Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
前 |
次 |
この章では、ディレクトリ同期プロファイルの管理方法を説明します。内容は次のとおりです。
この項では、Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを作成、変更および削除する方法について説明します。内容は次のとおりです。
注意: 管理者以外の権限を持つユーザーは、Oracle Enterprise Manager Fusion Middleware Controlを使用して既存の同期プロファイルに関する情報を表示できますが、プロファイルの作成または編集を行うことはできません。 |
この項では、Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを作成する方法について説明します。プロファイルを作成するときは、「接続テスト」機能を使用してソース・ホストへの接続をテストし、「すべてのマッピング・ルールの検証」機能を使用してマッピング・ルールをテストすることをお薦めします。エラー・メッセージが表示された場合は、プロファイル構成を修正する必要があり、これを行わないと、プロファイルの有効化とこのプロファイルを使用した同期の実行を行うことができなくなります。
Oracle Directory Integration Platformに同梱されているサンプル・マップ・ファイルを使用して同期プロファイルを作成すると、様々な警告メッセージが表示されます。警告が表示されても同期プロファイルは正しく機能するため、これらのメッセージは無視して構いません。警告メッセージが表示されないようにするには、Oracle Directory Integration Platformに同梱されているマップ・ファイルのデフォルト設定を、使用する環境にあわせて編集してからプロファイルを作成します。
Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを作成するには、次の手順を実行します。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、同期プロファイルを作成するDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「同期プロファイル」をクリックします。
「同期プロファイルの管理」が表示されます。
「作成」をクリックします。
「同期プロファイルを作成」ページが表示され、各種プロファイル設定に対応するタブが表示されます。次の各項で、「同期プロファイルを作成」ページの各タブのパラメータを説明します。
パラメータに値を設定したら、「同期プロファイルを作成」ページの「OK」をクリックして、プロファイルを作成します。「同期プロファイルの管理」ページにプロファイルが表示されます。
一般
「一般」タブには、プロファイルの一般設定を構成する次のパラメータがあります。
プロファイル名: コネクタの名前をASCII文字のみを使用して指定します(ASCII以外の文字は「プロファイル名」ではサポートされていません)。指定した名前は、このコネクタ・プロファイルのDNのRDNコンポーネントとして使用されます。たとえば、プロファイル名MSAccessを指定すると、orclodipagentname=MSAccess,cn=subscriber profile, cn=changelog subscriber, cn=oracle internet directory
というコネクタ・プロファイルが作成されます。
プロファイルのステータス: プロファイルを有効化するかどうか、無効化するかどうかを選択します。
DIP-OIDの使用形式/DIP-OUDの使用形式/DIP-ODSEEの使用形式: このラベルは、同期化およびプロビジョニング用の1つのエンドポイントである、インストール済Oracleディレクトリ(Oracle Internet Directory、Oracle Universal DirectoryまたはOracle Directory Server Enterprise Editionのいずれか)を表します。Oracleディレクトリをソースまたは宛先のどちらのディレクトリとして使用するかを選択します。「ソース」を選択すると、ターゲットの接続ディレクトリからOracleバックエンド・ディレクトリに変更を取り込みます。「接続先」を選択すると、Oracleバックエンド・ディレクトリからターゲットの接続ディレクトリに変更を送信します。
タイプ: 接続ディレクトリのタイプをリストから選択します。
注意: 標準以外のLDAPタイプのプロファイル(「データベース」または「カスタム」など)を選択した場合、以降の構成パラメータは異なります。たとえば、「タイプ」リストから「カスタム」を選択した場合は、Javaクラス名およびパッケージを指定する必要があります(例: |
ホスト: 接続ディレクトリが稼働しているホスト。
ポート: 接続ディレクトリが稼働しているポート。
SSL設定: SSL設定を有効化するかどうか、無効化するかどうかを選択します。SSL設定を有効にする場合、正常に接続したり、ターゲット・ディレクトリへの接続をテストしたりするには、ターゲット・ディレクトリのルート証明書がOracle Directory Integration Platformキーストアにある必要があります。
データベース・サービスID: 「タイプ」メニューから「データベース(JDBC)」を選択した場合は、データベースSIDを入力します。(注意: サービス名ではなく、SIDを入力します。)
ユーザー名: コネクタ・エージェントが接続ディレクトリにアクセスするために使用するアカウントを指定します。たとえば、接続ディレクトリがデータベースの場合、アカウントはScottなどになります。接続ディレクトリが別のLDAP準拠ディレクトリの場合は、アカウントはcn=Directory Managerなどになります。
パスワード: コネクタまたはエージェントが接続ディレクトリにアクセスするときに使用するパスワードを指定します。
接続テスト: 「接続テスト」機能を使用すると、ソース・ホストへの接続をテストできます。
マッピング
「マッピング」 タブでは、プロファイルの、ドメインおよび属性のマッピング・ルールやドメインおよび属性の除外リストを構成できます。
ドメイン・マッピング・ルールは、Oracleバックエンド・ディレクトリへのオブジェクトの同期元となるドメインまたはコンテナのマッピング・ルールです。ドメイン除外リストは、ブートストラップ時および同期時に除外するドメインを指定します。
属性マッピング・ルールは、管理されるオブジェクトの属性を対象とします。属性除外リストは、ブートストラップ時および同期時に除外する属性を指定します。
マッピング・ルールまたは除外リストを作成するには、作成するマッピング・ルールまたは除外リストのタイプに対応する「作成」をクリックし、パラメータの値を入力し、「同期プロファイルを作成」ページの上部で「OK」をクリックします。
