構成ガイド

Oracle TSAM Plusマネージャの構成

この章では、最初の章で説明したスタンドアロンTSAM Plusエージェントの構成後にOracle TSAM Plusマネージャで行う構成タスクについて説明します。

この章には次のトピックが含まれます:

概要

Oracle TSAM Plusマネージャは、Oracle TSAM Plusのデータ操作およびデータ表現コンポーネントです。これは、J2EEアプリケーションです。Oracle TSAM Plusマネージャには、次の機能があります。

パフォーマンス・メトリック、構成情報およびその他のユーティリティ・メッセージをOracle TSAM Plusエージェントと通信します。
Oracle TSAM Plusの管理、モニターしたデータの表現およびアラート管理を行うためにWebコンソールを提供します。

Oracle TSAM Plusデータ・サーバーの構成

Oracle TSAM Plusデータ・サーバーは、Oracle TSAM Plusへの通信インタフェースです。LMSからのリクエストとWebブラウザからのメトリック問合せリクエストを受け取ります。各LMSに対して、データ・サーバーのURLが正しく構成されている必要があります。書式は次のとおりです。

CLOPT="-A -- -l host:port/tsam"

hostは、Webアプリケーションがデプロイされているコンピュータです。
portは、Javaサーバーのポート番号です。
tsamは、Oracle TSAM PlusのURLです。

注意:

HTTPの観点から見ると、Oracle TSAM PlusエージェントLMSは、HTTPクライアントで、Oracle TSAM Plusマネージャは、HTTPサーバーです。Oracle TSAM PlusマネージャとTuxedoアプリケーションの間にファイアウォールをデプロイした場合、ファイアウォールはLMSにOracle TSAM PlusマネージャへのHTTPリクエストの発行を許可する必要があります。

Oracle TSAM Plusマネージャの構成

Oracle TSAM Plusマネージャには、微調整目的で、いくつかのグローバル・パラメータが用意されています。それらは「データ管理」/「グローバル・パラメータ」ページで利用できます。詳細は、Oracle TSAM Plusユーザー・ガイドを参照してください。

LDAP認証の構成

認証タイプの指定

認証タイプには、「最初にデータベース」と「LDAPのみ」の2種類があります。ユーザー情報は、Oracle TSAM Plusデータベースまたは既存のLDAPサーバーに格納できます。認証タイプ「最初にデータベース」はどちらもサポートします。「LDAPのみ」はLDAP認証のみをサポートします。

TSAM Plusのインストール・プロセス中に、認証タイプを指定できます。詳細は、「Oracle TSAM PlusマネージャのGUIモード・インストール」の「認証タイプの選択」を参照してください。

次の手順に従って、Oracle TSAM Plusモニタリング・コンソールから認証タイプを指定することもできます。

Oracle TSAM Plusコンソールにログインします。
最上部のメニュー・バーで、「管理」をクリックし、ドロップダウン・リストから「グローバル・パラメータ」を選択します。
「グローバル・パラメータ」ページで、「TSAM Plusマネージャ・プロパティ」をクリックします。
「認証タイプ」を指定します。

グループIDの指定

LDAP認証を使用する場合、グループIDは、LDAPサーバーの対応するユーザーのものと同じである必要があります。

TSAM Plusのインストール・プロセス中に、グループIDを指定できます。詳細は、「Oracle TSAM PlusマネージャのGUIモード・インストール」の「グループIDの設定」を参照してください。

次の手順に従って、Oracle TSAM Plusモニタリング・コンソールからグループIDを指定することもできます。

Oracle TSAM Plusコンソールにログインします。
最上部のメニュー・バーで、「管理」をクリックし、ドロップダウン・リストから「ユーザー管理」を選択します
「グループ・リスト」ボタンをクリックして、「グループ・リスト」メニュー・バーに入ります。
グループの作成時にグループIDを指定します。

LDAP構成ファイルのデプロイ

インストール・プロセス中に、LDAP構成ファイルを指定できます。詳細は、「Oracle TSAM PlusマネージャのGUIモード・インストール」の「LDAP構成」を参照してください。

次のLDAPデプロイメント・ユーティリティを使用して、<TSAM_DIR>/deployにあるtsam.earファイルのLDAP構成情報を更新することもできます。

UNIX/Linux LDAPデプロイメント: LDAPDeployer.sh
Windows LDAPデプロイメント: LDAPDeployer.cmd

リスト2-1およびリスト2-2に、それぞれUNIX/LinuxおよびWindowsのLDAPデプロイメント・ユーティリティの例を示します。

注意: LDAPデプロイメント・ユーティリティを実行すると、tsam.earファイルのLDAP情報は上書きされます。tsam.earファイルをアプリケーション・サーバーに再デプロイする必要があります。

