Oracle® Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.2.0) B69541-08 |
|
前 |
次 |
LDAPディレクトリをアイデンティティ・ストアとして使用できるようにするには、事前構成を実行する必要があります。この項の手順により、Oracle Directory Server Enterprise Edition (ODSEE)を事前構成して、LDAPアイデンティティ・ストアとしてOracle Directory Server Enterprise Edition (ODSEE)を使用できるようになります。
注意:
|
アイデンティティ・ストアを事前構成するには、次の手順を実行する必要があります。
新しいファイルiPlanetContainers.ldif
を作成します。次のエントリを追加して、ファイルに保存します。
dn:cn=oracleAccounts,dc=mycompany,dc=com cn:oracleAccounts objectClass:nsContainer dn:cn=Users,cn=oracleAccounts,dc=mycompany,dc=com cn:Users objectClass:nsContainer dn:cn=Groups,cn=oracleAccounts,dc=mycompany,dc=com cn:Groups objectClass:nsContainer dn:cn=Reserve,cn=oracleAccounts,dc=mycompany,dc=com cn:Reserve objectClass:nsContainer
ldapadd
コマンドを使用して、コンテナをiPlanet Directory Serverにインポートします。これにより、ユーザー、グループおよび予約コンテナが作成されます。
ldapadd -h <ODSEE Server> -p <ODSEE port> -D <ODSEE Admin ID> -w <ODSEE Admin password> -c -f ./iPlanetContainers.ldif
例:
ldapadd -h localhost -p 1389 -D "cn=Directory Manager" -w "welcome1" -c -f ./iPlanetContainers.ldif
このコマンドで認証エラーが返されたら、シンプル・バインド・オプションの「-x」オプションでコマンドを試行します。
ldapadd -h localhost -p 1389 -x -D "cn=Directory Manager" -w "welcome1" -c -f ./iPlanetContainers.ldif
ノード間で行われるエントリの名前変更に対して、moddn
プロパティを有効にします。
..dsee7/bin/dsconf set-server-prop -h <ODSEE Server> -p <ODSEE port> moddn-enabled:on
例:
..dsee7/bin/dsconf set-server-prop -h localhost -p 1389 moddn-enabled:on
changelogを有効化します。
..dsee7/bin/dsconf set-server-prop -h <ODSEE Server> -p <ODSEE port> retro-cl-enabled:on
例:
..dsee7/bin/dsconf set-server-prop -h localhost -p 1389 retro-cl-enabled:on
ステータスを確認します。
..dsee7/bin/dsccsetup status
ODSEEサーバー・インスタンスを停止して起動します。
..dsee7/bin/dsadm stop <ODSEE instance> ..dsee7/bin/dsadm start <ODSEE instance>
例:
..dsee7/bin/dsadm stop /scratch/<userid>/iPlanet/dsinst1/ ..dsee7/bin/dsadm start /scratch/<userid>/iPlanet/dsinst1/
Sunスキーマを拡張して、OIM固有のオブジェクト・クラスと属性タイプを追加します。
cd to $MIDDLEWARE_HOME/oracle_common/modules/oracle.ovd_11.1.1/oimtemplates
次のコマンドを実行して、ldifファイルsunOneSchema.ldif
をロードします。
ldapmodify -h <ODSEE Server> -p <ODSEE port> -D <ODSEE Admin ID> -w <ODSEE Admin password> -f sunOneSchema.ldif
例:
./ldapmodify -h localhost -p 1389 -D "cn=directory manager" -w welcome1 -c -f sunOneSchema.ldif
OIMの一般名生成機能に対して、参照整合性を有効にします。
DNまたはRDNが変更されたときはいつでも、OIMおよびOID/Active Directory/ODSEEで参照整合性を有効化する必要があります。
ディレクトリ・サーバーで参照整合性が有効になっている場合、OIMプロパティXL.IsReferentialIntegrityEnabledInLDAP
をTRUE
に設定する必要があります(デフォルトはFALSE
)。XL.IsReferentialIntegrityEnabledInLDAP
をTRUE
に設定するには、OIMにログインして、「詳細」→システム管理→システム構成に移動します。システム・プロパティ(XL.IsReferentialIntegrityEnabled
)を検索し、プロパティの値をTRUE
に設定します。
次のコマンドを使用して、参照整合性プロパティの値を表示します。
..dsee7/bin/dsconf get-server-prop -h <ODSEE server> -p <ODSEE port> ref-integrity-enabled Enter "cn=Directory Manager" password: ref-integrity-enabled : off
次のコマンドを使用して、参照整合性プロパティを有効にします。
./dsconf set-server-prop -h <ODSEE server> -p <ODSEE port> ref-integrity-enabled:on Enter "cn=Directory Manager" password:
変更内容を有効にするには、ディレクトリ・サーバーを再起動する必要があります。参照整合性プロパティを有効にした後で、ODSEE/iPlanet Serverを再起動します。
..dsee7/bin/dsadm stop <ODSEE instance> ..dsee7/bin/dsadm start <ODSEE instance>
例:
..dsee7/bin/dsadm stop /scratch/<userid>/iPlanet/dsinst1/ ..dsee7/bin/dsadm start /scratch/<userid>/iPlanet/dsinst1/
値が正しく設定されたかどうかを確認するための問合せを実行します。
