ここでは、Oracle Unified DirectoryとOracle Directory Services Manager (ODSM)の前のリリースから新機能と変更された機能を紹介し、詳細情報へのリンクを記載します。次の各項で構成されます:
機能とその使用方法の詳細は、このガイドの参照先を確認してください。このドキュメントは、以前の『Oracle Fusion Middleware Oracle Unified Directory管理者ガイド』の新版です。
この項では、このリリースの新機能の簡単なサマリーを示します。次の各項で構成されます:
この項では、Oracle Unified Directoryのこのリリースの新機能の簡単なサマリーを示します。内容は次のとおりです。
person
エントリへのmemberof
ユーザー属性の追加のサポートOracle Unified Directoryでは、person
エントリにmemberof
ユーザー属性を追加するVirtualMemberofワークフロー要素を提供しています。詳細は、第12.5.3項「person
エントリへのmemberof
ユーザー属性の追加」を参照してください。
Oracle Unified Directoryでは、changelog
としても知られている、レプリケーション・サーバー・データベースでの属性の暗号化をサポートしています。第14.5項「レプリケーション・トポロジでの暗号化のサポート」を参照してください。
use-authid-for-audit-attrs
属性を構成して、プロキシ設定されたユーザーがサーバー変更を行う場合にこれらのユーザーの認証IDを記録できるようになりました。詳細は、第17.1.4.3項「サーバーの変更が記録される方法の構成」を参照してください。
選択的属性キャッシングを使用して、アクセス頻度に基づいてLDAPエントリ内の属性を区別することによって、大規模なデプロイメントおよび大きいエントリの操作をより適切に管理できるようになりました。詳細は、第18.9項「選択的属性キャッシングの構成」を参照してください。
Password Expiration Time
仮想属性のサポートOracle Unified Directoryでは、ユーザー・エントリと適用されるパスワード・ポリシーの両方に含まれている情報に基づいてパスワード有効期限を動的に計算するPassword Expiration Time
仮想属性が導入されています。
注意: Password Expiration Time 仮想属性とds-pwp-account-expiration-time 属性(パスワード有効期限ではなくアカウント有効期限)を混同しないでください。 |
詳細は、第18.11項「仮想属性の構成」を参照してください。
静的グループの大幅な強化により、Oracle Unified Directoryでは大量のメンバーを管理できます。
そのため、仮想静的グループを使用して静的グループのスケーラビリティを回避することはお薦めしません。詳細は、第19.3.3項「仮想静的グループの定義」を参照してください。
dsreplication
サブコマンドdsreplication
コマンドでは、次の新しいサブコマンドを使用できます。
list-certs
サブコマンドは、サーバーがレプリケーションに使用する証明書をリストします。
regenerate-cert
サブコマンドは、指定したサーバー(またはすべてのサーバー)がレプリケーションに使用する証明書を再生成します。
set-cert
サブコマンドは、サーバーがキーストア内の証明書をレプリケーションに使用するように構成します。このキーストアには、レプリケートされた他のサーバーと通信するために必要な公開キーも格納されます。set-cert
サブコマンドを使用して、タイプがPKCS11のキーストアの証明書を設定できます。
verify
サブコマンドは、レプリケートされたサーバーの証明書を含むレプリケーション構成を検証し、非一貫性が見つかると、それらを修正するために実行する必要があるアクションを要求します(対話モードの場合)。
次の項を参照してください。
Oracle Unified Directoryでは、LinuxシステムのCRYPTパスワード記憶スキームでユーザー・パスワードを暗号化するための暗号化アルゴリズムをサポートしています。第D.3.15項「暗号化アルゴリズム」を参照してください。
use-any-of
プロパティ文字セット・パスワード・バリデータには、パスワードに含める必要がある文字の取得元となる最少数の文字セットを指定するための新しいuse-any-of
プロパティが含まれています。詳細は、第30章「パスワード・バリデータの管理」を参照してください。
Oracle Unified Directoryには、次の新しい最適化が含まれています。
