| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1 (11.1.1) B65032-05 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1 (11.1.1) B65032-05 |
|
前 |
次 |
この章では、Oracle Password Filter for Microsoft Active Directoryのインストールおよび構成の方法について説明します。この章の内容は次のとおりです。
Oracle Password Filter for Microsoft Active Directoryでの問題のトラブルシューティングに役立てるために、付録D「Oracle Directory Integration Platformのトラブルシューティング」の次のトピックを参照してください。
|
注意: Oracle Password Filter for Microsoft Active Directoryのインストール・ファイルは、Oracle Identity Management CD-ROM (Disk 1)にあります。パスワード・フィルタ・アプリケーションの32ビット・バージョンおよび64ビット・バージョンが提供されています。32ビット・バージョンは32ビットOSにのみ、64ビット・バージョンは64ビットOSにのみインストールします。詳細は、「Oracle Password Filter for Microsoft Active Directoryのインストール」を参照してください。 |
この項では、Oracle Password Filter for Microsoft Active Directoryの目的と動作について説明します。内容は次のとおりです。
Oracle Directory Integration Platformを使用すると、Oracleバックエンド・ディレクトリとMicrosoft Active Directory間の同期が可能になります。Oracle Directory Integration Platformでは、ユーザー・パスワードを除いたすべてのMicrosoft Active Directoryの属性を取得できます。アプリケーションでOracle Password Filter for Microsoft Active Directoryを使用して、Microsoft Active Directoryからパスワードを取得し、そのパスワードをOracleバックエンド・ディレクトリに格納できます。Oracle Application Server Single Sign-Onを使用しないOracle Databaseエンタープライズ・ユーザー・セキュリティなどのアプリケーションでは、Oracle Password Filter for Microsoft Active Directoryを使用して、Microsoft Active Directoryからパスワードを取り出して、Oracleバックエンド・ディレクトリにパスワードを格納します。
|
注意: Oracleバックエンド・ディレクトリは、エンタープライズ・ユーザー・セキュリティをサポートする必要があります。 |
ユーザーがデスクトップからパスワードを変更すると、更新されたパスワードはOracleバックエンド・ディレクトリと自動的に同期化されます。つまり、Oracle Password Filter for Microsoft Active Directoryは、パスワードの変更についてMicrosoft Active Directoryをモニターし、その変更をOracleバックエンド・ディレクトリに格納します。これにより、ユーザーはMicrosoft Active Directoryの資格証明で認証され、Oracleバックエンド・ディレクトリに格納された情報を使用してリソースへのアクセスを認可されます。また、Microsoft Active Directoryユーザーの資格証明をOracleバックエンド・ディレクトリに格納すると、Microsoft Active Directoryサーバーが停止した場合には可用性の高いソリューションが提供されます。Oracle Password Filterは、各Microsoft Active Directoryサーバーにインストールされ、パスワードの変更をOracleバックエンド・ディレクトリに自動的に転送します。
|
注意: エンタープライズ・ユーザー・セキュリティで検証できるのは、Oracle Internet DirectoryおよびOracle Unified Directoryバックエンド・ディレクトリに格納されているユーザー資格証明のみです。このため、Microsoft Active Directoryのユーザー資格証明をエンタープライズ・ユーザー・セキュリティを使用して検証するには、Oracle Password Filterを使用して、Microsoft Active DirectoryからOracle Internet DirectoryおよびOracle Unified Directoryバックエンド・ディレクトリにパスワードを取り出す必要があります。Oracle Directory Server Enterprise Editionバックエンド・ディレクトリでは、エンタープライズ・ユーザー・セキュリティとの統合はサポートされません。 |
Oracle Password Filter for Microsoft Active Directoryでは、Oracle Directory Integration PlatformによるMicrosoft Active DirectoryからOracleバックエンド・ディレクトリへのパスワードの同期は必要ありません。唯一の要件は、Microsoft Active DirectoryからOracleバックエンド・ディレクトリに同期化されたユーザーに、両方のディレクトリでユーザーを識別するためのorclObjectGUID属性値が含まれている必要があることです。Oracle Password Filter for Microsoft Active Directoryは、Microsoft Active DirectoryとOracleバックエンド・ディレクトリの間に複数のパスワード・ポリシー(すなわち異なるパスワード・ポリシー)を施行しません。かわりに、システム管理者が両方のディレクトリのパスワード・ポリシーが一致するようにする必要があります。