リスト2-1 UNIX/Linux LDAPデプロイメント・ユーティリティの例

cd <TSAM_DIR>/deploy
./LDAPDeployer.sh tpgauth

リスト2-2 Windows LDAPデプロイメント・ユーティリティの例

cd <TSAM_DIR>\deploy
LDAPDeployer.cmd c:\tpgauth

TSAM Plus LDAP構成ファイル

Oracle TSAM Plus LDAP構成ファイルは、Oracle Tuxedo GAUTHSVR構成ファイルと類似しています。

通常LDAP構成ファイルのためのデフォルト値で十分ですが、異なる名前を使用して構成することを選択することもできます。このため、LDAP構成ファイルについて、次の要件を認識している必要があります。

LDAP構成ファイルは、プレーン・テキスト・ファイルです。
キーワードは大文字/小文字が区別されますが、順序は関係ありません。キーワードの書式は、keyword=valueです。
空白行または#記号で始まる行は、コメントとみなされ、無視されます。
1行の上限は255文字です。この上限を超えた部分は切り詰められます。
プリンシパルは、LDAPデータベースにアクセスする権限を持つ必要があります(通常はLDAP管理者)。

表2-1に、LDAP構成ファイルのキーワードを示します。

表2-1 LDAP構成ファイルのキーワード
構成キーワード	値の型	説明
`Host`	文字列	LDAPサーバーのホスト名またはIPアドレス。デフォルト値は、`localhost`です。
`Port`	数値	LDAPサーバーがリスニングしているポート番号。デフォルト値は、`389`です。
`Principal`		LDAPサーバーへの接続に使用するLDAPユーザーの識別名(DN)。
`Credential`		LDAPユーザーの認証に使用する資格証明(通常はパスワード)。Principal属性で定義します。
`UserObjectClass`	文字列	ユーザーを格納するLDAPオブジェクト・クラス。デフォルトは、`person`です。
`UserBaseDN`	文字列	ユーザーを格納するLDAPディレクトリ内のツリーの基本識別名(DN)。デフォルトは`ou=people`, `o=example.com`です。
`UserFromNameFilter`	文字列	ユーザー名でユーザーを見つけるためのLDAP検索フィルタ。デフォルトは`(&(cn=%u)(objectclass=person))`です。
`UserUIDAttrName`	文字列	ユーザーのUID (またはUIDとGID)を一定の形式で示すLDAPユーザー・オブジェクトの属性名。デフォルト値は`userid`です。
`UserGroupAttrNames`	文字列	ユーザーが属すグループを示すLDAPユーザー・オブジェクトの属性名。この属性には、値型としてGID、グループCN、またはグループDNを指定できます。指定できる値型は、構成ごとに1つのみです。名前が複数ある場合はカンマで区切ります。デフォルト値は`usergroups`です。
`RetrieveUIDAndGID`	ブール	常にtrueである必要があります。
`UIDAttrValueType`	文字列	常にUIDAndGIDである必要があります。
`UseZOSRACF`	ブール	LDAPサーバーがz/OS RACF LDAPサーバーであるかどうかを指定します。デフォルトは`false`です。
`SSLEnabled`	ブール	LDAPサーバーへの接続にSSLを使用することを指定します
`ConnectTimeout`	数値	LDAP接続の確立を待機する最長時間(秒)。`0`に設定する場合、最大時間の制限はありません。デフォルト値は`0`です。
`TuxedoUIDKey`	文字列	Tuxedo UIDを識別するために使用されます。デフォルト値は`TUXEDO_UID`です。
`TuxedoGIDKey`	文字列	Tuxedo GIDを識別するために使用されます。デフォルト値は`TUXEDO_GID`です。

Weblogic組込みLDAPサーバーLDAP構成ファイル例

リスト2-3に、Weblogic組込みLDAPサーバーのLDAP構成ファイル例を示します。

リスト2-3 Weblogic組込みLDAPサーバーLDAP構成ファイル例

Host = localhost
Port = 7001
Principal = cn=Admin
Credential = aaa
UserObjectClass = person
UserBaseDN = ou=people,ou=myrealm,dc=base_domain
UserFromNameFilter = (&(uid=%u)(objectclass=person))
UserUIDAttrName = description
UserGroupAttrNames=wlsMemberOf
RetrieveUIDAndGID = true
UIDAttrValueType = UIDAndGID
UseZOSRACF=false
SSLEnabled=false
ConnectTimeout=5

tpmigldifを使用したユーザー・インタフェースの移行

tpmigldifコマンド・ユーティリティを使用すると、TSAM Plusのユーザーおよびグループ情報をLDAPデータ交換形式(LDIF)でLDAPサーバーに移行できます。tpmigldifを使用するには、移行テンプレートを作成する必要があります。

