| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerのインストール後の構成を終了する方法について説明します。
|
注意: Oracle Privileged Account Managerは、コンソール、コマンド行およびOracle Privileged Account ManagerのRESTfulインタフェースを使用して管理できます。
|
この章では、次の項目について説明します。
|
注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのOracle Privileged Account Managerの管理のスタートガイドにおける相違点に関する項を参照してください。 |
この章は、Oracle Privileged Account Manager 11gリリース2 (11.1.2)が『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってインストールおよび構成されていることを前提としています。
Oracle Privileged Account Managerの起動に必要な最終構成手順を開始する前に、次のことをお薦めします。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle Privileged Account Managerの構成」の章をお読みください。
表3-1を確認して、このリリースのOracle Privileged Account Managerを管理するために使用できる様々なインタフェースに対応するデフォルト・アプリケーションURLについて理解してください。
表3-1 デフォルト・アプリケーションURL
| インタフェース | デフォルトURL |
|---|---|
|
Oracle Identity Navigator |
http://managedserver_host:managedserver_port/oinav/ |
|
Oracle WebLogic Server管理コンソール |
http://adminserver_host:adminserver_port/console/ |
|
Oracle Privileged Account Managerコンソール |
http://managedserver_host:managedserver_port/oinav/opam |
|
Oracle Privileged Account Managerサーバー |
http://managedserver_host:managedserver_sslport/opam |
表3-2を確認して、このリリースのOracle Privileged Account Managerの様々なデフォルト・ポートについて理解してください。
表3-2 デフォルト・ポート
| ポート・タイプ | デフォルト・ポート | 説明 |
|---|---|---|
|
Oracle Privileged Account Managerサーバー |
18102 |
Oracle Privileged Account ManagerサーバーがデプロイされるWebLogic管理対象サーバーのデフォルトのSSL対応ポート。 |
|
Oracle Privileged Account Managerコンソール |
|
デフォルトでOracle Privileged Account Managerコンソールを使用可能なWebLogic管理対象サーバーのポート。 |
|
Oracle Privileged Session Manager (SSH) |
1222 |
Oracle Privileged Session ManagerがSSHトラフィックをリスニングするデフォルトのWebLogic管理対象サーバー・ポート。 |
|
WebLogic管理コンソール |
|
WebLogic管理コンソールを使用可能なデフォルトのWebLogic管理サーバー・ポート。 |
表3-3を確認し、このマニュアル全体で使用される一般的なディレクトリ変数を理解しておいてください。
|
注意: これらのディレクトリおよび大部分のOracle Identity and Access Managementのインストールおよび構成に使用されるその他の一般的なディレクトリの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のインストール・ディレクトリの識別に関する説明およびOracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイドのOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する説明を参照してください。 |
表3-3 Oracle Privileged Account Managerで使用される一般的なディレクトリ
| 共通名 | 説明 |
|---|---|
|
Oracle Middlewareホーム・ディレクトリの場所を示します。ミドルウェア・ホームには、Oracle WebLogic Serverホームおよび1つ以上のOracleホーム・ディレクトリが含まれています。 |
|
|
Oracle Privileged Account ManagerファイルがインストールされたOracleホーム・ディレクトリの場所を示します。Oracleホームは、ミドルウェア・ホームのディレクトリ構造の内部にあります。 |
|
|
WebLogicサーバーによって使用される場所を示します。 |
|
|
ドメインの最上位ディレクトリを示します。 |
|
|
Oracle BIドメインの場所を示します。 |
このガイドで、Oracle WebLogic管理サーバー(管理サーバー)または各種管理対象サーバーのいずれかを起動または停止するように指示がある場合は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracleスタックの起動と停止に関する項を確認し、必ずその手順を使用してください。
Oracle Privileged Account Managerでは、管理者によって識別されるアカウント資格証明を保護、共有、監査および管理できます。これらの機能を提供するため、Oracle Privileged Account Managerでは、ターゲット・システムの特権アカウントにアクセスしてそれを管理できる必要があります。