パスワード変更リクエストは、アカウントが作成されるとき、管理者がユーザーのパスワードをリセットするとき、ユーザーが自分のパスワードを変更するときに発生します。Oracle Password Filter for Microsoft Active DirectoryでMicrosoft Active Directoryのパスワードを取得するには、これらのイベントのいずれかが発生する必要があります。Oracle Password Filter for Microsoft Active Directoryのインストール前に設定されたパスワードは、システム管理者がすべてのユーザーに対してパスワード変更のグローバル・リクエストを強制しないかぎり取得できません。
|
注意: Oracle Password Filter for Microsoft Active Directoryは、Microsoft Active Directoryと統合されている32ビット以上のWindowsシステムに対するパスワードの変更のみを取得します。 |
この項では、Oracle Password Filter for Microsoft Active Directoryの動作について説明します。内容は次のとおりです。
パスワード変更リクエストが作成されると、Windowsオペレーティング・システムのLocal Security Authority(LSA)は、システムに登録されているOracle Password Filter for Microsoft Active Directoryパッケージをコールします。LSAは、Oracle Password Filter for Microsoft Active Directoryパッケージをコールすると、ユーザー名と変更されたパスワードを渡します。次に、Oracle Password Filter for Microsoft Active Directoryは同期を実行します。
Oracleバックエンド・ディレクトリが使用できないとき、パスワード変更イベントは安全にアーカイブされ、暗号化されたパスワードはMicrosoft Active Directoryに格納されます。Oracle Password Filter for Microsoft Active Directoryは、指定された最大再試行回数に達するまでこれらのエントリの同期を試みます。
|
注意: パスワード・フィルタ暗号化は、Microsoft社独自の機能です。Oracle Directory Integration Platformでは、データ暗号化のためにCryptProtectData関数を使用し、フラグ値としてCRYPTPROTECT_UI_FORBIDDENを提供します。CryptProtectData関数は、ユーザーに関連付けられ、その関連付けられたユーザーのみがパスワードを復号化できます。Oracle Password Filter for Microsoft Active Directoryでは、システム・ユーザーがLSAと同じアイデンティティを持ちます。 |
Oracle Password Filter for Microsoft Active Directoryには、ユーザーがMicrosoft Active Directoryに新規作成されるとすぐに通知されます。しかし、Oracle Directory Integration Platformは次にスケジュールされた同期間隔までエントリを同期化しません。このため、次の同期まで、新規ユーザー・エントリのパスワードは暗号化された形式でMicrosoft Active Directoryに格納されます。その後、Oracle Password Filter for Microsoft Active Directoryは、指定された最大再試行回数に達するまでこれらのエントリの同期を試みます。
Oracle Password Filter for Microsoft Active Directoryでは元のクリアテキスト形式のパスワードを取得できないため、Microsoft Active DirectoryからOracleバックエンド・ディレクトリにパスワードを同期化するための初期ブートストラップは実行できません。しかし、ユーザーにパスワードの変更を指示するか、またはパスワードの有効期限ポリシーを変更してMicrosoft Active Directory内のすべてのユーザーに対してパスワードの変更を強制することができます。
Oracle Password Filter for Microsoft Active Directoryのインストールおよび構成の一般的な手順は、次のとおりです。
第21章「Microsoft Active Directoryとの統合」の指示に従い、Oracleバックエンド・ディレクトリとMicrosoft Active Directory間の同期を有効にします。
「SSLサーバー側認証でのOracleバックエンド・ディレクトリの構成およびテスト」の指示に従い、SSLサーバー認証モードでOracleバックエンド・ディレクトリを構成およびテストします。
「Microsoft Active Directoryドメイン・コントローラへの信頼できる証明書のインポート」の指示に従い、Microsoft Active Directoryドメイン・コントローラにOracleバックエンド・ディレクトリの信頼できるサーバー証明書をインポートします。
「Oracleバックエンド・ディレクトリとMicrosoft Active Directory間のSSL通信のテスト」の指示に従い、Oracleバックエンド・ディレクトリとMicrosoft Active DirectoryがSSLサーバー認証により通信できることを確認します。
「Oracle Password Filter for Microsoft Active Directoryのインストール」の指示に従い、Oracle Password Filter for Microsoft Active Directoryをインストールします。
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Oracle Password Filter for Microsoft Active Directoryを構成します。
Oracle Password Filterは、TCP/IP接続に対してデータの暗号化とメッセージの整合性を提供するSecure Sockets Layer (SSL)プロトコルを使用して、Microsoft Active Directoryからバックエンド・ディレクトリにパスワードの変更を通信します。つまり、バックエンド・ディレクトリとMicrosoft Active Directory間でパスワードの変更を同期化するには、SSLサーバー認証モードを使用して、クライアントでサーバーのアイデンティティを確認できるようにする必要があります。
