この章では、Oracle Unified Directoryの概要を示し、Oracle Unified Directoryの固有の機能のいくつかについて説明します。
この章には次のトピックが含まれます:
Oracle Unified Directoryは、次世代の包括的なディレクトリ・サービスです。大規模なデプロイメントに対応し、高パフォーマンスを提供できるように設計され、拡張性に優れています。Oracle Unified Directoryは、簡単にデプロイ、管理およびモニターできます。
このセクションには次のトピックが含まれます:
Oracle Unified Directoryのコンポーネントには次のものがあります。
LDAPディレクトリ・サーバー。データの格納に使用します。
ディレクトリ・サーバーの詳細は、第1.2項「ディレクトリ・サーバーの概要」を参照してください。
プロキシ・サーバー。データが格納されているディレクトリ・サーバーとクライアントの間のインタフェースとして動作します。
プロキシ・サーバーの詳細は、第1.3項「プロキシ・サーバーの概要」を参照してください。
レプリケーション・ゲートウェイ。Oracle Unified DirectoryとOracle Directory Server Enterprise Editionの間に位置します。
レプリケーション・ゲートウェイの詳細は、第1.4項「レプリケーション・ゲートウェイの概要」を参照してください。
使用する必要があるOracle Unified Directoryサーバー・モードの詳細は、第1.1.2項「Oracle Unified Directoryのインストール・タイプ」を参照してください。
Oracle Unified Directoryサーバーの動作モードは、要件に応じてこのソフトウェアをインストールする方法によって決まります。
Oracle Unified Directoryをインストールする際、次のいずれかのインストール・タイプを選択できます:
ディレクトリ・データを格納するLDAPディレクトリを作成する場合、ディレクトリ・サーバーとしてOracle Unified Directoryをインストールします。詳細は、Oracle Unified Directoryのインストールの「ディレクトリ・サーバーの設定」を参照してください。
データを格納するディレクトリ・サーバーとクライアントの間のインタフェースとしてサーバーを使用する場合、プロキシ・サーバーとしてOracle Unified Directoryをインストールします。プロキシ・サーバーにはデータは格納されません。ロード・バランシングまたはデータ分散を通じて、クライアント・リクエストを処理します。プロキシ・サーバーの設定の詳細は、Oracle Unified Directoryのインストールの「プロキシ・サーバーの設定」を参照してください。
Oracle Unified Directoryサーバーを使用してOracle Unified DirectoryとOracle Directory Server Enterprise Editionの間で情報をレプリケートする場合、レプリケーション・ゲートウェイとしてOracle Unified Directoryをインストールします。詳細は、Oracle Unified Directoryのインストールの「レプリケーション・ゲートウェイの設定」を参照してください。
Oracle Directory Integration Platformを使用して、Oracle Unified Directoryと他のディレクトリを同期できます。
注意: Oracle Directory Integration Platformは、Oracle Identity Managementリリース11.1.1.6.0以上をインストールすることで入手できます。 |
Oracle Directory Integration Platformは、ディレクトリと他のリポジトリの間の同期とプロビジョニングのソリューションを支援する一連のサービスとインタフェースで構成されます。
ディレクトリ統合プラットフォームを使用してOracle Unified Directoryの同期を有効にするには、Oracle Unified Directory変更ログを有効にする必要があります。Oracle Unified Directoryの変更ログを有効にする方法の詳細は、第32.7項「外部変更ログの使用」を参照してください。
ディレクトリ統合プラットフォームの同期には、次の方法があります:
Oracle Directory Integration Platform 11.1.1.5以上で、Oracle Internet DirectoryとOracle Unified Directoryの間の同期がサポートされています。同期手順の詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』の「Oracle Directory Server Enterprise Editionとの統合(接続済ディレクトリ)」を参照してください。
