8 Identity Managementコンポーネントの高可用性の構成

この章では、アクティブ/アクティブ構成における高可用性のためのIdentity Management製品の構成について説明します。

この章の内容は次のとおりです。

• 第8.1項「Identity Management製品のコンポーネントと高可用性の概要」

• 第8.2項「Oracle Identity Managementの高可用性構成のための前提条件」

• 第8.3項「Oracle Internet Directoryの高可用性」

• 第8.4項「Oracle Virtual Directoryの高可用性」

• 第8.5項「Oracle Directory Integration Platformの高可用性」

• 第8.6項「Oracle Directory Services Managerの高可用性」

• 第8.7項「コロケート・アーキテクチャの高可用性」

• 第8.8項「コンポーネントの起動と停止」

8.1 Identity Management製品のコンポーネントと高可用性の概要

図8-1に、Oracle Identity Managementの高可用性アーキテクチャの例を示します。このアーキテクチャには、Web層、アプリケーション層、およびディレクトリ層があります。

図8-1 Oracle Fusion Middleware 11g Oracle Identity Managementの高可用性アーキテクチャ

「図8-1 Oracle Fusion Middleware 11g Oracle Identity Managementの高可用性アーキテクチャ」の説明

図8-1では、Web層にコンピュータWEBHOST1とWEBHOST2があります。

別々のOracle HTTP ServerインスタンスがWEBHOST1およびWEBHOST2にインストールされます。ロード・バランシング・ルーターによって、WEBHOST1およびWEBHOST2上のOracle HTTP Serverインスタンスにリクエストがルーティングされます。

アプリケーション層には、コンピュータIDMHOST1とIDMHOST2コンピュータがあります。

IDMHOST1では、次のインストールが実行されています。

• Oracle Directory Services ManagerインスタンスとODIPインスタンスが、WLS_ODS1管理対象サーバー上にインストールされています。クォーツ・スケジューラは、インスタンスをOracle RACノードの障害から保護するために、JDBCマルチ・データ・ソース経由でOracle RACデータベースと通信します。

• Oracle Access Manager Access ServerインスタンスがWLS_OAM1管理対象サーバーにインストールされています。

• 管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。管理サーバーは、シングルトン・アプリケーションです。Oracle Access Managerコンソールもシングルトン・アプリケーションとしてインストールされています。

IDMHOST2では、次のインストールが実行されています。

• Oracle Directory Services ManagerインスタンスとODIPインスタンスが、WLS_ODS2管理対象サーバー上にインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するために、JDBCマルチ・データ・ソース内に構成されています。

  IDMHOST2上のWLS_ODS2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_ODS1管理対象サーバーにあるインスタンスは、Cluster_ODSクラスタとして構成されています。

• Oracle Access Manager Access ServerインスタンスがWLS_OAM2管理対象サーバーにインストールされています。

  IDMHOST2上のWLS_OAM2管理対象サーバーにあるAccess Serverインスタンスと、IDMHOST1上のWLS_OAM1管理対象サーバーにあるAccess Serverインスタンスは、Cluster_OAMクラスタとして構成されています。

• WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。アクティブ/パッシブの構成の詳細は、第12章「Oracle Fusion Middleware高可用性のためのアクティブ/パッシブ・トポロジ」を参照してください。Oracle Access Manager Consoleもシングルトン・アプリケーションとしてインストールされており、それはIDMHOST2上の管理サーバーがアクティブになるまではパッシブです。

ディレクトリ層には、OIDHOST1とOIDHOST2があります。どちらにも、Oracle Internet DirectoryインスタンスとOracle Virtual Directoryインスタンスがインストールされています。Oracle RACデータベースをセキュリティ・メタデータ・リポジトリとして使用しているOracle Internet Directoryインスタンスには、透過的アプリケーション・フェイルオーバー(TAF)により接続されます。サーバー側のTAFおよび高可用性のイベント通知に対してデータベースが有効化されます。

OIDHOST1とOIDHOST2のOracle Internet Directoryインスタンスは、クラスタとして構成されています。

Oracle Real Applications Cluster (Oracle RAC)データベースは、セキュリティ・メタデータ・リポジトリとして使用されます。

8.1.1 11g Oracle Identity Management製品について

表8-1は、Oracle Identity Management製品の要約です。これらの製品は、11gスイートレベルのインストール・プログラムを使用してインストールできます。詳細は、『Oracle Fusion Middleware Oracle Identity Managementクイック・インストレーション・ガイド』の序章を参照してください。

表8-1  11g Identity Managementコンポーネントおよび製品スイート

製品	説明	製品スイート
Oracle Internet Directory	分散したユーザー、ネットワーク構成およびその他のリソースに関する情報をすばやく取得して集中管理できるLDAP Version 3対応のサービスです。	Oracle Identity Management Platform and Directory Services Suite
Oracle Virtual Directory	LDAP Version 3対応サービス。1つ以上のエンタープライズ・データ・ソースの抽象ビューを提供します。 Oracle Virtual Directoryは複数のソースを1つのディレクトリ・ビューに集約するので、LDAP認識アプリケーションと様々なディレクトリ・サーバー・データ・ストアとの統合が可能になります。	Oracle Identity Management Platform and Directory Services Suite
Oracle Directory Integration Platform	ODIPは、様々なディレクトリとバックエンド・ディレクトリ間のデータ同期を可能にするJ2EEアプリケーションです。ODIPには、他のエンタープライズ・リポジトリとの同期ソリューションのデプロイを可能とするサービスとインタフェースが含まれています。	Oracle Identity Management Platform and Directory Services Suite
Oracle Directory Services Manager	Oracle Virtual DirectoryとOracle Internet DirectoryのGUI。Oracle Directory Services Managerでは、Webベースのフォームやテンプレートを使用できるため、Oracle Virtual DirectoryとOracle Internet Directoryの管理および構成が簡素化されます。 Oracle Directory Services Managerは、Oracle Enterprise Manager Fusion Middleware Control、または独自のURLから使用できます。	Oracle Identity Management Platform and Directory Services Suite
Oracle Access Manager	Oracle Access Manager 11gによって、すべての認証および認可サービスの一元的な提供が可能になります。提供されるコア・サービスは、有効なセッション・トークンのチェック、セッション・トークンが無効であるか見つからない場合の資格証明の要求、セッション・トークンの発行、リソース・リクエストのインターセプト、およびリソースへのアクセスを制御するためのアクセス制御ポリシーの評価です。	Oracle Identity and Access Management Suite
Oracle Identity Manager	Oracle Identity Managerは、アプリケーションおよびディレクトリからユーザー・アカウントを追加、更新および削除するプロセスを自動化するユーザー・プロビジョニングおよび管理ソリューションです。また、誰が何にアクセスしたかを示すきめ細かいレポートを提供することで、法規制コンプライアンスの向上にも寄与します。Oracle Identity Managerは、スタンドアロン製品として、またはOracle Identity and Access Management Suiteの一部として使用可能です。	Oracle Identity and Access Management Suite
認可ポリシー・マネージャ	認可ポリシー・マネージャは、アプリケーション・ポリシーを管理するためのグラフィカル・インタフェース・ツールです。認可ポリシー・マネージャの対象ユーザーは、セキュリティ管理者です。このツールを使用することで、管理者はエンタープライズ・アプリケーション全体にわたるポリシーを表示および管理できます。管理者は、ドメイン内で実行されているすべてのアプリケーションを管理することも、アプリケーションのサブセットのみを管理することもできます。	Oracle Identity and Access Management Suite
Oracle Identity Navigator	Oracle Identity Navigatorは、Oracle Identity Management製品のスタート地点として機能するよう設計されている管理ポータルです。これは、個々の製品コンソールに代わるものではありません。1つのサイトからOracle Identity Managementの各コンソールにアクセスできるようにするためのものです。	Oracle Identity and Access Management Suite
Oracle Adaptive Access Manager	Oracle Adaptive Access Manager (OAAM)は、エンタープライズ向けにWebアクセスのリアルタイム不正検出およびオンライン多要素認証セキュリティを提供するOracle Identity Managementのソリューションです。OAAMは、不正アクセス・リクエストのリアルタイム・ブロッキングを可能にし、高度なアラート・メカニズムを提供し、フィッシング、トロイの木馬、ウイルス、詐欺、介入者攻撃などの攻撃から企業とその顧客を保護します。	Oracle Identity and Access Management Suite
Oracle Identity Federation	Oracle Identity Federationは、各企業のセキュリティ・ドメイン境界を越えたサービスの提供やアイデンティティの共有を可能にするとともに不正アクセスに対する保護機能を提供します。	Oracle Identity Management Platform and Directory Services Suite

8.2 Oracle Identity Managementの高可用性構成のための前提条件

この項では、Oracle Identity Managementの高可用性構成を設定する前に完了する必要のある前提条件の手順について説明します。

この項の内容は次のとおりです。

• 第8.2.1項「Oracleホームの要件」

• 第8.2.2項「データベースに関する前提条件」

• 第8.2.3項「データベース・リポジトリのインストールと構成」

• 第8.2.4項「リポジトリ作成ユーティリティ・ソフトウェアの取得」

• 第8.2.5項「Oracle Fusion Middleware 11gメタデータのデータベースの構成」

8.2.1 Oracleホームの要件

Identity ManagementコンポーネントのOracleホームは、すべてのノードで同一である必要があります。たとえば、Node1でOracleホームとして/u01/app/oracle/product/fmw/idmを選択した場合は、すべての後続のノードのOracleホームとして/u01/app/oracle/product/fmw/idmを選択する必要があります。

8.2.2 データベースに関する前提条件

いくつかのOracle Identity Managementコンポーネントでは、サポートされているデータベースおよびスキーマが存在している必要があります。

データベースが動作保証されているかどうかを確認するか、または動作保証されたデータベースをすべて表示するには、次の動作保証ドキュメントで、動作保証されたデータベースに関する項を参照してください。

http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html

データベースのバージョンを調べるには、次の問合せを実行します。

SQL>select version from sys.product_component_version where product like 'Oracle%';

8.2.3 データベース・リポジトリのインストールと構成

高可用性データベースを使用してメタデータ・リポジトリを格納することをお薦めします。可用性を最大にするために、Oracle Real Application Cluster (Oracle RAC) データベースの使用をお薦めします。データベースでは、データ記憶域にOracle自動ストレージ管理を使用することをお薦めします。Oracle ASMを使用する場合、ベスト・プラクティスはOracle Managed Filesも使用することです。

Oracle ASMを使用する場合、Oracle ASMを独自のOracleホームにインストールし、次の2つのディスク・グループを用意します。

• データベース・ファイル用のグループ。

• フラッシュ・リカバリ領域用のグループ。

Oracle Clusterware

• 10g リリース2 (10.2)については、『Oracle Database Oracle ClusterwareおよびOracle Real Application Clustersインストレーション・ガイド』を参照してください。

• 11g リリース1 (11.1)以降については、Oracle Clusterwareインストレーション・ガイドを参照してください。

自動ストレージ管理

• 10g リリース2 (10.2)については、『Oracle Database Oracle ClusterwareおよびOracle Real Application Clustersインストレーション・ガイド』を参照してください。

• 11g リリース1 (11.1)以降については、Oracle Real Application Clustersインストレーション・ガイドを参照してください。

インストーラを実行するときは、「構成の選択」ページで「自動ストレージ管理の構成」を選択して、個別の自動ストレージ管理ホームを作成します。

Oracle Real Application Cluster

• 10g リリース2 (10.2)については、『Oracle Database Oracle ClusterwareおよびOracle Real Application Clustersインストレーション・ガイド』を参照してください。

• 11g リリース1 (11.1)以降については、Oracle Real Application Clustersインストレーション・ガイドを参照してください。

Oracle Fusion Middlewareコンポーネントの多くでは、インストールの前にデータベース内にスキーマがある必要があります。リポジトリ作成ユーティリティ(RCU)を使用して、既存のデータベースにコンポーネント・スキーマを作成します。高可用性環境では、これらのスキーマを作成して、Oracle RACデータベースにロードする必要があります。

RCUを使用してOracle Identity ManagementスキーマをOracle RACデータベース・リポジトリにロードするには、第8.2.4項「リポジトリ作成ユーティリティ・ソフトウェアの入手」を参照してください。

8.2.4 リポジトリ作成ユーティリティ・ソフトウェアの取得

RCUの最新バージョンを取得するには、次のOracle Technology NetworkのOracle Fusion Middleware 11gR1のソフトウェア・ダウンロード・ページにアクセスしてください。

http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html

Required Additional Softwareの表でRepository Creation Utilityを探します。zipファイルをダウンロードした後、内容を一時ディレクトリに展開します。このガイドでは、このディレクトリをRCU_HOMEと呼びます。

注意: Windowsオペレーティング・システムでは、名前に空白が含まれているディレクトリにRCUの.zipファイルを解凍しないでください。

この章で説明するOracle Identity Managementコンポーネントのいずれもインストールする前には、RCUを実行して、そのコンポーネントで使用されるスキーマをOracle RACデータベースに作成しておきます。これらのスキーマは、この章で説明するOracle Identity Managementの高可用性構成に必要です。

RCUの詳細は、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』および『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。

8.2.4.1 リポジトリ作成ユーティリティの実行

インストールする製品と互換性のあるバージョンのリポジトリ作成ユーティリティ(RCU)を使用します。

RCUの実行の詳細は、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』および『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。

作成するスキーマは、インストールおよび構成するアイデンティティ管理製品に応じて異なります。例:

• Oracle Identity Manager用のデータベースである場合は、「アイデンティティ管理 - Oracle Identity Manager」を選択します。

  
  

  注意: SOAおよびMDSスキーマは自動的に選択されています。

  
  

• Oracle Internet Directory用のデータベースである場合は、「アイデンティティ管理 - (Oracle Internet Directory - ODS)」を選択します。

• Oracle Access Manager用のデータベースである場合は、「アイデンティティ管理 - Oracle Access Manager」を選択します。

• Oracle Identity Federation用のデータベースである場合は、「アイデンティティ管理 - Oracle Identity Federation」を選択します。

• Oracle Adaptive Access Manager用のデータベースである場合は、「アイデンティティ管理 - Oracle Adaptive Access Manager」を選択します。

8.2.5 Oracle Fusion Middleware 11gメタデータ用データベースの構成

次の特性を持つOracle Fusion Middleware 11gメタデータを格納するOracle Real Application Clustersデータベースを作成します。

• バックアップとリカバリを容易にするためにアーカイブ・ログ・モードになっている必要があります。

• オプションでフラッシュバックを有効化する必要があります。

• ALT32UTF8キャラクタ・セットで作成されている必要があります。

静的なPROCESSES初期化パラメータの値は、Oracle Internet Directoryに対して500以上にする必要があります。この値は、リポジトリ作成ユーティリティによってチェックされます。

この値をチェックするには、次のようにSQL*PlusでSHOW PARAMETERコマンドを使用します。

prompt> sqlplus "sys/password as sysdba"
SQL> SHOW PARAMETER processes

パラメータの値を変更する一般的な方法の1つとして、次のようなコマンドを使用し、データベースの停止および再起動をしてパラメータを有効化する方法があります。

prompt> sqlplus "sys/password as sysdba"
SQL> ALTER SYSTEM SET PROCESSES=500 SCOPE=SPFILE;

パラメータの値を変更する方法は、パラメータが静的か動的かによって異なり、データベースがパラメータ・ファイルとサーバー・パラメータ・ファイルのどちらを使用しているかによっても異なります。パラメータ・ファイル、サーバー・パラメータ・ファイル、およびパラメータ値の変更方法の詳細は、Oracle Database管理者ガイドを参照してください。

8.2.5.1 この章で使用するデータベースの例

表8-2は、この章のデータベースの構成例で使用されている値を示しています。

表8-2 アイデンティティ管理で使用されるデータベースの構成例

コンポーネント	データベース・サービス名	データベース・インスタンス名
Oracle Internet Directory	oid.example.com	oiddb1、oiddb2
Oracle Virtual Directory	N/A	N/A
Oracle Directory Integration Platform	oid.example.com	oiddb1、oiddb2
Oracle Directory Services Manager	N/A	N/A
Oracle Access Manager	oam.example.com	oamdb1、oamdb2
Oracle Identity Manager	oim.example.com	oimdb1、oimdb2
認可ポリシー・マネージャ	apm.example.com	apmdb1、apmdb2
Oracle Identity Navigator	N/A	N/A
Oracle Adaptive Access Manager	oaam.example.com	oaamdb1、oaamdb2
Oracle Identity Federation	oif.example.com	oifdb1、oifdb2

8.2.5.2 データベース・サービス

クライアント・アプリケーションがデータベースへの接続に使用するデータベース・サービスは、Oracle Enterprise Manager Cluster Managed Services Pageを使用して作成することをお薦めします。データベース・サービスの作成の詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』のワークロード管理に関する項を参照してください。

SQL*Plusを使用して、Oracle RACデータベースを構成し、次の指示に従ってOracle Internet Directoryのフェイルオーバーを自動化することもできます。次の各コマンドは、クラスタ内の1つのノードにのみ実行してください。

1. CREATE_SERVICEサブプログラムは、データベース・サービスの作成、および高可用性通知の有効化とサーバー側の透過的アプリケーション・フェイルオーバー(TAF)設定の構成の両方に使用します。

   prompt> sqlplus "sys/password as sysdba"
   
   SQL> EXECUTE DBMS_SERVICE.CREATE_SERVICE
   (SERVICE_NAME => 'idm.example.com',
   NETWORK_NAME => 'idm.example.com',
   AQ_HA_NOTIFICATIONS => TRUE, 
   FAILOVER_METHOD => DBMS_SERVICE.FAILOVER_METHOD_BASIC, 
   FAILOVER_TYPE => DBMS_SERVICE.FAILOVER_TYPE_SELECT, 
   FAILOVER_RETRIES => 5, FAILOVER_DELAY => 5);
   

   EXECUTE DBMS_SERVICEコマンドは、1行で入力する必要があります。

2. サービスをデータベースに追加し、srvctlを使用してインスタンスに割り当てます。

   prompt> srvctl add service -d idmdb -s idm -r idmdb1,idmdb2
   

3. srvctlを使用してサービスを開始します。

   prompt> srvctl start service -d idmdb -s  idm
   

   
   

   注意: SRVCTLコマンドの詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』を参照してください。

   
   

データベースにサービスが存在している場合は、高可用性通知が有効化され、サーバー側の透過的アプリケーション・フェイルオーバー(TAF)の設定が適切に構成されていることを確認します。DBMS_SERVICEパッケージを使用して、高可用性通知がアドバンスト・キューイング(AQ)を経由するようにサービスを変更するには、次のようにAQ_HA_NOTIFICATIONS属性をTRUEに設定し、サーバー側のTAFの設定を構成します。

prompt> sqlplus "sys/password as sysdba"

SQL> EXECUTE DBMS_SERVICE.MODIFY_SERVICE
(SERVICE_NAME => 'idm.example.com',
AQ_HA_NOTIFICATIONS => TRUE,
FAILOVER_METHOD => DBMS_SERVICE.FAILOVER_METHOD_BASIC, 
FAILOVER_TYPE => DBMS_SERVICE.FAILOVER_TYPE_SELECT, 
FAILOVER_RETRIES => 5, FAILOVER_DELAY => 5);

EXECUTE DBMS_SERVICEコマンドは、1行で入力する必要があります。

注意: DBMS_SERVICEパッケージの詳細は、Oracle Database PL/SQLパッケージおよびタイプのリファレンスを参照してください。

11.2データベースを使用する場合は、11gリリース2 (11.2)用のOracle Database管理者ガイドのSRVCTLを使用したデータベース・サービスの作成と削除に関する説明の手順に従います。

8.2.5.3 透過的アプリケーション・フェイルオーバーの確認

ここでは、透過的アプリケーション・フェイルオーバー(TAF)構成を検証する方法について説明します。

Oracle Internet Directoryプロセスの起動後、V$SESSION_VIEWのFAILOVER_TYPE、FAILOVER_METHOD、およびFAILED_OVER列を問い合せて、接続されているクライアントおよびそのTAFステータスを取得できます。

たとえば、次のSQL文を使用して、TAFが正しく構成されていることを検証します。

SELECT MACHINE, FAILOVER_TYPE, FAILOVER_METHOD, FAILED_OVER, COUNT(*)
FROM V$SESSION
GROUP BY MACHINE, FAILOVER_TYPE, FAILOVER_METHOD, FAILED_OVER;

フェイルオーバー前の出力は次のようになります。

MACHINE              FAILOVER_TYPE FAILOVER_M  FAI   COUNT(*)
-------------------- ------------- ---------- ---- ----------
oidhost1             SELECT        BASIC       NO          11
oidhost1             SELECT        BASIC       NO           1

フェイルオーバー後の出力は次のようになります。

MACHINE              FAILOVER_TYPE FAILOVER_M  FAI   COUNT(*)
-------------------- ------------- ---------- ---- ----------
oidhost2             SELECT        BASIC       NO          11
oidhost2             SELECT        BASIC       NO           1

8.2.5.4 ロード・バランサの仮想サーバー名とポートの構成

この項では、Oracle Identity Managementの高可用性環境をデプロイするためのネットワークの前提条件について説明します。

8.2.5.4.1 ロード・バランサ

Oracle Identity Managementソフトウェア・スタック内のコンポーネントを高可用性構成にデプロイする場合は、すべてのコンポーネントにハードウェア・ロード・バランサが必要です。ハードウェア・ロード・バランサには、次の機能が必要です。

• 仮想ホスト名を介した実サーバー・プールへのトラフィックのロード・バランシング機能

  クライアントは、仮想ホスト名を使用して(実ホスト名を使用するかわりに)、サービスにアクセスします。これにより、ロード・バランサは、プール内のサーバーに対するリクエストをロード・バランシングできます。

• ポート変換の構成: ロード・バランサには、1つのポートで受信した受信リクエストを別のポートで実行されているサーバー・プロセスにルーティングできるポート変換機能が必要です。たとえば、ポート80で受信したリクエストをポート7777にルーティングできます。

• プロトコル変換: ロード・バランサには、異なるプロトコルを実行するシステム間のプロトコル変換機能が必要です。これにより、発行元デバイスとターゲット指定されたホストに関連付けられているネイティブ・プロトコル・スタックが異なる場合も、あるネットワークに接続しているユーザーが別のネットワーク上のホストにアクセスできます。たとえば、HTTPSリクエストを受信して、HTTPリクエストを送信することができます。

  この機能は推奨されますが、必須ではありません。

• SSLアクセラレーション: SSLアクセラレーションは、SSLトランザクションで実行され、プロセッサを集中的に使用する公開鍵暗号化アルゴリズムを、ハードウェア・アクセラレータにオフロードする方法です。

  この機能は推奨されますが、必須ではありません。

• ポート(HTTP、HTTPS、LDAP、LDAPS)の監視

• 仮想サーバーとポートの構成

  外部ロード・バランサの仮想サーバー名とポートを構成する機能。さらに、仮想サーバー名とポートは次の要件を満たしている必要があります。

  • ロード・バランサには複数の仮想サーバーを構成できる必要があります。各仮想サーバーに対し、ロード・バランサには2つ以上のポートでトラフィック管理を構成できることが必要です。たとえば、Oracle Internet Directoryクラスタでは、LDAPおよびLDAPSトラフィック用の仮想サーバーとポートでロード・バランサを構成する必要があります。

  • 仮想サーバー名をIPアドレスに関連付け、DNSに含める必要があります。クライアントは、仮想サーバー名を介してロード・バランサへアクセスできる必要があります。

• ノード障害を検出し、障害が発生したノードへのトラフィックのルーティングをすぐに停止する機能

• リソースの監視/ポートの監視/プロセス障害検出

  ロード・バランサは、サービスおよびノードの障害を通知などの方法を通じて検出し、障害が発生したノードへの非Oracle Netトラフィックの送信を停止できる必要があります。ロード・バランサに障害の自動検出機能がある場合は、それを使用する必要があります。

• フォルト・トレラント・モード

  ロード・バランサをフォルト・トラレント・モードに構成することを強くお薦めします。

• その他

  トラフィックの転送先となるバックエンド・サービスが使用不可の場合に、すぐにコール元クライアントに戻るようロード・バランサの仮想サーバーを構成しておくことをお薦めします。この構成は、クライアント・マシンのTCP/IP設定に基づいてタイムアウト後にクライアント側で接続を切断する構成よりも推奨されます。

• スティッキーなルーティング機能

  CookieまたはURLに基づいたコンポーネントへのスティッキーな接続を維持する機能

表8-3は、Oracle Identity Managementの高可用性環境で外部ロード・バランサに使用する仮想サーバー名を示しています。

表8-3 外部ロード・バランサの仮想サーバー名

コンポーネント	仮想サーバー名
Oracle Internet Directory	oid.example.com
Oracle Virtual Directory	ovd.example.com
Oracle Identity Federation	oif.example.com
Oracle Directory Services Managerコンソール	admin.example.com
Oracle Access Manager	sso.example.com
Oracle Adaptive Access Manager	oaam.example.com
Oracle Identity Manager	sso.example.com

8.2.5.4.2 仮想サーバー名

この項では、この章で説明する高可用性デプロイメントのために設定が必要な仮想サーバー名について説明します。

仮想サーバー名に対応するIPアドレスが設定されていることと、仮想サーバー名がドメイン・ネーム・システム(DNS)に登録されていることを確認します。Oracle Fusion Middlewareを実行するコンピュータは、これらの仮想サーバー名を解決できることが必要です。

oid.example.com

この仮想サーバーは、ディレクトリ層のOracle Internet DirectoryサーバーへのすべてのLDAPトラフィックのアクセス・ポイントとして機能します。SSLポートおよび非SSLポートの両方へのトラフィックが構成されます。クライアントは、SSLの場合はアドレスoid.example.com:636、非SSLの場合はoid.example.com:389を使用してこのサービスにアクセスします。

OIDHOST1およびOIDHOST2上のOracle Internet Directoryプロセスのハートビートを監視します。OIDHOST1またはOIDHOST2上でOracle Internet Directoryプロセスが停止した場合、あるいはいずれかのホストで障害が発生した場合、ロード・バランサは障害が発生していないコンピュータへのLDAPトラフィックのルーティングを継続する必要があります。

ovd.example.com

この仮想サーバーは、ディレクトリ層のOracle Virtual DirectoryサーバーへのすべてのLDAPトラフィックのアクセス・ポイントとして機能します。SSLポートおよび非SSLポートの両方へのトラフィックが構成されます。クライアントは、SSLの場合はアドレスovd.example.com:7501、非SSLの場合はovd.example.com:6501を使用してこのサービスにアクセスします。

