、Oracle Directory Services Manager、JPSなどのOracleコンポーネント、およびOracle以外のコンポーネントから使用可能なLDAPストアです。これらのコンポーネントは、LDAPまたはLDAPSプロトコルを使用してOracle Internet Directoryに接続します。

Oracleディレクトリ・レプリケーション・サーバーはLDAPを使用して、Oracleディレクトリ(LDAP)サーバー・インスタンスと通信します。データベースとの通信には、すべてのコンポーネントでOCI/Oracle Net Servicesを使用します。Oracle Directory Services Managerおよびコマンドライン・ツールは、LDAPを介してOracleディレクトリ・サーバーと通信します。

図8-2は、高可用性アーキテクチャのOracle Internet Directoryを示しています。

図8-2 高可用性アーキテクチャのOracle Internet Directory

「図8-2 高可用性アーキテクチャのOracle Internet Directory」の説明

Oracle Internet Directoryのノードは、同じディレクトリ・ストアに接続された1つ以上のディレクトリ・サーバー・インスタンスで構成されます。ディレクトリ・ストア、つまりディレクトリ・データのリポジトリは、Oracle Databaseになります。

図8-2は、単一ノードで実行される様々なディレクトリ・サーバーの要素とその関係を示しています。

Oracle Net Servicesは、Oracle Databaseサーバーと次に示すものとの間のすべての接続に使用されます。

Oracleディレクトリ・サーバーの非SSLポート(このトポロジでは389)
Oracleディレクトリ・サーバーのSSL対応ポート(このトポロジでは636)
OIDモニター

LDAPは、ディレクトリ・サーバーと次に示すものとの間の接続に使用されます。

Oracle Directory Services Manager
Oracleディレクトリ・レプリケーション・サーバー

Oracleディレクトリ・サーバー・インスタンスとOracleディレクトリ・レプリケーション・サーバーは、オペレーティング・システムを経由してOIDモニターに接続します。Oracle Internet Directoryのレプリケーションの詳細は、第8.3.4項「高可用性を最大化するOracle Internet Directoryデプロイメント(マルチマスター・レプリケーション)の構成」を参照してください。

図8-2に、Oracle Internet Directoryのノードの主要な要素を示します。

表8-3 Oracle Internet Directoryのノード

要素	説明
Oracleディレクトリ・サーバー・インスタンス	LDAPサーバー・インスタンスまたはディレクトリ・サーバー・インスタンスとも呼びます。特定のTCP/IPポートをリスニングする単一のOracle Internet Directoryのディスパッチャ・プロセスを介してディレクトリ・リクエストに応じます。異なるポートをリスニングする1つ以上のディレクトリ・サーバー・インスタンスが同一ノードに存在する場合もあります。
Oracleディレクトリ・レプリケーション・サーバー	レプリケーション・サーバーとも呼びます。別のOracle Internet Directoryシステムにあるレプリケーション・サーバーに対する変更の追跡と送信を行います。1つのノードのレプリケーション・サーバーは、1つに限られます。レプリケーション・サーバーを構成するかどうかは選択できます。同一データベースを使用するOracle Internet Directoryに複数のインスタンスがある場合、そのうちの1つのみがレプリケーションを実行できます。これは、Oracle Internet Directoryインスタンスが複数のノードに存在する場合も同様です。レプリケーション・サーバー・プロセスは、Oracle Internet Directory内のプロセスです。レプリケーションが構成されている場合にのみ実行されます。 Oracle Internet Directoryのレプリケーションの詳細は、第8.3.4項「高可用性を最大化するOracle Internet Directoryデプロイメント(マルチマスター・レプリケーション)の構成」を参照してください。
Oracle Databaseサーバー	ディレクトリ・データを格納します。ディレクトリ専用のデータベースとすることを強くお薦めします。データベースは、ディレクトリ・サーバー・インスタンスと同じノードに配置できます。
Oracle Process Manager and Notification Server(OPMN)	Oracle Fusion Middlewareのコンポーネントの1つとしてOracle Internet Directoryを管理します。OPMNは、`ORACLE_INSTANCE/opmn.xml`のOIDコンポーネント・スニペットのディレクティブを使用して、必要に応じてOIDMONとOIDCTLを呼び出します。コマンドライン・ユーティリティは、`opmnctl`です。
OIDモニター(OIDMON)	LDAPサーバーとレプリケーション・サーバー・プロセスの起動、監視および終了を行います。oidctl、opmnctlなどのプロセス管理コマンドを呼び出す場合、またはFusion Middleware Controlを使用してサーバー・インスタンスを起動または停止する場合は、このプロセスによってコマンドが解釈されます。 OIDMONはサーバーを監視し、異常のため実行を停止した場合はそのサーバーを再起動します。 OIDMONは、OIDLDAPDのデフォルト・インスタンスを起動します。OIDCTLコマンドを使用してOIDLDAPDのデフォルト・インスタンスが停止された場合、OIDMONがそのインスタンスを停止します。OPMNによってOIDMONが再起動された場合、OIDMONはデフォルト・インスタンスを再起動します。 OIDモニターのアクティビティはすべて、ファイル`ORACLE_INSTANCE/diagnostics/log/OID/component_id/oidmon-xxxx.log`に記録されます。このファイルは、Oracle Internet Directoryサーバー・ファイル・システムにあります。 OIDモニターは、オペレーティング・システムのメカニズムを介して、サーバーの状態をチェックします。
OID制御ユーティリティ(OIDCTL)	Oracle Internet Directoryサーバーの表にメッセージ・データを配置して、OIDモニターと通信します。このメッセージ・データには、各Oracleディレクトリ・サーバー・インスタンスの実行に必要な構成パラメータが含まれます。通常は、コマンドラインからのレプリケーション・サーバーの停止と起動のみに使用されます。

8.3.1.1 Oracle Internet Directoryコンポーネントの特性

Oracle Internet Directoryは、OracleのLDAPストアであり、データベースを永続ストアとして使用するCベースのコンポーネントです。これはステートレスなプロセスで、すべてのデータと構成情報の大部分をバックエンド・データベースに格納します。データベースへの接続には、Oracle Net Servicesを使用します。

この項の内容は次のとおりです。

第8.3.1.1.1項「ランタイム・プロセス」
第8.3.1.1.2項「プロセスのライフサイクル」
第8.3.1.1.3項「リクエスト・フロー」
第8.3.1.1.4項「構成アーティファクト」
第8.3.1.1.5項「外部依存性」
第8.3.1.1.6項「Oracle Internet Directoryのログ･ファイル」

8.3.1.1.1 ランタイム・プロセス

Oracle Internet Directoryには、次のランタイム・プロセスがあります。

OIDLDAPD: Oracle Internet Directoryのメイン・プロセスです。OIDLDAPDは、ディスパッチャ・プロセスとサーバー・プロセスで構成されます。ディスパッチャ・プロセスは、起動時にOIDLDAPDサーバー・プロセスを作成します。各OIDLDAPDディスパッチャ・プロセスには、リクエストを受信するための固有のSSLポートおよび非SSLポートがあります。デフォルトでは、各OIDインスタンスにはディスパッチャとサーバー・プロセスが1つずつあります。1つのインスタンスに作成されるサーバー・プロセスの数は、orclserverprocs属性によって制御されます。
OIDMON: OIDMONは、Oracle Internet Directoryインスタンスのプロセス制御を行います。このプロセスは、Oracle Internet Directoryの起動、停止および監視を行います。OIDMONは起動時にOIDLDAPDディスパッチャ・プロセスを作成し、インスタンスにレプリケーションが構成されている場合はレプリケーション・サーバー・プロセスも作成します。
レプリケーション・サーバー・プロセス: Oracle Internet Directory内のプロセスで、レプリケーションが構成されている場合にのみ実行されます。レプリケーション・サーバー・プロセスは、起動時にOIDMONによって作成されます。
OPMN: Oracle Process Manager and Notification Server(OPMN)は、Oracle Internet DirectoryなどのOracle Fusion Middlewareコンポーネントを監視するデーモン・プロセスです。Oracle Enterprise Manager Fusion Middleware ControlはOPMNを使用して、Oracle Internet Directoryのインスタンスの停止と起動を行います。Oracle Internet Directoryコンポーネントの停止と起動をコマンドラインから行う場合は、OPMNに対するコマンドライン・インタフェースであるopmnctlを使用します。

OPMNは、OIDMONを直接、起動、停止、再起動、および監視します。サーバー・プロセスを直接起動または停止することはありません。

8.3.1.1.2 プロセスのライフサイクル

OPMNは、デーモン・プロセスOIDMON(ORACLE_HOME/bin/oidmon)を直接、起動、停止、再起動、および監視します。OIDMONは、Oracle Internet Directoryインスタンスのプロセスを制御します。11gリリース1(11.1.1)では、同一ノードの同一Oracleインスタンスに複数のOracle Internet Directoryインスタンスを設定できます。詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。

プロセス・ステータス表

Oracle Internet Directoryのプロセス情報は、ODSデータベース・ユーザー・スキーマのODS_PROCESS_STATUS表で管理されます。OIDMONは、指定された間隔で表の内容を読み取り、その表の内容が伝える目的に従って動作します。この間隔は、OIDMON起動時に使用されたスリープ・コマンド・ラインの引数の値によって制御されます。デフォルト値は10秒です。

Oracle Internet Directoryの起動と停止

Oracle Enterprise Manager Fusion Middleware Controlまたはコマンドopmnctlを使用して、Oracle Internet Directoryインスタンスの起動と停止ができます。

プロセスの起動

Oracle Internet Directoryの起動プロセスは次のとおりです。

起動コマンドを受信すると、OPMNはopmn.xmlファイルで指定された適切な引数を使用してoidmon起動コマンドを発行します。
これにより、OIDMONは、ODS_PROCESS_STATUS表内の情報で状態の値が1または4、かつORACLE_INSTANCE、COMPONENT_NAME、INSTANCE_NAMEの値がOPMNによって設定された環境パラメータと一致するすべてのOracle Internet Directoryサーバー・インスタンスを起動します。

プロセスの停止

Oracle Internet Directoryの停止プロセスは次のとおりです。

停止コマンドを受信すると、OPMNは、oidmon停止コマンドを発行します。
ODS_PROCESS_STATUS表内で環境パラメータORACLE_INSTANCE、COMPONENT_NAME、およびINSTANCE_NAMEに一致する各行に対して、oidmon停止コマンドがOIDMON、OIDLDAPD、およびOIDREPLDの各プロセスを停止し、状態を4に更新します。

監視

OPMNは、サーバー・プロセスを直接監視しません。OPMNはOIDMONを監視し、OIDMONがサーバー・プロセスを監視します。イベントは次のとおりです。

OPMNを介してOIDMONを起動すると、OPMNはOIDMONを起動し、OIDMONが実行中であることを確認します。
なんらかの理由でOIDMONが停止すると、OPMNによって再起動されます。
OIDMONは、Oracle Internet Directoryディスパッチャ・プロセス、LDAPサーバー・プロセス、およびレプリケーション・サーバー・プロセスのステータスを監視し、このステータスをOPMNとOracle Enterprise Manager Fusion Middleware Controlで使用できるようにします。

8.3.1.1.3 リクエスト・フロー

Oracle Internet Directoryプロセスが起動すると、クライアントはLDAPまたはLDAPSプロトコルを使用してOracle Internet Directoryにアクセスします。Oracle Internet Directoryインスタンスの起動時に、他の実行インスタンスへの影響はありません。

Oracle Internet Directoryリスナー/ディスパッチャは、起動時に構成された数のサーバー・プロセスを起動します。サーバー・プロセスの数は、インスタンス固有の構成エントリ内のorclserverprocs属性によって制御されます。orclserverprocsのデフォルト値は1です。Oracle Internet Directoryでは複数のサーバー・プロセスによって、マルチ・プロセッサ・システムのメリットが得られます。

Oracle Internet Directoryのディスパッチャ・プロセスは、Oracle Internet Directoryのサーバー・プロセスに対するLDAP接続をラウンドロビン方式で送信します。各サーバーで受入れ可能なLDAP接続の最大数は、デフォルトでは1024です。この数は、インスタンス固有の構成エントリ内の属性orclmaxldapconnsを変更して増やせます。このDNの形式は次のとおりです。

cn=componentname,cn=osdldapd,cn=subconfigsubentry

各サーバー・プロセスからのデータベース接続は、インスタンス構成パラメータORCLMAXCCおよびORCLPLUGINWORKERSに設定された値に応じてサーバーの起動時に作成されます。各サーバーで作成されるデータベース接続の数は、ORCLMAXCC + ORCLPLUGINWORKERS + 2と等しくなります。Oracle Internet Directoryのサーバー・プロセスはOracle Net Servicesを介してOracle Databaseサーバーと通信します。Oracle Net Servicesリスナー/ディスパッチャは、リクエストをOracle Databaseに中継します。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。

8.3.1.1.4 構成アーティファクト

記憶域の配置にはDB接続文字列が必要です。TNSNAMES.ORAは、ORACLE_INSTANCE/configに保存されます。ウォレットはORACLE_INSTANCE/OID/adminに保存されます(DB ODSユーザー・パスワードはウォレットに格納されます)。

8.3.1.1.5 外部依存性

Oracle Internet Directoryでは、データと同様に構成情報の格納にもOracle Databaseを使用します。この情報の格納にはODSスキーマを使用します。

8.3.1.1.6 Oracle Internet Directoryのログ・ファイル

Oracle Internet Directoryのログ・ファイルは、次のディレクトリにあります。

ORACLE_INSTANCE/diagnostics/log/OID

表8-4は、Oracle Internet Directoryのプロセスとログ・ファイル名、およびプロセスの場所を示しています。

表8-4 Oracle Internet Directoryのプロセス・ログ・ファイルの場所

プロセス	ログ・ファイルの場所
ディレクトリ・サーバー(oidldapd)	`ORACLE_INSTANCE`/`diagnostics/logs/OID/componentName/oidldapd00sPID-XXXX.log`。ここで: 00はインスタンス番号です(デフォルトは00)。 sはサーバーを表します。 PIDはサーバー・プロセス識別子です。 XXXXは、0000からorclmaxlogfilesconfiguredまでの数値です。orclmaxlogfilesconfigured値に達すると、再び0000から開始されます。この開始時にはファイルは0バイトに切り捨てられます。 `ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidstackInstNumberPID.log`
LDAPディスパッチャ(oidldapd)	`ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidldapd00-XXXX.log`。ここで: 00はインスタンス番号です(デフォルトは00)。 XXXXは、0000からorclmaxlogfilesconfiguredまでの数値です。
OIDモニター(OIDMON)	`ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidmon-XXXX.log`。ここで: XXXXは、0000からorclmaxlogfilesconfiguredまでの数値です。
ディレクトリ・レプリケーション・サーバー(oidrepld)	`ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidrepld-XXXX.log`。ここで: XXXXは、0000からorclmaxlogfilesconfiguredまでの数値です。

ログ・ファイルを使用したOracle Internet Directoryの問題のトラブルシューティングの詳細は、第8.3.7項「Oracle Internet Directoryの高可用性のトラブルシューティング」を参照してください。

8.3.2 Oracle Internet Directoryの高可用性の概要

この項では、Oracle Internet Directoryを2ノードのクラスタ構成による高可用性で使用する場合の概要について説明します。前提条件については、第8.3.2.3項「Oracle Internet Directoryの前提条件」を、2ノードのクラスタ構成を設定するための固有の手順については、第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」を参照してください。

8.3.2.1 Oracle Internet Directoryの高可用性アーキテクチャ

図8-3は、Oracle Internet Directoryクラスタ構成のアクティブ/アクティブ構成における高可用性アーキテクチャを示しています。

図8-3 Oracle Internet Directoryクラスタ構成の高可用性アーキテクチャ

「図8-3 Oracle Internet Directoryクラスタ構成の高可用性アーキテクチャ」の説明

図8-3では、クラスタ構成の高可用性アーキテクチャのディレクトリ層にOracle Internet Directoryがあります。クラスタ化はインストール時に設定されます。ロード・バランシング・ルーターによってLDAPクライアント・リクエストが2つのOracle Internet Directoryインスタンスにルーティングされます。この2つのインスタンスは、OIDHOST1とOIDHOST2上にあり、クラスタ化されています。

Oracle RACデータベースをセキュリティ・メタデータ・リポジトリとして使用しているOracle Internet Directoryインスタンスには、透過的アプリケーション・フェイルオーバー(TAF)により接続されます。Oracle RACデータベースは、TNSNAMES.ORAに構成されます。高可用性イベント通知は、Oracle RACインスタンスが使用不可となった場合の通知に使用されます。Oracle RACでOracle Internet Directoryを使用する方法の詳細は、第4.1.7.1項「Oracle Internet Directory」を参照してください。

8.3.2.1.1 クラスタの起動と停止

クラスタ構成では、OPMNコマンドにより各Oracle Internet Directoryインスタンスが起動されます。起動時にOracle Internet Directoryへの影響はありません。Oracle Internet Directoryの起動時に新しいデータベース接続が作成されます。

OPMNを使用してクラスタを停止すると、Oracle Internet Directoryは、データベースとの接続を切断し、Oracle Internet Directoryサーバーが停止します。

8.3.2.1.2 クラスタワイドの構成変更

構成の変更は、クラスタ構成内のすべてのインスタンスに対してクラスタ・レベルで行われます。同じデータベースを共有するクラスタ構成内のノードはすべて同じ構成情報を読み込みます。OIDMONプロセスは、各Oracle Internet Directoryサーバーの構成変更をポーリングし、構成変更に関するデータベース・リポジトリを更新します。OIDMONおよびその他のOracle Internet Directoryサーバーは、データベース・リポジトリから変更を取得します。このようにして、クラスタ・メンバー・レベルで加えられた変更はすべて、クラスタ内のすべてのOracle Internet Directoryサーバーに伝播されます。

Oracle Internet Directory LDAPサーバーの構成に必要なインスタンス固有の構成属性は、次のLDAPエントリに格納されます。

cn=<component-name>,cn=configsets,cn=osdldapd,cn=subconfigsubentry

Oracle Internet Directoryサーバー構成の各面(サーバー数、データベース接続、サイズ制限、時間制限など)は、インスタンス固有のサーバー構成エントリに含まれます。

クラスタ内のすべてのOracle Internet Directoryインスタンスに共通の構成属性は、次のLDAPエントリに格納されます。

cn=dsaconfig,cn=configsets,cn=osdldapd,cn=oracle internet directory

クラスタ内の各Oracle Internet Directoryインスタンスに対してインスタンス固有のサーバー構成属性を保持する場合は、インストール時/構成時に各Oracle Internet Directoryインスタンスに対して個別のOracle Internet Directoryコンポーネント名を選択する必要があります(ノード1はoid1、ノード2はoid2など)。この場合、構成エントリは、それぞれcn=oid1,cn=osdldapd,cn=subconfigsubentryおよびcn=oid2,cn=osdldapd,cn=subconfigsubentryとなり、Oracle Internet Directoryインスタンスごとに更新する必要があります。

一方、クラスタ内のOracle Internet Directoryインスタンスの両方に共通のサーバー構成属性セットを使用するように選択した場合は、Oracle Internet Directoryインスタンスの両方に同じOracle Internet Directoryコンポーネント名を選択する必要があります(Oracle Internet Directoryのノード1とノード2の両方にoid1を使用するなど)。この場合、cn=oid1,cn=osdldapd,cn=subconfigsubentryのように、共通の構成エントリになります。

Oracle Internet Directory LDAPサーバー・インスタンスは、スキーマ、ACL、パスワード・ポリシーなど、特定のLDAPメタデータ・アーティファクトをキャッシュします。任意のノードにある複数のOracle Internet Directory LDAPサーバー・プロセスは、各ノードのOracle Internet Directoryで管理される共有メモリー・セグメントに関して構築されるセマンティックを介して、キャッシュの同期を管理します。OIDMONは、ノード間の共有メモリー・セグメントの同期を保証することで、ノード間のキャッシュの同期を管理します。これはOracle Internet Directoryデータベースを使用して実現されます。

Oracle Internet Directoryでは、メタデータもキャッシュされ、メタデータの変更によって、ノード間の通知がトリガーされます。メタデータの変更にはldapmodifyユーティリティを使用します。メタデータ変更に関するldapmodifyリクエストを取得したOracle Internet Directoryサーバーは、他のOracle Internet Directoryサーバーに対してメタデータの変更を通知します(OIDMONを含む)。OIDMONは、他のノードのOIDMONにメタデータの変更を通知する役割を持ちます。

8.3.2.2 障害からの保護および予想される動作

この項では、Oracle Internet Directoryクラスタ構成における様々な障害からの保護について説明します。

8.3.2.2.1 Oracle Internet Directoryプロセスの障害

OIDMONは、Oracle Internet Directoryプロセスを監視します。Oracle Internet Directoryプロセスが停止すると、OIDMONが再起動を試行します。

OPMNはOIDMONを監視します。OIDMONが停止すると、OPMNがOIDMONを再起動します。

Oracle Internet Directoryプロセスを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってクラスタ構成内のOracle Internet Directoryインスタンスの障害が検出され、障害が発生していないインスタンスにLDAPトラフィックがルーティングされます。障害が発生した場合、LDAPクライアントによってトランザクションが再試行されます。トランザクションの途中でインスタンスに障害が発生した場合は、そのトランザクションはデータベースにコミットされません。障害が発生したインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、すべてのインスタンスにリクエストがルーティングされます。

クラスタ構成内のOracle Internet Directoryインスタンスが停止すると、ロード・バランシング・ルーターによってこれが検出され、障害が発生していないインスタンスにリクエストがルーティングされます。

2ノードのクラスタ構成で一方のOracle Internet Directoryインスタンスに障害が発生した場合(またはインスタンスをホストするコンピュータの一方に障害が発生した場合)は、ロード・バランシング・ルーターによって、障害が発生していないOracle Internet Directoryインスタンスにクライアントがルーティングされます。

8.3.2.2.2 障害発生時に予想されるクライアント・アプリケーションの動作

通常、Oracle Internet Directoryサーバーの障害は、Oracle Internet Directoryクライアントに対して透過的です。これは、ロード・バランサを介してクライアントへのルーティングが継続されるためです。通常、外部ロード・バランサはOracle Internet Directoryプロセスのヘルス・チェックを実行するように構成されます。プロセスが利用不可であることをロード・バランサが検出する前にリクエストが受信されると、クライアント・アプリケーションでエラーを受信することがあります。クライアント・アプリケーションが再試行した場合、ロード・バランサは、これを正常なOracle Internet Directoryインスタンスにルーティングし、リクエストは正常に行われます。

Oracle Internet Directoryのアクティブ/アクティブ構成では、フェイルオーバー時にLDIFファイルを介してldapadd操作を実行していると、ロード・バランサ・ホストとポートを介して実行している場合でも、この操作がエラーになることがあります。これは、Oracle Internet Directoryが一瞬停止するためです。ほとんどのアプリケーションには、固定回数の接続を再試行する機能があるためこの問題は発生しません。

8.3.2.2.3 外部依存性の障害

この項では、Oracle Internet Directoryに利用できるデータベース障害からの保護について説明します。

デフォルトでは、Oracle Internet DirectoryのORACLE_INSTANCEで構成されたtnsnames.oraファイルによって、Oracle Internet Directoryからデータベースへの接続はOracle RACデータベース・インスタンス間でロード・バランシングされることが保証されます。たとえば、Oracle Internet Directoryインスタンスが4つのデータベース接続を確立した場合、各データベース・インスタンスに対して接続が2つ確立されます。

