| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1 (11.1.1) B65032-05 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1 (11.1.1) B65032-05 |
|
前 |
次 |
この章では、Oracle Directory Integration Platformのバックエンド・ディレクトリとしてOracle Directory Server Enterprise Editionを構成する方法について説明します。この章には次の項目があります。
第7.2項「Oracle Directory Integration Platform用のOracle Directory Server Enterprise Edition (非SSL)の構成」
第7.3項「Oracle Directory Integration Platform用のOracle Directory Server Enterprise Edition (SSL)の構成」
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従って、Oracle Directory Integration Platformをインストールする必要があります。
|
注意: インストール・プロセス時に「ソフトウェアのインストール - 構成なし」オプションを選択していないことを確認してください。 |
Oracle Directory Integration Platform用にOracle Directory Server Enterprise Edition (バックエンド・ディレクトリ)の非SSL通信を構成するには、次の手順を実行します。
タスク1: Oracle Directory Server Enterprise Editionのインストールおよび構成
タスク2: Oracle Directory Server Enterprise Editionプラグインのインストール
タスク4: Oracle Directory Server Enterprise Editionのレトロ変更ログの有効化
タスク7: Oracle Directory Server Enterprise Edition用のOracle Directory Integration Platformの構成
タスク8: Oracle Directory Server Enterprise Editionのアクセス制御命令(ACI)の追加
Oracle Fusion Middleware Oracle Directory Server Enterprise Editionインストレーション・ガイドおよびOracle Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイドの説明に従って、Oracle Directory Server Enterprise Editionがインストールおよび構成されていることを確認します。
|
注意: Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionインストレーション・ガイドのコマンド行によるサーバー・インスタンスの作成に関する項の説明に従って、ディレクトリ・サーバー・インスタンスを作成する必要があります。 |
第9.8.3項「Oracle Directory Server Enterprise Edition用のパスワード同期の構成」の説明に従って、Oracle Directory Server Enterprise Editionのパスワードを同期できます。パスワードを同期するには、次のようにOracle Directory Server Enterprise Editionプラグインをインストールする必要があります。
Oracle Identity Management配布パッケージのDisk1\utils\dip-plugin (Windows)またはDisk1/utils/dip-plugin (UNIX)ディレクトリから、現在のプラットフォームに基づいてdip-plugin.soまたはdip-plugin.dllを選択します。
それを次の場所にコピーします。
32-bitシステム: INSTALL-PATH/dsee7/lib (UNIX)またはINSTALL-PATH\dsee7\lib (Windows)。
64ビット・システム: INSTALL-PATH/dsee7/lib64 (UNIX)。
Oracle Directory Server Enterprise Editionプラグインの詳細は、Oracle Fusion Middleware Oracle Directory Server Enterprise Edition開発者ガイドを参照してください。
サーバーのディレクトリ情報ツリー(DIT)に次の接尾辞を作成する必要があります。
cn=OracleContext: この接尾辞は、Oracle Directory Integration Platform構成の詳細を格納するために使用されます。
同期データを格納するための接尾辞を作成します。
接尾辞を作成するには、コマンド行でdsconfコマンドを実行します。
dsconf create-suffix -i -c -h host -p port -D "cn=Directory Manager" cn=OracleContext dsconf create-suffix -i -c -h host -p port -D "cn=Directory Manager" <data_suffix_name>
接尾辞の作成後、次の手順を実行する必要があります。
cn=Productsの次の内容が含まれるproducts.ldifファイルを作成します。
dn: cn=Products,cn=OracleContext changetype: add cn: Products objectclass: top objectclass: extensibleObject
ldapaddコマンドを実行してcn=Productsエントリを追加します。
ldapadd -h host -p port -D "cn=Directory Manager" -w <pwd> -v -f products.ldif
詳細は、Oracle Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイドの接尾辞の作成に関する項を参照してください。
