| Oracle® Fusion Middleware Oracle Unified Directoryへの移行 11g リリース2 (11.1.2) E61962-01 |
|
 前 |
この付録では、Microsoft Active Directory (AD)で構成された接続済ディレクトリとしてのIdentity Synchronization for Windows (ISW)およびバックエンドとしてのOracle Directory Server Enterprise Edition (ODSEE)をOracle Directory Integration Platform (DIP)に移行する方法について説明します。この項には、ディレクトリ・サーバー・ソースが以前にISWで機能していたように機能するために、DIPを構成してディレクトリ・サーバー・ソースを同期する情報も含まれています。
この付録の内容は次のとおりです。
この付録で説明する移行プロセスにより、既存のIdentity Synchronization for WindowsのデプロイメントをOracle Directory Integration Platformに置換できます。次の各項で、この移行を理解し、計画します。
この移行プロセスは、次のコンポーネントをカバーします。
Identity Synchronization for Windows 6.0サービス・パック1 11gリリース1
ISWは、Oracle Directory Server Enterprise Edition(ODSEE)、つまり以前のSun Java System Directory Serverのコンポーネントです。ISWには、コア・コンポーネントのセット(構成ディレクトリ、コンソール、コマンドライン・ユーティリティ、システム・マネージャおよび集中ロガー)、個別のコネクタ、コネクタ・サブコンポーネントおよびOracleメッセージ・キューが含まれています。
ISWは、ODSEEとMicrosoft Active Directoryとの間で、パスワードを含むユーザー・アカウント情報を同期します。ISWでは、2つのディレクトリ・サーバー・インスタンスを必要とし、1つは同期化されたユーザー・データのインスタンス、もう1つはISWの構成データのインスタンスです。
詳細は、Oracle Fusion Middlewareインストレーションおよび構成ガイドfor Identity Synchronization for Windows 6.0を参照してください。
Oracle Directory Integration Platform 11g リリース1 (11.1.1.9.0)
DIPは、ご使用のアプリケーションやディレクトリ(サード・パーティのLDAPディレクトリなど)と、ODSEE、Oracle Internet DirectoryまたはOracle Unified Directoryになるマスター・バックエンド・ディレクトリとの統合を可能にします。DIPでは、ODSEEとActive Directoryの間で、単方向と双方向の両方の同期がサポートされます。
DIPバックエンド・ディレクトリにはDIPのメタデータが格納され、同期のエンドポイントとしても機能します。DIPのメタデータ情報は、DIP固有のスキーマおよびディレクトリ情報ツリー(DIT)から構成されています。
詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』を参照してください。
一般に、次の項のすべてのステップでは、DIP動作保証マトリックスに準拠している必要があります。このマトリックスを表示するには、次の手順を実行します。
次に示すOracle Fusion Middlewareのサポートされるシステム構成ページに移動します。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
Oracle Fusion Middleware 11gR1のシステム要件およびサポートされるプラットフォームを見つけ、xlsファイルを開きます。
xlsファイルで、「FMW on WLS - Id&Access」タブをクリックします。
この付録の目的は、ディレクトリ・サーバーを同期して、以前にISWにあったものと同じ機能を備えるように、DIPを構成することです。
この付録は、DIPへの移行ステップを説明し、DIPで同等のISWの基本的な管理タスクを見つけるのに役立ちます。
この付録では、ISWデプロイメントのDIPへの置換のみを検討します。ODSEEからOUDに移行する必要もある場合は、第1章「Oracle Unified Directoryへの移行の理解」を参照してください。
移行の前に、ISWでODSEEとActive Directoryのソース・ディレクトリ間の同期を管理します。ISWでは、同期されたユーザー・データ用に1つのODSEEインスタンスが使用され、ISWの構成データの格納用にもう1つのODSEEインスタンスが使用されます。
移行プロセスでは、ISW (およびそのコンポーネント)がDIP (およびそのコンポーネント)で置換され、ISWからDIPに同期機能が移動されます。
移行が終了した後、DIPによりODSEEとActive Directory間の同期が管理されます。DIPは、ユーザー・データおよび同期されたDIPメタデータを格納するODSEEインスタンスのみを使用します。移行前にISWの構成データが格納されていたODSEEインスタンスは使用されなくなります。
移行に役立つ詳細情報は、次のドキュメントを参照してください。
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』
Oracle Fusion Middlewareインストレーションおよび構成ガイドfor Identity Synchronization for Windows 6.0
『Oracle Fusion Middlewareリリース・ノートfor Identity Synchronization for Windows 6.0 Service Pack 1』
Oracle Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド
次の各項では、ISWからDIPへの移行の計画について説明します。
第A.4項「Oracle Directory Integration Platformへの移行の実行」で説明されている移行プロセスでは、DIP動作保証マトリックスに準拠している必要があります。
DIP動作保証マトリックスを見つけてチェックするには、第A.1.1項「移行コンポーネント」を参照してください。
次の各項では、ISWとDIPの特性および利用可能な機能を比較します。
次の表では、DIPでも使用可能なISWの機能について説明します。
表A-1 Oracle Directory Integration Platformで使用可能なIdentity Synchronization for Windowsの機能
| 機能 | Identity Synchronization for Windows |
Oracleディレクトリ統合プラットフォーム |
|---|---|---|
|
同期の有効範囲 |
ISWでは、最小の同期単位である同期ユーザー・リスト(SUL)がサポートされています。SULには、同期のためにマッピングされているODSEEおよびActive DirectoryからのベースDNが含まれています。単一ドメインの下に1つ以上のSULが作成できます。 |
DIPでは、複数のドメイン(DIT)をベースDNの下にマッピングできるドメイン・マッピング・ルールがサポートされています。 ISWとは異なり、DIPには、同じフィルタを共有する単一のプロファイルにすべてのドメインがあります。ただし、DIPでは、ユーザーは複数のフィルタが含まれるいくつかのプロファイルを持つこともできます。 |
|
同期の方向 |
ISWでは、単方向と双方向の両方の同期機能がサポートされています。 |
DIPでは、プロファイルのエクスポートおよびインポートにより、単方向と双方向の両方の同期機能が実現されます。プロファイル(エクスポートまたはインポート)のタイプは、バックエンドに依存します。 |
|
同期変更タイプ |
ISWでは、追加、変更および削除操作の同期が選択的にサポートされます。この選択は、UIでいつでも変更できます。 |
DIPでは、すべてのLDAP操作の同期がサポートされますが、同期する操作タイプのサブセットを選択することはできません。 |
|
パスワードの同期化 |
ISWのデフォルトはパスワード同期化です。パスワードの同期化は回避できません。 |
DIPでは、ユーザーのパスワードを含むすべてのLDAP属性の同期が提供されます。 |
|
ユーザー・アカウントの作成、変更および削除の同期 |
サポートされています |
サポートされています |
|
ユーザー・アカウントのアクティブ化および非アクティブ化 |
ISWでは、Active DirectoryからODSEEに(およびその逆も)アカウントのアクティブ化/非アクティブ化が同期されます。 |
DIPでは、Active Directoryからバック・エンドに(およびその逆も)アカウントのアクティブ化/非アクティブ化が同期されます。 |
|
ユーザー・アカウントのロックアウト/ロックアウト解除の同期 |
ISWでは、Active DirectoryからODSEEに(およびその逆も)ロックアウト/ロックアウト解除のイベントが同期されます。前提条件として、両方のエンドのパスワード・ポリシーは同じであると想定します。 |