OVDHOST1およびOVDHOST2上のOracle Virtual Directoryプロセスのハートビートを監視します。OVDHOST1またはOVDHOST2上でOracle Virtual Directoryプロセスが停止した場合、あるいはホストOVDHOST1またはホストOVDHOST2のいずれかで障害が発生した場合、ロード・バランサは障害が発生していないコンピュータへのLDAPトラフィックのルーティングを継続する必要があります。

oif.example.com

この仮想サーバーは、アプリケーション層のOracle Identity FederationサーバーへのすべてのHTTPトラフィックのアクセス・ポイントとして機能します。

oaam.example.com

この仮想サーバーは、Webサイトへ送信されるすべてのOracle Adaptive Access Managerトラフィックのアクセス・ポイントとして機能します。

sso.example.com

この仮想サーバーは、Webサイトへ送信されるすべてのOracle Access Managerトラフィックのアクセス・ポイントとして機能します。

この仮想サーバーは、シングル・サインオン・サービスへ送信されるすべてのHTTPトラフィックのアクセス・ポイントとして機能します。

この仮想ホストは、リクエストのクライアントIPアドレスを保持するように構成する必要があります。いくつかのロード・バランシング・ルーターでは、ロード・バランシング・ルーターがリクエストのオリジナルのクライアントIPアドレスをX-Forwarded-For HTTPヘッダーに挿入できるようにすることで、これを実現できます。

8.3 Oracle Internet Directoryの高可用性

この項では、Oracle Internet Directoryの概要、およびOracle Internet Directoryの高可用性環境の設計とデプロイ方法について説明します。

この項の内容は次のとおりです。

• 第8.3.1項「Oracle Internet Directoryコンポーネント・アーキテクチャ」

• 第8.3.2項「Oracle Internet Directoryの高可用性の概要」

• 第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」

• 第8.3.4項「Oracle Internet Directoryの高可用性の検証」

• 第8.3.5項「Oracle Internet Directoryのフェイルオーバーおよび予想される動作」

• 第8.3.6項「Oracle Internet Directoryの高可用性のトラブルシューティング」

• 第8.3.7項「Oracle Internet Directoryの高可用性に関するその他の問題」

8.3.1 Oracle Internet Directoryコンポーネント・アーキテクチャ

Oracle Internet Directoryは、Directory Integration Platform、Oracle Directory Services Manager、JPSなどのOracleコンポーネント、およびOracle以外のコンポーネントから使用可能なLDAPストアです。これらのコンポーネントは、LDAPまたはLDAPSプロトコルを使用してOracle Internet Directoryに接続します。

Oracleディレクトリ・レプリケーション・サーバーはLDAPを使用して、Oracleディレクトリ(LDAP)サーバー・インスタンスと通信します。データベースとの通信には、すべてのコンポーネントでOCI/Oracle Net Servicesを使用します。Oracle Directory Services Managerおよびコマンドライン・ツールは、LDAPを介してOracleディレクトリ・サーバーと通信します。

Oracle Internet Directoryのノードは、同じディレクトリ・ストアに接続された1つ以上のディレクトリ・サーバー・インスタンスで構成されます。ディレクトリ・ストア、つまりディレクトリ・データのリポジトリは、Oracle Databaseになります。

Oracle Internet Directoryのノードには次の主要な要素が組み込まれています。

表8-4 Oracle Internet Directoryのノード

要素	説明
Oracleディレクトリ・サーバー・インスタンス	LDAPサーバー・インスタンスまたはディレクトリ・サーバー・インスタンスとも呼びます。特定のTCP/IPポートをリスニングする単一のOracle Internet Directoryのディスパッチャ・プロセスを介してディレクトリ・リクエストに応じます。異なるポートをリスニングする1つ以上のディレクトリ・サーバー・インスタンスが同一ノードに存在する場合もあります。
Oracleディレクトリ・レプリケーション・サーバー	レプリケーション・サーバーとも呼びます。別のOracle Internet Directoryシステムにあるレプリケーション・サーバーに対する変更の追跡と送信を行います。1つのノードのレプリケーション・サーバーは、1つに限られます。レプリケーション・サーバーを構成するかどうかは選択できます。同一データベースを使用するOracle Internet Directoryに複数のインスタンスがある場合、そのうちの1つのみがレプリケーションを実行できます。これは、Oracle Internet Directoryインスタンスが複数のノードに存在する場合も同様です。 レプリケーション・サーバー・プロセスは、Oracle Internet Directory内のプロセスです。レプリケーションが構成されている場合にのみ実行されます。 Oracle Internet Directoryのレプリケーションの詳細は、第10章「高可用性を最大化するIdentity Managementの構成」を参照してください。
Oracle Databaseサーバー	ディレクトリ・データを格納します。ディレクトリ専用のデータベースとすることを強くお薦めします。データベースは、ディレクトリ・サーバー・インスタンスと同じノードに配置できます。
Oracle Process Manager and Notification Server (OPMN)	Oracle Fusion Middlewareのコンポーネントの1つとしてOracle Internet Directoryを管理します。OPMNは、ORACLE_INSTANCE/opmn.xmlのOIDコンポーネント・スニペットのディレクティブを使用して、必要に応じてOIDMONとOIDCTLを呼び出します。コマンドライン・ユーティリティは、opmnctlです。
OIDモニター(OIDMON)	LDAPサーバーとレプリケーション・サーバー・プロセスの起動、監視および終了を行います。oidctl、opmnctlなどのプロセス管理コマンドを呼び出す場合、またはFusion Middleware Controlを使用してサーバー・インスタンスを起動または停止する場合は、このプロセスによってコマンドが解釈されます。 OIDMONはサーバーを監視し、異常のため実行を停止した場合はそのサーバーを再起動します。 OIDMONは、OIDLDAPDのデフォルト・インスタンスを起動します。OIDCTLコマンドを使用してOIDLDAPDのデフォルト・インスタンスが停止された場合、OIDMONがそのインスタンスを停止します。OPMNによってOIDMONが再起動された場合、OIDMONはデフォルト・インスタンスを再起動します。 OIDモニターのアクティビティはすべて、ファイルORACLE_INSTANCE/diagnostics/log/OID/component_id/oidmon-xxxx.logに記録されます。このファイルは、Oracle Internet Directoryサーバー・ファイル・システムにあります。 OIDモニターは、オペレーティング・システムのメカニズムを介して、サーバーの状態をチェックします。
OID制御ユーティリティ(OIDCTL)	Oracle Internet Directoryサーバーの表にメッセージ・データを配置して、OIDモニターと通信します。このメッセージ・データには、各Oracleディレクトリ・サーバー・インスタンスの実行に必要な構成パラメータが含まれます。通常は、コマンドラインからのレプリケーション・サーバーの停止と起動のみに使用されます。

8.3.1.1 Oracle Internet Directoryコンポーネントの特性

Oracle Internet Directoryは、OracleのLDAPストアであり、データベースを永続ストアとして使用するCベースのコンポーネントです。これはステートレスなプロセスで、すべてのデータと構成情報の大部分をバックエンド・データベースに格納します。データベースへの接続には、Oracle Net Servicesを使用します。

8.3.1.1.1 ランタイム・プロセス

Oracle Internet Directoryには、次のランタイム・プロセスがあります。

• OIDLDAPD: Oracle Internet Directoryのメイン・プロセスです。OIDLDAPDは、ディスパッチャ・プロセスとサーバー・プロセスで構成されます。ディスパッチャ・プロセスは、起動時にOIDLDAPDサーバー・プロセスを作成します。各OIDLDAPDディスパッチャ・プロセスには、リクエストを受信するための固有のSSLポートおよび非SSLポートがあります。デフォルトでは、各OIDインスタンスにはディスパッチャとサーバー・プロセスが1つずつあります。1つのインスタンスに作成されるサーバー・プロセスの数は、orclserverprocs属性によって制御されます。

• OIDMON: OIDMONは、Oracle Internet Directoryインスタンスのプロセス制御を行います。このプロセスは、Oracle Internet Directoryの起動、停止および監視を行います。OIDMONは起動時にOIDLDAPDディスパッチャ・プロセスを作成し、インスタンスにレプリケーションが構成されている場合はレプリケーション・サーバー・プロセスも作成します。

• レプリケーション・サーバー・プロセス: Oracle Internet Directory内のプロセスで、レプリケーションが構成されている場合にのみ実行されます。レプリケーション・サーバー・プロセスは、起動時にOIDMONによって作成されます。

• OPMN: Oracle Process Manager and Notification Server (OPMN)は、Oracle Internet DirectoryなどのOracle Fusion Middlewareコンポーネントを監視するデーモン・プロセスです。Oracle Enterprise Manager Fusion Middleware ControlはOPMNを使用して、Oracle Internet Directoryのインスタンスの停止と起動を行います。Oracle Internet Directoryコンポーネントの停止と起動をコマンドラインから行う場合は、OPMNに対するコマンドライン・インタフェースであるopmnctlを使用します。

  OPMNは、OIDMONを直接、起動、停止、再起動、および監視します。サーバー・プロセスを直接起動または停止することはありません。

8.3.1.1.2 プロセスのライフサイクル

OPMNは、デーモン・プロセスOIDMON(ORACLE_HOME/bin/oidmon)を直接、起動、停止、再起動、および監視します。OIDMONは、Oracle Internet Directoryインスタンスのプロセスを制御します。11gリリース1 (11.1.1)では、同一ノードの同一Oracleインスタンスに複数のOracle Internet Directoryインスタンスを設定できます。詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。

プロセス・ステータス表

Oracle Internet Directoryのプロセス情報は、ODSデータベース・ユーザー・スキーマのODS_PROCESS_STATUS表で管理されます。OIDMONは、指定された間隔で表の内容を読み取り、その表の内容が伝える目的に従って動作します。この間隔は、OIDMON起動時に使用されたスリープ・コマンド・ラインの引数の値によって制御されます。デフォルト値は10秒です。

Oracle Internet Directoryの起動と停止

Oracle Enterprise Manager Fusion Middleware Controlまたはコマンドopmnctlを使用して、Oracle Internet Directoryインスタンスの起動と停止ができます。

プロセスの起動

Oracle Internet Directoryの起動プロセスは次のとおりです。

1. 起動コマンドを受信すると、OPMNはopmn.xmlファイルで指定された適切な引数を使用してoidmon起動コマンドを発行します。

2. これにより、OIDMONは、ODS_PROCESS_STATUS表内の情報で状態の値が1または4、かつORACLE_INSTANCE、COMPONENT_NAME、INSTANCE_NAMEの値がOPMNによって設定された環境パラメータと一致するすべてのOracle Internet Directoryサーバー・インスタンスを起動します。

プロセスの停止

Oracle Internet Directoryの停止プロセスは次のとおりです。

1. 停止コマンドを受信すると、OPMNは、oidmon停止コマンドを発行します。

2. ODS_PROCESS_STATUS表内で環境パラメータORACLE_INSTANCE、COMPONENT_NAME、およびINSTANCE_NAMEに一致する各行に対して、oidmon停止コマンドがOIDMON、OIDLDAPD、およびOIDREPLDの各プロセスを停止し、状態を4に更新します。

監視

OPMNは、サーバー・プロセスを直接監視しません。OPMNはOIDMONを監視し、OIDMONがサーバー・プロセスを監視します。イベントは次のとおりです。

• OPMNを介してOIDMONを起動すると、OPMNはOIDMONを起動し、OIDMONが実行中であることを確認します。

• なんらかの理由でOIDMONが停止すると、OPMNによって再起動されます。

• OIDMONは、Oracle Internet Directoryディスパッチャ・プロセス、LDAPサーバー・プロセス、およびレプリケーション・サーバー・プロセスのステータスを監視し、このステータスをOPMNとOracle Enterprise Manager Fusion Middleware Controlで使用できるようにします。

8.3.1.1.3 リクエスト・フロー

Oracle Internet Directory (OID)プロセスが起動すると、クライアントはLDAPまたはLDAPSプロトコルを使用してOIDにアクセスします。OIDインスタンスの起動時に、実行中の他のインスタンスへの影響はありません。

Oracle Internet Directoryリスナー/ディスパッチャは、起動時に構成された数のサーバー・プロセスを起動します。サーバー・プロセスの数は、インスタンス固有の構成エントリ内のorclserverprocs属性によって制御されます。orclserverprocsのデフォルト値は1です。OIDでは複数のサーバー・プロセスによって、マルチ・プロセッサ・システムのメリットが得られます。

OIDディスパッチャ・プロセスは、OIDサーバー・プロセスへのLDAP接続をラウンドロビン方式で送信します。各サーバーで受入れ可能なLDAP接続の最大数は、デフォルトでは1024です。この数は、インスタンス固有の構成エントリ内の属性orclmaxldapconnsを変更して増やせます。このDNの形式は次のとおりです。

cn=componentname,cn=osdldapd,cn=subconfigsubentry

各サーバー・プロセスからのデータベース接続は、インスタンス構成パラメータORCLMAXCCおよびORCLPLUGINWORKERSに設定された値に応じてサーバーの起動時に作成されます。各サーバーで作成されるデータベース接続の数は、ORCLMAXCC + ORCLPLUGINWORKERS + 2と等しくなります。OIDのサーバー・プロセスはOracle Net Servicesを介してOracle Databaseサーバーと通信します。Oracle Net Servicesリスナー/ディスパッチャは、リクエストをOracle Databaseに中継します。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。

8.3.1.1.4 構成アーティファクト

記憶域の配置にはDB接続文字列が必要です。TNSNAMES.ORAは、ORACLE_INSTANCE/configに保存されます。ウォレットはORACLE_INSTANCE/OID/adminに保存されます(DB ODSユーザー・パスワードはウォレットに格納されます)。

8.3.1.1.5 外部依存性

Oracle Internet Directoryでは、データと同様に構成情報の格納にもOracle Databaseを使用します。この情報の格納にはODSスキーマを使用します。

Oracleディレクトリ・レプリケーション・サーバーはLDAPを使用して、Oracleディレクトリ(LDAP)サーバー・インスタンスと通信します。データベースとの通信には、すべてのコンポーネントでOCI/Oracle Net Servicesを使用します。Oracle Directory Services Managerおよびコマンドライン・ツールは、LDAPを介してOracleディレクトリ・サーバーと通信します。

8.3.1.1.6 Oracle Internet Directoryのログ・ファイル

Oracle Internet Directoryのログ・ファイルは、次のディレクトリにあります。

ORACLE_INSTANCE/diagnostics/log/OID

表8-5は、Oracle Internet Directoryのプロセスとログ・ファイル名、およびプロセスの場所を示しています。

表8-5 Oracle Internet Directoryのプロセス・ログ・ファイルの場所

プロセス	ログ・ファイルの場所
ディレクトリ・サーバー(oidldapd)	ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidldapd00sPID-XXXX.log。ここで: 00はインスタンス番号です(デフォルトは00)。 sはサーバーを表します。 PIDはサーバー・プロセス識別子です。 XXXXは、0000からorclmaxlogfilesconfiguredまでの数値です。orclmaxlogfilesconfigured値に達すると、再び0000から開始されます。この開始時にはファイルは0バイトに切り捨てられます。 ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidstackInstNumberPID.log
LDAPディスパッチャ(oidldapd)	ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidldapd00-XXXX.log。ここで: 00はインスタンス番号です(デフォルトは00)。 XXXXは、0000からorclmaxlogfilesconfiguredまでの数値です。
OIDモニター(OIDMON)	ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidmon-XXXX.log。ここで: XXXXは、0000からorclmaxlogfilesconfiguredまでの数値です。
ディレクトリ・レプリケーション・サーバー(oidrepld)	ORACLE_INSTANCE/diagnostics/logs/OID/componentName/oidrepld-XXXX.log。ここで: XXXXは、0000からorclmaxlogfilesconfiguredまでの数値です。

ログ・ファイルを使用したOracle Internet Directoryのトラブルシューティングの詳細は、第8.3.6項「Oracle Internet Directoryの高可用性のトラブルシューティング」を参照してください。

8.3.2 Oracle Internet Directoryの高可用性の概要

この項では、Oracle Internet Directoryを2ノードのクラスタ構成による高可用性で使用する場合の概要について説明します。前提条件の詳細は、第8.3.2.3項「Oracle Internet Directoryの前提条件」を、2ノードのクラスタ構成を設定するには、第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」を参照してください。

8.3.2.1 Oracle Internet Directoryの高可用性アーキテクチャ

図8-2は、Oracle Internet Directoryクラスタ構成のアクティブ/アクティブ構成における高可用性アーキテクチャを示しています。

図8-2 Oracle Internet Directoryクラスタ構成の高可用性アーキテクチャ

「図8-2 Oracle Internet Directoryクラスタ構成の高可用性アーキテクチャ」の説明

図8-2では、クラスタ構成の高可用性アーキテクチャのディレクトリ層にOracle Internet Directory (OID)があります。クラスタ化はインストール時に設定されます。ロード・バランシング・ルーターによって、LDAPクライアント・リクエストが2つのOIDインスタンスにルーティングされます(この2つのインスタンスは、OIDHOST1とOIDHOST2上にあり、クラスタ化されています)。

Oracle RACデータベースをセキュリティ・メタデータ・リポジトリとして使用しているOIDインスタンスの接続には、透過的アプリケーション・フェイルオーバー(TAF)が使用されます。Oracle RACデータベースは、TNSNAMES.ORAに構成されます。高可用性イベント通知は、Oracle RACインスタンスが使用不可となった場合の通知に使用されます。Oracle RACでOIDを使用する方法の詳細は、第5.1.7.1項「Oracle Internet Directory」を参照してください。

8.3.2.1.1 クラスタの起動と停止

クラスタ構成では、OPMNコマンドにより各OIDインスタンスが起動されます。起動時にOIDへの影響はありません。OIDの起動時に新しいデータベース接続が作成されます。

OPMNを使用してクラスタを停止すると、OIDは、データベースとの接続を切断し、OIDサーバーが停止します。

8.3.2.1.2 クラスタワイドの構成変更

構成の変更は、クラスタ構成内のすべてのインスタンスに対してクラスタ・レベルで行われます。同じデータベースを共有するクラスタ構成内のノードはすべて同じ構成情報を読み込みます。OIDMONプロセスは、各OIDサーバーの構成変更をポーリングし、構成変更に関するデータベース・リポジトリを更新します。OIDMONおよびその他のOIDサーバーは、データベース・リポジトリから変更を取得します。このようにして、クラスタ・メンバー・レベルで加えられた変更はすべて、クラスタ内のすべてのOIDサーバーに伝播されます。

OID LDAPサーバーの構成に必要なインスタンス固有の構成属性は、次のLDAPエントリに格納されます。

cn=<component-name>,cn=osdldapd,cn=subconfigsubentry

Oracle Internet Directoryサーバー構成の各面(サーバー数、データベース接続、サイズ制限、時間制限など)は、インスタンス固有のサーバー構成エントリに含まれます。

クラスタ内のすべてのOIDインスタンスに共通の構成属性は、次のLDAPエントリに格納されます。

cn=dsaconfig,cn=configsets,cn=oracle internet directory

クラスタ内の各OIDインスタンスに対してインスタンス固有のサーバー構成属性を保持するには、インストール時/構成時に各OIDインスタンスに対して個別のOIDコンポーネント名を選択する必要があります(ノード1はoid1、ノード2はoid2など)。この場合、構成エントリは、それぞれcn=oid1,cn=osdldapd,cn=subconfigsubentryおよびcn=oid2,cn=osdldapd,cn=subconfigsubentryとなり、OIDインスタンスごとに更新する必要があります。

クラスタ内のOIDインスタンスの両方に共通のサーバー構成属性セットを使用するように選択した場合は、OIDインスタンスの両方に同じOIDコンポーネント名を選択する必要があります(OIDのノード1とノード2の両方にoid1を使用するなど)。この場合、cn=oid1,cn=osdldapd,cn=subconfigsubentryのように、共通の構成エントリになります。

Oracle Internet Directory LDAPサーバー・インスタンスは、スキーマ、ACL、パスワード・ポリシーなど、特定のLDAPメタデータ・アーティファクトをキャッシュします。任意のノードにある複数のOID LDAPサーバー・プロセスは、各ノードのOIDで管理される共有メモリー・セグメントに関して構築されるセマンティックを介して、キャッシュの同期を管理します。OIDMONは、ノード間の共有メモリー・セグメントの同期を保証することで、ノード間のキャッシュの同期を管理し、これはOIDデータベースを使用して実現されます。

Oracle Internet Directoryでは、メタデータもキャッシュされ、メタデータの変更によって、ノード間の通知がトリガーされます。メタデータの変更にはldapmodifyユーティリティを使用します。メタデータ変更に関するldapmodifyリクエストを取得したOIDサーバーは、他のOIDサーバーに対してメタデータの変更を通知します(OIDMONを含む)。OIDMONは、他のノードのOIDMONにメタデータの変更を通知する役割を持ちます。

8.3.2.2 障害からの保護および予想される動作

この項では、OIDクラスタ構成における様々な障害からの保護について説明します。

8.3.2.2.1 Oracle Internet Directoryプロセスの障害

OIDMONは、OIDプロセスを監視します。OIDプロセスが停止すると、OIDMONが再起動を試行します。

OPMNはOIDMONを監視します。OIDMONが停止すると、OPMNがOIDMONを再起動します。

OIDプロセスを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってクラスタ構成内のOIDインスタンスの障害が検出され、障害が発生していないインスタンスにLDAPトラフィックがルーティングされます。障害が発生した場合、LDAPクライアントによってトランザクションが再試行されます。トランザクションの途中でインスタンスに障害が発生した場合は、そのトランザクションはデータベースにコミットされません。障害が発生したインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、すべてのインスタンスにリクエストがルーティングされます。

クラスタ構成内のOIDインスタンスが停止すると、ロード・バランシング・ルーターによってこれが検出され、障害が発生していないインスタンスにリクエストがルーティングされます。

2ノードのクラスタ構成で一方のOIDインスタンスに障害が発生した場合(またはインスタンスをホストするコンピュータの一方に障害が発生した場合)は、ロード・バランシング・ルーターによって、障害が発生していないOIDインスタンスにクライアントがルーティングされます。

8.3.2.2.2 障害発生時に予想されるクライアント・アプリケーションの動作

ロード・バランサを介してOIDクライアントへのルーティングが継続されるため、通常、Oracle Internet Directoryサーバーの障害はOIDクライアントに対して透過的です。通常、外部ロード・バランサはOIDプロセスのヘルス・チェックを実行するように構成されます。プロセスが利用不可であることをロード・バランサが検出する前にリクエストが受信されると、クライアント・アプリケーションでエラーを受信することがあります。クライアント・アプリケーションが再試行した場合、ロード・バランサは、これを正常なOIDインスタンスにルーティングし、リクエストは正常に行われます。

OIDのアクティブ/アクティブ構成では、フェイルオーバー時にLDIFファイルを介してldapadd操作を実行していると、ロード・バランサ・ホストとポートを介して実行している場合でも、この操作がエラーになることがあります。これは、OIDが一瞬停止するためです。ほとんどのアプリケーションには、固定回数の接続を再試行する機能があるためこの問題は発生しません。

8.3.2.2.3 外部依存性の障害

この項では、OIDに利用できるデータベース障害からの保護について説明します。

デフォルトでは、OIDのORACLE_INSTANCEで構成されたtnsnames.oraファイルによって、OIDからデータベースへの接続はOracle RACデータベース・インスタンス間でロード・バランシングされることが保証されます。たとえば、OIDインスタンスが4つのデータベース接続を確立した場合、各データベース・インスタンスに対して接続が2つ確立されます。

Oracle Internet Directoryは、データベースの高可用性イベント通知を使用してデータベースのノード障害を検出し、障害が発生していないノードへフェイルオーバーします。

透過的アプリケーション・フェイルオーバー(TAF)が構成されている場合は、データベース・インスタンスの障害発生時に、OIDが正常に稼働しているデータベース・インスタンスにデータベース接続をフェイルオーバーし、これにより、フェイルオーバー時に行われていたLDAPの検索操作が継続されます。

TAFと高可用性イベント通知の両方が構成されている場合は、フェイルオーバーにはTAFが使用され、高可用性イベント通知は、イベントの記録にのみ使用されます。高可用性イベント通知は、OIDLDAPDログ・ファイルに記録されます。

Oracle Internet Directoryには、失効したデータベース接続を検出するメカニズムもあり、これにより、データベースへの再接続が可能になります。

いずれのデータベース・インスタンスも使用できない状態が長く続いた場合は、OIDのLDAPおよびREPLの各プロセスは自動的に停止します。ただし、OIDMONとOPMNは、データベース・インスタンスの可用性に対してpingを継続し、データベースが使用可能になると、OIDMONによってOIDのプロセス(LDAPとREPL)が自動的に再起動されます。

すべてのデータベース・インスタンスが停止している場合でも、OIDMONは実行を継続し、opmnctl statusコマンドによってOIDLDAPDインスタンスの停止が示されます。データベース・インスタンスが利用可能になると、OIDMONは構成されているすべてのOIDインスタンスを再起動します。

OIDのアクティビティに起因するデータベースのフェイルオーバーはすべて、OIDMONログ・ファイルに記録されます。

8.3.2.3 Oracle Internet Directoryの前提条件

この項では、OIDの高可用性アーキテクチャを設定するための前提条件について説明します。

8.3.2.3.1 Oracle Internet Directoryノード間での時間の同期

高可用性環境でOIDを設定する前に、個々のOIDノードの時間が同期されていることを確認する必要があります。

グリニッジ標準時を使用して全ノードの時間を同期し、ノード間で250秒を超える差異が発生しないようにします。

OIDモニターが2つのノード間で250秒を超える時間の差異を検出すると、遅れているノードのOIDモニターがそのノード上のすべてのサーバーを停止します。この問題を修正するには、遅れているノードの時間を正しい時間に同期させます。OIDモニターは、システム時間の変更を自動的に検出し、そのノードのOIDサーバーを起動します。

2つ以上のノードがある場合は同様の動作が続きます。たとえば、3つのノードがあり、1つ目のノードが2つ目のノードより150秒進み、2つ目のノードは3つ目のノードより150秒進んでいるとします。この場合、3つ目のノードは最初のノードから300秒遅れているため、OIDモニターは時間が同期するまで3つ目のノードのサーバーを起動しません。

8.3.2.3.2 RCUを使用したリポジトリへのOracle Internet Directoryスキーマの作成

OIDHOST1およびOIDHOST2にOIDインスタンスをインストールする前に、リポジトリ作成ユーティリティ(RCU)の最新バージョンを使用して、Oracle Identity ManagementおよびManagement Serviceで使用するスキーマのコレクションを作成します。

最新バージョンのRCUの取得および実行の詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。

RCUを実行し、RACデータベース・リポジトリにアイデンティティ管理スキーマを作成する手順:

1. 次のコマンドを実行します。

   RCU_HOME/bin/rcu &

2. 「ようこそ」画面で「次へ」をクリックします。

3. 「リポジトリの作成」画面で、「作成」操作を選択してコンポーネント・スキーマを既存のデータベースにロードします。

   「次へ」をクリックします。

4. 「データベース接続の詳細」画面で、既存のデータベースの接続情報を次のように入力します。

   データベース・タイプ: Oracle Database

   ホスト名: データベースを実行しているコンピュータの名前。Oracle RACデータベースの場合は、VIP名またはノード名を指定します。例: INFRADBHOST1-VIPまたはINFRADBHOST2-VIP

   ポート: データベースのポート番号。例: 1521

   サービス名: データベースのサービス名。例: oid.example.com

   ユーザー名: SYS

   パスワード: SYSユーザーのパスワード

   ロール: SYSDBA

   「次へ」をクリックします。

5. 「コンポーネントの選択」画面で、新しい接頭辞を作成して、このデプロイメントに関連するコンポーネントを選択します。

   接頭辞の新規作成: idm(「コンポーネント」フィールドで「アイデンティティ管理」(Oracle Internet Directory - ODS)しか選択していない場合は、接頭辞の入力はオプションです)。

