Oracle® Fusion Middlewareディレクトリ・ベースのリポジトリでのLogon Managerのデプロイ 11g リリース2 (11.1.2.3) E61948-01 |
|
前 |
ユーザーが初回使用ウィザードを完了すると、そのユーザーと管理者のみがユーザーのリポジトリ・コンテナおよびその内容にアクセスできるよう、Logon Managerが当該コンテナの権限を構成します。これを実現するには、許可されたディレクトリ・オブジェクトの操作を各ユーザーのaci
属性の値に追加します。
ただし、Oracle Unified Directoryのaci
属性は、デフォルトで保護された操作属性であるため、管理者以外のユーザーは、その値(ターゲット・ユーザーが作成したオブジェクトを含む)を変更できません。このため、初回使用ウィザードでエラーが発生し、エラー・ログに権限不足が示されます。
この問題を回避するには、次の手順を実行し、この問題によって影響を受けるLogon Managerの各ユーザーにmodify-acl
権限を付与する必要があります。
注意: アクセス権限は必ず組織のセキュリティ・ポリシーに従って付与する必要があります。 |
次の内容でLDIFファイルを作成します(ドメインの値は使用環境にあわせて置き換えてください)。
dn: cn=
target-user,ou=users,dc=oracle,dc=com
changetype: modify
add: ds-privilege-name
ds-privilege-name: modify-acl
ディレクトリ管理者としてログイン中に、ディレクトリ・サーバーで次のコマンドを実行し、使用環境に変更を適用します。
ldapmodify -p
port-number -h
host-name -D
directory-manager-dn
LDIF-file
-q -f
まだこれを行っていない場合は、次のようにして、リポジトリ全体またはPeople
およびSSOConfig
(CO
)コンテナに匿名の読取り、検索および比較権限も付与する必要があります。
Oracle Directory Services Managerにディレクトリ管理者としてログオンします。
「セキュリティ」タブを選択します。
root
エントリの下に、次の内容でACLを作成します。
(targetattr = "*")(targetscope = "subtree") (version 3.0; acl "Anonymous-read-search"; allow (read,search,compare) userdn = "ldap:///anyone";)