DIPでは、Active Directoryからバック・エンドに(およびその逆も)ロックアウト/ロックアウト解除のイベントが同期されます。前提条件として、両方のエンドのパスワード・ポリシーは同じであると想定します。 |
|
サーバーの冗長性 |
ISWには1つのインスタンスしかないため、冗長性はありません。 |
同じエンドポイントを同期させるため、WebLogicドメインでDIPの複数のインスタンスを構成できます。DIPのQuartzスケジューラにより、フェイルオーバーとロード・バランシング機能が提供されます。 しかし、ISWと同様に、DIPも、構成ディレクトリ(バックエンド・ディレクトリ)が使用できない場合は冗長性がありません。 |
|
エンドポイントのフェイルオーバー・サポート |
サポートされています |
DIPでは、ODSEEを使用したフェイルオーバーはサポートされていませんが、OUDを使用したフェイルオーバーはサポートされています。 |
|
グループ同期 |
ISWには、グループ同期用にハードコードされた特別な処理があります。 |
DIPは、属性マッピング・ルールで明示的に追加される必要がある |
|
複数のActive Directoryドメインとの同期 |
1つ以上のActive Directoryコネクタは、単一のODSEEドメインと同期するようにインストールできます。 |
DIPでは、異なるActive Directoryドメインとバックエンドのエンドポイント間で複数のエクスポートおよびインポート・プロファイルを設定することで、この機能が実現されます。 DIPでは、外部セキュリティ・プリンシパルを処理するメカニズムも提供されます。 |
|
既存のエントリの調整 |
ISWでは、ODSEEからActive Directoryに(およびその逆も)既存のエントリを同期させるリフレッシュ操作を実行するため、再同期化機能が使用されます。しかし、この操作では、ユーザーのパスワードは同期されません。 |
DIPでは、既存のエントリをバックエンドからActive Directoryに(およびその逆も)同期できるように、 |
|
SearchFilter |
ISWでは、各同期ユーザー・リスト(SUL)の検索フィルタ指定がサポートされています。 |
DIPでは、プロファイルごとに1つの検索フィルタ指定がサポートされています。検索フィルタでOR演算子を使用して、このフィルタリングを実現できます。異なるドメイン・マッピングと検索フィルタ用に、異なるフィルタを指定することもできます。 |
|
ドメイン除外リスト |
ISWでは、検索フィルタが使用されます。 |
DIPでは、 |
|
ロギング |
ISWでは、コネクタごとのログおよびグローバル・ログがサポートされます。 |
DIPでは、グローバル・ログがサポートされます。 |
DIPでは、ODSEEを使用した高可用性(HA)はサポートされていません。
DIPでは、ISWで使用できない次の機能がサポートされています。
次のDIP機能では、ODSEEプラグインが必要です。
接続済ディレクトリ(Active Directory)からバックエンド・ディレクトリへのオンデマンドのパスワードの同期化
バックエンド・ディレクトリから接続済ディレクトリ(Active Directory)へのオンデマンドのパスワードの変換
これらの両方の機能を使用するには、DIPでリリースされたODSEEプラグインをインストールする必要があります。『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のOracle Directory Server Enterprise Editionプラグインのインストールに関する項を参照してください。
移行を開始する前に、次の各項で説明するISWパラメータおよび構成を検討してください。その後、ISWからDIPへの移行によって確実に同じレベルの機能を持つかどうかを把握します。
|
注意: ISWからDIPへの移行によって同じレベルの機能が提供されるかどうか、またはODSEEからOUDへの移行を検討する必要もあるかどうかを把握できるように、第A.2.3.1項「ISWデプロイメントに関する考慮事項」および第A.2.3.2項「移行の計画」を注意深く読んでください。 |
移行を開始する前に、次のISWパラメータおよび構成を検討してください。
パスワードの同期方向
パスワードがActive Directoryからディレクトリ・サーバーへ同期されている場合は、オンデマンド・パスワード同期を構成する必要があります。『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のパスワードの同期化に関する項を参照してください。
パスワードがディレクトリ・サーバーからActive Directoryに同期されている場合は、パスワード変換機能を構成する必要があります。『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のパスワードの同期化に関する項を参照してください。
パスワードが双方向に同期されている場合は、両方でオンデマンド・パスワードおよびパスワード変換を構成する必要があります。
これらの機能には、ODSEEプラグインがインストールおよび構成されている必要があります。ODSEEプラグインは、プラットフォームに応じて、Oracle Identity Management配布パッケージの次のいずれかの場所にあります。
Windowsシステムの場合: Disk1\utils\dip-plugin\dip-plugin.dll
UNIXまたはLinuxシステムの場合: Disk1/utils/dip-plugin/dip-plugin.so
詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のOracle Directory Server Enterprise Editionプラグインのインストールに関する項を参照してください。
新規ユーザー作成の同期
ISWでは、新規ユーザーの作成を同期しないようにできます。DIPでも同様に、同期の際にオブジェクトの作成が考慮されます。オブジェクトが存在しない場合、プロファイルのマッピング・ルールに定義された属性を使用して作成されます。このため、スキーマで必須と定義されたすべての属性は、プロファイルにマッピング・ルールが必要です。そうでない場合は、オブジェクトの最初の同期(つまり作成)が失敗します。
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』の「ディレクトリ同期の構成」の章を参照してください。
Windowsドメインの数
DIPでは制限がありません。多くのプロファイルを作成できます。
高可用性 (ISWが停止しても変更は失われません)
ISWが停止すると、すでに読み取られたすべての変更はメッセージ・キューに保持されます。ISWが再稼働すると、メッセージ・キューとISWの間でISWの停止中に発生した変更が同期されます。
高可用性をサポートするために、DIPは、クラスタの一部として少なくとも2つのサーバーが存在するOracle WebLogicクラスタにデプロイされます。Oracle WebLogicクラスタは、クラスタ内のDIPを開始、停止および監視します。『Oracle Fusion Middleware高可用性ガイド』のOracle Directory Integration Platformの高可用性に関する項を参照してください。
セキュリティ
DIPでは、ISWが行うように、SSLを介した接続を管理できます(SSLがデプロイメントに必要な場合)。
双方向アカウントのロックアウトおよびロックアウト解除の同期
この機能を正常に動作させるには、両方のエンドで(ISWでの推奨と同じ)対称なパスワード・ポリシーを構成します。
双方向グループ同期
DIPでは、uniquemenber属性およびマッピング・ルールのdnconvertを使用して、グループ同期を管理できます。
マルチマスター・レプリケーション(MMR)デプロイメント:
この項目は、DIPへの移行で影響が生じます。Identity Synchronization for WindowsがMMRデプロイメントとして構成されている場合は、デプロイメント内のディレクトリ・サーバーのマスター、ハブおよび読取り専用レプリカの数を検討してください。
複数のディレクトリ・サーバーを含むデプロイメントでは、Identity Synchronization for Windows Directory Serverプラグインを各マスター、ハブおよび読取り専用レプリカにインストールする必要があります。Identity Synchronization for Windowsを構成するときに、1つのDirectory Serverマスターを優先マスターとして指定します。ディレクトリ・サーバー・コネクタは、優先マスターが実行中であれば変更を検出し、適用します。優先マスターが停止すると、コネクタは必要に応じて2番目のマスターで変更を適用します。
DIP (WebLogicクラスタ経由)は高可用性(HA)モードで構成できますが、同じODSEEインスタンスと通信します。しかし、DIPでは2つのOUDインスタンスを扱うことができるので、第2のマスターを管理する場合、ISWからDIPへの移行と同時にODSEEからOUDへの移行も計画する必要があります。
次の表では、高可用性(HA)およびマルチマスター・レプリケーション(MMR)デプロイメントでのISWとDIPの違いについて説明します。
表A-3 HAおよびMMRデプロイメントでのISWとDIPの違い
| 機能 | Identity Synchronization for Windows |
Oracleディレクトリ統合プラットフォーム |