注意: Oracle Directory Server Enterprise Editionは、旧名Sun Java System Directory Serverです。同期が正常に動作するには、ガイドでSJSDS と参照されている箇所をすべてOUD に置き換える必要があります。Oracle Directory Integration Platformは、Oracle Identity Managementリリース11.1.1.6.0以上をインストールすることで入手できます。 |
Oracle Unified Directoryとサード・パーティ・ディレクトリの間のデータ同期を有効にするには、Oracle Directory Integration PlatformをOracle Unified Directoryと統合する必要があります。Oracle Directory Integration Platformは、Oracle Identity Managementリリース11.1.1.6.0以上をインストールすることで入手できます。
この項では、Oracle Unified Directoryサーバーのディレクトリ・サーバー・コンポーネントの概要について説明します。
Oracle Unified Directoryサーバーは、すべてJavaで記述されているLDAPv3準拠ディレクトリ・サーバーです。ディレクトリ・サーバーには、次の高レベルの機能が組み込まれています:
LDAPv3 (RFC 4510-4519)に完全準拠し、多数の標準および実験的拡張をサポート
高パフォーマンス、高スペース効率のデータ・ストレージ
構成と管理が容易
非常に拡張性の高い管理フレームワーク。この後にリストされている機能のほとんどをカスタマイズできます。
管理コネクタ。サーバーへのすべての管理トラフィックを管理します。管理コネクタを使用すると、ユーザー・トラフィックと管理トラフィックを分離して、ロギングとモニタリングを簡素化し、ユーザー・データを操作するコマンドよりも管理コマンドが優先されることを保証できます。
グラフィカルなコントロール・パネル。サーバー・ステータス情報を表示し、サーバーとデータの基本的な管理操作を実行できます。
各種コマンド行ユーティリティ。構成、管理タスク、基本モニタリングおよびデータ管理を支援します。メイン構成ユーティリティ(dsconfig
)には、大部分の構成タスクを段階的に実行できる対話モードがあります。
高度なレプリケーション・メカニズム。
強化されたディレクトリ・サーバー・インスタンス間のマルチマスターのレプリケーション。
保証レプリケーション機能。データの高可用性および特定のデプロイメント要件におけるデータの即時可用性を保証します。
部分レプリケーション機能。
ディレクトリ・サーバー・データベースで発生したすべての変更を公開する外部変更ログのサポート。
拡張可能セキュリティ・モデル
様々なレベルの認証と機密性のサポート
権限に基づくリソースへのアクセス
高度なアクセス制御メカニズム
多面的なモニタリング機能
豊富なユーザー管理機能
パスワード・ポリシー
アイデンティティ・マッピング
アカウント・ステータス通知
この項では、Oracle Unified Directoryのプロキシ・コンポーネントの概要を示します。この項の内容は、次のとおりです。
Oracle Unified Directoryプロキシは、データを格納しないで、クライアントからのLDAPリクエストを企業全体に分散しているディレクトリ・サーバーにルーティングするLDAPv3準拠サーバーです。
このプロキシは、複数のディレクトリ・サーバーまたは複数のデータ・センター、あるいはその両方の全体に分散しているディレクトリ・サービス・デプロイメントへのエントリ・ポイントです。クライアント・リクエストはすべて、プロキシによって適切なリモートLDAPサーバーにルーティングされます。Oracle Unified Directoryプロキシ・コンポーネントは、Oracle Unified DirectoryサーバーやOracle Directory Server Enterprise Editionなど、任意のLDAP v3準拠ディレクトリ・サーバーと連携して動作できます。
データ・リクエストをリモートLDAPサーバーに転送するには、ロード・バランシングまたはデータ分散、あるいはその両方を使用するようプロキシ・コンポーネントを構成します。
Oracle Unified Directoryプロキシは、oud-proxy-setup
を使用して、非常に単純な構成またはレプリケーションを使用するより複雑なシナリオのどちらでもデプロイできます。いくつかの単純なデプロイメントの詳細は、第3章「プロキシ・サーバーを使用するデプロイメントの例」を参照してください。