また、デジタル証明と組み合せると、SSLはサーバー認証とクライアント認証の両方を提供します。SSLによるサーバー認証では、通信リンクのサーバー側にデジタル証明をインストールする必要があります。SSLトランザクションがクライアントによって開始されると、サーバーはデジタル証明をクライアントに送信します。クライアントは証明書を調べ、証明書が信頼できる認証局(CA)によって発行されていることを含め、サーバーが正しく自身を証明していることを確認します。
バックエンド・ディレクトリ・サーバーの証明書のサブジェクト属性は、バックエンド・ディレクトリ・サーバーのホスト名と一致している必要があります。たとえば、Oracle Internet Directoryサーバーのホスト名がoid.oracle.comである場合、Oracle Internet Directoryのサーバー証明書のサブジェクト属性もoid.oracle.comである必要があります。Oracle Internet Directoryのサーバー証明書のサブジェクト属性がOracle Internet Directoryサーバーのホスト名と一致しない場合、Microsoft Active Directoryのパスワード・フィルタAPIは、ldapbind -U 2コマンドが成功しても、Oracle Internet Directoryのサーバー証明書を有効なものとして受け入れません。サーバー認証用に構成されたOracle Internet Directoryは、SSLタイプ2とも呼ばれます。
バックエンド・ディレクトリとMicrosoft Active Directoryの統合の場合、バックエンド・ディレクトリがサーバーで、Microsoft Active Directoryがクライアントです。Oracle Password Filter for Microsoft Active Directoryでは、Microsoft Active Directoryドメイン・コントローラとバックエンド・ディレクトリ・サーバー間の送信時、SSLを使用してパスワードを保護します。
|
注意: Oracle Password Filter for Microsoft Active Directoryとともに使用する証明書は、PKCS#10規格の証明書リクエストを受け入れ、X.509バージョン3、ISO規格およびRFC2459に準拠した証明書を作成できるX.509準拠の認証局であればどれでも生成できます。 |
SSLサーバー側認証でバックエンド・ディレクトリを構成およびテストするには、次のようにします。
Microsoft Active Directoryドメイン・コントローラとバックエンド・ディレクトリ間のサーバー認証されたSSL通信は、ドメイン・コントローラがバックエンド・ディレクトリのSSL証明書を有効と認識しないと障害が発生します。ドメイン・コントローラがバックエンド・ディレクトリのSSL証明書を受け入れるようにするには、Microsoft管理コンソールを使用して認証局の信頼できる証明書をドメイン・コントローラにインポートする必要があります。
Microsoft管理コンソールを使用して認証局の信頼できる証明書をドメイン・コントローラにインポートするには、次のようにします。
Windowsの「スタート」メニューから「ファイル名を指定して実行」を選択します。「ファイル名を指定して実行」ダイアログ・ボックスが表示されます。「ファイル名を指定して実行」ダイアログ・ボックスにmmcと入力し、「OK」をクリックします。「Microsoft管理コンソール」ウィンドウが表示されます。
「ファイル」メニューから「スナップインの追加と削除」を選択します。「スナップインの追加と削除」ダイアログ・ボックスが表示されます。
「スナップインの追加と削除」ダイアログ・ボックスで、「追加」をクリックします。「スタンドアロン スナップインの追加」ダイアログ・ボックスが表示されます。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで「証明書」を選択した後、「追加」をクリックします。「証明書スナップイン」ダイアログ・ボックスが表示され、このスナップインで管理する証明書のオプションを選択するように要求されます。
「証明書スナップイン」ダイアログ・ボックスで、「コンピュータ アカウント」を選択して「次へ」をクリックします。「コンピュータの選択」ダイアログ・ボックスが表示されます。
「コンピュータの選択」ダイアログ・ボックスで「ローカル コンピュータ」を選択した後、「完了」をクリックします。
「スタンドアロン スナップインの追加」ダイアログ・ボックスで「閉じる」をクリックした後、「スナップインの追加と削除」ダイアログ・ボックスで「OK」をクリックします。新しいコンソールのコンソール・ツリーに「証明書 (ローカル コンピュータ)」と表示されます。
コンソール・ツリーで「証明書 (ローカル コンピュータ)」を開き、「信頼されたルート証明機関」をクリックします。
「操作」メニューの「すべてのタスク」を選択し、次に「インポート」を選択します。「証明書のインポート ウィザードの開始」ページが表示されます。「次へ」をクリックして「インポートする証明書ファイル」ページを表示します。
「インポートする証明書ファイル」ページで、認証局の信頼できるルート証明書のパスとファイル名を入力するか、「参照」をクリックしてファイルを検索して、「次へ」をクリックします。「証明書ストア」ページが表示されます。
「証明書ストア」ページで、「証明書をすべて次のストアに配置する」を選択します。「信頼されたルート証明機関」が証明書ストアとして選択されていない場合は、「参照」をクリックして選択します。「次へ」をクリックします。「証明書のインポート ウィザードの完了」ページが表示されます。
「証明書のインポート ウィザードの完了」ページで、「完了」をクリックします。インポートが成功したことを示すダイアログ・ボックスが表示されます。「OK」をクリックします。
「ファイル」メニューから「上書き保存」をクリックします。「名前を付けて保存」ダイアログ・ボックスが表示されます。新しいコンソールの名前を入力した後、「保存」をクリックします。
「Microsoft管理コンソール」を閉じます。
|