Oracle Internet Directoryは、データベースの高可用性イベント通知を使用してデータベースのノード障害を検出し、障害が発生していないノードへフェイルオーバーします。

透過的アプリケーション・フェイルオーバー(TAF)が構成されている場合は、データベース・インスタンスの障害発生時に、Oracle Internet Directoryが正常に稼働しているデータベース・インスタンスにデータベース接続をフェイルオーバーします。これにより、フェイルオーバー時に行われていたLDAPの検索操作が継続されます。

透過的アプリケーション・フェイルオーバー(TAF)と高可用性イベント通知の両方が構成されている場合は、フェイルオーバーには透過的アプリケーション・フェイルオーバー(TAF)が使用され、高可用性イベント通知は、イベントの記録にのみ使用されます。高可用性イベント通知は、OIDLDAPDログ・ファイルに記録されます。

Oracle Internet Directoryには、失効したデータベース接続を検出するメカニズムもあり、これにより、データベースへの再接続が可能になります。

いずれのデータベース・インスタンスも使用できない状態が長く続いた場合は、Oracle Internet DirectoryのLDAPおよびREPLの各プロセスは自動的に停止します。ただし、OIDMONとOPMNは、データベース・インスタンスの可用性に対してpingを継続し、データベースが使用可能になると、OIDMONによってOracle Internet Directoryのプロセス(LDAPとREPL)が自動的に再起動されます。

すべてのデータベース・インスタンスが停止している場合でも、OIDMONは実行を継続し、opmnctl statusコマンドによってOIDLDAPDインスタンスの停止が示されます。データベース・インスタンスが利用可能になると、OIDMONは構成されているすべてのOracle Internet Directoryインスタンスを再起動します。

Oracle Internet Directoryのアクティビティに起因するデータベースのフェイルオーバーはすべて、OIDMONログ・ファイルに記録されます。

8.3.2.3 Oracle Internet Directoryの前提条件

この項では、Oracle Internet Directoryの高可用性アーキテクチャを設定するための前提条件について説明します。

8.3.2.3.1 Oracle Internet Directoryノード間での時間の同期

高可用性環境でOracle Internet Directoryを設定する前に、各Oracle Internet Directoryのノードの時間が同期していることを確認しておく必要があります。

グリニッジ標準時を使用して全ノードの時間を同期し、ノード間で250秒を超える差異が発生しないようにします。

OIDモニターが2つのノード間で250秒を超える時間の差異を検出すると、遅れているノードのOIDモニターがそのノード上のすべてのサーバーを停止します。この問題を修正するには、遅れているノードの時間を正しい時間に同期させます。OIDモニターはシステム時間の変更を自動的に検出して、そのノードのOracle Internet Directoryサーバーを起動します。

2つ以上のノードがある場合は同様の動作が続きます。たとえば、3つのノードがあり、1つ目のノードが2つ目のノードより150秒進み、2つ目のノードは3つ目のノードより150秒進んでいるとします。この場合、3つ目のノードは最初のノードから300秒遅れているため、OIDモニターは時間が同期するまで3つ目のノードのサーバーを起動しません。

8.3.2.3.2 RCUを使用したリポジトリへのOracle Internet Directoryスキーマの作成

OIDHOST1およびOIDHOST2にOracle Internet Directoryインスタンスをインストールする前に、リポジトリ作成ユーティリティ(RCU)の最新バージョンを使用して、Oracle Identity ManagementおよびManagement Serviceで使用するスキーマのコレクションを作成します。

最新バージョンのRCUの取得および実行の詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。

次の手順に従って、RCUを実行し、Oracle RACデータベース・リポジトリにアイデンティティ管理スキーマを作成します。

次のコマンドを発行します。

prompt> RCU_HOME/bin/rcu &
「ようこそ」画面で「次へ」をクリックします。
「リポジトリの作成」画面で、「作成」操作を選択してコンポーネント・スキーマを既存のデータベースにロードします。

「次へ」をクリックします。
「データベース接続の詳細」画面で、既存のデータベースの接続情報を次のように入力します。

データベース・タイプ: Oracle Database

ホスト名: データベースを実行しているコンピュータの名前。Oracle RACデータベースの場合は、VIP名またはノード名を指定します。例: INFRADBHOST1-VIPまたはINFRADBHOST2-VIP

ポート: データベースのポート番号。例: 1521

サービス名: データベースのサービス名。例: oid.mycompany.com

ユーザー名: SYS

パスワード: SYSユーザーのパスワード

ロール: SYSDBA

「次へ」をクリックします。
「コンポーネントの選択」画面で、新しい接頭辞を作成して、このデプロイメントに関連するコンポーネントを選択します。

接頭辞の新規作成: idm(「コンポーネント」フィールドで「アイデンティティ管理」(Oracle Internet Directory - ODS)しか選択していない場合は、接頭辞の入力はオプションです)。

コンポーネント: 「アイデンティティ管理」(Oracle Internet Directory - ODS)を選択します。その他のスキーマは選択を解除します。

「次へ」をクリックします。
「スキーマ・パスワード」画面で、主要なスキーマ・ユーザーおよび追加(補助)のスキーマ・ユーザーのパスワードを入力します。

「次へ」をクリックします。
「表領域のマップ」画面で、コンポーネントの表領域を選択します。
「サマリー」画面で「作成」をクリックします。
「完了サマリー」画面で「閉じる」をクリックします。

8.3.2.3.3 Oracle Internet Directory用のロード・バランサの仮想サーバー名

Oracle Internet Directoryを高可用性構成でデプロイする場合は、Oracle Internet Directoryインスタンスのフロントエンドに外部ロード・バランサを使用して、各種Oracle Internet Directoryインスタンス間のリクエストをロード・バランシングすることをお薦めします。

詳細は、第8.2.5.4項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。

8.3.3 Oracle Internet Directoryの高可用性の構成手順

Oracle Internet Directoryは、スタンドアロン・モードまたはWebLogic Serverドメインの一部として可用性の高い構成にデプロイできます。

Oracle Internet Directoryをコマンドライン・ツールで管理し、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerが必須ではないと判断される場合、スタンドアロン・モードのデプロイをお薦めします。後から、opmnctlコマンドを使用してリモートのWebLogic ServerドメインにスタンドアロンのOracle Internet Directoryインスタンスを登録できます。Oracle Enterprise Manager Fusion Middleware ControlとOracle Directory Services Managerを使用して、WebLogic Serverドメインで構成されたOracle Internet Directoryインスタンスを管理できます。

Oracle Internet Directoryをクラスタ・デプロイメント内に設定することをお薦めします。クラスタ化されたOracle Internet Directoryインスタンスは、同じOracle RACデータベース・リポジトリにアクセスします。

この項の内容は次のとおりです。

第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」
第8.3.3.2項「WebLogicドメインを使用しないOracle Internet Directoryの構成」

8.3.3.1 Oracle Fusion Middlewareコンポーネントのインストール

この章では、Oracle Identity Management用にWebLogic Server (WL_HOME)およびOracleホーム(ORACLE_HOME)に必要なバイナリをインストールする方法について説明します。

設定プロセスを開始する前に、リリース・ノートを読んで、インストールとデプロイメントに関して追加の考慮事項がないか確認することを強くお薦めします。

この項の内容は次のとおりです。

第8.3.3.1.1項「Oracle WebLogic Serverのインストール」
第8.3.3.1.2項「Oracle Fusion Middleware Identity Managementのインストール」
第8.3.3.1.3項「Oracle Identity Managementのアップグレード」

8.3.3.1.1 Oracle WebLogic Serverのインストール

このインストール手順では、最初にWebLogic Serverをインストールします。

最新バージョンのOracle Fusion Middlewareとともに使用するWebLogic Serverのバージョンは、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のインストール開始点の概要に関する説明を参照してください。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイドにあります。

Oracle WebLogic Serverインストーラを起動します。

次に、インストーラの手順に従ってWebLogic Serverをコンピュータにインストールします。

「ようこそ」画面で「次へ」をクリックします。
「ミドルウェア・ホーム・ディレクトリの選択」画面で、「新しいミドルウェア・ホームを作成する」を選択します。次に、Oracle WebLogicソフトウェアのインストール先となるコンピュータ上のディレクトリを選択します。

「ミドルウェア・ホーム・ディレクトリ」に、次の値を指定します。
```
/u01/app/oracle/product/fmw
```
「次へ」をクリックします。
「セキュリティ更新のための登録」画面で、「My Oracle Support」のユーザー名とパスワードを入力して、セキュリティ・アップデートが通知されるようにします。
「インストール・タイプの選択」画面では、完全インストールとカスタム・インストールのどちらを実行するかを指示するように求めるプロンプトが、インストール・プログラムによって表示されます。

「カスタム」を選択します。

「次へ」をクリックします。
「製品とコンポーネントの選択」画面で、「Oracle JRockit SDK」のみを選択し、「次へ」をクリックします。
「製品インストール・ディレクトリの選択」画面で、ディレクトリ/u01/app/oracle/fmw/wlserver_10.3を受け入れます。

「次へ」をクリックします。
「インストール・サマリー」画面に、インストール対象として選択したコンポーネントの一覧と、それらをインストールするために使用されるディスク領域の概算値が表示されます。

「次へ」をクリックします。
「インストール完了」画面で、「Quickstartの実行」チェック・ボックスの選択を解除します。

「完了」をクリックします。

8.3.3.1.2 アイデンティティ管理用のOracle Fusion Middlewareのインストール

次の手順は、Oracle Fusion Middlewareコンポーネントをインストールすることです。

注意:

インストールは共有記憶域で実行されるため、トポロジの残りのサーバーからは2つのMW_HOMEインストールにアクセスし、使用できます。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。

Linuxプラットフォームで、/etc/oraInst.locファイルが存在している場合には、その内容が正しいことを確認します。具体的には、インベントリ・ディレクトリが正しいこと、またそのディレクトリに対する書込み権限が付与されていることを確認します。/etc/oraInst.locファイルが存在しない場合、この手順をスキップできます。

Oracle Fusion Middlewareコンポーネント用のインストーラを起動します。

UNIXの場合は、次のコマンドを発行します。

HOST1> ./runInstaller

Windowsの場合は、setup.exeをダブルクリックします。

インストールを開始する前に、次の環境変数が設定されていないことを確認してください。

LD_ASSUME_KERNEL
ORACLE_INSTANCE

「インベントリ・ディレクトリの指定」画面で、次の操作を行います。

HOME/oraInventoryと入力します。HOMEは、インストールを実行するユーザーのホーム・ディレクトリです(この場所をお薦めします)。
インストールを実行するユーザーのOSグループを入力します。「次へ」をクリックします。

UNIXのインストールの場合は、画面の手順に従ってrootとしてcreateCentralInventory.shを実行します。

「OK」をクリックします。

次の手順を実行します。

Oracleインベントリ・ディレクトリの指定画面で、HOME/oraInventoryと入力します。HOMEは、インストールを実行するユーザーのホーム・ディレクトリです(この場所をお薦めします)。

インストールを実行するユーザーのOSグループを入力します。

「次へ」をクリックします。
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、インストール-構成しないを選択します。

「次へ」をクリックします。
「前提条件のチェック」画面で、チェックが正常に完了したことを確認してから、「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を入力します。

MW_HOME: MW_HOMEの値を入力します。例:
```
/u01/app/product/fmw
```
ドロップダウン・リストから、すでにインストールされているMiddlewareホームを選択します。「Oracleホーム」ディレクトリには、ディレクトリ名IDMを入力します。

「次へ」をクリックします。
「サマリー」画面で「インストール」をクリックします。

プロンプトが表示されたら、LinuxおよびUNIXインストールでは、rootユーザーとして、スクリプトoracleRoot.shを実行します。
「インストール完了」画面で「終了」をクリックします。

8.3.3.1.3 Oracle Identity Managementのアップグレード

この項では、Oracle Identity Managementソフトウェアをアップグレードする手順について説明します。詳細は、『Oracle Fusion Middlewareパッチ適用ガイド』のOracle Fusion Middlewareの最新パッチ・セットの適用に関する項を参照してください。

./runinstallerを実行してIDMアップグレード・インストーラを起動します。
「ようこそ」画面で「次へ」をクリックします。
「前提条件のチェック」画面で、「次へ」をクリックします。
「インストール場所の指定」画面で、Oracle MiddlewareホームへのパスとOracleホーム・ディレクトリの名前を入力します。
「インストール・サマリー」画面で、選択内容を確認して「インストール」をクリックします。
「インストールの進行状況」画面に、インストールの進行状況が示されます。

インストールが終了すると、oracleRoot.shの確認ダイアログ・ボックスが表示されます。このダイアログ・ボックスは、インストールを続行する前に構成スクリプトをrootユーザーとして実行する必要があることを示しています。確認ダイアログ・ボックスを開いたままにして、別のシェル・ウィンドウを開き、rootユーザーとしてログインして、スクリプト・ファイル/u01/app/oracle/product/fmw/id/oracleRoot.shを実行します。スクリプトが完了したら、確認ダイアログ・ボックスの「OK」をクリックします。
「インストール完了」画面で「終了」をクリックして終了します。

8.3.3.2 WebLogicドメインを使用しないOracle Internet Directoryの構成

この項では、WebLogic Serverドメインを使用せずにOracle Internet Directoryをデプロイする手順について説明します。

この項の項目は次のとおりです。

第8.3.3.2.1項「OIDHOST1でのOracle Internet Directoryの構成」
第8.3.3.2.2項「Oracle Identity Managementのインストーラによって割り当てられるOracle Internet Directoryのコンポーネント名」
第8.3.3.2.3項「追加ホストでのOracle Internet Directoryの構成(スケール･アウト)」
第8.3.3.2.4項「WebLogic ドメインへのOracle Internet Directoryの登録」

8.3.3.2.1 OIDHOST1でのOracle Internet Directoryの構成

スキーマ・データベースが実行中であり、RCUを使用してODSデータベース・スキーマをシードしてあることを確認してから、次の手順に従ってOIDHOST1上のOracle Internet Directoryインスタンスを構成します。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOIDHOST1にインストールされ、アップグレードされていることを確認します。
『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のトポロジによって使用される仮想サーバー名に関する項の説明に従って、ロード･バランサが構成されていることを確認してください。
使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート389と636がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

UNIXの場合:
```
netstat -an | grep LISTEN | grep ":389" 

netstat -an | grep LISTEN | grep ":636" 
```
Windowsの場合:
```
netstat -an | findstr "LISTEN" | findstr ":389"

netstat -an | findstr "LISTEN" | findstr ":636"
```
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

UNIXの場合:

/etc/servicesファイルでポート389と636のエントリを削除して、サービスまたはコンピュータを再起動します。

Windowsの場合:

ポートを使用しているコンポーネントを停止します。
次のようにして、ORACLE_HOME/binディレクトリの下のOracle Identity Management 11g構成ウィザードを起動します。

UNIXでは、コマンド./config.shを発行します。

Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で「次へ」をクリックします。
ドメインの選択画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。

「インストール場所の指定」画面で、次の値を指定します。

Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。
Oracleホーム・ディレクトリ:
```
/u01/app/oracle/product/fmw/idm
```
Oracleインスタンスの場所:
```
/u01/app/oracle/admin/oid_instance1
```

Oracleインスタンス名:

oid_instance1

注意:

OIDHOST1のOracleホームの場所を示すディレクトリ・パスが、OIDHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OIDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。

/u01/app/oracle/product/fmw/idm

この場合、OIDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。

/u01/app/oracle/product/fmw/idm

「次へ」をクリックします。

「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
- 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
- My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
- セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントの選択を解除して「次へ」をクリックします。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

「次へ」をクリックします。

「スキーマ・データベースの指定」画面で、既存のスキーマの使用を選択し、次の値を指定します。

接続文字列:

infradbhost1-vip.mycompany.com:1521:oiddb1^infradbhost2-vip.mycompany.com:1521:oiddb2@oid.mycompany.com

注意:

Oracle RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。

このインストール時に、すべてのOracle RACインスタンスを起動する必要はありません。1つのOracle RACインスタンスが起動されていれば、インストールを続行できます。

前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各Oracle RACインスタンスに正しく指定されている必要があります。また、指定したOracle RACインスタンスのすべてにサービス名が構成されている必要があります。

Oracle RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。

ユーザー名: ODS
パスワード: ******

「次へ」をクリックします。

Oracle Internet Directoryの作成画面で、レルムを指定し、管理者(cn=orcladmin)パスワードを入力して、「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.3.3.2.2 Oracle Identity Managementのインストーラによって割り当てられるOracle Internet Directoryのコンポーネント名

Oracle Identity Management 11gインストーラを使用してOracle Internet Directoryのインストールを実行する場合、インストーラがOracle Internet Directoryインスタンスに割り当てるデフォルトのコンポーネント名はoid1です。このコンポーネント名は変更できません。

このOracle Internet Directoryインスタンスのインスタンス固有の構成エントリは、cn=oid1, cn=osdldapd, cn=subconfigsubentryです。

別のコンピュータ上で2つ目のOracle Internet Directoryのインストールを実行し、そのOracle Internet Directoryインスタンスで1つ目のインスタンスと同じデータベースを使用する場合、インストーラは、同一データベースを使用する他のコンピュータにすでにインストールされているOracle Internet Directoryインスタンスを検出し、2つ目のOracle Internet Directoryインスタンスにはコンポーネント名oid2を割り当てます。

2つ目のOracle Internet Directoryインスタンスのインスタンス固有の構成エントリは、cn=oid2, cn=osdldapd, cn=subconfigsubentryです。エントリcn=oid2, cn=osdldapd, cn=subconfigsubentryのプロパティを変更しても、1つ目のインスタンス(oid1)には影響しません。

さらに別のコンピュータ上に3つ目のOracle Internet Directoryがインストールされ、このインスタンスでも、前の2つのインスタンスと同じデータベースを使用する場合、インストーラは3つ目のOracle Internet Directoryインスタンスにコンポーネント名oid3を割り当てます。同じデータベースを使用する別のホストには、このような方法でコンポーネント名が割り当てられます。

すべてのOracle Internet Directoryインスタンスで共有される構成は、cn=dsaconfig, cn=configsets,cn=oracle internet directoryです。このエントリに変更が加えられた場合は、Oracle Internet Directoryのすべてのインスタンスに影響します。

このネーミング・スキームによって、各Oracle Internet Directoryインスタンスに異なるコンポーネント名が割り当てられるため、Oracle Enterprise Managerを使用してドメインを表示する際に混乱を回避できます。

8.3.3.2.3 追加ホストでのOracle Internet Directoryの構成(スケール･アウト)

Oracle Internet Directoryリポジトリが実行されていることを確認してから、次の手順に従って追加ホスト上のOracle Internet Directoryインスタンスを構成します。この手順では、ホストOIDHOST2を使用します。

注意:

この項で説明する手順は、11g Oracle Identity Managementの高可用性構成でOracle Internet Directoryをスケール・アウトするときにも使用できます。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOIDHOST2にインストールされ、アップグレードされていることを確認します。
OIDHOST1では、Oracle Internet Directoryによってポート389と636が使用されています。OIDHOST2のOracle Internet Directoryインスタンスにも同じポートを使用する必要があります。したがって、ポート389および636がOIDHOST2上のサービスによって使用されていないことを確認するために、使用しているオペレーティング・システムに応じて次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

UNIXの場合:
```
netstat -an | grep LISTEN | grep ":389" 

netstat -an | grep LISTEN | grep ":636" 
```
Windowsの場合:
```
netstat -an | findstr "LISTEN" | findstr ":389"

netstat -an | findstr "LISTEN" | findstr ":636"
```
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

UNIXの場合:

/etc/servicesファイルでポート389と636のエントリを削除して、サービスまたはコンピュータを再起動します。

Windowsの場合:

ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Internet Directoryのポート番号を指定する行は非コメント化)を割り当てます。
```
# The Non-SSL port for OID
Oracle Internet Directory Port No = 389
# The SSL port for OID
Oracle Internet Directory (SSL) Port No = 636
```
次のようにして、ORACLE_HOME/binディレクトリの下のOracle Identity Management 11g構成ウィザードを起動します。

UNIXでは、コマンド./config.shを発行します。

Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で「次へ」をクリックします。
ドメインの選択画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。

「インストール場所の指定」画面で、次の値を指定します。

Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。
Oracleホーム・ディレクトリ:
```
/u01/app/oracle/product/fmw/idm
```
Oracleインスタンスの場所:
```
/u01/app/oracle/admin/oid_instance2
```

Oracleインスタンス名:

oid_instance2

注意:

OIDHOST2のOracleホームの場所を示すディレクトリパスが、OIDHOST1のOracleホームの場所を示すパスと同じであることを確認します。たとえば、OIDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。

/u01/app/oracle/product/fmw/idm

この場合、OIDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。

/u01/app/oracle/product/fmw/idm

「次へ」をクリックします。

「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
- 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
- My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
- セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントの選択を解除して「次へ」をクリックします。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

「次へ」をクリックします。

「スキーマ・データベースの指定」画面で、既存のスキーマの使用を選択し、次の値を指定します。

接続文字列:

infradbhost1-vip.mycompany.com:1521:oiddb1^infradbhost2-vip.mycompany.com:1521:oiddb2@oid.mycompany.com

注意:

Oracle RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。

Oracle RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。

ユーザー名: ODS
パスワード: ******

「次へ」をクリックします。

ODSスキーマが使用中であることを示すメッセージが表示されます。選択したODSスキーマはすでに既存のOracle Internet Directoryインスタンスで使用されています。したがって、構成中の新しいOracle Internet Directoryインスタンスは、この同じスキーマを再利用します。

「はい」を選択して続行します。
OID管理者パスワードの指定画面で、OID管理者のパスワードを指定し、「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.3.3.2.4 WebLogicドメインへのOracle Internet Directoryの登録

Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Internet Directoryコンポーネントを管理するには、コンポーネントとそれを含むOracle Fusion MiddlewareインスタンスをWebLogic Serverドメインに登録する必要があります。インストール時またはOracleインスタンスの作成時に、Oracle Fusion MiddlewareインスタンスをWebLogicドメインに登録できますが、必須事項ではありません。Oracle Fusion Middlewareインスタンスがドメインに登録されていない場合は、コマンドopmnctl registerinstanceを使用して登録します。

opmnctl registerinstanceコマンドを使用してインスタンスをWebLogic Serverドメインに登録する前に、WebLogic Serverがインストールされていることを確認します。

続いて、次の形式でopmnctl registerinstanceコマンドを実行します(各インストールで変数ORACLE_HOMEとORACLE_INSTANCEを設定してからOracle Virtual Directoryインスタンスのホーム・ディレクトリでこのコマンドを実行してください)。

opmnctl registerinstance -adminHost WLSHostName -adminPort WLSPort
-adminUsername adminUserName

例:

opmnctl registerinstance -adminHost oidhost1.mycompany.com -adminPort 7001
-adminUsername weblogic

Command requires login to weblogic admin server (oidhost1.mycompany.com)
 Username: weblogic
 Password: *******

WebLogicドメインにおけるコンポーネントの登録の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのOPMNCTLを使用したOracleインスタンスの登録に関する項を参照してください。

