Oracle® Fusion Middleware WebCenter Sites: サポート・ソフトウェアのインストールと構成 11g リリース1 (11.1.1.8.0) E49673-02 |
|
前 |
次 |
この章では、WebCenter Sitesとともに使用するOpenLDAPを設定する方法について説明します。
注意: WebCenter Sites-LDAPインテグレータを実行する前に、OpenLDAPを設定する必要があります。 |
この項の内容は、次のとおりです。
この項では、最も一般的に使用されるOpenLDAPコマンドについて説明します。WebCenter Sitesとともに使用するOpenLDAPを構成するときのリファレンスとして使用してください。
注意: この項は、 |
OpenLDAPを通常起動するには、次のコマンドを使用します。
/usr/local/libexec/slapd
完全デバッグありでOpenLDAPを起動するには(構成の問題を診断する場合、およびWebCenter Sitesをインストールする場合に便利です)、次のコマンドを使用します。
/usr/local/libexec/slapd -h 'ldap:///' -d 0x5001
OpenLDAPサーバーを検索するには、次の手順を実行します。
次のコマンドを実行します。
ldapsearch -x -D "cn=Manager,dc=<domain>,dc=<extension>" -W
-b '' -s base '(objectClass=*)' namingContexts
ここで、<domain>
および<extension>
は、手順aで指定した値です。
パスワードを要求するプロンプトが表示されたら、手順dで指定したルートDNユーザーのパスワードを入力します。
ldapsearch
コマンドの通常の応答は次のようになります。
Enter LDAP Password: # extended LDIF # # LDAPv3 # base <> with scope baseObject # filter: (objectClass=*) # requesting: namingContexts # # dn: namingContexts: dc=example,dc=com # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1
この項では、OpenLDAPのインストール方法について説明します。
注意: OpenLDAPは、ほとんどのLinuxディストリビューションにバンドルされています。OpenLDAPがシステムにすでにインストールされている場合、この項はスキップしてください。 |
Open LDAPをインストールするには
OpenLDAP WebサイトからOpenLDAP tgz
アーカイブをダウンロードします。
http://www.openldap.org
/
例: openldap-stable-20070110.tgz
アーカイブを解凍します(図18-1)。
GNUを使用している場合、次のコマンドを使用します。
tar-xvzf openldap-stable-20070110.tgz
GNUを使用していない場合、次のコマンドを使用します。
gzip -d openldap-stable-20070110.tgz ; tar -xvf openldap-stable-20070110.tar
OpenLDAPソースを格納しているディレクトリに変更します(図18-2)。たとえば、次のように指定します。
cd openldap-2.3.32
次のようにOpenLDAPソースを構成します(図18-3)。
./configure --enable-crypt --with-tls
推奨オプションを以下に示します。
--enable-crypt —
: パスワードの暗号化が有効になります。
--with-tls —
: TLS/SSLサポートが有効になります。
注意: ご使用のシステム用にOpenLDAPをカスタマイズする場合、以下を実行します。
|
OpenLDAP依存関係をコンパイルします: make depend
OpenLDAPをコンパイルします: make
OpenLDAPをインストールします: make install
注意: デフォルトでは、OpenLDAPは |
この項では、OpenLDAPインストールの構成方法について説明します。
ldap.conf
ファイルを次のように編集します。
注意: 前の項の手順に従いOpenLDAPを手動でインストールした場合、 |
ベースDNを指定します。次の行を探します(存在しない場合、作成します)。
BASE dc=<domain>,dc=<extension>
ここで、<domain>
および<extension>
は、それぞれドメインとLDAPサーバーのTLDです。
OpenLDAPのベースDNは、通常、2つのdcで構成されます。たとえば、完全ドメインがvm.example.com
の場合、ベースDNはexample.com
であり、BASE
行は次のようになります。
BASE dc=example,dc=com
URIを指定します。次の行を探します(存在しない場合、作成します)。
URI ldap://<hostanme_or_IP> ldap://<hostanme_or_IP>
OpenLDAPで接続をリスニングするホスト名、IPアドレスまたはその両方を入力します。複数のエントリがある場合、スペースで区切ります。たとえば、次のように指定します。
URI ldap://127.0.0.1 ldap://localhost ldap://172.19.1.2
sldapd.conf
ファイルを次のように編集します。
注意: 前の項の手順に従いOpenLDAPを手動でインストールした場合、 |
次のセクションを探します。
access to *
by self write
by users read
and replace it with:
