| Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド 11g リリース1(11.1.1) B55922-08 |
|
 前 |
 次 |
Oracle Virtual Directoryは、グラフィカル・ユーザー・インタフェースとコマンドライン・インタフェースのどちらからでも管理できます。この章では、Oracle Virtual Directoryのそれらの管理インタフェース、およびOracle Virtual Directoryの起動と停止の方法について説明します。
|
注意: この章では、『Oracle Fusion Middleware Oracle Identity Managementクイック・インストレーション・ガイド』の説明に従って、Oracle Virtual Directoryがインストールおよび構成されていると仮定しています。 |
この章では、次の項目について説明します。
11gリリース1(11.1.1)のインストールが終了したら、次の作業を行うことをお薦めします。
付録A「Oracle Virtual Directory 11gリリース1(11.1.1)と10gリリース(10.1.4.x)の比較」を確認し、11gリリース1(11.1.1)と以前のOracle Virtual Directory 10gリリース(10.1.4.x)との基本アイテムの実装方法の違いを理解する。
付録B「Oracleスタックの起動と停止」を確認し、11gリリース1(11.1.1)でのOracleスタックのコンポーネントの起動および停止方法を理解する。
表8-1を確認し、11g Release 1(11.1.1)でのOracle Virtual Directoryの管理に使用できる様々なインタフェースのデフォルトURLを理解する。
表8-2を確認し、11gリリース1(11.1.1)でのOracle Virtual Directoryの様々なデフォルト・ポートを理解する。
表8-3を確認し、Oracle Virtual Directory 11gリリース1(11.1.1)の様々な環境変数を理解する。
次に、基本的なOracle Virtual Directory環境の構成および管理に一般的に使用される手順の概要を示します。
使用環境に固有になるように設定をカスタマイズしてOracle Virtual Directoryサーバーを構成します。詳細は次の項目を参照してください。
ターゲット・データ・リポジトリに、アダプタを作成および構成します。詳細は次の項目を参照してください。
環境に合せてプラグインを構成します。詳細は次の項目を参照してください。
Oracle Virtual Directoryのアクセス制御リストを構成します。詳細は次の項目を参照してください。
この項では、Oracle Virtual Directoryとともに使用するOracle Directory Services Managerインタフェースの設定方法について説明します。この項の内容は次のとおりです。
Oracle Directory Services Managerは、Oracle Virtual DirectoryおよびOracle Internet Directory用の統合されたブラウザベースのグラフィカル・ユーザー・インタフェース(GUI)です。Oracle Directory Services Managerを使用すると、Webベースのフォームとテンプレートを使用できるため、Oracle Virtual DirectoryとOracle Internet Directoryの管理および構成が簡略化されます。
Fusion Middleware ControlおよびOracle Directory Services Managerに対してサポートされているブラウザの詳細は、次のサイトにあるOracle JDeveloperおよびApplication Development Framework 11gの動作保証およびサポートのマトリクスを参照してください。
http://www.oracle.com/technetwork/middleware/downloads/fmw-11gr1certmatrix.xls
Oracle Directory Services ManagerとともにJAWSを使用していて、新しいウィンドウが表示された場合は、JAWSが「ポップアップ」と読み上げます。ページ全体を読み取るには、[Insert]キーを押しながら[b]キーを押します。
シングル・サインオン(SSO)を使用するようにOracle Directory Services Managerを構成できます。SSOで構成すると、Oracle Directory Services Managerでは、SSOサーバーによって認証されたユーザーは、SSO対応ディレクトリを管理する権限を持っている場合、ログインせずにそのディレクトリに接続できます。
Oracle Directory Services Managerは、SSO認証済ユーザーが管理できるOracle Virtual Directoryサーバーのリストを維持します。SSO認証済ユーザーがOracle Virtual Directoryを管理するために必要な権限を持っているかどうかを検証するために、Oracle Directory Services Managerは、SSO認証済ユーザーをOracle Virtual Directoryサーバーでの識別名にマップします。
Oracle Directory Services Managerは、プロキシ認証を使用してディレクトリに接続します。プロキシ・ユーザーの識別名およびパスワードは、資格証明ストア・フレームワーク(CSF)と呼ばれるセキュアなストレージ・フレームワークに格納されます。
SSO認証済ユーザーをマップするために、Oracle Directory Services Managerは、プロキシ権限を持つユーザーの資格証明を使用して、Oracle Virtual Directoryサーバーに対して認証します。次に、Oracle Directory Services ManagerはSSO認証済ユーザーの一意識別子をOracle Virtual Directoryユーザーの一意識別子にマップしようとします。
WLS管理者は、プロキシ・ユーザーの資格証明、一意の識別子属性、およびOracle Directory Services ManagerがCSFに格納されているユーザーを検索するベース識別名を構成します。Oracle Directory Services Managerは、有効な識別名を取得すると、SSO認証済ユーザーをその識別名にマップします。SSO認証済ユーザーが有効な識別名にマップされると、Oracle Directory Services Managerは、プロキシ認証を使用して、SSO認証済ユーザーのマップされた識別名でOracle Virtual Directoryサーバーに接続します。