tpmigldifコマンド行オプションを使用する

表2-2に、tpmigldifユーティリティのコマンド行オプションを示します。コマンド行オプションの順序は関係ありません。

表2-2 tpmigldifコマンド行オプション
コマンド行オプション	オプション引数	デフォルト値	使用方法
-t	user\|group	`user`	移行タイプを示します。
-f	テンプレート・ファイル名	`tpusr-template (タイプがユーザーの場合)、またはtpgrp-template(タイプがグループの場合)`	テンプレート・ファイル名を指定します。
-o	o (出力ファイル名)	`console/stdout`	出力ファイル名を指定します。
-u	フルパス名	`tpusr`	`tpusr`ファイルの絶対ディレクトリ・パスです。
-g	フルパス名	`tpgrp`	`tpgrp`ファイルの絶対ディレクトリ・パスです。

tpusrおよびtpgrpファイル形式

リスト2-4に、5つのフィールドがコロンで区切られたtpusrファイルを示します。

name:password(encrypted):user id:group id:client name::

リスト2-4 tpusrファイルの例

user1:EI4xxxjrCc:16668:601:TPCLTNM,client::
user2:EI4xxxjrCc:16669:602:TPCLTNM,client::

リスト2-5に、3つのフィールドがコロンで区切られたtpgrpファイルを示します。

name::group id:

リスト2-5 tpgrpファイルのサンプル

group1::601:
group2::602:

tpusrファイルの新しいパスワードを割り当てる(オプション)

管理者は、ユーザーおよびグループの情報を移行する前に、各ユーザーに新しいパスワードを割り当てることができます。これにより、生成されるLDIF出力に、各ユーザーの正しいパスワードを含めることができます。この手順が必要なのは、tpusrファイル内のパスワードが一方向暗号化で暗号化されているため、このファイルから元のパスワードを取り出すことができないためです。

テキスト・エディタを使用して、次の2つの方法でtpusrファイルのパスワードを変更できます。

tpusrファイルのパスワード・フィールドを修正して、ファイル内の各ユーザーのユーザー・パスワードを変更します。このパスワード・フィールドは、tpusrファイル内の2番目のフィールドです。各ユーザーは、tpusrファイル内の個別の行に入力します。元のtpusrファイルの例は、リスト2-4を参照してください。

user1:pwd1:16668:601:TPCLTNM,client::
user2:pwd2:16669:602:TPCLTNM,client:

新しいパスワードをtpusrファイルの最後のフィールドに追加します。

user1:EI4xxxjrCc:16668:601:TPCLTNM,client::pwd1:
user2:EI4xxxjrCc:16669:602:TPCLTNM,client::pwd2:

移行テンプレートを作成する

移行テンプレートは、tpusrまたはtpgrpファイルをLDIF出力ファイルに変換するためにtpmigldifコマンド・ユーティリティで使用されるテキスト・ファイルです。

リスト2-6に、tpusr-template移行ファイルの例を示します。<%n>はtpusrファイルのフィールドを表し、nは1から始まります。

注意: <%gn>は、所定のユーザーのtpgrpファイル内のグループ・フィールドに使用します。

リスト2-6 tpusr-template

dn: CN=<%1>,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: <%1>
description: Tuxedo User, TUXEDO_UID=<%3> TUXEDO_GID=<%4>
password: <%7>

リスト2-7に、tpusr-templateから生成されたLDIF出力を示します。

リスト2-7 LDIF出力

dn: CN=user1,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: user1
description: Tuxedo User, TUXEDO_UID=16668 TUXEDO_GID=601
password: pwd1

dn: CN=user2,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: user2
description: Tuxedo User, TUXEDO_UID=16669 TUXEDO_GID=602
password: pwd2

サポートされるLDAPサーバーのサンプル・テンプレート

Oracle Tuxedoには、サポートされるLDAPサーバーのサンプル・テンプレートが用意されています。これらのファイルを表2-3にまとめます。

表2-3 サポートされるLDAPサーバーのサンプル・テンプレート¹
LDAPサーバー	GAUTHSVR 構成	ユーザー移行テンプレート	グループ移行テンプレート
WebLogic Server	tpgauth	tpusr-template	tpgrp-template
Active Directory²	tpgauth-ad	tpusr-template-ad	tpgrp-template-ad
IPlanet	tpgauth-iplanet	tpusr-template-iplanet	tpgrp-template-iplanet
z/OS LDAP (RACFバックエンド)	tpgauth-racf	tpusr-template-racf	tpgrp-template-racf

¹これらのファイルはすべて、$TUXDIR/udataobjに格納されています。

²作成時にActive Directoryユーザーのパスワードを追加することはできません。パスワードを変更またはリセットする方法については、Microsoftのサポート・ドキュメント(http://support.microsoft.com/kb/269190、http://support.microsoft.com/kb/263991など)を参照してください。