単一値属性に対する特定のエンコードの使用
Oracle Unified Directoryは、単一値属性が使用するディスク領域を削減するために最適化されています。この最適化は、多数の単一値属性が使用される場合に最も効率的です。この最適化には、特定の構成変更は必要ありません。
RDN属性の重複の回避
Oracle Unified Directoryサーバーは、データベース・エントリの相対識別名(RDN)属性とその値を複製しません(DNにはすでにこの情報が含まれているため)。この最適化には、特定の構成変更は必要ありません。
属性値のトークンの使用
Oracle Unified Directoryサーバーが値を圧縮し、トークンを使用してデータベースで参照する属性のリストを指定できます。サーバーは、各エントリのすべての属性値を繰り返すのではなく、データベースにトークンのみを格納します。
このオプションを構成するには、第18.8.3項「属性値のトークンを使用したデータベース領域の節約」の説明に従って、新しい複数値ds-cfg-compact-attribute-values-using-tokens
プロパティを設定します。
previous-last-login-time
属性previous-last-login-time
属性を構成し、新規ログインが発生した場合、Oracle Unified Directoryが既存のlast-login-time
プロパティ値をprevious-last-login-time
にコピーし、last-login-time
値を更新して現在のログイン時刻を表示するようにできます。詳細は、例30-2「最終ログインの構成」を参照してください。
Oracle Unified Directoryでは、パスワード属性、暗号化された属性、ユーザー指定属性を監査ログに表示する方法に対する追加の制御が提供されます。詳細は、第35.3.4項「監査ログでの属性のマスク」を参照してください。
新しいリアルタイムのLDAPコネクタ・モニタリング・パネルを使用して、サーバー・ステータス、各操作タイプの現在のスループットなど、接続プールのステータスをチェックできます。詳細は、第35.8項「プロキシLDAPコネクタのモニタリング」を参照してください。
コマンド行(CLI)モードでのoud-setup
またはoud-setup.bat
スクリプトの実行には、次の変更点があります。
--serverTuning
オプションで、Oracle Unified Directoryサーバーに使用されるシステム・メモリーの割合を指定できるようになりました。
--importTuning
オプションは、--offlineToolsTuning
に名前が変更されました(--importTuning
は、下位互換性のために引き続き使用可能です)。
グラフィカル・ユーザー・インタフェース(GUI)モードでのoud-setup
の実行には、次の変更点があります。
デフォルトのチューニングで、以前のバージョンよりも積極的なチューニングが提供されます。
「サーバー・チューニング」画面で、オプション数が次の選択肢に削減されました。
「OUDに使用するメモリーを指定中」(デフォルト)は、以前のバージョンのものと同じです。
「実行時オプション」の提供は、メモリーとデータに基づいた以前のオプションの組合せとなっています。
第A.2.14項「oud-setup」を参照してください。
dstune
ユーティリティに対する変更dstune
ユーティリティには、次の変更点があります。
非対話モードで、他のオプションを指定しない場合、data-based
サブコマンドはデータベースの現在のコンテンツを使用してOracle Unified Directoryサーバーをチューニングします。
data-based
サブコマンドは、提供されたデータに対するメモリーの推奨最小値および最適値を表示します。
mem-based
サブコマンドで、Oracle Unified Directoryサーバーに使用されるシステム・メモリーの割合を指定できます。
automatic
サブコマンドは使用できません(automatic
は、下位互換性のために引き続き使用可能です)。
第A.2.7項「dstune」および第36章「パフォーマンス・チューニング」を参照してください。
RDBMSワークフロー要素により、LDAPクライアントはLDAPプロトコルを使用してRDBMSに格納されているアイデンティティ・データにアクセスできます。
第12.1.1項「LDAPクライアントからRDBMSに格納されているアイデンティティ・データへのアクセスの有効化」を参照してください。
Adパスワード更新ワークフロー要素により、LDAPクライアントはMicrosoft Active Directoryに格納されているユーザー・パスワードを更新できます。