コネクタによって、Oracle Privileged Account Managerは、LDAPやOracle Databaseなどのターゲット・システムと相互作用して、それらのシステム上でOracle Privileged Account Manager関連の管理操作を実行できます。
Oracle Privileged Account Managerでは、アイデンティティ・コネクタ・フレームワーク(ICF) 標準に準拠するコネクタを利用します。この標準を使用することによって、Oracle Privileged Account Managerがターゲットへの接続に使用するメカニズムから、Oracle Privileged Account Managerが分離されます。そのため、Oracleなどのベンダーによって提供されるコネクタに加えて、独自のICFコネクタを自由に構築およびテストし、Oracle Privileged Account Managerにデプロイできます。
この項では、Oracle Privileged Account ManagerでこれらのICFコネクタを使用する方法について説明します。内容は次のとおりです。
|
注意: アイデンティティ・コネクタ・フレームワークの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの理解に関する項を参照してください。 |
Oracle Privileged Account Managerには、オラクル社が開発した次のICF準拠のコネクタが付属しています。
Database User Management (DBUM)コネクタ
汎用LDAPコネクタ
UNIX用のOracle Identity Managerコネクタ
これらのコネクタによって、Oracle Privileged Account Managerは、前述のタイプに属する様々なターゲット・システム上で特権アカウントを管理できます。
Oracle Privileged Account Managerでは、ユーザーが作成したICF準拠のコネクタも使用できるため、Oracle Privileged Account Managerを使用して独自のシステムを管理する場合に役立ちます。
|
注意: Oracle Privileged Account Managerに付属するコネクタのみを使用する場合、それらのコネクタはデフォルトで事前に構成されているため、追加の操作は不要です。 他のOracleコネクタやカスタム・コネクタを使用する場合、詳細は、第15.3項「既存のOracle Privileged Account Managerインストール環境への新規コネクタの追加」を参照してください。 ICF準拠のコネクタの開発の詳細は、『Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタの開発に関する項を参照してください。 |
ICFコネクタは汎用で、多くのコンテキストで使用できるため、所定のOracleインストール環境においてすべてのコネクタ・バンドルがファイル・システムの単一の場所に配置されます。これらのコネクタ・バンドルに依存するOracle Privileged Account Managerなどのすべてのコンポーネントは、次の場所からそれらにアクセスできます。
ORACLE_HOME/connectors
ORACLE_HOME/connectorsにプッシュされているコネクタは、実際はOracle Identity Managerに同梱されています。このディレクトリのすべてのコネクタのうち、次の3つのコネクタのみがこのリリースのOracle Privileged Account Managerで動作保証済です。
Oracle Privileged Account Managerは、opam-config.xmlファイルを使用することでICFコネクタを使用します。このファイルの内容によって、Oracle Privileged Account Managerに次の情報が提供されます。
ファイル・システムでICFコネクタ・バンドルを選択する場所
Oracle Privileged Account Managerの使用事例にとって適切な構成属性
特定のコネクタを使用したターゲット・システムへの接続を構成する際に、Oracle Privileged Account Managerコンソールをレンダリングする方法
opam-config.xmlファイルは、ORACLE_HOME/opam/configディレクトリにあります。Oracle Identity Management Suiteに付属するコネクタ・バンドルを選択して使用するために、すぐに使用できるイメージが構成されています。
opam-config.xsdファイル(これもORACLE_HOME/opam/configディレクトリに存在)によって、opam-config.xmlのスキーマが記述されています。
ORACLE_HOME/opam/config/opam-config.xmlファイルを変更した場合、opam-config.xsdファイルで検証します。
|
注意:
|
この項では、Oracle Privileged Account Managerの起動および操作に関する高度な情報について説明します。内容は次のとおりです。
この項で説明する手順では、次のOracleマニュアルに含まれる情報および手順を参照しています。これらの手順を開始する前に、必要に応じて参照先の概念、専門用語および手順を確認してください。
表3-4 参照マニュアル
| 参照内容 | 参照先 |
|---|---|
|
管理ロール |
Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドの共通管理者ロールの割当てに関する項、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」 |
|
Oracle Privileged Account ManagerおよびOracle Identity Navigatorでサポートされるアイデンティティ・ストアおよびポリシー・ストアの構成 |
Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのシステム要件と動作保証情報に関する項 |
|
Oracle WebLogic Serverの概念および専門用語 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
|
Oracle WebLogic Serverでのデフォルト・オーセンティケータの作成 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