注意: マッピング・ルールを作成したら、「同期プロファイルを作成」ページの上部にある「すべてのマッピング・ルールの検証」ボタンを使用してマッピング・ルールをテストしてください。マッピング・ルールが有効でない場合、プロファイルを作成することはできません。 |
「ドメイン・マッピング・ルール」パラメータのリストと説明を次に示します。
DIP-OIDコンテナ/DIP-OUDコンテナ/DIP-ODSEEコンテナ: このラベルは、同期化およびプロビジョニング用の1つのエンドポイントである、インストール済Oracleディレクトリ(Oracle Internet Directory、Oracle Universal DirectoryまたはOracle Directory Server Enterprise Editionのいずれか)を表します。これは、オブジェクトの同期先となる宛先コンテナの名前です。LDAP以外のソースとの同期の場合は、値NONLDAPを入力します。
ソース・コンテナまたは宛先コンテナ: インポート・プロファイルを構成している場合、このパラメータは「ソース・コンテナ」という名前になります。エクスポート・プロファイルを構成している場合、このパラメータは「宛先コンテナ」という名前になります。このパラメータは、オブジェクトの同期元または同期先となるソース・コンテナまたは宛先コンテナの名前を特定します。LDAP以外のソースとの同期の場合は、値NONLDAPを入力します。
DNマッピング・ルール: ソース・コンテナのエントリを宛先コンテナにマップする方法を決定する特定のマッピング・ルール。
ドメイン除外リスト・パラメータのリストと説明を次に示します。
除外するソース・コンテナ: このパラメータは、インポート・プロファイルを構成する場合に表示されます。値を入力するか(たとえば、OU=myou,OU=test,DC=mycompany,DC=com
)、「参照」をクリックしてドメインを参照し、「ドメイン除外コンテナの作成」ダイアログ・ボックスで「OK」をクリックすることによって、ブートストラップと同期の際に除外するドメインを指定します。
除外するDIP-OIDコンテナ/除外するDIP-OUDコンテナ/除外するDIP-ODSEEコンテナ: このパラメータは、エクスポート・プロファイルを構成する場合に表示されます。値を入力するか(たとえば、OU=myou,OU=test,DC=mycompany,DC=com
)、「参照」をクリックしてドメインを参照し、「ドメイン除外コンテナの作成」ダイアログ・ボックスで「OK」をクリックすることによって、ブートストラップと同期の際に除外するドメインを指定します。
「属性マッピング・ルール」パラメータのリストと説明を次に示します。
ソースのオブジェクト・クラス: ソース・ディレクトリのオブジェクト・クラスを選択します。LDAP以外のソースとの同期では、このパラメータは適用されません。
ソース属性: マッピング・ルールを適用するソース・ディレクトリの属性。LDAPソースとの同期の場合は、「単一の属性」オプションを選択して「属性」フィールドに適切な属性を入力します。LDAP以外のソースとの同期の場合は、「複数属性」オプションを選択して「複数値属性」フィールドに適切な属性を入力します。
必要なソース属性: ソース属性要件を有効または無効にします。
DIP-OIDオブジェクト・クラス/DIP-OUDオブジェクト・クラス/DIP-ODSEEオブジェクト・クラス: 宛先オブジェクト・タイプまたは宛先オブジェクト・クラスを選択します。LDAPターゲットには、宛先オブジェクト・クラスを使用します。
宛先表: 宛先ディレクトリ・タイプが「データベース(JDBC)」の場合に、宛先表を選択します。
DIP-OID属性/DIP-OUD属性/DIP-ODSEE属性: マッピング・ルールを適用する宛先属性の名前を選択します。
宛先列: 宛先ディレクトリ・タイプが「データベース(JDBC)」の場合に、宛先列を選択します。
DIP-OID属性タイプ/DIP-OUD属性タイプ/DIP-ODSEE属性タイプ: 宛先ディレクトリの属性のタイプを入力します。
対応付けの式: 宛先属性値をソース属性値から導出する変換ルールを入力します。
「属性除外リスト」パラメータのリストと説明を次に示します。
オブジェクト・クラス: 属性除外リストに追加する属性が含まれるオブジェクト・クラスを選択します。オブジェクト・クラスを選択すると、その属性が複数アドレスのフィールドに表示されます。
属性: 属性除外リストに追加する属性を選択します。
フィルタリング
「フィルタリング」タブには、プロファイルのフィルタリング設定を構成する次のパラメータがあります。
ソースの一致フィルタ: 接続ディレクトリのエントリを一意に識別する属性を指定するか、searchfilter=ldap_search_filterの形式で接続ディレクトリのLDAP検索フィルタを指定します。
宛先一致ルール: Oracleバックエンド・ディレクトリのレコードを一意に識別する属性を指定します。この属性は、Oracleバックエンド・ディレクトリと接続ディレクトリを同期化するためのキーとして使用されます。
関連するプロファイル: 「関連するプロファイル」フィルタ設定は、一方のディレクトリで開始された変更が同じディレクトリに戻される、双方向同期でのループバック変更を防ぐために使用されます。インポート・プロファイルに対しては、関連付けられているエクスポート・プロファイルを「関連するプロファイル」フィールドに指定します。エクスポート・プロファイルに対しては、そのディレクトリからデータを同期するために使用するインポート・プロファイルを指定します。
注意: プロファイルの関連付けを解除するには、「関連するプロファイル」設定を「1つ選択」に設定します。 |
拡張
「拡張」タブには、プロファイルの拡張設定を構成する次のパラメータがあります。
スケジューリングの間隔(HH:MM:SS): 接続ディレクトリとOracleバックエンド・ディレクトリの同期の、試行間隔の時間数、分数および秒数を指定します。
最大再試行回数: 同期を停止するまでに同期を試行する回数の、最大数を指定します。デフォルトは5です。最初の再試行は最初の失敗の1分後に行われます。2回目の再試行は2回目の失敗の2分後に、後続の再試行はn回目の失敗のn分後に行われます。
ログ・レベル: デバッグのロギング・レベルを指定します。同期されるエントリなど、すべての情報を記録するには、「すべてのレベル」を選択します。
プライマリ表: このプロファイルのプライマリ表をリストから選択します。
最終変更番号: 同期が実行された変更の数を特定します。同期プロファイルを作成すると、「最終変更番号」パラメータはロックされ、値を入力できなくなります。