第12.4.3項「LDAPクライアントからのActive Directoryに格納されているユーザー・パスワードの更新の有効化」を参照してください。
アップグレードの直前にcompact-encodingフラグの値をfalseに設定しておくと、11.1.2.2から上位のバージョンへのアップグレード時に大文字と小文字の区別がある属性値を保持できるようになりました。
第18.15項「アップグレード時の属性の大文字と小文字の区別の保持」を参照してください。
この項では、Oracle Directory Services Managerのこのリリースの新機能の簡単なサマリーを示します。内容は次のとおりです。
Oracle Directory Services Managerの「ホーム」タブの「OUD統計」パネルが修正されました。
詳細は、第16.3.3項「サーバー統計情報の表示」を参照してください。
Oracle Directory Services Managerに、起動以降の使用状況、現在の使用状況およびキャッシュ使用量を含む、サーバーに関する情報を提供する「メトリック」タブが用意されました。
詳細は、第16.3.7項「サーバー・メトリックの表示」を参照してください。
このガイドは、11gリリース2 (11.1.2.3)でいくつかの点が更新されました。次の表に、追加または変更された項を示します。
プロキシ・デプロイメントにおける仮想化に関する新しい情報を第3章「プロキシ・サーバーを使用するデプロイメントの例」に追加しました。
章の名前を「プロキシ、分散および仮想化機能の理解」に変更し、仮想化に関する新しいワークフロー要素の概念的情報を提供するように更新しました。
Oracle Directory Services Managerを起動および使用したOracle Unified Directoryへのアクセスに関する情報を、第21章から第16章「ODSMを使用したOracle Unified Directoryへのアクセス」へ移動しました。
新しい第IV部「プロキシ、分散および仮想化機能の構成」を追加しました。次の新しい章で構成されます。
この項では、このリリースの新機能の簡単なサマリーを示します。次の各項で構成されます:
この項では、Oracle Unified Directoryのこのリリースの新機能の簡単なサマリーを示します。内容は次のとおりです:
Oracle Unified Directoryで、機密性の高い属性を暗号化できるため、セキュリティを強化できます。
詳細は、第14章「Oracle Unified Directoryにおけるデータ暗号化の理解」を参照してください。
export-ldif
コマンドの新しいオプション新しいオプションの-d, --decrypt
によって、LDIFデータをエクスポートされたときの状態に復号化できます。
詳細は、第A.3.5項「export-ldif」を参照してください。
dsconfigセキュリティ
・サブコマンドの属性暗号化用の新しいオプション新しいオプションのデータ暗号化によって、属性の暗号化を構成できます。
詳細は、第14.7.3項「dsconfig
対話モードを使用した属性の暗号化の構成」を参照してください。
1つのサーバー・インスタンスにプロキシの機能とディレクトリ・サーバーの機能をデプロイできるようになりました。
詳細は、第4章「混在デプロイメントの例」を参照してください。
dsconfigセキュリティ
・サブコマンドの仮想化用の新しいオプション新しいオプションのcreate-access-control-group、delete-access-control-group
およびlist-access-control-groupsによって、アクセス制御グループを構成できます。
詳細は、第A.2.4.13項「セキュリティ・サブコマンド」を参照してください。
Oracle Unified Directoryでは、仮想ACIの定義により、そのデータに誰がアクセスできるか、およびそのデータのどの部分をアクセス可能にするかを決定できるようになりました。
詳細は、第9.7項「仮想ACIの理解」を参照してください。
レプリケーション・ゲートウェイがデプロイされると、OUD dsreplication
コマンドまたはODSEEコンソールを使用してレプリケーション・ステータス情報をモニターできます。
詳細は、第35.7.3項「レプリケーション・ゲートウェイを使用したデプロイメントのOracle Unified DirectoryおよびODSEEレプリケーション・ステータスのモニタリング」を参照してください。
dsreplication status
サブコマンドの新しいオプション新しいオプションの--dataToDisplay
および--listDataToDisplay
によって、指定したレプリケーション・ステータスのみを表示できます。
詳細は、第A.2.6項「dsreplication」を参照してください。