注意: Microsoft管理コンソールを使用した信頼できる証明書のインポートに関するヘルプは、Windows製品のドキュメントを参照するか、Microsoft社のサポート オンライン(http://support.microsoft.com)を参照してください。 |
Oracle Password Filter for Microsoft Active Directoryは、バックエンド・ディレクトリとMicrosoft Active Directory間のSSL通信のテストに使用できるldapbindsslコマンドをドメイン・コントローラにインストールします。
|
注意: ldapbindsslバイナリは、Oracle Password Filter for Microsoft Active Directoryのインストールに含まれます。Oracle Password Filter for Microsoft Active Directoryをインストールしなければ、ldapbindsslコマンドを実行できません。 |
ldapbindsslの構文は、次のとおりです。
ldapbindssl -h oid_hostname -p ssl_port -D binddn -w password
Microsoft Active Directoryからバックエンド・ディレクトリへのSSL通信をテストするには、次のようにします。
ドメイン・コントローラで「コマンド プロンプト」ウィンドウを開き、Oracle Password Filter for Microsoft Active Directoryをインストールしたフォルダにナビゲートします。
ldapbindsslコマンドを入力してバックエンド・ディレクトリとのSSL通信をテストします。たとえば、次のコマンドでは、SSLポート3133でoraas.mycompany.comというOracle Internet Directoryホストにバインドしようとします。
ldapbindssl -h oraas.mycompany.com -p 3133 -D binddn -w password
ldapbindsslコマンドが成功した場合は、次のレスポンスが返されます。
bind successful
ldapbindsslコマンドが失敗した場合は、次のレスポンスが返されます。
Cannot connect to the LDAP server
Microsoft Active Directoryからバックエンド・ディレクトリにSSLモードで接続できない場合は、「Microsoft Active Directoryドメイン・コントローラへの信頼できる証明書のインポート」で説明されているように、Microsoft Active Directoryドメイン・コントローラに信頼できる証明書が正常にインポートされていることを確認してください。
「コマンド プロンプト」ウィンドウを閉じます。
この項では、Oracle Password Filter for Microsoft Active Directoryのインストールおよび再構成の方法について説明します。内容は次のとおりです。
Oracle Password Filter for Microsoft Active Directoryをインストールまたは再構成する前に、Microsoft Active Directoryおよびバックエンド・ディレクトリに必要な構成パラメータの情報を必ず収集してください。表22-1にMicrosoft Active Directory用に必要な構成パラメータを示し、表22-2にバックエンド・ディレクトリ用に必要な構成パラメータを示します。
表22-1 Microsoft Active Directory用のOracle Password Filterの構成パラメータ
| パラメータ | 説明 |
|---|---|
|
ドメイン |
このドメイン・コントローラのMicrosoft Active Directoryドメイン。この値は、通常、mycompany.com形式のDNSドメイン名です。 |
|
ベースDN |
Oracle Password Filterが変更済パスワードのエントリを検索するMicrosoft Active DirectoryのDIT内のコンテナ。パスワード伝播が失敗した場合、失敗したパスワードのDNSは、指定されたコンテナ内の |
|
ポート |
Microsoft Active DirectoryのLDAPポート(通常389)。 |
|
ホスト |
Microsoft Active Directoryドメイン・コントローラのIPアドレス(ホスト名ではありません)。 |
|
Microsoft Active Directoryユーザー |
Microsoft Active DirectoryのDIT全体に対しての読取り権限と、Microsoft Active DirectoryのベースDNの下に組織単位およびサブツリーのエントリを作成する権限を持つユーザー名。管理ユーザーのDNではなく、ユーザー名を入力する必要があります。この値の形式は、通常、administrator@ad_domain.nameです。 |
|
Microsoft Active Directoryユーザー・パスワード |
指定されたMicrosoft Active Directoryユーザーのパスワード。 |
|
ログ・ファイル・パス |
ログ・ファイルが作成されるディレクトリ(E:\ADPasswordFilter\Logなど)。 |
表22-2 Oracleバックエンド・ディレクトリ用のOracle Password Filterの構成パラメータ
| パラメータ | 説明 |
|---|---|
|
ベースDN |
Oracle Password FilterがMicrosoft Active Directoryから同期化されたエントリを検索するバックエンド・ディレクトリのDIT内のコンテナ。 |
|
ホスト |
バックエンド・ディレクトリのLDAPプロセスが実行されるホスト名を指定します。高可用性構成で稼働するOracle Unified DirectoryおよびOracle Internet Directoryインストール環境の場合、ロード・バランサの仮想ホスト名を使用します。詳細は、『Oracle Fusion Middleware高可用性ガイド』のOracle Directory Integration Platformの高可用性に関する項を参照してください。 |
|
SSLポート |
SSLサーバー認証用に構成されたバックエンド・ディレクトリのポート。 |
|
非SSLポート |
暗号化されていない通信用のバックエンド・ディレクトリ。 |
|
ユーザー |