同期プロファイルを作成し、編集しようとすると、「最終変更番号」パラメータに対応する「編集して維持」という追加のオプションが利用可能になります。「編集して維持」オプションを選択(有効化)すると、「最終変更番号」パラメータの値を編集することができます。「編集して維持」オプションを有効にすると、「最終変更番号」がプロファイル内に維持されます。「編集して維持」オプションを有効にしない場合、「最終変更番号」の変更は維持されません。
警告: 「最終変更番号」の値を編集する場合、誤った値を設定すると、プロファイルの機能停止や、誤った同期操作の原因になりますので注意してください。 |
主キー: データベース表の名前を選択し、主キー列を入力して、同期する表の主キーを指定します。主キーが複数の列で構成されている場合は、各列の名前をカンマで区切って入力します。たとえば、id,name,dob
とします。行を削除するには、削除する行にある赤色のxをクリックします。主キー・エントリを追加するには、「主キーの追加」をクリックします。
表リレーション: 「表リレーションの追加」をクリックして、プライマリ表とプロファイルに関係するその他すべての表の間の関係を定義します。「リレーション列」ボックスに、セカンダリ表とプライマリ表の間の関係を定義する列名を入力します。複数の列名を指定する必要がある場合は、カンマ区切りのリスト(たとえば、id,name
)を使用します。
追加構成パラメータ: このセクションを使用すると、オプションの拡張構成パラメータを管理できます。拡張構成パラメータを作成するには、「追加」をクリックしてパラメータおよびその値を識別します。各拡張構成パラメータのリストと説明を次に示します。
全エントリのチェック: eDirectoryおよびOpenLDAPにのみ適用され、Novell eDirectoryまたはOpenLDAPの削除済エントリをOracleバックエンド・ディレクトリと同期化する方法を決定します。このパラメータにtrue値を指定すると、Oracle Directory Integration Platformでは、Oracleバックエンド・ディレクトリのエントリとNovell eDirectoryまたはOpenLDAPとの間で線形比較して削除済エントリを識別します。エントリがNovell eDirectoryまたはOpenLDAPに存在しない場合、そのエントリはOracleバックエンド・ディレクトリから削除されます。このパラメータにfalse値を指定すると、接続ディレクトリのエントリ数とOracleバックエンド・ディレクトリのエントリ数の差によって削除済エントリは同期化されます。削除済エントリ数が0以下の場合、同期化する削除済エントリはありません。しかし、削除済エントリ数が1以上の場合は、Oracle Directory Integration PlatformはOracleバックエンド・ディレクトリの各エントリをNovell eDirectoryまたはOpenLDAPと比較して同期化する削除済エントリを識別します。Oracle Directory Integration Platformでは、接続ディレクトリのエントリ数とOracleバックエンド・ディレクトリのエントリ数の差と同じ数の削除済エントリを検出するまでエントリの比較を続けます。パフォーマンスを向上させるには、このパラメータに false 値を指定します。
一意属性: eDirectoryおよびOpenLDAPにのみ適用され、エントリの検索に使用できるNovell eDirectoryまたはOpenLDAPの一意の属性を指定します。このパラメータには、Novell eDirectoryの場合は GUID 値、OpenLDAPの場合は entryuuid 値を指定します。
属性タイプ: eDirectoryおよびOpenLDAPにのみ適用され、UniqueAttributeパラメータのタイプを示します。このパラメータには、Novell eDirectoryの場合は Binary 値、OpenLDAPの場合は nonBinary 値を指定します。このパラメータは、マッピング・ファイルに定義されている属性に対応するOracleバックエンド・ディレクトリの属性を取得するために使用します。
時間デルタの検索: このパラメータは、タイムスタンプに基づいて同期を処理し、変更ログをサポートしないeDirectoryおよびOpenLDAPにのみ適用されます。「時間デルタの検索」によって、各同期サイクルの反復中に変更を処理する時間間隔が決定されます。デフォルト値は3600です。各同期サイクルで実行される反復の回数は、保留中の変更の数によって異なります。たとえば、「時間デルタの検索」パラメータが60に設定されていると、約1分間保留中の変更がある場合、同期に必要な反復は1回です。変更が3分間保留中である場合、同期に必要な反復は3回です。
注意:
|
デルタ・サイズの検索: このパラメータは、変更ログをサポートするディレクトリから変更をインポートする場合に適用されます。「デルタ・サイズの検索」によって、同期サイクルの各反復中に処理される増分変更の数が決定されます。デフォルト値は500です。各同期サイクルで実行される反復の回数は、保留中の変更の数によって異なります。たとえば、「デルタ・サイズの検索」パラメータに500の値が割り当てられていると、保留中の変更が498個ある場合、同期に必要な反復は1回です。ただし、保留中の変更が501個ある場合、同期には2回の反復が必要になります。場合によっては、このパラメータに割り当てる値を高くすると、同期の効率が向上します。ただし、指定する値が、接続ディレクトリ・サーバーのLDAP検索制限を超えないことを確認してください。そうでない場合、同期時にエラーが発生して一部の変更が処理されないことがあります。
注意: 「デルタ・サイズの検索」パラメータを変更する際、特に2000を超える値を指定する場合は、必ずデプロイを十分に分析し、テストしてください。 |
エラーをスキップして次の変更に同期化: 同期中に変更を処理するときにOracle Directory Integration Platformでエラーを処理する方法が決まります。デフォルトでは、「エラーをスキップして次の変更に同期化」パラメータにfalseの値が割り当てられ、Oracle Directory Integration Platformはエラーが解決されるまで変更の処理を続行します。「エラーをスキップして次の変更に同期化」にtrueの値を指定すると、Oracle Directory Integration Platformはエラーの原因となる変更をスキップします。すべての障害が、$ORACLE_HOME/ldap/odi/log/profile_name.aud監査ログに記録されます。「エラーをスキップして次の変更に同期化」をtrueに設定する場合は、必ず定期的に監査ログで障害を確認してください。
検索件数の更新: 同期プロセス中に接続ディレクトリで実行する反復の最大回数を指定します。同期プロセスは、指定された回数の検索が実行されると停止し、次にスケジュールされた間隔に再開します。