   コンポーネント: 「アイデンティティ管理」(Oracle Internet Directory - ODS)を選択します。その他のスキーマは選択を解除します。

   「次へ」をクリックします。

6. 「スキーマ・パスワード」画面で、主要なスキーマ・ユーザーおよび追加(補助)のスキーマ・ユーザーのパスワードを入力します。

   「次へ」をクリックします。

7. 「表領域のマップ」画面で、コンポーネントの表領域を選択します。

8. 「サマリー」画面で「作成」をクリックします。

9. 「完了サマリー」画面で「閉じる」をクリックします。

8.3.2.3.3 Oracle Internet Directory用のロード・バランサの仮想サーバー名

OIDを高可用性構成でデプロイする場合は、OIDインスタンスのフロントエンドに外部ロード・バランサを使用して、各種OIDインスタンス間のリクエストをロード・バランシングすることをお薦めします。詳細は、第8.2.5.4項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。

8.3.3 Oracle Internet Directoryの高可用性の構成手順

Oracle Internet Directoryは、スタンドアロン・モードまたはWebLogic Serverドメインの一部として可用性の高い構成にデプロイできます。

OIDの全体をコマンドライン・ツールで管理し、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerが必須でない場合は、スタンドアロン・モードのデプロイを選択します。後から、opmnctlコマンドを使用してリモートのドメインにスタンドアロンのOIDインスタンスを登録できます。

OIDをクラスタ・デプロイメント内に設定することをお薦めします(クラスタ化されたOIDインスタンスは、同じOracle RACデータベース・リポジトリにアクセスします)。

この項の内容は次のとおりです。

• 第8.3.1項「Oracle Internet Directoryコンポーネント・アーキテクチャ」

• 第8.3.2項「Oracle Internet Directoryの高可用性の概要」

• 第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」

• 第8.3.4項「Oracle Internet Directoryの高可用性の検証」

• 第8.3.5項「Oracle Internet Directoryのフェイルオーバーおよび予想される動作」

• 第8.3.6項「Oracle Internet Directoryの高可用性のトラブルシューティング」

• 第8.3.7項「Oracle Internet Directoryの高可用性に関するその他の問題」

8.3.3.1 Oracle Fusion Middlewareコンポーネントのインストール

この章では、Oracle Identity Management用にOracle WebLogic Server (WL_HOME)およびOracleホーム(ORACLE_HOME)に必要なバイナリをインストールする方法について説明します。

設定プロセスを開始する前に、リリース・ノートを読んで、インストールとデプロイメントに関して追加の考慮事項がないか確認することを強くお薦めします。

8.3.3.1.1 Oracle WebLogic Serverのインストール

最初のステップは、Oracle WebLogic Serverのインストールです。

最新バージョンのOracle Fusion Middlewareとともに使用するOracle WebLogic Serverのバージョンは、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のインストール開始点の概要に関する項を参照してください。

『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』で指定されているように、システム、パッチ、カーネルおよびその他の要件が満たされていることを確認します。

Oracle WebLogic Serverインストーラを起動して、次のステップに従います。

1. 「ようこそ」画面で「次へ」をクリックします。

2. 「ミドルウェア・ホーム・ディレクトリの選択」画面で、「新しいミドルウェア・ホームを作成する」を選択します。ソフトウェアのインストール先ディレクトリを選択します。

   「ミドルウェア・ホーム・ディレクトリ」に、次の値を指定します。

   /u01/app/oracleproduct/fmw
   

   「次へ」をクリックします。

3. 「セキュリティ更新のための登録」画面で、「My Oracle Support」のユーザー名とパスワードを入力して、セキュリティ・アップデートが通知されるようにします。

4. 「インストール・タイプの選択」画面では、完全インストールとカスタム・インストールのどちらを実行するかを指示するように求めるプロンプトが、インストール・プログラムによって表示されます。

   「カスタム」を選択します。

   「次へ」をクリックします。

5. 「製品とコンポーネントの選択」画面で、「Oracle JRockit SDK」のみを選択し、「次へ」をクリックします。

6. 「製品インストール・ディレクトリの選択」画面で、ディレクトリ/u01/app/oracle/fmw/wlserver_10.3を受け入れます。

   「次へ」をクリックします。

7. 「インストール・サマリー」画面に、インストール対象として選択したコンポーネントの一覧と、それらをインストールするために使用されるディスク領域の概算値が表示されます。

   「次へ」をクリックします。

8. 「インストール完了」画面で、「Quickstartの実行」チェック・ボックスの選択を解除します。

   「完了」をクリックします。

8.3.3.1.2 アイデンティティ管理用のOracle Fusion Middlewareのインストール

次の手順は、Oracle Fusion Middlewareコンポーネントをインストールすることです。

注意: インストールは共有記憶域で実行されるため、トポロジの残りのサーバーからは2つのMW_HOMEインストールにアクセスし、使用できます。

システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの一覧は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。

Linuxプラットフォームで、/etc/oraInst.locファイルが存在している場合には、その内容が正しいことを確認します。具体的には、インベントリ・ディレクトリが正しいこと、およびそのディレクトリに対する書込み権限が付与されていることを確認します。/etc/oraInst.locファイルが存在していない場合には、この手順をスキップします。

Oracle Fusion Middlewareコンポーネント用のインストーラを起動します。

UNIXの場合は、次のコマンドを発行します。

HOST1> runInstaller

Windowsの場合は、setup.exeをダブルクリックします。

インストールを開始する前に、次の環境変数が設定されていないことを確認してください。

• LD_ASSUME_KERNEL

• ORACLE_INSTANCE

「インベントリ・ディレクトリの指定」画面で、次の操作を行います。

• HOME/oraInventoryと入力します。HOMEは、インストールを実行するユーザーのホーム・ディレクトリです(この場所をお薦めします)。

• インストールを実行するユーザーのOSグループを入力します。「次へ」をクリックします。

UNIXのインストールの場合は、画面の手順に従ってrootとしてcreateCentralInventory.shを実行します。

「OK」をクリックします。

次の手順を実行します。

1. 「Oracleインベントリ・ディレクトリの指定」画面で、HOME/oraInventoryと入力します。HOMEは、ホーム・ディレクトリです(この場所をお薦めします)。

   インストールを実行するユーザーのOSグループを入力します。

   「次へ」をクリックします。

2. 「ようこそ」画面で「次へ」をクリックします。

3. 「インストール・タイプの選択」画面で、インストール-構成しないを選択します。

   「次へ」をクリックします。

4. 「前提条件のチェック」画面で、チェックが正常に完了したことを確認してから、「次へ」をクリックします。

5. 「インストール場所の指定」画面で、次の値を入力します。

   MW_HOME: MW_HOMEの値を入力します。例:

   /u01/app/product/fmw
   

   ドロップダウン・リストから、すでにインストールされているMiddlewareホームを選択します。「Oracleホーム」ディレクトリには、ディレクトリ名IDMを入力します。

   「次へ」をクリックします。

6. 「サマリー」画面で「インストール」をクリックします。

   プロンプトが表示されたら、LinuxおよびUNIXインストールでは、rootユーザーとして、スクリプトoracleRoot.shを実行します。

7. 「インストール完了」画面で「終了」をクリックします。

8.3.3.1.3 Oracle Identity Managementのアップグレード

アップグレードの詳細は、『Oracle Fusion Middlewareパッチ適用ガイド』の、最新のOracle Fusion Middlewareパッチ・セットの適用に関する項を参照してください。

1. ./runinstallerを実行してIDMアップグレード・インストーラを起動します。

2. 「ようこそ」画面で「次へ」をクリックします。

3. 「前提条件のチェック」画面で、「次へ」をクリックします。

4. 「インストール場所の指定」画面で、Oracle MiddlewareホームへのパスとOracleホーム・ディレクトリの名前を入力します。

5. 「インストール・サマリー」画面で、選択内容を確認して「インストール」をクリックします。

6. 「インストールの進行状況」画面に、インストールの進行状況が示されます。

   インストールが終了すると、oracleRoot.shの確認ダイアログ・ボックスが表示されます。このダイアログ・ボックスは、インストールを続行する前に構成スクリプトをrootユーザーとして実行する必要があることを示しています。確認ダイアログ・ボックスを開いたままにして、別のシェル・ウィンドウを開き、rootユーザーとしてログインして、スクリプト・ファイル/u01/app/oracle/product/fmw/id/oracleRoot.shを実行します。スクリプトが完了したら、確認ダイアログ・ボックスの「OK」をクリックします。

7. 「インストール完了」画面で「終了」をクリックして終了します。

8.3.3.2 WebLogicドメインを使用しないOracle Internet Directoryの構成

この項では、ドメインを使用せずにOracle Internet Directoryをデプロイする手順について説明します。

8.3.3.2.1 OIDHOST1でのOracle Internet Directoryの構成

スキーマ・データベースが実行中であり、RCUを使用してODSデータベース・スキーマをシードしてあることを確認してから、OIDHOST1上のOracle Internet Directoryインスタンスを構成します。

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. 第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」で説明しているように、Oracle Identity ManagementソフトウェアがOIDHOST1上にインストールされ、アップグレードされていることを確認します。

3. 使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート389と636がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":389" 
   
   netstat -an | grep LISTEN | grep ":636" 
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":389"
   
   netstat -an | findstr "LISTEN" | findstr ":636"
   

4. ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

   UNIXの場合:

   /etc/servicesファイルでポート389と636のエントリを削除して、サービスまたはコンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Internet Directoryのポート番号を指定する行は非コメント化)を割り当てます。

   # The Non-SSL port for OID
   Oracle Internet Directory Port No = 389
   # The SSL port for OID
   Oracle Internet Directory (SSL) Port No = 636
   

7. ORACLE_HOME/binディレクトリから構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

8. 「ようこそ」画面で「次へ」をクリックします。

9. 「ドメインの選択」画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。

10. 「インストール場所の指定」画面で、次の値を指定します。

    • Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。

    • Oracleホーム・ディレクトリ:

      /u01/app/oracle/product/fmw/idm
      

    • Oracleインスタンスの場所:

      /u01/app/oracle/admin/oid_instance1
      

    • Oracleインスタンス名:

      oid_instance1
      

      
      

      注意: OIDHOST1のOracleホームの場所を示すディレクトリ・ パスが、OIDHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OIDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。 /u01/app/oracle/product/fmw/idm この場合、OIDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。 /u01/app/oracle/product/fmw/idm

      
      

    「次へ」をクリックします。

11. 「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。

    • My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントの選択を解除して「次へ」をクリックします。

13. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

14. 「スキーマ・データベースの指定」画面で、既存のスキーマの使用を選択し、次の値を指定します。

    • 接続文字列:

      infradbhost1-vip.example.com:1521^infradbhost2-vip.example.com:1521@oid.example.com
      

      
      

      注意: Oracle RACデータベースの接続文字列の情報は、host1:port1^host2:port2@servicenameという短い形式で入力する必要があります。 インスタンス名を含む長い形式で接続文字列を入力しないでください。 入力する情報は、完全で正確である必要があります。各Oracle RACインスタンスのホストおよびポートを正しく入力する必要があります。すべてのOracle RACインスタンスに、指定したサービス名が構成されている必要があります。 Oracle RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。 このインストール時に、すべてのOracle RACインスタンスが起動している必要はありません。Oracle RACインスタンスが1つ起動されている場合、インストールを続行できます。

      
      

    • ユーザー名: ODS

    • パスワード: ******

    「次へ」をクリックします。

15. 「Oracle Internet Directoryの作成」画面で、レルムを指定し、管理者(cn=orcladmin)パスワードを入力して、「次へ」をクリックします。

16. 「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。

17. UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

    「次へ」をクリックします。

18. 「構成」画面で、複数のConfiguration Assistantが連続して起動されます。このプロセスが完了したら、「次へ」をクリックします。

19. 「インストール完了」画面で「終了」をクリックします。

8.3.3.2.2 Oracle Identity Managementのインストーラによって割り当てられるOracle Internet Directoryのコンポーネント名

Oracle Identity Management 11gインストーラを使用してOIDのインストールをインストールする場合、インストーラがOIDインスタンスに割り当てるデフォルトのコンポーネント名はoid1です。このコンポーネント名は変更できません。

このOIDインスタンスのインスタンス固有の構成エントリは、cn=oid1, cn=osdldapd, cn=subconfigsubentryです。

別のコンピュータ上で2つ目のOIDのインストールを実行し、そのOIDインスタンスで1つ目のインスタンスと同じデータベースを使用する場合、インストーラは、同じOracleデータベースを使用する他のコンピュータにすでにインストールされているOIDインスタンスを検出し、2つ目のOIDインスタンスにはコンポーネント名oid2を割り当てます。

2つ目のOIDインスタンスのインスタンス固有の構成エントリは、cn=oid2, cn=osdldapd, cn=subconfigsubentryです。エントリcn=oid2, cn=osdldapd, cn=subconfigsubentryのプロパティを変更しても、1つ目のインスタンス(oid1)には影響しません。

さらに別のコンピュータ上に3つ目のOIDがインストールされ、このインスタンスでも、前の2つのインスタンスと同じデータベースを使用する場合、インストーラは3つ目のOIDインスタンスにコンポーネント名oid3を割り当て、同じデータベースを使用する別のホストの追加のインスタンスにも、このような方法でコンポーネント名が割り当てられます。

すべてのOIDインスタンスで共有される構成は、cn=dsaconfig, cn=configsets,cn=oracle internet directoryです。このエントリに変更が加えられた場合は、OIDのすべてのインスタンスに影響します。

このネーミング・スキームによって、各OIDインスタンスに異なるコンポーネント名が割り当てられるため、Oracle Enterprise Managerを使用してドメインを表示する際に混乱を回避できます。

8.3.3.2.3 OIDHOST2でのOracle Internet Directoryの構成

OIDリポジトリが実行されていることを確認してから、次の手順に従ってOIDHOST2上のOIDインスタンスを構成します。

注意: この項で説明する手順は、11g Oracle Identity Managementの高可用性構成でOIDをスケール・アウトするときにも使用できます。

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. 第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOIDHOST2にインストールされ、アップグレードされていることを確認します。

3. OIDHOST1では、OIDにポート389と636が使用されています。OIDHOST2のOIDインスタンスにも同じポートを使用する必要があります。したがって、 ポート389および636がOIDHOST2上のサービスによって使用されていないことを確認するために、使用しているオペレーティング・システムに応じて次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":389" 
   
   netstat -an | grep LISTEN | grep ":636" 
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":389"
   
   netstat -an | findstr "LISTEN" | findstr ":636"
   

4. ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

   UNIXの場合:

   /etc/servicesファイルでポート389と636のエントリを削除して、サービスまたはコンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(OIDのポート番号を指定する行は非コメント化)を割り当てます。

   # The Non-SSL port for OID
   Oracle Internet Directory Port No = 389
   # The SSL port for OID
   Oracle Internet Directory (SSL) Port No = 636
   

7. ORACLE_HOME/binディレクトリで構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを実行します。

   Windowsでは、config.exeをダブルクリックします。

8. 「ようこそ」画面で「次へ」をクリックします。

9. 「ドメインの選択」画面で「ドメインなしで構成」を選択します。「次へ」をクリックします。

10. 「インストール場所の指定」画面で、次の値を指定します。

    • Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。

    • Oracleホーム・ディレクトリ:

      /u01/app/oracle/product/fmw/idm
      

    • Oracleインスタンスの場所:

      /u01/app/oracle/admin/oid_instance2
      

    • Oracleインスタンス名:

      oid_instance2
      

      
      

      注意: OIDHOST2のOracleホームの場所を示すディレクトリ パスが、OIDHOST1のOracleホームの場所を示すパスと同じであることを確認します。たとえば、OIDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。 /u01/app/oracle/product/fmw/idm この場合、OIDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。 /u01/app/oracle/product/fmw/idm

      
      

    「次へ」をクリックします。

11. 「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。

    • My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントの選択を解除して「次へ」をクリックします。

13. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

14. 「スキーマ・データベースの指定」画面で、既存のスキーマの使用を選択し、次の値を指定します。

    • 接続文字列:

      infradbhost1-vip.example.com:1521^infradbhost2-vip.example.com:1521:@oid.example.com
      

      
      

      注意: Oracle RACデータベース接続文字列情報は、次のような短い形式で入力する必要があります。 host1:port1:instance1^host2:port2:instance2@servicename インスタンス名を含む長い形式で接続文字列を入力しないでください。 接続文字列の情報は、完全で正確である必要があります。具体的には、各Oracle RACインスタンスに正しいホストおよびポートを入力し、指定したすべてのOracle RACインスタンス用に構成されているサービス名を入力する必要があります。 Oracle RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。 インストール時に、すべてのOracle RACインスタンスを起動する必要はありません。1つのOracle RACインスタンスが起動されていれば、インストールを続行できます。

      
      

    • ユーザー名: ODS

    • パスワード: ******

    「次へ」をクリックします。

15. ODSスキーマが使用中であることを示すメッセージが表示されます。選択したODSスキーマは、既存のOIDインスタンスによってすでに使用されています。したがって、構成中の新しいOIDインスタンスは、この同じスキーマを再利用します。

    「はい」を選択して続行します。

16. 「OID管理者パスワードの指定」画面で、OID管理者のパスワードを指定し、「次へ」をクリックします。

17. 「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。

18. UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

    「次へ」をクリックします。

19. 「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。

20. 「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.3.3.2.4 WebLogicドメインへのOracle Internet Directoryの登録

Oracle Enterprise Manager Fusion Middleware Controlを使用してOIDコンポーネントを管理する場合は、コンポーネントとそれを含むOracle Fusion MiddlewareインスタンスをOracle WebLogic Serverドメインに登録する必要があります。インストール時またはOracleインスタンスの作成時に、Oracle Fusion MiddlewareインスタンスをWebLogicドメインに登録できますが、必須事項ではありません。

WebLogicドメインにOIDコンポーネントを登録するには、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のWebLogic ServerにおけるOracle Fusion Middlewareインスタンスまたはコンポーネントの登録に関する項を参照してください。

8.3.3.3 WebLogicドメインを使用したOracle Internet Directoryの構成

この構成では、1つ目のホストにOIDとWebLogic Serverドメインが構成され、2つ目のホストにはOIDのみが構成されます。2つ目のホストのOIDインスタンスは、1つ目のホストで作成されたドメインに参加します。

8.3.3.3.1 OIDHOST1でのOracle Internet Directoryの構成

スキーマ・データベースが実行中であり、RCUを使用してODSデータベース・スキーマをシードしてあることを確認してから、次の手順に従ってOIDHOST1上のOIDインスタンスを構成します。

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. 第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOIDHOST1にインストールされ、アップグレードされていることを確認します。

3. 使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート389と636がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":389" 
   
   netstat -an | grep LISTEN | grep ":636" 
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":389"
   
   netstat -an | findstr "LISTEN" | findstr ":636"
   

4. ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

   UNIXの場合:

   /etc/servicesファイルでポート389と636のエントリを削除して、サービスまたはコンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(OIDのポート番号を指定する行は非コメント化)を割り当てます。

   # The Non-SSL port for OID
   Oracle Internet Directory Port No = 389
   # The SSL port for OID
   Oracle Internet Directory (SSL) Port No = 636
   

7. ORACLE_HOME/binで構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを実行します。

   Windowsでは、config.exeをダブルクリックします。

8. 「ようこそ」画面で「次へ」をクリックします。

9. 「ドメインの選択」画面で、新規ドメインの作成を選択します。次の値を指定します。

   • ユーザー名: weblogic

   • パスワード: weblogicユーザーのパスワード

   • パスワードの確認: weblogicユーザーのパスワードを再度入力します

   • ドメイン名: IDMDomain

10. 「インストール場所の指定」画面で、次の値を指定します。

    • Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。

    • Oracleホーム・ディレクトリ:

      /u01/app/oracle/product/fmw/idm
      

    • WebLogic Serverのディレクトリ:

      /u01/app/oracle/product/fmw/wlserver_10.3
      

    • Oracleインスタンスの場所:

      /u01/app/oracle/admin/oid_inst1
      

    • Oracleインスタンス名:

      oid_inst1
      

      
      

      注意: OIDHOST1のOracleホームの場所を示すディレクトリ・ パスが、OIDHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OIDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。 /u01/app/oracle/product/fmw/idm OIDHOST2のOracleホーム位置のディレクトリ・パスは、次のとおりである必要があります。 /u01/app/oracle/product/fmw/idm

      
      

    「次へ」をクリックします。

11. 「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。

    • My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントの選択を解除して「次へ」をクリックします。

13. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

    
    

    注意: インストーラによって設定されるデフォルトのOracle WebLogic Serverのクラスタ・モードは、(マルチキャストではなく)ユニキャストになります。

    
    

14. 「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択し、次の値を指定します。

    • 接続文字列:

      infradbhost1-vip.example.com:1521:oiddb1^infradbhost2-vip.example.com:1521:oiddb2@oid.example.com
      

      
      

      注意: Oracle RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。 インストール時に、すべてのOracle RACインスタンスを起動する必要はありません。1つのOracle RACインスタンスが起動されていれば、インストールを続行できます。 前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各Oracle RACインスタンスに正しく指定されている必要があります。また、指定したOracle RACインスタンスのすべてにサービス名が構成されている必要があります。 Oracle RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。

      
      

    • ユーザー名: ODS

    • パスワード: ******

    「次へ」をクリックします。

15. 「OIDの構成」画面で、レルムを指定し、管理者(cn=orcladmin)パスワードを入力して、「次へ」をクリックします。

16. 「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。

17. UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

    「次へ」をクリックします。

18. 「構成」画面で、複数のConfiguration Assistantが連続して起動されます。このプロセスが完了したら、「次へ」をクリックします。

19. 「インストール完了」画面で「終了」をクリックします。

    
    

    注意: インストーラによって割り当てられるOIDコンポーネント名の詳細は、第8.3.3.2.2項「Oracle Identity Managementのインストーラによって割り当てられるOracle Internet Directoryのコンポーネント名」を参照してください。

    
    

8.3.3.3.2 OIDHOST1での管理サーバー用boot.propertiesの作成

boot.propertiesファイルを使用すると、administratorのユーザー名とパスワードの入力を求められることなく管理サーバーを起動できます。

boot.propertiesファイルを作成する手順は次のとおりです。

1. OIDHOST1で、次のディレクトリに移動します。

   ORACLE_HOME/user_projects/domains/domainName/servers/AdminServer/security
   

   例:

   cd /u01/app/oracle/product/fmw/user_projects/domains/IDMDomain/servers/AdminServer/security
   

2. テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。

   username=adminUser
   password=adminUserPassword
   

   
   

   注意: 管理サーバーを起動すると、ファイル内のユーザー名とパスワードのエントリは暗号化されます。 セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルの編集後は、速やかにサーバーを起動してエントリを暗号化する必要があります。

   
   

3. 管理サーバーが実行されている場合は停止します。

   WebLogic Serverの起動と停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の、Oracle Fusion Middlewareの起動と停止に関する項を参照してください。

4. ORACLE_HOME/user_projects/domains/domainName/binディレクトリにあるstartWebLogic.shスクリプトを使用して、OIDHOST1上の管理サーバーを起動します。

5. Webブラウザを開いて次のページにアクセスし、変更が正常に行われたことを確認します。

   • WebLogic Server管理コンソール:

     http://oidhost1.example.com:7001/console
     

   • Oracle Enterprise Manager Fusion Middleware Control:

     http://oidhost1.example.com:7001/em
     

   weblogicユーザーの資格証明を使用して、これらのコンソールにログインします。

8.3.3.3.3 OIDHOST2でのOracle Internet Directoryの構成

OIDリポジトリが実行されていることを確認してから、次の手順に従ってOIDHOST2上のOIDインスタンスを構成します。

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. 第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOIDHOST2にインストールされ、アップグレードされていることを確認します。

3. OIDHOST1では、OIDにポート389と636が使用されています。OIDHOST2のOIDインスタンスにも同じポートを使用する必要があります。したがって、 ポート389および636がOIDHOST2上のサービスによって使用されていないことを確認するために、使用しているオペレーティング・システムに応じて次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":389" 
   
   netstat -an | grep LISTEN | grep ":636" 
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":389"
   
   netstat -an | findstr "LISTEN" | findstr ":636"
   

4. ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

   UNIXの場合:

   /etc/servicesファイルでポート389と636のエントリを削除して、サービスまたはコンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(OIDのポート番号を指定する行は非コメント化)を割り当てます。

   # The Non-SSL port for OID
   Oracle Internet Directory Port No = 389
   # The SSL port for OID
   Oracle Internet Directory (SSL) Port No = 636
   

7. 次のように、ORACLE_HOME/binディレクトリにある構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

8. 「ようこそ」画面で「次へ」をクリックします。

9. 「ドメインの選択」画面で、既存ドメインの拡張を選択して、次の値を指定します。

   • ホスト名: idmhost1.example.com (WebLogic管理サーバーを実行しているホスト)

   • ポート: 7001(これはWebLogic管理サーバーのポートです。)

   • ユーザー名: weblogic

   • パスワード: weblogicユーザーのパスワード

10. 「インストール場所の指定」画面で、次の値を指定します。

    • Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。

    • Oracleホーム・ディレクトリ: idm

    • WebLogic Serverのディレクトリ:

      /u01/app/oracle/product/fmw/wlserver_10.3
      

    • Oracleインスタンスの場所:

      /u01/app/oracle/admin/oid_inst2
      

    • Oracleインスタンス名: oid_inst2

      
      

      注意: OIDHOST1のOracleホームの場所を示すディレクトリ・ パスが、OIDHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OIDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。 /u01/app/oracle/product/fmw/idm この場合、OIDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。 /u01/app/oracle/product/fmw/idm

      
      

    「次へ」をクリックします。

11. 「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。

    • My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、「次へ」を選択します。

13. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

14. 「スキーマ・データベースの指定」画面で、既存のスキーマの使用を選択し、次の値を指定します。

    • 接続文字列:

      infradbhost1-vip.example.com:1521:oiddb1^infradbhost2-vip.example.com:1521:oiddb2@oid.example.com
      

      
      

      注意: Oracle RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。 このインストール時に、すべてのOracle RACインスタンスを起動する必要はありません。1つのOracle RACインスタンスが起動されていれば、インストールを続行できます。 前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各Oracle RACインスタンスに正しく指定されている必要があります。また、指定したOracle RACインスタンスのすべてにサービス名が構成されている必要があります。 Oracle RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。

      
      

    • ユーザー名: ODS

    • パスワード: ******

    「次へ」をクリックします。

15. ODSスキーマが使用中であることを示すメッセージが表示されます。選択したODSスキーマは、既存のOIDインスタンスによってすでに使用されています。したがって、構成中の新しいOIDインスタンスは、この同じスキーマを再利用します。

    「はい」を選択して続行します。

16. OID管理パスワードの指定画面で、OID管理者のパスワードを指定し、「次へ」をクリックします。

17. 「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。

18. UNIXシステムでは、「インストールの進行状況」画面に、oracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

    「次へ」をクリックします。

19. 「構成」画面で、複数のConfiguration Assistantが連続して起動されます。終了したら、「次へ」をクリックします。

20. 「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.3.4 Oracle Internet Directoryの高可用性の検証

ldapbindコマンドライン・ツールを使用して、各OIDインスタンスとLDAP仮想サーバーに接続できることを確認します。ldapbindツールでは、サーバーに対してクライアントを認証できるかどうかを確認できます。