|---|---|---|
|
高可用性(HA) |
ISWでは、真の意味でのHAはサポートされていません。ISWのインスタンスは1つのみであり、それが停止した場合、同期は達成できません。その他の場合は、ISWでは未適用の変更を保存するメッセージ・キューが使用されます。 |
Oracle WebLogicクラスタにデプロイされたDIPは、HAモードで構成できます。『Oracle Fusion Middleware高可用性ガイド』を参照してください。 |
|
マルチマスター・レプリケーション(MMR) |
ISWの構成では、優先およびセカンダリのマスター・サーバーを指定できます。ISWは、優先サーバーがダウンしたときにセカンダリ・サーバーに切り替え可能です。 |
DIP構成では、2つのODSEEサーバーを指定できません。ただし、OUDがバックエンドの場合、DIPではロード・バランサの背後の2つのOUDインスタンスがサポートされます。 |
この時点で、次のどちらのケースであるかを把握し、それに応じて移行を計画できます。
ISW構成がレプリケートされたディレクトリ・ソースを使用していないため、計画は、ISWからDIPへの移行のみになります。第A.4項「Oracle Directory Integration Platformへの移行の実行」を参照してください。
ODSEEおよびISWの構成が複数レプリケートされたディレクトリ・ソースにあるため、次の2つの選択肢があります。
DIPはディレクトリ・サーバー・マスターのみと通信するため、計画は、ISWからDIPへの移行のみになります(前述のケースと同じ)。
2つのディレクトリ・サーバー・インスタンスを持つ構成が必要であるため、ODSEEからOUDに移行する必要もあり、これはISWからDIPへの移行の前に行う必要があります。DIPは、バックエンドとしてOUDを使用して構成されます。
次の表では、移行の選択について説明します。
表A-4 ISWからDIPへの移行の計画
| ISW構成 | DIP構成 | 計画する移行 |
|---|---|---|
|
レプリケートされたディレクトリ・ソースなし |
レプリケートされたディレクトリ・ソースなし |
ISWからDIPへ |
|
レプリケートされたディレクトリ・ソース |
レプリケートされたディレクトリ・ソースなし |
ISWからDIPへ |
|
レプリケートされたディレクトリ・ソース |
レプリケートされたディレクトリ・ソース |
ODSEEからOUDへ および ISWからDIPへ |
ODSEEからOUDへの移行については、第1章「Oracle Unified Directoryへの移行の理解」で説明しています。
ISWからDIPへの移行については、第A.4項「Oracle Directory Integration Platformへの移行の実行」で説明しています。
この項では、移行に含まれるコンポーネントについて説明します。ISW構成および選択した移行のケース(第A.2.3.2項「移行の計画」を参照)に応じて、移行に含まれるコンポーネントは異なります。これは、バックエンドがODSEEまたはOUDのいずれかになるためです。
バックエンドがODSEEの場合
バックエンドがODSEEの場合、図A-1に示すように、次のコンポーネントが移行に含まれます。
同期する必要があるソース・ディレクトリ: ODSEE (バックエンド)およびActive Directory (接続済ディレクトリ)
DIP (およびそのコンポーネント)で置換されるISW (およびそのコンポーネント)
移行の後、同期はDIPによって管理され、ISWによって管理されなくなります。ディレクトリ・サーバーは変更されません。
バックエンドがOUDの場合
バックエンドがOUDの場合、ODSEEからOUDへの移行はすでに行われており、ISWがActive DirectoryとODSEE間の変更を同期している中間の状況です。ODSEEは、第1章「Oracle Unified Directoryへの移行の理解」で説明されているストラテジの1つを使用してOUDにレプリケートされます。DIPは、バックエンドとしてOUDを使用して構成され、コンポーネントおよび移行プロセスは、ディレクトリ・バックエンドを除いて前述の説明と同じです。
この項では、ISWからDIPへの移行を実行するタスクについて説明します。この項の内容は次のとおりです。
この項の目的は、DIPの構成に必要なすべてのISW情報を収集することです。次の項の表に入力して、データを順序付けし、DIPプロファイルを作成できるようにします。
Identity Synchronization for Windowsでは、ISW構成と管理タスクを一元化する管理コンソールが提供されます。ISWコンソールを使用すると、次のことが可能です。
同期されるディレクトリ・ソースの構成
パスワードに加えて、同期されるユーザー・エントリ属性のマッピングの定義
同期される、またはされないディレクトリまたはドメイン・トポロジ内のユーザーおよび属性の指定
システム・ステータスの監視
同期の開始および停止
ISWコンソールにログインするには、管理サーバーURL (ホスト名、ドメイン名およびポート)、管理者(管理)資格証明(ユーザーIDおよびパスワード)、およびISW構成パスワードを把握している必要があります。
ログインすると、移行中にDIPの構成に必要なISW情報を収集するための様々なISWタスクおよび構成タブにアクセスできます。
ISWコンソールに関する情報が必要な場合、第A.4.1.1項「Identity Synchronization for Windowsコンソールの使用」を参照してください。
ISWコンソールで、次のISWディレクトリ・ソースを識別します。
DIPバックエンド・ディレクトリ(ODSEE)用のISW上のSun Directory Server: ホスト、ポート、ユーザーおよびパスワード。
DIP接続済ディレクトリ(Active Directory)用のISW上のActive Directory: ホスト、ポート、ユーザーDNおよびパスワード。
|
注意: クリアテキスト・パスワードはISWから取得でいないため、他の方法で取得する必要があります。 |
DIPへの移行のため、表にこの情報を保存します。次に例を示します。
ISWの各同期ユーザー・リスト(SUL)は、次を識別します。
Sun Directory Server (ODSEE)では、ベースDN: ou=people,dc=example,dc=comを識別します。
Windows Directory Source (Active Directory)では、ベースDN: cn=users,dc=ad,dc=com同期リストを識別します。
これらの2つのベースDNは、ドメイン・ルールのソースと宛先としてDIPで変換されます。DIPへの移行のため、表にこの情報を保存します。次に例を示します。
表A-6 移行用の同期ユーザー・リスト
| SUL | ソース・ドメイン名 | 宛先ドメイン名 |
|---|---|---|
|
SUL1 |
|
|
|
SUL2 |
|
|
ou=people,dc=example,dc=comおよびou=people,dc=example,dc=comの下の各エントリが同期されます。このコンテナの下で同期化されたオブジェクトのタイプは、次の項で説明するDNマッピング・ルールに従う属性レベルのマッピング・ルールによって決定されます。
また、マップ・ファイルにDomainExclusionListヘッダーを追加することで、同期中に除外されるドメインを識別することもできます。
ISWでは、次の2種類の属性がサポートされています。
Significant: ユーザー・エントリを作成または変更したときにシステム間で同期される属性。
Creation: ユーザー・エントリを作成したときのみシステム間で同期される属性。
DIPでは、ユーザー・エントリを作成または変更したときにシステム間で属性を同期します。参照オブジェクト・クラスに、特定の属性が存在する必要がある場合、属性が同期されていないと、オブジェクトの作成は失敗します。この失敗は、マッピング・ルールが属性のプロファイルに定義されていないときに発生します。属性は、マッピング・ルールで定義されると、同期され、オブジェクトの作成は成功します。
この項の目的は、ISWタイプ(作成および変更)のすべての属性マッピングを独立して収集し、それらをDIPプロファイルの作成に役立つ方法でソートすることです。そのため、ISWの構成では、次のユーザー属性のマッピングを検討してください。
ISWコンソールに関する情報が必要な場合、第A.4.1.1項「Identity Synchronization for Windowsコンソールの使用」を参照してください。
ISWコンソールの「属性」タブにリストされる各属性に対して、次の表に示すように属性をマップします。
表A-7 同期用にマップする属性
| ディレクトリ・サーバーの属性 | Active Directoryの属性 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
パスワード(オンデマンド・パスワードまたは変換パスワード)を同期している場合は、ODSEEのバックエンドで、DIP配信の一部であるODSEEプラグインをインストールする必要があります。
DIPの場合は、同期する各属性用のマッピング・ルールを記述する必要があります。属性マッピング・ルールの形式の定義を次に示します。
srcAttrName:[ReqAttrSeq]:[SrcAttrType]:[SrcObjectClass]:[dstAttrName]:[DstAttrType]:[DstObjectClass]:[MappingFuntion]
|