フィルタ時間の短縮: eDirectoryおよびOpenLDAPにのみ適用され、Oracleバックエンド・ディレクトリを実行しているコンピュータとNovell eDirectoryを実行しているコンピュータの間の時間差を指定します。Novell eDirectoryのコンピュータ上の時間がOracleバックエンド・ディレクトリのコンピュータの時間より早い場合、Oracleバックエンド・ディレクトリとNovell eDirectory間の同期が正しく機能しないため、このパラメータが必要になります。このパラメータには、2つのコンピュータ間の時間差と等しい値を秒単位で指定します。デフォルト値は0です。
ライター: プロファイルにより同期のために使用されるライターを指定します。これは読取り専用の値で、情報提供目的でのみ使用されます。
リーダー: プロファイルにより同期のために使用されるリーダーを指定します。これは読取り専用の値で、情報提供目的でのみ使用されます。
調整: このパラメータは変更しないでください。プロファイルにより調整処理のために使用されるクラスを指定します。このパラメータは、eDirectoryおよびOpenLDAPにのみ適用されます。これは読取り専用の値で、情報提供目的でのみ使用されます。
Oracle Enterprise Manager Fusion Middleware Controlを使用して既存の同期プロファイルを編集するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、編集するプロファイルを含むDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「同期プロファイル」をクリックします。「同期プロファイルの管理」が表示され、既存のプロファイルのリストが表示されます。
編集するプロファイルをリストから選択して「編集」をクリックします。編集するプロファイルの「同期プロファイルの編集」画面が表示されます。
プロファイル設定を編集するには、「同期プロファイルの作成」の、各プロファイル・パラメータが記述されている「一般」、「マッピング」、「フィルタリング」および「拡張」の各項を参照してください。
注意: 「一般」タブの設定を編集してから、他のタブの設定を編集する必要があります。 |
「同期プロファイルの編集」ページの「OK」をクリックして、更新したプロファイルを保存します。
Oracle Enterprise Manager Fusion Middleware Controlを使用して既存の同期プロファイルを有効化または無効化するには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、有効化または無効化するプロファイルを含むDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「同期プロファイル」をクリックします。「同期プロファイルの管理」が表示され、既存のプロファイルのリストが表示されます。
既存のプロファイルのリストから、有効化または無効化するプロファイルを選択します。
プロファイルを有効化するには、「プロファイルの有効化」ボタンをクリックします。
プロファイルを無効化するには、「プロファイルの無効化」ボタンをクリックします。
Oracleバックエンド・ディレクトリから直接同期プロファイルを削除しないでください。かわりに、Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを削除します。Oracleバックエンド・ディレクトリを使用して同期プロファイルを削除した場合、このプロファイルを再作成しようとすると、PROFILE_ALREADY_REGISTERED
メッセージが表示されます。
Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを削除するには、次の手順を実行します。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、削除するプロファイルを含むDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「同期プロファイル」をクリックします。「同期プロファイルの管理」が表示されます。
同期サーバーの管理ページで、削除するプロファイルを選択して「削除」をクリックします。コネクタ・プロファイルの削除の確認を要求するウィンドウが表示されます。
「はい」をクリックしてプロファイルの削除を確認します。
DIP同期プロファイル・テスター(DIPテスター)は、同期操作を実行し、テスト中に生成された詳細なログ・メッセージを返すことができるユーティリティです。DIPテスターを使用して同期プロファイルをテストし、プロファイル構成とマッピング・ルールがディレクトリ・データで予想どおりに動作していることを確認します。
DIPテスターは、LDAPからLDAPへのディレクトリベースの同期プロファイルでのみ動作します。DB/カスタムおよび他の非ディレクトリベースのプロファイルでは動作しません。
DIPテスターは、Enterprise Managerユーザー・インタフェース、またはWLSTを使用してコマンドラインから実行できます。
DIPテスターは、無効状態に設定されている同期プロファイルでのみ使用できます。
注意: プロファイルを無効にすると、無効なステータスが有効になるまでに遅延が発生します。構成されたリフレッシュ間隔が経過した後にのみ(2分以上の間隔)、プロファイルは無効化されます。 |
プロファイルを無効化するには、ツールバーの「プロファイルの無効化」ボタンをクリックします。
Enterprise ManagerでDIPテスターを開くには、次のようにします。
「DIPサーバー」メニューで「管理」→「同期プロファイル」を選択します。
「同期プロファイルの管理」ページが開きます。
テストするプロファイルの行をクリックして、プロファイルを選択します。
「DIPテスター」の右側にある矢印をクリックして、次のメニューから選択します。
プロファイルのダンプ - ポップアップ・ウィンドウを開いて、選択された同期プロファイルの詳細を表示し、プロファイルのコピーをサポート・チケットに追加できるようにします。
テスターの起動 - DIPテスターを開きます。
テスト・モード
この項では、DIPテスター・ウィザードの3つの画面のうち、最初の画面である「テスト・モード」画面について説明します。
DIPテスターの操作モード - DIPテスターは、基本および拡張の2つのモードで実行できます。
DIPテスターの事前構成済の設定を使用して同期タスクを迅速に実行するには、基本モードを選択します。同期タスクが実行され、テストからの同期ステータスおよびログ・メッセージがEnterprise Managerで返されます。
基本モードは、失敗した同期を迅速に再試行する必要がある場合に役立ちます。失敗した最後の変更を再試行するには、プロファイルを編集して「エラーをスキップして次の変更に同期化」をfalse、「検索件数の更新」を1、searchDeltaSizeを1にそれぞれ設定します。