ターゲットのエントリに出現する1つ以上の属性を対象にして、エントリに関する情報の一部へのアクセスを拒否または許可できるようになりました。
詳細は、第9.2.2.2項「ターゲット属性」を参照してください。
Oracle Directory Server Enterprise Edition互換のアクセス・コントロール・サブシステムが、新しいアクセス制御タイプ変更
アラート・タイプを使用して1つ以上のACIルールの変更を検出した場合、管理者に通知できるようになりました。
詳細は、第35.4.1.3項「サポートされているアラート・タイプ」を参照してください。
ClearPassowrdScheme
構成パラメータを構成するとことにより、パスワードが返されるときに、サーバーで、中カッコで囲んだスキーム名を曖昧化できるようになりました。
詳細は、Oracle Unified Directory構成リファレンスを参照してください。
認証用のユーザー資格証明がローカルで格納されておらず、パススルー認証メカニズムを使用する場合、リモートのディレクトリ・サーバーにバインド・リクエストをリダイレクトできるようになりました。
詳細は、第12.4.4項「パススルー認証の理解」を参照してください。
ユーザー・アカウントは、複数のソフト・アカウント・ロックが終了すると、ハードロックされ管理者によるリセットが必要になるようにパスワード・ポリシーを構成できます。
詳細は、第30.6.1項「デフォルト・パスワード・ポリシーの構成」を参照してください。
ローテーションされたログ・ファイルのファイル名にローカル・タイムスタンプを含めるように、サーバー・インスタンスを構成できるようになりました。
サーバーのパフォーマンスを強化するために、自動モードを使用するか、dstune
コマンド行ユーティリティでその他の基準を使用してサーバーをチューニングできるようになりました。
詳細は、第36.4項「dstune
ユーティリティを使用したJava仮想マシン設定のチューニング」を参照してください。
oud-setup
コマンドの新しいオプション新しいオプションの--serverTuning
および--importTuning
によって、サーバーのチューニングを構成できます。
詳細は、第A.2.14項「oud-setup」を参照してください。
dstune
コマンド行ユーティリティ新しいdstuneコマンドにより、Oracle Unified Directoryサーバーをチューニングできます。
詳細は、第A.2.7項「dstune」を参照してください。
この項では、Oracle Directory Services Manager (ODSM)のこのリリースの新機能のサマリーを示します。内容は次のとおりです:
ODSMでは、パススルー認証ワークフロー要素の作成によりパススルー認証結合ルールを構成できます。詳細は、第17.3.4.1項「ワークフロー要素の作成」を参照してください。
レプリケーション・ゲートウェイのデプロイ時には、ODSEEコンソールを使用してレプリケーションのステータス情報をモニターできます。詳細は、第35.7.3.2項「DSCCを使用したレプリケーション・ゲートウェイのモニター」を参照してください。
この項では、このリリースの新機能の簡単なサマリーを示します。次の各項で構成されます:
この項では、Oracle Unified Directoryのこのリリースの新機能の簡単なサマリーを示します。内容は次のとおりです:
Oracle Unified Directoryでは、ACIのターゲット・セクションまたはバインド・ルール・セクション、あるいはその両方で、DNを表すマクロ式をサポートしています。
詳細は、第9.6項「高度なアクセス制御のためのマクロACIの使用」を参照してください。
nsuniqueid
仮想属性のサポートOracle Unified Directoryでは、nsuniqueid
仮想操作属性が導入されています。この属性は、LDAPデータベースとしてOracle Directory Server Enterprise Editionを使用するレガシー・アプリケーションをOracle Unified Directoryに移行する際の名前の競合を解決するために、ディレクトリ・サーバーの各エントリに割り当てられます。
詳細は、第18.11項「仮想属性の構成」を参照してください。
クリティカル度フラグを設定することによって、ワークフロー・レベルでクリティカル度を構成できます。
詳細は、第22.1.5項「dsconfig
を使用したワークフローのクリティカル度の構成」を参照してください。
Oracle Unified Directoryでは、管理トラフィック関連のロギング情報を格納する独立したログ・ファイルに管理操作を記録できます。
詳細は、第35.3.3項「アクセス・ログ・パブリッシャへの操作のロギング」を参照してください。