ベースDNのユーザー・パスワードを更新する権限を持つバックエンド・ディレクトリ・ユーザーの識別名。例: |
|
ユーザー・パスワード |
指定されたバックエンド・ディレクトリ・ユーザーのパスワード。 |
この項では、Oracle Password Filter for Microsoft Active Directoryをドメイン・コントローラにインストールする方法について説明します。
Oracle Password Filter for Microsoft Active Directoryをドメイン・コントローラにインストールするには、次のようにします。
次を実行します。
32-bitシステムの場合
配布パッケージのDisk1\utils\adpwdfilterディレクトリにあるsetup.exeファイルを見つけます。
インストール・ファイルを解凍したディレクトリにナビゲートし、setup.exeをダブルクリックします。
Oracle Password Filter for Microsoft Active Directoryインストール・プログラムの「ようこそ」ページが表示され、プログラムによるOracle Password Filter for Microsoft Active Directoryのインストールが通知されます。
64-bitシステムの場合
配布パッケージのDisk1\utils\adpwdfilter\64bitディレクトリにあるsetup.exeファイルを見つけます。
インストール・ファイルを解凍したディレクトリにナビゲートし、setup.exeをダブルクリックします。
Oracle Password Filter for Microsoft Active Directoryインストール・プログラムの「ようこそ」ページが表示され、プログラムによるOracle Password Filter for Microsoft Active Directoryのインストールが通知されます。
|
注意: setup.exeは、Windows 64ビット・バイナリを基盤とするWindow 32ビット・バイナリです。 |
「ようこそ」ページで、「次へ」をクリックします。インストール要件のページが表示され、バックエンド・ディレクトリとMicrosoft Active Directory間のSSLが有効である必要があり、インストール・プロセスの最後にOracle Password Filter for Microsoft Active Directoryによるコンピュータの再起動が必要であることが通知されます。
インストール要件の画面で、「次へ」をクリックします。インストール・オプションの画面が表示されます。
「標準(推奨)」または「拡張」を選択します。「拡張」オプションを選択すると、後続のインストール・プロセス(手順11)で、バックエンド・ディレクトリとMicrosoft Active Directoryの属性を指定できます。「次へ」をクリックします。
インストール場所の画面が表示され、Oracle Password Filter for Microsoft Active Directoryをインストールするフォルダを指定するように要求されます。
デフォルトのインストール・ディレクトリを使用するか、別のディレクトリを入力します。「参照」をクリックして別のディレクトリを探すこともできます。インストール・ディレクトリを選択したら、「次へ」をクリックします。
Active Directory構成パラメータの画面が表示されます。
次のパラメータに値を入力します。
ドメイン: このドメイン・コントローラのMicrosoft Active Directoryドメイン。この値は、通常、mycompany.com形式のDNSドメイン名です。
ベースDN: Oracle Password Filterが変更済パスワードのエントリを検索するMicrosoft Active DirectoryのDIT内のコンテナ。パスワード伝播が失敗した場合、失敗したパスワードのDNSは、指定されたコンテナ内のorganizationalUnitというエントリに格納されます。このため、指定されたコンテナはorganizationalUnitオブジェクトを保持できる必要があります。このフィールドの形式は、通常、dc=mycompany,dc=comです。
ポート: Microsoft Active DirectoryのLDAPポート(通常389)。
ホスト: Microsoft Active Directoryドメイン・コントローラのIPアドレス(ホスト名ではありません)。
「次へ」をクリックします。
Microsoft Active Directoryドメイン・コントローラ情報の画面が表示されます。
次のパラメータに値を入力します。
ユーザー: Microsoft Active DirectoryのDIT全体に対しての読取り権限と、Microsoft Active DirectoryのベースDNの下に組織単位およびサブツリーのエントリを作成する権限を持つユーザー名。管理ユーザーのDNではなく、ユーザー名を入力する必要があります。この値の形式は、通常、administrator@ad_domain.nameです。
ユーザー・パスワード: Microsoft Active Directoryユーザーのパスワードを指定します。
ログ・ファイル・パス: ログ・ファイルが書き込まれるデフォルトの場所を使用するか、「参照」を選択して別のディレクトリを指定します。
「次へ」をクリックして続行します。
Oracleバックエンド・ディレクトリ構成パラメータのページが表示されます。
次のパラメータに値を入力します。
ベースDN: Oracle Password FilterがMicrosoft Active Directoryから同期化されたエントリを検索するバックエンド・ディレクトリのDIT内のコンテナ。o=Microsoft Active Directory,c=usなど。
ホスト: バックエンド・ディレクトリのLDAPプロセスが実行されるホスト名を指定します。高可用性構成で稼働するバックエンド・ディレクトリのインストール環境の場合、ロード・バランサの仮想ホスト名を使用します。
SSLポート: バックエンド・ディレクトリのSSLポート番号を入力します。
非SSLポート: 暗号化されていない通信用のバックエンド・ディレクトリのポート番号を入力します。
ユーザー: ベースDNのユーザー・パスワードを更新する権限を持つバックエンド・ディレクトリ・ユーザーの識別名。例: cn=orcladmin (Oracle Internet Directory)またはcn=Directory Manager (Oracle Unified DirectoryまたはOracle Directory Server Enterprise Edition)。
