Oracle® Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.2.0) B69541-08 |
|
前 |
次 |
LDAPディレクトリをアイデンティティ・ストアとして使用できるようにするには、事前構成を実行する必要があります。この項の手順により、Oracle Unified Directory (OUD)を事前構成して、LDAPアイデンティティ・ストアとしてOracle Unified Directory (OUD)を使用できます。
注意:
|
アイデンティティ・ストアを事前構成するには、次の手順を実行する必要があります。
新しいファイルOUDContainers.ldif
を作成します。次のエントリを追加して、ファイルに保存します。
dn:cn=oracleAccounts,dc=mycompany,dc=com cn:oracleAccounts objectClass:top objectClass:orclContainer dn:cn=Users,cn=oracleAccounts,dc=mycompany,dc=com cn:Users objectClass:top objectClass:orclContainer dn:cn=Groups,cn=oracleAccounts,dc=mycompany,dc=com cn:Groups objectClass:top objectClass:orclContainer dn:cn=Reserve,cn=oracleAccounts,dc=mycompany,dc=com cn:Reserve objectClass:top objectClass:orclContainer
ldapadd
コマンドを使用して、コンテナをOracle Unified Directoryサーバーにインポートします。これにより、ユーザー、グループおよび予約コンテナが作成されます。
ldapadd -h <OUD Server> -p <OUD port> -D <OUD Admin ID> -w <OUD Admin password> -c -f ./OUDContainers.ldif For example:
ldapadd -h localhost -p 3389 -D "cn=Directory Manager" -w "welcome1" -c -f ./OUDContainers.ldif
このコマンドで認証エラーが返されたら、シンプル・バインド・オプションの「-x」オプションでコマンドを試行します。
ldapadd -h localhost -p 1389 -x -D "cn=Directory Manager" -w "welcome1" -c -f ./OUDContainers.ldif
OUDをインストールした後にOUDと通信するには、OIMプロキシ・ユーザーとACIを構成します。OIM管理ユーザー、グループおよびACIを作成します。
ルート接尾辞はdc=mycompany,dc=com
です。これは、OUDサーバーの適切なルート接尾辞と置換できます。
新しいファイルoudadmin.ldif
を開きます。次のLDAPエントリを追加して、ファイルoudadmin.ldif
を保存します。次のコマンドを実行してldifファイル(oudadmin.ldif
)をロードします。
注意:
|
cd <OUD instance>/bin
./ldapmodify -h <OUD Server> -p <OUD port> -D <OUD Admin ID> -j <pwd.txt> -c-v-f oudadmin.ldif
Note: In the above command pwd.txt
is the text file containing the OUD Admin password.
dn: cn=systemids,dc=mycompany,dc=com
changetype: add
objectclass: orclContainer
objectclass: top
cn: systemids
dn: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com
changetype: add
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetorgperson
mail: oimAdminUser
givenname: oimAdminUser
sn: oimAdminUser
cn: oimAdminUser
uid: oimAdminUser
userPassword: welcome1
dn: cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com
changetype: add
objectclass: groupOfUniqueNames
objectclass: top
cn: oimAdminGroup
description: OIM administrator role
uniquemember: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com
dn: cn=oracleAccounts,dc=mycompany,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///cn=oracleAccounts,dc=mycompany,dc=com")(targetattr =
"*")(version 3.0; acl "Allow OIMAdminGroup add, read and write access to
all attributes"; allow (add, read, search, compare,write, delete, import,export)
(groupdn = "ldap:///cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com");)
dn: cn=oimAdminUser,cn=systemids,dc=mycompany,dc=com
changetype: modify
add: ds-privilege-name
ds-privilege-name: password-reset
OUDサーバーで変更ログを構成するには、次の手順を実行します。
注意: OUDサーバーのインストール中にレプリケーションを構成した場合のみ、次の手順を実行してください。 |
dsconfig
コマンドを使用して、レプリケーション・サーバーを作成します。
dsconfig -h <OUD host> -p <OUD Admin SSL Port> -D <OUD Admin id> -j <password file> -X -n create-replication-server --provider-name 'Multimaster Synchronization' --set replication-port:8989 --set replication-server-id:1 --type generic
dsconfig
コマンドを使用して、レプリケーション・ドメインを作成します。
dsconfig -h <OUD host> -p <OUD Admin SSL port> -D <OUD Admin id> -j <password file> -X -n create-replication-domain --provider-name 'Multimaster Synchronization' --set base-dn:<dc=myDomain,dc=com> --set replication-server:<OUD host>:8989 --set server-id:1 --type generic --domain-name <dc=myDomain,dc=com>
ACIが追加されたかどうかを確認するには、次のコマンドを使用します。
./ldapsearch -h <OUD Server> -p <OUD Port> -D "cn=Directory Manager"
-j <pwd.txt> -b "dc=mycompany,dc=com" -s base "objectclass=*" aci
Note: In the above command pwd.txt
is the text file containing the OUD Admin password.