8.3.4 高可用性を最大化するOracle Internet Directoryデプロイメント(マルチマスター・レプリケーション)の構成

この項では、マルチマスター･レプリケーションを使用した、高可用性を最大化するOracle Internet Directoryのデプロイメントの高度な設定手順について説明します。マルチマスター・レプリケーションでは、マスター・サイトからレプリカ・サイトへデータをレプリケートします。Oracle Internet Directoryデプロイメントの高可用性を最大化するには、LDAPマルチマスター・レプリケーションの使用をお薦めします。

図8-4に、高可用性を最大化するOracle Internet Directoryのデプロイメントを示します。

図8-4 高可用性を最大化するマルチマスター・レプリケーション・デプロイメント

「図8-4 高可用性を最大化するマルチマスター・レプリケーション・デプロイメント」の説明

マスター・サイトはニューヨークに、レプリカ・サイトはロサンゼルスにあります。

各サイトは、可用性の高い2ノードのOracle Internet Directoryクラスタ構成で構成されており、可用性の高いセキュリティ・ストアとしてOracle RACデータベースを使用しています。2ノード・クラスタにはそれぞれ、ロード・バランサが1つ配置されています。2ノードOracle Internet Directoryクラスタの設定方法は、第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」を参照してください。

ニューヨークのマスター・サイトの構成は次のとおりです。

OIDHOST1およびOIDHOST2

クラスタ化された2つのホストがあり、Oracle Internet Directoryがインストールされています。
RAC_DB1

OIDHOST1およびOIDHOST2上のOracle Internet Directoryインスタンスのセキュリティ・ストアとして機能するOracle RACデータベースです。マルチマスター・レプリケーションでは、ニューヨークのRAC_DB1とロサンゼルスのRAC_DB2との間でデータをレプリケートします。

ロサンゼルスのレプリカ・サイトの構成は次のとおりです。

OIDHOST3およびOIDHOST4

クラスタ化された2つのホストがあり、Oracle Internet Directoryがインストールされています。
RAC_DB2

これは、OIDHOST3およびOIDHOST4上のOracle Internet Directoryインスタンスのセキュリティ・ストアとして機能するOracle RACデータベースです。マルチマスター・レプリケーションでは、ニューヨークのRAC_DB1とロサンゼルスのRAC_DB2との間でデータをレプリケートします。

この項の項目は次のとおりです。

第8.3.4.1項「レプリケーションのタイプ」

8.3.4.1 レプリケーションのタイプ

Oracle Internet Directoryで使用できるレプリケーションのタイプは次のとおりです。

LDAPマルチマスター・レプリケーション

レプリケーション転送メカニズムに、業界標準のLightweight Directory Access Protocol Version 3を使用します。このプロトコルは、レプリケーションへの使用に推奨されています。
Oracle Advanced Databaseマルチマスター・レプリケーション

Oracle Databaseのレプリケーション機能を使用しますが、これはアドバンスト・レプリケーションとも呼ばれます。
双方向のファンアウト・レプリケーション

このレプリケーション・メソッドでは、マスター・サイトとレプリカ・サイトの両方で、レプリケートされたデータの読取り/書込みが行われます。ファンアウト・レプリケーションでは、転送メカニズムにLDAPを使用します。
一方向のファンアウト・レプリケーション

このレプリケーション・メソッドでは、レプリケートされたデータは、レプリカ・サイトで読取り専用になります。ファンアウト・レプリケーションでは、転送メカニズムにLDAPを使用します。

Oracle Internet Directoryのレプリケーション・タイプの詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。

図8-4で示した、最大可用性のデプロイメントには、LDAPまたはOracle Advanced Databaseマルチマスター・レプリケーションを設定できます。

8.3.4.2 マルチマスター・レプリケーションの設定

この項では、図8-4で示した最大高可用性のOracle Internet DirectoryデプロイメントでLDAPマルチマスター・レプリケーションまたはOracle Advanced Databaseマルチマスター・レプリケーションを設定する方法について説明します。

注意:

図8-4で示したニューヨークとロサンゼルスのマルチマスター・トポロジに、Oracle Internet Directoryを2ノード・クラスタでインストールする方法の詳細は、第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」を参照してください。

注意:

Oracle Fusion Middleware 11gを新たに使用して、11g Oracle Internet Directoryに10.1.4.3以降のOracle Single Sign-OnおよびOracle Delegated Administration Servicesのインストールと構成を行い、マルチマスター・レプリケーションを設定する場合は、次の手順を参照してください。

10.1.4.3 Oracle Single Sign-OnおよびOracle Delegated Administration Servicesを、11g Oracle Internet Directoryに対して実行するように構成するには、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Single Sign-OnおよびOracle Delegated Administration Servicesユーザーに対する特別な指示に関する項を参照してください。
10.1.4.3のOracle Single Sign-OnおよびOracle Delegated Administration Servicesをインストールしてマルチマスター・レプリケーションを構成するには、リリース10.1.4.0.1のOracle Fusion Middleware高可用性ガイド(原本部品番号B28186-01)の、マルチマスター・レプリケーションを使用したIdentity Managementのデプロイに関する章にある次の各項の手順を実行します。
- 第10.1.4項「マスター・ノードへのOracleAS Single Sign-OnおよびOracle Delegated Administration Servicesのインストール」
- 第10.1.5項「OracleAS Single Sign-Onスキーマ・パスワードの同期化」
- 第10.1.6項「レプリカ・ノードへのOracleAS Single Sign-OnおよびOracle Delegated Administration Servicesのインストール」
- 第10.1.7項「SSLモードで実行する場合」

8.3.4.2.1 LDAPマルチマスター・レプリケーションの設定

LDAPマルチマスター・レプリケーションを設定するには、Oracle Enterprise Manager Fusion Middleware Controlで次の手順を実行します。

Oracle Internet Directoryインスタンスのホーム・ページの「Oracle Internet Directory」メニューで、「管理」を選択し、「レプリケーション管理」を選択します。
レプリケーションDNアカウントにログインするように求められます。マスター・サイト(図8-4のニューヨーク・クラスタ)にある、いずれかのOracle Internet Directoryサーバーのホスト、ポート、レプリケーションDN、およびレプリケーションDNパスワードを入力します。このOracle Internet Directoryコンポーネントで匿名バインドが有効化されている場合は、ホストとポートを入力すると「レプリケーションDN」フィールドが自動的に入力されます。
「作成」をクリックします。
「タイプ」画面で、レプリケーション・タイプに「マルチマスター・レプリケーション」を選択します。
「次へ」をクリックします。選択したレプリケーション・タイプが「レプリカ」画面に表示されます。
すべてのノード間で一意であるアグリーメント名を指定します。
マルチマスター・レプリケーションに対して、1次ノードおよびすべての2次ノードの各ホスト、ポート、ユーザー名(レプリケーションDN)、およびレプリケーション・パスワードを入力します。

注意:

クラスタ内の任意のOracle Internet Directoryインスタンスのホスト/ポートを入力します。
「次へ」をクリックして、「設定」ページに移動します。
レプリケーション・サーバーで同じ接続を使用して複数のLDAP操作を実行する場合は、「LDAP接続」フィールドで、「キープ・アライブ」を選択します。それぞれのLDAP操作に対して新規に接続を開始する場合は、「常に新規の接続を使用」を選択します。
「レプリケーション頻度」を入力します。
「管理者操作キュー・スケジュール」を入力します。これは、ディレクトリ・レプリケーション・サーバーが変更適用プロセスを繰返し実行する分単位の時間間隔です。
「レプリケーション・サーバー起動詳細」画面には、レプリケーション・サーバーを起動し、ブートストラップを有効にするオプションがあります。「サーバーの起動」を選択して、適切なサーバー・インスタンスを起動します。「ブートストラップの有効化」を選択して、ブートストラップを有効化することもできます。サーバーを起動するには、ドロップダウン・リストから、「インスタンス名」と「コンポーネント名」を選択する必要があります。
「次へ」をクリックして「有効範囲」ページに移動します。デフォルトのプライマリ・ネーミング・コンテキストが入力されます。デフォルトの設定を保持します。
「次へ」をクリックします。「サマリー」ページに作成するレプリケーション承諾のサマリーが表示されます。「サマリー」ページの情報を変更するには、「戻る」をクリックします。
「終了」をクリックして、レプリケーション承諾を作成します。

LDAPマルチマスター・レプリケーションの設定の詳細は、Oracle Enterprise ManagerツールチップまたはOracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。

8.3.4.2.2 LDAPマルチマスター・レプリケーションへのノードの追加

LDAPマルチマスター・レプリケーション・デプロイメントにノードを追加するには、Oracle Enterprise Manager Fusion Middleware Controlで次の手順を実行します。

Oracle Internet Directoryインスタンスのホーム・ページの「Oracle Internet Directory」メニューで、「管理」を選択し、「レプリケーション管理」を選択します。
レプリケーションDNアカウントにログインするように求められたら、マルチマスター・レプリケーション・デプロイメントにある、任意のレプリカのホスト、ポートおよびレプリケーションDNパスワードを入力します。
画面の上部で、該当するマルチマスター・レプリケーション承諾の行をクリックして、編集可能にします。
「レプリケーション承諾」ページで、「編集」をクリックします。
画面の下部の「レプリカ」タブをクリックします。
マルチマスター・レプリケーション・デプロイメントに新しいレプリカを追加するには、「作成」をクリックします。
新しいノードのホスト、ポートおよびレプリケーションDNパスワードの詳細を入力します。「追加」をクリックします。
「適用」をクリックします。既存のマルチマスター・ディレクトリ・レプリケーション・グループ(DRG)にレプリカが追加されます。

詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。

8.3.4.2.3 LDAPマルチマスター・レプリケーションからのノードの削除

LDAPマルチマスター・レプリケーション・デプロイメントからノードを削除するには、Oracle Enterprise Manager Fusion Middleware Controlで次の手順を実行します。

Oracle Internet Directoryインスタンスのホーム・ページの「Oracle Internet Directory」メニューで、「管理」を選択し、「レプリケーション管理」を選択します。
レプリケーションDNアカウントにログインするように求められます。マルチマスター・レプリケーション・デプロイメントにある、任意のレプリカのホスト、ポート、およびレプリケーションDNパスワードを入力します。
画面の上部で、該当するマルチマスター・レプリケーション承諾の行をクリックして、編集可能にします。
「レプリケーション承諾」画面で、「編集」をクリックします。
画面の下部の「レプリカ」タブをクリックします。
マルチマスター・レプリケーション・デプロイメントから削除するレプリカをクリックします。
「削除」をクリックします。
「適用」ボタンをクリックして、LDAPマルチマスター・ディレクトリ・レプリケーション・グループ(DRG)からレプリカを削除します。

LDAPマルチマスター・レプリケーション・デプロイメントにおけるノードの削除の詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。

8.3.4.2.4 Oracle Advanced Databaseマルチマスター・レプリケーションの設定

Oracle Advanced Databaseマルチマスター・レプリケーションのセットアップの詳細な手順は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドのOracle Databaseアドバンスト・レプリケーションベース・マルチマスター・レプリケーション・グループのインストールとセットアップに関する項に記載されています。

表8-5は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドのOracle Databaseアドバンスト・レプリケーションベース・マルチマスター・レプリケーション・グループのインストールとセットアップに関する項に含まれる各項を示しています。また、図8-4に示す最高の高可用性Oracle Internet Directoryデプロイメントに対してOracle Advanced Databaseマルチマスター・レプリケーションをセットアップするために各項で実行する手順も説明しています。

表8-5 Oracle Databaseアドバンスト・マルチマスター・レプリケーションの設定手順

項	手順
タスク1: マスター定義サイト(MDS)へのOracle Internet Directoryのインストール	このタスクは、第8.3.4.2項「マルチマスター・レプリケーションの設定」の注意に従って、事前に実行しておく必要があります。
タスク2: リモート・マスター・サイト(RMS)へのOracle Internet Directoryのインストール	このタスクは、第8.3.4.2項「マルチマスター・レプリケーションの設定」の注意に従って、事前に実行しておく必要があります。
既存のマスターをリモート・マスター・サイトとして使用する場合	任意のサイト(ニューヨーク・サイト)をマスター定義サイト(MDS)として設定します。次に、そのマスター・サイトのクラスタ内に、任意のOracle Internet Directoryノード(OIDHOST1)を設定して、マスター・ホストにします。OIDHOST1は、マスター・サイト・クラスタ内のホストになります。また、ホスト上で実行するレプリケーション・サーバーが構成されます。設定手順の中で、MDSに対するレプリケーション・サーバー、プロセス、またはポートへの参照が必要となった場合は、OIDHOST1の値を正確に指定します。別のサイト(ロサンゼルス・サイト)をリモート・マスター・サイト(RMS)として設定します。次に、そのリモート・サイトのクラスタ内に、任意のOracle Internet Directoryノード(OIDHOST3)を設定して、レプリカ・ホストとします。(「既存のマスターをリモート・マスター・サイトとして使用する場合」の項では、このレプリカ・ホストは「新しいノード」と呼ばれています)。OIDHOST3は、ロサンゼルス・クラスタ内のホストになります。また、ホスト上で実行するレプリケーション・サーバーが構成されます。設定手順の中で、RMSに対するレプリケーション・サーバー、プロセス、またはポートへの参照が必要となった場合は、OIDHOST3の値を正確に指定します。
タスク3: ディレクトリ・レプリケーション・グループ用のアドバンスト・レプリケーションの設定	次のタスクの説明に従います。
すべてのノードで、レプリケーションのためのOracle Net Services環境を準備します。	ニューヨークとロサンゼルス・サイトのすべてのデータベースのOracleホーム、およびすべてのOracle Internet DirectoryのOracleホームで、この項の手順を実行します。
MDSから、ディレクトリ・レプリケーションのアドバンスト・レプリケーションを構成します。	次の場合を除いて、ニューヨークとロサンゼルスのすべてのOracle Internet DirectoryのOracleホームで、この項の手順を実行します。レプリケーション環境管理ツールを使用してアドバンスト・レプリケーションを構成する場合は、このコマンドをMDSサイトのマスター・ホスト(ニューヨークのOIDHOST1)でのみ実行します。レプリケーションは、1つのOracle Internet Directoryホストでのみ、起動する必要があります。
タスク4(オプション): ディレクトリへのデータのロード	bulkloadユーティリティの使用を選択する場合、すべてのOracle Internet Directoryホームで、すべてのOracle Internet Directoryインスタンスを停止し、Oracle Internet Directoryインスタンスのいずれか1つのみを使用して、bulkload操作を実行します。
タスク5: 全ノードでOracleディレクトリ・サーバー・インスタンスが起動していることの確認	このタスクは、すべてのOracle Internet DirectoryのOracleホーム・ディレクトリで実行します。
タスク6: DRGの全ノードでのレプリケーション・サーバーの起動	ニューヨークのOIDHOST1とロサンゼルスのOIDHOST3でのみ、レプリケーション・サーバーを起動します。

8.3.4.2.5 Oracle Advanced Databaseマルチマスター・レプリケーションへのノードの追加

Oracle Advanced Databaseマルチマスター・レプリケーション・デプロイメントのノードの追加の詳細な手順は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドのOracle Databaseアドバンスト・レプリケーションベース・マルチマスター・レプリケーション・グループのノードの追加に関する項に記載されています。

表8-6は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドのOracle Databaseアドバンスト・レプリケーションベース・マルチマスター・レプリケーション・グループのノードの追加に関する項に含まれる各項を示しています。また、図8-4に示す最高の高可用性Oracle Internet Directoryデプロイメントにノードを追加するために各項で実行する手順も説明しています。

表8-6 Oracle Databaseアドバンスト・レプリケーションでのノードの追加手順

項	手順
Oracle Net Services環境の準備	マスター定義サイト(ニューヨーク・サイト)およびリモート・マスター定義サイト(ロサンゼルス・サイト)のすべてのデータベースのOracleホームとすべてのOracle Internet DirectoryのOracleホームで、この項の手順を実行します。また、追加する新しいクラスタについても、データベースのOracleホームとすべてのOracle Internet DirectoryのOracleホームで、この手順を実行します。
タスク1: 全ノードでのディレクトリ・レプリケーション・サーバーの停止	ニューヨークのOIDHOST1、およびロサンゼルスのOIDHOST3上のレプリケーション・サーバーを停止します。
タスク2: スポンサ・ノードの特定とリモート・サイトでのOracle Internet Directoryのインストール	ニューヨーク・クラスタのOIDHOST1が、スポンサ・ノードおよびMDSになります。
タスク3: スポンサ・ノードの読取り専用モードへの切替え	このタスクは、OIDHOST1およびOIDHOST2上のOracle Internet DirectoryのOracleホームで実行します。
タスク4: ldifwriteを使用したスポンサ・ノードのバックアップ	このタスクは、OIDHOST1上のOracle Internet DirectoryのOracleホームで実行します。
タスク5: アドバンスト・レプリケーションのノード追加設定の実行	このタスクは、OIDHOST1上のOracle Internet DirectoryのOracleホームで実行します。
タスク6: スポンサ・ノードの更新可能モードへの切替え	このタスクは、OIDHOST1およびOIDHOST2上のOracle Internet DirectoryのOracleホームで実行します。
タスク7: 新規ノード以外の全ノードでのディレクトリ・レプリケーション・サーバーの起動	このタスクは、ニューヨーク・クラスタのOIDHOST1およびロサンゼルス・クラスタのOIDHOST3で実行します。
タスク8: bulkloadを使用した新規ノードへのデータのロード	このタスクは、追加する新しいクラスタのいずれかのOracle Internet DirectoryのOracleホームで実行します。 bulkloadを使用する前に、新しいノードのすべてのOracle Internet Directoryプロセスを停止します。
タスク9: 新規ノードでのディレクトリ・サーバーの起動	このタスクは、追加する新しいクラスタのすべてのOracle Internet Directoryノードで実行します。
タスク10: 新規ノードでのディレクトリ・レプリケーション・サーバーの起動	このタスクは、追加する新しいクラスタのいずれかのOracle Internet DirectoryのOracleホームで実行します。

8.3.4.2.6 Oracle Advanced Databaseマルチマスター・レプリケーションでのノードの削除

Oracle Advanced Databaseマルチマスター・レプリケーション・デプロイメントのノードの削除の詳細な手順は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドのマルチマスター・レプリケーション・グループからのノードの削除に関する項に記載されています。

表8-7は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドのマルチマスター・レプリケーション・グループからのノードの削除に関する項に含まれる各項を示しています。また、図8-4に示す最高の高可用性Oracle Internet Directoryデプロイメントのノードを削除するために各項で実行する手順も説明しています。手順では、MDSはニューヨークのサイトにあると想定しています。

表8-7 Oracle Advanced Databaseレプリケーションでのノードの削除手順

項	手順
タスク1: 全ノードでのディレクトリ・レプリケーション・サーバーの停止	このタスクは、ディレクトリ・レプリケーション・グループ(DRG)の各ノードで実行します。
タスク2: 削除するノード内の全Oracle Internet Directoryプロセスの停止	このタスクは、削除対象のノードで実行します。
タスク3: マスター定義サイトからのノードの削除	このタスクは、OIDHOST1上のOracle Internet DirectoryのOracleホームで実行します。
タスク4: 全ノードでのディレクトリ・レプリケーション・サーバーの起動	このタスクは、DRG内の残りのノードすべてで実行します。

8.3.5 Oracle Internet Directoryの高可用性の検証

ldapbindコマンドライン・ツールを使用して、各Oracle Internet DirectoryインスタンスとLDAP仮想サーバーに接続できることを確認します。ldapbindツールでは、サーバーに対してクライアントを認証できるかどうかを確認できます。

注意:

ldapbindコマンドを使用する前に設定が必要な環境変数の一覧は、Oracle Fusion Middleware Oracle Identity Managementリファレンスで、環境の構成に関する項を参照してください。

非SSLの場合:

ldapbind -h oidhost1.mycompany.com -p 389 -D "cn=orcladmin" -q
ldapbind -h oidhost2.mycompany.com -p 389 -D "cn=orcladmin" -q
ldapbind -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q

注意:

-qオプションを指定すると、ユーザーにパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。

SSLの場合:

ldapbind -h oidhost1.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1
ldapbind -h oidhost2.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1
ldapbind -h oid.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1

-Uは、SSL認証モードの指定に使用されるオプション引数です。SSL認証モードに有効な値は次のとおりです。

1 = 認証は必要ありません。
2 = 一方向認証が必要です。このオプションを使用する場合は、ウォレットの場所(-W "file:/home/my_dir/my_wallet")およびウォレットのパスワード(-P wallet_password)も指定する必要があります。
3 = 双方向認証が必要です。このオプションを使用する場合は、ウォレットの場所(-W "file:/home/my_dir/my_wallet")およびウォレットのパスワード(-P wallet_password)も指定する必要があります。

ldapbindコマンドの詳細は、Oracle Fusion Middleware Oracle Identity Managementリファレンスのldapbindに関する項を参照してください。

Oracle Internet Directoryに対するSSLの設定の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのSecure Sockets Layer(SSL)の構成に関する項を参照してください。

次のURLのWebLogic Server管理コンソールにアクセスします。

http://oidhost1.mycompany.com:7001/console

Oracle Enterprise Manager Fusion Middlewareコンソール

http://oidhost1.mycompany.com:7001/em

8.3.6 Oracle Internet Directoryのフェイルオーバーおよび予想される動作

この項では、Oracle Internet DirectoryのフェイルオーバーとOracle RACのフェイルオーバーを実行する手順を説明します。

この項の項目は次のとおりです。

第8.3.6.1項「Oracle Internet Directoryのフェイルオーバーの実行」
第8.3.6.2項「Oracle RACのフェイルオーバーの実行」

8.3.6.1 Oracle Internet Directoryのフェイルオーバーの実行

次の手順に従って、Oracle Internet Directoryインスタンスのフェイルオーバーを実行し、Oracle Internet Directoryのステータスを調べます。

OIDHOST1で、opmnctlコマンドを使用して、Oracle Internet Directoryインスタンスを停止します。
```
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=oid1
```

OIDHOST2で、ロード・バランシング・ルーターを使用して、Oracle Internet Directoryのステータスをチェックします。

注意:

ldapbind -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q

注意:

前述の-qオプションを指定すると、ユーザーのパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。

OIDHOST1で、opmnctlコマンドを使用して、Oracle Internet Directoryインスタンスを起動します。

ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
ORACLE_INSTANCE/bin/opmnctl startproc ias-component=oid1

OIDHOST2で、opmnctlコマンドを使用して、Oracle Internet Directoryインスタンスを停止します。
```
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=oid1
```
OIDHOST1で、ロード・バランシング・ルーターを使用して、Oracle Internet Directoryのステータスをチェックします。
```
ldapbind -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q
```

OIDHOST2で、opmnctlコマンドを使用して、Oracle Internet Directoryインスタンスを起動します。

ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
ORACLE_INSTANCE/bin/opmnctl startproc ias-component=oid1

8.3.6.2 Oracle RACフェイルオーバーの実行

次の手順に従って、Oracle RACのフェイルオーバーを実行します。

srvctlコマンドを使用して、データベース・インスタンスを停止します。
```
srvctl stop instance -d db_unique_name -i inst_name_list
```
srvctlコマンドを使用して、データベース・インスタンスのステータスを確認します。
```
srvctl status database -d db_unique_name -v
```

Oracle Internet Directoryのステータスを確認します。

注意:

ldapbind -h oid_host -p 389 -D "cn=orcladmin" -q
ldapbind -h oid_host -p 389 -D "cn=orcladmin" -q
ldapbind -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q

注意:

srvctlコマンドを使用して、データベース・インスタンスを起動します。
```
srvctl start instance -d db_unique_name -i inst_name_list
```

8.3.7 Oracle Internet Directoryの高可用性のトラブルシューティング

この項では、Oracle Internet Directoryの高可用性の問題のトラブルシューティングに役立つ情報について説明します。

Oracle Internet Directoryのログ・ファイルは次のディレクトリにあります。
```
ORACLE_INSTANCE/diagnostics/log/OID
```
トラブルシューティングの際に調査するログ・ファイルの順序は次のとおりです。
1. oidmon-xxx.log
2. oidldapd01-xxxx.log
3. oidldapd01s-xxxx.log
この項では、高可用性に関連するエラー・メッセージの一部とその意味を示します。

エラー: ログ・ファイルにORA-3112、ORA-3113エラーがあります

原因: データベース・ノードのいずれかが停止し、障害が発生していないノードにOIDが再接続します。

処置: データベース・ノードの停止、またはOracleプロセスの停止の原因を確認します。

エラー: フェイルオーバーしています...ログ・ファイルでスタンバイしてください

原因: OIDサーバーがOracleプロセスからデータベース・ノードのいずれかが停止したことを知らせる通知を受信しました。OIDは障害が発生していないノードに接続します。

フェイルオーバーが正常完了すると、次のメッセージが表示されます。

フェイルオーバーが終了しました...サービスを再開しています

フェイルオーバーが失敗すると、次のようなエラーが表示されます。

a.10回試行しましたが、フェイルオーバー機能を終了しています

b.無効なフェイルオーバー・イベント:

c.セッションのDBパラメータを設定できないため、フェイルオーバーを強制終了しました

高可用性イベント通知が有効な場合は、次のようなメッセージが表示されます。
```
HA Callback Event
Thread Id: 8
Event type: 0
HA Source: OCI_HA_INSTANCE
Host name: dbhost1
Database name: orcl
Instance name: orcl1
Timestamp: 14-MAY-09 03.25.24 PM -07:00
Service name: orcl.example.com
HA status: DOWN - TAF Capable
```
TAFが無効な場合、HAステータスは「DOWN」と表示されます。

処置: データベース・ノードが停止した原因を確認します。

エラー: ノード1とノード2の間で250秒以上の時間差異が検出されました.