注意: ldapbindコマンドを使用する前に設定が必要な環境変数の一覧は、Oracle Fusion Middleware Oracle Identity Managementリファレンスで、環境の構成に関する項を参照してください。

非SSLの場合:

ldapbind -h oidhost1.example.com -p 389 -D "cn=orcladmin" -q
ldapbind -h oidhost2.example.com -p 389 -D "cn=orcladmin" -q
ldapbind -h oid.example.com -p 389 -D "cn=orcladmin" -q

注意: -qオプションを指定すると、ユーザーにパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。

SSLの場合:

ldapbind -h oidhost1.example.com -p 636 -D "cn=orcladmin" -q -U 1
ldapbind -h oidhost2.example.com -p 636 -D "cn=orcladmin" -q -U 1
ldapbind -h oid.example.com -p 636 -D "cn=orcladmin" -q -U 1

-Uは、SSL認証モードの指定に使用されるオプション引数です。SSL認証モードに有効な値は次のとおりです。

• 1 = 認証は必要ありません。

• 2 = 一方向認証が必要です。このオプションを使用する場合は、ウォレットの場所(-W "file:/home/my_dir/my_wallet")およびウォレットのパスワード(-P wallet_password)も指定する必要があります。

• 3 = 双方向認証が必要です。このオプションを使用する場合は、ウォレットの場所(-W "file:/home/my_dir/my_wallet")およびウォレットのパスワード(-P wallet_password)も指定する必要があります。

ldapbindコマンドの詳細は、Oracle Fusion Middleware Oracle Identity Managementリファレンスのldapbindに関する項を参照してください。

OIDに対するSSLの設定の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のSecure Sockets Layer (SSL)の構成に関する項を参照してください。

次のURLのWebLogic Server管理コンソールにアクセスします。

http://oidhost1.example.com:7001/console

Oracle Enterprise Manager Fusion Middlewareコンソール

http://oidhost1.example.com:7001/em

8.3.5 Oracle Internet Directoryのフェイルオーバーおよび予想される動作

この項では、OIDのフェイルオーバーとOracle RACのフェイルオーバーを実行する手順を説明します。

8.3.5.1 Oracle Internet Directoryのフェイルオーバーの実行

OIDインスタンスのフェイルオーバーを実行し、OIDのステータスをチェックする手順:

1. OIDHOST1で、opmnctlコマンドを使用して、OIDインスタンスを停止します。

   ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=oid1
   

2. OIDHOST2で、ロード・バランシング・ルーターを使用して、OIDのステータスをチェックします。

   
   

   注意: ldapbindコマンドを使用する前に設定が必要な環境変数の一覧は、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』の環境の構成に関する項を参照してください。

   
   

   ldapbind -h oid.example.com -p 389 -D "cn=orcladmin" -q
   

   
   

   注意: 前述の-qオプションを指定すると、パスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。

   
   

3. OIDHOST1で、opmnctlコマンドを使用して、OIDインスタンスを起動します。

   ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
   ORACLE_INSTANCE/bin/opmnctl startproc ias-component=oid1
   

4. OIDHOST2で、opmnctlコマンドを使用して、OIDインスタンスを停止します。

   ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=oid1
   

5. OIDHOST1で、ロード・バランシング・ルーターを使用して、OIDのステータスをチェックします。

   ldapbind -h oid.example.com -p 389 -D "cn=orcladmin" -q
   

6. OIDHOST2で、opmnctlコマンドを使用して、OIDインスタンスを起動します。

   ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
   ORACLE_INSTANCE/bin/opmnctl startproc ias-component=oid1
   

8.3.5.2 Oracle RACフェイルオーバーの実行

Oracle RACフェイルオーバーを実行する手順は次のとおりです。

1. srvctlコマンドを使用して、データベース・インスタンスを停止します。

   srvctl stop instance -d db_unique_name -i inst_name_list
   

2. srvctlコマンドを使用して、データベース・インスタンスのステータスを確認します。

   srvctl status database -d db_unique_name -v
   

3. Oracle Internet Directoryのステータスを確認します。

   
   

   注意: ldapbindコマンドを使用する前に設定が必要な環境変数の一覧は、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』の環境の構成に関する項を参照してください。

   
   

   ldapbind -h oid_host1 -p 389 -D "cn=orcladmin" -q
   ldapbind -h oid_host2 -p 389 -D "cn=orcladmin" -q
   ldapbind -h oid.example.com -p 389 -D "cn=orcladmin" -q
   

   
   

   注意: 前述の-qオプションを指定すると、ユーザーのパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。

   
   

4. srvctlコマンドを使用して、データベース・インスタンスを起動します。

   srvctl start instance -d db_unique_name -i inst_name_list
   

8.3.6 Oracle Internet Directoryの高可用性のトラブルシューティング

この項では、OIDの高可用性の問題のトラブルシューティングに役立つ情報について説明します。

• OIDのログ・ファイルは次のディレクトリにあります。

  ORACLE_INSTANCE/diagnostics/log/OID
  

• トラブルシューティングの際に調査するログ・ファイルの順序は次のとおりです。

  1. oidmon-xxx.log

  2. oidldapd01-xxxx.log

  3. oidldapd01s-xxxx.log

• この項では、高可用性に関連するエラー・メッセージの一部とその意味を示します。

  エラー: ログ・ファイルにORA-3112、ORA-3113エラーがあります

  原因: データベース・ノードのいずれかが停止し、障害が発生していないノードにOIDが再接続します。

  処置: データベース・ノードの停止、またはOracleプロセスの停止の原因を確認します。

  エラー: フェイルオーバーしています...ログ・ファイルでスタンバイしてください

  原因: OIDサーバーがOracleプロセスからデータベース・ノードのいずれかが停止したことを知らせる通知を受信しました。OIDは障害が発生していないノードに接続します。

  フェイルオーバーが正常完了すると、次のメッセージが表示されます。

  フェイルオーバーが終了しました...サービスを再開しています

  フェイルオーバーが失敗すると、次のようなエラーが表示されます。

  a. 10回試行しましたが、フェイルオーバー機能を終了しています

  b. 無効なフェイルオーバー・イベント:

  c. セッションのDBパラメータを設定できないため、フェイルオーバーを強制終了しました

  高可用性イベント通知が有効な場合は、次のようなメッセージが表示されます。

  HA Callback Event
  Thread Id: 8
  Event type: 0
  HA Source: OCI_HA_INSTANCE
  Host name: dbhost1
  Database name: orcl
  Instance name: orcl1
  Timestamp: 14-MAY-09 03.25.24 PM -07:00
  Service name: orcl.example.com
  HA status: DOWN - TAF Capable
  

  TAFが無効な場合、HAステータスは「DOWN」と表示されます。

  処置: データベース・ノードが停止した原因を確認します。

  エラー: ノード1とノード2の間で250秒以上の時間差異が検出されました.

  原因: 2つのノード間の時間に差異があります。

  処置: システム時間を同期します。

  エラー: ノード=%が構成された%d回までに応答しませんでした。フェイルオーバーしています...

  原因: OIDノード(oidmon)のいずれかが応答しません。

  処置: ノードが稼働中か、またはOIDMONプロセスが実行中であるかを確認します。

OIDのトラブルシューティングの詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。

8.3.7 Oracle Internet Directoryの高可用性に関するその他の問題

この項では、高可用性環境のOracle Internet Directoryに関する問題について説明します。

8.3.7.1 Oracle Internet Directoryで使用されるODSスキーマのパスワードの変更

Oracle Internet Directory Database Password Utility (oidpasswd)を使用すると、どのOIDのノードからもOIDデータベースのスキーマ・パスワード(データベースのODSユーザーのパスワード)を変更できます。ただし、ODSスキーマ・パスワードは、各OIDインスタンスのORACLE_INSTANCEにあるパスワード・ウォレットに格納されるため、それぞれのOIDノードでパスワード・ウォレットを更新する必要があります。

ODSデータベース・ユーザー・パスワードを変更するには、いずれかのOIDノードから次のコマンドを呼び出します。

oidpasswd connect=database-connection-string change_oiddb_pwd=true

その他のすべてのOIDノードで、次のコマンドを使用して、パスワード・ウォレットを同期化します。

oidpasswd connect=database-connection-string create_wallet=true

OID Database Password Utility (oidpasswd)を使用して、Oracle RACノードの1つでODSパスワードを変更する場合は、次のいずれかを実行して、他のOracle RACノードのウォレットORACLE_HOME/ldap/admin/oidpwdlldap1を更新する必要があります。

• その他のすべてのノードでOID Database Password Utilityを起動して、ウォレット・ファイルのみを更新します。これは、レプリケーション・パスワードの変更にも当てはまりますが、レプリケーション・パスワードの変更には、OID Database Password Utilityではなくレプリケーション環境管理ツールを使用してパスワードを更新します。

• 変更後のウォレットを他のノードにコピーします。

1つのノードでしかoidpasswdコマンドを実行し、すべてのOracle RACノードのウォレットを更新していない場合、2つ目のノードのOIDインスタンスは、他のノードで起動できません。このエラーは、OIDMONログ・ファイルに次のように表示されます。

[gsdsiConnect] ORA-1017, ORA-01017: invalid username/password; logon denied.

これを修正するには、oidpwdlldap1ファイルを他のOracle RACノードにコピーするか、他のノードでオプションcreate_wallet=trueオプションを指定してoidpasswdツールを起動します。

8.4 Oracle Virtual Directoryの高可用性

この項では、Oracle Virtual Directoryの概要およびOracle Virtual Directoryの高可用性環境の設計とデプロイについて説明します。

この項の内容は次のとおりです。

• 第8.4.1項「Oracle Virtual Directoryコンポーネント・アーキテクチャ」

• 第8.4.2項「Oracle Virtual Directoryの高可用性の概要」

• 第8.4.3項「Oracle Virtual Directoryの高可用性の構成手順」

• 第8.4.4項「Oracle Virtual Directoryの高可用性の検証」

• 第8.4.5項「Oracle Virtual Directoryのフェイルオーバーおよび予想される動作」

• 第8.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」

8.4.1 Oracle Virtual Directoryコンポーネント・アーキテクチャ

Oracle Virtual DirectoryはLDAP Version 3対応のサービスであり、1つ以上のエンタープライズ・データ・ソースを単一のディレクトリ・ビューに仮想的に抽象化します。Oracle Virtual Directoryを使用すると、インフラストラクチャとアプリケーションのいずれかを変更する必要性を最小限に抑えるか、またはその必要性をなくして、LDAPを認識するアプリケーションを多様なディレクトリ環境に統合できます。図8-3に示すように、Oracle Virtual DirectoryはWebアプリケーションやポータルなど、一連の各種クライアントをサポートし、ディレクトリ、データベース、およびWebサービスに接続できます。

図8-3は、非高可用性アーキテクチャのOracle Virtual Directoryを示しています。

図8-3 非高可用性アーキテクチャのOracle Virtual Directory

「図8-3 非高可用性アーキテクチャのOracle Virtual Directory」の説明

Oracle Virtual Directoryサーバーは、Javaで作成され、内部は複数の層で構成されます。この層は論理的な層で、管理者やクライアントからはOracle Virtual Directoryは1つの完全なサービスのように見えます。

8.4.1.1 Oracle Virtual Directoryランタイムの考慮事項

OPMNは、Oracle Virtual Directoryプロセスを起動、監視、および管理するために使用され、Oracle Virtual Directoryプロセスが停止した場合はそれを再起動するために使用されます。Oracle Virtual Directoryインスタンスは、Oracle Enterprise Manager Fusion Middleware Controlを使用しても起動および停止できます。Oracle Virtual Directoryインスタンスを起動および停止するためのOPMNCTLやEnterprise Managerの使用方法の詳細は、Oracle Fusion Middleware Oracle Virtual Directoryに関する管理者ガイドを参照してください。

Oracle Virtual Directoryのインストール時にインストールされるJPSを除き、Oracle Virtual Directoryには外部依存性はありません。独立して実行できます。

Oracle Virtual Directoryは、LDAPオブジェクトをローカル・ファイルシステムに格納するように構成できます。この機能はJPSおよびその他のコンポーネントで使用できます。

Oracle Virtual Directoryには、2つのタイプのリスナー(LDAPとHTTP)があります。いずれのリスナーも基本プロトコルに加えてSSL/TLSもサポートします。LDAP層にはデジタル証明認証をサポートするLDAP-SASLに対応する機能もあります。

LDAPプロトコルは、LDAPv2/v3ベースのサービスを提供し、HTTPプロトコルはDSMLv2などの1つ以上のサービスや、XSLT対応のWebゲートウェイによる基本的なホワイト・ページ機能を提供します。

運用の特質に応じて、クライアント接続は永続または短期のいずれかにできます。

8.4.1.2 Oracle Virtual Directoryコンポーネントの特性

この項では、Oracle Virtual Directoryの様々な構成アーティファクトについて説明します。次のOracle Virtual Directory構成ファイルは、ORACLE_INSTANCE/config/OVD/OVDComponentNameにあります。

• server.os_xml:

  Oracle Virtual Directoryには、サーバーが匿名ユーザーや認証ユーザーに返すことができるエントリの数などの項目を管理する機能があります。また、インバウンド・トランザクション・トラフィックを制限することもできます。これは、プロキシ設定されたソースをサービス拒否攻撃から保護するため、またはLDAPトラフィックを制限して一定のディレクトリ・インフラストラクチャ・リソースへのアクセスを制御するために利用できます。これらを含むプロパティはserver.os_xmlで構成されます。

• listeners.os_xml:

  Oracle Virtual Directoryは、リスナーと呼ばれる接続を介してクライアントにサービスを提供します。Oracle Virtual Directoryでは、2つのタイプのリスナー(LDAPとHTTP)をサポートします。Oracle Virtual Directoryの構成では、任意の数のリスナーを設定できます。また、リスナーを設定しないことにより、アクセスを管理ゲートウェイのみに制限することもできます。ほとんどのOracle Virtual Directoryのデプロイでは、2つのHTTPリスナーと2つのLDAPリスナーが必要になります。この場合、各プロトコルで一方のリスナーがSSL、もう一方が非SSLに使用されます。リスナー構成ファイルは、listeners.os_xmlです。

• adapters.os_xml:

  複数かつ様々なデータ・リポジトリにあるデータの単一の仮想ディレクトリ・ビューを表示するには、Oracle Virtual Directoryをこれらのリポジトリに接続して、データの仮想化とリポジトリ間でのデータのルーティングを可能にする必要があります。Oracle Virtual Directoryは、基盤となるデータ・リポジトリへの接続にアダプタを使用します。各アダプタが、特定の親識別名(DN)で識別されるディレクトリのネームスペースを管理します。構成可能なアダプタの数に制限はありません。また、アダプタの結合やオーバーラップによって、カスタマイズされたディレクトリ・ツリーを表示することもできます。アダプタの構成ファイルは、adapters.os_xmlです。

  
  

  注意: Oracle Virtual DirectoryとプロキシLDAPディレクトリとの間の非SSL認証接続の構成の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドを参照してください。この手順は、匿名暗号をサポートするように構成されている任意のプロキシLDAPディレクトリに対して使用できます。

  
  

• acls.os_xml

  Oracle Virtual Directoryは、接続されたすべてのデータ・ストアに一様に適用できる詳細なアクセス制御を提供します。また、Internet Engineering Task ForceのRFC 2820「Access Control Requirements for LDAP」にも準拠しています。アクセス制御のルールは、IETFの「LDAP Access Control Model for LDAPv3」(2001年3月2日草稿)というタイトルのインターネット・ドラフトに基づいてモデル化されています。

  Oracle Virtual Directoryは、1つ以上のエンタープライズ・データ・ソースを単一のディレクトリ・ビューに仮想的に抽象化します。このためアクセス制御リスト(ACL)とアダプタのネームスペースは相互に独立しています。ネームスペース内のすべてのエントリの削除やアダプタのルート値を変更しても、ACLに対して自動的に作用することはありません。ACLとアダプタのネームスペースは、相互に独立して構成する必要があります。ACL構成ファイルは、acls.os_xmlです。

Oracle Virtual Directoryインスタンス固有のデータは、ORACLE_INSTANCEホームに格納されます。ウォレットもインスタンスのホームに格納されます。

単一のOracle Virtual Directoryインスタンスで障害が発生した場合は、OPMNを使用してインスタンスを再起動します。

8.4.1.2.1 Oracle Virtual Directoryのログ・ファイル

Oracle Virtual Directoryインスタンスのログ・ファイルは、インスタンスのホームにある次のディレクトリに保存されます。

ORACLE_INSTANCE/diagnostics/logs/OVD/OVDComponentName/

Oracle Virtual Directoryのログ・ファイルを使用したOracle Virtual Directoryに関する問題のトラブルシューティングについては、第8.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」を参照してください。

8.4.2 Oracle Virtual Directoryの高可用性の概要

この項では、Oracle Virtual Directoryを2ノードのクラスタ構成による高可用性で使用する場合の概要について説明します。前提条件については、第8.4.2.2項「Oracle Virtual Directoryの前提条件」を、2ノードのクラスタを設定するための固有の手順については、第8.4.3項「Oracle Virtual Directoryの高可用性の構成手順」を参照してください。

8.4.2.1 Oracle Virtual Directoryの高可用性アーキテクチャ

図8-4は、Oracle Virtual Directoryのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。

図8-4 高可用性環境のOracle Virtual Directory

「図8-4 高可用性環境のOracle Virtual Directory」の説明

2ノードのクラスタはインストール時に設定されます。ロード・バランシング・ルーターによって、2つのOracle Virtual Directoryインスタンスにリクエストがルーティングされます。これらのインスタンスはOVDHOST1およびOVDHOST2上にあり、クラスタ化されています。Oracle RACインスタンスが使用不可になった場合の通知には、高速接続フェイルオーバー(FCF)が使用されます。

2つのコンピュータには同一のOracle Virtual Directoryが構成されています。各インスタンスのOracle Virtual Directory構成は、それぞれのORACLE_INSTANCEに格納されます。各Oracle Virtual Directoryインスタンスの構成は、Oracle Directory Services Managerを使用して別々に更新し、それぞれ一度に1つのOracle Virtual Directoryインスタンスに接続する必要があります。これにかわる方法としては、一方のOracle Virtual Directoryインスタンスの構成を更新し、クローニングを使用してもう一方のOracle Virtual Directoryインスタンスに構成をコピーします。

注意: Oracle Virtual Directoryの構成を管理するには、Oracle Directory Services Managerを使用する必要があります。Oracle Virtual Directoryインスタンスの構成を更新する際に、ロード・バランサを介してOracle Directory Services ManagerをOracle Virtual Directoryに接続しないでください。このインスタンスの構成を更新するには、物理的なOracle Virtual Directoryインスタンスに明示的に接続する必要があります。

OPMNを使用してOracle Virtual Directoryインスタンスの起動と停止をします。複数のOracle Virtual Directoryインスタンスを含むクラスタを起動する場合、クラスタ内の各Oracle Virtual Directoryインスタンスに影響はありません。

ロード・バランシング・ルーターによってOracle Virtual Directoryインスタンスの停止または障害が検出されると、障害が発生していないインスタンスにLDAPおよびHTTPトラフィックがルーティングされます。障害が発生したインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、障害が発生していないすべてのインスタンスにトラフィックがルーティングされます。

トランザクションの途中でインスタンスに障害が発生した場合は、このトランザクションはバックエンドにコミットされません。

2ノードのOracle Virtual Directoryクラスタで一方のOracle Virtual Directoryインスタンスに障害が発生した場合、ロード・バランシング・ルーターによってこれが検出され、クラスタ内で障害が発生していないインスタンスにLDAPクライアント・トラフィックがルーティングされます。障害があったOracle Virtual Directoryインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、クラスタ内で障害が発生していないインスタンスにLDAPクライアント・トラフィック・インスタンスがルーティングされます。

8.4.2.1.1 Oracle Virtual Directoryの高可用性の接続機能

Oracle Virtual Directoryには、次のように高可用性に関する多数の機能があります。

• フォルト・トレランスとフェイルオーバー: Oracle Virtual Directoryのフォルト・トレランスには、次の2つの形態があります。

  • フォルト・トレラント構成内で構成できる

  • フォルト・トレラント・プロキシ・ソースへのフローを管理できる

  構成ファイルをコピーまたは共有することにより、複数のOracle Virtual Directoryを迅速にデプロイできます。ラウンドロビンDNS、リダイレクタまたはクラスタ・テクノロジと組み合せると、Oracle Virtual Directoryは完全なフォルト・トレラント・ソリューションとなります。

  プロキシ設定された各ディレクトリ・ソースについて、特定のソースの複数のホスト(レプリカ)にアクセスするようにOracle Virtual Directoryを構成できます。ホスト間のフェイルオーバーと負荷分散もインテリジェントに実行されます。柔軟な構成オプションを使用して、管理者は特定のレプリカ・ノードに与える負荷の割合を制御したり、特定のホストを読取り専用レプリカか読取り/書込みサーバー(マスター)かに指定することができます。これにより、読取り専用レプリカに書込もうとすることから生じる不要な参照を回避できます。

• ロード・バランシング: Oracle Virtual Directoryの設計には、プロキシ設定されたLDAPディレクトリ・ソース間で負荷を分散し、障害を管理することのできる強力なロード・バランシング機能が組み込まれています。

  Oracle Virtual Directoryの仮想ディレクトリ・ツリー機能により、大容量のディレクトリ情報のセットを複数の個別ディレクトリ・サーバーに細分化することができます。また、独立したディレクトリ・ツリー・ブランチを結合すれば、分割したデータ・セットを再び結合して1つの仮想ツリーに戻すこともできます。

  特定のソースに対して複数のLDAPサーバーがある場合は、Oracle Virtual DirectoryのLDAPアダプタ自身でロード・バランシングとフェイルオーバーを実行できます。このロード・バランシングとフェイルオーバーは、クライアントから意識されることなく行われるので、ハードウェアの追加や、Oracle Virtual Directoryに接続しているクライアントへの変更は必要ありません。

  データベース・アダプタは、下位のJDBCドライバにロード・バランシングとフェイルオーバー機能がある場合、この機能をサポートします。また、Oracle Virtual DirectoryはOracle Real Application Clusters (Oracle RAC)とともに使用できることが保証されています。Oracle Virtual DirectoryをOracle RACと使用する方法の詳細は、第5.1.6項「JDBCクライアント」を参照してください。

  Oracle Virtual Directoryのルーティングも、ロード・バランシング機能を提供します。ルーティングでは、最適な検索ターゲットを決定するために、検索フィルタを検索ベースに追加することができます。この方法でロード・バランシングを行うと、仮想化された適切なディレクトリ・ソースに問合せが自動的にルーティングされるので、大量のディレクトリ・エントリも処理できるようになります。

  
  

  注意: Oracle Virtual Directoryの価値は、ディレクトリ・ストアとしてではなく、仮想化とプロキシのサービスとして発揮されます。可用性の高いディレクトリ・ストレージ・システムが必要な場合は、Oracle Internet Directoryの使用をお薦めします。

  
  

Oracle Virtual Directoryインスタンスのログ・ファイルは、インスタンスのホームにある次のディレクトリに保存されます。

ORACLE_INSTANCE/diagnostics/logs/OVD/OVDComponentName/

Oracle Virtual Directoryのログ・ファイルを使用したOracle Virtual Directoryに関する問題のトラブルシューティングについては、第8.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」を参照してください。

8.4.2.2 Oracle Virtual Directoryの前提条件

この項では、Oracle Virtual Directoryの前提条件について説明します。

注意: Oracle Virtual Directoryを高可用性デプロイメントで使用する場合は、クラスタ・ノードのシステム・クロックを同期する必要があります。

8.4.2.2.1 Oracle Virtual Directory用のロード・バランサの仮想サーバー名

Oracle Virtual Directoryを高可用性構成でデプロイする場合は、Oracle Virtual Directoryインスタンスのフロントエンドに外部ロード・バランサを使用して、各種のOracle Virtual Directoryインスタンス間のLDAPリクエストをロード・バランシングすることをお薦めします。

詳細は、第8.2.5.4項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。

8.4.3 Oracle Virtual Directoryの高可用性の構成手順

Oracle Virtual Directoryは、スタンドアロン・モードまたはWebLogicサーバー・ドメインの一部として可用性の高い構成にデプロイできます。

Oracle Virtual Directoryを効率的に管理するには、Oracle Directory Services ManagerとOracle Enterprise Manager Fusion Middleware Controlが必要であるため、Oracle Virtual DirectoryはOracle WebLogic Serverドメインの一部としてデプロイすることをお薦めします。コロケート構成でのOracle Virtual DirectoryとOracle Directory Services Managerの構成の詳細は、第8.7項「コロケート・アーキテクチャの高可用性」を参照してください。

高可用性環境では、Oracle Virtual Directoryをクラスタ・デプロイメント内に設定することをお薦めします。クラスタ化されたOracle Virtual Directoryインスタンスは、同じOracle RACデータベース・リポジトリ、またはLDAPリポジトリにアクセスします。

8.4.3.1 WebLogicドメインを使用しないOracle Virtual Directoryの構成

この項では、Oracle WebLogic Serverドメインを使用せずにOracle Virtual Directoryをデプロイする手順について説明します。

注意: Oracle Identity Management 11gインストーラで、「ドメインなしで構成」オプションを使用してOracle Virtual Directoryをホストにインストールすると、インストーラによってデフォルトではovd1がOracle Virtual Directoryインスタンスのコンポーネント名として使用されます。 「ドメインなしで構成」でのインストール時に、インストーラでは、コンポーネント名ovd1を使用した別のOracle Virtual Directoryインスタンスがすでにホストに存在して、ドメインに登録されているかどうかは検出できません。 第8.4.3.1.1項「OVDHOST1でのOracle Virtual Directoryの構成」および第8.4.3.1.2項「OVDHOST2でのOracle Virtual Directoryの構成」でOVDHOST1およびOVDHOST2にインストールするOracle Virtual Directoryインスタンスは、「ドメインなしで構成」インストール・オプションを使用してインストールします。

8.4.3.1.1 OVDHOST1でのOracle Virtual Directoryの構成

次の手順に従ってOVDHOST1上のOracle Virtual Directoryインスタンスを構成します。

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. 第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOVDHOST1にインストールされ、アップグレードされていることを確認します。

3. 使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート6501と7501がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":6501"
   
   netstat -an | grep LISTEN | grep ":7501"
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":6501"
   
   netstat -an | findstr "LISTEN" | findstr ":7501"
   

4. ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

   UNIXの場合:

   /etc/servicesファイルでポート6501と7501のエントリを削除して、サービスまたはコンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。

   # The Non-SSL LDAP port for OVD
   Oracle Virtual Directory (Non-SSL) Port No for LDAP= 6501
   # The SSL LDAP Port for OVD
   Oracle Virtual Directory (SSL) Port No for LDAP = 7501
   

