Oracle® Fusion Middleware Oracle Authentication Services for Operating Systems管理者ガイド 11g リリース(11.1.1) B61411-01 |
|
前 |
次 |
Active Directoryにユーザーが存在し、Active Directoryに格納されている資格証明をLinuxまたはUNIXの認証に使用する場合は、Active Directoryとの統合を構成できます。Active Directoryとの統合の設定では、いくつかの手順を行う必要があります。
ユーザーおよびグループのエントリがActive Directoryで追加または変更された場合には、Oracle Directory Integration Platformを使用して、これらのエントリをOracle Internet Directoryと同期化します。
Oracle Internet DirectoryのユーザーおよびグループのエントリをActive Directoryと同期化した後、Oracle Internet Directoryプラグインを使用して、Oracle Internet Directoryのこれらのエントリに必須属性を追加します。
別のOracle Internet Directoryプラグインを使用して、LinuxまたはUNIXのユーザーのActive Directory認証を有効化します。
通信を保護するために、Oracle Directory Integration PlatformとActive Directory、およびDirectory Integration PlatformとOracle Internet Directoryの間のSSLを構成します。
注意: Active DirectoryのユーザーをOracle Internet Directoryで同期化した後、パスワードの変更はActive Directoryを介してのみ行えます。Oracle Internet Directoryエントリではなく、Active Directoryユーザー・エントリでパスワードを変更する必要があります。Oracle Internet Directoryでパスワードを変更した場合、またはpasswd コマンドを使用して変更した場合、変更は成功したように見えてもActive Directoryエントリに伝播されません。Active Directoryユーザー・エントリのパスワードが有効なままになります。 |
この章の内容は次のとおりです。
Active Directoryのユーザー・エントリには、Linux認証に必要な鍵情報が含まれません。そのため、Oracle Directory Integration PlatformのActive Directoryコネクタを使用してActive DirectoryのユーザーをOracle Internet Directoryで同期化する際には、必要な情報を使用してこれらのユーザー・エントリを拡張する必要があります。これを簡単に行えるように、製品にはOracle Internet Directoryで有効化できるPL/SQLプラグインが含まれています。
次のように、プラグインを有効化します。
テキスト・エディタを使用して、$
ORACLE_HOME
/ldap/admin/posixattr_when_add.pls
を次のように変更します。
71行目のv_homeDirectory
の値を目的のホーム・ディレクトリに置き換えます。
72行目のv_loginShell
の値を目的のログイン・シェルに置き換えます。
73行目のv_gidNumber
の値をユーザーのGID番号に置き換えます。
次のように入力して、プラグイン・パッケージをデータベースにロードします。
sqlplus ods/odspwd@$ORACLE_HOME/ldap/admin/posixattr_when_add.pls
odspwd
はODS
ユーザーのパスワードです。
テキスト・エディタを使用して、$ORACLE_HOME/ldap/admin/posixattr_when_add.ldif
を次のように変更します。orclpluginsubscriberdnlist
の値をレルムのDNに置き換えます。
次のコマンドを実行して、Oracle Internet Directoryにプラグインを追加します。
ldapadd -h host -p port -D cn=orcladmin -q \ -f $ORACLE_HOME/ldap/admin/posixattr_when_add.ldif
Oracle Directory Integration Platformの説明は、Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドに記載されています。次に示す手順は、このドキュメントを部分的に参照しています。
Active DirectoryをOracle Authentication Services for Operating Systemsと統合するためにOracle Directory Integration Platformを有効にするには、次のステップを実行します。
Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドの第18章「サード・パーティ・ディレクトリとの同期の構成」の同期要件の確認に関する項の説明に従って、同期化の要件を確認します。
Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドの「Express構成との同期プロファイルの作成」、expressSyncSetupを使用したインポートおよびエクスポート同期プロファイルの作成に関する項の説明に従って、expressSyncSetup
を実行して同期プロファイルを作成します。
Express構成で作成されたプロファイルを編集します。マッピング・ルールの説明は、Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドの第6章「マッピング・ルールの構成」を参照してください。
次の変更を行います。
ドメイン・ルールを、Oracle Internet DirectoryのレルムDN: ou=People,<realm DN>
の下のou=People
を指定するように変更します。
DNマッピング・ルールとしてuid=%,ou=People,<realm DN>
を指定します。
次の行をコメント・アウトします。
userPrincipalName: : :user:uid: :inetorgperson:userPrincipalName
次の行をコメント解除します。
#sAMAccountName: : :user:uid: :inetorgperson
サンプルの同期プロファイルは、付録Dを参照してください。太字で示しているのがカスタマイズ箇所です。
Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドの第18章「サード・パーティ・ディレクトリとの同期の構成」、Express構成による同期プロファイルの作成に関する項の手順2から5までを実行します。