|
現在の環境でのアイデンティティ・ストアの構成 |
各ベンダーの製品ドキュメント |
|
LDAPベース・サーバーでのOracle Virtual Directoryの構成 |
『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの作成に関する項 |
|
Oracle WebLogic ServerでのOVDオーセンティケータの構成 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
|
WLSTへのノード・マネージャの接続 |
『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』のノード・マネージャ・コマンドに関する項 |
|
WLSTを使用したポリシー・ストアの関連付け |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Internet Directoryサーバーでのノードの設定に関する項およびreassociateSecurityStoreに関する項 |
|
Enterprise Managerを使用したポリシー・ストアの関連付け |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlでの再関連付けに関する項 |
|
|
Oracle Fusion Middleware Oracle Identity Management Suite統合の概要 |
|
注意:
|
Oracle Privileged Account Managerを起動する前に、WebLogicサーバーおよびコンソールを起動する必要があります。
|
注意:
|
nmConnectコマンドを実行してノード・マネージャをWLSTに接続します。
手順については、Oracle Fusion Middleware WebLogic Scripting Toolのコマンド・リファレンスのノード・マネージャのコマンドに関する項を参照してください。
WebLogic管理サーバーを起動します。次に例を示します。
UNIXでは次のように入力します。
MW_HOME/user_projects/domains/DOMAIN_NAME/bin/startWebLogic.sh
Windowsでは次のように入力します。
MW_HOME\user_projects\domains\DOMAIN_NAME\bin\startWebLogic.bat
Oracle Privileged Account Manager管理対象サーバーを起動します。
ブラウザを開き、次の場所からWebLogicコンソールを起動します。
http://adminserver_host:adminserver_port/console
この項では、Oracle Privileged Account Managerの新しい外部アイデンティティ・ストアを構成する方法について説明します。
|
注意: IBM WebSphereを使用する場合、外部アイデンティティ・ストアではなくレジストリを構成する必要があります。手順については、Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのレジストリの構成に関する項を参照してください。 |
Oracle Identity Navigatorの「アクセス権限」ペインから検索する場合、ユーザーを表示する前にドメイン・アイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアをメイン認証ソースとして構成するには、Oracle Identity NavigatorがインストールされているOracle WebLogic Serverドメインを構成する必要があります。
サポートされているLDAPベース・ディレクトリ・サーバーでOracle Internet DirectoryまたはOracle Virtual Directoryを使用して、ドメイン・アイデンティティ・ストアを構成できます。アイデンティティ・ストアをWebLogic Server管理コンソールで構成します。
|
注意:
|
Oracle WebLogic ServerでOracle Internet Directoryオーセンティケータを構成するには、次の手順を実行します。
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、デフォルトのレルムはmyrealmです。
「プロバイダ」タブを選択し、「認証」サブタブを選択します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動して、次のようにフィールドを完了します。
名前: 認証プロバイダの名前を入力します。たとえば、MyOIDDirectoryと入力します。
タイプ: リストから、「OracleInternetDirectoryAuthenticator」を選択します。
「OK」をクリックして認証プロバイダ表を更新します。
認証プロバイダの表で、新たに追加したオーセンティケータをクリックします。
「設定」で、「構成」タブを選択し、「共通」タブを選択します。
「共通」タブで、「制御フラグ」を「SUFFICIENT」に設定します。
オーセンティケータ・プロバイダの制御フラグの属性を設定すると、認証プロバイダの実行順序が決まります。制御フラグ属性に使用可能な値は次のとおりです。
REQUIRED - このLoginModuleは成功する必要があります。失敗した場合でも、認証は、構成された認証プロバイダのLoginModulesリストの下位方向へ進みます。この設定がデフォルトです。
REQUISITE - このLoginModuleは成功する必要があります。他の認証プロバイダが構成されていて、このLoginModuleが成功した場合、認証はLoginModulesリストを下位方向へ進みます。それ以外の場合は、制御がアプリケーションに戻ります。
SUFFICIENT - このLoginModuleは成功する必要はありません。成功した場合、制御はアプリケーションに戻ります。失敗した場合、他の認証プロバイダが構成されていれば、認証はLoginModuleリストを下位方向に進みます。
OPTIONAL - このLoginModuleは成功でも失敗でもかまいません。ただし、JAAS制御フラグがOPTIONALに設定されたセキュリティ・レルムですべての認証プロバイダが構成されている場合は、ユーザーは構成されたいずれかのプロバイダの認証テストに合格する必要があります。