注意: デフォルト構成では、「エラーをスキップして次の変更に同期化」はfalseに設定されています。したがって、DIPテスターは失敗した操作をスキップしません。操作が失敗した場合にDIPテスターが次の操作に進むようにするには、「同期プロファイルの管理」ページを開いて「編集」をクリックし、「拡張」タブで「エラーをスキップして次の変更に同期化」をtrueに設定します。 |
テスト・データのソースを指定して構成するには、詳細モードを選択します。テスト・データを指定するには、3つの方法があります。
変更番号を入力して、特定の変更の同期化をテストします。変更番号は、Active Directory、Oracle Internet Directory、Oracle Unified Directory、Oracle Directory Server Enterprise Edition、iPlanetおよびTivoliディレクトリでサポートされます。
SourceDNを入力して、特定の変更の同期化をテストします。SourceDNは、eDirectoryおよびOpenLDAPディレクトリでサポートされています。
LDIFデータを入力します。LDIFデータは、すべてのディレクトリ・ソースと互換性があります。
注意: DIPテスターは、OpenLDAPまたはeDirectory LDAPサーバーの削除操作は処理できません。 他のLDAPサーバーでユーザーまたはグループの削除操作を処理する場合、LDIFの削除ファイルには 次に例を示します。 dn: cn=userToDelete,cn=users,dc=comain changetype: delete |
選択したプロファイル情報 - テストする同期プロファイルに関する読取り専用の情報を含みます。この情報を確認して、画面の右上の角にある「次へ」をクリックし、ウィザードの手順2(「テスト・パラメータ」)に進みます。
表7-1 同期プロファイルのプロパティ、「基本プロパティ」
プロパティ | 説明 |
---|---|
プロファイル名 |
テストするプロファイルの名前。 |
同期化モード |
同期の方向を示します。 「インポート」では、接続ディレクトリからOracleバックエンド・ディレクトリに変更が伝播されます。「エクスポート」では、Oracleバックエンド・ディレクトリから接続ディレクトリに変更が伝播されます。 |
プロファイルのステータス |
チェック・ボックスが空の場合は、プロファイルが無効であることを示します。 |
表7-2 同期プロファイルのプロパティ、「ソースの詳細」または「宛先の詳細」
プロパティ | 説明 |
---|---|
タイプ |
インポート・テストのレコードを供給するディレクトリ・タイプ(OpenLDAP、Microsoft Active Directory、Tivoli Directory Serverなど)。 |
ホスト |
同期テストのソース・コンテナをホストするコンピュータの名前。 |
ポート |
同期化ジョブの接続用に構成されたポート番号。 |
SSL設定 |
チェック・ボックスが空の場合は、SSLが無効であることを示します。 |
ユーザー名 |
プロファイルがソース・ディレクトリへの認証に使用するユーザー・アカウント。 |
表7-3 同期プロファイルのプロパティ、「拡張」
プロパティ | 説明 |
---|---|
最終変更番号 |
同期が実行された、変更ログ内の最新の変更番号を特定します。 |
エラーをスキップして次の変更に同期化 |
trueの場合は、エラーが発生した場合にプロファイルが同期ジョブを続行することを指定します。falseの場合、同期ジョブは中断されます。 この値を変更するには、同期プロファイルを編集して、「拡張」タブを選択し、「追加構成パラメータ」セクションでパラメータを編集します。 |
検索件数の更新 |
同期プロセス中に接続ディレクトリで実行する反復の最大回数を指定します。同期プロセスは、指定された回数の検索が実行されると停止します。 この値を変更するには、同期プロファイルを編集して、「拡張」タブを選択し、「追加構成パラメータ」セクションでパラメータを編集します。 |
テスト・パラメータ
この項では、DIPテスター・ウィザードの3つの画面のうち、2番目の画面である「テスト・パラメータ」画面について説明します。
DIPテスターを詳細モードで実行している場合は、テスト・データのソースを選択して構成します。特定の変更の同期化をテストするには、変更番号またはSourceDNを入力します。それ以外の場合は、LDIF(Lightweight Directory Interchange Format)文を使用して、同期指示を入力します。
DIPテスターを基本モードで実行している場合、オプションは事前構成済です。画面の右上の角にある「次へ」をクリックし、ウィザードの手順3(「オプションとテスト出力の確認)に進みます。
テスト・データの表示(オプション)。この参照機能は、DIPテスターを終了せずに変更ログ・データ、ソース・ディレクトリ・データおよび宛先ディレクトリ・データを表示できるように提供されています。DIPテスター内部のテスト・データを表示するには、ドロップダウン・メニューから次のオプションの1つを選択します。
変更ログ・エントリの表示 - 変更ログをサポートするディレクトリの場合は、変更ログを指定して「変更番号」ボックスに番号を入力します。変更番号はソースから取得します。
注意: 失敗した変更番号は、自動的に判別されません。かわりに、失敗した変更番号については監査ログを参照してください。 |
ソース・ディレクトリ・エントリの表示 - テンプレートとして使用できる既存のソース・ディレクトリ・エントリを表示する場合に選択します。uSNChanged属性など、Active Directoryのソース・データを表示するにはこのオプションを使用する必要があります。
ドロップダウン・メニューの「ソース・コンテナ」の値は、プロファイルで設定されているドメイン・マッピング・ルールを使用して取得されます。
「ソースRDN」ボックスに値を入力します。
宛先ディレクトリ・エントリの表示 - テンプレートとして使用できる既存の宛先ディレクトリ・エントリを表示する場合に選択します。
ドロップダウン・メニューの「宛先コンテナ」の値は、プロファイルで設定されているドメイン・マッピング・ルールを使用して取得されます。
「宛先RDN」ボックスに値を入力します。
「テスト・データソース」メニューの「テスト・オプション」で、「変更番号」、「ソースDN」または「LDIFデータ」を選択し、テストする変更番号、SourceDNまたはLDIFコマンドを入力します。「次へ」をクリックし、ウィザードの手順3(「オプションとテスト出力の確認)に進みます。
オプションとテスト出力の確認
この項では、DIPテスター・ウィザードの3つの画面のうち、3番目の画面である「オプションとテスト出力の確認」画面について説明します。
注意: 同期テストはシミュレーションではありません。テストを開始すると、実際の同期操作が実行されます。詳細モードでDIPテスターを使用する場合は、注意して開始してください。 |