Oracle Directory Server Enterprise Editionのレトロ変更ログを有効化するには、次の手順を実行します。
コマンド行でdsconfコマンドを実行します。
dsconf set-server-prop -h host -p port retro-cl-enabled:on
Oracle Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイドのディレクトリ・サーバー・インスタンスの起動、停止および再起動に関する項の説明に従って、ディレクトリ・サーバー・インスタンスを再起動します。
|
注意: Oracle Directory Server Enterprise Editionのレトロ変更ログを有効化すると、ディレクトリ・サーバーのパフォーマンスに影響する可能性があります。 |
Oracle Directory Integration PlatformとOracle Directory Server Enterprise Editionを構成する必要があります。次のトピックが含まれます:
|
注意: 「ソフトウェアのインストール - 構成なし」オプションを使用してOracle Directory Integration Platformがインストールされていることを確認します。 |
次の手順を実行して、既存のWebLogic管理ドメイン内でOracle Directory Server Enterprise Editionと組み合せてOracle Directory Integration Platformを構成します。
<MW_HOME>/oracle_Home/bin/config.shスクリプト(UNIX)または<MW_HOME>\oracle_Home\bin\config.cmd (Windows)を実行します。
「ようこそ」画面が表示されます。
「既存のWebLogicドメインの拡張」を選択して「次へ」をクリックします。
「WebLogicドメイン・ディレクトリの選択」画面が表示されます。
Oracle Directory Server Enterprise Editionと組み合せてOracle Directory Integration Platformを構成するWebLogicドメインが含まれるディレクトリに移動し、「次へ」をクリックします。
「拡張ソースの選択」画面が表示されます。
次のドメイン構成オプションを選択します。
Oracle Enterprise Manager - 11.1.1.0 [oracle_common]
Oracle Directory Integration Platform - 11.1.1.2.0 [Oracle_IDM1]
|
注意:
|
「次へ」をクリックします。
「ドメイン名と場所の指定」画面が表示されます。
「ドメイン名と場所の指定」画面で、アプリケーションの場所が自動的に選択されます。「次へ」をクリックします。
「オプションの構成を選択」画面が表示されます。
「管理対象サーバー、クラスタ、およびマシン」オプションを選択します。「次へ」をクリックします。
「管理対象サーバーの構成」画面が表示されます。
管理対象サーバー名を指定して「次へ」をクリックします。
「クラスタの構成」画面が表示されます。
必要に応じてクラスタを構成し、「次へ」をクリックします。
「マシンの構成」画面が表示されます。
「マシン」または「Unixマシン」タブを選択します。「追加」をクリックし、マシン名を指定します。「次へ」をクリックします。
「マシンの構成」画面でマシンを追加した場合、「サーバーのマシンへの割当」画面が表示されます。「サーバーのマシンへの割当」画面で、管理サーバーと管理対象サーバーを指定したマシンに割り当てます。「次へ」をクリックします。
「構成のサマリー」画面で、ドメイン構成を確認して「拡張」をクリックし、ドメインの拡張を開始します。
ドメインが拡張されたら、「完了」をクリックします。
既存のOracle Directory Server Enterprise EditionドメインがOracle Directory Integration Platformをサポートするために拡張されます。
Oracle Fusion Middleware構成ウィザードを実行して新しいOracle WebLogicドメインを作成します。
<MW_HOME>/oracle_common/common/bin/config.shスクリプト(UNIX)または<MW_HOME>\oracle_common\common\bin\config.cmd (Windows)を実行します。
「ようこそ」画面が表示されます。
「新しいWebLogicドメインの作成」を選択して「次へ」をクリックします。
「ドメイン・ソースの選択」画面が表示されます。
「次の製品をサポートするために、自動的に構成されたドメインを生成する」を選択して、次のドメイン構成オプションを選択します。
Oracle Enterprise Manager - 11.1.1.0 [oracle_common]
Oracle Directory Integration Platform - 11.1.1.2.0 [Oracle_IDM1]
|
注意:
|
「次へ」をクリックします。
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力します。ドメインのアプリケーションを保存する場所も入力します。「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
次のように選択します。
「WebLogicドメインの起動モード」で、「本番モード」を選択します。
「使用可能なJDK」で、JDKを選択します。
「次へ」をクリックします。
「オプションの構成を選択」画面が表示されます。
「管理サーバー」および「管理対象サーバー、クラスタ、およびマシン」オプションを選択します。「次へ」をクリックします。
「管理サーバーの構成」画面が表示されます。
管理サーバー名とリスニング・ポート(デフォルト・ポートは7001)を指定します。「次へ」をクリックします。「管理対象サーバーの構成」画面が表示されます。
|