ユーザー・パスワード: バックエンド・ディレクトリのパスワード。
|
重要: バックエンド・ディレクトリとMicrosoft Active Directory間にインポート同期とエクスポート同期の両方を構成した場合、Microsoft Active Directoryからバックエンド・ディレクトリに値をインポートする同期プロファイルに指定されているものと同じバインドDNとパスワードを、ユーザー・パラメータとユーザー・パスワード・パラメータとして入力してください。この指定は、バックエンド・ディレクトリとMicrosoft Active Directory間でのパスワード更新のループを回避するために必要です。 |
「次へ」をクリックします。
構成パラメータ情報の画面が表示されます。
次のパラメータに値を入力します。
SleepTime: バックエンド・ディレクトリとMicrosoft Active Directory間でパスワードの変更を同期化する試行の時間間隔(分)。
ConfigSleepTime: バックエンド・ディレクトリとMicrosoft Active Directory間で構成の変更を同期化する試行の時間間隔(分)。
ExcludeListDN: 同期化する必要がないパスワードを持つユーザーのリストが格納されている完全修飾識別名。
DLLでは、パスワードの同期で特定のエントリを無視できます。これを行うには、特定のサブツリーの下にあるリモートLDAPサーバーにユーザーを追加する必要があります。
ExcludeListDNは、Oracle Password FilterがインストールされているすべてのMicrosoft Active Directoryサーバーで同じ値を使用して構成される必要があります。
DLLが起動すると、ExcludeListDNで構成されたエントリの下にcn=ExcludeList属性が作成されます。
次のようにエントリを更新する必要があります。
dn: cn=user2@fr.oracle.com,cn=ExcludeList,<ExcludeListDN> cn: user2@fr.oracle.com objectClass: orclcontainer objectClass: top
このサンプルで注目すべき点は以下のとおりです。
user2は、samAccountNameの値です。
fr.oracle.comは、WindowsレジストリのADDomain属性です。
前述のエントリが追加されると、user2のパスワードは同期化されません。
再試行最大数: パスワードの同期化を試行する最大回数。
「次へ」をクリックして続行します。インストール・オプションのページで「拡張」を選択した場合、属性の指定のページが表示されます。
拡張インストールの場合、次の手順を実行します。
表示される属性の指定のページで、2つのディレクトリ間で同期化する属性のソース属性(Microsoft Active Directory)ボックスおよびターゲット属性(Oracleバックエンド・ディレクトリ)ボックスに値を入力します。また、「バイナリ属性タイプ*」ボックスで「True」または「False」の値を選択し、ソースの属性タイプがバイナリかどうかを指定します。
「次へ」をクリックして続行します。サマリー・ページが表示され、Oracle Password Filter for Microsoft Active Directoryのインストール先のパスがリストされます。
「次へ」をクリックしてOracle Password Filterをインストールします。
Oracleバックエンド・ディレクトリにスキーマ拡張をアップロードするかどうかを尋ねられたら、バックエンド・ディレクトリがOracle Internet Directoryの場合は「はい」を選択します。
Oracle Unified DirectoryおよびOracle Directory Server Enterprise Editionの場合、「いいえ」を選択します。
再起動ページが表示されます。
「次へ」をクリックしてコンピュータを再起動します。
次を実行します。
32-bitシステムの場合
コンピュータが再起動したら、管理者としてログインします。ログインすると、Oracle Password Filterの残りの構成タスクが自動的に実行されます。
64-bitシステムの場合
コンピュータが再起動したら、管理者としてログインします。
次の2つのDLLファイルをC:\WINDOWS\syswow64で検索し、これらをC:\WINDOWS\system32にコピーします。
oraidmpwf10.dll
orclmessages.dll
Active Directoryサーバーを再起動します。
これで、Oracle Password Filter for Microsoft Active Directoryがインストールされました。
ほとんどの場合、インストール・プロセス後にOracle Password Filterを再構成する必要はありません。しかし、Oracle Password Filter for Microsoft Active Directoryインストール・プログラムを実行すると、Oracle Password Filter for Microsoft Active Directoryを再構成できます。
Oracle Password Filter for Microsoft Active Directoryを再構成するには、次のようにします。
インストール・ファイルを解凍したディレクトリにナビゲートし、setup.exeをダブルクリックします。Oracle Password Filter for Microsoft Active Directory構成プログラムの「ようこそ」ページが表示されます。
「次へ」をクリックします。
Active Directory構成パラメータのページが表示されます。
次のパラメータを変更します。
ドメイン: このドメイン・コントローラのMicrosoft Active Directoryドメイン。この値は、通常、mycompany.com形式のDNSドメイン名です。
ベースDN: Oracle Password Filterが変更済パスワードのエントリを検索するMicrosoft Active DirectoryのDIT内のコンテナ。パスワード伝播が失敗した場合、失敗したパスワードのDNSは、指定されたコンテナ内のorganizationalUnitというエントリに格納されます。このため、指定されたコンテナはorganizationalUnitオブジェクトを保持できる必要があります。このフィールドの形式は、通常、dc=mycompany,dc=comです。