原因: 2つのノード間の時間に差異があります。

処置: システム時間を同期します。

エラー: ノード=%が構成された%d回までに応答しませんでした。フェイルオーバーしています...

原因: OIDノード(oidmon)のいずれかが応答しません。

処置: ノードが稼働中か、またはOIDMONプロセスが実行中であるかを確認します。

Oracle Internet Directoryのトラブルシューティングの詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。

8.3.8 Oracle Internet Directoryの高可用性に関するその他の問題

この項では、高可用性環境のOracle Internet Directoryに関する問題について説明します。

8.3.8.1 Oracle Internet Directoryで使用されるODSスキーマのパスワードの変更

Oracle Internet Directory Database Password Utility(oidpasswd)を使用すると、どのOracle Internet DirectoryのノードからもOracle Internet Directoryデータベースのスキーマ・パスワード(データベースのODSユーザーのパスワード)を変更できます。ただし、ODSスキーマ・パスワードは、各OIDインスタンスのORACLE_INSTANCEにあるパスワード・ウォレットに格納されるため、それぞれのOracle Internet Directoryノードでパスワード・ウォレットを更新する必要があります。

ODSデータベース・ユーザー・パスワードを変更するには、いずれかのOracle Internet Directoryノードから次のコマンドを呼び出します。

oidpasswd connect=database-connection-string change_oiddb_pwd=true

その他のすべてのOracle Internet Directoryノードで、次のコマンドを呼び出して、パスワード・ウォレットを同期化します。

oidpasswd connect=database-connection-string create_wallet=true

OID Database Password Utility(oidpasswd)を使用して、Oracle RACノードの1つでODSパスワードを変更する場合は、次のいずれかを実行して、他のOracle RACノードのウォレットORACLE_HOME/ldap/admin/oidpwdlldap1を更新する必要があります。

その他のすべてのノードでOID Database Password Utilityを起動して、ウォレット・ファイルのみを更新します。これは、レプリケーション・パスワードの変更にも当てはまりますが、レプリケーション・パスワードの変更には、OID Database Password Utilityではなくレプリケーション環境管理ツールを使用してパスワードを更新します。
変更後のウォレットを他のノードにコピーします。

1つのノードでしかoidpasswdコマンドを実行せず、すべてのOracle RACノードのウォレットを更新していない場合、2つ目のノードのOracle Internet Directoryインスタンスは、他のノードで起動できません。このエラーは、OIDMONログ・ファイルに次のように表示されます。

[gsdsiConnect] ORA-1017, ORA-01017: invalid username/password; logon denied.

これを修正するには、oidpwdlldap1ファイルを他のOracle RACノードにコピーするか、他のノードでオプションcreate_wallet=trueオプションを指定してoidpasswdツールを起動します。

8.4 Oracle Virtual Directoryの高可用性

この項では、Oracle Virtual Directoryの概要およびOracle Virtual Directoryの高可用性環境の設計とデプロイについて説明します。

この項の項目は次のとおりです。

第8.4.1項「Oracle Virtual Directoryコンポーネント・アーキテクチャ」
第8.4.2項「Oracle Virtual Directoryの高可用性の概要」
第8.4.3項「Oracle Virtual Directoryの高可用性の構成手順」
第8.4.4項「Oracle Virtual Directoryの高可用性の検証」
第8.4.5項「Oracle Virtual Directoryのフェイルオーバーおよび予想される動作」
第8.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」

8.4.1 Oracle Virtual Directoryコンポーネント・アーキテクチャ

Oracle Virtual DirectoryはLDAP Version 3対応のサービスであり、1つ以上のエンタープライズ・データ・ソースを単一のディレクトリ・ビューに仮想的に抽象化します。Oracle Virtual Directoryを使用すると、インフラストラクチャとアプリケーションのいずれかを変更する必要性を最小限に抑えるか、またはその必要性をなくして、LDAPを認識するアプリケーションを多様なディレクトリ環境に統合できます。Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドの概要に関する項を参照してください。

8.4.1.1 Oracle Virtual Directoryランタイムの考慮事項

OPMNは、Oracle Virtual Directoryプロセスを起動、監視、および管理するために使用され、Oracle Virtual Directoryプロセスが停止した場合はそれを再起動するために使用されます。Oracle Virtual Directoryインスタンスを起動および停止するためのOPMNCTLの使用方法の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドを参照してください。

OPMNは、JVMを起動し、必要なパラメータを使用してVDEServerプロセスを開始します。JVMパラメータは、opmn.xmlに構成されます。JPS Configファイルの場所にはoracle.security.jps.config、孤立したサーバー接続の制御にはvde.soTimeoutBackendを使用します。

Oracle Virtual Directoryインスタンスは、Oracle Enterprise Manager Fusion Middleware Controlを使用しても起動および停止できます。詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドを参照してください。

Oracle Virtual Directoryのインストール時にインストールされるJPSを除き、Oracle Virtual Directoryには外部依存性はありません。独立して実行できます。

Oracle Virtual Directoryは、LDAPオブジェクトをローカル・ファイルシステムに格納するように構成できます。この機能はJPSおよびその他のコンポーネントで使用できます。

Oracle Virtual Directoryには、2つのタイプのリスナー(LDAPとHTTP)があります。いずれのリスナーも基本プロトコルに加えてSSL/TLSもサポートします。LDAP層にはデジタル証明認証をサポートするLDAP-SASLに対応する機能もあります。

LDAPプロトコルは、LDAPv2/v3ベースのサービスを提供し、HTTPプロトコルはDSMLv2などの1つ以上のサービスや、XSLT対応のWebゲートウェイによる基本的なホワイト・ページ機能を提供します。

クライアント接続は永続的にも一時的にもできます。

8.4.1.2 Oracle Virtual Directoryコンポーネントの特性

この項では、Oracle Virtual Directoryの構成アーティファクトについて説明します。次のOracle Virtual Directory構成ファイルは、ORACLE_INSTANCE/config/OVD/OVDComponentNameにあります。

server.os_xml:

Oracle Virtual Directoryには、サーバーが匿名ユーザーや認証ユーザーに返すことができるエントリの数などの項目を管理する機能があります。また、インバウンド・トランザクション・トラフィックを制限することもできます。これは、プロキシ設定されたソースをサービス拒否攻撃から保護するため、またはLDAPトラフィックを制限して一定のディレクトリ・インフラストラクチャ・リソースへのアクセスを制御するために利用できます。これらを含むプロパティはserver.os_xmlで構成されます。
listeners.os_xml:

Oracle Virtual Directoryは、リスナーと呼ばれる接続を介してクライアントにサービスを提供します。Oracle Virtual Directoryでは、2つのタイプのリスナー(LDAPとHTTP)をサポートします。Oracle Virtual Directoryの構成では、任意の数のリスナーを設定できます。また、リスナーを設定しないことにより、アクセスを管理ゲートウェイのみに制限することもできます。ほとんどのOracle Virtual Directoryのデプロイでは、2つのHTTPリスナーと2つのLDAPリスナーが必要になります。この場合、各プロトコルで一方のリスナーがSSL、もう一方が非SSLに使用されます。リスナー構成ファイルは、listeners.os_xmlです。

adapters.os_xml:

複数かつ様々なデータ・リポジトリにあるデータの単一の仮想ディレクトリ・ビューを表示するには、Oracle Virtual Directoryをこれらのリポジトリに接続して、データの仮想化とリポジトリ間でのデータのルーティングを可能にする必要があります。Oracle Virtual Directoryは、基盤となるデータ・リポジトリへの接続にアダプタを使用します。各アダプタが、特定の親識別名(DN)で識別されるディレクトリのネームスペースを管理します。構成可能なアダプタの数に制限はありません。また、アダプタの結合やオーバーラップによって、カスタマイズされたディレクトリ・ツリーを表示することもできます。アダプタの構成ファイルは、adapters.os_xmlです。

注意:

Oracle Virtual DirectoryとプロキシLDAPディレクトリとの間の非SSL認証接続の構成の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドを参照してください。この手順は、匿名暗号をサポートするように構成されている任意のプロキシLDAPディレクトリに対して使用できます。

acls.os_xml

Oracle Virtual Directoryは、接続されたすべてのデータ・ストアに一様に適用できる詳細なアクセス制御を提供します。また、Internet Engineering Task ForceのRFC 2820「Access Control Requirements for LDAP」にも準拠しています。アクセス制御のルールは、IETFの「LDAP Access Control Model for LDAPv3」(2001年3月2日草稿)というタイトルのインターネット・ドラフトに基づいてモデル化されています。

Oracle Virtual Directoryは、1つ以上のエンタープライズ・データ・ソースを単一のディレクトリ・ビューに仮想的に抽象化します。このためアクセス制御リスト(ACL)とアダプタのネームスペースは相互に独立しています。ネームスペース内のすべてのエントリの削除やアダプタのルート値を変更しても、ACLに対して自動的に作用することはありません。ACLとアダプタのネームスペースは、相互に独立して構成する必要があります。ACL構成ファイルは、acls.os_xmlです。

Oracle Virtual Directoryインスタンス固有のデータは、ORACLE_INSTANCEホームに格納されます。ウォレットもインスタンスのホームに格納されます。

単一のOracle Virtual Directoryインスタンスで障害が発生した場合は、OPMNを使用してインスタンスを再起動します。

8.4.1.2.1 Oracle Virtual Directoryのログ・ファイル

Oracle Virtual Directoryインスタンスのログ・ファイルは、インスタンスのホームにある次のディレクトリに保存されます。

ORACLE_INSTANCE/diagnostics/logs/OVD/OVDComponentName/

Oracle Virtual Directoryのログ・ファイルを使用したOracle Virtual Directoryに関する問題のトラブルシューティングについては、第8.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」を参照してください。

8.4.2 Oracle Virtual Directoryの高可用性の概要

この項では、Oracle Virtual Directoryを2ノードのクラスタ構成による高可用性で使用する場合の概要について説明します。前提条件については、第8.4.2.2項「Oracle Virtual Directoryの前提条件」を、2ノードのクラスタを設定するための固有の手順については、第8.4.3項「Oracle Virtual Directoryの高可用性の構成手順」を参照してください。

注意:

Oracle Internet DirectoryとOracle Virtual Directoryの両方を使用する場合、これらの製品は通常、同一のWebLogicドメインに存在します。

8.4.2.1 Oracle Virtual Directoryの高可用性アーキテクチャ

図8-5は、Oracle Virtual Directoryのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。

図8-5 高可用性環境のOracle Virtual Directory

「図8-5 高可用性環境のOracle Virtual Directory」の説明

図8-5では、高可用性アーキテクチャのディレクトリ層にOracle Virtual Directoryがあります。2ノードのクラスタはインストール時に設定されます。ロード・バランシング・ルーターによって、2つのOracle Virtual Directoryインスタンスにリクエストがルーティングされます。これらのインスタンスはOVDHOST1およびOVDHOST2上にあり、クラスタ化されています。Oracle RACインスタンスが使用不可になった場合の通知には、高速接続フェイルオーバー(FCF)が使用されます。

2つのコンピュータには同一のOracle Virtual Directoryが構成されています。各インスタンスのOracle Virtual Directory構成は、それぞれのORACLE_INSTANCEに格納されます。各Oracle Virtual Directoryインスタンスの構成は、Oracle Directory Services Managerを使用して別々に更新し、それぞれ一度に1つのOracle Virtual Directoryインスタンスに接続する必要があります。これにかわる方法としては、一方のOracle Virtual Directoryインスタンスの構成を更新し、クローニングを使用してもう一方のOracle Virtual Directoryインスタンスに構成をコピーします。

注意:

Oracle Virtual Directoryの構成を管理するには、Oracle Directory Services Managerを使用する必要があります。Oracle Virtual Directoryインスタンスの構成を更新する際に、ロード・バランサを介してOracle Directory Services ManagerをOracle Virtual Directoryに接続しないでください。このインスタンスの構成を更新するには、物理的なOracle Virtual Directoryインスタンスに明示的に接続する必要があります。

OPMNを使用してOracle Virtual Directoryインスタンスの起動と停止をします。複数のOracle Virtual Directoryインスタンスを含むクラスタを起動する場合、クラスタ内の各Oracle Virtual Directoryインスタンスに影響はありません。

ロード・バランシング・ルーターによってOracle Virtual Directoryインスタンスの停止または障害が検出されると、障害が発生していないインスタンスにLDAPおよびHTTPトラフィックがルーティングされます。障害が発生したインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、障害が発生していないすべてのインスタンスにトラフィックがルーティングされます。

トランザクションの途中でインスタンスに障害が発生した場合は、このトランザクションはバックエンドにコミットされません。

2ノードのOracle Virtual Directoryクラスタで一方のOracle Virtual Directoryインスタンスに障害が発生した場合、ロード・バランシング・ルーターによってこれが検出され、クラスタ内で障害が発生していないインスタンスにLDAPクライアント・トラフィックがルーティングされます。障害があったOracle Virtual Directoryインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、クラスタ内で障害が発生していないインスタンスにLDAPクライアント・トラフィック・インスタンスがルーティングされます。

8.4.2.1.1 Oracle Virtual Directoryの高可用性の接続機能

Oracle Virtual Directoryには、次のように高可用性に関する多数の機能があります。

フォルト・トレランスとフェイルオーバー: Oracle Virtual Directoryのフォルト・トレランスには、次の2つの形態があります。
- フォルト・トレラント構成内で構成できる
- フォルト・トレラント・プロキシ・ソースへのフローを管理できる
構成ファイルをコピーまたは共有することにより、複数のOracle Virtual Directoryを迅速にデプロイできます。ラウンドロビンDNS、リダイレクタまたはクラスタ・テクノロジと組み合せると、Oracle Virtual Directoryは完全なフォルト・トレラント・ソリューションとなります。

プロキシ設定された各ディレクトリ・ソースについて、特定のソースの複数のホスト(レプリカ)にアクセスするようにOracle Virtual Directoryを構成できます。ホスト間のフェイルオーバーと負荷分散もインテリジェントに実行されます。柔軟な構成オプションを使用して、管理者は特定のレプリカ・ノードに与える負荷の割合を制御したり、特定のホストを読取り専用レプリカか読取り/書込みサーバー(マスター)かに指定することができます。これにより、読取り専用レプリカに書込もうとすることから生じる不要な参照を回避できます。

ロード・バランシング: Oracle Virtual Directoryの設計には、プロキシ設定されたLDAPディレクトリ・ソース間で負荷を分散し、障害を管理することのできる強力なロード・バランシング機能が組み込まれています。

Oracle Virtual Directoryの仮想ディレクトリ・ツリー機能により、大容量のディレクトリ情報のセットを複数の個別ディレクトリ・サーバーに細分化することができます。また、独立したディレクトリ・ツリー・ブランチを結合すれば、分割したデータ・セットを再び結合して1つの仮想ツリーに戻すこともできます。

特定のソースに対して複数のLDAPサーバーがある場合は、Oracle Virtual DirectoryのLDAPアダプタ自身でロード・バランシングとフェイルオーバーを実行できます。このロード・バランシングとフェイルオーバーは、クライアントから意識されることなく行われるので、ハードウェアの追加や、Oracle Virtual Directoryに接続しているクライアントへの変更は必要ありません。

データベース・アダプタは、下位のJDBCドライバにロード・バランシングとフェイルオーバー機能がある場合、この機能をサポートします。また、Oracle Virtual DirectoryはOracle Real Application Clusters(Oracle RAC)とともに使用できることが保証されています。Oracle Virtual DirectoryをOracle RACと使用する方法の詳細は、第4.1.6項「JDBCクライアント」を参照してください。

Oracle Virtual Directoryのルーティングも、ロード・バランシング機能を提供します。ルーティングでは、最適な検索ターゲットを決定するために、検索フィルタを検索ベースに追加することができます。この方法でロード・バランシングを行うと、仮想化された適切なディレクトリ・ソースに問合せが自動的にルーティングされるので、大量のディレクトリ・エントリも処理できるようになります。

注意:

Oracle Virtual Directoryの価値は、ディレクトリ・ストアとしてではなく、仮想化とプロキシのサービスとして発揮されます。可用性の高いディレクトリ・ストレージ・システムが必要な場合は、Oracle Internet Directoryの使用をお薦めします。

Oracle Virtual Directoryインスタンスのログ・ファイルは、インスタンスのホームにある次のディレクトリに保存されます。

ORACLE_INSTANCE/diagnostics/logs/OVD/OVDComponentName/

8.4.2.2 Oracle Virtual Directoryの前提条件

この項では、Oracle Virtual Directoryの前提条件について説明します。

注意:

Oracle Virtual Directoryを高可用性デプロイメントで使用する場合は、クラスタ・ノードのシステム・クロックを同期する必要があります。

8.4.2.2.1 Oracle Virtual Directory用のロード・バランサの仮想サーバー名

Oracle Virtual Directoryを高可用性構成でデプロイする場合は、Oracle Virtual Directoryインスタンスのフロントエンドに外部ロード・バランサを使用して、各種のOracle Virtual Directoryインスタンス間のLDAPリクエストをロード・バランシングすることをお薦めします。

詳細は、第8.2.5.4項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。

8.4.3 Oracle Virtual Directoryの高可用性の構成手順

Oracle Virtual Directoryは、スタンドアロン・モードまたはWebLogicサーバー・ドメインの一部として可用性の高い構成にデプロイできます。

Oracle Virtual Directoryを効率的に管理するには、Oracle Directory Services ManagerとOracle Enterprise Manager Fusion Middleware Controlが必要であるため、Oracle Virtual DirectoryはWebLogic Serverドメインの一部としてデプロイすることをお薦めします。

高可用性環境では、Oracle Virtual Directoryをクラスタ・デプロイメント内に設定することをお薦めします。クラスタ化されたOracle Virtual Directoryインスタンスは、同じOracle RACデータベース・リポジトリ、またはLDAPリポジトリにアクセスします。

8.4.3.1 WebLogicドメインを使用しないOracle Virtual Directoryの構成

この項では、WebLogic Serverドメインを使用せずにOracle Virtual Directoryをデプロイする手順について説明します。

注意:

Oracle Identity Management 11gインストーラで、「ドメインなしで構成」オプションを使用してOracle Virtual Directoryをホストにインストールすると、インストーラによってデフォルトではovd1がOracle Virtual Directoryインスタンスのコンポーネント名として使用されます。

「ドメインなしで構成」でのインストール時に、インストーラでは、コンポーネント名ovd1を使用した別のOracle Virtual Directoryインスタンスがすでにホストに存在して、ドメインに登録されているかどうかは検出できません。

第8.4.3.1.1項「OVDHOST1でのOracle Virtual Directoryの構成」および第8.4.3.1.2項「追加ホストでのOracle Virtual Directoryの構成(スケール･アウト)」でOVDHOST1およびOVDHOST2にインストールするOracle Virtual Directoryインスタンスは、「ドメインなしで構成」インストール・オプションを使用してインストールします。

8.4.3.1.1 OVDHOST1でのOracle Virtual Directoryの構成

次の手順に従ってOVDHOST1上のOracle Virtual Directoryインスタンスを構成します。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOVDHOST1にインストールされ、アップグレードされていることを確認してください。
『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のトポロジによって使用される仮想サーバー名に関する項の説明に従って、ロード･バランサが構成されていることを確認してください。
使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート6501と7501がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

UNIXの場合:
```
netstat -an | grep LISTEN | grep ":6501"

netstat -an | grep LISTEN | grep ":7501"
```
Windowsの場合:
```
netstat -an | findstr "LISTEN" | findstr ":6501"

netstat -an | findstr "LISTEN" | findstr ":7501"
```
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

UNIXの場合:

/etc/servicesファイルでポート6501と7501のエントリを削除して、サービスまたはコンピュータを再起動します。

Windowsの場合:

ポートを使用しているコンポーネントを停止します。
次のようにして、ORACLE_HOME/binディレクトリの下のOracle Identity Management 11g構成ウィザードを起動します。

UNIXでは、コマンド./config.shを発行します。

Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で「次へ」をクリックします。
ドメインの選択画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。

「インストール場所の指定」画面で、次の値を指定します。

Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。
Oracleホーム・ディレクトリ:
```
/u01/app/oracle/product/fmw/idm_1
```
Oracleインスタンスの場所:
```
/u01/app/oracle/admin/ora_inst1
```

Oracleインスタンス名:

ora_inst1

注意:

OVDHOST1のOracleホームの場所を示すディレクトリ・パスが、OVDHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OVDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。

/u01/app/oracle/product/fmw/idm_1

この場合、OVDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。

/u01/app/oracle/product/fmw/idm_1

「次へ」をクリックします。

「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
- 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
- My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
- セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

「次へ」をクリックします。
「仮想ディレクトリの指定」画面で、次の値を指定します。

「クライアント・リスナー」セクションで、次のように入力します。
- LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。
```
dc=mycompany,dc=com
```
- HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。
- 保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。
「OVD管理者」セクションで、次のように入力します。
- 管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。
- パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。
- パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。
- 管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.4.3.1.2 追加ホストでのOracle Virtual Directoryの構成(スケール･アウト)