Oracle Unified Directoryでは、ワークフロー要素のインスタンス作成による変換をサポートしています。
詳細は、第12.7項「変換フレームワークの理解」を参照してください。
Oracle Unified Directoryに、外部変更ログ(ECL)の属性を構成するためのプロパティとしてecl-include-del-only
とecl-blacklist
が追加されています。
詳細は、第32.7.5項「外部変更ログに含める属性の指定」と第32.7.6項「外部変更ログから除外する属性の指定」を参照してください。
Oracle Unified Directoryでは、次の外部ディレクトリがサポートされています:
Microsoft Active Directory
Novell eDirectory
Oracle Directory Server Enterprise Edition
詳細は、第31章「外部LDAPディレクトリおよびエンタープライズ・ユーザー・セキュリティと連携するためのOracle Unified Directory Proxyの構成」を参照してください。
Oracle Unified Directoryでは、ルートDSEを再配置できます。ルートDSEは、サーバーの名前、バージョン、ネーミング・コンテキストおよびサポートする機能に関する情報を提供する特殊エントリです。
詳細は、第17.1.6.5項「ネットワーク・グループのルートDSEエントリの再配置」を参照してください。
Oracle Unified Directoryでは、RDNChanging
構成を使用して、ソース・ディレクトリからOracle Unified DirectoryにRDN値の名前変更または置換を実行できます。
詳細は、第12.5.5項「プロキシを使用したRDN値の変更」を参照してください。
この項では、Oracle Directory Services Manager (ODSM)のこのリリースの新機能のサマリーを示します。内容は次のとおりです:
ODSMでは、管理操作をアクセス・ログに記録するための新しいパラメータをサポートしています。
詳細は、第35.3.3.2項「ODSMを使用してアクセス・ログ・パブリッシャにログされた操作の構成」を参照してください。
ODSMでは、ACIのターゲット・セクションまたはバインド・ルール・セクション、あるいはその両方で、DNを表すマクロ式をサポートしています。
詳細は、第28.4項「 ODSMを使用したマクロACIの管理」を参照してください。
ODSMでは、ワークフローを構成するためのクリティカル度フラグを新しいパラメータとしてサポートしています。
詳細は、第22.2.1項「ODSMを使用したワークフローのクリティカル度の構成」を参照してください。
ODSMでは、次のワークフロー要素を作成できます:
Kerberos認証プロバイダ・ワークフロー要素
RDN変更ワークフロー要素
変換ワークフロー要素
詳細は、第19.5.2項「プロキシ、分散および仮想化機能の構成」を参照してください。
ODSMでは、エンタープライズ・ユーザー・セキュリティの構成機能をサポートしています。
詳細は、第17.3.7項「ODSMを使用したネットワーク・グループの構成」を参照してください。
この項では、このリリースの新機能の簡単なサマリーを示します。次の各項で構成されます:
この項では、Oracle Unified Directoryのこのリリースの新機能の簡単なサマリーを示します。内容は次のとおりです:
競合を避けるには、ネットワーク・グループ内のアイデンティティ・マッパーの評価順序を定義する必要があります。現在は、競合するアイデンティティ・マッパーの優先度を定義できます。
詳細は、第13.6項「アイデンティティ・マッパーの順序付け」を参照してください。
サーバーは、クライアントのリクエストを処理できない場合、トポロジ内の他のサーバーをクライアントに示すリフェラルのリストをクライアントに送信します。その後、クライアントは、リフェラル・リスト内のリモート・サーバーの1つに対して操作を再度実行します。
詳細は、第18.14項「リフェラルの構成」を参照してください。
現在は、never-bind
パラメータとuse-proxy-auth
パラメータなどの2つの追加パラメータおよび包含リストと除外リストを使用してプロキシLDAPワークフロー要素を構成し、サーバーの動作を調整できます。
詳細は、第20.2.3項「バインド・モードの構成」を参照してください。
Oracle Unified Directoryでは、Microsoft Active Directoryページングをサポートすることによって、Active Directory範囲の取得をサポートしています。
詳細は、第23.1項「Active Directoryサーバーからのすべての属性値の取得」を参照してください。