注意: 構成済のOracle Directory Server Enterprise EditionとOracle Directory Integration Platformを管理するOracle WebLogic Serverドメインの専用管理サーバー名およびリスニング・ポートを使用していることを確認します。たとえば、管理サーバーのリスニング・ポートとして8001を使用できます。 |
「管理対象サーバーの構成」画面で、管理サーバー名とリスニング・ポート(デフォルトは7005)を指定します。「次へ」をクリックします。
|
注意: 構成済のOracle Directory Server Enterprise EditionとOracle Directory Integration Platformを管理するOracle WebLogic Serverドメインの専用管理対象サーバー名およびリスニング・ポートを使用していることを確認します。たとえば、管理対象サーバー名としてwls_odseeを、管理対象サーバーのリスニング・ポートとして8005を使用できます。 |
「クラスタの構成」画面で、必要に応じて「クラスタ」を構成します。「次へ」をクリックします。
「マシンの構成」画面で、「マシン」タブまたは「Unixマシン」タブを選択します。「追加」をクリックし、マシン名を指定します。「次へ」をクリックします。
「マシンの構成」画面でマシンを追加した場合、「サーバーのマシンへの割当」画面が表示されます。「サーバーのマシンへの割当」画面で、管理サーバーと管理対象サーバーを指定したマシンに割り当てます。「次へ」をクリックします。
「構成のサマリー」画面でドメイン構成を確認し、「作成」をクリックしてドメインの作成を開始します。
ドメインが正常に拡張されたら、「完了」をクリックします。
新しいWebLogicドメイン(domain1など)が、Oracle Directory Integration Platform (ODIP)およびFusion Middleware Controlをサポートするために<MW_HOME>\user_projects\domainsディレクトリ(Windows)または<MW_HOME>/user_projects/domainsディレクトリ(UNIX)に作成されます。
Oracle WebLogic Serverドメインの構成後に次のタスクを実行します。
<MW_HOME>/oracle_common/common/bin/setNMProps.shスクリプト(UNIXの場合)または<MW_HOME>\oracle_common\common\bin\setNMProps.cmd(Windowsの場合)を実行します。
付録C「Oracleスタックの起動と停止」の説明に従って、管理サーバー、ノード・マネージャおよび管理対象サーバーを起動します。
Oracle Directory Server Enterprise Editionインスタンスを起動します。
$ dsadm start instance-path
Oracle WebLogic Serverドメインを構成したら、Oracle Directory Server Enterprise Edition用にOracle Directory Integration Platformを構成するため、WL_HOMEおよびORACLE_HOME環境変数を設定し、コマンド行でdipConfigurator setup (<ORACLE_HOME>/bin)コマンドを実行して次の引数を入力する必要があります。
表7-1 Oracle Directory Server Enterprise EditionのdipConfiguratorプロパティ
| プロパティ | 説明 |
|---|---|
|
|
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverのホスト名。 |
|
|
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーのリスニング・ポート番号。 |
|
|
Oracle WebLogic Serverのログイン・ユーザー名。 |
|
|
Oracle Directory Server Enterprise Editionのホスト名。 |
|
|
Oracle Directory Server Enterprise Editionサーバーのポート番号。デフォルト値は、 |
|
|
|
|
|
Oracle Directory Server Enterprise Editionに接続するためのバインドDN。 |
|
|
Oracle Directory Integration Platformインスタンスがクラスタ環境内にあるかどうかを指定します。 |
|
|
あるインスタンスがクラスタの他のインスタンスでサーバー・ステータス(障害インスタンスの検出など)を確認する頻度(ミリ秒)を指定します。 |
例:
UNIX:
$ORACLE_HOME/bin/dipConfigurator setup -wlshost localhost -wlsport 7001 -wlsuser weblogic -ldaphost odseehost -ldapport 389 -ldapuser "cn=Directory Manager" -isldapssl false
Windows:
ORACLE_HOME\bin\dipConfigurator setup -wlshost localhost -wlsport 7001 -wlsuser weblogic -ldaphost odseehost -ldapport 389 -ldapuser "cn=Directory Manager" -isldapssl false
|
注意: 第9.8.3項「Oracle Directory Server Enterprise Edition用のパスワード同期の構成」の説明に従って、Oracle Directory Server Enterprise Editionのパスワードを同期できます。 |
コマンド行でldapmodifyコマンドを実行して、LDIFファイルにACIを追加する必要があります。