「SSO統合の構成」の説明に従ってOracle Directory Services Managerプロキシのバインド構成画面を使用して、プロキシID、参照属性、ユーザー・コンテナ、およびその他の情報を構成します。
Oracle Directory Services ManagerとSSOの統合を構成するには、http://host:port/odsm-configのOracle Directory Services Managerプロキシのバインド構成画面を使用します。WebLogic管理者としてログインします。
この画面で、SSOユーザーが管理できるディレクトリ・サーバーのセットをOracle Directory Services Managerに提供します。この画面には、シングル・サインオンによりアクセス可能なディレクトリが示されます。
「表示」リストを使用して、列の数および順序を変更します。既存のディレクトリを削除するには、「削除」をクリックします。
既存のディレクトリを変更するには、「変更」をクリックします。
シングル・サインオンによりアクセス可能なディレクトリを新たに追加するには、「追加」をクリックします。
「変更」または「追加」をクリックすると、「ディレクトリ詳細」画面が表示されます。次の手順を実行します。
「ポート・タイプ」リストから「非SSL」または「SSL」を選択します。
「ディレクトリ・タイプ」リストから「OID」または「OVD」を選択します。
次の情報を指定します。
ディレクトリのホストおよびポート。
プロキシ・ユーザーのDNおよびパスワード: Oracle Directory Services Managerがプロキシ認証に使用する識別名およびパスワード。
ユーザー・コンテナDN: ディレクトリでユーザー・エントリが配置される識別名。
ユーザー参照属性: ディレクトリ内のユーザーの識別名を参照するための一意属性。たとえば、SSOサーバーがユーザーのメールIDをそのユーザーの一意識別子としてOracle Directory Services Managerに送信した場合、mailをユーザー参照属性として構成できます。
「検証」をクリックして、ディレクトリ接続の詳細を検証します。
Oracle Directory Services Managerは、提供された資格証明を使用してディレクトリ・サーバーに対して認証します。
「適用」をクリックして選択内容を適用します。
選択を中止する場合は、「元に戻す」をクリックします。
「SSOログアウトURL」テキスト・ボックスでSSOサーバーの「ログアウトURL」を指定します。
たとえば、http://myoamhost.mycompany.com:14100/oam/server/logoutは、Oracle Access Manager 11gサーバーのデフォルトのログアウトURLです。このフィールドのみを構成した場合、Oracle Directory Services Managerにより、Oracle Directory Services Managerページの右上の隅に「ログイン」リンクが表示されます。
SSOとOracle Directory Services Managerとの統合作業を適切に実行するには、特定のOracle Directory Services ManagerのURLを保護または非保護として構成する必要があります。
Oracle Directory Services Managerホーム・ページは非保護URLにする必要があります。つまり、SSO認証プロセスを通過できないユーザーを含めてすべてのユーザーがOracle Directory Services Managerホーム・ページにアクセスできることが必要です。
URL /odsm/odsm-sso.jspは、SSOサーバーによって保護されている必要があります。ユーザーがホーム・ページの右上の隅に表示される「ログイン」リンクをクリックすると、ユーザーは/odsm/odsm-sso.jspにリダイレクトされます。SSOサーバーは、そのユーザーがまだ認証されていない場合、ユーザーのユーザー名およびパスワードを調べます。認証に成功すると、ユーザーはOracle Directory Services Managerホーム・ページに戻されます。
/odsm/odsm-sso.jspを保護対象URLとして構成する必要があります。さらに、次のURLを非保護のURLとして構成する必要があります。
/odsm/faces/odsm.jspx
/odsm/.../
Oracle Access Manager 11gまたはOracle Access Manager 10gをSSOプロバイダとして使用できます。
SSO認証済ユーザーの一意識別子をHTTPヘッダーを介してOracle Directory Services Managerに送信するようにOracle Access Managerサーバーを構成する必要があります。Oracle Directory Services ManagerはOAM_REMOTE_USER HTTPヘッダーを探します。Oracle Access Managerサーバーは、デフォルトでOAM_REMOTE_USERヘッダーを設定します。このヘッダーを使用できない場合、Oracle Directory Services Managerはodsm-sso-user-unique-id HTTPヘッダーを探します。Oracle Directory Services Managerがこれらのヘッダーのいずれも見つけることができない場合、Oracle Directory Services Manager SSO統合は機能しません。
ユーザーの一意識別子をHTTPヘッダーを介して送信する以外に、オプションで、次のHTTPヘッダーを送信するようにOracle Access Managerを構成できます。
ユーザーの名を送信するようにodsm-sso-user-firstname HTTPヘッダーを構成します。
ユーザーの姓を送信するようにodsm-sso-user-lastname HTTPヘッダーを構成します。
これらのヘッダーが使用可能な場合、ユーザーの名および姓がOracle Directory Services Managerの右上の隅にある「次としてログイン」セクションに表示されます。名または姓を使用できない場合は、ユーザーの一意識別子が「次としてログイン」セクションに表示されます。
Oracle Access Manager 11gを構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 11g SSOソリューションのデプロイに関する説明を参照してください。