「保存」をクリックします。
「プロバイダ固有」タブをクリックした後、使用する環境の値を使用して次の必要な設定を入力します。
ホスト: Oracle Internet Directoryサーバーのホスト名。
ポート: Oracle Internet Directoryサーバーがリスニングしているポート番号。
プリンシパル: Oracle Internet Directoryサーバーへの接続に使用されるOracle Internet Directoryユーザーの識別名(DN)。例: cn=OIDUser、cn=users、dc=us、dc=mycompany、dc=com。
資格証明: プリンシパルとして入力されたOracle Internet Directoryユーザーのパスワード。
グループ・ベースDN: グループを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。
ユーザー・ベースDN: ユーザーを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。
すべてのユーザーのフィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
名前指定によるユーザー・フィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
ユーザー名属性: 認証に使用する属性(cn、uid、mailなど)。たとえば、ユーザーの電子メール・アドレスを使用して認証を行うには、この値をmailに設定します。
「取得したユーザー名をプリンシパルとして使用する」を有効化します。
「保存」をクリックします。
myrealmページの「設定」から、「プロバイダ」タブを選択した後、「認証」タブを選択します。
「並替え」をクリックします。
新しいオーセンティケータを選択し、矢印ボタンを使用してこれをリストの最初に移動します。
「OK」をクリックします。
「認証プロバイダ」表の「DefaultAuthenticator」をクリックし、DefaultAuthenticatorの「設定」ページを表示します。
「構成」タブ、「共通」タブの順に選択し、「制御フラグ」リストから「SUFFICIENT」を選択します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
LDAPディレクトリ(Oracle Internet DirectoryまたはOracle Virtual Directory)に存在するユーザーが問題なくOracle Privileged Account Managerにログインできることを確認して、構成および設定を検証します。
Oracle Virtual Directoryをドメイン・アイデンティティ・ストアとして使用するには、次の手順を実行する必要があります。
Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのLDAPアダプタの作成に関する項の説明に従ったLDAPベース・サーバーでのOracle Virtual Directoryの構成
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプの説明に従ったOracle WebLogic ServerでのOVDオーセンティケータの構成
Oracle WebLogic Serverでオーセンティケータを構成する場合、前述の手順9の説明に従って「取得したユーザー名をプリンシパルとして使用する」オプションを有効にする必要があります。
|
注意: SSL対応アイデンティティ・ストアを使用している場合は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ・ストア・サービスのSSLに関する項に記載されている手順に従ってください。 |
外部LDAPサーバーをアイデンティティ・ストアとして使用する場合、必要なOracle Privileged Account Managerユーザーおよびグループでそのアイデンティティ・ストアをシードする必要があります。
Oracle Internet Directoryディレクトリまたはアイデンティティ・ストアとしてOracle Virtual Directoryによって処理されているサード・パーティ・ディレクトリを使用する場合、idmConfigToolを使用してディレクトリを準備できます。idmConfigToolを使用している場合、スキーマも拡張する必要があります。詳細は、第3.3.3.1項「idmConfigToolを使用したディレクトリの準備」を参照してください。
別のディレクトリを使用する場合、そのディレクトリを手動で準備する必要があります。詳細は、第3.3.3.2項「手動によるディレクトリの準備」を参照してください。
Oracle Internet Directoryディレクトリまたはアイデンティティ・ストアとしてOVDによって処理されているサード・パーティ・ディレクトリを準備する場合、idmConfigToolを使用して次のタスクを実行できます。
アイデンティティ・ストアを事前構成すると、Oracle Internet Directoryでスキーマが拡張されます。
アイデンティティ・ストアを事前構成するには、IDMHOST1で次のタスクを実行する必要があります。
環境変数MW_HOME、JAVA_HOMEおよびORACLE_HOMEを設定します。
ORACLE_HOMEをIAM_HOMEに設定します。
次の内容でプロパティ・ファイルextend.propsを作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=mycompany,dc=com
説明:
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリ内の管理ユーザーです。
IDSTORE_USERSEARCHBASEは、ユーザーを格納するディレクトリ内の場所です。
IDSTORE_GROUPSEARCHBASEは、グループを格納するディレクトリ内の場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリ内の場所です。
IDSTORE_SYSTEMIDBASEは、メイン・ユーザー・コンテナに配置する必要のないユーザーを配置できるディレクトリにあるコンテナの場所です。このような状況はほとんどありませんが、その一例としてOracle Virtual DirectoryアダプタのバインドDNユーザーとしても使用されるOracle Identity Managerリコンシリエーション・ユーザーがあげられます。