DIPテスターを詳細モードで実行している場合は、「テスト・オプションの確認」セクションを使用して、前の画面で入力した変更番号またはLDIFデータを確認します。DIPテスターを基本モードで実行している場合、このセクションでは事前構成済の設定が使用されます。
「テスト」をクリックすると、同期化テストが開始されます。
「プロファイルのダンプ」をクリックすると、選択した同期プロファイルの詳細がポップアップ・ウィンドウに書き込まれます。
注意: ソース・ディレクトリ・エントリと宛先ディレクトリ・エントリの同期がすでに取れている場合、DIPテスターは同期操作が実行されなかったことを報告しません。かわりに、DIPテスターは「テストにパスしました」と報告しますが、これは両方のディレクトリのエントリおよび属性データが一致するためです。 |
「テスト出力」セクションには次の情報が表示されます。
結果 - 「テストにパスしました」または「テストが失敗しました」のいずれかです。
注意: 基本モードでDIPテスターを使用している場合、実際にはエラーが報告された場合でも、「テスト出力」セクションで「テストにパスしました」という結果が報告されることがあります。このため、「DIPテスターのログ・メッセージ」セクションを常にチェックして、このセクションでエラーが報告されていないことを確認する必要があります。 |
ソース・エントリ詳細/宛先エントリ詳細 - テストにパスした場合、ソース・ディレクトリおよび宛先ディレクトリの実際のディレクトリ・データのテスト結果を表示します。
エラー・メッセージ - テストが失敗した場合、テスト失敗の理由を報告するメッセージを表示します。
DIPテスターのログ・メッセージ - 同期テスト中に生成された詳細なメッセージ。
コマンドラインからDIPテスターを実行するには、manageSyncProfiles
コマンドを使用してtestProfile
オプションを指定します。
操作モード
DIPテスター(testProfile
)は、基本モードまたは詳細モードで実行できます。
DIPテスターの事前構成済の設定を使用して同期タスクを迅速に実行するには、基本モードを使用します。同期タスクが実行され、テストからの同期ステータスおよびログ・メッセージが標準出力に返されます。
基本モードは、失敗した同期を迅速に再試行する必要がある場合に役立ちます。失敗した最後の変更を再試行するには、「エラーをスキップして次の変更に同期化」をfalseに設定し、「検索件数の更新」を1に設定します。
基本モードでDIPテスターを実行する場合は、-changenumber
オプション、-sourcedn
オプションまたは-ldiffile
オプションを含めないでください。
注意: デフォルト構成では、「エラーをスキップして次の変更に同期化」はfalseに設定されています。したがって、DIPテスターは失敗した操作をスキップしません。操作が失敗した場合にDIPテスターが次の操作に進むようにするには、「エラーをスキップして次の変更に同期化」をtrueに設定します。 |
テスト・データのソースを指定して構成する必要がある場合は、詳細モードを使用します。変更番号を入力して変更ログの特定の変更を実行するか、SourceDNを入力してeDirectoryまたはOpen LDAPディレクトリの特定の変更の同期をテストする、またはLDIFデータを入力することができます。
詳細モードでDIPテスターを実行する場合は、DIPテスターの実行時に-changenumber
オプション、-sourcedn
オプションまたは-ldiffile
オプションを含めます。
注意: DIPテスターは、OpenLDAPまたはeDirectory LDAPサーバーの削除操作は処理できません。 他のLDAPサーバーでユーザーまたはグループの削除操作を処理する場合、LDIFの削除ファイルには 次に例を示します。 dn: cn=userToDelete,cn=users,dc=comain changetype: delete |
詳細は、「DIPテスターのコマンドラインの例」を参照してください。
注意: ソース・ディレクトリ・エントリと宛先ディレクトリ・エントリの同期がすでに取れている場合、DIPテスターは同期操作が実行されなかったことを報告しません。かわりに、DIPテスターは「テストにパスしました」と報告しますが、これは両方のディレクトリのエントリおよび属性データが一致するためです。 |
testProfileの構文および引数
manageSyncProfiles testProfile -h
hostName
-p
port
-D
wlsuser
-pf
profileName
[-changenumber
number
| -ldiffile
file
| -sourcedn
sourcedn
] [-ssl -keyStorePath
path
-keyStoreType
type
] [-help]
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Server。
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーのリスニング・ポート。
サーバーに接続するためのログインID。
プロファイル名。
Oracle Internet Directory、iPlanet、TivoliおよびActive Directoryなどのディレクトリから宛先に同期化される必要がある変更を表す変更ログ番号。
eDirectoryおよびOpenLDAPなどのディレクトリから宛先に同期化される必要があるソース・エントリの識別名。
ソースに適用されてから宛先に同期化されるLDIFデータを含むファイル。
SSLを使用してコマンドを実行します。
トラスト・キーストアの場所。
キーストア・タイプ。値を指定しない場合は、デフォルトでjks
に設定されます。
testProfileコマンドのヘルプを提供します。
注意: パスワードは、コマンド・パラメータとして渡すことができません。かわりに、必要に応じてシステムからパスワードの入力を要求されます。 |
DIPテスターのコマンドラインの例
DIPテスター基本モード
manageSyncProfiles testProfile -h <hostName> -p <port> -D <wlsuser> -pf <profileName>
DIPテスター詳細モード、変更番号を指定
manageSyncProfiles testProfile -h <hostName> -p <port> -D <wlsuser> -pf <profileName> [-changenumber <number>]
DIPテスター詳細モード、SourceDNを指定
manageSyncProfiles testProfile -h <hostName> -p <port> -D <wlsuser> -pf <profileName> [-sourcedn <sourcedn>]