OUDにプロキシ・ユーザーがアクセス可能かどうかを確認するには、次のコマンドを使用します。
./ldapsearch -h <OUD Server> -p <OUD Port> -D
"cn=oimAdminUser,cn=systemids,dc=oracle,dc=com" -j <pwd.txt> -b
"cn=changelog" -s sub "changenumber>=0"
Note: In the above command pwd.txt
is the text file containing the OUD Admin password.
OUD (ACI)でアクセスを制御する次の手順を完了します。
OUDの変更ログ・ノードにグローバルACIを追加します。
次のリンクで入手可能な『Oracle Fusion Middleware Oracle Unified Directory管理者ガイド11gリリース2 (11.1.2)』の対話型モードでのdsconfigの使用に関する項を参照してください。
前述のドキュメントの手順を実行し、グローバルACIをOUDのcn=changelog
エントリに追加します。
(target="ldap:///cn=changelog")(targetattr="*")(version 3.0; acl "External changelog access"; allow(read,search,compare,add,write,delete,export) groupdn="ldap:///cn=oimAdminGroup,cn=systemids,dc=mycompany,dc=com";) dn: cn=Reserve,dc=mycompany,dc=com changetype: modify add: aci aci: (target="ldap:///cn=Reserve,dc=mycompany,dc=com")(targetattr="*")(version 3.0; acl "Allow OIMAdminGroup add, read and write access to all attributes"; allow (add, read, search, compare,write, delete, import,export)(groupdn = "ldap:///cn=oimAdminGroup,cn=Groups,dc=mycompany,dc=com");)
deny
が優先されないように、グローバルACIからdeny
を、またOIMプロキシ・ユーザーからallow
を削除する必要があります。
注意: OUD 11.1.1.5.0を使用している場合、次のACIを使用します。 (target="ldap:///cn=changelog")(targetattr="*")(version 3.0; acl "External changelog access";deny (all) groupdn!="ldap:///cn=oimAdminGroup,cn=systemids,dc=myDomain,dc=com";) |
次のリンクで入手可能な『Oracle Fusion Middleware Oracle Unified Directory管理者ガイド11gリリース2 (11.1.2)』を参照してください。
前述のドキュメントの手順を実行し、デフォルトのdeny
グローバルACIをOUDのcn=changelog
エントリから削除します。
(target="ldap:///cn=changelog")(targetattr="*")(version 3.0; acl "External changelog access"; deny (all) userdn="ldap:///anyone";)
Oracle Identity Manager (OIM)でユーザー・アカウントをロックするには、OUDサーバーでパスワード・ポリシーを構成する必要があります。
パスワード・ポリシーで、無効なログインの最大試行回数(ソースのLDAPディレクトリ・サーバーで必要です)を定義する必要があります。これでアカウントがロックされます。この最大試行回数は、第5.9.5.2.4項「Oracle Unified Directory (OUD)向けのアダプタの作成」のユーザー管理プラグイン(pwdMaxFailure
パラメータ)に定義されているものと同じ値にする必要があります。
次のコマンドを使用し、OUDのパスワード・ポリシーを構成します(ログインに3回失敗したらアカウントをロックする例)。
dsconfig -h <OUD host> -p <OUD Admin SSL port> -D <OUD Admin id> -j <password file> -X -n set-password-policy-prop --policy-name 'Default Password Policy' --set lockout-failure-count:3