注意: プロキシ・コンポーネントをデータストアとして直接使用することはできません。 |
プロキシは、クライアントとリモートLDAPサーバーの間のインタフェースとして、必要に応じてセキュアな接続を保証するために、様々なセキュリティ機能を提供します。セキュリティの詳細は、第27章「プロキシ/データ・ソース間のセキュリティ構成」を参照してください。
Oracle Unified Directoryプロキシを構成する要素の詳細は、第12章「プロキシ、分散および仮想化機能の理解」を参照してください。
プロキシは、クライアントとデータ・ソース(単一サーバー、レプリケートされたサーバーまたはデータ・センターの場合)の間のすべての接続を管理します。したがって、データ・ソースのロード・バランシング、データ分散およびセキュリティの処理など、クライアント接続に関するすべてのルールを集中管理します。
ロード・バランシング用にプロキシをデプロイする場合、プロキシが受信するリクエストはすべて、デプロイメント時に設定されたロード・バランシング・アルゴリズムに基づいて、いずれかのリモートLDAPサーバーにルーティングされます。このルーティングにより、プロキシが通信する必要があるバックエンド・ディレクトリ・サーバーを特定し、各ディレクトリ・サーバーが受信する必要があるクライアントの総ロードに対する割合を指定できます。構成後は、プロキシは自動的に、構成で定義されているロード条件に従って、クライアント問合せを複数のディレクトリ・サーバーに分配します。
高可用性ディレクトリ・サービスをデプロイするには、レプリケートされたディレクトリ・サーバーを少なくとも2つ用意する必要があります。最初のサーバーで処理できなかったリクエストがバックアップ・サーバーによって処理されることを保証するには、すべてのクライアントが両方のデータ・ソースのアドレスを認識し、プライマリ・サーバーでの失敗はバックアップ・サーバーにそのリクエストを再送信することで処理するようにコーディングされていることを保証する必要があります。プロキシでリクエストのフェイルオーバーとロード・バランシングが処理されるので、高可用性とスケーラビリティが単純化されます。
一般に、1つのサーバーのみを使用してデプロイメントのすべてのデータを格納する場合、データ・ストアが大きすぎると、パフォーマンスの問題が発生します。この問題は、1つのサーバーを複数のサーバーに置き換えて、それらのサーバーにデータを分散させることで解決できます。この場合、各クライアント・アプリケーションが、そのデータを検索するサーバーを認識する必要があります。プロキシを使用すると、各アプリケーションの分散情報をレプリケートする必要はなくなります。これは、リクエストを適切なデータ・ソースに分散する処理を、プロキシが管理するからです。この場合、クライアント・アプリケーションはリクエストをプロキシに送信します。プロキシはリクエストされたデータが保持されているパーティションを認識しているので、分散機能を使用してリクエストを処理します。
デプロイメントでプロキシを使用することによって、クライアント・アプリケーションの構成と管理の手間が軽減されます。プロキシは、すべてのリクエストを集中的に処理することで、リクエストのロード・バランシングまたは分散、あるいはその両方を保証します。
プロキシは、ディレクトリ・サービスのセキュリティを管理する単一アクセス・ポイントにもなります。プロキシを使用して、リモート・ディレクトリ・サーバーへのアクセスを認可または制限できます。また、メンテナンスまたはLDAPサーバーのバックアップを実行するには、プロキシ・デプロイメントを変更するだけでサービスの中断を回避できます。
サンプル・デプロイメントの詳細は、第3章「プロキシ・サーバーを使用したデプロイメント例」を参照してください。
この項では、Oracle Unified Directoryのレプリケーション・ゲートウェイ・コンポーネントの概要について説明します。内容は次のとおりです:
移行シナリオでのレプリケーション・ゲートウェイのデプロイの詳細は、第32.16項「Oracle Directory Server Enterprise EditionとOracle Unified Directory間のレプリケーション」を参照してください。
レプリケーションは、1つのディレクトリ・サーバー上で行われた変更を、レプリケーション・トポロジ内の他の複数のディレクトリに伝播するメカニズムです。レプリケーション・ゲートウェイは、Oracle Directory Server Enterprise Editionのディレクトリ・サーバーとOracle Unified Directoryのディレクトリ・サーバーの間でレプリケーション情報を効率的に変換し、伝播します。変換には中間ファイルを使用しないので、データがディスクに格納されることはありません。
