Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Oracle Virtual Directoryデプロイメントが実行不可能で、ユーザーを検索するときにある順序または階層に基づいて検索フェイルオーバーを実行することが許容される場合、Access Managerを構成できます。
有効なOracle Access Management管理者の資格証明を持つユーザーは、関連する検索ベースおよびネーミング属性を含む各Active Directoryグローバル・カタログ(ADGC)をOracle Access Management用の個々のユーザー・アイデンティティ・ストアとして登録できます。
Kerberosサービスをマップするユーザー・アカウント、それらのアカウントのサービス・プリンシパル名(SPN)、およびキー・タブ・ファイルを含む、完全に構成されたMicrosoft Active Directory認証サービスが設定されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護 11g リリース1 (10.3.3)』を参照してください。
dc
コンポーネントを使用してドメインDNS名を対応する識別名にマップします。
ただし、マッピングが異なる場合、名前:値のトークンのセミコロン(;)で区切られたリストとして正しいマッピングを指定できます。次に例を示します。
LM.EXAMPLE.COM:dc=lm,dc=example,dc=com;LMSIB.SPRITE.COM:dc=lmsib,dc=sprite,dc=com
有効なOracle Access Management管理者の資格証明を持つユーザーは、次のタスクを実行して、作成したADGCを指すステップでKerberosPluginのステップを置き換えるかまたは更新できます。これらは、その等価物と連動します(最初のステップでADGCが失敗した場合、2つ目のADGCが使用されます)。開始する前に、「Active DirectoryおよびKerberosのトポロジの準備について」および「Access Manager操作の確認」の各項を完了してください。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「プラグイン」セクションで、「認証モジュール」をクリックします。
「検索」をクリックし、KerberosPluginプラグインを見つけて編集のために開きます。
KerberosPluginページで、「ステップ」タブをクリックします。
「ステップ」タブ: ここの説明に従ってstepKTAを置き換えて、「保存」をクリックします。
stepKTAをクリックしてから「削除」(x)ボタンをクリックしてこのステップを削除します。
「追加」(+)ボタンをクリックして、次のステップをプラグインに追加します。
要素 | 説明 |
---|---|
名前 |
stepKTA |
クラス |
KerberosTokenAuthenticator |
新しいstepKTAの詳細:
この新しいstepKTAにパラメータKEY_DOMAIN_DNS2DN_MAP
(以前作成)が含まれていることを確認し、デプロイメントの値を入力します。
要素 | 説明 |
---|---|
KEY_DOMAIN_DNS2DN_MAP |
LM.EXAMPLE.COM:dc=lm,dc=example,dc=com;LMSIB.SPRITE.COM:dc=lmsib,dc=sprite,dc=com |
サービス・プリンシパル |
HTTP/oam11g.example.com@LM.EXAMPLE.COM |
keytab.conf |
stepKTAのkeytab.confの場所次に例を示します。 /refresh/home/oam.keytab |
krb5.conf |
stepKTAのkrb5.confの場所 /etc/krb5.conf |
stepUIF: ステップ詳細(次のように構成して保存):
要素 | 説明 |
---|---|
KEY_IDENTITY_STORE_REF |
ADGC1-ORACLE |
KEY_SEARCHBASE_URL |
{KEY_USERDOMAIN} |
KEY_LDAP_FILTER |
(samAccountName={KEY_USERNAME}) ノート: 信用されていないマルチドメインActive Directory環境の場合、 |
stepUIおよびstepUA: ステップ詳細(これらのステップを構成して保存):
要素 | 説明 |
---|---|
KEY_IDENTITY_STORE_REF |
ADGC1-ORACLE |
変更を保存します。
stepUIF2の追加: これは連動し、stepUIFが失敗した場合に実行されます。
要素 | 説明 |
---|---|
KEY_IDENTITY_STORE_REF |
ADGC2-SPRITE |
KEY_SEARCHBASE_URL |
{KEY_USERDOMAIN} |
KEY_LDAP_FILTER |
(samAccountName={KEY_USERNAME}) ノート: 信用されていないマルチドメインActive Directory環境の場合、 |
stepUI2の追加: これは連動し、stepUIが失敗した場合に実行されます。
要素 | 説明 |
---|---|
KEY_IDENTITY_STORE_REF |
ADGC2-SPRITE |
stepUA2の追加: これは、stepUI2が成功したときに実行されます。
要素 | 説明 |
---|---|
KEY_IDENTITY_STORE_REF |
それぞれADGC1-EXAMPLEおよびADGC2-SPRITE |
ステップ詳細の追加: 「共通構成」、「プラグイン」、KerberosTokenAutheticator。
デプロイの値を入力します。
要素 | 説明 |
---|---|
keytab.conf |
stepKTAのkeytab.confの場所例: |
krb5.conf |
stepKTAのkrb5.confの場所例: |
OAMクラスタを再起動します。