注意: 属性マッピング・ルールは1行で記述する必要があります。前述の定義がブラウザまたはビューアに2行で表示されている場合、フォーマット目的でのみ、そうなっています。 |
詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のマッピング・ルールの構成に関する項を参照してください。
例は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例に関する項を参照してください。
ISWコンソールに関する情報が必要な場合、第A.4.1.1項「Identity Synchronization for Windowsコンソールの使用」を参照してください。
ISWコンソールの「オブジェクト作成」タブで、同期フローを確認し、次のような表を作成します。
バックエンド(ODSEEまたはOUD)からActive Directoryでは、エクスポート・プロファイルを作成する必要があります。作成する属性をエクスポート表に入力します。
Active Directoryからバックエンド(ODSEEまたはOUD)では、インスポート・プロファイルを作成する必要があります。作成する属性をインポート表に入力します。
次の表に、作成する属性およびそのobjectclassを入力します。
ISWコンソールに関する情報が必要な場合、第A.4.1.1項「Identity Synchronization for Windowsコンソールの使用」を参照してください。
ISWコンソールの「属性の変更」タブで、各属性の同期フローをチェックして、どの表(エクスポート、インポートまたはその両方)で属性マッピングを追加する必要があるかを決定します。
特殊なケース: Active DirectoryでのObjectのアクティブ化/非アクティブ化
ISWでは、Active Directoryでオブジェクトのアクティブ化/非アクティブ化を同期させるための3つのオプションがあります。
ディレクトリ・サーバー・ツールとの相互運用
ディレクトリ・サーバーのnsAccountLock属性の直接変更
ディレクトリ・サーバーのカスタム・メソッドの使用
DIPでは、アカウントのアクティブ化および非アクティブ化は、アカウントの無効化機能を使用して構成されます。『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のアカウントの無効化の同期に関する項を参照してください。
ISWでは、Active Directoryの「ドメイン・グローバル・セキュリティ」ならびに「ドメイン・グローバル配置」のグループと連動するように構成できます。
DIPでは(ISWと同様に)、次の構成を使用する必要があります。次のディレクトリ・サーバーの属性をActive Directoryにマッピングします。
ディレクトリ・サーバーのuidをActive DirectoryのSAMAccountNameに
ディレクトリ・サーバーのcnをActive Directoryのcnに
ISWグループ同期が有効な場合、特定のマッピング・ルールがDIP構成に存在する必要があります。
# Mapping rules to map groups cn : : : groupofuniquenames:cn : : groupofuniquenames : member : : : groupofuniquenames:member : : orclgroup : uniquemember : : : groupofuniquenames:uniquemember : : orclgroup : owner : : : groupofuniquenames:owner : : orclgroup :
この時点で、次の表に属性マッピングが入力されている必要があります。
バックエンドからActive Directoryに同期された属性を含むエクスポート表(表A-8「エクスポート表: ODSEEまたはOUDからActive Directoryへ」)。
Active Directoryからバックエンドに同期された属性を含むインポート表(表A-9「インポート表: Active DirectoryからODSEEまたはOUDへ」)。
属性が両方向で同期されている場合、行は両方の表に存在します。
アカウントの無効化機能がISWで有効な場合、特定のマッピング・ルールがDIPに追加されます。
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のアカウントの無効化の同期に関する項を参照してください。
DIPで作成する必要があるプロファイルのデータの同期フローを識別し、プロファイルに名前を指定してプロファイルを識別します。次に例を示します。
ISWデータは収集され、DIPプロファイルを準備するためにソートされる準備ができています。入力する必要がある様々な表を次に示します。
表A-11 DIPのプロファイル・データ
| ISWでのフロー同期 | 入力する表タイプ | ソース | 宛先 |
|---|---|---|---|
|
ODSEE (またはOUD)からActive Directoryへ |
エクスポート |
odsee-host |
ad-host |
|
Active DirectoryからODSEE (またはOUD)へ |
インポート |
ad-host |
odsee-host |
エクスポート表では、次の情報を識別します。
表A-12 エクスポート表の情報
| 項目 | ODSEEソース(バックエンド) | Active Directory宛先(接続済ディレクトリ) |
|---|---|---|
|
サーバー名: host |
odsee-host |
ad-host |
|
サーバー名: port |
5389 |
389 |
|
サーバー名: SSLport |
5636 |
636 |
|
サーバー名: password |
odsee-host-password |
ad-host-password |
|
サーバー名: user |
|
|
|
ドメイン・ルール |
|
|
|
ドメイン除外リスト |
エクスポート表のデータを識別し、表A-13「エクスポート属性マッピング」を更新します。
表A-13 エクスポート属性マッピング
| ソース(バックエンド) ODSEEまたはOUD属性名 | ソース属性オブジェクト・クラス | 宛先(接続済ディレクトリ) Active Directory属性名 | 宛先属性オブジェクト・クラス |
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表A-14「バックエンドからActive Directoryへの方向(エクスポート)で有効なISW機能」を使用して、DIPのマッピング・ルールで変換する必要がある機能がISWで有効な場合に、その機能をリストします。
表A-14 バックエンドからActive Directoryへの方向(エクスポート)で有効なISW機能
| ISWで有効な機能 | はい/いいえ |
|---|---|
|
パスワードの同期化 |
はい |
|
グループ同期 |
いいえ |
|
アカウントのアクティブ化/非アクティブ化 |
はい |
インポート表では、次の情報を識別します。
表A-15 インポート表の情報
| 項目 | Active Directoryソース(接続済ディレクトリ) | ODSEE宛先(バックエンド) |
|---|---|---|
|
サーバー名: host |
ad-host |
odsee-host |
|
サーバー名: port |
389 |
5389 |
|
サーバー名: SSLport |
636 |
5636 |
|
サーバー名: password |
ad-host-password |
odsee-host-password |
|
サーバー名: user |
|
|
|
ドメイン・ルール |
|
|
|
ドメイン除外リスト |
インポート表のデータを識別し、表A-16「インポート属性マッピング」を更新します。
表A-16 インポート属性マッピング
| ソースActive Directory (接続済ディレクトリ)属性名 | ソースActive Directoryオブジェクト・クラス | 宛先バックエンド(ODSEEまたはOUD)属性名 | 宛先バックエンド(ODSEEまたはOUD)オブジェクト・クラス |
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表A-17「Active Directoryからバックエンドへの方向(インポート)で有効なISW機能」を使用して、DIPのマッピング・ルールで変換する必要がある機能がISWで有効な場合に、その機能をリストします。
表A-17 Active Directoryからバックエンドへの方向(インポート)で有効なISW機能
| ISWで有効な機能 | はい/いいえ |
|---|---|
|
パスワードの同期化 |
はい |
|
グループ同期 |
いいえ |
|
アカウントのアクティブ化/非アクティブ化 |
はい |
これで、ISWおよびODSEE構成に関連するすべての情報が収集され、次の項で説明されているように、DIPをインストールおよび構成する必要があります。
|
注意: 移行手順の後では、DIP構成によりスキーマが変更され、元に戻す操作はできません。したがって、続行する前に、既存のバックエンド・データをバックアップすることをお薦めします。バックアップ操作は、バックエンド・サービスの可用性に影響を与える可能性があります。 |
既存のODSEEデータをバックアップするには、次を実行します。
ODSEEサーバー・インスタンスを停止します。
$ dsadm stop odsee-instance