Oracle Virtual Directoryのインスタンスを追加ホストに構成するには、次の手順に従います。この手順では、例としてOVDHOST2を使用します。

注意:

この項で説明する手順を使用して、11g Oracle Identity Managementの高可用性構成でOracle Virtual Directoryをスケール・アウトすることもできます。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOVDHOST2にインストールされ、アップグレードされていることを確認します。
OVDHOST1では、ポート6501と7501がOracle Virtual Directoryによって使用されています。OVDHOST2のOracle Virtual Directoryインスタンスにも同じポートを使用する必要があります。このため、ポート6501および7501がOVDHOST2上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

UNIXの場合:
```
netstat -an | grep LISTEN | grep ":6501"

netstat -an | grep LISTEN | grep ":7501"
```
Windowsの場合:
```
netstat -an | findstr "LISTEN" | findstr ":6501"

netstat -an | findstr "LISTEN" | findstr ":7501"
```
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

UNIXの場合:

/etc/servicesファイルでポート6501と7501のエントリを削除して、サービスまたはコンピュータを再起動します。

Windowsの場合:

ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。
```
# The Non-SSL LDAP port for OVD
Oracle Virtual Directory (Non-SSL) Port No for LDAP = 6501
# The SSL LDAP Port for OVD
Oracle Virtual Directory (SSL) Port No for LDAP = 7501
```
次のようにして、ORACLE_HOME/binディレクトリの下のOracle Identity Management 11g構成ウィザードを起動します。

UNIXでは、コマンド./config.shを発行します。

Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で「次へ」をクリックします。
ドメインの選択画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。

「インストール場所の指定」画面で、次の値を指定します。

Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。
Oracleホーム・ディレクトリ:
```
/u01/app/oracle/product/fmw/idm_1
```
Oracleインスタンスの場所:
```
/u01/app/oracle/admin/ora_inst2
```

Oracleインスタンス名:

ora_inst2

注意:

OVDHOST2のOracleホームの場所を示すディレクトリ・パスが、OVDHOST1のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OVDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。

/u01/app/oracle/product/fmw/idm_1

この場合、OVDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。

/u01/app/oracle/product/fmw/idm_1

「次へ」をクリックします。

「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
- 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
- My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
- セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

「次へ」をクリックします。
「仮想ディレクトリの指定」画面で、次の値を指定します。

「クライアント・リスナー」セクションで、次のように入力します。
- LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。
```
dc=us,dc=mycompany,dc=com
```
- HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。
- 保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。
「OVD管理者」セクションで、次のように入力します。
- 管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。
- パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。
- パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。
- 管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.4.3.1.3 WebLogicドメインへのOracle Virtual Directoryの登録

Oracle Virtual DirectoryコンポーネントはOracle Enterprise Manager Fusion Middleware Controlを使用して管理することをお薦めします。そのためには、このコンポーネント、およびこのコンポーネントを含むOracle Fusion MiddlewareインスタンスをWebLogicサーバー・ドメインに登録する必要があります。インストール時またはOracleインスタンスの作成時に、Oracle Fusion MiddlewareインスタンスをWebLogicドメインに登録できますが、必須事項ではありません。Oracle Fusion MiddlewareインスタンスがWebLogicドメインに事前に登録されていない場合は、opmnctl registerinstanceを使用して登録できます。

opmnctl registerinstanceコマンドを使用してOracle Virtual DirectoryインスタンスをWebLogic Serverドメインに登録する前に、WebLogic Serverがインストールされていることを確認します。

opmnctl registerinstance -adminHost WLSHostName -adminPort WLSPort
-adminUsername adminUserName

例:

opmnctl registerinstance -adminHost idmhost1.mycompany.com -adminPort 7001
-adminUsername weblogic

Command requires login to weblogic admin server (idmhost1.mycompany.com)
 Username: weblogic
 Password: *******

8.4.3.2 WebLogicドメインを使用したOracle Virtual Directoryの構成

この項では、WebLogic Serverドメインの一部としてOracle Virtual Directoryの高可用性構成をデプロイする手順について説明します。

この構成では、1つ目のホストにOracle Virtual DirectoryとWebLogic Serverドメインが構成され、2つ目のホストにはOracle Virtual Directoryのみが構成されます。2つ目のホストのOracle Virtual Directoryインスタンスは、1つ目のホストで作成されたドメインに参加します。

8.4.3.2.1 OVDHOST1でのOracle Virtual Directoryの構成

次の手順に従ってOVDHOST1上のOracle Virtual Directoryインスタンスを構成します。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOVDHOST1にインストールされ、アップグレードされていることを確認します。
ポート6501および7501がOVDHOST1上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

UNIXの場合:
```
netstat -an | grep LISTEN | grep ":6501"

netstat -an | grep LISTEN | grep ":7501"
```
Windowsの場合:
```
netstat -an | findstr "LISTEN" | findstr ":6501"

netstat -an | findstr "LISTEN" | findstr ":7501"
```
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

UNIXの場合:

/etc/servicesファイルでポート6501と7501のエントリを削除して、サービスまたはコンピュータを再起動します。

Windowsの場合:

ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。
```
# The Non-SSL LDAP port for OVD
Oracle Virtual Directory (Non-SSL) Port No for LDAP = 6501
# The SSL LDAP port for OVD
Oracle Virtual Directory (SSL) Port No for LDAP = 7501
```
次のようにして、ORACLE_HOME/binディレクトリの下のOracle Identity Management 11g構成ウィザードを起動します。

UNIXでは、コマンド./config.shを発行します。

Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で「次へ」をクリックします。
ドメインの選択画面で、新規ドメインの作成を選択して、次の値を指定します。
- ユーザー名: weblogic
- パスワード: <weblogicユーザーのパスワード>
- パスワードの確認: <weblogicユーザーのパスワードを再度入力します>
- ドメイン名: IDMDomain

「インストール場所の指定」画面で、次の値を指定します。

Oracle Middlewareホームの場所:
```
/u01/app/oracle/product/fmw
```
Oracleホーム・ディレクトリ: idm

WebLogic Serverのディレクトリ:

/u01/app/oracle/product/fmw/wlserver_10.3

Oracleインスタンスの場所:
```
/u01/app/oracle/admin/ovd_inst1
```

Oracleインスタンス名:

ovd_inst1

注意:

/u01/app/oracle/product/fmw/idm

この場合、OVDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。

/u01/app/oracle/product/fmw/idm

「次へ」をクリックします。

「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
- 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
- My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
- 「セキュリティ・アップデートをMy Oracle Support経由で受け取ります。」フィールドの隣にあるチェック・ボックスを選択します。
「次へ」をクリックします。

「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。

注意:

このインストールでは、Oracle Directory Services ManagerとFusion Middleware Controlの管理コンポーネントが自動的に選択されます。この選択は解除できません。

「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

「次へ」をクリックします。
「仮想ディレクトリの指定」画面で、次の値を指定します。

「クライアント・リスナー」セクションで、次のように入力します。
- LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。
```
dc=us,dc=mycompany,dc=com
```
- HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。
- 保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。
「OVD管理者」セクションで、次のように入力します。
- 管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。
- パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。
- パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。
- 管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.4.3.2.2 OVDHOST1での管理サーバー用boot.propertiesの作成

この項では、OVDHOST1上の管理サーバーに対してboot.propertiesファイルを作成する方法を説明します。boot.propertiesファイルを使用すると、administratorのユーザー名とパスワードの入力を求められることなく管理サーバーを起動できます。

次の手順に従って、boot.propertiesファイルを作成します。

OVDHOST1で、次のディレクトリに移動します。

MW_HOME/user_projects/domains/domainName/servers/AdminServer/security

例:

cd /u01/app/oracle/product/fmw/user_projects/domains/IDMDomain/servers/AdminServer/security

テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。

username=adminUser
password=adminUserPassword

注意:

管理サーバーを起動すると、ファイル内のユーザー名とパスワードのエントリは暗号化されます。

セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルの編集後は、速やかにサーバーを起動してエントリを暗号化する必要があります。

管理サーバーが実行されている場合は停止します。

WebLogicサーバーの起動と停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の「Oracle Fusion Middlewareの起動と停止」を参照してください。
MW_HOME/user_projects/domains/domainName/binディレクトリにあるstartWebLogic.shスクリプトを使用して、OVDHOST1上の管理サーバーを起動します。
Webブラウザを開いて次のページにアクセスし、変更が正常に行われたことを確認します。
- WebLogic Server管理コンソール:
```
http://oidhost1.mycompany.com:7001/console
```
- Oracle Enterprise Manager Fusion Middleware Control:
```
http://oidhost1.mycompany.com:7001/em
```
weblogicユーザーの資格証明を使用して、これらのコンソールにログインします。

8.4.3.2.3 OVDHOST2でのOracle Virtual Directoryの構成

次の手順に従ってOVDHOST2上のOracle Virtual Directoryインスタンスを構成します。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOVDHOST2にインストールされ、アップグレードされていることを確認します。
OVDHOST1では、ポート6501と7501がOracle Virtual Directoryによって使用されています。OVDHOST2のOracle Virtual Directoryインスタンスにも同じポートを使用する必要があります。このため、ポート6501および7501がOVDHOST2上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

UNIXの場合:
```
netstat -an | grep LISTEN | grep ":6501"

netstat -an | grep LISTEN | grep ":7501"
```
Windowsの場合:
```
netstat -an | findstr "LISTEN" | findstr ":6501"

netstat -an | findstr "LISTEN" | findstr ":7501"
```
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

UNIXの場合:

/etc/servicesファイルでポート6501と7501のエントリを削除して、サービスまたはコンピュータを再起動します。

Windowsの場合:

ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。
```
# The Non-SSL LDAP port for OVD
Oracle Virtual Directory (Non-SSL) Port No for LDAP = 6501
# The SSL LDAP port for OVD
Oracle Virtual Directory (SSL) Port No for LDAP = 7501
```
次のようにして、ORACLE_HOME/binディレクトリの下のOracle Identity Management 11g構成ウィザードを起動します。

UNIXでは、コマンド./config.shを発行します。

Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で「次へ」をクリックします。
「ドメインの選択」画面で、「クラスタを開く」を選択し、次の値を指定します。
- ホスト名: ovdhost1.mycompany.com(WebLogic管理サーバーを実行しているホスト)
- ポート: 7001(これは管理サーバーのポートです。)
- ユーザー名: weblogic
- パスワード: <weblogicユーザーのパスワード>

「インストール場所の指定」画面で、次の値を指定します。

Oracle Middlewareホームの場所:
```
/u01/app/oracle/product/fmw
```
Oracleホーム・ディレクトリ: idm

WebLogic Serverのディレクトリ:

/u01/app/oracle/product/fmw/wlserver_10.3

Oracleインスタンスの場所:
```
/u01/app/oracle/admin/ovd_inst2
```

Oracleインスタンス名:

ovd_inst2

注意:

OVDHOST1のOracleホームの場所を示すディレクトリ・パスが、OVDHOST2のOracleホームの場所を示すディレクトリ・パスと同じであることを確認してください。たとえば、OVDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。

/u01/app/oracle/product/fmw/idm

この場合、OVDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。

/u01/app/oracle/product/fmw/idm

「次へ」をクリックします。

「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
- 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
- My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
- セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。

注意:

このインストールでは、Oracle Directory Services ManagerとFusion Middleware Controlの管理コンポーネントが自動的に選択されます。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

「次へ」をクリックします。
「仮想ディレクトリの指定」画面で、次の値を指定します。

「クライアント・リスナー」セクションで、次のように入力します。
- LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値は、dc=mycompany,dc=comです。
```
dc=mycompany,dc=com
```
- HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。
- 保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。
「OVD管理者」セクションで、次のように入力します。
- 管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。
- パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。
- パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。
- 管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.4.3.3 可用性の高いデータ・ソースを使用したOracle Virtual Directoryの構成

Oracle Virtual Directoryは、Oracle RACデータベース・リポジトリまたは可用性の高いLDAPリポジトリをデータ・ソースとして使用するように構成できます。

この項では、Oracle RACデータベース・リポジトリおよびLDAPリポジトリを使用した高可用性環境にOracle Virtual Directoryを構成する方法を説明します。

注意:

Oracle Virtual Directoryを高可用性トポロジで構成する場合は、すべてのノードで個別に構成手順を完了する必要があります。

8.4.3.3.1 Oracle RACデータベースを使用したOracle Virtual Directoryの構成

リポジトリとしてOracle RACデータベースを使用するOracle Virtual Directory高可用性環境では、Oracle Virtual Directoryデータベース・アダプタを作成して構成する必要があります。

Oracle Virtual Directoryアダプタの概要は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのOracle Virtual Directoryアダプタの理解に関する項を参照してください。

Oracle RACデータベースのデータベース・アダプタの作成の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのRACデータベースのデータベース・アダプタの作成に関する項を参照してください。

データベース・アダプタの構成の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのデータベース・アダプタの構成に関する項を参照してください。

8.4.3.3.2 LDAPを使用したOracle Virtual Directoryの構成

Oracle Virtual Directoryは、LDAPアダプタを介してOracle Internet DirectoryなどのLDAPリポジトリに接続します。高可用性環境では、ロード・バランシング・アルゴリズムを使用してノードのホストおよびポート情報を追加するか、LDAPリポジトリのロード・バランサのURLを追加することでLDAPアダプタを構成できます。

LDAPアダプタの作成と構成の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのLDAPアダプタの構成に関する項を参照してください。

8.4.4 Oracle Virtual Directoryの高可用性の検証

可用性の高いデプロイメントでは、Oracle Virtual Directoryインスタンスは、ハードウェア・ロード・バランサによりフロントエンド処理されます。Oracle Virtual Directoryインスタンス間でリクエストのロード・バランシングが行われ、障害(インスタンス障害またはホスト障害)が発生した場合、ハードウェアのロード・バランサによって障害が検出され、障害が発生していないインスタンスにすべてのリクエストがルーティングされます。

Oracle Virtual Directoryの高可用性をテストするには、ノードを1つずつ停止し、ldapbindなどのツールを使用してロード・バランサのURLを経由しOracle Virtual Directoryインスタンスに接続します。ノードの1つが稼働しトポロジの構成が正しければ、接続は常に成功します。

ldapbindコマンドライン・ツールを使用し、ロード・バランサの仮想ホストを介してOracle Virtual Directoryインスタンスに接続します。ldapbindツールでは、サーバーに対してクライアントを認証できるかどうかを確認できます。

次の手順に従って、OVDHOST1およびOVDHOST2のOracle Virtual Directoryの高可用性設定を検証します。

Oracle Fusion Middleware Oracle Identity Managementリファレンスの環境の構成に関する項の手順に従って環境を構成します。この項には、ldapbindコマンドを使用する前に設定する必要がある環境変数の一覧があります。
OVDHOST1で、opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを停止します。
```
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
```

OVDHOST2で、ldapbindを使用してロード・バランシング仮想アドレスにバインドし、Oracle Virtual Directoryのステータスをチェックします。

非SSL:

ldapbind -h ovd.mycompany.com -p 6501 -D "cn=orcladmin" -q

注意:

正常にバインドされると、ロード・バランサによってすべてのトラフィックがOVDHOST2にルーティングされます。

OVDHOST1で、opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを起動します。

ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1

OVDHOST2で、opmnctlコマンドを使用してOracle Virtual Directoryインスタンスを停止します。
```
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
```
OVDHOST1で、ldapbindを使用してロード・バランシング仮想アドレスにバインドし、Oracle Virtual Directoryのステータスをチェックします。

非SSL:
```
ldapbind -h ovd.mycompany.com -p 6501 -D "cn=orcladmin" -q
```

OVDHOST2で、opmnctlコマンドを使用してOracle Virtual Directoryインスタンスを起動します。

ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1

ldapbindコマンドの詳細は、Oracle Fusion Middleware Oracle Identity Managementリファレンスのldapbindに関する項を参照してください。

8.4.4.1 SSLを使用したOracle Virtual Directoryの高可用性の検証

Oracle Virtual Directoryは、デフォルトではサーバーのみのSSL認証モードを使用するように構成されます。ldapbindなどのコマンドライン・ツールを使用して、SSLサーバー認証モードで保護された接続を使用する接続を検証する場合は、Oracleウォレットにサーバー証明書が格納されている必要があります。次の手順に従って、このタスクを実行します。

次のコマンドを実行して、Oracleウォレットを作成します。

ORACLE_HOME/bin/orapki wallet create -wallet DIRECTORY_FOR_SSL_WALLET -pwd WALLET_PASSWORD

次のコマンドを実行して、Oracle Virtual Directoryサーバー証明書をエクスポートします。

ORACLE_HOME/jdk/jre/bin/keytool -exportcert -keystore OVD_KEYSTORE_FILE
-storepass PASSWORD -alias OVD_SERVER_CERT_ALIAS -rfc -file
OVD_SERVER_CERT_FILE

次のコマンドを実行して、Oracle Virtual Directoryサーバー証明書をOracleウォレットに追加します。

ORACLE_HOME/bin/orapki wallet add -wallet DIRECTORY_FOR_SSL_WALLET
-trusted_cert -cert OVD_SERVER_CERT_FILE -pwd WALLET_PASSWORD

第8.4.4項「Oracle Virtual Directoryの高可用性の検証」の手順に従って次のldapbindコマンドを使用し、OVDHOST1およびOVDHOST2のOracle Virtual Directoryの高可用性設定を検証します。次のコマンドの実行中に、手順3からOracleウォレットを使用します。
```
ORACLE_HOME/bin/ldapbind -D cn=orcladmin -q -U 2 -h HOST -p SSL_PORT -W "file://DIRECTORY_FOR_SSL_WALLET" -q
```

Oracle Virtual Directoryの高可用性デプロイメントがロード・バランサによってフロントエンド処理される場合は、すべてのOracle Virtual Directoryノードのウォレットに、トポロジの構成要素であるすべてのOracle Virtual Directoryインスタンスのクライアント証明書が格納されている必要があります。トポロジ内のすべてのOracle Virtual Directoryインスタンスのクライアント証明書をトポロジ内の全ノードのウォレットに追加します。これによって、ロード・バランサのURLを経由する有効な接続リクエストが正常に処理されることが保証されます。

注意:

11g リリース1(11.1.1)のインストール後にデフォルトの設定を使用している場合は、この項に記載された変数に次の値を使用できます。

OVD_KEYSTORE_FILEには、次を使用します。

ORACLE_INSTANCE/config/OVD/ovd1/keystores/keys.jks

OVD_SERVER_CERT_ALIASには、serverselfsignedを使用します。
-storepassオプションで使用するPASSWORDには、orcladminアカウントのパスワードを使用します。

8.4.5 Oracle Virtual Directoryのフェイルオーバーおよび予想される動作

この項では、Oracle Virtual DirectoryのフェイルオーバーとOracle RACのフェイルオーバーを実行する手順を説明します。

8.4.5.1 Oracle Virtual Directoryのフェイルオーバーの実行

次の手順に従って、Oracle Virtual Directoryインスタンスのフェイルオーバーを実行し、Oracle Virtual Directoryのステータスを調べます。

opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを停止します。
```
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
```

opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを起動します。

ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1

Oracle Virtual Directoryのステータスを確認します。
```
ORACLE_INSTANCE/bin/opmnctl status ias-component=ovd1
```

8.4.5.2 Oracle RACフェイルオーバーの実行

次の手順に従って、Oracle RACのフェイルオーバーを実行します。

srvctlコマンドを使用して、データベース・インスタンスを停止します。
```
srvctl stop instance -d db_unique_name -i inst_name_list
```
srvctlコマンドを使用して、データベース・インスタンスのステータスを確認します。
```
srvctl status database -d db_unique_name -v
```
Oracle Virtual Directoryのステータスを確認します。
```
ORACLE_INSTANCE/bin/opmnctl status ias-component=ovd1
```

srvctlコマンドを使用して、データベース・インスタンスを起動します。

srvctl start instance -d db_unique_name -i inst_name_list

注意:

Oracle RACデータベースに対するデータベース・アダプタを使用してOracle Virtual Directoryを構成している場合は、Oracle RACフェイルオーバー後の最初の検索に失敗します。ただし、その後の検索リクエストは問題なく正常に行われます。

8.4.6 Oracle Virtual Directoryの高可用性のトラブルシューティング

Oracle Virtual Directoryのログ・ファイルの情報は、Oracle Virtual Directoryに関する問題のトラブルシューティングに役立ちます。Oracle Virtual Directoryのログ・ファイルは、次のディレクトリにあります。

ORACLE_INSTANCE/diagnostics/log/OVD/<OVDComponentName>

トラブルシューティングの際に調査するログ・ファイルの順序は次のとおりです。

diagnostic.log: 診断メッセージが記録されます。
http-errors.log: HTTPエラーが記録されます。
access.log: Oracle Virtual Directoryインスタンスにアクセスするプロセスとクライアントに関する情報が記録されます。

8.4.6.1 LDAPアダプタ作成のトラブルシューティング

LDAPアダプタを作成するときは、アダプタ作成ウィザードの「接続」ページでLDAPサーバーのホスト名とポート番号を指定します。LDAPサーバーが「SSLサーバー認証のみ」モードまたは「相互認証」モードでリスニングしている場合、ODSMによってサーバー証明書がOracle Virtual Directoryのトラスト・ストアにインポートされます。ただし、複数のLDAPサーバーのフロントエンドに使用されるロード・バランサの名前を指定した場合、そのLDAPサーバーの証明書の1つのみがインポートされます。これにより、Oracle Virtual Directoryサーバーのリクエストが、証明書に信頼性がないLDAPサーバーにルーティングされる場合に問題が発生します。

この問題を回避するには、LDAPアダプタの作成中に、ロード・バランサ・ホストとポートの詳細を指定するだけでなく、ロード・バランサがフロント・エンドとして使用されるLDAPサーバーのホストとポートの詳細を指定し、すべてのLDAPサーバーの証明書がインポートされるようにします。アダプタを作成した後、アダプタ設定を編集し、物理LDAPサーバーのホストとポートの詳細を削除する、つまりそれらの重みを0(ゼロ)に設定することができます。

8.5 Oracle Directory Services Managerの高可用性

この項では、Oracle Directory Services Managerの概要、およびOracle Directory Integration PlatformとOracle Directory Services Managerに対して高可用性環境を設計およびデプロイする方法について説明します。

Oracle Directory Integration Platformの詳細は、第8.6項「Oracle Directory Integration Platformの高可用性」を参照してください。

この項の項目は次のとおりです。

第8.5.1項「Oracle Directory Services Managerコンポーネント・アーキテクチャ」
第8.5.2項「Oracle Directory Services Managerの高可用性の概要」
第8.5.3項「Oracle Directory Services Managerの高可用性の構成手順」
第8.5.4項「Oracle Directory Services Managerの高可用性の検証」
第8.5.5項「Oracle Directory Services Managerのフェイルオーバーおよび予想される動作」
第8.5.6項「Oracle Directory Services Managerのトラブルシューティング」
第8.5.7項「Oracle Directory Services Managerの高可用性に関するその他の考慮事項」