Oracle Unified Directoryにクリティカル度構成が実装されています。クリティカル度構成は、検索操作がホスト・エラーによって失敗した場合に、Oracle Unified Directoryプロキシ・サーバーが途中までのデータをクライアントに返すことを許可します。
詳細は、第22.1.6項「dsconfig
を使用したワークフロー要素のクリティカル度の構成」を参照してください。
Oracle Unified DirectoryをEUSと統合することによって、Oracle Database認証に使用するユーザーIDをOracle Unified Directoryに保存できます。
このリリースでは、EUSのサポートはパスワード認証に制限されています(証明書認証およびKerberosとの統合は現在のところサポートされていません)。
詳細は、第31章「Oracle Enterprise User SecurityへのOracle Unified Directoryの統合」を参照してください。
ソーシャル・ネットワーキング・アプリケーションに、結合コントロールと近接コントロールの2つの新しいコントロールによるサポートが追加されています。
詳細は、第18.5.3.2項「結合検索制御を使用した検索」と第18.5.3.3項「近接検索制御を使用した検索」を参照してください。
外部変更ログ(ECL)機能を使用すると、ディレクトリ・サーバー・データベースで発生したすべての変更をパブリッシュでき、LDAPディレクトリと他のサブシステムを同期する場合に特に便利です。
dsreplication
コマンドを使用して外部変更ログを構成するCLIがわかりやすくなっています。
詳細は、第32.7項「外部変更ログの使用」を参照してください。
テスト環境では、Oracle Unified Directoryのインストール、構成、カスタマイズおよび検証を実行できます。システムが想定どおりに機能するようになったら、テスト環境に組み込んだすべての変更内容を再実行するかわりに、サーバーとその構成のコピーをテスト環境から移行することで本番環境を作成できます。
詳細は、第34章「テスト環境から本番環境への移行」を参照してください。
一部のコマンドには、CLIでパスワードをクリア・テキスト形式で渡すオプションがありました。この場合、UNIXシステムでps
コマンドを使用してパスワードを取得できるので、セキュリティ上の脅威になります。
クリア・テキスト形式は非推奨になり、次のオプションを導入することによって、ファイルベースのオプションを使用してパスワードを格納するようにコマンドが変更されています:
-j, --bindPasswordFile
詳細は、付録A「Oracle Unified Directoryコマンド行インタフェース」を参照してください。
Oracle Unified Directoryでは、ADSトラスト・ストアPINを構成して、提示されている証明書を信頼するかどうかを決定できます。
詳細は、第26.3項「信頼マネージャ・プロバイダの構成」を参照してください。
この項では、Oracle Directory Services Manager (ODSM)のこのリリースの新機能の簡単なサマリーを示します。内容は次のとおりです:
ODSMでは、Oracle Enterprise User Security (EUS)と連携して動作するための接尾辞を作成および構成できます。
詳細は、第17.3.3項「ODSMを使用した接尾辞の構成」を参照してください。
ODSMでは、ルート・ユーザーを構成するための新しいユーザー・インタフェース(UI)を提供しています。
詳細は、第19.2.2項「ODSMを使用したルート・ユーザーの構成」を参照してください。
ODSMを使用して、キー・マネージャ・プロバイダと信頼マネージャを構成できます。
詳細は、第26.2.7項「ODSMを使用したキー・マネージャの構成」と第26.3.5項「ODSMを使用した信頼マネージャの構成」を参照してください。
OSDMでは、LDAP URLを使用する検索条件によってメンバーシップが決定される動的グループを作成できます。
詳細は、第19.3.2項「動的グループの定義」を参照してください。
ODSMでは、仮想静的グループを作成できます。このグループの各エントリは、仮想属性を使用して、静的グループのエントリのように動作します。
詳細は、第19.3.4項「ネストされたグループの定義」を参照してください。
「構成」タブの構成ツリーのデフォルト・ビューが簡素化されて、ネーミング・コンテキスト(または接尾辞)構成がわかりやすく表示されるようになりました。さらに、選択したノードのすべての関連操作を起動できるコンテキスト・メニューにより、ユーザーの操作が簡素化されています。
詳細は、第17.3項「ODSMを使用したサーバー構成の管理」を参照してください。