Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
前 |
次 |
この章では、Oracle Identity ManagementとIBM Tivoli Directory Serverを統合する手順について説明します。内容は次のとおりです。
注意: この章に進む前に、前の章で説明している概念を理解している必要があります。次の章は特に重要です。 IBM Tivoli Directory Serverとの統合のデモンストレーションを構成する場合は、Oracle Identity Management 11gリリース1(11.1.1)のOracle By Exampleシリーズを参照してください。Oracle Technology Network( |
IBM Tivoli Directory Serverで基本同期または拡張同期を構成するには、「同期要件の確認」の指示に従い、使用する環境で必要な同期要件が満たされていることを確認してください。また、IBM Tivoli Directory Serverと統合する前に、次の手順を実行する必要があります。
インポート操作とエクスポート操作の実行に十分な権限を持つユーザー・アカウントをIBM Tivoli Directory Serverに作成する際に、tombstoneの読取りに十分な権限を必ず割り当てます。
IBM Tivoli Directory Serverで変更ログを有効にします。
expressSyncSetup
コマンドを使用すると、Oracleバックエンド・ディレクトリとIBM Tivoli Directory Serverの同期を迅速に確立できます。expressSyncSetup
コマンドでは、デフォルトの設定を使用してすべての必須構成を自動的に実行し、インポート用とエクスポート用の2つの同期プロファイルも作成します。expressSyncSetup
コマンドを使用してIBM Tivoli Directory Serverと同期化するには、「expressSyncSetupを使用したインポートおよびエクスポートの同期プロファイルの作成」を参照してください。
Oracle Directory Integration Platformをインストールすると、サポート対象のサード・パーティ・ディレクトリごとにインポートおよびエクスポートの同期プロファイルのサンプルが自動的に作成されます。IBM Tivoli Directory Server用に作成された同期プロファイルのサンプルは、次のとおりです。
TivoliImport
: IBM Tivoli Directory ServerからOracleバックエンド・ディレクトリに変更をインポートするためのプロファイル。
TivoliExport
: Oracleバックエンド・ディレクトリからIBM Tivoli Directory Serverに変更をエクスポートするためのプロファイル。
expressSyncSetup
コマンドを使用して、追加の同期プロファイルを作成することもできます。インストール・プロセス時またはexpressSyncSetup
によって作成されたインポートおよびエクスポートの同期プロファイルは、Oracleバックエンド・ディレクトリとIBM Tivoli Directory Serverの統合をデプロイする際に使用する開始点としてのみ利用されます。デフォルトの同期プロファイルは事前定義の仮定を使用して作成されるため、次の手順を順序どおりに実行して、環境に合せてそれらをさらにカスタマイズする必要があります。
第16章「接続ディレクトリ統合の概念と考慮事項」、特に「IBM Tivoli Directory Server統合の概念」を読んで、統合を計画します。「同期プロファイルの作成」の指示に従い、既存のIBM Tivoli Directory Serverテンプレート・プロファイルをコピーして、必ず新規のプロファイルを作成します。
「レルムの構成」の指示に従い、レルムを構成します。
「Access制御リストのカスタマイズ」で説明されているように、ACLをカスタマイズします。
IBM Tivoli Directory Serverと統合する場合は、次の属性レベル・マッピングがすべてのオブジェクトに対して必須です。
targetdn: : :top:orclSourceObjectDN: :orclTDSObject:
例21-1 IBM Tivoli Directory Serverのユーザー・オブジェクト用の属性レベル・マッピング
Cn:1: :person: cn: :person: sn: : :person: sn: :person:
例21-2 IBM Tivoli Directory Serverのグループ・オブジェクト用の属性レベル・マッピング
Cn:1: :groupofname: cn:groupofuniquenames
この例では、IBM Tivoli Directory ServerのCn
およびsn
は、それぞれOracleバックエンド・ディレクトリのcn
およびsn
にマップされます。
マッピング・ファイルの必須属性としてRDN属性以外のものを指定した場合、その変更は同期化されません。これは、tombstoneが有効な場合に、変更が削除として変更ログに表示されないIBM Tivoli Directory Serverの制限によります。
「マッピング・ルールのカスタマイズ」の指示に従い、属性マッピングをカスタマイズします。
削除を同期化する場合、IBM Tivoli Directory Serverでtombstoneが有効化されていないことを確認する必要があります。tombstoneが有効化されているかどうかを確認するには、次のコマンドを実行します。
ldapsearch -h connected_directory_host -p connected_directory_port \ -D binddn -q \ -b "cn=Directory, cn=RDBM Backends, cn=IBM Directory, cn=Schemas, cn=Configuration" -s base "objectclass=*" ibm-slapdTombstoneEnabled
注意: パスワードを要求されます。 |
このコマンドにより、すべての削除済エントリの情報が得られます。
関連項目: tombstoneの構成の詳細は、IBM Tivoli Directory Serverのドキュメントを参照してください。 |