DIPテスター詳細モード、LDIFファイルを指定
manageSyncProfiles testProfile -h <hostName> -p <port> -D <wlsuser> -pf <profileName> [-ldiffile <file>]
コマンドラインから同期プロファイルを作成および管理するには、manageSyncProfiles
ユーティリティを使用します。manageSyncProfiles
ユーティリティはORACLE_HOME/bin
ディレクトリにあります。
注意:
|
このトピックには、次の項があります。
manageSyncProfiles
manageSyncProfiles {activate | deactivate | copy | deregister | get | isexists | update | testProfile | validateProfile | validateMapRules | register | updatechgnum | associateProfile | dissociateProfile | getAllAssociatedProfiles | getAssociatedProfile | list } -h HOST -p PORT -D wlsuser [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-profile] [-newProfile] [-associateProfile][-file] [-params 'prop1 val1 prop2 val2 ...'] [-conDirHost] [-conDirPort] [-conDirBindDn] [-mode] [-conDirType] [-conDirSSL] [-profileStatus] [-help]
操作
activate
-profileで指定されたプロファイルの状態をENABLEに変更します。
deactivate
-profileで指定されたプロファイルの状態をDISABLEに変更します。
copy
既存のプロファイルprofileをプロファイルnewProfileにコピーします。
deregister
既存のプロファイルをOracleバックエンド・ディレクトリから削除します。
get
プロファイルの詳細をOracleバックエンド・ディレクトリから取得します。
isexists
プロファイルprofileがOracleバックエンド・ディレクトリに存在するかどうかチェックします。
update
コマンド引数で指定されたプロファイル・プロパティを変更します。
testProfile
無効化されたプロファイルprofileの状態をTESTに変更して、プロファイルのテストをスケジュールし、プロファイルによって同期が正常に実行されることを確認します。testProfile操作でのmanageSyncProfilesコマンドの実行後、テストの結果は次のログ・ファイルで参照できますが、WL_DOMAIN_HOMEはOracle WebLogic Serverドメイン・ホームを表し、ORACLE_WEBLOGIC_MANAGEDSERVER_NAMEはOracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーの名前を表します。
WL_DOMAIN_HOME/servers/ORACLE_WEBLOGIC_MANAGED_SERVER_NAME/logs/ORACLE_WEBLOGIC_MANAGED_SERVER_NAME.log
注意: testProfile操作は、ENABLE状態のプロファイルのテストをスケジュールすることはできません。 |
validateProfile
指定されたプロファイルの値の構文が正確かどうか検証します。
validateMapRules
指定されたマップ・ルールを検証します。
register
Oracleバックエンド・ディレクトリに新しいプロファイルを作成します。
updatechgnum
プロファイル内で前回適用された変更番号を最新の番号に更新します。
associateProfile
associateProfileNameをprofileNameに関連付けます。これは、ディレクトリ間で双方向の同期を行う場合に役立ちます。プロファイルを、別のプロファイルの関連プロファイルに指定することで、情報の逆流を防止できます。
dissociateProfile
profileNameに関連付けられているプロファイルを切り離します。
getAllAssociatedProfiles
orclodipassociatedprofile
属性が-pfを使用して指定されたプロファイルに設定されている、すべてのプロファイルのリストを返します。たとえば、getAllAssociatedProfiles
を-pf test
とともに使用した場合、getAllAssociatedProfiles
は、orclodipassociatedprofile
属性がtestに設定されているすべてのプロファイルのリストを返します。
これは、プロファイルを削除する場合に役立ちます。これにより、プロファイルを削除する前に切り離す必要があるすべての関連付けのリストを取得できます。
getAssociatedProfile
-pfを使用して指定されたプロファイルの、orclodipassociatedprofile
属性の値を返します。
list
Oracleバックエンド・ディレクトリに登録されているすべてのプロファイルを表示します。
オプション
-h | host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバー・ホスト。
-p | -port
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーのリスニング・ポート。
-D | wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードを要求されます。パスワードをコマンドライン引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトから |
-ssl
SSLモードでコマンドを実行します。
注意: Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。 |
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-pf | -profile
操作の実行時に使用する同期プロファイルの名前。
-newpf | -newProfile
profileのコピーとなる新規プロファイルの名前。
-assopf
profileと関連付けられるプロファイルの名前。
-f | -file
プロパティが含まれているプロファイル・プロパティ・ファイルのフルパスおよびファイル名。
-params
prop1 val1 prop2 val2 ...