8.5.1 Oracle Directory Services Managerコンポーネント・アーキテクチャ

Oracle Directory Services Managerは、Oracle Internet DirectoryおよびOracle Virtual Directoryのインスタンスの管理用に統一されたグラフィカル・ユーザー・インタフェース(GUI)です。非推奨となったOracle Directory Managerにかわるものです。Oracle Directory Services Managerでは、ユーザー、グループおよびその他のエントリの追加と構成だけでなく、ディレクトリ構造の構成、ディレクトリ内のオブジェクトの定義ができます。

エンド・ユーザーは、Oracle Directory Services Managerを使用して、各自のディレクトリ・エントリ、スキーマ、セキュリティおよびその他の機能を管理できます。

図8-6は、Oracle Directory Services Managerのアーキテクチャを示しています。

図8-6 Oracle Directory Services Managerのアーキテクチャ

「図8-6 Oracle Directory Services Managerのアーキテクチャ」の説明

図8-6は、非高可用性アーキテクチャにデプロイされたOracle Directory Services Managerを示しています。Oracle Directory Services Managerは、WebLogic Serverにデプロイされ、管理対象となるOracle Virtual DirectoryとOracle Internet Directoryの各インスタンスと通信を行うよう構成されます。

Oracle Directory Services Managerでは、クライアント・ブラウザとの通信にHTTPプロトコルが使用されます。Oracle Internet Directoryとの通信には、LDAPプロトコルを使用し、Oracle Virtual Directoryとの通信はWebサービスを介して行われます。

8.5.1.1 Oracle Directory Services Managerコンポーネントの特性

Oracle Directory Services Managerは、Oracle Application Development Framework (ADF)ベースのJ2EEアプリケーションであり、WebLogic Server上にデプロイされます。デフォルトでは、Oracle Directory Services ManagerはWebLogicドメイン内の管理サーバーにデプロイされます。使用する環境の要件によっては、管理対象サーバーにデプロイすることも可能です。

Oracle Directory Services Managerは、Oracle Internet Directoryと同じノードまたは独立したノードにデプロイできます。

Oracle Directory Services Managerは、直接またはOracle Enterprise Manager Fusion Middleware Controlから起動できます。サポートされるブラウザには、Firefox 2、Firefox 3、およびInternet Explorer 7などがあります。

Oracle Directory Services Managerを直接起動するには、次のURLをブラウザのアドレス・フィールドに入力します。

http://host:port/odsm/faces/odsm.jspx

説明:

hostは、Oracle Directory Services Managerが実行されている管理対象サーバーの名前です。
portは、管理対象サーバーのポート番号です。

Oracle Directory Services ManagerをOracle Enterprise Manager Fusion Middleware Controlから起動する手順は次のとおりです。

Oracle Internet Directoryターゲットの「Oracle Internet Directory」メニューで「Directory Services Manager」を選択して、「データ・ブラウザ」、「スキーマ」、「セキュリティ」、または「拡張」を選択します。
Oracle Virtual Directoryターゲットの「Oracle Virtual Directory」メニューで「Directory Services Manager」を選択してから、「データ・ブラウザ」、「スキーマ」、「アダプタ」、「拡張機能」、または「クイック構成ウィザード」を選択します。

Oracle Directory Services Managerは、WebLogic Serverに対して外部的にステージングされたアプリケーションとしてデプロイされます。WebLogicサーバーは、Oracle Directory Services Managerアプリケーションの起動、停止、監視を管理します。Oracle Directory Services Managerは、管理対象サーバーの起動時に初期化を実行します。Oracleノード・マネージャは、サーバー・プロセスを監視して、障害発生時には再起動するように構成されます。

8.5.1.1.1 ライフサイクル管理

Oracle Directory Services Managerアプリケーションのライフサイクル・イベントは、次に示すコマンドライン・ツールおよびコンソールのいずれかを使用して管理できます。

WebLogic Server Scripting Tool (WLST)
Oracle Enterprise Manager Fusion Middleware Control
WebLogic Server管理コンソール
WebLogicノード・マネージャ

8.5.1.1.2 Oracle Directory Services Managerのログ・ファイル

Oracle Directory Services Managerのメッセージは、実行されているWebLogic Serverのサーバー・ログ・ファイルに記録されます。サーバー・ログのデフォルトの場所は次のとおりです。

WEBLOGIC_SERVER_HOME/user_projects/domains/domainName/servers/serverName/logs/
serverName-diagnostic.log

8.5.2 Oracle Directory Services Managerの高可用性の概要

この項では、Oracle Directory Services Managerを高可用性構成で使用する場合の概要について説明します。

この項で説明するOracle Directory Services Managerの高可用性構成では、2つのホスト上にOracle Directory Services ManagerとOracle Directory Integration Platformが、2ノードのアクティブ/アクティブの高可用性構成でインストールおよび構成されています。

8.5.2.1 Oracle Directory Services Managerの高可用性アーキテクチャ

図8-7は、Oracle Directory Integration PlatformとOracle Directory Services Managerのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。

図8-7 高可用性アーキテクチャのOracle Directory Services ManagerとOracle Directory Integration Platform

「図8-7 高可用性アーキテクチャのOracle Directory Services ManagerとOracle Directory Integration Platform」の説明

図8-7では、アプリケーション層にコンピュータIDMHOST1とIDMHOST2があります。

IDMHOST1では、次のインストールが実行されています。

Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS1管理対象サーバーにインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。

IDMHOST2では、次のインストールが実行されています。

Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS2管理対象サーバーにインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。

IDMHOST2上のWLS_ODS2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_ODS1管理対象サーバーにあるインスタンスは、CLUSTER_ODSクラスタとして構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。

8.5.2.1.1 クラスタの起動と停止

高可用性アーキテクチャでは、Oracle Directory Integration PlatformおよびOracle Directory Services ManagerはOracle WebLogicクラスタにデプロイされます。このクラスタには、その一部として少なくとも2つのサーバーが存在します。

WebLogic Serverはデフォルトで、アプリケーションの起動、停止および監視を行います。Oracle Directory Integration PlatformとOracle Directory Services Managerの各アプリケーションはともにデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。

高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。ノード・マネージャがこのサーバーを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってクラスタ内のWebLogicインスタンスの障害が検出され、障害が発生していないインスタンスにトラフィックがルーティングされます。

8.5.2.2 障害からの保護および予想される動作

この項では、Oracle Directory Services Managerのアクティブ/アクティブ・クラスタにおける様々な障害からの保護について説明します。

8.5.2.2.1 プロセス障害

高可用性環境では、Oracle Directory Services Managerアプリケーションは、少なくとも2つのWebLogicインスタンスで構成されるWebLogic Serverクラスタにデプロイされます。

Oracle Directory Services Managerアプリケーションはデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。

さらに、高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。ノード・マネージャがこのサーバーを再起動できない場合は、Oracle HTTP Serverの一部として構成されているmod_wl_ohs.confによって、障害が発生していないWebLogicインスタンスにリクエストがルーティングされます。

OPMNは、Oracle HTTP Serverプロセスを監視し、障害発生時にはこのプロセスを再起動します。OPMNがHTTPプロセスを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってOracle HTTP Serverインスタンスの障害が検出され、障害が発生していないインスタンスにトラフィックがルーティングされます。

Oracle Directory Services Managerによって、セッション状態が管理されますが、障害発生時には、セッション状態の情報は障害が発生していないノードに対して引き継がれません。

8.5.2.2.2 障害発生時に予想されるクライアント・アプリケーションの動作

Oracle Directory Services Managerのフェイルオーバーは、透過的ではありません。WebLogic Serverインスタンスのフェイルオーバー時は、Oracle Directory Services Managerを使用して接続を再確立する必要があります。

8.5.2.2.3 予想される依存性の障害

Oracle Directory Services Managerでは、起動時にWebLogic管理対象サーバーが利用可能である必要があります。利用できない場合は、Oracle Directory Services Managerの起動に失敗します。

8.5.2.3 Oracle Directory Services Managerの前提条件

この項では、Oracle Directory Services Managerの高可用性アーキテクチャを設定するための前提条件について説明します。

注意:

Oracle Directory Services Managerを高可用性デプロイメントで使用する場合は、クラスタ・ノードのシステム・クロックを同期する必要があります。

Oracle Directory Services Managerをインストールする前に、次に示すコンポーネントをインストールして構成しておくことをお薦めします。前提条件、およびインストールと構成の手順については、次の各項を参照してください。

Oracle Database

Oracle Real Application Clustersデータベースのインストールと構成は、次の各項の説明に従います。
Oracleリポジトリ作成ユーティリティ

Oracleリポジトリ作成ユーティリティをインストールして、必要なスキーマを作成しロードするには、次の各項の説明に従います。
- 第8.2.4項「リポジトリ作成ユーティリティ・ソフトウェアの取得」
- 第8.2.5項「Oracle Fusion Middleware 11gメタデータのデータベースの構成」
ロード・バランサと仮想ホスト

ロード・バランサの構成と必要な仮想サーバーの作成の詳細は、第8.2.5.4項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。
Oracle Internet Directory

Oracle Internet Directoryのインストールと構成は、次の各項の説明に従います。
- 第8.3.2.3項「Oracle Internet Directoryの前提条件」
- 第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」

8.5.3 Oracle Directory Services Managerの高可用性の構成手順

図8-7に示されているアクティブ/アクティブの高可用性構成のインストールおよび構成の手順については、第8.6.3項「Oracle Directory Integration Platformの高可用性の構成手順」を参照してください。

注意:

Oracle Directory Services Managerは、Oracle WebLogic Serverを必要とします。インストール手順は、8.3.3.1.1項「Oracle WebLogic Serverのインストール」を参照してください。

8.5.4 Oracle Directory Services Managerの高可用性の検証

この項では、高可用性構成のOracle Directory Services Managerを検証する方法について説明します。

この項では、次の項目について説明します。

第8.5.4.1項「WebLogic Serverインスタンスのフェイルオーバーの実行」
第8.5.4.2項「Oracle RACデータベースのフェイルオーバーの実行」

8.5.4.1 WebLogic Serverインスタンスのフェイルオーバーの実行

Oracle HTTP Serverを通してOracle Directory Services Managerにアクセスしている間に、この項の手順を使用してWebLogic Serverインスタンスをフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerがアクセス可能であることを検証できます。

この例で使用するOracle HTTP Server仮想サーバー名は次のとおりです。

http://idmhost1:odsmport/odsm

次の手順を実行します。

Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。
```
http://idmhost1:odsmport/odsm
```
「Oracle Directory Services Managerへようこそ」画面が表示されたら、Webブラウザを開いて次のURLを入力します。
```
http://hostname:port/console
```
hostnameは管理サーバーのDNS名、portは管理サーバーがリクエストをリスニングするポートのアドレス(デフォルトでは7001)です。
ログイン・ページで、管理サーバーの起動に使用するユーザー名とパスワードを入力して、「ログイン」をクリックします。
次の手順に従って、Oracle Directory Services Managerがデプロイされている管理対象サーバーの1つを停止させます。
1. 管理コンソールの左ペインで、「環境」を展開して「サーバー」を選択します。
  
  WebLogicサーバーの起動と停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の「Oracle Fusion Middlewareの起動と停止」を参照してください。
2. 停止させる管理対象サーバーの名前をクリックします。(例:wls_ods1)。
3. wls_ods1の設定画面で「制御」→「起動と停止」タブを選択します。
4. 停止する管理対象サーバーの名前(wls_ods1)の横にあるチェック・ボックスを選択し、「停止」→「作業完了時」をクリックします。
管理対象サーバー(wls_ods1)のステータスを確認します。
1. コンソールの左側のペインで、「環境」を開いて、「サーバー」を選択します。
2. 管理対象サーバー(wls_ods1)の状態はSHUTDOWNとなっているはずです。
Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。
```
http://idmhost1:odsmport/odsm
```
「Oracle Directory Services Managerへようこそ」画面が表示されます。

8.5.4.2 Oracle RACデータベースのフェイルオーバーの実行

ロード・バランシング・ルーターを介してOracle Directory Services Managerにアクセスしている間に、この項の手順に従ってOracle RACデータベース・インスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerが機能していることを確認します。この例では、Oracle Directory Services Managerの確認だけでなく、Oracle Internet Directoryからデータベースへのアクセスも確認します。

この例で使用するOracle HTTP Server仮想サーバー名は次のとおりです。

http://idmhost1:odsmport/odsm

この例で使用するLDAP仮想サーバー名は次のとおりです。

oid.mycompany.com:389

次の手順を実行します。

Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。
```
http://idmhost1:odsmport/odsm
```
「Oracle Directory Services Managerへようこそ」画面が表示されます。
LDAP仮想サーバーを使用してOracle Internet Directoryに接続できることを確認します。
1. 右上隅にある「ディレクトリに接続」→「新規接続の作成」リンクを選択します。
2. 「新規接続」画面で、次の接続情報を入力し、「接続」をクリックします。
  - ディレクトリ・タイプ: OID
  - 名前: OIDHA
  - サーバー: oid.mycompany.com
  - ポート: 389
  - SSL有効: 空白にしておきます。
  - ユーザー名: cn=orcladmin
  - パスワード: ********
  - 開始ページ: Home(デフォルト)
INFRADBHOST1-VIP上のOracle Internet Directoryスキーマ・データベース・インスタンスを停止させるために、次のようにsrvctlコマンドを実行します(この例では、INFRADBというデータベース名を使用します)。
```
ORACLE_HOME/bin/srvctl stop instance -d infradb -i infradb1
ORACLE_HOME/bin/srvctl status database
```
Oracle Directory Services Managerの画面を再表示するか、タブ(「ホーム」、「データ・ブラウザ」、「スキーマ」、「セキュリティ」、「詳細」)の1つをクリックします。依然としてOracle Internet Directoryの情報にアクセスできるはずです。
INFRADBHOST1-VIP上でOracle Internet Directoryスキーマ・データベース・インスタンスを再起動させるために、次のようにsrvctlコマンドを実行します。
```
ORACLE_HOME/bin/srvctl start instance -d infradb -i infradb1
ORACLE_HOME/bin/srvctl status database
```
INFRADBHOST2-VIPでステップ3、4、および5を実行します。

8.5.5 Oracle Directory Services Managerのフェイルオーバーおよび予想される動作

この項では、Oracle Directory Services Managerを使用して、管理対象サーバー、Oracle Internet Directoryインスタンス、およびOracle RACデータベースのフェイルオーバーを検証する手順について説明します。

この項の項目は次のとおりです。

第8.5.5.1項「Oracle Directory Services Managerを使用した管理対象サーバーのフェイルオーバーの検証」
第8.5.5.2項「Oracle Directory Services Managerを使用したOracle Internet Directoryインスタンスのフェイルオーバーの検証」
第8.5.5.3項「Oracle Directory Services Managerを使用したOracle RACのフェイルオーバーの検証」

8.5.5.1 Oracle Directory Services Managerを使用した管理対象サーバーのフェイルオーバーの検証

Oracle Directory Services Managerを使用して、管理対象サーバーのフェイルオーバーを検証する手順は次のとおりです。

Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。例:
```
http://WEBHOST1:PORT/odsm/faces/odsm.jspx
```
Oracle Internet Directoryに接続します。
管理コンソールに移動して、wls_ods1管理対象サーバーを停止します。
「Oracle Directory Services Manager」ページに戻り、作業を続行します。
「Oracle Directory Services Manager」ページの接続が切断されます。
同じブラウザから、Oracle HTTP Serverのホストとポートを使用して「Oracle Directory Services Manager」ページを再起動します。
接続を再確立します。

この動作が必要となる動作です。Oracle Directory Services Managerのフェイルオーバーは、透過的ではありません。WebLogic Serverインスタンスのフェイルオーバー時は、Oracle Directory Services Managerを使用して接続を再確立する必要があります。

8.5.5.2 Oracle Directory Services Managerを使用したOracle Internet Directoryインスタンスのフェイルオーバーの検証

Oracle Directory Services Managerを使用して、Oracle Internet Directoryインスタンスのフェイルオーバーを検証する手順は次のとおりです。

Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。例:
```
http://WEBHOST1:PORT/odsm/faces/odsm.jspx
```
Oracle Internet Directoryハードウェア・ロード・バランサに接続します。
一度に1つずつOracle Internet Directoryインスタンスを停止します。
フェイルオーバー時には、「Oracle Directory Services Manager」ページに戻り、作業を続行します。

これは、Oracle Directory Services ManagerにOracle Internet Directoryが停止しているというメッセージのウィンドウが表示された場合に必要な対応です。Oracle Directory Services Managerは、Oracle Internet Directoryに再接続しますが、その接続はフェイルオーバー時には永続しないことがあります。詳細は、第8.5.6.4項「Oracle Internet Directoryのフェイルオーバー時に、メッセージ「LDAPサーバーが停止しています。」がOracle Directory Services Managerに表示される」を参照してください。

Oracle Directory Services Managerにアクセスしている間に、Oracle Internet Directoryインスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もLDAPストアがアクセス可能であることを確認します。Oracle Directory Services ManagerからOracle Internet Directoryへの接続が永続的でない場合もあります。

8.5.5.3 Oracle Directory Services Managerを使用したOracle RACのフェイルオーバーの検証

Oracle Directory Services Managerを使用して、Oracle RACのフェイルオーバーを検証する手順は次のとおりです。

Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。例:
```
http://WEBHOST1:PORT/odsm/faces/odsm.jspx
```
「Oracle Directory Services Manager」ページからOracle Internet Directoryに接続します。
一度に1つずつOracle RACデータベース・インスタンスを停止します。
「Oracle Directory Services Manager」ページに戻り、ステップ2で確立したOracle Internet Directoryの接続から作業を続行します。

Oracle RACのフェイルオーバー時に一時的に接続が失われますが、これはOracle Directory Services Managerに必要な動作です。Oracle RACのフェイルオーバー時にOracle Directory Services Managerに表示されるエラー・メッセージの詳細は、第8.5.6.5項「Oracle RACフェイルオーバー時のOracle Directory Services Managerの一時的な接続の消失」を参照してください。

ハードウェア・ロード・バランサを介してOracle Directory Services Managerへアクセスしている間に、Oracle RACデータベース・インスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerが機能していることを確認します。これによって、Oracle Directory Services Managerの確認だけでなく、Oracle Internet DirectoryからOracle RACデータベースへのアクセスも確認できます。

8.5.6 Oracle Directory Services Managerのトラブルシューティング

この項では、Oracle Directory Services Managerの高可用性に関する問題に対処する方法について説明します。

8.5.6.1 WebLogicノード・マネージャの起動後に受信されたエラー・メッセージの処理

WebLogicノード・マネージャの起動後に次のエラー・メッセージが表示された場合は、エラー・メッセージの後に表示される手順に従います。

<Dec 15, 2008 8:40:05 PM> <Warning> <Uncaught exception in server handler:
javax.net.ssl.SSLKeyException: [Security:090482]BAD_CERTIFICATE alert was
received from stbee21.example.com - 152.68.64.2155. Check the peer to 
determine why it rejected the certificate chain (trusted CA configuration,
hostname verification). SSL debug tracing may be required to determine the
exact reason the certificate was rejected.> javax.net.ssl.SSLKeyException:
[Security:090482]BAD_CERTIFICATE alert was received from stbee21.example.com -
152.68.64.215. Check the peer to determine why it rejected the certificate chain 
(trusted CA configuration, hostname verification). SSL debug tracing may be
required to determine the exact reason the certificate was rejected.

まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。
コンソールの左側のペインで、「サーバー」を開いて、「AdminServer (admin)」をクリックします。
「構成」→「SSL」→詳細リンクを選択します。
「ホスト名の検証」に「なし」を選択します。
「保存」をクリックします。
管理コンソールの「チェンジ・センター」で、「変更のアクティブ化」をクリックします。
すべてのサーバーを再起動します。

管理対象サーバーが管理モードで起動したら、次の手順を実行します。

まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。
コンソールの左側のペインで、「サーバー」を開いて、ADMINモードで実行されているサーバーの名前をクリックします。
「制御」→「起動と停止」タブを選択します。
サーバーの名前を選択します。「再開」をクリックします。
「はい」をクリックしてサーバーを再開します。

8.5.6.2 WebLogicノード・マネージャが起動しない場合

WebLogicノード・マネージャの起動に失敗する場合は、次のドメイン・ファイルをIDMHOST1からIDMHOST2にコピーしてあることを確認します。

WL_HOME/common/nodemanager/nodemanager.domains

8.5.6.3 Oracle HTTP Serverを使用したOracle Directory Services Managerのフェイルオーバーが透過的に行われない

Oracle HTTP Serverを使用してOracle Directory Services Managerのフェイルオーバーを実行する場合、このフェイルオーバーは透過的には行われません。次の手順を実行すると、この動作を確認できます。

Oracle HTTP Serverを使用して、Oracle Directory Services Managerをアクティブ/アクティブの高可用性構成にデプロイします。
Oracle HTTP Serverの名前とポート番号を使用して、「Oracle Directory Services Manager」ページを開きます。
Oracle Internet DirectoryサーバーやOracle Virtual DirectoryサーバーなどのLDAPサーバーに接続します。
現行のOracle Directory Services ManagerのOracle HTTP Serverホストとポートを使用して、LDAPサーバーで作業します。
管理コンソールを使用して、管理対象サーバーを一度に1つずつ停止します。
「Oracle Directory Services Manager」ページとポート、およびすでに確立されているOracle Internet DirectoryまたはOracle Virtual Directoryの接続に戻ります。この操作を行うと、「Oracle Directory Services Manager」ページへの接続を再確立する必要があることを示すメッセージが表示されます。

このような場合は、次の手順を実行する必要があります。

Webブラウザで、現在の「Oracle Directory Services Manager」ページを終了します。
新たにWebブラウザ・ページを起動して、同じOracle Directory Services ManagerのOracle HTTP Serverの名前とポートを指定します。
前述の手順で作業中を行っていたLDAPサーバー(Oracle Internet DirectoryまたはOracle Virtual Directory)への接続を再確立します。

8.5.6.4 Oracle Internet Directoryのフェイルオーバー時に、メッセージ「LDAPサーバーが停止しています。」がOracle Directory Services Managerに表示される

Oracle Directory Services Managerがロード・バランサを介してOracle Internet Directoryに接続される高可用性構成では、Oracle Internet Directoryのインスタンス間のフェイルオーバー時にOracle Directory Services Managerにメッセージ「LDAPサーバーが停止しています。」が表示されます。

Oracle Internet Directoryのフェイルオーバーが完了すると、この接続は数分以内に再確立されるため、再ログインすることなく作業を続行できます。

8.5.6.5 Oracle RACフェイルオーバー時のOracle Directory Services Managerの一時的な接続の消失

Oracle Directory Services Managerでは、Oracle RACのフェイルオーバー時にOracle RACデータベースを使用中のOracle Internet Directoryインスタンスとの接続が一時的に失われます。Oracle Directory Services Managerに、メッセージFailure accessing Oracle database (oracle errcode=errcode)が表示されることがあります(errcodeは、次のいずれかです。値: 3113、3114、1092、28、1041、または1012)。

Oracle RACのフェイルオーバーが完了すると、この接続は数分以内に再確立されるため、再ログインすることなく作業を続行できます。

8.5.7 Oracle Directory Services Managerの高可用性に関するその他の考慮事項

Oracle Directory Services Managerを使用して、Oracle Internet Directoryクラスタを管理する場合は、接続文字列にロード・バランサの仮想アドレスを使用します。ただし、Oracle Directory Services Managerを使用してOracle Virtual Directoryクラスタを管理する場合は、具体的なOracle Virtual Directoryインスタンスのホスト名とポートを指定する必要があります。