レプリケーション・ゲートウェイの主な目的は、既存のDirectory Server Enterprise Editionデプロイメントを容易にOracle Unified Directoryトポロジに移行できるようにすることです。この移行を正常に完了するには、次のいずれかのバージョンを使用する必要があります。
Oracle Directory Server Enterprise Edition 11gリリース1 (11.1.1)以降
Sun Java System Directory Server Enterprise Edition、6.3.1.1.2リリース(Oracle Unified Directory 11gリリース2 (11.1.2.3)以降のリリース)
レプリケーション・ゲートウェイは、ディレクトリの各バージョンに固有の同期メカニズムを変換して、異種トポロジの間の双方向レプリケーションを実現します。レプリケーション・ゲートウェイは、レプリケートする異種トポロジの間で更新を伝播するパイプと見なすことができます。
次の例は、2つのトポロジの間でレプリケーション・ゲートウェイを使用することによって、既存のOracle Directory Server Enterprise EditionデプロイメントをOracle Unified Directoryトポロジに移行する方法を示します。
レプリケーション・ゲートウェイの役割は、異種サーバー上で行われる変更をレプリケーション・トポロジ全体に伝播することです。
全体的なレプリケーション・トポロジの中では、レプリケーション・ゲートウェイは双方向転送サーバーとして動作します。Oracle Directory Server Enterprise Editionサーバーで行われた変更をOracle Unified Directoryレプリケーション・トポロジに伝播し、Oracle Unified Directoryサーバーで行われた変更をOracle Directory Server Enterprise Editionレプリケーション・トポロジに伝播します。各インスタンスでは、レプリケーション・ゲートウェイは双方向に伝播します。移行シナリオに従って、Oracle Unified DirectoryサーバーからOracle Directory Server Enterprise Editionレプリケーション・トポロジへの変更の伝播を無効にできます。
注意: レプリケーション・アーキテクチャでは、各レプリケーション・サーバーは、トポロジ内の他のすべてのレプリケーション・サーバーに接続されています。 |
高可用性を実現するために、すべての移行シナリオで2つのレプリケーション・ゲートウェイ・サーバーがデプロイされます。
レプリケーション・ゲートウェイは、次のものを管理しません:
データ初期化。レプリケーション・ゲートウェイ経由の全面的更新はサポートされていません。Oracle Unified DirectoryサーバーのデータでOracle Directory Server Enterprise Editionトポロジを初期化するには、Oracle Unified Directoryサーバーからデータをエクスポートして、Oracle Directory Server Enterprise Editionマスター・サーバーにインポートする必要があります。
スキーマの一貫性。レプリケーション・ゲートウェイは、異種サーバー間のスキーマの一貫性を保証しません。管理者が、一貫性のあるスキーマを定義する必要があります。
機能の変換。レプリケーション・ゲートウェイは、異種サーバー間の機能変換は行わず、機能に関してトポロジが異種混合であることを前提としています。互換性のない機能(たとえば、マクロACI、CoS、パスワード・ポリシー)を処理する最善の方法は、レプリケーションの実行前に、影響を受けるオブジェクト・クラスと属性タイプをフィルタで除外することです。
レプリケーション・ゲートウェイには、Oracle Directory Server Enterprise EditionからOracle Unified Directoryへのレプリケーションに対するフィルタリング・オプションが用意されています。このオプションを使用して、Oracle Unified Directoryサーバーに適用しないオブジェクト・クラスと属性タイプを除外できます。フィルタリングに構成されているデフォルト値は、CoS、ロール、パスワード・ポリシーおよび競合解消の違いを考慮しています。
レプリケーション競合の解消。単一値属性の場合、異なる値が同時に1つの単一値属性に追加されたときのOracle Directory Server Enterprise EditionサーバーとOracle Unified Directoryサーバーの競合の処理は異なります。Oracle Directory Server Enterprise Editionサーバーでは最後の変更/追加操作の値が保持されますが、Oracle Unified Directoryサーバーでは最も古い値が保持されます。両方の値が常に同じであるとはかぎりません。