11付録H: Oracle Unified Directoryの構成

ユーザーが初回使用ウィザードを完了すると、そのユーザーと管理者のみがユーザーのリポジトリ・コンテナおよびその内容にアクセスできるよう、Logon Managerが当該コンテナの権限を構成します。これを実現するには、許可されたディレクトリ・オブジェクトの操作を各ユーザーのaci属性の値に追加します。

ただし、Oracle Unified Directoryのaci属性は、デフォルトで保護された操作属性であるため、管理者以外のユーザーは、その値(ターゲット・ユーザーが作成したオブジェクトを含む)を変更できません。このため、初回使用ウィザードでエラーが発生し、エラー・ログに権限不足が示されます。

この問題を回避するには、次の手順を実行し、この問題によって影響を受けるLogon Managerの各ユーザーにmodify-acl権限を付与する必要があります。

注意: アクセス権限は必ず組織のセキュリティ・ポリシーに従って付与する必要があります。

1. 次の内容でLDIFファイルを作成します(ドメインの値は使用環境にあわせて置き換えてください)。

   dn: cn=target-user,ou=users,dc=oracle,dc=com

   changetype: modify

   add: ds-privilege-name

   ds-privilege-name: modify-acl

2. ディレクトリ管理者としてログイン中に、ディレクトリ・サーバーで次のコマンドを実行し、使用環境に変更を適用します。

   ldapmodify -p port-number -h host-name -D directory-manager-dn
-q -f LDIF-file

まだこれを行っていない場合は、次のようにして、リポジトリ全体またはPeopleおよびSSOConfig (CO)コンテナに匿名の読取り、検索および比較権限も付与する必要があります。

1. Oracle Directory Services Managerにディレクトリ管理者としてログオンします。

2. 「セキュリティ」タブを選択します。

3. rootエントリの下に、次の内容でACLを作成します。

   (targetattr = "*")(targetscope = "subtree") (version 3.0; acl "Anonymous-read-search"; allow (read,search,compare) userdn = "ldap:///anyone";)