8.6 Oracle Directory Integration Platformの高可用性

この項では、Oracle Directory Integration Platformの概要、およびOracle Directory Integration PlatformとOracle Directory Services Managerの高可用性環境の設計とデプロイについて説明します。

Oracle Directory Services Managerの詳細は、第8.5項「Oracle Directory Services Managerの高可用性」を参照してください。

注意:

Oracle Directory Integration Platformには、WebLogicドメインが必要です。

この項の項目は次のとおりです。

第8.6.1項「Oracle Directory Integration Platformコンポーネント・アーキテクチャ」
第8.6.2項「Oracle Directory Integration Platformの高可用性の概要」
第8.6.3項「Oracle Directory Integration Platformの高可用性構成の手順」
第8.6.4項「Oracle Directory Integration Platformのフェイルオーバーおよび予想される動作」
第8.6.5項「Oracle Directory Integration Platformの高可用性のトラブルシューティング」

8.6.1 Oracle Directory Integration Platformコンポーネント・アーキテクチャ

Oracle Directory Integration Platformは、アプリケーションやディレクトリ(サード・パーティのLDAPディレクトリなど)とOracle Internet Directoryとの統合を可能にするJ2EEアプリケーションです。

Oracle Directory Integration Platformには、他のエンタープライズ・リポジトリとの同期ソリューションのデプロイを可能とするサービスとインタフェースが含まれています。Oracle Internet Directoryとサード・パーティのメタディレクトリ・ソリューションとの相互運用性を実現するためにも使用できます。

Oracle Directory Integration Platformには、必要な統合のタイプに応じた次の2つのサービスがあります。

Oracle Directory Integration Platform Synchronization Serviceによる同期化では、中央のOracle Internet Directoryを使用して接続ディレクトリの整合性が保持されます。

Oracle Directory Integration Platform Provisioning Serviceによる通知では、ターゲット・アプリケーションに定期的に通知が送信され、ユーザーのステータスや情報に対する変更が反映されます。

注意:

この章の以降では、次の用語を使用します。

Oracle Directory Integration Platform Synchronization Serviceには「同期化サービス」を使用します。
Oracle Directory Integration Platform Provisioning Serviceには「プロビジョニング・サービス」を使用します。

図8-8は、Oracle Directory Integration Platformのアーキテクチャを示しています。

図8-8 Oracle Directory Integration Platformのアーキテクチャ

「図8-8 Oracle Directory Integration Platformのアーキテクチャ」の説明

図8-8は、Oracle Directory Integration Platformの様々なコンポーネントを示しています。Oracle Internet Directoryは、Oracle Directory Integration Platformの同期化Enterprise JavaBeans(EJB)とクォーツ・スケジューラを使用して接続ディレクトリと同期化されます。

同様に、Oracle Internet Directoryでの変更は、Oracle Directory Integration PlatformのプロビジョニングEnterprise JavaBeans(EJB)とクォーツ・スケジューラを使用して各種アプリケーションに送信されます。

8.6.1.1 Oracle Directory Integration Platformコンポーネントの特性

Oracle Directory Integration Serverは、次で説明するように、同期化サービスによって各同期化サービスを、プロビジョニング・サービスによって各統合サービスを提供します。

同期化サービスには、次の機能があります。
- スケジュール: 事前定義済スケジュールに基づいた同期化プロファイルを処理します。
- マッピング: 接続ディレクトリとOracle Internet Directory間のデータ交換のルールを実行します。
- データの伝播: コネクタを使用して接続ディレクトリとデータを交換します。
- エラーを処理します。
プロビジョニング・サービスには、次の機能があります。
- データの伝播: コネクタを使用して接続ディレクトリとデータを交換します。
- イベント通知: Oracle Internet Directoryに格納されたユーザーまたはグループ・データに関連する変更をアプリケーションに通知します。
- エラーを処理します。

Oracle Directory Integration Platformは、WebLogic Serverにデプロイされます。デフォルトでは、Oracle Directory Integration Platformは、Oracle Identity Managementソフトウェア・スタックの一部としてインストールされますが、アーキテクチャの要件に応じて、スタンドアロン・アプリケーションとしてインストールすることもできます。

8.6.1.1.1 ランタイム・プロセス

Oracle Directory Integration Serverには、次の機能があります。

同期化Enterprise JavaBeans(EJB)とクォーツ・スケジューラを使用した同期化サービス。同期化EJBは本質的にステートレスです。

クォーツ・スケジューラは、同期化EJBを起動し、すべての接続ディレクトリに対して該当する変更を同期します。

同期化サービスは、接続ディレクトリで必要とされるインタフェースとフォーマットを使用してこれらの変更を提供します。Oracle Directory Integration Platformコネクタを介した同期化では、Oracle Internet Directoryクライアントが必要とするすべての情報に対してOracle Internet Directoryが最新の状態に維持されることが保証されます。
プロビジョニング・サービスでは、プロビジョニングEnterprise JavaBeans(EJB)とクォーツ・スケジューラが使用されます。プロビジョニングEJBは本質的にステートレスです。

クォーツ・スケジューラは、プロビジョニングEJBを起動し、プロビジョニングされた各アプリケーションに変更を通知します。
UpdateJob EJBは、Oracle Internet Directory変更ログに対して同期またはプロビジョニング・プロファイルの変更のポーリングを定期的に行います。プロファイルの変更が検出されると、それに応じてクォーツ・スケジューラ・ジョブが更新されます。

8.6.1.1.2 プロセスのライフサイクル

Oracle Directory Integration Platformは、外部的に管理されたアプリケーションとしてWebLogic Serverにデプロイされます。Oracle Directory Integration Platformアプリケーションはデフォルトで、起動、停止、監視および他のライフサイクル・イベントに、基礎となるWebLogic Serverインフラストラクチャを使用します。WebLogicノード・マネージャは、サーバー・プロセスを監視し、障害発生時にそのプロセスを再起動するように構成できます。

Oracle Directory Integration Platformは、デプロイされた管理対象サーバーの起動時に初期化されます。Oracle Directory Integration Platformアプリケーションが起動すると、初期化コードによって既存のディレクトリ統合プロファイルにジョブの初期セットが作成され、UpdateJobBean EJBが起動されます。

UpdateJobBeanは、クォーツ・スケジューラに送信されたジョブを更新します。

クォーツ・スケジューラはジョブに応じて、プロビジョニングEJBまたは同期化EJBを起動します。プロビジョニングEJBが起動された場合は、プロビジョニング対象の各アプリケーションに対してOracle Internet Directoryの変更が通知されます。同期化EJBが起動された場合は、すべての接続ディレクトリに対して該当する変更が同期化されます。

起動および停止

Oracle Directory Integration Platformのライフサイクル・イベントは、次に示すコマンドライン・ツールおよびコンソールを1つ以上使用して管理します。

Oracle WebLogic Scripting Tool(WLST)
Oracle Enterprise Manager Fusion Middleware Control
WebLogic Server管理コンソール
Oracle WebLogicノード・マネージャ

8.6.1.1.3 リクエスト・フロー

Oracle Directory Integration Platformは、外部リクエストを処理しません。この主要機能は、作成されたプロファイルに基づいて、同期化とプロビジョニングをサポートすることです。

この項では、同期化およびプロビジョニングの際の情報フローについて説明します。

Oracle Directory Integration Platform Synchronization Serviceフロー

Oracle Directory Integration Platformは、ディレクトリ同期プロファイルに従ってOracle Internet Directoryと接続ディレクトリ間の変更を同期します。

変更が行われた場所に応じて、次のような同期化が発生します。

接続ディレクトリからOracle Internet Directoryへの同期化
Oracle Internet Directoryから接続ディレクトリへの同期化
双方向での同期化

Oracle Internet Directoryから接続されたディレクトリへの同期化

Oracle Internet Directoryでは、ディレクトリ・オブジェクトに対する増分変更が保存される変更ログが管理されます。これには、変更ログ番号に基づいて連続的に変更が保存されます。

Oracle Internet Directoryから接続ディレクトリへの同期では、この変更ログが利用されます。このため、Oracle Directory Integration Platformの実行時には、変更ロギングが有効化されているデフォルト設定を使用してOracle Internet Directoryを起動する必要があります。

Oracle Directory Integration Platform Synchronization Serviceが同期プロファイルを処理するたびに、次の処理が行われます。

すべての変更が適用された最新の変更ログ番号が取得されます。
この番号より新しい変更ログ・エントリがそれぞれチェックされます。
プロファイルのフィルタリング・ルールを使用して、接続ディレクトリとの同期対象の変更が選択されます。
エントリにマッピング・ルールが適用され、接続ディレクトリで対応する変更が実行されます。

該当するエントリまたは属性がその接続ディレクトリで更新されます。接続ディレクトリで、DB、LDAP、タグ付き、またはLDIFの各形式が直接使用されていない場合は、プロファイルに指定されているエージェントが起動されます。正常に使用された最後の変更番号がプロファイルに保存されます。

Oracle Internet Directoryは、すべてのプロファイルが必要な変更ログを使用した後、変更ログをパージして、後続の同期の開始位置を示します。

接続されたディレクトリからOracle Internet Directoryへの同期化

接続ディレクトリで、DB、LDAP、タグ付き、またはLDIFの各形式が直接使用されている場合、そのエントリまたは属性に対する変更は、Oracle Directory Integration Platform Synchronization Serviceによって自動的に同期化されます。それ以外の場合、コネクタは同期プロファイルにエージェントを持ち、エージェントがLDIFまたはタグ付き形式でファイルへの変更を書き込みます。次に、Oracle Directory Integration Platform Synchronization Serviceは、この接続ディレクトリ・データのファイルを使用して、Oracle Internet Directoryを更新します。

プロビジョニング・フロー

プロビジョニングとは、ユーザー、グループおよび他のオブジェクトに対し、環境内で利用可能なアプリケーションや他のリソースへのアクセスを提供するプロセスです。プロビジョニング統合アプリケーションとは、プロビジョニング・イベント用に、Oracle Internet Directoryにプロビジョニング統合プロファイルが登録されているアプリケーションです。

Oracle Directory Integration Platform Provisioningでは、次の方法のいずれかを使用してアプリケーションをプロビジョニングできます。

同期プロビジョニング
非同期プロビジョニング
プロビジョニングのデータ・フロー

それぞれのプロビジョニング方法については、後続の各項で説明します。

同期プロビジョニング

Oracle Internet Directoryでユーザー情報を管理するアプリケーションでは、データ・アクセスJavaプラグインを使用して、Oracle Internet Directoryに変更が発生するたびにユーザー・エントリを作成、変更および削除でき、同期的にプロビジョニングされます。これは、Oracle Identity Management(プロビジョニング・コンソールやコマンドラインLDAPツールなど)からデータ・アクセスJavaプラグインを直接起動できるためです。

Oracle Directory Integration Platform Provisioning Serviceの同期プロビジョニングは、Oracle Identity Managementツール(Oracle Fusion Middleware Controlのプロビジョニング・コンソールやbulkprovなど)、サード・パーティ・ディレクトリ、またはコマンドラインLDAPツールから起動できます。

Oracle Identity Managementツール(Oracle Fusion Middleware Controlのプロビジョニング・コンソール画面やprovProfileBulkProvコマンドによるバルク・プロビジョニングなど)、およびサード・パーティ・ディレクトリを使用したOracle Directory Integration Platform Provisioning Serviceの同期プロビジョニングは、次のプロセスに従います。

Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
新規ユーザー・エントリを作成したOracle Identity Managementコンポーネントは、データ・アクセスJavaプラグインを起動します。
データ・アクセスJavaプラグインは、アプリケーションにこの新規ユーザー・アカウントをプロビジョニングします。

コマンドラインLDAPツールを使用した同期プロビジョニングは、次のプロセスに従います。

コマンドラインLDAPツールによって、Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
次にスケジュールされた同期間隔で、Oracle Directory Integration Platformは、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在することを確認します。
Oracle Directory Integration Platformは、データ・アクセスJavaプラグインを起動します。
データ・アクセスJavaプラグインは、アプリケーションに新規ユーザー・アカウントをプロビジョニングします。

非同期プロビジョニング

非同期プロビジョニングでは、プロビジョニングは、任意のOracle Identity ManagementのコンポーネントではなくPL/SQLプラグインによって処理されます。

Oracle Directory Integration Platformは、PL/SQLイベントをプロビジョニング統合アプリケーションに伝播し、次に、このアプリケーションがイベントを処理するためにPL/SQLプラグインを実行します。PL/SQLプラグインの実行は、アプリケーション・リポジトリ内で発生し、任意のOracle Identity Managementコンポーネントのアドレス空間では発生しません。プロビジョニングは、任意のOracle Identity ManagementのコンポーネントではなくPL/SQLプラグインによって処理されるため、PL/SQLプラグインを実装するプロビジョニング統合アプリケーションは、非同期的にプロビジョニングされます。

Oracle Directory Integration Platform Provisioning Serviceを使用した非同期プロビジョニングは、Oracle Identity Managementツール(プロビジョニング・コンソールやbulkprovなど)、サード・パーティ・ディレクトリとの同期化、またはコマンドラインLDAPツールから起動できます。

Oracle Identity Managementツール(プロビジョニング・コンソール、provProfileBulkProvコマンドによるバルク・プロビジョニングなど)、およびサード・パーティ・ディレクトリからの非同期プロビジョニングは、次のプロセスに従います。

Oracle Internet Directoryに新規ユーザー・エントリとアプリケーション固有のユーザー・プリファレンスを含む関連エントリが作成されます。
次にスケジュールされた同期間隔で、Oracle Directory Integration Platformは、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在することを確認します。
Oracle Directory Integration PlatformからPL/SQLプラグインにプロビジョニング・イベントが送信されます。

コマンドラインLDAPツールを使用した非同期プロビジョニングは、次のプロセスに従います。

コマンドラインLDAPツールを使用して、Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
次に、Oracle Directory Integration Platformはスケジュールされた同期間隔で、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在するか確認し、アプリケーション固有のユーザー・プリファレンスを含む関連エントリを作成します。
Oracle Directory Integration PlatformからPL/SQLプラグインにプロビジョニング・イベントが送信されます。

プロビジョニングのデータ・フロー

プロビジョニングが同期か非同期かにかかわらず、アプリケーションでは、プロビジョニング・インテリジェント機能を拡張してビジネス・ポリシーを実装するために、プレデータ・エントリ・プラグインとポストデータ・エントリ・プラグインを起動できます。どちらのプラグインも、Oracle Internet Directoryプロビジョニング・コンソールなどのOracle Identity ManagementコンポーネントやprovProfileBulkProvコマンドによるバルク・プロビジョニングから起動できます。

プレデータ・エントリ・プラグインは、プロビジョニング・ポリシーに基づいてフィールドを移入します。このプラグインの主な目的は、アプリケーションでユーザーをプロビジョニングするかどうかを決定することです。たとえば、財務管理アプリケーションにはマネージャのみをプロビジョニングするというポリシーを持つ組織の場合、プレデータ・エントリ・プラグインを使用することで、どのユーザー・エントリをプロビジョニングするかを特定できます。共通のユーザー属性は、このプラグインの起動時にすでに移入が行われているため、プロビジョニングの決定を行うための十分な情報がすでに存在していることになります。

ポストデータ・エントリ・プラグインは、主に、ユーザーによって入力された共通属性とアプリケーション固有属性に関するデータを検証します。プロビジョニングを続けるためには、このプラグインでの検証に成功する必要があります。

プロビジョニングのデータ・フローは、次のプロセスに従います。

ベース・ユーザー情報が作成されます。
プレデータ・エントリ・プラグインが起動し、ポリシーに基づいてフィールドの移入が行われます。
ポストデータ・エントリ・プラグインが起動し、ユーザーが入力したデータが検証されます。
プロビジョニング方式に応じて、非同期または同期プロビジョニング・プロシージャが起動します。

プロビジョニング・コンソールでプロビジョニングを実行する場合、管理者は、プレデータ・エントリ・プラグインが起動した後、かつポストデータ・エントリ・プラグインが起動する前にアプリケーション属性を変更できます。

8.6.1.1.4 構成アーティファクト

Oracle Directory Integration Platformに関する構成の詳細は、dip-config.xmlファイルで管理されます。この構成ファイルは、Oracle Directory Integration Platformアプリケーションの一部としてパッケージ化されています。dip-config.xmlファイルのデフォルトの場所は、次のとおりです。

MW_HOME/user_projects/domains/domainName/config/
fmwconfig/servers/serverName/applications/DIP_11.1.1.2.0/configuration

domainNameはドメインの名前で、serverNameは管理対象サーバーの名前です。

パラメータは、Config MBeansにより管理されます。表8-8は、Oracle Directory Integration Platformを起動するためにdip-config.xmlに必要な構成パラメータを示しています。

表8-8 Directory Integration Platformの起動に必要な構成パラメータ

パラメータ	説明
OIDホスト	Oracle Directory Integration Platformが接続する必要のあるOracle Internet Directoryのホスト名。
OIDポート	Oracle Internet Directoryのポート
SSLモード	Oracle Internet Directoryへの接続に使用されるSSLモード。有効な値は次のとおりです。 0: 非SSL 1: 認証なしのSSL(ハンドシェイクのみ)。これはデフォルトのモードです。 2: サーバーのみの認証に対応したSSL。認証はトラスト・ポイント証明書に基づいています。
JKSの場所	Javaキーストア(JKS)を格納するファイル・システムの場所
クォーツ・スレッド	プロセスをスケジュールするクォーツで使用できる最大スレッド数

Oracle Directory Integration Platformサーバーは、実行状態になると、同期化の処理および機能のプロビジョニングに関する詳細をOracle Internet Directoryから読み込みます。

同期プロファイルおよびプロビジョニング・プロファイル作成の詳細は、次を参照してください。

Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドの同期プロファイルの作成に関する項。
Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドのoidprovtoolを使用したプロビジョニング・プロファイルの管理に関する項。

8.6.1.1.5 外部依存性

Oracle Directory Integration Platformは、メタデータの格納にOracle Internet Directoryを使用します。クォーツ・スケジューラは、ODSSMスキーマを使用してデータベースにスケジュール情報を格納します。Oracle Internet DirectoryとOracle Directory Integration Platformは、同じデータベースを使用します。Oracle Directory Integration Platformに必要なODSSMスキーマは、Oracle Internet Directoryのスキーマ作成の一環として作成されます。

Oracle Directory Integration Platformは、Oracleが提供するセキュアなフレームワークであるOracle資格証明ストア・フレームワーク(CSF)、およびSSLを介したOracle Internet Directoryやサード・パーティのLDAPストアへの接続に使用されるウォレットと資格証明を保存するJavaキーストア(JKS)にも依存します。

Oracle Directory Integration Platformは、デフォルトでインストールされるOracle Fusion Middleware共通の監査フレームワークにも依存します。

8.6.1.1.6 Oracle Directory Integration Platformのログ・ファイル

Oracle Directory Integration Platformは、WebLogic Server上にデプロイされるJ2EEアプリケーションです。すべてのログ・メッセージは、アプリケーションがデプロイされるWebLogic Serverのサーバー・ログ・ファイルに記録されます。サーバー・ログのデフォルトの場所は次のとおりです。

WEBLOGIC_SERVER_HOME/user_projects/domains/domainName/servers/serverName/logs/
serverName-diagnostic.log

8.6.2 Oracle Directory Integration Platformの高可用性の概要

この項では、Oracle Directory Integration Platformを高可用性構成で使用する場合の概要について説明します。

この項で説明するOracle Directory Integration Platformの高可用性構成では、2つのホスト上にOracle Directory Integration PlatformとOracle Directory Services Managerが、2ノードのアクティブ/アクティブの高可用性構成で、インストールおよび構成されています。

第8.6.2.1項「Oracle Directory Integration Platformの高可用性アーキテクチャ」
第8.6.2.2「障害からの保護および予想される動作」
第8.6.2.3項「Oracle Directory Integration Platformの前提条件」

8.6.2.1 Oracle Directory Integration Platformの高可用性アーキテクチャ

図8-9は、Oracle Directory Integration PlatformとOracle Directory Services Managerのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。

図8-9 高可用性アーキテクチャのOracle Directory Integration PlatformとOracle Directory Services Manager

「図8-9 高可用性アーキテクチャのOracle Directory Integration PlatformとOracle Directory Services Manager」の説明

図8-9では、アプリケーション層にコンピュータIDMHOST1とIDMHOST2があります。

IDMHOST1では、次のインストールが実行されています。

Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS1管理対象サーバーにインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。

IDMHOST2では、次のインストールが実行されています。

Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS2管理対象サーバーにインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。

IDMHOST2上のWLS_ODS2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_ODS1管理対象サーバーにあるインスタンスは、CLUSTER_ODSクラスタとして構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。

8.6.2.1.1 クラスタの起動と停止

8.6.2.1.2 クラスタワイドの構成変更

Oracle Internet Directoryをアクティブ/アクティブの高可用性構成にデプロイする場合は、そのクラスタに属するすべてのOracle Internet Directoryインスタンスが同じデータベースを共有します。いずれかのOracle Internet DirectoryノードのOracle Directory Integration Platformに加えられた変更は、クラスタ内のすべてのOracle Internet Directoryインスタンスに自動的に伝播されます。

次の各項では、Oracle Internet DirectoryのデプロイメントにおけるOracle Directory Integration Platformアプリケーションの構成変更について説明します。マルチマスター・レプリケーションでは、次に説明するように、クラスタ内のすべてのノードに構成の変更を適用する必要があります。

ディレクトリ統合プロファイル

デフォルトのOracle Internet Directoryマルチマスター・レプリケーション環境では、任意のOracle Internet Directoryノード上のディレクトリ統合プロファイルへの変更は、他のOracle Internet Directoryノードへは自動的にレプリケートされません。これらのファイルは、1次ノードから2次ノードに対して定期的に手動でコピーする必要があります。これにより、1次ノードで問題が発生した場合、2次ノードでディレクトリ同期プロファイルを実行できます。

Oracle Directory Integration Platformで使用されるパラメータの1つにorcllastappliedchangenumberがあります。ディレクトリ同期プロファイルのlastchangenumber属性に指定した値は、Oracle Directory Integration Platformが実行されているディレクトリ・サーバーによって異なります。アクティブ/アクティブ構成のOracle Directory Integration Platformでは、すべてのインスタンスのlastchangenumber属性を手動で更新する必要があります。

次の項では、同期プロファイルとプロビジョニング・プロファイルをマルチマスター・レプリケーション・デプロイメントの1次Oracle Internet Directoryから2次Oracle Internet Directoryにコピーする手順の詳細について説明します。

ディレクトリ同期プロファイル

エクスポート・プロファイルをターゲット・ノードにコピーした後、lastchangenumber属性をターゲット・ノードの値で更新する必要があります。値を更新する手順は次のとおりです。

同期プロファイルを無効化します。
ldapsearchコマンドを使用して、ターゲット・ノードのlastchangenumber属性の値を取得します。
ldapsearchを使用して、プロファイル・エントリのLDIFダンプを取得します。
ldapaddを使用して、他のOracle Internet Directoryインスタンスにプロファイルを追加します。
manageSyncProfilesコマンドのupdatechgnum演算子を使用して、ターゲット・ノードにコピーしたエクスポート・プロファイルのlastchangenumber属性をステップ2で取得した値で更新します。
同期プロファイルを有効化します。