Oracle Access Manager 10gを構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 10gでのSSOソリューションのデプロイに関する説明を参照してください。
Oracle HTTP Serverを、SSOサーバーのWebGateエージェントをホストするために使用し、かつOracle Directory Services ManagerをホストするWebLogicサーバーへのフロント・エンドとして使用している場合、Oracle Directory Services ManagerをホストしているWebLogicサーバーに/odsmで始まるすべてのリクエストを転送するようにOracle HTTP Serverのmod_wl_ohsモジュールを構成する必要があります。mod_wl_ohsモジュールにより、Oracle HTTP ServerからOracle WebLogic Serverへのリクエストをプロキシ処理できます。
mod_wl_ohsを構成するには、『Oracle Fusion Middleware Oracle HTTP Server管理者ガイド』のmod_wl_ohsモジュールの構成に関する説明を参照してください。
Oracle Directory Services Managerの起動は、直接、またはOracle Enterprise Manager Fusion Middleware Controlから実行できます。
|
注意:
|
Oracle Directory Services Managerを直接起動するには、ブラウザのアドレス・フィールドに次のURLを入力します。
http://host:port/odsm
Oracle Directory Services ManagerにアクセスするURLでは、次のようになっています。
hostは、Oracle Directory Services Managerが実行されている管理対象サーバーの名前です。
portは、WebLogicサーバーの管理対象サーバーのポート番号です。
正確なポート番号は、$Fusion_Middleware_Home/Oracle_Identity_Management_domain/servers/wls_ods/data/nodemanager/wls_ods1.urlファイル( Fusion_Middleware_HomeはFusion Middlewareがインストールされているルート・ディレクトリ)で確認できます。
Fusion Middleware ControlからOracle Directory Services Managerを起動するには、Oracle Virtual Directoryターゲットの「Oracle Virtual Directory」メニューから「Directory Services Manager」を選択し、「データ・ブラウザ」、「スキーマ」、「セキュリティ」、または「拡張」を選択します。(同じ方法で「Oracle Internet Directory」メニューから接続できます。)
ブラウザ・ウィンドウが新たに起動され「Oracle Directory Services Managerへようこそ」画面が表示されます。次の項の説明に従って、サーバーに接続します。
Oracle Directory Services Managerの「ようこそ」画面が表示されたら、Oracle Virtual DirectoryサーバーまたはOracle Internet Directoryサーバーに接続できます。
この項の内容は、次のとおりです。
|
注意: Oracle Directory Services Managerからディレクトリ・サーバーに接続する場合は、次の事項に注意してください。
|
次のようにしてOracle Directory Services Managerからディレクトリ・サーバーの非SSLポートにログインします。
Oracle Directory Services Managerの「ようこそ」画面の最上部にある「ディレクトリに接続」をクリックし、次のセクションが含まれているダイアログ・ボックスを開きます。
ライブ接続: 戻ることのできる現在の接続。
切断されている接続: 一度接続した後、切断したディレクトリ・サーバーのリスト。Oracle Directory Services Managerでは、以前に使用した接続に関する情報を保存し、オプション名別またはサーバー別にリストし、その接続を再選択できるようにします。
|
注意: 接続情報が変更された場合(たとえば、サーバーのポート番号が変更された場合)は、Oracle Directory Services Managerの接続情報が不正確になり、接続に失敗します。接続情報は編集できないため、リストから接続を削除してから、新たに接続を作成する必要があります。 |
新規接続: 新規接続の開始に使用されます。
SSO認証済であるユーザーには、追加セクションが表示される場合があります。詳細は、「SSO認証済ユーザーとしてのSSO対応ディレクトリへの接続」を参照してください。
「OID」または「OVD」を選択します。
この接続を識別できるように、オプションで「名前」フィールドに別名を入力します。この名前は、現行のOracle Directory Services Managerセッションの終了後にライブ接続のリスト(手順1を参照)に表示され、即座に再接続できます。
「名前」フィールドに、Oracle Internet DirectoryまたはOracle Virtual Directoryが稼働しているサーバーの名前を入力します。
「ポート」フィールドに、非SSLポートを入力します。Oracle Virtual Directoryの場合は、管理リスナーの非SSLポートを入力します。Oracle Internet Directoryの場合は、非SSL LDAPポートを入力します。
「SSL有効」の選択を解除します。
Oracle Directory Services Manager管理者アクセス(通常はcn=orcladmin)を持つユーザーの名前とパスワードを入力します。
ログイン後に移動する「開始ページ」を選択します。
「接続」をクリックします。
Oracle Internet DirectoryまたはOracle Virtual Directoryサーバーにログインしたら、ナビゲーション・タブを使用して別のページを選択できます。
Oracle Internet DirectoryおよびOracle Virtual Directory用のOracle Directory Services Managerのホームページには、ディレクトリとアダプタのみでなく、Oracle Directory Services Manager自体のバージョン情報もリストされています。また、Oracle Virtual Directoryの既存の構成済アダプタおよびリスナーもリストされます。