ldapmodify -h localhost -p 389 -D "cn=Directory Manager" -w secret12 <<EOF dn: dc=<suffix_name>,dc=com changetype: modify add: aci aci: (target="ldap:///dc=<suffix_name>,dc=com")(version 3.0; acl "Entry-level DIP permissions"; allow (all,proxy) groupdn="ldap:///cn=dipadmingrp,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; allow (all,proxy) groupdn="ldap:///cn=odipigroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; ) - add: aci aci: (targetattr="*")(version 3.0; acl "Attribute-level DIP permissions"; allow (all,proxy) groupdn="ldap:///cn=dipadmingrp,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; allow (all,proxy) groupdn="ldap:///cn=odipigroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext";) EOF
詳細は、第5.2.9項「タスク9: Oracle Directory Integration Platformの検証」を参照してください。
Oracle Directory Integration Platform用にOracle Directory Server Enterprise Edition (バックエンド・ディレクトリ)の非SSL通信を構成したら、第III部「Oracle Directory Integration Platformを使用した同期」または第III部「Oracle Directory Integration Platformによるプロビジョニング」の説明に従って、接続ディレクトリを対象に同期またはプロビジョニングできます。
Oracle Directory Integration Platform用にOracle Directory Server Enterprise Edition (バックエンド・ディレクトリ)のSSL通信を構成するには、次の手順を実行します。
Oracle Directory Integration Platform用にOracle Directory Server Enterprise Edition (バックエンド・ディレクトリ)のSSL通信を構成するには、次の手順を実行します。
第7.2項「Oracle Directory Integration Platform用のOracle Directory Server Enterprise Edition (非SSL)の構成」の説明に従って、Oracle Directory Server Enterprise Editionを構成します。
Oracle Directory Server Enterprise EditionがSSLを介してのみ通信するように、非SSL通信を無効化できます。これを行うには、コマンド行でdsconfコマンドを実行します。
UNIX:
$ dsconf set-server-prop -h host -P 1636 ldap-port:disabled
Windows:
dsconf set-server-prop -h host -P 1636 ldap-port:disabled
Oracle Directory Server Enterprise Editionインスタンスを再起動します。
dsadm restart instance-path
これで、セキュアでないポート389にバインドできなくなります。
次を実行してOracle Directory Integration Platform資格証明を作成します。
次のコマンドを実行して、WLSTプロンプトを開きます。
$ORACLE_HOME/common/bin/wlst.sh (UNIX)またはORACLE_HOME\common\bin\wlst.sh (Windows)
コマンド行で次のコマンドを実行します:
createCred(map="dip", key="jksKey", user="jksUser", password="welcome1", desc="DIP SSL JKS")
例:
createCred -wlshost localhost -wlsport 7001 -wlsuser weblogic -csfmap dip -csfkey jksKey -csfuser "cn=odisrv,cn=Registered Instances,cn=Directory Integration Platform,cn=products,cn=oraclecontext" -csfpassword welcome1
詳細は、第2.6項「資格証明の格納」を参照してください。
次のコマンドを実行してOracle Directory Server Enterprise Edition資格証明をOracle Directory Integration Platformにインポートします。
bin/dsadm show-cert -F der -o dsee-cert instance-path keytool -importcert -noprompt -trustcacerts -alias mycompany.com -file ~/dsee-cert -keystore ~/keystores/DIPKeyStore.jks -storepass <password> keytool -list -keystore ~/DIPKeyStore.jks -storepass <password>
Oracle Directory Server Enterprise Edition (バックエンド・ディレクトリ)のSSL通信を構成した後、次の手順を実行してOracle Directory Integration Platformを構成する必要があります。
manageDIPServerConfigユーティリティ(ORACLE_HOME/binディレクトリ)を実行してOracle Directory Server Enterprise Editionのホスト名とポート番号を更新します。
manageDIPServerConfig set -h host -p port -D wlsuser -attribute {sslmode |