access to *
by dn="cn=Manager,dc=<domain>,dc=<extension>" write
by self write
by users read
by anonymous auth
接尾辞を指定します。次の行を探します(存在しない場合、作成します)。
suffix dc=<domain>,dc=<extension>
ルートDNユーザーを指定します。(ルートDNユーザーは、LDAPサーバーにアクセスするために使用します。)次の行を探します(存在しない場合、作成します)。
rootdn cn=<user_name>,dc=<domain>,dc=<domain>
ユーザー名としてManager
と入力し、<domain>
および<extension>
を、手順1aで指定した値に置き換えます。
ルートDNユーザーのパスワードを指定します。次の行を探します(存在しない場合、作成します)。
rootpw<password>
注意: パスワードは暗号化することも、そのまま使用することもできます。(暗号化されたパスワードの先頭には
|
(オプション)前の手順で暗号化されたパスワードを使用することを選択した場合、パスワード・タイプをSHAに設定します。次の行を探します(存在しない場合、作成します)。
password-hash {SSHA}
これにより、パスワード・タイプがSHA(デフォルト)に設定されます。他のパスワード・タイプも設定できます。詳細は、OpenLDAPのドキュメントを参照してください。
core.schema
ファイルを次のように編集します。
注意: 前の項の手順に従いOpenLDAPを手動でインストールした場合、 |
次のセクションを探します。
objectclass ( 2.5.6.17 NAME 'groupOfUniqueNames' DESC 'RFC2256: a group of unique names (DN and Unique Identifier)'SUP top STRUCTURAL MAY ( businessCategory $ seeAlso $ owner $ ou $ o $ description $ uniqueMember) MUST ( uniqueMember $ cn ))
各行の先頭に#
文字を配置して、セクションをコメント行にします。次に、次の修正したセクションをその後に挿入します。
objectclass ( 2.5.6.17 NAME 'groupOfUniqueNames' DESC 'RFC2256: a group of unique names (DN and Unique Identifier)'SUP top STRUCTURALMAY ( businessCategory $ seeAlso $ owner $ ou $ o $ description $ uniqueMember) MUST ( cn ))
元のセクションと修正したセクションの違いは、最後の行です。
MUST ( uniqueMember $ cn )
がMUST ( cn )
に変更されています。
これでOpenLDAPの構成は完了です。
この項では、OpenLDAPサーバーにWebCenter Sitesスキーマを追加する方法について説明します。
注意: 次のサンプルLDIFファイルの内容をコピーする場合、 |
WebCenter Sites用にOpenLDAPを構成するには
次の内容を含むpre_cs_openldap.ldif
という名前のLDIFファイルを作成します。
dn: dc=<domain>,dc=<extension>objectClass: dcObjectobjectClass: organizationdc: exampledescription: OpenLDAP pre_cs_setupo: Example Software# LDAP Manager Roledn: cn=Manager,dc=<domain>,dc=<extension>objectclass: organizationalRolecn: Manager# add the organizational Unit Peopledn: ou=People,dc=<domain>,dc=<extension>objectClass: organizationalUnitobjectClass: topou: People# add the organizational Unit Groupdn: ou=Groups,dc=<domain>,dc=<extension>objectClass: organizationalUnitobjectClass: topou: Groups
ここで、<domain>
および<extension>
は、手順aで指定した値です。
このファイルにより、2つのサブ組織(Groups
とPeople)
およびManager
ユーザーを含む新しい組織(example
)が作成されます。Manager
ユーザーは、LDAPサーバーにアクセスするために使用します。
OpenLDAPサーバーにpre_cs_openldap.ldif
ファイルを追加します。次のコマンドを実行します。
ldapadd -D 'cn=Manager,dc=<domain>,dc=<extension>'
-w <root_dn_password> -f pre_cs_openldap.ldif
ここで、
OpenLDAPサーバーをテストします。次のコマンドを実行します。
ldapsearch -x -b 'ou=Groups,dc=<domain>,dc=<extension>' '(objectclass=*)'
ここで、<domain>
および<extension>
は、手順aで指定した値です。
ldapsearch
コマンドの応答例を以下に示します。