サーバーのSSLポートにログインする場合は、手順4でSSLポートを指定していて手順6で「SSL有効」を選択している場合を除き、「Oracle Directory Services Managerからディレクトリ・サーバーへのログイン」の手順に従ってください。具体的にはOracle Virtual Directoryの管理リスナーのSSLポートを入力するか、Oracle Internet DirectoryのSSL LDAPポートを入力します。手順9で「接続」をクリックした後、SSL認証のタイプによっては証明書が提示される場合があります。次の項では、サポートされているSSL認証タイプごとの証明書の処理について説明します。
ディレクトリ・サーバーがSSL認証なしモードで稼働している場合、証明書は提示されません。SSL認証なしモードでは、データの機密性と整合性が保証されますが、X.509証明書を使用した認証は行われません。
ディレクトリ・サーバーがSSLサーバー認証専用モード(Oracle Virtual Directoryのデフォルト)を使用している場合、手順9で「接続」をクリックしたときにサーバーの証明書が提示されます。サーバーの証明書の信憑性を手動で検証したら、証明書を永続的に受け入れるか、現行のセッションでのみ受け入れるか、または却下することができます。証明書を永続的に受け入れる場合、証明書はOracle Directory Services ManagerのJavaキー・ストア(JKS)に保管されます。それ以降、この特定のOracle Directory Services Manager URLを使用してそのサーバーに接続するときに、証明書の受け入れを求められることはありません。現在のセッションに対してのみ受け入れた場合、サーバーに接続するたびに証明書を受け入れるか拒否するかを確認されます。証明書を却下すると、Oracle Directory Services Managerはこのサーバーへの接続を閉じます。
詳細は、「Oracle Directory Services Managerのキー・ストアの管理」を参照してください。
シングル・サインオン・サーバーによってすでに認証されている場合、Oracle Directory Services Managerでは、SSO対応ディレクトリにエントリを持っている場合は、ログインせずにそのディレクトリに接続できます。Oracle Directory Services Managerの「ようこそ」ページにアクセスすると、エントリを持っているSSO対応ディレクトリが1つのみであればOracle Directory Services Managerによってそれに接続されます。複数のSSO対応ディレクトリにエントリを持っている場合は、Oracle Directory Services Managerで接続するディレクトリを次のように選択できます。
ラベル「クリックしてディレクトリに接続」の右にある小さな矢印をクリックします。この場合、ダイアログ・ボックスには、接続する権限があるSSO対応ディレクトリがリストされた追加のセクションが表示されます。必要なディレクトリを選択します。Oracle Directory Services Managerによってユーザー名やパスワードを要求されることなく接続されます。
接続しているポートがSSLポートである場合は、「SSL認証なし」または「SSLサーバーのみ認証」の適切な手順を実行する必要があります。
|
注意: SSO認証済ユーザーは、Oracle Virtual Directoryを管理するにはOracle Virtual Directoryの管理グループのメンバーである必要があります。ユーザーは有効なDNを持っていても管理グループのメンバーでなればOracle Virtual Directoryを管理できません。 Oracle Directory Services ManagerがユーザーのDNを検索するコンテナDNは、Oracle Virtual Directoryで構成されたいずれかのアダプタのものになります。 |
Oracle Directory Services Managerは、Oracleによるセキュアな格納フレームワークである資格証明ストア・フレームワークと統合されています。この項では、Oracle Directory Services Managerを使用した資格証明の管理方法について説明します。この項の内容は次のとおりです。
Oracle Directory Services Managerは、Javaキー・ストア(JKS)を使用してその秘密鍵、証明書、および信頼できる証明書を管理します。Oracle Directory Services Managerを初めて使用するときに、プログラムによってodsm.cerというJavaキー・ストア・ファイルが作成され、そのJKSにランダムなパスワードが割り当てられます。このJKSファイルは、次の書式の名前のディレクトリに置かれます。
DOMAIN_HOME/config/fmwconfig/servers/AdminServer/applications/odsm/conf
Oracle Directory Services Managerは、このランダム・パスワードを資格証明ストア・フレームワークに保管します。WebLogicサーバー管理者は、資格証明ストア・フレームワークに保管されているJavaキー・ストア・パスワードを取得できます。
Oracle Directory Services Managerは、独力で自己署名付きの証明書も生成し、Javaキー・ストアに保管します。自己署名証明書は、生成日から15000日間有効であり、テストのためにのみ使用します。本番用としては、自己署名証明書を、認証局(CA)によって署名された証明書に置き換えることをお薦めします。
Oracle Directory Services Managerには、キーストアを管理するためのWebベースのユーザー・インタフェースは用意されていません。このキー・ストアは、SunのJRE/JDKに用意されているコマンドライン・ツールであるkeytoolを使用して管理する必要があります。
|
注意: Oracle Directory Services Managerを使用するとき、Oracle Directory Services ManagerおよびOracle Virtual Directoryサーバーが同じJDKメジャー・バージョンであること、または、Oracle Virtual DirectoryがOracle Directory Services Managerよりも上位のJavaバージョンを使用していることを確認する必要があります。 |
|
関連項目: 詳細は、次の公開資料を参照してください。
|