ODSEEデータをバックアップします。
$ dsadm backup odsee-instance ./backup-IDATA
バックアップが完了したら、ODSEEサーバー・インスタンスを起動します。
$ dsadm start odsee-instance
後でデータを復元する場合は、dsadm restoreを使用します。
ODSEEの詳細は、Oracle Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイドを参照してください。
OUDデータをバックアップするには、backupコマンドを使用します。詳細は、『Oracle Fusion Middleware Oracle Unified Directoryの管理』のデータのバックアップとリストアに関する項を参照してください。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されているように、Oracle Directory Integration Platformをインストールする必要があります。
Oracle Directory Integration Platformを構成する手順:
OracleホームのbinディレクトリのdipConfigurator setupコマンドを、表A-18の引数とともに実行します。
表A-18 Oracle Directory Server Enterprise EditionのdipConfiguratorのプロパティ
| プロパティ | 説明 |
|---|---|
|
|
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverのホスト名。 |
|
|
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーのリスニング・ポート番号。 |
|
|
Oracle WebLogic Serverのログイン・ユーザー名。 |
|
|
Oracle Directory Server Enterprise Editionのホスト名( |
|
|
Oracle Directory Server Enterprise Editionサーバーのポート番号。デフォルト値は、 |
|
|
|
|
|
Oracle Directory Server Enterprise Editionに接続するバインドDN。 |
|
|
Oracle Directory Integration Platformのインスタンスがクラスタ環境かどうかを指定します。 |
|
|
インスタンスがクラスタの他のインスタンスのサーバー・ステータスを確認する(たとえば、障害インスタンスの検出)頻度(ミリ秒)を指定します。 |
たとえば、LinuxおよびUNIXシステムで次のように指定します。
$ ORACLE_HOME/bin/dipConfigurator setup -wlshost localhost -wlsport 7001 \ -wlsuser weblogic -ldaphost odseehost -ldapport 389 -ldapuser \ "cn=Directory Manager" -isldapssl true
または、Windowsシステムでは次の手順を実行します。
C:\> ORACLE_HOME\bin\dipConfigurator setup -wlshost localhost -wlsport 7001 \ -wlsuser weblogic -ldaphost odseehost -ldapport 389 -ldapuser \ "cn=Directory Manager" -isldapssl true
コマンド行からdipConfigurator setupPluginコマンドを実行して、Oracle Directory Integration Platformプラグインを構成します。
$ ORACLE_HOME/bin/dipConfigurator setupPlugin -wlshost localhost \ -wlsport 7001 -wlsuser weblogic -ldaphost odseehost -ldapport 636 -ldapuser \ "cn=Directory Manager" -isldapssl true
|
注意: ORACLE_HOME /ldap/log/dipConfig.logにあるdipConfig.logファイルを表示できます。 |
Oracle Directory Server Enterprise Editionインスタンスを起動します。次に例を示します。
$ dsadm start instance-path
ldapmodifyコマンドを使用して、ACIを追加します。以前に収集した情報から、サフィックス(例ではdn: dc=example,dc=com)を導出できます。たとえば、LDIFファイルを使用すると、次のようになります
$ ldapmodify -h localhost -p 389 -D "cn=Directory Manager" -w password <<EOF
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (target="ldap:///dc=example,dc=com")(version 3.0; acl "Entry-level DIP permissions"; allow (all,proxy) groupdn="ldap:///cn=dipadmingrp,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; allow (all,proxy) groupdn="ldap:///cn=odipigroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; )
-
add: aci
aci: (targetattr="*")(version 3.0; acl "Attribute-level DIP permissions"; allow (all,proxy) groupdn="ldap:///cn=dipadmingrp,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; allow (all,proxy) groupdn="ldap:///cn=odipigroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext";)
EOF
この項では、「手順1: Identity Synchronization for Windowsの情報の収集」の表で収集した情報を使用した、同期プロファイルの作成について説明します。次の各項で説明されているように、CLIまたはGUIを使用して、これらのプロファイルを作成できます。
DIPをインストールすると、ODSEEなどの様々なディレクトリ・タイプとの同期のためのテンプレート・プロファイルが作成されます。プロパティ・ファイルやマッピング・ファイルと同様に、テンプレート・プロファイルの作成に使用されるファイルは、次のディレクトリで入手できます。
ORACLE_HOME/ldap/odi/conf
|
注意: これらのプロファイルの作成後に、プロファイルを有効化しないでください。後続の手順で有効化します。 |
詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』の同期プロファイルの作成に関する項を参照してください。
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のパスワードの同期メカニズムに関する項も参照してください。
ORACLE_HOME/ldap/odi/confディレクトリのテンプレート・ファイルを使用して、エクスポート・プロファイルを作成するには、次の手順を実行します。
エクスポート・プロファイル・テンプレート・ファイルactiveexport.properties、activeexp.cfg.masterおよびactiveexp.map.masterのコピーを作成し、その名前をそれぞれODSEEToAD.properties、ODSEEToAD.cfgおよびODSEEToAD.mapに変更します。
次のように、ODSEEToAD.propertiesファイルを更新します。
プロファイル名: ODSEEToAD
Active Directoryサーバーに関連する情報(ホストやポートなど):
odip.profile.condirurl: ad-host.com:636:2
odip.profile.condiraccount: cn=Administrator,cn=Users,dc=mat,dc=com
表A-12「エクスポート表の情報」からこの情報をコピーします。
ODSEEToAD.cfgおよびODSEEToAD.mapのファイル名:
odip.profile.configfile = ODSEEToAD.cfg
odip.profile.mapfile = ODSEEToAD.map
odip.profile.oidfilter = (no value)
次のように、ODSEEToAD.cfgファイルを編集します。
Writer: oracle.ldap.odip.gsi.ActiveWriter
ODSEEToAD.mapファイルを正しいドメイン・ルールで更新します。マップ・ファイルの構造を次に示します。