7. 次のように、ORACLE_HOME/binディレクトリにある構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

8. 「ようこそ」画面で「次へ」をクリックします。

9. 「ドメインの選択」画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。

10. 「インストール場所の指定」画面で、次の値を指定します。

    • Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。

    • Oracleホーム・ディレクトリ:

      /u01/app/oracle/product/fmw/idm_1
      

    • Oracleインスタンスの場所:

      /u01/app/oracle/admin/ora_inst1
      

    • Oracleインスタンス名:

      ora_inst1
      

      
      

      注意: OVDHOST1のOracleホームの場所を示すディレクトリ・ パスが、OVDHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OVDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。 /u01/app/oracle/product/fmw/idm_1 この場合、OVDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。 /u01/app/oracle/product/fmw/idm_1

      
      

    「次へ」をクリックします。

11. 「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。

    • My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。

13. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を指定します。一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

14. 「仮想ディレクトリの指定」画面で、次の値を指定します。

    「クライアント・リスナー」セクションで、次のように入力します。

    • LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。

      dc=us,dc=mycompany,dc=com
      

    • HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。

    • 保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。

    「OVD管理者」セクションで、次のように入力します。

    • 管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。

    • パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。

    • パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。

    • 管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。

    「次へ」をクリックします。

15. 「インストール・サマリー」画面で、選択した内容が正しいことを確認します。そうでない場合は、「戻る」をクリックして前の画面に戻り、選択内容を変更します。「インストール」をクリックします。

16. UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

    「次へ」をクリックします。

17. 「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。

18. 「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.4.3.1.2 OVDHOST2でのOracle Virtual Directoryの構成

OVDHOST2上のOracle Virtual Directoryインスタンスを構成する手順:

注意: この項で説明する手順を使用して、11g Oracle Identity Managementの高可用性構成でOracle Virtual Directoryをスケール・アウトできます。

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. 第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOVDHOST2にインストールされ、アップグレードされていることを確認します。

3. OVDHOST1では、 ポート6501と7501がOracle Virtual Directoryによって使用されています。OVDHOST2のOracle Virtual Directoryインスタンスにも同じポートを使用する必要があります。このため、ポート6501および7501がOVDHOST2上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":6501"
   
   netstat -an | grep LISTEN | grep ":7501"
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":6501"
   
   netstat -an | findstr "LISTEN" | findstr ":7501"
   

4. ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

   UNIXの場合:

   /etc/servicesファイルでポート6501と7501のエントリを削除して、サービスまたはコンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。

   # The Non-SSL LDAP port for OVD
   Oracle Virtual Directory (Non-SSL) Port No for LDAP = 6501
   # The SSL LDAP Port for OVD
   Oracle Virtual Directory (SSL) Port No for LDAP = 7501
   

7. ORACLE_HOME/binディレクトリにある構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

8. 「ようこそ」画面で「次へ」をクリックします。

9. 「ドメインの選択」画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。

10. 「インストール場所の指定」画面で、次の値を指定します。

    • Oracle Middlewareホームの場所: この値は入力済になっており、変更できません。

    • Oracleホーム・ディレクトリ:

      /u01/app/oracle/product/fmw/idm_1
      

    • Oracleインスタンスの場所:

      /u01/app/oracle/admin/ora_inst2
      

    • Oracleインスタンス名:

      ora_inst2
      

      
      

      注意: OVDHOST2のOracleホームの場所を示すディレクトリ・ パスが、OVDHOST1のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OVDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。 /u01/app/oracle/product/fmw/idm_1 この場合、OVDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。 /u01/app/oracle/product/fmw/idm_1

      
      

    「次へ」をクリックします。

11. 「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。

    • My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。

13. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

14. 「仮想ディレクトリの指定」画面で、次の値を指定します。

    「クライアント・リスナー」セクションで、次のように入力します。

    • LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。

      dc=us,dc=mycompany,dc=com
      

    • HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。

    • 保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。

    「OVD管理者」セクションで、次のように入力します。

    • 管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。

    • パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。

    • パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。

    • 管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。

    「次へ」をクリックします。

15. 「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。

16. UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

    「次へ」をクリックします。

17. 「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。

18. 「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.4.3.1.3 WebLogicドメインへのOracle Virtual Directoryの登録

Oracle Virtual DirectoryコンポーネントはOracle Enterprise Manager Fusion Middleware Controlを使用して管理することをお薦めします。そのためには、このコンポーネント、およびこのコンポーネントを含むOracle Fusion MiddlewareインスタンスをWebLogicサーバー・ドメインに登録する必要があります。これは、インストール時またはOracleインスタンスの作成時に行えますが、必ずそうする必要はありません。Oracle Fusion MiddlewareインスタンスがWebLogicドメインに事前に登録されていない場合は、opmnctl registerinstanceを使用して登録できます。

opmnctl registerinstanceコマンドを使用してOracle Virtual Directoryインスタンスをドメインに登録する前に、WebLogic Serverがインストールされていることを確認します。

続いて、次の形式でopmnctl registerinstanceコマンドを実行します(各インストールで変数ORACLE_HOMEとORACLE_INSTANCEを設定してからOracle Virtual Directoryインスタンスのホーム・ディレクトリでこのコマンドを実行してください)。

opmnctl registerinstance -adminHost WLSHostName -adminPort WLSPort
-adminUsername adminUserName

例:

opmnctl registerinstance -adminHost idmhost1.example.com -adminPort 7001
-adminUsername weblogic

Command requires login to weblogic admin server (idmhost1.example.com)
 Username: weblogic
 Password: *******

ドメインへのOracle Virtual Directoryコンポーネントの登録の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のOPMNCTLを使用したOracleインスタンスの登録に関する項を参照してください。

8.4.3.2 WebLogicドメインを使用したOracle Virtual Directoryの構成

この構成で、Oracle Virtual DirectoryおよびWebLogic Serverドメインは、最初のホスト上に構成されます。2番目のホストにはVirtual Directoryだけが構成され、このインスタンスは最初のホスト上に作成されたドメインに結合します。

8.4.3.2.1 OVDHOST1でのOracle Virtual Directoryの構成

次の手順に従ってOVDHOST1上のOracle Virtual Directoryインスタンスを構成します。

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. 第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOVDHOST1にインストールされ、アップグレードされていることを確認します。

3. ポート6501および7501がOVDHOST1上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":6501"
   
   netstat -an | grep LISTEN | grep ":7501"
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":6501"
   
   netstat -an | findstr "LISTEN" | findstr ":7501"
   

4. ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

   UNIXの場合:

   /etc/servicesファイルでポート6501と7501のエントリを削除して、サービスまたはコンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。

   # The Non-SSL LDAP port for OVD
   Oracle Virtual Directory (Non-SSL) Port No for LDAP = 6501
   # The SSL LDAP port for OVD
   Oracle Virtual Directory (SSL) Port No for LDAP = 7501
   

7. 次のように、ORACLE_HOME/binディレクトリにある構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

8. 「ようこそ」画面で「次へ」をクリックします。

9. 「ドメインの選択」画面で、新規ドメインの作成を選択して、次の値を指定します。

   • ユーザー名: weblogic

   • パスワード: weblogicユーザーのパスワード

   • パスワードの確認: weblogicユーザーのパスワードを再度入力します

   • ドメイン名: IDMDomain

10. 「インストール場所の指定」画面で、次の値を指定します。

    • Oracle Middlewareホームの場所:

      /u01/app/oracle/product/fmw
      

    • Oracleホーム・ディレクトリ: idm

    • WebLogic Serverのディレクトリ:

      /u01/app/oracle/product/fmw/wlserver_10.3
      

    • Oracleインスタンスの場所:

      /u01/app/oracle/admin/ovd_inst1
      

    • Oracleインスタンス名:

      ovd_inst1
      

      
      

      注意: OVDHOST1のOracleホームの場所を示すディレクトリ・ パスが、OVDHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OVDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。 /u01/app/oracle/product/fmw/idm この場合、OVDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。 /u01/app/oracle/product/fmw/idm

      
      

    「次へ」をクリックします。

11. 「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。

    • My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。

    
    

    注意: このインストールでは、Oracle Directory Services ManagerとFusion Middleware Controlの管理コンポーネントが自動的に選択されます。この選択は解除できません。

    
    

13. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

14. 「仮想ディレクトリの指定」画面で、次の値を指定します。

    「クライアント・リスナー」セクションで、次のように入力します。

    • LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。

      dc=us,dc=mycompany,dc=com
      

    • HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。

    • 保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。

    「OVD管理者」セクションで、次のように入力します。

    • 管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。

    • パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。

    • パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。

    • 管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。

    「次へ」をクリックします。

15. 「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。

16. UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

    「次へ」をクリックします。

17. 「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。

18. 「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.4.3.2.2 OVDHOST1での管理サーバー用boot.propertiesの作成

この項では、OVDHOST1上の管理サーバーに対してboot.propertiesファイルを作成する方法を説明します。boot.propertiesファイルを使用すると、administratorのユーザー名とパスワードの入力を求められることなく管理サーバーを起動できます。

次の手順に従って、boot.propertiesファイルを作成します。

1. OVDHOST1で、次のディレクトリに移動します。

   ORACLE_HOME/user_projects/domains/domainName/servers/AdminServer/security
   

   例:

   cd /u01/app/oracle/product/fmw/user_projects/domains/IDMDomain/servers/AdminServer/security
   

2. テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。

   username=adminUser
   password=adminUserPassword
   

   
   

   注意: 管理サーバーを起動すると、ファイル内のユーザー名とパスワードのエントリは暗号化されます。 セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルの編集後は、速やかにサーバーを起動してエントリを暗号化する必要があります。

   
   

3. 管理サーバーが実行されている場合は停止します。

   WebLogicサーバーの起動と停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の「Oracle Fusion Middlewareの起動と停止」を参照してください。

4. ORACLE_HOME/user_projects/domains/domainName/binディレクトリにあるstartWebLogic.shスクリプトを使用して、OVDHOST1上の管理サーバーを起動します。

5. Webブラウザを開いて次のページにアクセスし、変更が正常に行われたことを確認します。

   • WebLogic Server管理コンソール:

     http://oidhost1.example.com:7001/console
     

   • Oracle Enterprise Manager Fusion Middleware Control:

     http://oidhost1.example.com:7001/em
     

   weblogicユーザーの資格証明を使用して、これらのコンソールにログインします。

8.4.3.2.3 OVDHOST2でのOracle Virtual Directoryの構成

次の手順に従ってOVDHOST2上のOracle Virtual Directoryインスタンスを構成します。

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの一覧は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。

2. 第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」の説明に従ってOracle Identity ManagementソフトウェアがOVDHOST2にインストールされ、アップグレードされていることを確認します。

3. OVDHOST1では、 ポート6501と7501がOracle Virtual Directoryによって使用されています。OVDHOST2のOracle Virtual Directoryインスタンスにも同じポートを使用する必要があります。このため、ポート6501および7501がOVDHOST2上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":6501"
   
   netstat -an | grep LISTEN | grep ":7501"
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":6501"
   
   netstat -an | findstr "LISTEN" | findstr ":7501"
   

4. ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。

   UNIXの場合:

   /etc/servicesファイルでポート6501と7501のエントリを削除して、サービスまたはコンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。

   # The Non-SSL LDAP port for OVD
   Oracle Virtual Directory (Non-SSL) Port No for LDAP = 6501
   # The SSL LDAP port for OVD
   Oracle Virtual Directory (SSL) Port No for LDAP = 7501
   

7. 次のように、ORACLE_HOME/binディレクトリにある構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

8. 「ようこそ」画面で「次へ」をクリックします。

9. 「ドメインの選択」画面で、既存ドメインの拡張を選択して、次の値を指定します。

   • ホスト名: ovdhost1.example.com (Oracle WebLogic管理サーバーを実行しているホスト)

   • ポート: 7001(これは管理サーバーのポートです。)

   • ユーザー名: weblogic

   • パスワード: weblogicユーザーのパスワード

10. 「インストール場所の指定」画面で、次の値を指定します。

    • Oracle Middlewareホームの場所:

      /u01/app/oracle/product/fmw
      

    • Oracleホーム・ディレクトリ: idm

    • WebLogic Serverのディレクトリ:

      /u01/app/oracle/product/fmw/wlserver_10.3
      

    • Oracleインスタンスの場所:

      /u01/app/oracle/admin/ovd_inst2
      

    • Oracleインスタンス名:

      ovd_inst2
      

      
      

      注意: OVDHOST1のOracleホームの場所を示すディレクトリ・パスが、OVDHOST2のOracleホームの場所を示すディレクトリ・パスと同じであることを確認してください。たとえば、OVDHOST1のOracleホームの場所として次のディレクトリ・パスを指定したとします。 /u01/app/oracle/product/fmw/idm この場合、OVDHOST2のOracleホームの場所には次のディレクトリ・パスを指定する必要があります。 /u01/app/oracle/product/fmw/idm

      
      

    「次へ」をクリックします。

11. 「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。

    • My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。

    
    

    注意: このインストールでは、Oracle Directory Services ManagerとFusion Middleware Controlの管理コンポーネントが自動的に選択されます。

    
    

13. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

14. 「仮想ディレクトリの指定」画面で、次の値を指定します。

    「クライアント・リスナー」セクションで、次のように入力します。

    • LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。

      dc=us,dc=mycompany,dc=com
      

    • HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。

    • 保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。

    「OVD管理者」セクションで、次のように入力します。

    • 管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。

    • パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。

    • パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。

    • 管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。

    「次へ」をクリックします。

15. 「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。

16. UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。

    「次へ」をクリックします。

17. 「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。

18. 「インストール完了」画面で、「終了」をクリックし、選択を確定して終了します。

8.4.3.3 可用性の高いデータ・ソースを使用したOracle Virtual Directoryの構成

Oracle Virtual Directoryは、Oracle RACデータベース・リポジトリまたは可用性の高いLDAPリポジトリをデータ・ソースとして使用するように構成できます。

この項では、Oracle RACデータベース・リポジトリおよびLDAPリポジトリを使用した高可用性環境にOracle Virtual Directoryを構成する方法を説明します。

注意: Oracle Virtual Directoryを高可用性トポロジで構成する場合は、すべてのノードで個別に構成手順を完了する必要があります。

8.4.3.3.1 Oracle RACデータベースを使用したOracle Virtual Directoryの構成

リポジトリとしてOracle RACデータベースを使用するOracle Virtual Directory高可用性環境では、Oracle Virtual Directoryデータベース・アダプタを作成して構成する必要があります。

Oracle Virtual Directoryアダプタの概要は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のOracle Virtual Directoryアダプタの理解に関する項を参照してください。

Oracle RACデータベースのデータベース・アダプタの作成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のRACデータベースのデータベース・アダプタの作成に関する項を参照してください。

データベース・アダプタの構成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のデータベース・アダプタの構成に関する項を参照してください。

8.4.3.3.2 LDAPを使用したOracle Virtual Directoryの構成

Oracle Virtual Directoryは、LDAPアダプタを介してOracle Internet DirectoryなどのLDAPリポジトリに接続します。高可用性環境では、ロード・バランシング・アルゴリズムを使用してノードのホストおよびポート情報を追加するか、LDAPリポジトリのロード・バランサのURLを追加することでLDAPアダプタを構成できます。

Oracle Virtual Directoryアダプタの概要は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのOracle Virtual Directoryアダプタの理解に関する項を参照してください。

LDAPアダプタの作成と構成の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのLDAPアダプタの構成に関する項を参照してください。

8.4.4 Oracle Virtual Directoryの高可用性の検証

可用性の高いデプロイメントでは、Oracle Virtual Directoryインスタンスは、ハードウェア・ロード・バランサによりフロントエンド処理されます。Oracle Virtual Directoryインスタンス間でリクエストのロード・バランシングが行われ、障害(インスタンス障害またはホスト障害)が発生した場合、ハードウェアのロード・バランサによって障害が検出され、障害が発生していないインスタンスにすべてのリクエストがルーティングされます。

Oracle Virtual Directoryの高可用性をテストするには、ノードを1つずつ停止し、ldapbindなどのツールを使用してロード・バランサのURLを経由しOracle Virtual Directoryインスタンスに接続します。ノードの1つが稼働しトポロジの構成が正しければ、接続は常に成功します。

ldapbindコマンドライン・ツールを使用し、ロード・バランサの仮想ホストを介してOracle Virtual Directoryインスタンスに接続します。ldapbindツールでは、サーバーに対してクライアントを認証できるかどうかを確認できます。

次の手順に従って、OVDHOST1およびOVDHOST2のOracle Virtual Directoryの高可用性設定を検証します。

1. Oracle Fusion Middleware Oracle Identity Managementリファレンスの環境の構成に関する項の手順に従って環境を構成します。この項には、ldapbindコマンドを使用する前に設定する必要がある環境変数の一覧があります。

2. OVDHOST1で、opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを停止します。

   ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
   

3. OVDHOST2で、ldapbindを使用してロード・バランシング仮想アドレスにバインドし、Oracle Virtual Directoryのステータスをチェックします。

   非SSL:

   ldapbind -h ovd.example.com -p 6501 -D "cn=orcladmin" -q
   

   
   

   注意: 前述の-qオプションを指定すると、ユーザーのパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。

   
   

4. 正常にバインドされると、ロード・バランサによってすべてのトラフィックがOVDHOST2にルーティングされます。

5. OVDHOST1で、opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを起動します。

   ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
   ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1
   

6. OVDHOST2で、opmnctlコマンドを使用してOracle Virtual Directoryインスタンスを停止します。

   ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
   

7. OVDHOST1で、ldapbindを使用してロード・バランシング仮想アドレスにバインドし、Oracle Virtual Directoryのステータスをチェックします。

   非SSL:

   ldapbind -h ovd.example.com -p 6501 -D "cn=orcladmin" -q
   

8. OVDHOST2で、opmnctlコマンドを使用してOracle Virtual Directoryインスタンスを起動します。

   ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
   ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1
   

ldapbindコマンドの詳細は、Oracle Fusion Middleware Oracle Identity Managementリファレンスのldapbindに関する項を参照してください。

8.4.4.1 SSLを使用したOracle Virtual Directoryの高可用性の検証

Oracle Virtual Directoryは、デフォルトではサーバーのみのSSL認証モードを使用するように構成されます。ldapbindなどのコマンドライン・ツールを使用して、SSLサーバー認証モードで保護された接続を使用する接続を検証する場合は、Oracleウォレットにサーバー証明書が格納されている必要があります。次の手順に従って、このタスクを実行します。

1. 次のコマンドを実行して、Oracleウォレットを作成します。

   ORACLE_HOME/bin/orapki wallet create -wallet DIRECTORY_FOR_SSL_WALLET -pwd WALLET_PASSWORD
   

2. 次のコマンドを実行して、Oracle Virtual Directoryサーバー証明書をエクスポートします。

   ORACLE_HOME/jdk/jre/bin/keytool -exportcert -keystore OVD_KEYSTORE_FILE
   -storepass PASSWORD -alias OVD_SERVER_CERT_ALIAS -rfc -file
   OVD_SERVER_CERT_FILE
   

3. 次のコマンドを実行して、Oracle Virtual Directoryサーバー証明書をOracleウォレットに追加します。

   ORACLE_HOME/bin/orapki wallet add -wallet DIRECTORY_FOR_SSL_WALLET
   -trusted_cert -cert OVD_SERVER_CERT_FILE -pwd WALLET_PASSWORD
   

4. 第8.4.4項「Oracle Virtual Directoryの高可用性の検証」の手順に従って次のldapbindコマンドを使用し、OVDHOST1およびOVDHOST2のOracle Virtual Directoryの高可用性設定を検証します。次のコマンドの実行中に、手順3からOracleウォレットを使用します。

   ORACLE_HOME/bin/ldapbind -D cn=orcladmin -q -U 2 -h HOST -p SSL_PORT -W "file://DIRECTORY_FOR_SSL_WALLET" -q
   

5. Oracle Virtual Directoryの高可用性デプロイメントがロード・バランサによってフロントエンド処理される場合は、すべてのOracle Virtual Directoryノードのウォレットに、トポロジの構成要素であるすべてのOracle Virtual Directoryインスタンスのクライアント証明書が格納されている必要があります。トポロジ内のすべてのOracle Virtual Directoryインスタンスのクライアント証明書をトポロジ内の全ノードのウォレットに追加します。これによって、ロード・バランサのURLを経由する有効な接続リクエストが正常に処理されることが保証されます。

   
   

   注意: 11g リリース1 (11.1.1)のインストール後にデフォルトの設定を使用している場合は、この項に記載された変数に次の値を使用できます。 OVD_KEYSTORE_FILEには、次を使用します。 ORACLE_INSTANCE/config/OVD/ovd1/keystores/keys.jks OVD_SERVER_CERT_ALIASには、serverselfsignedを使用します。 -storepassオプションで使用するPASSWORDには、orcladminアカウントのパスワードを使用します。

   
   

8.4.5 Oracle Virtual Directoryのフェイルオーバーおよび予想される動作

この項では、Oracle Virtual DirectoryのフェイルオーバーとOracle RACのフェイルオーバーを実行する手順を説明します。

この項の内容は次のとおりです。

• 第8.4.5.1項「Oracle Virtual Directoryのフェイルオーバーの実行」

• 第8.4.5.2項「Oracle RACのフェイルオーバーの実行」

8.4.5.1 Oracle Virtual Directoryのフェイルオーバーの実行

Oracle Virtual Directoryインスタンスのフェイルオーバーを実行し、Oracle Virtual Directoryのステータスをチェックする手順:

1. opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを停止します。

   ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
   

2. opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを起動します。

   ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running)
   ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1
   

3. Oracle Virtual Directoryのステータスを確認します。

   ORACLE_INSTANCE/bin/opmnctl status ias-component=ovd1
   

8.4.5.2 Oracle RACフェイルオーバーの実行

Oracle RACフェイルオーバーを実行する手順は次のとおりです。

1. srvctlコマンドを使用して、データベース・インスタンスを停止します。

   srvctl stop instance -d db_unique_name -i inst_name_list
   

2. srvctlコマンドを使用して、データベース・インスタンスのステータスを確認します。

   srvctl status database -d db_unique_name -v
   

3. Oracle Virtual Directoryのステータスを確認します。

   ORACLE_INSTANCE/bin/opmnctl status ias-component=ovd1
   

4. srvctlコマンドを使用して、データベース・インスタンスを起動します。

   srvctl start instance -d db_unique_name -i inst_name_list
   

   
   

   注意: Oracle RACデータベースに対するデータベース・アダプタを使用してOracle Virtual Directoryを構成している場合は、Oracle RACフェイルオーバー後の最初の検索に失敗します。ただし、その後の検索リクエストは問題なく正常に行われます。

   
   

8.4.6 Oracle Virtual Directoryの高可用性のトラブルシューティング

Oracle Virtual Directoryログ・ファイルの情報は、Virtual Directoryの問題のトラブルシューティングに役立ちます。Oracle Virtual Directoryのログ・ファイルは、次のディレクトリにあります。

ORACLE_INSTANCE/diagnostics/log/OVD/OVDComponentName

トラブルシューティングの際に調査するログ・ファイルの順序は次のとおりです。

1. diagnostic.log: 診断メッセージが記録されます。

2. http-errors.log: HTTPエラーが記録されます。

3. access.log: Oracle Virtual Directoryインスタンスにアクセスするプロセスとクライアントに関する情報が記録されます。

8.4.6.1 LDAPアダプタ作成のトラブルシューティング

LDAPアダプタを作成するときは、アダプタ作成ウィザードの「接続」ページでLDAPサーバーのホスト名とポート番号を指定します。LDAPサーバーが「SSLサーバー認証のみ」モードまたは「相互認証」モードでリスニングしている場合、ODSMによってサーバー証明書がOracle Virtual Directoryのトラスト・ストアにインポートされます。ただし、複数のLDAPサーバーのフロントエンドに使用されるロード・バランサの名前を指定した場合、そのLDAPサーバーの証明書の1つのみがインポートされます。これにより、Oracle Virtual Directoryサーバーのリクエストが、証明書に信頼性がないLDAPサーバーにルーティングされる場合に問題が発生します。

この問題を回避するには、LDAPアダプタの作成中に、ロード・バランサ・ホストとポートの詳細を指定するだけでなく、ロード・バランサがフロント・エンドとして使用されるLDAPサーバーのホストとポートの詳細を指定し、すべてのLDAPサーバーの証明書がインポートされるようにします。アダプタを作成した後、アダプタ設定を編集し、物理LDAPサーバーのホストとポートの詳細を削除する、つまりそれらの重みを0(ゼロ)に設定することができます。

8.5 Oracle Directory Integration Platformの高可用性

この項では、Oracle Directory Integration Platform (ODIP)と、ODIPの高可用性環境を設計およびデプロイする方法について説明します。

Oracle Directory Services Managerの詳細は、第8.6項「Oracle Directory Services Managerの高可用性」を参照してください。

この項の内容は次のとおりです。

• 第8.5.1項「Oracle Directory Integration Platformコンポーネント・アーキテクチャ」

• 第8.5.2項「Oracle Directory Integration Platformの高可用性の概要」

• 第8.5.3項「Oracle Directory Integration Platformの高可用性の構成」

• 第8.5.4項「接続ディレクトリ」

• 第8.5.5項「Oracle Directory Integration Platformのフェイルオーバーおよび予想される動作」

• 第8.5.6項「Oracle Directory Integration Platformの高可用性のトラブルシューティング」

8.5.1 Oracle Directory Integration Platformコンポーネント・アーキテクチャ

Oracle Directory Integration Platform (ODIP)は、アプリケーションやディレクトリ(サード・パーティのLDAPディレクトリなど)と、Oracleバックエンド・ディレクトリ(Oracle Internet Directory (OID)、Oracle Unified Directory (OUD)およびOracle Directory Server Enterprise Edition (ODSEE))との統合を可能にするJ2EEアプリケーションです。

注意: このリリースでは、ODIPは高可用性モードのODSEEをサポートしていません。

ODIPアーキテクチャの詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』の次の項を参照してください。

• ODIPアーキテクチャの詳細は、Oracle Directory Integration Platformに関する項を参照してください。

• ODIPプラットフォーム・コンポーネントの特性(Oracle Directory Integration Platform Synchronization ServiceおよびProvisioning Service)の詳細は、Oracle Directory Integration Platform Serverの理解に関する項を参照してください。

8.5.2 Oracle Directory Integration Platformの高可用性の概要

この項では、高可用性の概念について説明します。次のトピックが含まれます:

• 第8.5.2.1項「Oracle Directory Integration Platformの高可用性アーキテクチャ(OIDバックエンド)」

• 第8.5.2.2項「Oracle Directory Integration Platformの高可用性アーキテクチャ(OUDバックエンド)」

• 第8.5.2.3「障害からの保護および予想される動作」

• 第8.5.2.4項「Oracle Directory Integration Platformの前提条件」

8.5.2.1 Oracle Directory Integration Platformの高可用性アーキテクチャ(OIDバックエンド)

この項では、一般的な高可用性デプロイメントのODIPについて説明します。

図8-5に、高可用性アーキテクチャのOIDバックエンドを含むODIPを示します。

図8-5 高可用性アーキテクチャのOracle Directory Integration Platform (OIDバックエンド)