Oracle Directory Services ManagerのJavaキー・ストアを管理するには、まずOracle Directory Services ManagerのJavaキー・ストア・パスワードを取得する必要があります。このパスワードを取得するには2つの方法があります。
Enterprise Managerを使用してOracle Directory Services ManagerのJavaキー・ストア・パスワードを取得するには、次の手順を実行します。
weblogic administratorとしてEnterprise Managerに接続します。
Enterprise Managerのナビゲーション・パネルの左側で、「WebLogicドメイン」を拡張し、Oracle Directory Services Managerがデプロイされているドメインを選択します。
Enterprise Managerのナビゲーション・パネルの右側で、「WebLogicドメイン」メニューをクリックし、「システムMBeanブラウザ」を選択します。
システムMBeanブラウザで、「アプリケーション定義のMBean」→「com.oracle.jps」→「ドメイン」 : 「NameOfTheDomainWhereODSMisDeployed」→「JPSCredentialStore」→JPSCredentialストアを開きます。
詳細ペインに表示される「操作」タブをクリックします。
次の図に示されているように、getPortableCredential操作をクリックします。
次のページが表示されたら、getPortableCredentialメソッドのパラメータを入力する必要があります。
P1には、ODSMMapを入力します。
P2には、ODSMKey.Walletを入力します。
「起動」ボタンをクリックします。
次の図に示されるように、「戻り値」表は「パラメータ」表の下に表示されます。Oracle Directory Services ManagerのJavaキー・ストア・パスワードは、「パスワード」フィールドに表示されます。
Enterprise Managerがない場合は、Pythonスクリプトを使用してOracle Directory Services ManagerのJavaキー・ストア・パスワードを取得できます。
パスワードを取得するには、次の手順を実行します。
次の内容で.pyファイル(たとえば、odsm.py)を作成します。
import sys,getopt
from oracle.security.jps.mas.mgmt.jmx.credstore import PortableCredential
connect(sys.argv[1], sys.argv[2], sys.argv[3])
domainRuntime()
params= ["ODSMMap", "ODSMKey.Wallet"]
sign=["java.lang.String", "java.lang.String"]
on=ObjectName("com.oracle.jps:type=JpsCredentialStore")
cred = None
cred = mbs.invoke(on, "getPortableCredential", params, sign)
if cred != None:
credObject = PortableCredential.from(cred)
print credObject
print "ODSM Java Key Store Password: " + String.valueOf(credObject.getPassword())
次のコマンドを実行します。
$MW_HOME/oracle_common/common/bin/wlst.sh odsm.py <wls_admin_user>
<wls_admin_password> t3://<adminserver_host>:<adminserver_port>
次に例を示します。
$MW_HOME/oracle_common/common/bin/wlst.sh odsm.py weblogic welcome1
t3://myadminserver:7001
このスクリプトを実行すると、ルートとしてDomainMBeanを指定する、読取り専用のdomainRuntimeツリーに出力先が変更されます。
|
注意: ヘルプを表示するには、コマンド・ラインで |
[Name : ODSM, Description : ODSM Key store password, expiry Date : null] ODSM Java Key Store Password: XXXXXXXXXX
|
関連項目: 詳細は、次の公開資料を参照してください。
|
Javaキー・ストア・パスワードを取得したら、keytoolコマンドを使用してそれを管理できます。
odsm.cerの内容をリストする手順は、次のとおりです。
odsm.cerが含まれるディレクトリに移動(cd)します。次に例を示します。
cd DOMAIN/config/fmwconfig/servers/AdminServer/applications/odsm/conf
keytoolを使用して、odsm.cerの内容を表示します。次に例を示します。
ORACLE_HOME/jdk/jre/bin/keytool -list -keystore odsm.cer \
-storepass "&M)S86)/RB" -v
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 2 entries
Alias name: serverselfsigned
Creation date: Dec 26, 2008
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=OVD, OU=Development, O=Oracle, L=Redwood Shores, ST=California, C=US
Issuer: CN=OVD, OU=Development, O=Oracle, L=Redwood Shores, ST=California, C=US
Serial number: 495586b6
Valid from: Fri Dec 26 17:36:54 PST 2008 until: Wed Jun 24 18:36:54 PDT 2009
Certificate fingerprints:
MD5: 6C:11:16:F3:88:8D:18:67:35:1E:16:5B:3E:03:8A:93
SHA1: F4:91:39:AE:8B:AC:46:B8:5D:CB:D9:A4:65:BE:D2:75:08:17:DF:D0
Signature algorithm name: SHA1withRSA Version: 3