DomainRules %USERBASE%:%USERBASE%: AttributeRules srcAttrName:[ReqAttrSeq]:[SrcAttrType]:[SrcObjectClass]:[dstAttrName]:[DstAttrType]:[DstObjectClass]:[MappingFuntion]
DomainRulesセクションの%USERBASE%には、表A-12「エクスポート表の情報」で収集された情報が入力されます。次に例を示します。
DomainRules: ou=people,dc=example,dc=com :ou=isw-ou,dc=mat,dc=com:
各ISW SULに1つのプロファイルを作成できますが、プロファイルには多くのドメイン・ルールが含まれているため、同じマッピング・ルールを持つ多くのSULに1つのプロファイルを作成できます。
AttributesRulesセクションの行はマッピング・ルールです。DIPの場合、ODSEE (またはOUD)からActive Directoryに同期する各属性に対して、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のマッピング・ルールの構成に関する項で説明されているマッピング・ルールの形式を使用して、マッピング・ルールを記述する必要があります。
例は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例に関する項も参照してください。
ISW構成から収集したデータに対して、表A-19「エクスポート・プロファイルに必要なマッピング・ルール」の各行のマッピング・ルールが存在する必要があります。
表A-19 エクスポート・プロファイルに必要なマッピング・ルール
| ソース(バックエンド) ODSEEまたはOUD属性名 | ソース属性オブジェクト・クラス | 宛先(接続済ディレクトリ) Active Directory属性名 | 宛先属性オブジェクト・クラス |
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
たとえば、この表のマッピング・ルールを次に示します。
# Organizational unit mapping ou : : :organizationalunit:ou : :organizationalunit : cn : : :inetorgperson:cn : :inetorgperson : uid : : :inetorgperson:SAMAccountName : :user : mail : : :inetorgperson:givenname : :user : sn : : :person:sn : :user :
表A-14「バックエンドからActive Directoryへの方向(エクスポート)で有効なISW機能」にマッピング・ルールを記述する際の考慮事項を次に示します。
パスワード同期
マッピング・ルールは、マッピング関数passwordtranslateを使用しているため、具体的です。
orclodiptranslatepassword : : : :unicodepwd : : user :passwordtranslate(orclodiptranslatepassword)
詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のパスワードの同期メカニズムに関する項を参照してください。
パスワード(変換パスワード)を同期している場合は、ODSEEのバックエンドで、DIP配信の一部であるODSEEプラグインをインストールする必要があります。(OUDの場合、プラグインはOUDの一部です)。第A.4.4項「手順4: Oracle Directory Integration Platformの構成」を参照してください。
グループ同期
次のマッピング・ルールを追加する必要があります。
# Mapping rules to map groups cn : : :groupofuniquenames:cn : : groupofuniquenames : member : : :groupofuniquenames:member : : orclgroup : uniquemember : : :groupofuniquenames:uniquemember : : orclgroup : owner : : :groupofuniquenames:owner : : orclgroup :
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例に関する項を参照してください。
アカウントのアクティブ化/非アクティブ化
マッピング・ルールは、マッピング関数AccountDisable ****を使用しているため、具体的です。これはバックエンドに依存します(属性名は異なります)。
バックエンドがODSEEの場合:
nsAccountLock:1:::userAccountControl::user:AccountDisable(nsAccountLock, "544")
バックエンドがOUDの場合:
ds-pwp-account-disabled:1:::userAccountControl::user:AccountDisable(ds-pwp-account-disabled, "544")
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のアカウントの無効化の同期に関する項を参照してください。
ORACLE_HOME/ldap/odi/confディレクトリのサンプル・ファイルを使用して、インポート・プロファイルを作成するには、次の手順を実行します。
ORACLE_HOME/ldap/odi/confにあるインポート・プロファイル・テンプレート・ファイルactivechgimp.properties、activechgimp.cfgおよびactivechgimp.mapのコピーを作成し、その名前をそれぞれADToODSEE.properties、ADToODSEE.cfgおよびADToODSEE.mapに変更します。
次のように、ADToODSEE.propertiesファイルを更新します。
プロファイル名: ADToODSEE
Active Directoryサーバーに関連する情報(ホストやポートなど):
odip.profile.condirurl: ad-host.com:636:2
odip.profile.condiraccount: cn=Administrator,cn=Users,dc=mat,dc=com
表A-15「インポート表の情報」からこの情報をコピーします。
ADToODSEE.cfgおよびADToODSEE.mapのファイル名:
odip.profile.configfile = ADToODSEE.cfg
odip.profile.mapfile = ADToODSEE.map
odip.profile.oidfilter = orclObjectGUID
次のように、ADToODSEE.cfgファイルを編集します。
Reader: oracle.ldap.odip.gsi.ActiveChgReader
ADToODSEE.mapファイルを正しいドメイン・ルールで編集します。
DomainRulesセクションの%USERBASE%には、表A-17「Active Directoryからバックエンドへの方向(インポート)で有効なISW機能」で収集された情報が入力されます。次に例を示します。
DomainRules ou=isw-ou,dc=mat,dc=com:ou=people, dc=example, dc=com :
AttributeRulesセクションのマッピング・ルールには、表A-17「Active Directoryからバックエンドへの方向(インポート)で有効なISW機能」のコンテンツが入力されます。次に例を示します。
AttributeRules # Attribute rules for Windows organizationalunit objectguid : :binary:top :orclobjectguid:string:orclADObject :bin2b64(objectguid) cn : : : User:cn : : inetorgperson : sAMAccountName : : : User:uid : : inetorgperson : sn : : : User:sn : : person :
表A-17「Active Directoryからバックエンドへの方向(インポート)で有効なISW機能」にマッピング・ルールを記述する際の考慮事項を次に示します。
パスワード同期
次のマッピング・ルールは、マッピング関数OnDemandPasswordを使用しているため、具体的です。
pwdLastSet : : : user : orclODIPPwdLastSet : : top : onDemandPassword(pwdLastSet)
orclSourceObjectDN属性は、プラグインで必要です。これは、いくつかのオブジェクト・クラスorclSunOneObject、orclADObject、orclNDSObject、orclOpenLDAPObjectおよびorclTDSObjectに属しています。この値を割り当てているルールは、すでにテンプレートに含まれていますが、(インポート)プロファイルに含まれている必要があります。次に例を示します。
targetdn: : :top:orclSourceObjectDN: :orclADObject:
詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のパスワードの同期メカニズムに関する項を参照してください。