IDSTORE_USERNAMEATTRIBUTEは、ユーザー名を記述したLDAP属性です。この属性は通常CNです。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を記述したLDAP属性です。
次の場所にあるidmConfigToolコマンドを使用してアイデンティティ・ストアを構成します。
IAM_HOME/idmtools/bin
|
注意:
このツールを実行するたびに必ず同じファイルに情報が追加されるようにするには、常に次のディレクトリで
IAM_HOME/idmtools/bin
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -preConfigIDStore input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -preConfigIDStore input_file=configfile
例:
idmConfigTool.sh -preConfigIDStore input_file=extend.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。
Oracle Virtual Directoryに対して実行した場合のコマンド出力例:
Enter ID Store Bind DN password: May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/ idm_idstore_groups_template.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/ oid/idm_idstore_groups_acl_template.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/
oid/systemid_pwdpolicy.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/ oid/idstore_tuning.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/ oid_schema_extn.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/ OID_oblix_pwd_schema_add.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/ OID_oim_pwd_schema_add.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/ OID_oblix_schema_add.ldif May 25, 2011 2:37:34 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/ OID_oblix_schema_index_add.ldif The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.logというファイルが作成されます。このログ・ファイルを確認して、エラーや警告を修正します。
|
注意:
|
関連項目:
idmConfigToolコマンドの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合概要』を参照してください。
トポロジ内にOracle Privileged Account Managerを実装する場合、アイデンティティ・ストアをOracle Privileged Account Managerに必要なユーザーとグループでシードする必要があります。
|
注意: 次の手順における |
必要なユーザーとグループを作成するには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOMEおよびORACLE_HOMEを設定します。
ORACLE_HOMEをIAM_HOMEに設定します。
次の内容でプロパティ・ファイルapm.propsを作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_APMUSER: opamadmin
説明
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。
OID以外のディレクトリを使用している場合は、Oracle Virtual Directoryのホスト(IDSTORE.mycompany.com)を指定します。
Oracle Internet Directoryにアイデンティティ・ストアがある場合は、
その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリ内の管理ユーザーです。
IDSTORE_USERNAMEATTRIBUTEは、ユーザー名を記述したLDAP属性です。この属性は通常CNです。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を記述したLDAP属性です。
IDSTORE_USERSEARCHBASEは、ユーザーを格納するディレクトリ内の場所です。
IDSTORE_GROUPSEARCHBASEは、グループを格納するディレクトリ内の場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリ内の場所です。
POLICYSTORE_SHARES_IDSTORE
ポリシーとアイデンティティ・ストアが同じディレクトリにある場合は、trueに設定します。
ポリシーとアイデンティティ・ストアが同じディレクトリにない場合は、falseに設定します。
IDSTORE_APMUSERは、Oracle Privileged Account Manager管理者として作成するユーザーの名前です。
このコマンドでは、ユーザーを作成するだけでなく、そのユーザーを、第3.1項「前提作業」で作成されたグループに割り当てます。
次の場所にあるidmConfigToolコマンドを使用してアイデンティティ・ストアを構成します。
IAM_HOME/idmtools/bin
|
注意:
このツールを実行するたびに必ず同じファイルに情報が追加されるようにするには、常に次のディレクトリで
IAM_HOME/idmtools/bin