Oracleバックエンド・ディレクトリおよびIBM Tivoli Directory Serverでは、同じ一連のパスワード・ハッシング技術をサポートしています。IBM Tivoli Directory ServerからOracleバックエンド・ディレクトリにパスワードを同期化するには、両方のディレクトリに対してSSLサーバー認証モードが構成され、次のマッピング・ルールがマッピング・ファイルに存在する必要があります。
Userpassword: : :person:userpassword: :person
Oracle Unified Directoryバックエンド・ディレクトリまたはOracle Directory Server Enterprise Editionバックエンド・ディレクトリからの双方向パスワードの同期化はサポートされていません。双方向のパスワードの同期化は、バックエンド・ディレクトリがOracle Internet Directoryである場合にのみサポートされます。
「SSLモードでの同期用接続ディレクトリ・コネクタの構成」の指示に従い、SSLモードでの同期用にIBM Tivoli Directory Serverを構成します。
IBM Tivoli Directory Server外部認証プラグインを構成するには、次の手順を実行します。
次の手順を実行して、Oracleバックエンド・ディレクトリにIBM Tivoli Directory Server用の外部認証プラグインのための構成エントリを追加します。
注意: IBM Tivoli Directory Server用の外部認証プラグインのための構成エントリで参照されるウォレットは、Oracle Walletです。したがって、ウォレットに対して証明書を追加および削除するには、Oracle Walletコマンドを使用します。JKSコマンドは、Oracle Directory Integration Platformが使用する証明書でのみ使用されます。 |
次のエントリをLDIFファイル(たとえば、input.ldif)にコピーします。
dn: cn=oidexplg_compare_tivoli,cn=plugin,cn=subconfigsubentry cn: oidexplg_compare_tivoli objectclass: orclPluginConfig objectclass: top orclpluginname: oidexplg orclplugintype: operational orclpluginkind: Java orclplugintiming: when orclpluginldapoperation: ldapcompare orclpluginsecuredflexfield;walletpwd: password orclpluginsecuredflexfield;walletpwd2: password orclpluginversion: 1.0.1 orclpluginisreplace: 1 orclpluginattributelist: userpassword orclpluginentryproperties: (!(&(objectclass=orclTDSobject)(objectclass=orcluserv2))) orclpluginflexfield;host2: host.domain.com orclpluginflexfield;port2: 636 orclpluginflexfield;isssl2: 1 orclpluginflexfield;host: host.domain.com orclpluginflexfield;walletloc2: /location/wallet orclpluginflexfield;port: 389 orclpluginflexfield;walletloc: /tmp orclpluginflexfield;isssl: 0 orclpluginflexfield;isfailover: 0 orclpluginclassreloadenabled: 0 orclpluginenable: 0 orclpluginsubscriberdnlist: cn=users,dc=us,dc=oracle,dc=com dn: cn=oidexplg_bind_tivoli,cn=plugin,cn=subconfigsubentry cn: oidexplg_bind_tivoli objectclass: orclPluginConfigobjectclass: top orclpluginname: oidexplg orclplugintype: operational orclpluginkind: Java orclplugintiming: when orclpluginldapoperation: ldapbind orclpluginversion: 1.0.1 orclpluginisreplace: 1 orclpluginentryproperties: (!(&(objectclass=orclTDSobject)(objectclass=orcluserv2))) orclpluginclassreloadenabled: 0 orclpluginflexfield;walletloc2: /location/wallet orclpluginflexfield;port: 389 orclpluginflexfield;walletloc: /tmp orclpluginflexfield;isssl: 0 orclpluginflexfield;isfailover: 0 orclpluginflexfield;host2: host.domain.com orclpluginflexfield;port2: 636 orclpluginflexfield;isssl2: 1 orclpluginflexfield;host: host.domain.com orclpluginenable: 0 orclpluginsecuredflexfield;walletpwd: password orclpluginsecuredflexfield;walletpwd2: password orclpluginsubscriberdnlist: cn=users,dc=us,dc=oracle,dc=com
次のようなコマンドを使用して、LDIFファイルのエントリをOracleバックエンド・ディレクトリにコピーします。
ldapadd -h HOST -p PORT -D binddn -q -v -f input.ldif
注意: パスワードを要求されます。 |
「外部認証プラグインの構成」の手順を使用してプラグインを構成します。
構成後タスクおよび継続的な管理タスクの詳細は、第23章「接続ディレクトリとの統合の管理」を参照してください。