パスワード(オンデマンド・パスワード機能)を同期している場合は、ODSEEのバックエンドで、DIP配信の一部であるODSEEプラグインをインストールする必要があります。(OUDの場合、プラグインはOUDの一部です)。第A.4.4項「手順4: Oracle Directory Integration Platformの構成」を参照してください。
グループ同期
次のマッピング・ルールを追加する必要があります。
# Mapping rules to map groups cn : : :groupofuniquenames:cn : :groupofuniquenames : member : : :groupofuniquenames:member : :orclgroup : uniquemember : : :groupofuniquenames:uniquemember : :orclgroup : owner : : :groupofuniquenames:owner : :orclgroup :
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例に関する項を参照してください。
アカウントのアクティブ化/非アクティブ化
マッピング・ルールは、マッピング関数AccountDisable ****を使用しているため、具体的です。これはバックエンドに依存します。
バックエンドがODSEEの場合:
userAccountControl:1:::nsAccountLock::top:AccountDisable(userAccountControl)
バックエンドがOUDの場合:
userAccountControl:1:::ds-pwp-account-disabled::top:AccountDisable(userAccountControl)
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のアカウントの無効化の同期に関する項を参照してください。
このプロファイルは、ODSEEの既存のエントリでDIPにより使用されるすべてのメタデータを作成するために使用されます。
通常、メタデータは同期中またはブートストラップ中に作成されます。しかし、ODSEEのメタデータはこれらのいずれかの操作で作成されないため、既存のエントリで追加する必要があります。
このプロファイルは、ISWでの同期停止直後およびDIPでの同期開始前に一度使用するために作成します。このプロファイルは、ISWと同期されたエントリにメタデータを追加します。
DIPをインストールすると、ODSEEなどの様々なディレクトリ・タイプとの同期のためのテンプレート・プロファイルが作成されます。プロパティ・ファイルやマッピング・ファイルと同様に、テンプレート・プロファイルの作成に使用されるファイルは、次のディレクトリで入手できます。
ORACLE_HOME/ldap/odi/conf
ORACLE_HOME/ldap/odi/confディレクトリのテンプレート・ファイルを使用して、メタデータのプロファイルを作成するには、次の手順を実行します。
テンプレート・プロファイル・ファイルactivechgimp.properties、activechgimp.cfgおよびactivechgimp.mapのコピーを作成し、その名前をそれぞれMetaDataImp.properties、MetaDataImp.cfgおよびMetaDataImp.mapに変更します。
次のように、MetaDataImp.propertiesファイルを更新します。
プロファイル名: MetaDataImp
MetaDataImp.cfgファイルおよびMetaDataImp.mapファイルのパス
次のフラグ:
odip.profile.updateChangeNumberatCreate = false
このフラグがtrueに設定されている場合は、最終変更番号の属性が現在のタイム・スタンプで更新されます。
次のように、MetaDataImp.cfgファイルを変更します。
[INTERFACEDETAILS] Reader: oracle.ldap.odip.gsi.ActiveChgReader
MetaDataImp.mapファイルで、表A-15「インポート表の情報」で収集したデータおよび要件に基づいて、ドメイン・マッピング・ルールを変更します。マッピング・ルールの形式を次に示します。
DomainRules %USERBASE%:%USERBASE%: AttributeRules srcAttrName:[ReqAttrSeq]:[SrcAttrType]:[SrcObjectClass]:[dstAttrName]:[DstAttrType]:[DstObjectClass]:[MappingFuntion]
プロファイルは多くのドメイン・ルールを持つことができるため、多くのSULに1つのプロファイルを作成できます。
DIPの場合、ODSEE (またはOUD)からActive Directoryに同期する各属性に対して、マッピング・ルールの形式を使用して、マッピング・ルールを記述する必要があります。
詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のマッピング・ルールの構成に関する項を参照してください。
例は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例に関する項を参照してください。
そのため、ISW構成から収集したデータに関して、表A-15「インポート表の情報」の各行のマッピング・ルールが存在する必要があります。
注意
ISW構成から収集したデータで、ドメイン・ルールを更新する必要があります。
DomainRulesセクションの%USERBASE%には、表A-15「インポート表の情報」で収集した情報が入力されます。次に例を示します。
DomainRules ou=isw-ou,dc=ad,dc=com:ou=people,dc=example,dc=com
次のマッピング・ルールは必須です。
objectguid: :binary:top:orclobjectguid:string:orclADObject:bin2b64(objectguid) distinguishedName: : :top:orclSourceObjectDN: :orclADObject:
odip.profile.updateChangeNumberatCreateフラグはfalseに設定すべきです。
ISWでの同期が停止した後、プロファイルが有効になります。
ISWサーバーを停止することを強くお薦めします。少なくとも、Active DirectoryおよびODSEEの両方でアクティビティを下げることを計画し、ISW上の同期を停止します。
|
注意: 適用された最終変更番号の値は、変更が失われていないことを確認するために最後の手順で使用されるため、必ず書き留めておいてください。 |
同期を停止するには、ターミナル・ウィンドウ(またはコマンド・ウィンドウ)を開き、idsync stopsyncコマンドを入力します。次に例を示します。
$ idsync stopsync -w admin-password -q configuration_password
ISWプラグインをアンインストールする前に、まだバインド(オンデマンド・パスワード同期)を必要とするODSEEのすべての既存のエントリをチェックします。これらのエントリを検索するには、ldapsearchを使用して次のようにチェックします。
userPassword属性が次の値を持つもの。
userPassword: {PSWSYNC}*ON-DEMAND*SYNCHRONIZATION*REQUIRED*
または(あるいは両方)
dspswvalidate属性がtrueに設定されているもの。
まだバインドを必要とするエントリを見つけた場合、dspswvalidate属性がtrueに設定されているすべてのエントリにorclODIPInvalidPassword属性を追加します(値をtrueで)。これで、DIPのODSEEプラグインによりバインドが実行されます。
その後、ISWプラグインをアンインストールできます。
ISWプラグインを構成解除するには、ターミナル・ウィンドウ(またはコマンドウィンドウ)を開き、idsync dspluginconfigコマンドを入力します。次に例を示します。
$ idsync dspluginconfig -U -w admin password -q configuration_password
または、ldapmodifyを次のように使用します。
$ ldapmodify -h host.example.com -p 5389 -D "cn=Directory Manager" -w admin-password
dn: cn=pswsync,cn=plugins,cn=config
changetype: modify
replace: nsslapd-pluginEnabled
nsslapd-pluginEnabled:off
ISWサーバーを再起動し、エントリからdspswvalidate属性を削除します。
ISWで行われた同期によって作成されたODSEEエントリには、DIPで必要なメタデータが含まれていません。
|
注意: 一般的なDIP/ODSEE構成では、エントリは同期中またはブートストラップ中に作成され、エントリにはDIPで必要なメタデータが含まれています。現在のケースでは、ユーザー・エントリはこれらの操作の1つで作成されませんでしたが、ISWと同期されました。そのため、メタデータが含まれていません。 |