ポート: Microsoft Active DirectoryのLDAPポート(通常389)。
ホスト: Microsoft Active Directoryドメイン・コントローラのIPアドレス(ホスト名ではありません)。
「次へ」をクリックします。
Oracleバックエンド・ディレクトリ構成パラメータの画面が表示されます。
次のパラメータを変更します。
ベースDN: Oracle Password FilterがMicrosoft Active Directoryから同期化されたエントリを検索するバックエンド・ディレクトリのDIT内のコンテナ。o=Microsoft Active Directory,c=usなど。
ホスト: バックエンド・ディレクトリのLDAPプロセスが実行されるホスト名を指定します。高可用性構成で稼働するバックエンド・ディレクトリのインストール環境の場合、ロード・バランサの仮想ホスト名を使用します。
SSLポート: バックエンド・ディレクトリのSSLポート番号。
|
注意: 再構成の時点では、バックエンド・ディレクトリに2つの構成設定エントリが存在し、それぞれが1つの構成設定エントリを使用するバックエンド・ディレクトリの2つのインスタンスが稼働しています。2番目の構成設定エントリのSSLポートを「SSLポート*」フィールドに入力してください。 |
「次へ」をクリックして続行します。
Oracle Password Filter構成パラメータの画面が表示されます。
次のパラメータを変更します。
SleepTime: バックエンド・ディレクトリとMicrosoft Active Directory間でパスワードの変更を同期化する試行の時間間隔(分)。
ConfigSleepTime: バックエンド・ディレクトリとMicrosoft Active Directory間で構成の変更を同期化する試行の時間間隔(分)。
ExcludeListDN: 同期化する必要がないパスワードを持つユーザーのリストが格納されている完全修飾識別名。
再試行最大数: パスワードの同期化を試行する最大回数。
「次へ」をクリックします。
「再構成は正常に完了しました」ページが表示されます。
「再構成は正常に完了しました」ページで、「終了」をクリックしてOracle Password Filterを再構成します。
Oracle Password Filterを再構成した後、Microsoft Active Directoryを再起動する必要があります。
この項では、Oracle Password Filter for Microsoft Active Directoryの削除(アンインストール)方法について説明します。
Oracle Password Filter for Microsoft Active Directoryを削除するには、次のようにします。
Oracle Password Filter for Microsoft Active Directoryをインストールしたディレクトリ内にあるprepAD.ldifファイルを、テキスト・エディタでを開きます。Microsoft Active Directoryのインストールから、prepAD.ldifファイルに示されているエントリおよびコンテナを削除します。
Windowsの「スタート」メニューをクリックして「ファイル名を指定して実行」を選択します。
「ファイル名を指定して実行」ダイアログ・ボックスが表示されます。
「ファイル名を指定して実行」ダイアログ・ボックスにregedt32と入力し、「OK」をクリックします。
レジストリ エディタが表示されます。
次のレジストリ・キーにナビゲートします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\orclidmpwf\OIDConfig
OidSinkNodeエントリに割り当てられたコンテナをメモします。このエントリに割り当てられたデフォルト値はcn=Products,cn=OracleContextです。
Windowsの「スタート」メニューから「コントロール パネル」を選択します。「コントロール パネル」ウィンドウが表示されます。「コントロール パネル」ウィンドウで、「プログラムの追加と削除」を選択します。「プログラムの追加と削除」ウィンドウが表示されます。
「プログラムの追加と削除」ウィンドウで、現在インストールされているプログラムのリストから「Oracle Password Filter for Microsoft Active Directory」を選択し、「変更/削除」をクリックします。Oracle Password Filter for Microsoft Active Directoryインストール・プログラムの「ようこそ」ページが表示され、プログラムによるOracle Password Filter for Microsoft Active Directoryの削除が通知されます。
「ようこそ」ページで、「次へ」をクリックします。サマリー・ページが表示され、Oracle Password Filter for Microsoft Active Directoryが削除されるパスが表示されます。
サマリー・ページで、「次へ」をクリックします。「再起動が必要」ページが表示され、Oracle Password Filter for Microsoft Active Directoryの削除には削除プロセスの最後に再起動が必要であることが通知されます。
「再起動が必要」ページで、「次へ」をクリックします。最後のページが表示され、コンピュータを再起動する必要があることが通知されます。「次へ」をクリックしてコンピュータを再起動します。
バックエンド・ディレクトリがインストールされているシステムでは、Oracle Directory Services Managerまたはldapdeleteを使用して、cn=PWSync,OidSinkNodeコンテナの次のエントリおよびそのサブエントリを削除します。
CN=Active_Directory_Host, cn=PWSync,OidSinkNode
次のエントリを含むdeleteBackendSchema.ldifという新規テキスト・ファイルを作成します。