*******************************************
*******************************************
Alias name: cn=rootca, o=oracle, c=us (0)
Creation date: Dec 31, 2008
Entry type: trustedCertEntry
Owner: CN=RootCA, O=Oracle, C=US
Issuer: CN=RootCA, O=Oracle, C=US
Serial number: 0
Valid from: Tue Dec 30 02:33:11 PST 2008 until: Mon Jan 24 02:33:11 PST 2050
Certificate fingerprints:
MD5: 72:31:7B:24:C9:72:E3:90:37:38:68:40:79:D1:0B:4B
SHA1: D2:17:84:1E:19:23:02:05:61:42:A9:F4:16:C8:93:84:E8:20:02:FF
Signature algorithm name: MD5withRSA
Version: 1
*******************************************
*******************************************
ユーザーの信頼できる証明書は、すべてOracle Directory Services Manager Javaキー・ストアに格納されています。Oracle Directory Services Managerは、キー・ストアを管理するためのWebベースのインタフェースは提供しておらず、期限が切れた証明書をJKSから自動的に削除することもできません。管理者がkeytoolを使用して期限が切れた証明書を見つけて削除する必要があります。
「odsm.cer Javaキーストアの内容のリスト」の説明のように、keytoolによって各証明書の妥当性がリストされ、期限が切れた証明書をすべて見つけることができます。たとえば、次の証明書はPDT2008年10月31日土曜日9時41分23秒まで有効です。
Alias name: cn=ovd, ou=development, o=MyCompany, l=redwood shores, st=california, c=us (1241455283) Creation date: May 5, 2008 Entry type: trustedCertEntry Owner: CN=OVD, OU=Development, O=MyCompany, L=Redwood Shores, ST=California,C=US Issuer: CN=OVD, OU=Development, O=Oracle, L=Redwood Shores, ST=California,C=US Serial number: 49ff1ab3 Valid from: Mon May 04 09:41:23 PDT 2008 until: Sat Oct 31 09:41:23 PDT 2008 Certificate fingerprints: MD5: 93:0E:41:5E:95:88:71:BD:8A:49:ED:A9:29:3B:0A:1E SHA1: 84:C6:75:60:D9:BE:7B:CA:D6:8B:B5:4B:97:E4:20:39:44:82:FE:93 Signature algorithm name: SHA1withRSA Version: 3
期限が切れた証明書を削除するには、「信頼できる証明書の削除」を参照してください。
odsm.cerの信頼できる証明書を削除する手順は、次のとおりです。
odsm.cerが含まれるディレクトリに移動(cd)します。次に例を示します。
cd DOMAIN_HOME/config/fmwconfig/servers/AdminServer/
keytoolを使用して、odsm.cerの内容を削除します。次に例を示します。
ORACLE_HOME/jdk/jre/bin/keytool -delete -keystore odsm.cer \
-storepass PASSWORD_OBTAINED_FROM_CSF -alias "cn=rootca, o=oracle, c=us (0)"
[Storing odsm.cer]
Oracle Directory Services Managerのデフォルトのセッション・タイムアウトは35分です。DOMAIN_HOME/servers/wls_ods1/tmp/_WL_user/odsm_11.1.1.2.0/randomid/war/WEB-INFにあるファイルweb.xmlを編集することで、このデフォルト値を変更できます。(これは、管理対象サーバーの名前がwls_ods1であることを想定しています。管理対象サーバーの名前が異なる場合は、パス名を調整してください。)
タイムアウト値が含まれたファイル・フラグメントは、次のようになります。
<session-config> <session-timeout>35</session-timeout> </session-config>
この値を変更した後に、管理対象サーバーを再起動するか、またはWebLogicコンソールを介してOracle Directory Services Managerを再起動します。
ファイルweb.xmlを編集する場合、加えた変更は永続的でない場合があることに注意してください。Oracle Directory Services Managerは、ORACLE_HOME/ldap/odsm/odsm.earからWebLogicサーバーにデプロイされます。WebLogicサーバーは、パフォーマンス上の理由から、odsm.earをDOMAIN_HOME/servers/wls_ods1/tmp/_WL_user/odsm_11.1.1.2.0ディレクトリに展開します。これは、WebLogicサーバー用の一時キャッシュ・ディレクトリです。ORACLE_HOME/ldap/odsm/odsm.earを上書きするパッチを適用した場合は、一時キャッシュ・ディレクトリ内のweb.xmlに加えた変更も上書きされます。
クラスタ化されたOracle WebLogic Server環境でOracle Directory Services Managerのリクエストを複数のOracle WebLogic ServerにルーティングするようOracle HTTP Serverを構成するには、次の手順に従います。
Oracle HTTP Serverのhttpd.confファイルのバックアップ・コピーを作成します。この手順の実行後に問題が起きた場合、このバックアップ・コピーで元の状態に戻すことができます。