(prop
はプロファイル・プロパティの名前、val
はそのプロパティの新規の値)の形式で値を指定します。このキーワードは、プロファイルの変更のみに使用されます。必要な数のキー値を指定できます。prop1
、prop2
...で指定できるプロファイル・プロパティの名前は、付録B「同期プロファイルのプロパティ・ファイルの例」を参照してください。
-conDirHost
接続ディレクトリ・サーバーが稼働しているホスト。
-conDirPort
接続ディレクトリ・サーバーがリスニングするポート。
-conDirBindDn
接続ディレクトリ・サーバーのバインドDN。
注意: 接続ディレクトリのバインドDNパスワードを要求されます。パスワードをコマンドライン引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトから |
-mode
使用する同期モードのマップ・ルール(import
またはexport
)。
-conDirType
接続ディレクトリのタイプ。Oracle Internet DirectoryをOracleバックエンド・ディレクトリとして使用する場合、サポートされる値はActiveDirectory
、EDirectory
、iPlanet
、OpenLDAP
、ADAM
、Tivoli
、OID
およびExchangeServer2003
です。Oracle Unified DirectoryまたはOracle Directory Server Enterprise Editionをバックエンド・ディレクトリとして使用している場合、サポートされる値はIPLANET
のみです。
-conDirSSL
接続ディレクトリ・サーバーへの接続に使用するSSLモードの値。
-prfSt | -profileStatus
プロファイルのステータスを表示します。list
操作でのみ使用されます。
-help
コマンドの使用方法のヘルプを提供します。
manageSyncProfiles register -h myhost.mycompany.com -p 7005 -D login_ID \
-f /opt/ldap/odip/iPlImport.profile
manageSyncProfiles deregister -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles updatechgnum -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles activate -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles deactivate -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles get -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles testProfile -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles associateprofile -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile -assopf myProfile1
manageSyncProfiles dissociateprofile -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles getAllAssociatedProfiles -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles getAssociatedProfile -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile
manageSyncProfiles update -h myhost.mycompany.com -p 7005 \
-D login_ID -pf myProfile -f /opt/ldap/odip/iPlImport.profile
manageSyncProfiles validateMapRules -h myhost.mycompany.com -p 7005 \
-D login_ID -f /opt/ldap/odip/iPlImport.map -conDirHost server.example.com \
-conDirPort 8000 -conDirBindDn administrator@idm2003.net -mode IMPORT \
-conDirType IPLANET
manageSyncProfiles isexists -h myhost.mycompany.com -p 7005 -D login_ID \
-pf myProfile
manageSyncProfiles copy -h myhost.mycompany.com -p 7005 -D login_ID \
-pf myProfile -newpf yourProfile
manageSyncProfiles list -h myhost.mycompany.com -p 7005 -D login_ID -profileStatus
同期プロセス中、サーバーはorcllastappliedchangenumber
同期ステータス属性を常に更新します。同期ステータス属性は変更しないことをお薦めします。しかし、orcllastappliedchangenumber
属性を更新する必要がある場合もあります。たとえば、なんらかの変更を再適用したり、特定のエントリの同期をスキップする必要がある場合などです。
Oracle Enterprise Manager Fusion Middleware Controlを使用するか、manageSyncProfiles
コマンドとupdatechgnum
引数を使用することによって、orcllastappliedchangenumber
属性を変更できます。
Oracle Enterprise Manager Fusion Middleware Controlを使用してorcllastappliedchangenumber
属性を変更するには、「同期プロファイルの編集」の手順を実行し、「拡張」タブで「最終変更番号」を設定します。
manageSyncProfiles
コマンドとupdatechgnum
引数を使用してorcllastappliedchangenumber
属性を変更するには、「manageSyncProfilesを使用した同期プロファイルの管理」を参照してください。
プロファイルを手動で編集するときにプロファイルのプロパティ値をNULL(つまり、空白または空)に設定するには、NULL文字列(''
など)を使用します。プロパティの行でのコメント(または、ハッシュ文字#
)の使用は、その行が読み込まれないことのみを示し、プロパティの値はNULLに設定されません。