dn: cn=subschemasubentry changetype: modify delete: objectclasses objectclasses: ( 2.16.840.1.113894.8.2.1002 NAME 'adconfig' SUP top STRUCTURAL MUST ( cn ) MAY ( ADBaseDN $ deleteomain $ ADHost $ ADPort $ Log $ ResourceFilePath ) ) dn: cn=subschemasubentry changetype: modify delete: objectclasses objectclasses: ( 2.16.840.1.113894.8.2.1001 NAME 'oidconfig' SUP top STRUCTURAL MUST ( cn ) MAY ( OIDBaseDN $ OIDHost $ OIDPort $ passwdattr $ MSDEDSN $ OIDObjectClass $ OIDLog $ ExcludeListDN $ MAX_RETRIES $ OIDSSLType $ OIDWalletLoc $ OidSinkNode $ SleepTime $ stop $ ConfigSleepTime $ OIDConfigSynchKey ) ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1001 NAME 'OIDBaseDN' DESC 'OID Base Search DN' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1002 NAME 'OIDHost' DESC 'OID Host' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1003 NAME 'OIDPort' DESC 'OID Port' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1004 NAME 'passwdattr' DESC 'Pass Attribute' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1005 NAME 'MSDEDSN' DESC 'DB DSN' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1006 NAME 'OIDObjectClass' DESC 'AD Object Class' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1007 NAME 'OIDLog' DESC 'OID Log' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1008 NAME 'ExcludeListDN' DESC 'Exclude List' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1009 NAME 'MAX_RETRIES' DESC 'Max Retries' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1010 NAME 'OIDSSLType' DESC 'OID SSL Type' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1011 NAME 'OIDWalletLoc' DESC 'OID Wallet Loc' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1012 NAME 'OidSinkNode' DESC 'Config Sync Node' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1013 NAME 'SleepTime' DESC 'Sleep Time for store thread' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1014 NAME 'stop' DESC 'Stop flag for store thread' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1015 NAME 'ConfigSleepTime' DESC 'Sleep Time for config thread' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 22.16.840.1.113894.8.1.1016 NAME 'OIDConfigSynchKey' DESC 'Config Sync key' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1017 NAME 'ADBaseDN' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1018 NAME 'ADPort' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1019 NAME 'ADHost' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1020 NAME 'ADDomain' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1021 NAME 'Log' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) dn: cn=subschemasubentry changetype: modify delete: attributetypes attributetypes: ( 2.16.840.1.113894.8.1.1022 NAME 'ResourceFilePath' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' )
ldapmodifyコマンドを使用して、deleteOIDSchema.ldifファイルをロードします。
$ORACLE_HOME/bin/ldapmodify -h OID host -p OID port \ -D binddn -q -f deleteOIDSchema.ldif
|
注意: パスワードを要求されます。 |