Oracle HTTP Serverのhttpd.confファイルの末尾に次の文字列を追加し、変数プレースフォルダ値を、使用している環境固有のホスト名および管理対象サーバー・ポート番号と置き換えます。エントリの最初の行として、必ず<Location /odsm/ >を使用してください。<Location /odsm/faces >または<Location /odsm/faces/odsm.jspx >を使用すると、Oracle Directory Services Managerインタフェースの外観がゆがむことがあります。
<Location /odsm/ > SetHandler weblogic-handler WebLogicCluster host-name-1:managed-server-port,host-name_2:managed_server_port </Location>
Oracle HTTP Serverを停止してから起動し、構成の変更を有効にします。
|
注意: Oracle Directory Services Managerでは、クラスタ内の接続先のOracle WebLogic Serverに障害が発生すると、接続が失われ、セッション・タイムアウト・メッセージが表示されます。Oracle Directory Services Managerにログインしなおすと、Oracle Directory Services Managerのリクエストは、httpd.confファイルで指定したクラスタ内の2番目のOracle WebLogic Serverにルーティングされます。 |
この項では、Oracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Virtual Directoryでの作業を開始する方法について説明します。この項の内容は次のとおりです。
Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの起動
Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの停止
Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの再起動
Fusion Middleware Controlメトリックを使用したOracle Virtual Directoryの監視
|
注意: Oracle Virtual Directoryが権限ポートでリスニングするように構成されている場合、この項で説明されているようにOracle Enterprise Manager Fusion Middleware Controlを使用してOracle Virtual Directoryを起動、停止または再起動する前に、OPMNがOracle Directory Services Manager管理者として起動されていることを確認します。詳細は、第10章「Oracle Virtual Directoryサーバー・プロセスの管理」を参照してください。 |
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Fusion Middlewareに対して包括的なシステム管理プラットフォームを提供するグラフィカル・ユーザー・インタフェースです。Oracle Enterprise Manager Fusion Middleware Controlは、幅広い様々なパフォーマンス・データと管理機能を、ファーム、Oracle Fusion Middlewareコンポーネント、ミドルウェア・システム・コンポーネント、およびアプリケーション用のWebベースの各ホームページで提供します。
Oracle Virtual Directoryは、Oracle Enterprise Manager Fusion Middleware Controlのターゲット・タイプです。Oracle Enterprise Manager Fusion Middleware Controlインタフェースを使用してOracle Virtual Directoryを管理するには、次の手順を実行します。
Webブラウザを使用してOracle Enterprise Manager Fusion Middleware Controlに接続します。URLの形式は次のとおりです。
https://host:port/em
左パネルのトポロジ・ツリーで、ファームを展開し、続いて「Identity and Access」を展開します。または、ファーム・ホームページから、「Fusion Middleware」→「Identity and Access」を開きます。両方の場所にOracle Virtual Directoryコンポーネントがリストされます。
各コンポーネントを識別するために、コンポーネント名の上にマウスを置き、ツールチップでコンポーネントの完全名を表示します。
管理するOracle Virtual Directoryのコンポーネントを選択します。
「Oracle Virtual Directory」メニューを使用して、タスクを選択します。
「Oracle Virtual Directory」メニューを使用して、Oracle Virtual Directory用の他の「Oracle Enterprise Manager Fusion Middleware Control」ページ、およびOracle Virtual Directory用の「Oracle Directory Services Manager」ページにナビゲートできます。
|
関連項目:
|
Oracle Enterprise Manager Fusion Middleware Controlを使用して、稼働していないOracle Virtual Directoryサーバーを起動するには、次の手順を実行します。稼働中のOracle Virtual Directoryサーバーを再起動するには、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの再起動」を参照してください。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、起動するOracle Virtual Directoryターゲットにナビゲートします。
「Oracle Virtual Directory」メニューから「コントロール」を選択し、「起動」を選択します。メッセージおよびターゲットのステータスがリストされたダイアログ・ボックスが表示されます。