..dsee7/bin/dsconf get-server-prop -h <ODSEE server> -p <ODSEE port> ref-integrity-enabled Enter "cn=Directory Manager" password: ref-integrity-enabled : on
OIM管理ユーザー、グループおよびACIを作成します。新しいファイルoimadminuser.ldif
を開きます。このoimadminuserは、OIMのプロキシ・ユーザーとして使用されます。
ルート接尾辞はdc=mycompany,dc=com
です。これは、ODSEEサーバーの適切なルート接尾辞と置換できます。
次のLDAPエントリを追加して、ファイルoimadminuser.ldif
を保存します。次のコマンドを実行して、ldifファイルoimadminuser.ldif
をロードします。
ldapmodify -h <ODSEE Server> -p <ODSEE port> -D <ODSEE Admin ID> -w <ODSEE Admin password> -f oimadminuser.ldif dn: cn=systemids,dc=mycompany,dc=com changetype: add objectclass: nsContainer objectclass: top cn: systemids dn: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com changetype: add objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetorgperson mail: oimAdminUser givenname: oimAdminUser sn: oimAdminUser cn: oimAdminUser uid: oimAdminUser userPassword: welcome1 dn: cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com changetype: add objectclass: groupOfUniqueNames objectclass: top cn: oimAdminGroup description: OIM administrator role uniquemember: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com dn: cn=users,cn=oracleAccounts,dc=mycompany,dc=com changetype: modify add: aci aci: (target = "ldap:///cn=users,cn=oracleAccounts,dc=mycompany,dc=com")(targetattr = "*")(version 3.0; acl "Allow OIMAdminGroup add, read and write access to all attributes"; allow (add, read, search, compare,write, delete, import) (groupdn = "ldap:///cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com");) dn: cn=Groups,cn=oracleAccounts,dc=mycompany,dc=com changetype: modify add: aci aci: (target = "ldap:///cn=Groups,cn=oracleAccounts,dc=mycompany,dc=com")(targetattr = "*")(version 3.0; acl "Allow OIM AdminGroup to read and write access"; allow (read, search, compare, add, write,delete) (groupdn = "ldap:///cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com");) dn: cn=reserve,cn=oracleAccounts,dc=mycompany,dc=com changetype: modify add: aci aci: (target = "ldap:///cn=reserve,cn=oracleAccounts,dc=mycompany,dc=com")(targetattr = "*")(version 3.0; acl "Allow OIM AdminGroup to read and write access"; allow (read, search, compare, add, write,delete,export) (groupdn = "ldap:///cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com");) dn: cn=changelog changetype: modify add: aci aci: (target = "ldap:///cn=changelog")(targetattr = "*")(version 3.0; acl "Allow OIM AdminGroup to read and write access"; allow (read, search, compare, add, write,delete,export) (groupdn = "ldap:///cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com");)
次のコマンドを使用して、LDAP内のエントリとACIをチェックします。
ldapsearch -h <ODSEE Server> -p <ODSEE Port> -x -D "cn=Directory Manager" -w <ODSEE Admin Password> -b "cn=changelog" -s sub "objectclass=*" aci ldapsearch -h <ODSEE Server> -p <ODSEE Port> -x -D "cn=Directory Manager" -w <ODSEE Admin Password> -b "cn=users,cn=oracleAccounts,dc=mycompany,dc=com" -s sub "objectclass=*" aci ldapsearch -h <ODSEE Server> -p <ODSEE Port> -x -D "cn=Directory Manager" -w <ODSEE Admin Password> -b "cn=groups,cn=oracleAccounts,dc=mycompany,dc=com" -s sub "objectclass=*" aci ldapsearch -h <ODSEE Server> -p <ODSEE Port> -x -D "cn=Directory Manager" -w <ODSEE Admin Password> -b "cn=reserve,cn=oracleAccounts,dc=mycompany,dc=com" -s sub "objectclass=*" aci