ディレクトリ・プロビジョニング・プロファイル

デフォルトのOracle Internet Directoryマルチマスター・レプリケーション環境では、Oracle Directory Integration Platformは1次Oracle Internet Directoryと同じ場所にインストールされます。この項の情報と手順は、マルチマスター・レプリケーションが設定されている場合にのみ適用できます。

1次ノードで障害が発生した場合、そのノードにあるすべてのプロファイルに対するイベント伝播は停止します。イベントはキューに入れられ、1次ノードの停止中にも失われることはありませんが、どのアプリケーションにもイベントは伝播されません。バージョン1.0および2.0のプロファイルで、1次ノードが停止した場合でもイベントの伝播が継続されることを保証するには、ディレクトリ・プロビジョニング・プロファイルを他の2次ノードにコピーする必要があります。

ただし、ディレクトリ・プロビジョニング・プロファイルは、アプリケーションがインストールされた直後からOracle Internet Directoryでユーザー変更が行われる前にしか、1次ノードから任意の2次ノードに対してコピーされません。

1次ノードと2次ノード間でディレクトリ・プロビジョニング・プロファイルを同期するには、次の手順を実行する必要があります。

1次ノードで、ldifwriteコマンドを使用してこのコンテナからエントリのLDIFダンプを作成します。
```
cn=provisioning profiles,cn=changelog subscriber,cn=oracle internet directory
```
LDIFダンプを2次ノードにコピーします。
ldapaddコマンドを使用して、2次ノードにプロファイルを追加します。

8.6.2.2 障害からの保護および予想される動作

この項では、Oracle Directory Integration Platformのアクティブ/アクティブ・クラスタにおける様々な障害からの保護について説明します。

第8.6.2.2.1項「プロセス障害」
第8.6.2.2.2項「障害発生時に予想されるクライアント・アプリケーションの動作」
第8.6.2.2.3項「外部依存性の障害」

8.6.2.2.1 プロセス障害

高可用性環境では、Oracle Directory Integration Platformアプリケーションは、少なくとも2つのWebLogicインスタンスで構成されるWebLogic Serverクラスタにデプロイされます。

Oracle Directory Integration Platformアプリケーションはデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。Oracle Directory Integration Platformがデプロイされるときに、クォーツ・スケジューラはクラスタリング・オプションを使用して起動されます。クラスタリング・オプションを指定して起動されると、スケジューラはノードの負荷に応じて、クラスタ内の利用可能なノードのいずれかでジョブを実行します。1つ以上のノードでハードウェアなどの障害が発生すると、スケジューラは利用可能なノードでジョブを実行します。

さらに、高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。

Oracle Directory Integration Platformアプリケーション内では、クォーツ・スケジューラによって、実際の処理を行うプロビジョニングまたは同期化EJBが起動されます。クォーツ・スケジューラによってEJBが起動されるとただちに、そのEJBにはジョブ実行中のタグが付けられます。EJBがジョブに失敗した場合は、クォーツ・スケジューラはジョブに失敗のマークを付け、後で別のEJBで実行されるよう再スケジュールします。

8.6.2.2.2 障害発生時に予想されるクライアント・アプリケーションの動作

Oracle Directory Integration Platformのフェイルオーバーは、エンド・ユーザーに対して透過的ではありません。

高可用性トポロジにデプロイされたOracle Directory Integration Platformインスタンスに対する構成の変更は、トポロジ内のすべてのOracle Directory Integration Platformインスタンスに自動的には伝播されません。

manageDIPServerConfigツールを使用して、トポロジ内のすべてのOracle Directory Integration Platformインスタンスに同一の構成変更を行うことをお薦めします。これにより、トポロジ内のすべてのOracle Directory Integration Platformインスタンスの構成が同一になることが保証されます。

manageDIPServerConfigツールの詳細は、Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドを参照してください。

8.6.2.2.3 外部依存性の障害

Oracle Directory Integration Platformの起動時には、バックエンド・リポジトリ、Oracle Internet Directory、資格証明ストア・フレームワーク、およびWebLogic管理対象サーバーが使用可能である必要があります。これらのいずれかが使用できない場合、Oracle Directory Integration Platformは起動できません。

8.6.2.3 Oracle Directory Integration Platformの前提条件

この項では、Oracle Directory Integration Platformの高可用性アーキテクチャを設定するための前提条件について説明します。

注意:

Oracle Directory Integration Platformは、クォーツを使用して、データベース内のジョブとスケジュールを管理します。クォーツ・ジョブをクラスタ内の複数のOracle Directory Integration Platformノードで実行するには、クラスタ・ノードのシステム・クロックを同期させる必要があります。

Oracle Internet Directoryのインストールと構成は、次の各項の説明に従います。

第8.3.2.3項「Oracle Internet Directoryの前提条件」
第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」

8.6.3 Oracle Directory Integration Platformの高可用性構成の手順

高可用性環境では、WebLogic Serverのユーティリティを使用して、Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerのクラスタ化、ロード・バランシングおよびフェイルオーバーを行うことをお薦めします。

この項では、IDMHOST1とIDMHOST2で次のインストールと構成を実行する手順について説明します。

第8.6.3.1項「IDMHOST1でのOracle Directory Integration Platformの構成」
第8.6.3.2項「IDMHOST2でのOracle Directory Integration PlatformとOracle Directory Services Managerの構成」
第8.6.3.3項「Oracle Directory Integration PlatformとOracle Directory Services Managerのインストール後の手順」
第8.6.3.4項「WEBHOST1およびWEBHOST2へのOracle Fusion Middlewareコンポーネントのインストール」

Oracle Directory Integration PlatformおよびOracle Directory Services Managerは、同一インストール・セッション、同一管理対象サーバー、または同一ホストにインストールする必要はありません。この項のインストールと構成の手順は、Oracle Directory Integration PlatformとOracle Directory Services Managerを2ノードのアクティブ/アクティブ・クラスタにインストールする場合の一例です。

8.6.3.1 IDMHOST1でのOracle Directory Integration Platformの構成

次の手順に従って、IDMHOST1上のOracle Directory Integration PlatformとOracle Directory Services Managerを構成します。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがIDMHOST1にインストールされ、アップグレードされていることを確認します。
ポート7006がIDMHOST1上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

UNIXの場合:
```
netstat -an | grep LISTEN | grep ":7006"
```
Windowsの場合:
```
netstat -an | findstr "LISTEN" | findstr ":7006"
```
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

UNIXの場合:

ポート7006のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。

Windowsの場合:

ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Directory Services Managerのポート番号を指定する行は非コメント化)を割り当てます。
```
# The port for ODSM server port
ODS Server Port No = 7006
```
次のようにして、ORACLE_HOME/binディレクトリの下のOracle Identity Management 11g構成ウィザードを起動します。

UNIXでは、コマンド./config.shを発行します。

Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で「次へ」をクリックします。
ドメインの選択画面で、新規ドメインの作成を選択して、ドメインの詳細を入力します。
- ユーザー名: weblogic
- ユーザー・パスワード: ******
- パスワードの確認: ******
- ドメイン名: IDMDomain
「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
- Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。
- Oracleホーム・ディレクトリ: この値は入力済になっており、変更できません。
```
ods
```
- WebLogic Serverのディレクトリ:
```
/u01/app/oracle/product/fmw/wlserver_10.3
```
- Oracleインスタンスの場所:
```
/u01/app/oracle/admin/ods_instance1
```
- Oracleインスタンス名:
```
ods_instance1
```
「次へ」をクリックします。
「Oracle Configuration Managerの詳細の指定」画面で、次の値を指定します。
- 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
- My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
- セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、Oracle Directory Integration Platform、管理コンポーネント - Oracle Directory Services Managerを選択します。他のコンポーネントをすべて選択解除します。Oracle Internet Directoryを前提条件どおりに構成する必要があるという警告は無視します。

「クラスタ化」チェック・ボックスを選択します。

「次へ」をクリックします。

注意:

インストーラによって設定されるデフォルトのWebLogic Serverのクラスタ・モードは、(マルチキャストではなく)ユニキャストになります。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

「次へ」をクリックします。
OID詳細の指定画面で、次のように指定します。
- ホスト名: oid.mycompany.com
- ポート: 636
- ユーザー名: cn=orcladmin
- パスワード: ******
「次へ」をクリックします。

「スキーマ・データベースの指定」画面で、既存のスキーマの使用を選択し、次の値を指定します。

接続文字列:

infradbhost1-vip.mycompany.com:1521:oiddb1^infradbhost2-vip.mycompany.com:1521:oiddb2@oid.mycompany.com

注意:

Oracle RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。

Oracle RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。

ユーザー名: ODSSM
パスワード: ******

「次へ」をクリックします。

「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.6.3.2 IDMHOST2でのOracle Directory Integration PlatformとOracle Directory Services Managerの構成

IDMHOST2上のOracle Directory Integration PlatformとOracle Directory Services Managerを構成する手順は、次のとおりです。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがIDMHOST2にインストールされ、アップグレードされていることを確認します。
次のようにして、ORACLE_HOME/binディレクトリの下のOracle Identity Management 11g構成ウィザードを起動します。

UNIXでは、コマンド./config.shを発行します。

Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。

「次へ」をクリックします。
ドメインの選択画面で、「クラスタを開く」オプションを選択して、次の例の値を指定します。
- ホスト名: idmhost1.mycompany.com
- ポート: 7001
- ユーザー名: weblogic
- パスワード: <weblogicユーザーのパスワード>
「次へ」をクリックします。

注意:

IDMHOST1上で、Oracle WebLogic管理サーバーが実行されています。
「インストール場所の指定」画面で、次の値を指定します。
- Oracle Middlewareホームの場所: 入力済になっており、変更できません。
```
/u01/app/oracle/product/fmw
```
- Oracleホーム・ディレクトリ: 入力済になっており、変更できません。
```
ods
```
- WebLogic Serverのディレクトリ:
```
/u01/app/oracle/product/fmw/wlserver_10.3
```
- Oracleインスタンスの場所:
```
/u01/app/oracle/admin/ods_instance2
```
- Oracleインスタンス名:
```
ods_instance2
```
「次へ」をクリックします。
「コンポーネントの構成」画面で、Oracle DIPおよび管理コンポーネントを除く全製品の選択を解除します。

「次へ」をクリックします。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリで編集したstaticports.iniファイルへのフルパス名を入力します。

「次へ」をクリックします。
「インストール・サマリー」画面で、選択した内容を確認します。なんらかの変更が必要な場合は、「戻る」をクリックします。選択が適切であれば、「インストール」をクリックします。
「インストールの進行状況」画面で、インストールの進行状況を確認します。
UNIXシステムでは、インストールが終了すると、oracleRoot.shの確認ダイアログ・ボックスが開きます。これは、インストールを続行する前に構成スクリプトをrootとして実行する必要があることを説明しています。

確認ダイアログ・ボックスを開いたままにして、別のシェル・ウィンドウを開き、rootとしてログインして、次のスクリプト・ファイルを実行します。
```
/u01/app/oracle/product/fmw/ods/oracleRoot.sh
```
構成の進行状況画面で、構成の進行状況を確認します。
「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.6.3.3 Oracle Directory Integration PlatformとOracle Directory Services Managerのインストール後の手順

前の項では、インストーラによってIDMHOST2に2つ目の管理対象サーバーwls_ods2が作成されました。ただし、IDMHOST2上にOracle Directory Integration Platformアプリケーションがデプロイされていないため、新たに作成した管理対象サーバーは自動的に起動されません。また、WebLogic管理コンソールには、IDMHOST2上のwls_ods2管理対象サーバーの状態がUNKNOWNと表示されます。

この項にあるインストール後の手順を実行して、IDMHOST2上のOracle Directory Integration PlatformとOracle Directory Services Managerアプリケーションのインストールと構成を完了します。

8.6.3.3.1 IDMHOST1からIDMHOST2へのOracle Directory Integration Platformの構成のコピー

IDMHOST1からIDMHOST2にOracle Directory Integration Platformアプリケーションを直接コピーする手順は、次のとおりです。

IDMHOST1にあるディレクトリMW_HOME/user_projects/domains/IDMDomain/config/fmwconfig/servers/wls_ods1/applicationsをIDMHOST2の場所MW_HOME/user_projects/domains/IDMDomain/config/fmwconfig/servers/wls_ ods2にコピーします。

たとえば、IDMHOST1から次のコマンドを実行します。

scp -rp MW_HOME/user_projects/domains/IDMDomain/config/fmwconfig/servers/wls_ods1/applications/odsm user@IDMHOST2:/MW_HOME/user_projects/domains/IDMDomain/config/fmwconfig/servers/wls_ods2

8.6.3.3.2 クラスタ内のIDMHOST2での管理対象サーバーの再起動

クラスタ内のIDMHOST2上に新たに作成したwls_ods2管理対象サーバーを起動する手順は、次のとおりです。

このURLを使用して、管理コンソールにアクセスします。
```
http://idmhost1.mycompany.com:7001/console
```
管理者の資格証明を使用して、コンソールにログインします。
左側のペインで、「環境」を開き、「クラスタ」を選択します。

WebLogicサーバーの起動と停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の「Oracle Fusion Middlewareの起動と停止」を参照してください。
停止する管理対象サーバー(wls_ods2)が存在するクラスタ(cluster_ods)のリンクをクリックします。
「制御」を選択します。
「このクラスタの管理対象サーバーのインスタンス」で、起動する管理対象サーバー(wls_ods2)の横のチェック・ボックスを選択して「起動」をクリックします。
「クラスタ・ライフサイクル・アシスタント」ページで、「はい」をクリックして確定します。
ノード・マネージャによって、ターゲット・マシン上のサーバーが起動されます。ノード・マネージャによる起動シーケンスが終了すると、「サーバー状態」表の「状態」列にサーバーの状態が表示されます。この状態はRUNNINGになります。

8.6.3.4 WEBHOST1およびWEBHOST2へのOracle Fusion Middlewareコンポーネントのインストール

この項では、Oracle HTTP Server用にOracleホーム(ORACLE_HOME)に必要なバイナリをインストールする方法について説明します。

8.6.3.4.1 Web Tier用のOracle HTTP Serverのインストール

この項では、Oracle HTTP Serverをインストールする方法について説明します。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』にあります。

Oracle Web Tierコンポーネントのインストーラを起動します。

HOST1> ./runInstaller

その後、次のインストール手順を実行します。

「前提条件のチェック」画面で、チェックが正常に完了したことを確認してから、「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を入力します。

MW_HOME: MW_HOMEの値を入力します。例:
```
/u01/app/product/fmw
```
ドロップダウン・リストから、すでにインストールされているMiddlewareホームを選択します。Oracle HTTP Server Oracleホーム(OHS_ORACLE_HOME)ディレクトリには、ディレクトリ名WEBを入力します。

「次へ」をクリックします。
「サマリー」画面で「インストール」をクリックします。

プロンプトが表示されたら、LinuxおよびUNIXインストールでは、rootユーザーとして、スクリプトoracleRoot.shを実行します。
「インストール完了」画面で「終了」をクリックします。

8.6.3.4.2 Oracle HTTP Server Oracleホームのパッチ・セット3へのアップグレード

Oracle HTTP Serverソフトウェアを11.1.1.4(パッチ・セット3)にアップグレードする手順は、次のとおりです。

./runinstallerを実行して、Web Tierアップグレード・インストーラを起動します。
「ようこそ」画面で「次へ」をクリックします。
「前提条件のチェック」画面で、「次へ」をクリックします。
「インストール場所の指定」画面で、Oracle MiddlewareホームへのパスおよびOracle HTTP Server Oracleホーム・ディレクトリの名前を指定します。
「インストール・サマリー」画面で、選択内容を確認して「インストール」をクリックします。インストールが完了したら、oracleRoot.shの確認ダイアログ・ボックスが開きます。このダイアログ・ボックスは、インストールを続行する前に構成スクリプトをrootユーザーとして実行する必要があることを示しています。
確認ダイアログ・ボックスを開いたままにして、別のシェル・ウィンドウを開き、rootユーザーとしてログインして、スクリプト・ファイル/u01/app/oracle/product/fmw/id/oracleRoot.shを実行します。スクリプトが完了したら、「OK」をクリックします。
「インストール完了」画面で「終了」をクリックして終了します。

8.6.4 Oracle Directory Integration Platformのフェイルオーバーおよび予想される動作

Oracle Directory Integration Platformアプリケーションはデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。

さらに、高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。データベース・インスタンスの障害が発生した場合は、障害が発生していないOracle RACノードが残りのプロセスを引き継ぎます。第8.6.5項「Oracle Directory Integration Platformの高可用性のトラブルシューティング」で説明されているように、Oracle RACのフェイルオーバー時には、管理対象サーバー・ログに無害のエラーが記録される場合があります。

8.6.5 Oracle Directory Integration Platformの高可用性のトラブルシューティング

この項では、Oracle Directory Integration Platformの高可用性に関する問題のトラブルシューティング方法について説明します。この項では、次の項目について説明します。

第8.6.5.1項「Oracle RACフェイルオーバー時にOracle Directory Integration Platformに関して受信される管理対象サーバー・ログ・ファイルの例外」
第8.6.5.2項「WebLogicノード・マネージャの起動後に受信されたエラー・メッセージ」
第8.6.5.3項「WebLogicノード･マネージャが起動しない場合」
第8.6.5.4項「構成の変更が高可用性トポロジのすべてのOracle Directory Integration Platformインスタンスに自動的に伝播されない場合」
第8.6.5.5項「不明なエラー・メッセージのため操作を完了できない場合」

8.6.5.1 Oracle RACフェイルオーバー時にOracle Directory Integration Platformに関して受信される管理対象サーバー・ログ・ファイルの例外

Oracle RACのフェイルオーバー時に、Oracle Directory Integration Platformアプリケーションを実行する管理対象サーバーのログ・ファイルに次のような例外が表示されることがあります。これらのエラーは、フェイルオーバー時に、WebLogic Serverプラットフォーム上に構成された複数のデータ・ソースによって、Oracle RAC データベースの状態の検証が試行されるときにスローされます。これらは無害なエラーであり、無視してかまいません。Oracle Directory Integration Platformアプリケーションは、数分の遅延の後、リカバリして正常動作を開始します。Oracle RACのフェイルオーバー時に、1つのOracle RACインスタンスが実行を続けていれば、Oracle Directory Integration Platformに停止時間は発生しません。

RuntimeException:
[2008-11-21T00:11:10.915-08:00] [wls_ods] [ERROR] []
[org.quartz.impl.jdbcjobstore.JobStoreTX] [tid: 25] [userId: <anonymous>]
[ecid: 0000Hqy69UiFW7V6u3FCEH199aj0000009,0] [APP: DIP] ClusterManager: Error
managing cluster: Failed to obtain DB connection from data source
'schedulerDS': java.sql.SQLException: Could not retrieve datasource via JNDI
url 'jdbc/schedulerDS' java.sql.SQLException: Cannot obtain connection:
driverURL = jdbc:weblogic:pool:schedulerDS, props =
{EmulateTwoPhaseCommit=false, connectionPoolID=schedulerDS,
jdbcTxDataSource=true, LoggingLastResource=false,
dataSourceName=schedulerDS}.[[
Nested Exception: java.lang.RuntimeException: Failed to setAutoCommit to true
for pool connection

AuthenticationException while connecting to OID:
[2008-11-21T00:12:08.812-08:00] [wls_ods] [ERROR] [DIP-10581] [oracle.dip]
[tid: 11] [userId: <anonymous>] [ecid: 0000Hqy6m54FW7V6u3FCEH199apO000000,0]
[APP: DIP] DIP was not able to get the context with the given details {0}[[
javax.naming.AuthenticationException: [LDAP: error code 49 - Invalid
Credentials]

ほとんどの例外は、スケジューラまたはLDAPに関連するものです。たとえば次のような例外です。

1. JNDI url 'jdbc/schedulerDS' java.sql.SQLExceptionによってデータ・ソースを取得できませんでした。

2. javax.naming.AuthenticationException: [LDAP: エラー・コード49 - 無効な資格証明]

8.6.5.2 WebLogicノード・マネージャの起動後に受信されたエラー・メッセージ

WebLogicノード・マネージャの起動後に次のエラー・メッセージが表示された場合は、エラー・メッセージの後に表示される手順に従います。

<Dec 15, 2008 8:40:05 PM> <Warning> <Uncaught exception in server handler:
javax.net.ssl.SSLKeyException: [Security:090482]BAD_CERTIFICATE alert was
received from stbee21.example.com - 152.68.64.2155. Check the peer to 
determine why it rejected the certificate chain (trusted CA configuration,
hostname verification). SSL debug tracing may be required to determine the
exact reason the certificate was rejected.> javax.net.ssl.SSLKeyException:
[Security:090482]BAD_CERTIFICATE alert was received from stbee21.example.com -
152.68.64.215. Check the peer to determine why it rejected the certificate chain 
(trusted CA configuration, hostname verification). SSL debug tracing may be
required to determine the exact reason the certificate was rejected.

まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。
コンソールの左側のペインで、「サーバー」を開いて、「AdminServer (admin)」をクリックします。
「構成」→「SSL」→詳細リンクを選択します。
「ホスト名の検証」に「なし」を選択します。
「保存」をクリックして設定を保存します。
これらの変更をアクティブにするには、管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックします。
すべてのサーバーを再起動します。

管理対象サーバーが管理モードで起動したら、次の手順を実行します。

まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。
コンソールの左側のペインで、「サーバー」を開いて、ADMINモードで実行されているサーバーの名前をクリックします。
「制御」→「起動と停止」タブを選択します。
サーバーの名前を選択します。
「再開」をクリックします。
「はい」をクリックしてサーバーを再開します。

8.6.5.3 WebLogicノード・マネージャが起動しない場合

WebLogicノード・マネージャの起動に失敗する場合は、次のドメイン・ファイルをIDMHOST1からIDMHOST2にコピーしてあることを確認します。

WL_HOME/common/nodemanager/nodemanager.domains

8.6.5.4 構成の変更が高可用性トポロジのすべてのOracle Directory Integration Platformインスタンスに自動的に伝播されない場合

高可用性トポロジのOracle Directory Integration Platformインスタンスの構成を変更した場合、この構成の変更はトポロジ内のすべてのOracle Directory Integration Platformインスタンスに自動的には伝播されません。

トポロジ内の各Oracle Directory Integration Platformインスタンスに同一の構成変更を行うには、manageDIPServerConfigツールを使用します。このツールにより、トポロジ内のすべてのOracle Directory Integration Platformインスタンスの構成が同一になることが保証されます。manageDIPServerConfigツールの詳細は、Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドを参照してください。

8.6.5.5 不明なエラー・メッセージのため操作を完了できない場合

manageSyncProfilesコマンドの使用時に次のエラー・メッセージが断続的に表示されることがあります。

OPERATION CANNOT BE COMPLETED FOR UNKNOWN ERRORS

この問題を解決するには、管理対象サーバー(wls_ods1またはwls_ods2)を起動して、停止してください。その後も問題が続く場合は、2つ目のノードにコピー・メソッドを実行します。

8.7 コンポーネントの起動と停止

コンポーネントを起動および停止するには、『Oracle Fusion Middleware管理者ガイド』のコンポーネントの起動と停止に関する説明に記載されている手順を参照してください。