メッセージ・ダイアログ・ボックスで「OK」をクリックして閉じます。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、稼働中のOracle Virtual Directoryサーバーを停止するには、次の手順を実行します。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、停止するOracle Virtual Directoryターゲットにナビゲートします。
「Oracle Virtual Directory」メニューから「コントロール」を選択し、「停止」を選択します。
確認ダイアログ・ボックスで「はい」をクリックし、Oracle Virtual Directoryサーバーを停止することを確認します。メッセージおよびターゲットのステータスがリストされたダイアログ・ボックスが表示されます。
メッセージ・ダイアログ・ボックスで「OK」をクリックして閉じます。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、現在稼働中のOracle Virtual Directoryサーバーを再起動するには、次の手順を実行します。
|
注意: 稼働中のOracle Virtual Directoryを再起動すると、ファイルシステムからすべてのサーバー構成がリロードされます。稼働中のOracle Virtual Directoryを再起動しても、サーバー・プロセスは停止されません。 |
Oracle Enterprise Manager Fusion Middleware Controlにナビゲートし、再起動するOracle Control Directoryターゲットに接続します。
「Oracle Virtual Directory」メニューから「コントロール」を選択し、「再起動」を選択します。
確認ダイアログ・ボックスで「はい」をクリックし、Oracle Virtual Directoryサーバーを再起動することを確認します。メッセージおよびターゲットのステータスがリストされたダイアログ・ボックスが表示されます。
メッセージ・ダイアログ・ボックスで「OK」をクリックして閉じます。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Virtual Directoryサーバーの複数タイプのメトリックを表示できます。Oracle Enterprise Manager Fusion Middleware Controlを使用してメトリックを表示するには、Oracle Virtual Directoryサーバーが稼働している必要があります。メトリックには、Oracle Enterprise Manager Fusion Middleware Controlの次の場所からアクセスできます。
Oracle Virtual Directory「ホーム」ページ
Oracle Virtual Directory「パフォーマンス・サマリー」ページ
「ホーム」ページ
Oracle Virtual Directory「ホーム」ページでメトリックを表示するには、Oracle Enterprise Manager Fusion Middleware Controlにログインし、メトリックが必要なOracle Virtual Directoryターゲットにナビゲートします。統計情報を含む「ホーム」ページが表示されます。
表8-4に、Oracle Virtual Directory「ホーム」ページで確認できる統計情報を示します。
表8-4 「ホーム」ページで確認できるメトリック
| サブジェクト | メトリック |
|---|---|
|
現行ロード |
|
|
リソース使用率 |
|
|
平均レスポンス時間と操作 |
|
|
リスナー |
次の内容を含む、構成済のOracle Virtual Directoryリスナーの表が表示されます。
|
|
アダプタ |
次の内容を含む、構成済のOracle Virtual Directoryアダプタの表が表示されます。
|
「パフォーマンス・サマリー」ページ
「パフォーマンス・サマリー」ページでは、様々なメトリックを選択し、時間ベースのコンテキストで表示できます。「パフォーマンス・サマリー」ページに表示されるメトリックは、メトリック・パレットを使用してカスタマイズできます。メトリック・パレットの使用方法の詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
「パフォーマンス・サマリー」ページでメトリックを表示する手順:
Oracle Enterprise Manager Fusion Middleware Controlにログインし、メトリックが必要なOracle Virtual Directoryターゲットにナビゲートします。
「Oracle Virtual Directory」メニューから「監視中」を選択し、「パフォーマンス・サマリー」を選択します。「パフォーマンス・サマリー」ページが表示されます。
「パフォーマンス・サマリー」ページで確認できるメトリックのリストとその説明は、表D-1を参照してください。
複数のOracle Virtual Directoryの管理タスクを実行するインタフェースとして、WebLogic Scripting Tool(WLST)を使用できます。このドキュメントでも、複数のタスクと手順でWLSTを使用する方法が説明されていますが、使用方法の詳細は、次のドキュメントを参照してください。
WLSTコマンドライン・ツールの使用方法の詳細は、『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』を参照してください。
WLSTコマンドライン・ツールの構文の詳細は、『Oracle Fusion Middleware WebLogic Scripting Tool Command Reference』を参照してください。
|
重要: Oracle Virtual Directoryのインストールの後、またはOracle WebLogic Serverの再起動の後、他のWLSTコマンドを実行する前に、WLST また、Oracle Virtual Directory MBean上で他のWLSTコマンドを実行する前に、WLST 次のようにload()メソッドを起動します。
|
Oracle Virtual DirectoryのLDAPツール(ldapadd、ldapdelete、ldapbindなど)が、パスワードの公開を防止するために変更されました。ユーザー・パスワードの-wオプションのかわりに-qオプションを使用し、ウォレット・パスワードの-Pオプションのかわりに-Qオプションを使用してください。-qおよび-Qオプションを使用すると、パスワードの入力を求められます。
-wおよび-Pパスワード・オプションは、LDAP_PASSWORD_PROMPTONLY環境変数をTRUEまたは1に設定することによって無効にできます。可能なときにこの環境変数を設定してください。
