Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
Oracle Virtual Directoryを使用すると、インフラストラクチャとアプリケーションのいずれかを変更する必要性を最小限に抑えるか、またはその必要性をなくして、LDAPを認識するアプリケーションを多様なディレクトリ環境に統合できます。
この項では、Oracle Virtual Directoryを使用したWNAのためのAccess Manager KerberosPlugin認証を構成するために実行する必要があるタスクについて説明します。
Oracle Virtual Directoryは、アダプタを経由して他のディレクトリと通信します。Oracle Virtual Directoryをアイデンティティ・ストアとして使用し始める前に、使用するディレクトリそれぞれへのアダプタを作成する必要があります。
その手順は、接続先のディレクトリに応じて若干異なります。Oracle Internet Directory、Active Directory、Oracle Directory Server Enterprise Edition (ODSEE)またはOracle Unified Directoryの使用を選択すると、Oracle Identity Managementサーバーのインストールおよび構成時に、必要なアダプタが作成され、構成されます。アダプタの管理の詳細は、Identity Virtualization Library (libOVD)アダプタの管理に関する項を参照してください。
次の手順では、信頼できるドメインでOAMサーバーのアカウントを作成します。また、完全修飾ドメイン名をネームスペースとして使用して、2つのActive Directoryアダプタ(フォレストごとに1つ)を作成します。デフォルトでは、Active Directoryはdc
を使用して、ルート・コンテキスト識別名を構築します。これが使用中のデプロイメントで異なる場合、それに合わせてアダプタ・ネームスペースを調整します。
「Access Manager操作の確認」に記載されたタスクを実行します。
Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドの説明に従って、Oracle Virtual Directoryをインストールします。
Oracle Virtual Directoryコンソールで、次のように完全修飾ドメイン名をネームスペースとして使用して、2つのActive Directoryアダプタ(フォレストごとに1つ)を作成します。
アダプタ1、EXAMPLEアダプタ・ネームスペース(ドメインDNS lm.example.com
):
dc=lm,dc=example,dc=com
アダプタ2、SPRITEアダプタ・ネームスペース(ドメインDNS lmsib.sprite.com
):
dc=lmsib,dc=sprite,dc=com
OAMクラスタをシャットダウンします。
AdminServerおよびすべてのOAMサーバーを再起動します。
有効なOracle Access Management管理者の資格証明を持つユーザーは、Windowsネイティブ認証と相互運用するAccess Managerのユーザー・ストアとしてOracle Virtual Directoryを登録できます。
Windowsネイティブ認証の場合、ユーザー資格証明はMicrosoft Active Directoryにある必要があります。Access Directoryは、Oracle Virtual Directoryインスタンスで管理できます。Access Managerによるシングル・サインオンの場合、各ユーザー・アイデンティティ・ストアを登録して、Access Managerと連動する必要があります。
通常、userprincipalname
は、Windowsログイン名を反映します。Access ManagerによるWNAの場合、ユーザー検索ベースおよびグループ検索ベースを空白のままにするかまたは前提条件となるタスクを実行中に構成した両方のアダプタに共通の識別名パスを入力します。開始する前に、「Active DirectoryおよびKerberosのトポロジの準備について」および「Access Manager操作の確認」の各項を完了してください。
ネイティブ認証モジュールから必要とする十分な柔軟性が提供されない場合、特定の要求を満たすために設計されたプラグインを使用してカスタム認証モジュールを作成できます。
KerberosPlugin
は、リソースをリクエストするユーザーの資格証明(Kerberosチケット(SPNEGOトークン)の暗号化されたユーザー名)と一致する資格証明マッピング・モジュールです。デフォルトでは、KerberosPlugin
は、dc
コンポーネントを使用してドメインDNS名を対応する識別名にマップします。ただし、マッピングが異なる場合、名前:値のトークンのセミコロン(;)で区切られたリストとして正しいマッピングを指定できます。次に例を示します。
LM.EXAMPLE.COM:dc=lm,dc=example,dc=com;LMSIB.SPRITE.COM:dc=lmsib,dc=sprite,dc=com
有効なOracle Access Management管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access ManagementコンソールでデフォルトのKerberosPlugin
のステップをWindowsネイティブ認証の統合を有効にするステップと置き換えることができます。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「プラグイン」セクションで、「認証モジュール」をクリックします。
「検索」をクリックし、KerberosPluginプラグインを見つけて編集のために開きます。
KerberosPluginページで、「ステップ」タブをクリックします。
「ステップ」タブ: ここの説明に従ってstepKTAを置き換えて、「保存」をクリックします。
stepKTAをクリックしてから「削除」(x)ボタンをクリックしてこのステップを削除します。
「追加」(+)ボタンをクリックして、次のステップをプラグインに追加します。
要素 | 説明 |
---|---|
名前 |
stepKTA |
クラス |
KerberosTokenAuthenticator |
「ステップの詳細」:
この新しいstepKTAを編集してステップ編成値をNULL (ステップ削除時に定義済)から次のデフォルト値に変更します。
On Success: StepUIF Failure Failure
また、この新しいstepKTAにパラメータKEY_DOMAIN_DNS2DN_MAP
(以前作成)が含まれていることを確認し、デプロイメントに適切な値を入力し、「保存」をクリックします。
要素 | 説明 |
---|---|
KEY_DOMAIN_DNS2DN_MAP |
デプロイメントのActive Directoryフォレスト。次に例を示します。 LM.EXAMPLE.COM:dc=lm,dc=example,dc=com;LMSIB.SPRITE.COM:dc=lmsib,dc=sprite,dc=com ノート: デフォルトでは、DNドメイン名a.b.cは、dc=a、dc=b、dc=cにマップされます。マッピングが異なる場合のみパラメータを指定する必要があります。そうでなければ、これを使用せずデフォルトの動作のままにすることが最善です。 |
サービス・プリンシパル |
HTTP/oam11g.example.com@LM.EXAMPLE.COM |
keytab.conf |
stepKTAのkeytab.confの場所 |
krb5.conf |
stepKTAのkrb5.confの場所 |
stepUIFの詳細: 次のように構成し、「保存」をクリックします。
要素 | 説明 |
---|---|
KEY_LDAP_FILTER |
(samAccountName={KEY_USERNAME}) |
KEY_IDENTITY_STORE_REF |
OVD |
KEY_SEARCHBASE_URL |
ここは空のままにします |
stepUIおよびstepUA: 次のように構成し、「保存」します。
要素 | 説明 |
---|---|
KEY_IDENTITY_STORE_REF |
OVD |
変更を保存します。
OAMクラスタを再起動します。