refreshinterval | quartzthreadcount | quartzdbretryinterval | backendhostport |
keystorelocation} [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE]
[-value ATTRIBUTE_VALUE] [-help]
例:
manageDIPServerConfig set -h localhost -p 7005 -D weblogic -attribute backendhostport -val odseehost:1636
詳細は、第4.5.2項「manageDIPServerConfigの引数」を参照してください。
keytoolを使用してJavaキーストア(JKS)を作成し、前の手順でエクスポートした信頼できる証明書をJKSにインポートします。
keytool -importcert -trustcacerts -alias Some_alias_name
-file-keystore path_to_keystore
次に例を示します。
keytool -importcert -trustcacerts -alias OID2
-file /home/Middleware/asinst_1/OID/admin/oidcert.txt -keystore /home/Middleware/dip.jks
システムからキーストア・パスワードが要求されます。このキーストアの新しいパスワードを入力します。
|
注意:
|
接続ディレクトリとしてMicrosoft Active Directoryを使用している場合、次の手順を実行する必要があります。
「LDAP over SSL (LDAPS) Certificate」の説明に従って、Microsoft Active Directory証明書をエクスポートします。
次のコマンドを実行して、Microsoft Active Directory証明書をOracle Directory Integration Platformにインポートします。
keytool -importcert -noprompt -trustcacerts -alias mycompany.com -file ~/jpi-ad.cer -keystore ~/keystores/DIPKeyStore.jks -storepass <password>
次のコマンドを実行して証明書を検証します。
keytool -list -keystore ~/keystores/DIPKeyStore.jks -storepass <password>
Oracle Directory Integration Platformのキーストアの場所を更新します。
./Oracle/Middleware/Oracle_IDM1/bin/manageDIPServerConfig set -attribute keystorelocation -val ~/keystores/DIPKeyStore.jks -h host -p 7005 -D "weblogic"
次のコマンドを実行して、Microsoft Active Directory証明書をOracle Directory Server Enterprise Editionにインポートします。
dsee7/bin/dsadm add-cert -C instance-path
ディレクトリ・サーバー・インスタンスを再起動します。
dsadm restart instance-path
次のコマンドを実行して証明書を検証します。
/dsee7/bin/certutil -L -d $INSTANCE/alias/ -P slapd-/dsee7/bin/certutil -L -d $INSTANCE/alias/ -P slapd- -n certAD/dsee7/bin/certutil -L -d $INSTANCE/alias/ -P slapd- -n host
次のコマンドを実行して、Oracle Directory Integration PlatformのJavaキーストアの場所を更新します。
manageDIPServerConfig set -attr keystorelocation full_path_to_keystore
-val-h weblogic_host -p weblogic_managed_server_port -wlsuser weblogic_user
|
注意: full_path_to_keystoreはOracle Directory Integration Platformがデプロイされているホストに基づいて、Javaキーストア(JKS)への絶対パスを表します。JKSへの絶対パスを指定する場合は、適切なパス・セパレータを使用します(UNIXおよびLinuxプラットフォームでは「/」、Windowsプラットフォームでは「\」)。 |
次に例を示します。
manageDIPServerConfig set -attr keystorelocation
-val /home/Middleware/dip.jks -h localhost -p 7005
-wlsuser weblogic
システムからWebLogicパスワードが要求されます。
Enterprise Managerにログインし、次のコマンドを実行してOracle Directory Integration Platform SSL構成を更新します。
manageDIPServerConfig set -h weblogic_host -p weblogic_managed_server_port -wlsuser weblogic_user -attribute sslmode [-value ATTRIBUTE_VALUE] [-help]
次に例を示します。
manageDIPServerConfig set -h localhost -p 7005 -D weblogic -attribute sslmode -val 2
詳細は、第4.5.2項「manageDIPServerConfigの引数」を参照してください。
Oracle WebLogic管理対象サーバーを再起動します。
Oracle Directory Integration Platformは、SSLサーバー認証モードでOracle Directory Server Enterprise Editionに接続するようになります。