このメタデータを追加するには、プロファイルを作成し、一度使用する必要があります。同期によってこのプロファイルが実行されることはないため、Oracle Enterprise Manager Fusion Middleware ControlまたはCLI (manageSyncProfile -testProfileを使用)のいずれかを介して、DIPテスターを実行する必要があります。また、このプロファイルは最初に登録する必要があります。
manageSyncProfilesを使用して、プロファイルを登録します。
$ manageSyncProfiles register -h $WLSHOST -p 7005 -D weblogic -f MetaDataImp.properties -pf MetaDataImp
次のいずれかのOracle Enterprise Manager Fusion Middleware Controlを使用して、DIPテスターを実行します。
「拡張」タブで、lastChangeNumberを0に設定します。
「フィルタリング」タブで、「ソースの一致フィルタ」および宛先の一致フィルタを設定解除する必要があります。
または、コマンド行からmanageSyncProfileを実行します。
$ manageSyncProfile -testProfile -h $WLSHOST -p 7005 -D weblogic -pf MetaDataImp -changenumber 0
以前にISWと同期されたエントリは、現在DIPと同期する準備ができており、プロファイルは削除できます。
詳細な情報は、次を参照してください:
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のDIPテスターを使用した同期プロファイルのトラブルシューティングに関する項
『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のmanageSyncProfilesを使用した同期プロファイルの管理に関する項
プロファイルが登録され、有効になっているとき、DIPで同期がアクティブ化されます。
プロファイルの登録、関連付けおよび有効化を行うには、次の手順を実行します。
プロファイルを登録します。
$ ORACLE_HOME/bin/manageSyncProfiles register -h $myWLSHOST -p 7005 \ -wlsuser weblogic -pf ODSEEToAD -file ODSEEToAD.properties $ ORACLE_HOME/bin/manageSyncProfiles register -h $myWLSHOST -p 7005 \ -wlsuser weblogic -pf ADToODSEE -file ADToODSEE.properties
データが両方向に同期され、同じソースおよび宛先のエクスポートおよびインポートのプロファイルがある場合は、2つのプロファイルを関連付ける必要もあります。この関連付けは、あるディレクトリから開始された変更がその同じディレクトリに戻るという、双方向同期で発生するループを防止します。
プロファイルを関連付けます。
$ ORACLE_HOME/bin/manageSyncProfiles associateProfile -h $myWLSHOST -p 7005 \ -wlsuser weblogic -pf ODSEEToAD -assopf ADToODSEE $ ORACLE_HOME/bin/manageSyncProfiles associateProfile -h $myWLSHOST -p 7005 \ -wlsuser weblogic -pf ADToODSEE -assopf ODSEEToAD
プロファイルを有効化します(プロファイルを有効化すると、同期が開始されます)。
$ ORACLE_HOME/bin/manageSyncProfiles activate -pf ODSEEToAD $ ORACLE_HOME/bin/manageSyncProfiles activate -pf ADToODSEE
詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のディレクトリ同期プロファイルの管理に関する項を参照してください。
ISW同期が停止している間に、いくつかの変更が発生している可能性があります。ソースの最終変更番号が宛先に適用されていることを確認してください。
DIPテスターによって、同期のテストを実行し、テスト中に生成される詳細なログ・メッセージを戻すことができます。『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のDIPテスターを使用した同期プロファイルのトラブルシューティングに関する項を参照してください。
同期が正しく機能していることを確認するには、あるサーバーで属性を変更し、それが別のサーバーで正しく同期されていることをチェックします。
|
注意: オンデマンド・パスワード同期機能は、ISWで機能していたときと同じ方法で機能している必要があります。Active Directoryでパスワードが変更されると、orclODIPInvalidPassword属性が追加され、ODSEEエントリでtrueに設定され、userPassword属性を更新するためにバインドが必要です。 |
表A-20では、ISWでのいくつかの基本的な管理タスク、およびDIPでそれと同等のタスクを実行する方法について説明します。この表のDIPタスクを実行するためのドキュメントのリファレンスを次に示します。
Enterprise Managerは、Oracle Enterprise Manager Fusion Middleware Controlを参照します。詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のFusion Middleware Controlを使用したOracle Directory Integration Platformの管理に関する項、またはEnterprise Managerオンライン・ヘルプを参照してください。
manageSyncProfilesの詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のmanageSyncProfilesを使用した同期プロファイルの管理に関する項を参照してください。
WebLogic Scripting ToolおよびWebLogic管理コンソールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverサーバーの起動と停止の管理』を参照してください。
表A-20 ISWおよびDIPでの基本的な管理タスク
| ISWタスク | 同等のDIPタスク | コマンドライン | GUI |
|---|---|---|---|
|
ディレクトリ・ソースの構成 |
プロファイルの編集または作成 |
|
Enterprise Manager |
|
同期設定の構成 |
プロファイルの編集または作成 |
|
Enterprise Manager |
|
属性設定の構成 |
プロファイルの編集または作成 |
|
Enterprise Manager |
|
属性変更設定の構成 |
プロファイルの編集または作成 |
|
Enterprise Manager |
|
グループ同期設定の構成 |
プロファイルの編集または作成 |
|
Enterprise Manager |
|
同期ユーザー・リスト(SUL)の構成 |
プロファイルの編集または作成 |
|
Enterprise Manager |
|
コネクタのインストールおよびデータの初期化( |
該当なし |
該当なし |
該当なし |
|
同期の開始と停止 |
プロファイルの登録およびアクティブ化 |
|
Enterprise Manager |
|
サービスの開始と停止(ISWおよびメッセージ・キュー) |
WebLogic Serverの起動と停止 |
WebLogic Scripting Tool、スクリプト |
WebLogic管理コンソール |
DIPには、同期プロファイルをテストする次のツールがあります。
DIPテスター: このユーティリティを使用して同期のテストを実行すると、テスト中に生成される詳細なログ・メッセージが戻されます。『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のDIPテスターを使用した同期プロファイルのトラブルシューティングに関する項を参照してください。
ログ・レベル: Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルをデバッグするためのログ・レベルを指定します。『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』の同期プロファイルの作成に関する項を参照してください。
DIPへの移行のみを検討していて、バックエンドがODSEEのままの場合、第2のステップでODSEEからOUDへの移行を再検討する可能性があります。
ODSEEからOUDへの移行では、OUDは新規インストールとみなされ、ODSEEにかわるサーバーとしてOUDで新しいプロファイルを作成する必要があります。新規プロファイルはODSEEのプロファイルに似ていますが、主にサーバー名やポート番号などの接続情報が異なります。いくつかの属性名および値を更新する必要がある場合もあります。
詳細は、第1章「Oracle Unified Directoryへの移行の理解」を参照してください。