「図8-5 高可用性アーキテクチャのOracle Directory Integration Platform (OIDバックエンド)」の説明

図8-5では、接続ディレクトリ1と接続ディレクトリ2が相互に情報をレプリケートします。ロード・バランシング・ルーターによって、接続ディレクトリにリクエストがルーティングされます。

アプリケーション層には、コンピュータIDMHOST1とIDMHOST2があります。

DIP1とDIP2は、接続ディレクトリと通信する必要がある場合はロード・バランサを経由します。

IDMHOST1では、次のインストールが実行されます。

• ODIPインスタンスは、管理対象サーバーにインストールされます(DIP1)。

• クォーツ・スケジューラは、デフォルトでDIP1とともにインストールされます。これは、WebLogicマルチ・データ・ソースを使用してOracle RACデータベースに接続します。クォーツ・スケジューラは、実際の作業を実行するEJBを起動し、EJBがジョブに失敗した場合は、ジョブに失敗のマークを付け、後で別のEJBで実行されるよう再スケジュールします。

• 管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。

IDMHOST2では、次のインストールが実行されます。

• ODIPインスタンスは、管理対象サーバーにインストールされます(DIP2)。

• クォーツ・スケジューラは、DIP2にインストールされます。クォーツ・スケジューラは、WebLogicマルチ・データ・ソースを使用してOracle RACデータベースに接続します。

• 管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバー・インスタンスになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。

IDMHOST1およびIDMHOST2管理対象サーバー上のODIPインスタンスは、クラスタとして構成されます。

ロード・バランサは、バックエンド・ディレクトリOIDHOST1およびOIDHOST2用に設定されます。ロード・バランサは、OIDHOST1またはOIDHOST2のいずれかにリクエストをルーティングします。

注意: RACデータベースを使用する場合は、マルチ・データ・ソースがDIPで使用され、RAC障害からインスタンスを保護します。

8.5.2.1.1 クラスタの起動と停止

WebLogic Serverは、デフォルトでアプリケーションの起動、停止および監視を行い、ODIPは、基盤となるクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。

ノード・マネージャは、WebLogic Serverを監視します。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。

注意: ノード・マネージャの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverノード・マネージャ管理者ガイド』のノード・マネージャの一般的な構成に関する項を参照してください。

8.5.2.1.2 クラスタワイドの構成変更(OID)

Oracle Internet Directory (OID)を高可用性構成にデプロイする場合は、そのクラスタのすべてのOIDインスタンスが同じデータベースを共有します。いずれかのOIDノードのODIPに加えられた変更はすべて、クラスタ内のすべてのOracle Internet Directoryインスタンスに自動的に伝播されます。

• ディレクトリ同期プロファイル

• ディレクトリ・プロビジョニング・プロファイル

注意: 次の各項では、OIDマルチマスター・レプリケーション・デプロイメントにおけるODIPアプリケーションの構成変更について説明します。マルチマスター・レプリケーション・デプロイメントでは、クラスタ内のすべてのノードに構成の変更を手動で適用する必要があります。

ディレクトリ同期プロファイル

デフォルトのOIDマルチマスター・レプリケーション環境では、任意のOracle Internet Directory (OID)ノード上のディレクトリ統合プロファイルへの変更は、他のOIDノードへは自動的にレプリケートされません。変更は、1次ノードから2次ノードに対して定期的に手動でコピーする必要があります。これにより、1次ノードで問題が発生した場合、2次ノードでディレクトリ同期プロファイルを実行できます。

ODIPでは、パラメータorcllastappliedchangenumberを使用します。ディレクトリ同期プロファイルのlastchangenumber属性に指定した値は、ODIPが実行されているディレクトリ・サーバーによって異なります。アクティブ/アクティブ構成のODIPでは、すべてのインスタンスのlastchangenumber属性を手動で更新する必要があります。

1次OIDノードと2次ノード間でディレクトリ・プロビジョニング・プロファイルを同期する手順:

1. 1次ノードで、ldifwriteコマンドを使用して、このコンテナからエントリのLDIFダンプを作成します。

   cn=subscriber profiles,cn=changelog subscriber,cn=oracle internet directory
   

2. LDIFダンプを2次ノードにコピーします。

3. ldapaddコマンドを使用して、2次ノードにプロファイルを追加します。

エクスポート・プロファイルをターゲット・ノードにコピーした後、lastchangenumber属性をターゲット・ノードの値で更新する必要があります。値を更新する手順は次のとおりです。

1. 同期プロファイルを無効化します。

2. ldapsearchコマンドを使用して、ターゲット・ノードのlastchangenumber属性の値を取得します。

3. ldapsearchを使用して、プロファイル・エントリのLDIFダンプを取得します。

4. ldapaddを使用して、他の管理対象サーバー・インスタンスにプロファイルを追加します。

5. ODIP管理コンソールに移動して、プロファイルを選択します。「編集」を選択します。「詳細」タブを選択して、「編集して維持」を選択します。手順2で返された値を入力します。プロファイルを保存します。

6. 同期プロファイルを有効化します。

ディレクトリ・プロビジョニング・プロファイル

デフォルトのOracle Internet Directoryマルチマスター・レプリケーション環境では、ODIPはプライマリOracle Internet Directoryと同じ場所にインストールされます。この項の情報と手順は、マルチマスター・レプリケーションが設定されている場合にのみ適用できます。

1次ノードで障害が発生した場合、そのノードにあるすべてのプロファイルに対するイベント伝播は停止します。イベントはキューに入れられ、1次ノードの停止中にも失われることはありませんが、どのアプリケーションにもイベントは伝播されません。バージョン1.0および2.0のプロファイルで、1次ノードが停止した場合でもイベントの伝播が継続されることを保証するには、ディレクトリ・プロビジョニング・プロファイルを他の2次ノードにコピーする必要があります。

ただし、アプリケーションがインストールされた直後からOracle Internet Directoryでユーザー変更が行われる前に、ディレクトリ・プロビジョニング・プロファイルを1次ノードから任意の2次ノードにコピーします。

1次ノードと2次ノード間でディレクトリ・プロビジョニング・プロファイルを同期する手順:

1. 1次ノードで、ldifwriteコマンドを使用して、このコンテナからエントリのLDIFダンプを作成します。

   cn=provisioning profiles,cn=changelog subscriber,cn=oracle internet directory
   

2. LDIFダンプを2次ノードにコピーします。

3. ldapaddコマンドを使用して、2次ノードにプロファイルを追加します。

8.5.2.2 Oracle Directory Integration Platformの高可用性アーキテクチャ(OUDバックエンド)

この項では、OUDバックエンドを含むODIP高可用性アーキテクチャについて説明します。

図8-6 高可用性アーキテクチャのODIP (OUDバックエンド)

「図8-6 高可用性アーキテクチャのODIP (OUDバックエンド)」の説明

図8-6では、接続ディレクトリ1と接続ディレクトリ2が相互に情報をレプリケートします。ロード・バランシング・ルーターによって、接続ディレクトリにリクエストがルーティングされます。

アプリケーション層には、コンピュータIDMHOST1とIDMHOST2があります。

IDMHOST1では、次のインストールが実行されます。

• ODIPインスタンスは、管理対象サーバーにインストールされます(DIP1)。DIP1は、接続ディレクトリと通信する必要がある場合は、接続ディレクトリ用のロード・バランサを経由します。

• クォーツ・スケジューラがインストールされています。これは、バックエンド・ディレクトリ用のロード・バランサを経由します。

• 管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。

IDMHOST2では、次のインストールが実行されます。

• ODIPインスタンスは、管理対象サーバーにインストールされます(DIP2)。DIP2は、接続ディレクトリと通信する必要がある場合は、接続ディレクトリ用のロード・バランサを経由します。

• クォーツ・スケジューラがインストールされています。これは、バックエンド・ディレクトリ用のロード・バランサを経由します。

• 管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバー・インスタンスになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。

IDMHOST1およびIDMHOST2管理対象サーバー上のODIPインスタンスは、クラスタとして構成されます。

ロード・バランサは、バックエンド・ディレクトリOUDHOST1およびOUDHOST2用に設定されます。ロード・バランサは、OUDHOST1またはOUDHOST2のいずれかにリクエストをルーティングします。

8.5.2.2.1 クラスタワイドの構成変更(OUD)

同じレプリケーション・トポロジの一部のすべてのOUDインスタンスは、同じ内容を共有します。いずれかのOUDノードのODIPに加えられた変更はすべて、レプリケーション・トポロジ内のすべてのOUDインスタンスに自動的に伝播されます。

8.5.2.3 障害からの保護および予想される動作

この項では、ODIPのアクティブ/アクティブ・クラスタにおける様々な障害からの保護について説明し、次の内容を含みます。

• 第8.5.2.3.1項「プロセス障害」

• 第8.5.2.3.2項「Oracle Directory Integration Platform Server構成の更新」

• 第8.5.2.3.3項「外部依存性の障害」

8.5.2.3.1 プロセス障害

高可用性環境では、少なくとも2つのWebLogicインスタンスで構成されるクラスタにODIPアプリケーションをデプロイします。

デフォルトでは、ODIPアプリケーションは、基盤となるWebLogicクラスタの高可用性機能を利用します。ODIPをデプロイすると、クォーツ・スケジューラはクラスタリング・オプションで起動します。スケジューラは、ノードの負荷に応じて、クラスタ内の利用可能なノードのいずれかでジョブを実行します。1つ以上のノードでハードウェアなどの障害が発生すると、クォーツ・スケジューラは利用可能なノードでジョブを実行します。

また、ノード・マネージャは、WebLogic Serverを監視します。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。

ODIPアプリケーション内では、クォーツ・スケジューラによって、実際の処理を行うプロビジョニングまたは同期化EJBが起動されます。クォーツ・スケジューラによってEJBが起動されるとただちに、そのEJBにはジョブ実行中のタグが付けられます。EJBがジョブに失敗した場合は、クォーツ・スケジューラはジョブに失敗のマークを付け、後で別のEJBで実行されるよう再スケジュールします。

8.5.2.3.2 Oracle Directory Integration Platform Server構成の更新

ロード・バランサ経由でバックエンド・サーバーにアクセスされない、またはアクセスできない場合、ODIPフェイルオーバーは透過的ではありません。このシナリオでは、バックエンド・ディレクトリに接続するための情報が各ODIPインスタンスにローカルのため、手動による操作が必要です。manageDIPServerConfigユーティリティを使用して、すべてのODIPインスタンスでバックエンド・ディレクトリhost:portを更新する必要があります。

manageDIPServerConfigユーティリティの詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』を参照してください。

8.5.2.3.3 外部依存性の障害

ODIPの起動時には、バックエンド・リポジトリ、Oracle Internet Directory、資格証明ストア・フレームワークおよびWebLogic管理対象サーバーが使用可能である必要があります。これらの要素のいずれも使用できない場合は、ODIPを起動できません。

8.5.2.4 Oracle Directory Integration Platformの前提条件

高可用性アーキテクチャのOracle Directory Integration Platform (ODIP)を設定するには、Oracle Internet DirectoryおよびOracle Unified Directoryをインストールして構成する必要があります。

注意: ODIPでは、クォーツ・スケジューラを使用して、Oracle RACデータベースのジョブとスケジュールを管理します。クォーツ・スケジューラ・ジョブをクラスタの複数のODIPノードで実行するには、クラスタ・ノードのシステム・クロックを同期させる必要があります。

8.5.2.4.1 Oracle Internet Directoryのインストールおよび構成

次の各項を参照して、OIDをインストールおよび構成します。

• 第8.3.2.3項「Oracle Internet Directoryの前提条件」

• 第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」

8.5.2.4.2 Oracle Unified Directoryのインストールおよび構成

Oracle Unified Directory (OUD)をインストールしたかどうかに応じて、次のいずれかのアクションを使用します。

• OUDをインストールしていない場合は、構成ウィザードを使用してインストールします。構成ウィザードのOracleコンポーネントの統合ページで「DIP (ディレクトリ統合プラットフォーム)で有効にする」を選択する必要があります。インストールが完了したら、次の手順を完了します。

• OUDをインストールした場合は、使用するODIPの接尾辞cn=oraclecontextを作成します。

  1. スクリプトoud-instance/bin/setup-oracle-contextを実行して、接尾辞cn=oraclecontextを作成します。

  2. cn=oraclecontextで変更ログが有効になっていることを確認します。レプリケーションがすでにOUDインスタンスで有効になっている場合は、スクリプトsetup-oracle-contextで変更ログが構成されます。cn=oraclecontextで変更ログが有効になっていない場合は、OUDインスタンスからdsreplicationコマンドを実行します。

8.5.3 Oracle Directory Integration Platformの高可用性の構成

この項の内容は次のとおりです。

• 第8.5.3.1項「OIDバックエンド・サーバーの高可用性の構成」

• 第8.5.3.2項「OUDバックエンド・サーバーの高可用性の構成」

8.5.3.1 OIDバックエンド・サーバーの高可用性の構成

この項では、IDMHOST1とIDMHOST2で次のインストールと構成を実行する方法について説明します。

• 第8.5.3.1.1項「IDMHOST1でのOracle Directory Integration Platformの構成(OID)」

• 第8.5.3.1.2項「IDMHOST1での管理サーバー用boot.propertiesの作成(OID)」

• 第8.5.3.1.3項「IDMHOST2でのOracle Directory Integration Platformの構成(OID)」

• 第8.5.3.1.4項「Oracle Directory Integration Platformのインストール後の手順(OID)」

8.5.3.1.1 IDMHOST1でのOracle Directory Integration Platformの構成(OID)

IDMHOST1でODIPを構成する手順:

1. システム、パッチ、カーネルの要件、およびその他の要件が満たされていることを確認します。使用しているプラットフォームとバージョンは、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. Oracle Identity ManagementソフトウェアがIDMHOST1にインストールされ、アップロードされていることを確認します。第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」を参照してください。

3. 使用しているオペレーティング・システムに対して次のコマンドを実行して、ポート7006がIDMHOST1上の他のサービスに使用されていないことを確認します。(ポートが使用されていなければ、コマンドを実行しても何も出力されません。)

   UNIXの場合:

   netstat -an | grep LISTEN | grep ":7006"
   

   Windowsの場合:

   netstat -an | findstr "LISTEN" | findstr ":7006"
   

4. ポートが使用されている場合(ポートを識別する出力がコマンドから返される場合)、ポートを解放します。

   UNIXの場合:

   ポート7006のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。

   Windowsの場合:

   ポートを使用しているコンポーネントを停止します。

5. staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。

6. ORACLE_HOME/binディレクトリにある構成ウィザードを起動します。

   ORACLE_HOME環境変数および関連するディレクトリ・パスは、Fusion Middleware (FMW)が常駐している場所を指します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

7. 「ようこそ」画面で「次へ」をクリックします。

8. 「ドメインの選択」画面で、新規ドメインの作成を選択して、ドメインの詳細を入力します。

   • ユーザー名: weblogic

   • ユーザー・パスワード: ******

   • パスワードの確認: ******

   • ドメイン名: IDMDomain

   「次へ」をクリックします。

9. 「インストール場所の指定」画面で、次の値を指定します。

   • WebLogic Serverのディレクトリ:

     /u01/app/oracle/product/fmw/wlserver_10.3
     

   • Oracleインスタンスの場所:

     /u01/app/oracle/admin/ods_instance1
     

   • Oracleインスタンス名:

     ods_instance1
     

   「次へ」をクリックします。

10. 「Oracle Configuration Managerの詳細の指定」画面で、次の値を指定します。

    • 電子メール・アドレス: My Oracle Supportアカウント用の電子メール・アドレス。

    • My Oracle Supportパスワード: My Oracle Supportアカウント用のパスワード。

    • 「セキュリティ・アップデートをMy Oracle Support経由で受け取る」フィールドの横のチェック・ボックスを選択します。

    「次へ」をクリックします。

11. 「コンポーネントの構成」画面で、Oracle Directory Integration Platform、管理コンポーネント - Oracle Directory Services Managerを選択します。他のコンポーネントをすべて選択解除します。Oracle Internet Directoryを前提条件どおりに構成する必要があるという警告は無視します。

    「クラスタ化」チェック・ボックスを選択します。

    「次へ」をクリックします。

12. 「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。

    「次へ」をクリックします。

13. 「OIDの詳細の指定」画面で、次の情報を指定します。この情報は、ロード・バランシングされたIPアドレスになる場合があります。

    • ホスト名: oid.example.com

    • ポート: 636

    • ユーザー名: cn=orcladmin

    • パスワード: ******

    「次へ」をクリックします。

14. 「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択し、次の値を指定します。

    • 接続文字列:

      infradbhost1-vip.example.com:1521:oiddb1^infradbhost2-vip.example.com:1521:oiddb2@oid.example.com
      

      
      

      注意: host1:port1:instance1^host2:port2:instance2@servicenameの書式で、Oracle RACデータベース接続文字列を指定する必要があります。 Oracle RACインスタンスが1つ起動されている場合、インストールを続行できます。 指定する情報は、完全で正確である必要があります。各Oracle RACインスタンスの正しいホスト、ポートおよびインスタンス名を入力し、すべてのOracle RACインスタンスに対してサービス名が構成されている必要があります。 Oracle RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。

      
      

    • ユーザー名: ODSSM

    • パスワード: ******

    「次へ」をクリックします。

15. 「インストール・サマリー」画面で、選択した内容が正しいことを確認して、「インストール」をクリックします。

16. 「インストールの進行状況」画面(UNIX)に、oracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開いてから、このスクリプトを実行します。

    「次へ」をクリックします。

17. 「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。

18. 「インストール完了」画面で「終了」をクリックします。

8.5.3.1.2 IDMHOST1での管理サーバー用boot.propertiesの作成(OID)

この項では、IDMHOST1上の管理サーバーに対してboot.propertiesファイルを作成する方法を説明します。boot.propertiesファイルを使用すると、administratorのユーザー名とパスワードの入力を求められることなく管理サーバーを起動できます。

boot.propertiesファイルを作成する手順は次のとおりです。

1. IDMHOST1で、次のディレクトリに移動します。

   ORACLE_HOME/user_projects/domains/domainName/servers/AdminServer/security
   

   例:

   cd /u01/app/oracle/product/fmw/user_projects/domains/IDMDomain/servers/AdminServer/security
   

2. テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。

   username=adminUser
   password=adminUserPassword
   

   
   

   注意: 管理サーバーを起動すると、ファイル内のユーザー名とパスワードのエントリは暗号化されます。 セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルの編集後は、速やかにサーバーを起動してエントリを暗号化する必要があります。

   
   

3. 管理サーバーが実行されている場合は停止します。

   WebLogicサーバーの起動と停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の「Oracle Fusion Middlewareの起動と停止」を参照してください。

4. ORACLE_HOME/user_projects/domains/domainName/binディレクトリにあるstartWebLogic.shスクリプトを使用して、IDMHOST1上の管理サーバーを起動します。

5. Webブラウザを開いて次のページにアクセスし、変更が正常に行われたことを確認します。

   • WebLogic Server管理コンソール:

     http://oidhost1.example.com:7001/console
     

   • Oracle Enterprise Manager Fusion Middleware Control:

     http://oidhost1.example.com:7001/em
     

   weblogicユーザーの資格証明を使用して、これらのコンソールにログインします。

8.5.3.1.3 DMHOST2でのOracle Directory Integration Platformの構成(OID)

IDMHOST2上のODIPとOracle Directory Services Managerを構成する手順:

1. システム、パッチ、カーネルなどの要件が満たされていることを確認します。使用しているプラットフォームとバージョンは、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. Oracle Identity ManagementソフトウェアがIDMHOST2インストールされ、アップロードされていることを確認します。第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」を参照してください。

3. ORACLE_HOME/binディレクトリから構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

4. 「ようこそ」画面で「次へ」をクリックします。

5. 「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。

6. 「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。

   「次へ」をクリックします。

7. 「ドメインの選択」画面で、「クラスタを開く」オプションを選択して、次の例の値を指定します。

   • ホスト名: idmhost1.example.com

   • ポート: 7001

   • ユーザー名: weblogic

   • ユーザー・パスワード: weblogicユーザーのパスワード

   「次へ」をクリックします。

   
   

   注意: 管理サーバーはIDMHOST1上で実行されます。

   
   

8. 「インストール場所の指定」画面で、次の値を指定します。

   • Oracle Middlewareホームの場所: 入力済になっており、変更できません。

     /u01/app/oracle/product/fmw
     

   • Oracleホーム・ディレクトリ: 入力済になっており、変更できません。

     ods
     

   • WebLogic Serverのディレクトリ:

     /u01/app/oracle/product/fmw/wlserver_10.3
     

   • Oracleインスタンスの場所:

     /u01/app/oracle/admin/ods_instance2
     

   • Oracleインスタンス名:

     ods_instance2
     

   「次へ」をクリックします。

9. 「コンポーネントの構成」画面で、Oracle DIPおよび管理コンポーネントを除く全製品の選択を解除します。

   「次へ」をクリックします。

10. 「ポートの構成」画面で、構成ファイルを使用してポートを指定を選択して、一時ディレクトリで編集したstaticports.iniファイルのフルパス名を入力します。

    「次へ」をクリックします。

11. 「インストール・サマリー」画面で、選択した内容を確認します。なんらかの変更が必要な場合は、「戻る」をクリックします。選択が適切であれば、「インストール」をクリックします。

12. 「インストールの進行状況」画面で、インストールの進行状況を確認します。

13. UNIXシステムでは、oracleRoot.shの確認ダイアログ・ボックスが開きます。

    確認ダイアログ・ボックスを開いたままにして、別のシェル・ウィンドウを開き、rootとしてログインして、次のスクリプト・ファイルを実行します。

    /u01/app/oracle/product/fmw/ods/oracleRoot.sh
    

14. 「構成の進行状況」画面で、構成の進行状況を確認します。

15. 「インストール完了」画面で「終了」をクリックします。

8.5.3.1.4 Oracle Directory Integration Platformのインストール後の手順(OID)

第8.5.3.1.3項では、インストーラによってIDMHOST2に2つ目の管理対象サーバーwls_ods2が作成されました。ただし、IDMHOST2上にODIPアプリケーションがデプロイされていないため、新たに作成した管理対象サーバーは自動的に起動されません。また、WebLogic管理コンソールには、IDMHOST2上のwls_ods2管理対象サーバーの状態がUNKNOWNと表示されます。

これらのインストール後の手順に従って、IDMHOST2上のODIPとOracle Directory Services Managerアプリケーションのインストールと構成を完了します。

• 第8.5.3.1.5項「IDMHOST1からIDMHOST2へのOracle Directory Integration Platformの構成のコピー」

• 第8.5.3.1.6項「クラスタ内のIDMHOST2での管理対象サーバーの再起動」

8.5.3.1.5 IDMHOST1からIDMHOST2へのOracle Directory Integration Platformの構成のコピー

ODIPアプリケーションをIDMHOST1からIDMHOST2に直接コピーする手順:

IDMHOST1の次のディレクトリをコピーします。

ORACLE_HOME/user_projects/domains/IDMDomain/config/fmwconfig/servers/wls_ods1

IDMHOST2の次の場所をコピーする手順:

ORACLE_HOME/user_projects/domains/IDMDomain/config/fmwconfig/servers/wls_ods2

8.5.3.1.6 クラスタ内のIDMHOST2での管理対象サーバーの再起動

WebLogicサーバーの起動と停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の「Oracle Fusion Middlewareの起動と停止」を参照してください。

クラスタ内のIDMHOST2上に新たに作成したwls_ods2管理対象サーバーを起動する手順は、次のとおりです。

1. このURLを使用して、管理コンソールにアクセスします。

   http://idmhost1.example.com:7001/console
   

   管理者の資格証明を使用して、コンソールにログインします。

2. 左側のペインで、「環境」を開き、「クラスタ」を選択します。

3. 停止する管理対象サーバー(wls_ods2)が存在するクラスタ(cluster_ods)のリンクをクリックします。

4. 「制御」を選択します。

5. 「このクラスタの管理対象サーバーのインスタンス」で、起動する管理対象サーバー(wls_ods2)の横のチェック・ボックスを選択して「起動」をクリックします。

6. 「クラスタ・ライフサイクル・アシスタント」ページで、「はい」をクリックして確定します。

7. ノード・マネージャによって、ターゲット・マシン上のサーバーが起動されます。ノード・マネージャによる起動シーケンスが終了すると、「サーバー状態」表の「状態」列にサーバーの状態が表示されます。この状態はRUNNINGになります。

8.5.3.2 OUDバックエンド・サーバーの高可用性の構成

この項では、バックエンド・サーバーとしてOUDと組み合せてOracle Directory Integration Platform (ODIP)を構成する方法について説明します。

ODIPおよびOUDの高可用性を構成るすには、次の手順に従います。

• 第8.5.3.2.1項「IDMHOST1でのOracle Directory Integration Platformの構成(OUD)」

• 第8.5.3.2.2項「IDMHOST1での管理サーバー用boot.propertiesの作成」

• 8.5.3.2.3「管理サーバーの起動」

• 第8.5.3.2.4項「IDMHOST2でのOracle Directory Integration Platformの構成(OUD)」

• 第8.5.3.2.5項「IDMHOST2でのノード・マネージャの起動(OUD)」

• 第8.5.3.2.6項「Oracle Directory Integration PlatformへのOUDバックエンド・ディレクトリの登録」

• 第8.5.3.2.7項「ODIP2の構成」

• 第8.5.3.2.8項「ロード・バランサの構成」

8.5.3.2.1 IDMHOST1でのOracle Directory Integration Platformの構成(OUD)

IDMHOST1でODIPを構成する手順:

1. システム、パッチ、カーネルの要件、およびその他の要件が満たされていることを確認します。使用しているプラットフォームとバージョンは、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

2. WebLogic ServerおよびOracle Identity ManagementソフトウェアがIDMHOST1にインストールされ、アップロードされていることを確認します。第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」を参照してください。

3. ORACLE_HOME/oracle_common/common/binで構成ウィザードを起動します。

   UNIXでは、コマンド./config.shを発行します。

   Windowsでは、config.exeをダブルクリックします。

4. 「ようこそ」画面で「次へ」をクリックします。

5. 「ドメインの選択」画面で、「新しいWebLogicドメインの作成」を選択して、「次へ」をクリックします。

6. 「以下の製品をサポートするために、自動的に構成されたドメインを生成する」を選択してから、次のテンプレートを選択します。

   • Oracle Enterprise Manager

   • Oracle Directory Integration Platform

   • Oracle Identity Management

   • Oracle JRF

   「次へ」を選択します。

7. 「ドメイン名と場所の指定」画面で、ドメインおよびそのすべてのアプリケーションの名前と場所を入力します。

   • ドメイン名: IDMDomain

   • ドメインの場所: デフォルトを受け入れます。

   • アプリケーションの場所: デフォルトを受け入れます。

8. 「管理者ユーザー名およびパスワードの構成」画面で、管理者のユーザー名とパスワードを入力します。

   「次へ」をクリックします。

9. 「サーバーの起動モードおよびJDKの構成」画面で、「本番モード」モードを選択します。「JDKの選択」セクションで、使用可能なJDKのリストからJDKを選択するか、または「その他のJDK」を選択して「参照」をクリックし、システム内の別のJDKを検索します。