# extended LDIF## LDAPv3# base <ou=Groups,dc=example,dc=com> with scope subtree# filter: (objectclass=*)# requesting: ALL## search resultsearch: 2result: 0 Success# numResponses: 1
pre_cs_openldap.ldif
ファイルがLDAPサーバーに正常に挿入された場合、result:
行にsuccess
が表示されます。表示された場合、WebCenter Sites LDAPインテグレータを実行する準備が整ったことになります。詳細は、第V部「Oracle WebCenter SitesとLDAPの統合」を参照してください。
WebCenter Sites LDAPインテグレータを実行すると、すべてのWebCenter Sitesユーザー(fwadmin
、ContentServer
およびDefaultReader
を除く)に、「WebCenter Sitesの構成」画面で入力したパスワードが割り当てられます。セキュリティ上の理由から、これらのユーザーに固有のパスワードを手動で割り当てることが必要な場合があります。
注意: OpenLDAPの構成時に暗号化されたパスワードを使用することを選択した場合、WebCenter Sitesシステムですべてのユーザーのパスワードを変更する必要があります。変更しないと、WebCenter Sitesインストールが正しく機能しません。これは、WebCenter Sites-LDAPインテグレータが、ユーザー・パスワードをプレーンテキストとしてOpenLDAPに書き込み、一方でOpenLDAPはパスワード・ハッシュを必要とするためです。 |
次の表に、WebCenter Sitesユーザーに割り当てる必要があるパスワードを示します。
ユーザー | パスワード |
---|---|
|
|
|
WebCenter Sitesインストール時に指定したパスワード |
|
WebCenter Sitesインストール時に指定したパスワード |
WebCenter Sitesシステムの他のすべてのユーザー |
WebCenter Sites-LDAP統合時に指定したパスワード |
この項では、OpenLDAPでパスワードを変更する方法として、次の方法を説明します。
この項では、http://www-unix.mcs.anl.gov/~gawor/ldap/
で入手できる無料のLDAPブラウザ/エディタ・プログラムを使用してユーザー・パスワードを変更する方法を説明します。
LDAPブラウザを使用してOpenLDAPでユーザー・パスワードを変更するには
LDAPブラウザをダウンロードし、インストールします。
LDAPブラウザを起動します: ./lbe.sh
「Quick Connect」タブをクリックします(図18-4)。
フィールドに次のように入力します。
「Connect」をクリックします。
左側のツリーで、ou=Peopleノードを展開します(図18-5)。
パスワードを変更するユーザーをダブルクリックし、[Ctrl]+[E]キーを押します。
WebCenter Sites-LDAPインテグレータにより書き込まれたプレーンテキスト・パスワードは「userPassword」フィールドに表示されます(図18-6)。「Set」をクリックします。
ポップアップ・ウィンドウで、ユーザーのパスワードを入力し(図18-7)、「Set」をクリックします。
パスワードは暗号化された形式で表示されます。
「Apply」をクリックして新しいパスワードを保存します(図18-8)。
パスワードを変更するユーザーごとに手順7から10を繰り返します。終了したら、WebCenter Sitesにログインして統合をテストします。
ldapmodify
コマンドは、OpenLDAPサーバーの構成を変更する有効なLDIF文を入力できるインタフェースを提供しています。この項では、LDAPユーザーのパスワードを変更するldapmodify
およびsldappasswd
コマンドの使用方法について説明します。
ldapmodifyコマンドを使用してOpenLDAPでユーザー・パスワードを変更するには
ユーザーごとに暗号化されたパスワードを生成します。sldappasswd
コマンドを実行し、暗号化するプレーンテキスト・パスワードを入力します。このコマンドにより、暗号化されたパスワード(ハッシュ)が端末に出力されます。たとえば、次のように指定します。
{SSHA}ydUT5RCpBAU80P0PW8gaHnsmYmLlmUL8
注意: 多数のユーザーに対しハッシュを生成する場合、ハッシュをファイルに保存することをお薦めします。これにより、手順3でハッシュを簡単に取得できます。この手順が終了したら、ハッシュが保存されているファイルを破棄する必要があります。 |
次のようにldapmodify
コマンドを実行します。
ldapmodify -D 'cn=Manager,dc=<domain>,dc=<extension>' -w <root_dn_password>
ここで、
コマンドで空白行が返されたら、LDIF文を入力する準備は完了です。
ユーザーのパスワードを変更します。次のコマンドを発行します。
dn:cn=<user_name>,ou=People,dc=<domain>,dc=<extension>
ここで、user_name
は、パスワードを変更するユーザーの名前で、<domain>
および<extension>
は、手順aで指定した値です。
changetype:modify
replace:userPassword
userpassword:<password_hash>
ここで、<password_hash>
は、この手順の手順1でsldappasswd
コマンドにより生成されたハッシュです。
[Ctrl]+[D]キーを押します。
パスワードを変更するユーザーごとに手順aからeを繰り返します。終了したら、[Ctrl]+[C]キーを押してdapmodify
コマンドを終了します。