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=APM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=APM input_file=configfile
例:
idmConfigTool.sh -prepareIDStore mode=APM input_file=apm.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。
コマンドの出力例:
Enter ID Store Bind DN password : Feb 18, 2013 10:10:35 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/common/templates/ oinav_template_oid.ldif *** Creation of APM User *** Feb 18, 2013 10:10:35 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/ oid/oam_user_template.ldif Enter User Password for opamadmin: Confirm User Password for opamadmin: The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.logというファイルが作成されます。このログ・ファイルを確認して、エラーや警告を修正します。
関連項目:
idmConfigToolコマンドの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合概要』を参照してください。
ディレクトリを手動で準備するには、次の手順を使用します。
LDAPディレクトリでOracle Privileged Account Manager管理ロールに使用するグループ・コンテナを指定します。(このグループ・コンテナは、Weblogicオーセンティケータ構成の「グループ・ベースDN」です。)
詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の認証プロバイダの構成に関する説明を参照してください。
手順1で指定したLDAPグループ・コンテナに、Oracle Privileged Account Manager管理ロールを作成します。
必要に応じて、第2.3.1項「管理ロールのタイプ」で、作成する必要があるロールとその目的に関するリストを参照してください。
これらのロールを適切なユーザーに割り当てます。
たとえば、第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」では、Oracle Identity Navigatorを使用してロールを割り当てる方法について説明しています。ただし、LDAPディレクトリを更新できる他のメカニズム(たとえば、LDAPブラウザや、Oracle Identity Managerなどのプロビジョニング・システム)を使用してロールを割り当てることもできます。
インストール後は、どのユーザーにも管理者ロールは付与されていません。ユーザーを選択し、Oracle Identity Navigatorを使用してそのユーザーにアプリケーション構成者ロールを付与する必要があります。
|
注意: 手順については、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドの共通管理者ロールの割当てに関する項を参照してください。 アプリケーション構成者ユーザーは、このロールに加えて別のロールも持つことができます。他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」を参照してください。 |
アプリケーション構成者ユーザーが次のURLを使用してログインすると、OPAMの構成リンクが含まれた空の画面が表示されます。
http://managedserver_host:managedserver_port/oinav/opam
アプリケーション構成者ユーザーは、このリンクを使用して、Oracle Privileged Account Managerサーバーのホストとポートを指定することで、Oracle Privileged Account Managerサーバーが実行されている場所をOracle Privileged Account Managerコンソールに認識させることができます。
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーとの通信に成功すると、Oracle Privileged Account Managerコンソールにコンテンツが移入されます。
|
注意: Oracle Privileged Account Manager管理者およびユーザーは、Oracle Privileged Account Managerの初期設定中を除き、通常はOracle Identity Navigatorインタフェースを使用する必要はありません。 |
これで、Oracle Privileged Account Managerの使用を開始する準備が整いました。
Oracle Privileged Account Managerコンソールの起動と使用の詳細は、第4章「Oracle Privileged Account Managerコンソールの起動と使用」を参照してください。
Oracle Privileged Account Managerコマンド行ツール(CLI)を使用する場合は、付録A「コマンド行ツールの使用」を参照してください。
Oracle Privileged Account ManagerのRESTfulインタフェースを使用する場合は、付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。
次の表では、様々な管理ロールに基づいてOracle Privileged Account Manager管理者ユーザーが実行できる基本ワークフローについて説明します。
|
注意: 「アプリケーション構成者」管理ロールを持つ管理者は、通常、すでにOracle Privileged Account Managerサーバーへの接続を構成済です。詳細は、第5.2.2項「Oracle Privileged Account Managerサーバーへの接続の構成」を参照してください。 |
表3-5 管理ロールに基づく管理者ワークフロー