   「次へ」をクリックします。

10. 「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。

    「次へ」をクリックします。

11. 「管理対象サーバーの構成」画面で、トポロジのホストごとにエントリを作成します(OAMHOST1上で実行されているODIPサーバーに対して1つと、OAMHOST2上で実行されているODIPサーバーに対して1つ作成します)。

    ODIP_SERVERエントリを選択し、そのエントリを次の値に変更します。

    • 名前: WLS_ODS1

    • リスニング・アドレス: IDMHOST1.example.com

    • リスニング・ポート: 7005

    2つ目のODIPで、「追加」をクリックして、次の情報を入力します。

    • 名前: WLS_ODS2

    • リスニング・アドレス: IDMHOST2.example.com

    • リスニング・ポート: 7005

    「次へ」をクリックします。

12. 「クラスタの構成」画面で、次の値を追加します。

    • 名前: ODIP_CLUSTER1

    • クラスタのメッセージング・モード: unicast

    • クラスタ・アドレス: WLSクラスタIPアドレス(オプション)

13. 「サーバーのクラスタへの割当」画面で、次のように管理対象サーバーをクラスタに関連付けます。

    • 右のウィンドウでクラスタ名ODIP_CLUSTER1をクリックします。

    • 管理対象サーバーWLS_ODS1をクリックし、矢印をクリックしてそれをクラスタに割り当てます。

    • 管理対象サーバーWLS_ODS2に対しても同様に繰り返します。

    「次へ」をクリックします。

14. 「マシンの構成」画面で、トポロジ内の各サーバーのマシンを作成します。ホストでUNIXベースのオペレーティング・システムを使用する場合は、「Unix」タブをクリックします。それ以外の場合は、「マシン」タブをクリックします。次の情報を入力します。

    • 名前: ホストの名前。ベスト・プラクティスは、DNS名(IDMHOST1)を使用することです。

    • ノード・マネージャ・リスニング・アドレス: マシンのDNS名(IDMHOST1.example.com)

    • ノード・マネージャ・ポート: ノード・マネージャが使用するポート。

    IDMHOST2に対しても次のように手順を繰り返します。

    • 名前: ホストの名前。ベスト・プラクティスは、DNS名(IDMHOST2)を使用することです。

    • ノード・マネージャ・リスニング・アドレス: マシンのDNS名(IDMHOST2.example.com)

    • ノード・マネージャ・ポート: ノード・マネージャが使用するポート。

    「次へ」をクリックします。

15. 「サーバーのマシンへの割当」画面で、作成したマシン上で実行する管理対象サーバーを指定します。

    • 右のウィンドウでマシンIDMHOST1をクリックします。

    • 左のウィンドウで管理対象サーバーWLS_ODS1をクリックします。

    • 矢印をクリックし、その管理対象サーバーをホストIDMHOST1に割り当てます。

    • 右のウィンドウでマシンIDMHOST2をクリックします。

    • 左のウィンドウで管理対象サーバーWLS_ODS2をクリックします。

    • 矢印をクリックし、その管理対象サーバーをホストIDMHOST2に割り当てます。

    「次へ」をクリックします。

16. 「構成のサマリー」画面で、選択した内容が正しいことを確認して、「作成」をクリックします。

17. 「ドメインの作成中」画面で、プロセスに従います。完了したら、「完了」をクリックします。

8.5.3.2.2 IDMHOST1での管理サーバー用boot.propertiesの作成

管理サーバーのboot.propertiesを作成するには、第8.5.3.1.2項「IDMHOST1での管理サーバー用boot.propertiesの作成(OID)」を参照してください。

8.5.3.2.3 管理サーバーの起動

実行されていない場合は、startWebLogic.shスクリプトを使用して、管理サーバーをIDMHOST1で起動します。

cd MW_HOME/user_projects/domains/domainName/bin
./startWebLogic.sh &

実行されていない場合は、管理対象サーバーをIDMHOST1で起動します。

1. 管理コンソール(http://IDMHOST1:7001/console)を開きます。

2. 管理対象サーバーWLS_ODS1を選択し、「制御」タブを選択してから、「起動」を選択します。

8.5.3.2.4 DMHOST2でのOracle Directory Integration Platformの構成(OUD)

Oracle Identity ManagementソフトウェアがIDMHOST2インストールされ、アップロードされていることを確認します。第8.3.3.1項「Oracle Fusion Middlewareコンポーネントのインストール」を参照してください。

8.5.3.2.5 IDMHOST2でのノード・マネージャの起動(OUD)

ノード・マネージャのインスタンスをIDMHOST2で起動する手順:

1. ノード・マネージャを起動する前に、ディレクトリMW_HOME/oracle_common/common/binのsetNMProps.shスクリプトを実行して、StartScriptEnabledプロパティをtrueに設定します。

   cd ORACLE_COMMON_HOME/common/bin
   ./setNMProps.sh
   

   
   

   注意: クラスのロード失敗などの問題を回避するために、StartScriptEnabled=trueプロパティを使用する必要があります。

   
   

2. ノード・マネージャを起動します。

   cd WL_HOME/server/bin
    ./startNodeManager.sh
   

8.5.3.2.6 Oracle Directory Integration PlatformへのOUDバックエンド・ディレクトリの登録

この項では、OUDバックエンド・ディレクトリをODIPに登録する方法について説明します。両方のホストでdipConfiguratorコマンドを実行して、ディレクトリを登録します。dipConfiguratorコマンドでは、次の手順が実行されます。

• ODIPで必要なスキーマをOUDにロードします。

• cn=oraclecontext接尾辞のODIPの内容をロードします。

• ODIPユーザーを作成します。

• ODIPユーザーに特定のACIを適用します。

OUDバックエンド・ディレクトリをODIPに登録する手順:

1. IDMHOST1で、次を実行します。

   cd ORACLE_HOME/bin
   

   ./dipConfigurator setup -wlshost IDMHOST1 -wlsport 7001 -wlsuser weblogic -ldaphost OUDHOST1 -ldapport OUD_LDAP_PORT1 -ldapuser "cn=Directory Manager" -ldapadminport OUD_LDAP_ADMIN_PORT1 -isldapssl false -isclustered true
   

   ./dipConfigurator setupSecondaryBackend -ldaphost OUDHOST2 -ldapport OUD_LDAP_PORT2 -ldapuser "cn=Directory Manager" -ldapadminport OUD_LDAP_ADMIN_PORT2 -isldapssl false
   

2. コマンドmanageDIPServerConfigでクラスタをチューニングします。

   ./manageDIPServerConfig set -host IDMHOST1 -port 7005 -wlsuser weblogic -attribute ClusterCheckInInterval -value 30000
   ./manageDIPServerConfig set -host IDMHOST1 -port 7005 -wlsuser weblogic -attribute RefreshInterval -value 120
   

3. TCPロード・バランサを使用するようにODIPを再構成します。

   LB_HOSTは、ロード・バランサのIPアドレスで、いずれかのバックエンド・インスタンスにリダイレクトするように構成する必要があります。

   ./manageDIPServerConfig set -host IDMHOST1 -port 7005 -wlsuser weblogic -attribute BackendHostPort -value LB_HOST:LB_PORT
   

8.5.3.2.7 ODIP2の構成

ODIP2を構成する手順:

1. IDMHOST1上のファイルdip-config.xmlをコピーします。

   cp MW_HOME/user_projects/domains/DOMAIN_NAME/config/fmwconfig/servers/wls_ods1/applications/DIP_11.1.1.2.0/configuration/dip-config.xml /tmp

2. 管理対象サーバー2をIDMHOST1で起動および停止します。

   MW_HOME/user_projects/domains/base_domain/bin/startManagedWebLogic.sh wls_od2
   MW_HOME/user_projects/domains/base_domain/bin/stopManagedWebLogic.sh wls_od2
   

3. 前のバックアップによる、wls_ods1上のdip-config.xmlファイルを上書きします。

   cp /tmp/dip-config.xml MW_HOME/user_projects/domains/DOMAIN_NAME/config/fmwconfig/servers/wls_ods2/applications/DIP_11.1.1.2.0/configuration/dip-config.xml
   

4. 次のpackコマンドをIDMHOST1で実行し、テンプレート・パックを作成します。

   cd MW_HOME/oracle_common/common/bin
   ./pack.sh -managed=true -domain=MW_HOME/user_projects/domains/domainName -template=dipdomain.jar -managed=true -template_name="dipdomain"
   

5. 前の手順で作成したテンプレート・ファイルをIDMHOST1からIDMHOST2にコピーします。UNIXプラットフォームでの例:

   scp dipdomain.jar user@IDMHOST2:MW_HOME/oracle_common/common/bin
   

6. unpackコマンドをIDMHOST2で実行し、伝播されたテンプレートを解凍します。

   cd MW_HOME/oracle_common/common/bin 
   ./unpack.sh -domain=MW_HOME/user_projects/domains/domains/domainName -template=dipdomain.jar -overwrite_domain=true
   

7. 管理対象サーバーをIDMHOST2で起動します。

   MW_HOME/user_projects/domains/DOMAIN_NAME/bin/startManagedWebLogic.sh wls_ods2 t3://IDMHOST1:7001
   

8.5.3.2.8 ロード・バランサの構成

ラウンドロビンまたはその他のモードではなく、フェイルオーバー・モードがサポートされるようにロード・バランサを構成することをお薦めします。ロード・バランサは、ODIPでデータの長いバッチを処理できるように、長時間のLDAP接続をサポートする必要があります。ODIPによって接続が開かれた状態が10分を超えている場合でも異常ではありません。

8.5.4 接続ディレクトリ

Oracle Directory Integration Platform (ODIP)は、リーダーを使用して、変更を接続ディレクトリから取得します。ただし、ロード・バランシングされたディレクトリに使用できない接続もあります。この項では、インポート・プロファイルに対する接続ディレクトリの複数のインスタンスの使用がODIPでどのようにサポートされるかについて説明します。

• 第8.5.4.1項「手動によるOracle Directory Server Enterprise Editionのフェイルオーバー」

• 第8.5.4.2項「Oracle Unified Directory」

• 第8.5.4.3項「Microsoft Active Directory」

• 第8.5.4.4項「Novell eDirectory」

• 第8.5.4.5項「OpenLDAP」

• 第8.5.4.6項「IBM Tivoli Directory Server」

• 第8.5.4.7項「Oracle Internet Directory」

8.5.4.1 手動によるOracle Directory Server Enterprise Editionのフェイルオーバー

ODIPでは、Oracle Directory Server Enterprise Edition (ODSEE)管理対象サーバー(WLS_ODSEE1)から別のODSEEサーバー(WLS_ODSEE2)への透過的フェイルオーバーをサポートしていません。ODSEE管理対象サーバー・インスタンスをレプリケートした場合でも、同じ更新で変更番号が両方のODSEE管理対象サーバーで同じにならないことがあります。ODIPでWLS_ODSEE1からWLS_ODSEE2に透過的にフェイルオーバーされると、切り替えるたびに、ODIPによって変更がリプレイされる場合もありますが、変更が失われる場合があります。

ODSEE管理対象サーバーを手動でフェイルオーバーするには、「ディレクトリ同期プロファイル」を参照してください。

8.5.4.2 Oracle Unified Directory

OUDをIplanetリーダーとIplanetライターとともに使用すると、ODSEEサーバーと同様に、変更番号が同期されない場合があるため、OUDではOUDインスタンス間の透過的フェイルオーバーをサポートしません。ただし、プロファイルをサポートしないOUDコネクタを使用するようにプロファイルを構成できます。

プロファイルを構成するには、リーダーをoracle.ldap.odip.gsi.OudCookieReaderに設定する必要があります。この属性は作成時に構成する必要があり、既存のプロファイルに構成することはできません。

プロファイルを構成する手順:

1. ディレクトリORACLE_HOME/ldap/odi/confに移動し、ファイルiplanetimp.cfg.masterを編集します。

2. Reader: oracle.ldap.odip.gsi.IPlanetReaderの行をoracle.ldap.odip.gsi.OudCookieReaderの行で置き換えます。

OUDインスタンス間で透過的にフェイルオーバーするために、リーダーは、OUDによって提供される外部変更ログCookieを使用します。最後に適用した変更番号にはCookieが含まれますが、それ以上変更番号は含まれません。

OUD外部変更ログCookieの詳細は、『Oracle Fusion Middleware Oracle Unified Directory管理者ガイド』の外部変更ログの使用に関する項を参照してください。

8.5.4.3 Microsoft Active Directory

Oracle Directory Integration Platformには、Microsoft Active Directoryと同期する方法が2つ(USNChangedアプローチとDirSyncアプローチ)用意されています。インスタンス間の透過的フェイルオーバーができるのは、DirSyncアプローチのみです。

『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のMicrosoft Active DirectoryからOracleバックエンド・ディレクトリへの同期化に関する項を参照してください。

8.5.4.4 Novell eDirectory

Novell eDirectory用のODIPリーダーはタイムスタンプに基づくため、すべてのインスタンスのクロックを同期させる必要があります。

8.5.4.5 OpenLDAP

OpenLDAP用のODIPリーダーはタイムスタンプに基づくため、すべてのインスタンスのクロックを同期させる必要があります。

8.5.4.6 IBM Tivoli Directory Server

Oracleでは、ロード・バランサを使用したTivoliをサポートしていません。

8.5.4.7 Oracle Internet Directory

ターゲットに指定したすべてのOIDインスタンスで変更番号が同じになるように、Oracle Internet Directory (OID)レプリケーションを構成すると、OIDインスタンスを透過的にフェイルオーバーでできます。この構成を設定しないと、透過的フェイルオーバーはサポートされません。

8.5.5 Oracle Directory Integration Platformのフェイルオーバーおよび予想される動作

高可用性環境では、少なくとも2つのWebLogicインスタンスで構成されるWebLogic ServerクラスタにODIPアプリケーションをデプロイします。

デフォルトでは、ODIPアプリケーションは、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。

さらに、高可用性環境では、ノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。

OIDのインスタンスに障害が発生した場合、ロード・バランサによって、障害の発生していないOIDのインスタンスおよびOracle RACデータベースにリダイレクトされます。OUDに障害が発生した場合、ロード・バランサによって、障害の発生していないOUDのインスタンスにリダイレクトされます。

データベース・インスタンスの障害が発生した場合は、障害が発生していないOracle RACノードが残りのプロセスを引き継ぎます。第8.5.6項「Oracle Directory Integration Platformの高可用性のトラブルシューティング」で説明されているように、Oracle RACのフェイルオーバー時には、管理対象サーバー・ログに無害のエラーが記録される場合があります。

8.5.6 Oracle Directory Integration Platformの高可用性のトラブルシューティング

この項では、Oracle Directory Integration Platform (ODIP)の高可用性に関する問題の管理方法について説明します。ここでは、次の項目について説明します。

• 第8.5.6.1項「Oracle RACフェイルオーバー時にOracle Directory Integration Platformに関して受信される管理対象サーバー・ログ・ファイルの例外」

• 第8.5.6.2項「WebLogicノード・マネージャの起動後に受信されたエラー・メッセージの処理」

• 第8.5.6.3項「WebLogicノード･マネージャが起動しない場合」

• 第8.5.6.4項「構成の変更が高可用性トポロジのすべてのOracle Directory Integration Platformインスタンスに自動的に伝播されない場合」

• 第8.5.6.5項「不明なエラー・メッセージのため操作を完了できない場合」

8.5.6.1 Oracle RACフェイルオーバー時にOracle Directory Integration Platformに関して受信される管理対象サーバー・ログ・ファイルの例外

Oracle RACのフェイルオーバー時に、ODIPアプリケーションを実行する管理対象サーバーのログ・ファイルに次のような例外が表示されることがあります。これらのエラーは、フェイルオーバー時に、WebLogic Serverプラットフォーム上に構成された複数のデータ・ソースによって、Oracle RAC データベースのヘルス状態の検証が試行されるときにスローされます。これらは無害なエラーであり、無視してかまいません。ODIPアプリケーションは、1分から2分後に回復して正常に動作し始めます。Oracle RACのフェイルオーバー時に、1つのOracle RACインスタンスが実行を続けていれば、ODIPに停止時間は発生しません。

RuntimeException:
[2008-11-21T00:11:10.915-08:00] [wls_ods] [ERROR] []
[org.quartz.impl.jdbcjobstore.JobStoreTX] [tid: 25] [userId: <anonymous>]
[ecid: 0000Hqy69UiFW7V6u3FCEH199aj0000009,0] [APP: DIP] ClusterManager: Error
managing cluster: Failed to obtain DB connection from data source
'schedulerDS': java.sql.SQLException: Could not retrieve datasource via JNDI
url 'jdbc/schedulerDS' java.sql.SQLException: Cannot obtain connection:
driverURL = jdbc:weblogic:pool:schedulerDS, props =
{EmulateTwoPhaseCommit=false, connectionPoolID=schedulerDS,
jdbcTxDataSource=true, LoggingLastResource=false,
dataSourceName=schedulerDS}.[[
Nested Exception: java.lang.RuntimeException: Failed to setAutoCommit to true
for pool connection

AuthenticationException while connecting to OID:
[2008-11-21T00:12:08.812-08:00] [wls_ods] [ERROR] [DIP-10581] [oracle.dip]
[tid: 11] [userId: <anonymous>] [ecid: 0000Hqy6m54FW7V6u3FCEH199apO000000,0]
[APP: DIP] DIP was not able to get the context with the given details {0}[[
javax.naming.AuthenticationException: [LDAP: error code 49 - Invalid
Credentials]

ほとんどの例外は、次の例のようにスケジューラまたはLDAPに関連するものです。

1. JNDI url 'jdbc/schedulerDS' java.sql.SQLExceptionによってデータ・ソースを取得できませんでした。

2. javax.naming.AuthenticationException: [LDAP: エラー・コード49 - 無効な資格証明]

8.5.6.2 WebLogicノード・マネージャの起動後に受信されたエラー・メッセージの処理

ノード・マネージャの起動後に次のエラー・メッセージが表示された場合は、エラー・メッセージの後に説明されている手順に従います。

<Dec 15, 2008 8:40:05 PM> <Warning> <Uncaught exception in server handler:
javax.net.ssl.SSLKeyException: [Security:090482]BAD_CERTIFICATE alert was
received from stbee21.example.com - 152.68.64.2155. Check the peer to 
determine why it rejected the certificate chain (trusted CA configuration,
hostname verification). SSL debug tracing may be required to determine the
exact reason the certificate was rejected.> javax.net.ssl.SSLKeyException:
[Security:090482]BAD_CERTIFICATE alert was received from stbee21.example.com -
152.68.64.215. Check the peer to determine why it rejected the certificate chain 
(trusted CA configuration, hostname verification). SSL debug tracing may be
required to determine the exact reason the certificate was rejected.

1. まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。

2. コンソールの左側のペインで、「サーバー」を開いて、「AdminServer (admin)」をクリックします。

3. 「構成」→「SSL」→詳細リンクを選択します。

4. 「ホスト名の検証」に「なし」を選択します。

5. 「保存」をクリックして設定を保存します。

6. これらの変更をアクティブにするには、管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックします。

7. すべてのサーバーを再起動します。

管理対象サーバーが管理モードで起動したら、次の手順を実行します。

1. まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。

2. コンソールの左側のペインで、「サーバー」を開いて、ADMINモードで実行されているサーバーの名前をクリックします。

3. 「制御」→「起動と停止」タブを選択します。

4. サーバーの名前を選択します。

5. 「再開」をクリックします。

6. 「はい」をクリックしてサーバーを再開します。

8.5.6.3 WebLogicノード・マネージャが起動しない場合

WebLogicノード・マネージャの起動に失敗する場合は、次のドメイン・ファイルをIDMHOST1からIDMHOST2にコピーしてあることを確認します。

WL_HOME/common/nodemanager/nodemanager.domains

8.5.6.4 構成の変更が高可用性トポロジのすべてのOracle Directory Integration Platformインスタンスに自動的に伝播されない場合

高可用性トポロジのODIPインスタンスの構成を変更した場合、この構成の変更はトポロジ内のすべてのODIPインスタンスに自動的には伝播されません。

manageDIPServerConfigツールを使用して、トポロジのすべてのODIPインスタンスに対して構成変更を行い、すべてのODIPインスタンスで同じ構成にします。manageDIPServerConfigツールの詳細は、Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイドを参照してください。

8.5.6.5 不明なエラー・メッセージのため操作を完了できない場合

manageSyncProfilesコマンドの使用時に次のエラー・メッセージが断続的に表示されることがあります。

OPERATION CANNOT BE COMPLETED FOR UNKNOWN ERRORS

このエラー・メッセージが表示される場合は、管理対象サーバー(wls_ods1またはwls_ods2)の起動と停止を行います。その後も問題が続く場合は、2つ目のノードにコピー・メソッドを実行します。

8.6 Oracle Directory Services Managerの高可用性

この項では、Oracle Directory Services Managerと、ODIPおよびOracle Directory Services Manager.の高可用性環境を設計およびデプロイする方法について説明します。

ODIPの詳細は、第8.5項「Oracle Directory Integration Platformの高可用性」を参照してください。

この項の内容は次のとおりです。

• 第8.6.1項「Oracle Directory Services Managerコンポーネント・アーキテクチャ」

• 第8.6.2項「Oracle Directory Services Managerの高可用性の概要」

• 第8.6.3項「Oracle Directory Services Managerの高可用性の構成手順」

• 第8.6.4項「Oracle Directory Services Managerの高可用性の検証」

• 第8.6.5項「Oracle Directory Services Managerのフェイルオーバーおよび予想される動作」

• 第8.6.6項「Oracle Directory Services Managerのトラブルシューティング」

• 第8.6.7項「Oracle Directory Services Managerの高可用性に関するその他の考慮事項」

8.6.1 Oracle Directory Services Managerコンポーネント・アーキテクチャ

Oracle Directory Services Managerは、Oracle Internet DirectoryおよびOracle Virtual Directoryのインスタンスの管理用に統一されたグラフィカル・ユーザー・インタフェース(GUI)です。非推奨となったOracle Directory Managerにかわるものです。Oracle Directory Services Managerでは、ディレクトリ構造の構成、ディレクトリ内のオブジェクトの定義、ユーザー、グループおよびその他のエントリの追加と構成ができます。

エンド・ユーザーは、Oracle Directory Services Managerを使用して、各自のディレクトリ・エントリ、スキーマ、セキュリティおよびその他の機能を管理できます。

図8-7は、Oracle Directory Services Managerのアーキテクチャを示しています。

図8-7 Oracle Directory Services Managerのアーキテクチャ

「図8-7 Oracle Directory Services Managerのアーキテクチャ」の説明

図8-7は、非高可用性アーキテクチャにデプロイされたOracle Directory Services Managerを示しています。Oracle Directory Services ManagerはOracle WebLogic Server上にデプロイされます。Oracle Directory Services Managerは、管理対象となるOracle Virtual DirectoryとOracle Internet Directoryの各インスタンスと通信を行うよう構成されます。

Oracle Directory Services Managerでは、クライアント・ブラウザとの通信にHTTPプロトコルが使用されます。Oracle Internet Directoryとの通信には、LDAPプロトコルを使用し、Oracle Virtual Directoryとの通信はWebサービスを介して行われます。

8.6.1.1 Oracle Directory Services Managerコンポーネントの特性

Oracle Directory Services Managerは、Oracle Application Development Framework (ADF)ベースのJ2EEアプリケーションであり、Oracle WebLogic Server上にデプロイされます。

Oracle Directory Services Managerは、Oracle Internet Directoryと同じノードまたは独立したノードにデプロイできます。

Oracle Directory Services Managerは、直接またはOracle Enterprise Manager Fusion Middleware Controlから起動できます。

Oracle Directory Services Managerを直接起動するには、次のURLをブラウザのアドレス・フィールドに入力します。

http://host:port/odsm/faces/odsm.jspx

説明:

• hostは、Oracle Directory Services Managerが実行されている管理対象サーバーの名前です。

• portは、管理対象サーバーのポート番号です。

Oracle Directory Services ManagerをOracle Enterprise Manager Fusion Middleware Controlから起動する手順は次のとおりです。

• Oracle Internet Directoryターゲットの「Oracle Internet Directory」メニューで「Directory Services Manager」を選択して、「データ・ブラウザ」、「スキーマ」、「セキュリティ」、または「拡張」を選択します。

• Oracle Virtual Directoryターゲットの「Oracle Virtual Directory」メニューで「Directory Services Manager」を選択してから、「データ・ブラウザ」、「スキーマ」、「アダプタ」、「拡張機能」、または「クイック構成ウィザード」を選択します。

Oracle Directory Services Managerは、Oracle WebLogic Serverに対して外部的にステージングされたアプリケーションとしてデプロイされます。WebLogicサーバーは、Oracle Directory Services Managerアプリケーションの起動、停止、監視を管理します。Oracle Directory Services Managerは、管理対象サーバーの起動時に初期化を実行します。ノード・マネージャは、サーバー・プロセスを監視して、障害発生時には再起動するように構成されます。

8.6.1.1.1 ライフサイクル管理

Oracle Directory Services Managerアプリケーションのライフサイクル・イベントは、次に示すコマンドライン・ツールおよびコンソールのいずれかを使用して管理できます。

次のツールを使用して、Oracle Directory Services Managerプロセスを起動および停止します。

• Oracle WebLogic Server Scripting Tool (WLST)

• Oracle Enterprise Manager Fusion Middleware Control

• WebLogic Server管理コンソール

• WebLogicノード・マネージャ

8.6.1.1.2 Oracle Directory Services Managerのログ・ファイル

Oracle Directory Services Managerのメッセージは、実行されているOracle WebLogic Serverのサーバー・ログ・ファイルに記録されます。サーバー・ログのデフォルトの場所は次のとおりです。

WEBLOGIC_SERVER_HOME/user_projects/domains/domainName/servers/serverName/logs/
serverName-diagnostic.log

8.6.2 Oracle Directory Services Managerの高可用性の概要

この項では、Oracle Directory Services Managerを高可用性構成で使用する場合の概要について説明します。

この項で説明するOracle Directory Services Managerの高可用性構成では、2つのホスト上にOracle Directory Services ManagerとODIPが、2ノードのアクティブ/アクティブの高可用性構成でインストールおよび構成されています。

8.6.2.1 Oracle Directory Services Managerの高可用性アーキテクチャ

図8-8は、ODIPとOracle Directory Services Managerのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。

図8-8 高可用性アーキテクチャのOracle Directory Services ManagerとOracle Directory Integration Platform

「図8-8 高可用性アーキテクチャのOracle Directory Services ManagerとOracle Directory Integration Platform」の説明

図8-8では、アプリケーション層にコンピュータIDMHOST1とIDMHOST2があります。

IDMHOST1では、次のインストールが実行されています。

• ODIPインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS1管理対象サーバーにインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。

• WebLogic管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。

IDMHOST2では、次のインストールが実行されています。

• ODIPインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS2管理対象サーバーにインストールされています。Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。

  IDMHOST2上のWLS_ODS2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_ODS1管理対象サーバーにあるインスタンスは、CLUSTER_ODSクラスタとして構成されています。

• WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。

8.6.2.1.1 クラスタの起動と停止

高可用性アーキテクチャでは、ODIPおよびOracle Directory Services ManagerはOracle WebLogicクラスタにデプロイされ、このクラスタには、その一部として少なくとも2つのサーバーが存在します。

WebLogic Serverはデフォルトで、アプリケーションの起動、停止および監視を行います。ODIPとOracle Directory Services Managerの各アプリケーションはともにデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。

高可用性環境では、ノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。ノード・マネージャがこのサーバーを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってクラスタ内のWebLogicインスタンスの障害が検出され、障害が発生していないインスタンスにトラフィックがルーティングされます。

8.6.2.2 障害からの保護および予想される動作

この項では、Oracle Directory Services Managerのアクティブ/アクティブ・クラスタにおける様々な障害からの保護について説明します。

8.6.2.2.1 プロセス障害

高可用性環境では、Oracle Directory Services Managerアプリケーションは、少なくとも2つのWebLogicインスタンスで構成されるOracle WebLogic Serverクラスタにデプロイされます。

Oracle Directory Services Managerアプリケーションはデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。

OPMNは、Oracle HTTP Serverプロセスを監視し、障害発生時にはこのプロセスを再起動します。OPMNがHTTPプロセスを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってOracle HTTP Serverインスタンスの障害が検出され、障害が発生していないインスタンスにトラフィックがルーティングされます。

Oracle Directory Services Managerによって、セッション状態が管理されますが、障害発生時には、セッション状態の情報は障害が発生していないノードに対して引き継がれません。

8.6.2.2.2 障害発生時に予想されるクライアント・アプリケーションの動作

Oracle Directory Services Managerのフェイルオーバーは、透過的ではありません。Oracle WebLogic Serverインスタンスのフェイルオーバー時は、Oracle Directory Services Managerを使用して接続を再確立する必要があります。

8.6.2.2.3 外部依存性の障害

Oracle Directory Services Managerでは、起動時にWebLogic管理対象サーバーが利用可能である必要があります。利用できない場合は、Oracle Directory Services Managerの起動に失敗します。

8.6.2.3 Oracle Directory Services Managerの前提条件

この項では、Oracle Directory Services Managerの高可用性アーキテクチャを設定するための前提条件について説明します。

注意: Oracle Directory Services Managerを高可用性デプロイメントで使用する場合は、クラスタ・ノードのシステム・クロックを同期する必要があります。

Oracle Directory Services Managerをインストールする前に、次に示すコンポーネントをインストールして構成しておくことをお薦めします。前提条件、およびインストールと構成の手順については、次の各項を参照してください。

• Oracle Database

  Oracle Real Application Clustersデータベースのインストールと構成は、次の各項の説明に従います。

  • 第8.2項「Oracle Identity Managementの高可用性構成のための前提条件」

  • 第8.2.2項「データベースに関する前提条件」

  • 第8.2.3項「データベース・リポジトリのインストールと構成」

• Oracleリポジトリ作成ユーティリティ

  Oracleリポジトリ作成ユーティリティをインストールして、必要なスキーマを作成しロードするには、次の各項の説明に従います。

  • 第8.2.4項「リポジトリ作成ユーティリティ・ソフトウェアの取得」

  • 第8.2.5項「Oracle Fusion Middleware 11gメタデータのデータベースの構成」

• ロード・バランサと仮想ホスト

  ロード・バランサの構成と必要な仮想サーバーの作成の詳細は、第8.2.5.4項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。

• Oracle Internet Directory

  Oracle Internet Directoryのインストールと構成は、次の各項の説明に従います。

  • 第8.3.2.3項「Oracle Internet Directoryの前提条件」

  • 第8.3.3項「Oracle Internet Directoryの高可用性の構成手順」

8.6.3 Oracle Directory Services Managerの高可用性の構成手順

図8-8のアクティブ/アクティブの高可用性構成のインストールおよび構成の手順は、第8.5.3.1項「OIDバックエンド・サーバーの高可用性の構成」を参照してください。

8.6.4 Oracle Directory Services Managerの高可用性の検証

この項では、高可用性構成のOracle Directory Services Managerを検証する方法について説明します。

8.6.4.1 WebLogic Serverインスタンスのフェイルオーバーの実行

Oracle HTTP Serverを通してOracle Directory Services Managerにアクセスしている間に、この項の手順を使用してWebLogic Serverインスタンスをフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerがアクセス可能であることを検証できます。

この例で使用するOracle HTTP Server仮想サーバー名は次のとおりです。

http://admin.example.com

次の手順を実行します。

1. Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。

   http://admin.example.com/odsm/faces/odsm.jspx
   

2. 「Oracle Directory Services Managerへようこそ」画面が表示されたら、Webブラウザを開いて次のURLを入力します。

   http://hostname:port/console
   

   hostnameは管理サーバーのDNS名、portは管理サーバーがリクエストをリスニングするポートのアドレス(デフォルトでは7001)です。

3. ログイン・ページで、管理サーバーの起動に使用するユーザー名とパスワードを入力して、「ログイン」をクリックします。

4. 次の手順に従って、Oracle Directory Services Managerがデプロイされている管理対象サーバーの1つを停止させます。

   1. Oracle WebLogic Server管理コンソールの左側のペインで、「環境」を開いて、「サーバー」を選択します。

      WebLogicサーバーの起動と停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の「Oracle Fusion Middlewareの起動と停止」を参照してください。

   2. 停止させる管理対象サーバーの名前をクリックします。(例:wls_ods1)。

   3. wls_ods1の設定画面で「制御」→「起動と停止」タブを選択します。

   4. 停止する管理対象サーバーの名前(wls_ods1)の横にあるチェック・ボックスを選択し、「停止」→「作業完了時」をクリックします。

5. 管理対象サーバー(wls_ods1)のステータスを確認します。

   1. コンソールの左側のペインで、「環境」を開いて、「サーバー」を選択します。

   2. 管理対象サーバー(wls_ods1)の状態はSHUTDOWNとなっているはずです。

6. Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。

   http://admin.example.com/odsm/faces/odsm.jspx
   

   「Oracle Directory Services Managerへようこそ」画面が表示されます。

8.6.4.2 Oracle RACデータベースのフェイルオーバーの実行

ロード・バランシング・ルーターを介してOracle Directory Services Managerにアクセスしている間に、この項の手順に従ってOracle RACデータベース・インスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerが機能していることを確認します。この例では、Oracle Directory Services Managerの確認だけでなく、Oracle Internet Directoryからデータベースへのアクセスも確認します。

この例で使用するOracle HTTP Server仮想サーバー名は次のとおりです。

http://admin.example.com

この例で使用するLDAP仮想サーバー名は次のとおりです。

oid.example.com:389

次の手順を実行します。

1. Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。

   http://admin.example.com/odsm/faces/odsm.jspx
   

   「Oracle Directory Services Managerへようこそ」画面が表示されます。

2. LDAP仮想サーバーを使用してOracle Internet Directoryに接続できることを確認します。

   1. 右上隅にある「ディレクトリに接続」→「新規接続の作成」リンクを選択します。

   2. 「新規接続」画面で、次の接続情報を入力し、「接続」をクリックします。

      • ディレクトリ・タイプ: OID

      • 名前: OIDHA

      • サーバー: oid.example.com

      • ポート: 389

      • SSL有効: 空白にしておきます。

      • ユーザー名: cn=orcladmin

      • パスワード: ********

      • 開始ページ: Home(デフォルト)

3. INFRADBHOST1-VIP上のOracle Internet Directoryスキーマ・データベース・インスタンスを停止させるために、次のようにsrvctlコマンドを実行します(この例では、INFRADBというデータベース名を使用します)。

   MW_HOME/bin/srvctl stop instance -d infradb -i infradb1
   MW_HOME/bin/srvctl status database
   

4. Oracle Directory Services Managerの画面を再表示するか、タブ(「ホーム」、「データ・ブラウザ」、「スキーマ」、「セキュリティ」、「詳細」)の1つをクリックします。依然としてOracle Internet Directoryの情報にアクセスできるはずです。

5. INFRADBHOST1-VIP上でOracle Internet Directoryスキーマ・データベース・インスタンスを再起動させるために、次のようにsrvctlコマンドを実行します。

   MW_HOME/oracle_common/common/bin/srvctl start instance -d infradb -i infradb1
   MW_HOME/oracle_common/common/bin/srvctl status database
   

6. INFRADBHOST2-VIPでステップ3、4、および5を実行します。

8.6.5 Oracle Directory Services Managerのフェイルオーバーおよび予想される動作

この項では、Oracle Directory Services Managerを使用して、管理対象サーバー、Oracle Internet Directoryインスタンス、およびOracle RACデータベースのフェイルオーバーを検証する手順について説明します。

8.6.5.1 Oracle Directory Services Managerを使用した管理対象サーバーのフェイルオーバーの検証

Oracle Directory Services Managerを使用して、管理対象サーバーのフェイルオーバーを検証する手順は次のとおりです。

1. Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。例:

   http://WEBHOST1:PORT/odsm/faces/odsm.jspx
   

2. Oracle Internet Directoryに接続します。

3. 管理コンソールに移動して、wls_ods1管理対象サーバーを停止します。

4. 「Oracle Directory Services Manager」ページに戻り、作業を続行します。

5. 「Oracle Directory Services Manager」ページの接続が切断されます。

6. 同じブラウザから、Oracle HTTP Serverのホストとポートを使用して「Oracle Directory Services Manager」ページを再起動します。

7. 接続を再確立します。

この動作が必要となる動作です。Oracle Directory Services Managerのフェイルオーバーは、透過的ではありません。WebLogic Serverインスタンスのフェイルオーバー時は、Oracle Directory Services Managerを使用して接続を再確立する必要があります。

8.6.5.2 Oracle Directory Services Managerを使用したOracle Internet Directoryインスタンスのフェイルオーバーの検証

Oracle Directory Services Managerを使用して、Oracle Internet Directoryインスタンスのフェイルオーバーを検証する手順は次のとおりです。

1. Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。例:

   http://WEBHOST1:PORT/odsm/faces/odsm.jspx
   

2. Oracle Internet Directoryハードウェア・ロード・バランサに接続します。

3. 一度に1つずつOracle Internet Directoryインスタンスを停止します。

4. フェイルオーバー時には、「Oracle Directory Services Manager」ページに戻り、作業を続行します。

これは、Oracle Directory Services ManagerにOracle Internet Directoryが停止しているというメッセージのウィンドウが表示された場合に必要な対応です。Oracle Directory Services Managerは、Oracle Internet Directoryに再接続しますが、その接続はフェイルオーバー時には永続しないことがあります。詳細は、第8.6.6.4項「Oracle Internet Directoryのフェイルオーバー時に、メッセージ「LDAPサーバーが停止しています。」がOracle Directory Services Managerに表示される」を参照してください。

Oracle Directory Services Managerにアクセスしている間に、Oracle Internet Directoryインスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もLDAPストアがアクセス可能であることを確認します。Oracle Directory Services ManagerからOracle Internet Directoryへの接続が永続的でない場合もあります。

8.6.5.3 Oracle Directory Services Managerを使用したOracle RACのフェイルオーバーの検証

Oracle Directory Services Managerを使用して、Oracle RACのフェイルオーバーを検証する手順は次のとおりです。

1. Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。例:

   http://WEBHOST1:PORT/odsm/faces/odsm.jspx
   

2. 「Oracle Directory Services Manager」ページからOracle Internet Directoryに接続します。

3. 一度に1つずつOracle RACデータベース・インスタンスを停止します。

4. 「Oracle Directory Services Manager」ページに戻り、ステップ2で確立したOracle Internet Directoryの接続から作業を続行します。

Oracle RACのフェイルオーバー時に一時的に接続が失われますが、これはOracle Directory Services Managerに必要な動作です。Oracle RACのフェイルオーバー時にOracle Directory Services Managerに表示されるエラー・メッセージの詳細は、第8.6.6.5項「Oracle RACフェイルオーバー時のOracle Directory Services Managerの一時的な接続の消失」を参照してください。

ハードウェア・ロード・バランサを介してOracle Directory Services Managerへアクセスしている間に、Oracle RACデータベース・インスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerが機能していることを確認します。これによって、Oracle Directory Services Managerの確認だけでなく、Oracle Internet DirectoryからOracle RACデータベースへのアクセスも確認できます。

8.6.6 Oracle Directory Services Managerのトラブルシューティング

この項では、Oracle Directory Services Managerの高可用性構成の問題を解決する方法について説明します。

8.6.6.1 WebLogicノード・マネージャの起動後に受信されたエラー・メッセージの解決

ノード・マネージャの起動後に次のエラー・メッセージが表示された場合は、エラー・メッセージの後の手順を参照してください。

<Dec 15, 2008 8:40:05 PM> <Warning> <Uncaught exception in server handler:
javax.net.ssl.SSLKeyException: [Security:090482]BAD_CERTIFICATE alert was
received from stbee21.example.com - 152.68.64.2155. Check the peer to 
determine why it rejected the certificate chain (trusted CA configuration,
hostname verification). SSL debug tracing may be required to determine the
exact reason the certificate was rejected.> javax.net.ssl.SSLKeyException:
[Security:090482]BAD_CERTIFICATE alert was received from stbee21.example.com -
152.68.64.215. Check the peer to determine why it rejected the certificate chain 
(trusted CA configuration, hostname verification). SSL debug tracing may be
required to determine the exact reason the certificate was rejected.

1. 管理コンソールの「チェンジ・センター」で、「ロックして編集」をクリックします。

2. コンソールの左側のペインで、「サーバー」を開いて、「AdminServer (admin)」をクリックします。

3. 「構成」→「SSL」→詳細リンクを選択します。

4. 「ホスト名の検証」に「なし」を選択します。

5. 「保存」をクリックします。

6. 管理コンソールの「チェンジ・センター」で、「変更のアクティブ化」をクリックします。

7. すべてのサーバーを再起動します。

管理対象サーバーが管理モードで起動したら、次の手順を実行します。

1. まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。

2. コンソールの左側のペインで、「サーバー」を開いて、ADMINモードで実行されているサーバーの名前をクリックします。

3. 「制御」→「起動と停止」タブを選択します。

4. サーバーの名前を選択します。「再開」をクリックします。

5. 「はい」をクリックしてサーバーを再開します。

8.6.6.2 WebLogicノード・マネージャが起動しない場合

ノード・マネージャの起動に失敗する場合は、次のドメイン・ファイルをIDMHOST1からIDMHOST2にコピーしてあることを確認します。

WL_HOME/common/nodemanager/nodemanager.domains

8.6.6.3 Oracle HTTP Serverを使用したOracle Directory Services Managerのフェイルオーバーが透過的に行われない

Oracle HTTP Serverを使用してOracle Directory Services Managerのフェイルオーバーを実行する場合、このフェイルオーバーは透過的には行われません。次の手順を実行すると、この動作を確認できます。

1. Oracle HTTP Serverを使用して、Oracle Directory Services Managerをアクティブ/アクティブの高可用性構成にデプロイします。

2. Oracle HTTP Serverの名前とポート番号を使用して、「Oracle Directory Services Manager」ページを開きます。

3. Oracle Internet DirectoryサーバーやOracle Virtual DirectoryサーバーなどのLDAPサーバーに接続します。

4. 現行のOracle Directory Services ManagerのOracle HTTP Serverホストとポートを使用して、LDAPサーバーで作業します。

5. Oracle WebLogic Server管理コンソールを使用して、一度に1つずつ管理対象サーバーを停止します。

6. 「Oracle Directory Services Manager」ページとポート、およびすでに確立されているOracle Internet DirectoryまたはOracle Virtual Directoryの接続に戻ります。この操作を行うと、「Oracle Directory Services Manager」ページへの接続を再確立する必要があることを示すメッセージが表示されます。

このような場合は、次の手順を実行する必要があります。

1. Webブラウザで、現在の「Oracle Directory Services Manager」ページを終了します。

2. 新たにWebブラウザ・ページを起動して、同じOracle Directory Services ManagerのOracle HTTP Serverの名前とポートを指定します。

3. 前述の手順で作業中を行っていたLDAPサーバー(Oracle Internet DirectoryまたはOracle Virtual Directory)への接続を再確立します。

8.6.6.4 Oracle Internet Directoryのフェイルオーバー時に、メッセージ「LDAPサーバーが停止しています。」がOracle Directory Services Managerに表示される

Oracle Directory Services Managerがロード・バランサを介してOracle Internet Directoryに接続される高可用性構成では、Oracle Internet Directoryのインスタンス間のフェイルオーバー時にOracle Directory Services Managerにメッセージ「LDAPサーバーが停止しています。」が表示されます。

Oracle Internet Directoryのフェイルオーバーが完了すると、この接続は数分以内に再確立されるため、再ログインすることなく作業を続行できます。

8.6.6.5 Oracle RACフェイルオーバー時のOracle Directory Services Managerの一時的な接続の消失

Oracle Directory Services Managerでは、Oracle RACのフェイルオーバー時にOracle RACデータベースを使用中のOracle Internet Directoryインスタンスとの接続が一時的に失われます。Oracle Directory Services Managerに、メッセージFailure accessing Oracle database (oracle errcode=errcode)が表示されることがあります(errcodeは、次のいずれかです。値: 3113、3114、1092、28、1041、または1012)。

Oracle RACのフェイルオーバーが完了すると、この接続は数分以内に再確立されるため、再ログインすることなく作業を続行できます。

8.6.7 Oracle Directory Services Managerの高可用性に関するその他の考慮事項

Oracle Directory Services Managerを使用して、Oracle Internet Directoryクラスタを管理する場合は、接続文字列にロード・バランサの仮想アドレスを使用します。ただし、Oracle Directory Services Managerを使用してOracle Virtual Directoryクラスタを管理する場合は、具体的なOracle Virtual Directoryインスタンスのホスト名とポートを指定する必要があります。

8.7 コロケート・アーキテクチャの高可用性

この項では、Oracle Internet Directory、Oracle Directory Integration Platform (ODIP)、Oracle Virtual Directory、およびOracle Directory Services Managerをコロケートの高可用性環境に設計し、デプロイする方法について説明します。これらのコンポーネントの概要は、前述の項に記載されています。

この項では、Oracle Internet Directory、ODIP、Oracle Virtual Directory、およびOracle Directory Services Managerを高可用性構成にデプロイする場合のコロケート・アーキテクチャについて説明します。

この項の内容は次のとおりです。

• 第8.7.1項「コロケート・アーキテクチャの概要」

• 第8.7.2項「コロケート・アーキテクチャの高可用性デプロイメント」

• 第8.7.3項「コロケート・コンポーネントの高可用性の検証」

• 第8.7.4項「コロケート・コンポーネント・マネージャの高可用性のトラブルシューティング」

• 第8.7.5項「コロケート・コンポーネントの高可用性に関するその他の考慮事項」

8.7.1 コロケート・アーキテクチャの概要

この項で説明するコロケート・アーキテクチャにおける各コンポーネントのアーキテクチャの概要は、次の各項を参照してください。

• Oracle Internet Directory: 第8.3.1項「Oracle Internet Directoryコンポーネント・アーキテクチャ」

• Oracle Virtual Directory: 第8.4.1項「Oracle Virtual Directoryコンポーネント・アーキテクチャ」

• Oracle Directory Integration Platform: 第8.5.1項「Oracle Directory Integration Platformコンポーネント・アーキテクチャ」

• Oracle Directory Services Manager: 第8.6.1項「Oracle Directory Services Managerコンポーネント・アーキテクチャ」

図8-9では、Oracle Internet Directory、ODIP、Oracle Virtual Directory、およびOracle Directory Services Managerが、単一ホストにコロケートされており、非高可用性アーキテクチャにデプロイされています。

図8-9 コロケート・コンポーネント・アーキテクチャ

「図8-9 コロケート・コンポーネント・アーキテクチャ」の説明

図8-9のコンポーネントはすべて、同一ホストにデプロイされていますが、それぞれ個別のOracleホームとOracleインスタンスを持ちます。Oracle Internet Directoryは、セキュリティ・メタデータ・リポジトリとして、スタンドアロンのOracle Databaseを使用します。

8.7.2 コロケート・アーキテクチャの高可用性デプロイメント

図8-10では、Oracle Internet Directory、Oracle Virtual Directory、ODIP、およびOracle Directory Services Managerが、IDMHOST1とIDMHOST2にコロケートされており、高可用性アーキテクチャでデプロイされています。

図8-10 高可用性アーキテクチャにコロケートされたコンポーネント

「図8-10 高可用性アーキテクチャにコロケートされたコンポーネント」の説明

8.7.2.1 コロケート・アーキテクチャの前提条件

この項で説明するコロケート・アーキテクチャにおける各コンポーネントの前提条件については、次の各項を参照してください。

• Oracle Internet Directory: 第8.3.2.3項「Oracle Internet Directoryの前提条件」

• Oracle Virtual Directory: 第8.4.2.2項「Oracle Virtual Directoryの前提条件」

• ODIP: 第8.5.2.4項「Oracle Directory Integration Platformの前提条件」

• Oracle Directory Services Manager: 第8.6.2.3項「Oracle Directory Services Managerの前提条件」

8.7.2.2 高可用性のためのコロケートされたコンポーネントの構成

この項では、IDMHOST1とIDMHOST2にOracle Internet Directory、ODIP、Oracle Virtual Directory、およびOracle Directory Services Managerを高可用性アーキテクチャでインストールし、構成する手順を説明します。

注意: コロケート環境では、Oracle Identity Managementの各コンポーネントを個別のOracleホームにインストールする必要があります。これらのコンポーネントは同じMW_HOMEを共有できます。 各コンポーネントで、1つ目のインスタンスのOracleホームの場所のディレクトリ・パスが、2つ目のインスタンスのOracleホームの場所のディレクトリ・パスと同じであることを確認します。 たとえば、OIDHOST1の1つ目のOracle Internet DirectoryインスタンスのOracleホームの場所のディレクトリ・パスが/u01/app/oracle/product/fmw/idmである場合は、OIDHOST2の2つ目のOracle Internet DirectoryインスタンスのOracleホームの場所のディレクトリ・パスも/u01/app/oracle/product/fmw/idmである必要があります。

1. データベースをインストールします。詳細は、第8.2.3項「データベース・リポジトリのインストールと構成」を参照してください。

2. RCUをインストールします。詳細は、第8.2.4項「リポジトリ作成ユーティリティ・ソフトウェアの取得」を参照してください。

3. データベースを構成します。詳細は、第8.2.5項「Oracle Fusion Middleware 11gメタデータのデータベースの構成」を参照してください。

4. RCUを実行して、Oracle Internet DirectoryとOracle Identity Federationに必要なスキーマをインストールします。詳細は、第8.3.2.3.2項「RCUを使用したリポジトリへのOracle Internet Directoryスキーマの作成」を参照してください。

5. 1つ目のホストで、Oracle Internet Directoryのインストールと構成を行います。詳細は、第8.3.3.2.1項「OIDHOST1でのOracle Internet Directoryの構成」または第8.3.3.3.1項「OIDHOST1でのOracle Internet Directoryの構成」を参照してください。

6. 2つ目のホストで、Oracle Internet Directoryのインストールと構成を行います。詳細は、第8.3.3.2.3項「OIDHOST2でのOracle Internet Directoryの構成」または第8.3.3.3.3項「OIDHOST2でのOracle Internet Directoryの構成」を参照してください。

7. 1つ目のホストでOracle Virtual Directoryのインストールと構成を行います。詳細は、第8.4.3.1.1項「OVDHOST1でのOracle Virtual Directoryの構成」または第8.4.3.2.1項「OVDHOST1でのOracle Virtual Directoryの構成」を参照してください。

8. 2つ目のホストでOracle Virtual Directoryのインストールと構成を行います。詳細は、第8.4.3.1.2,項「OVDHOST2でのOracle Virtual Directoryの構成」または第8.4.3.2.3,項「OVDHOST2でのOracle Virtual Directoryの構成」を参照してください。

9. 1つ目のホストで、ODIPとOracle Directory Services Managerをインストールおよび構成します。詳細は、第8.5.3.1.1項「IDMHOST1でのOracle Directory Integration Platformの構成(OID)」を参照してください。

10. 2つ目のホストで、ODIPとOracle Directory Services Managerをインストールおよび構成します。詳細は、第8.5.3.1.3項「IDMHOST2でのOracle Directory Integration Platformの構成(OID)」を参照してください。

8.7.3 コロケート・コンポーネントの高可用性の検証

高可用性アーキテクチャにコロケートされたコンポーネントの検証、およびこれらのコンポーネントとOracle RACをフェイルオーバーする方法の詳細は、次の各トピックを参照してください。

8.7.3.1 検証テスト

高可用性アーキテクチャにコロケートされた次のコンポーネントの検証については、次の各項を参照してください。

• Oracle Internet Directory: 第8.3.4項「Oracle Internet Directoryの高可用性の検証」

• Oracle Virtual Directory: 第8.4.4項「Oracle Virtual Directoryの高可用性の検証」

• Oracle Directory Integration Platform: 第8.6.4項「Oracle Directory Services Managerの高可用性の検証」

• Oracle Directory Services Manager: 第8.6.4項「Oracle Directory Services Managerの高可用性の検証」

8.7.3.2 障害および予想される動作

高可用性アーキテクチャにコロケートされた次のコンポーネントの障害および予想される動作の詳細は、次の各項を参照してください。

• Oracle Internet Directory: 第8.3.5項「Oracle Internet Directoryのフェイルオーバーおよび予想される動作」

• Oracle Virtual Directory: 第8.4.5項「Oracle Virtual Directoryのフェイルオーバーおよび予想される動作」

• Oracle Directory Integration Platform: 第8.5.5項「Oracle Directory Integration Platformのフェイルオーバーおよび予想される動作」

• Oracle Directory Services Manager: 第8.6.5項「Oracle Directory Services Managerのフェイルオーバーおよび予想される動作」

8.7.4 コロケート・コンポーネント・マネージャの高可用性のトラブルシューティング

高可用性アーキテクチャにコロケートされた次のコンポーネントのトラブルシューティングの詳細は、次の各項を参照してください。

• Oracle Internet Directory: 第8.3.6項「Oracle Internet Directoryの高可用性のトラブルシューティング」

• Oracle Virtual Directory: 第8.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」

• Oracle Directory Integration Platform: 第8.5.6項「Oracle Directory Integration Platformの高可用性のトラブルシューティング」

• Oracle Directory Services Manager: 第8.6.6項「Oracle Directory Services Managerのトラブルシューティング」

8.7.5 コロケート・コンポーネントの高可用性に関するその他の考慮事項

コロケートされた高可用性アーキテクチャでのその他の検討事項の詳細は、次の各項を参照してください。

• Oracle Internet Directory: 第8.3.7項「Oracle Internet Directoryの高可用性に関するその他の問題」

• Oracle Directory Services Manager: 第8.6.7項「Oracle Directory Services Managerの高可用性に関するその他の考慮事項」

8.8 コンポーネントの起動と停止

コンポーネントを起動および停止するには、『Oracle Fusion Middleware管理者ガイド』のコンポーネントの起動と停止に関するトピックを参照してください。