Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1 (11.1.1) B65032-05 |
|
前 |
次 |
この章では、Oracle Directory Integration Platformのバックエンド・ディレクトリとしてOracle Unified Directoryを構成する方法について説明します。この章には次の項目があります。
第5.2項「Oracle Directory Integration Platform用のOracle Unified Directory (非SSL)の構成」
第5.3項「Oracle Directory Integration Platform用のOracle Unified Directory (SSL)の構成」
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従って、Oracle Directory Integration Platformをインストールする必要があります。
注意: インストール・プロセス時に「ソフトウェアのインストール - 構成なし」オプションを必ず選択してください。 |
Oracle Directory Integration Platform用にOracle Unified Directory (バックエンド・ディレクトリ)の非SSL通信を構成するには、次の手順を実行します。
『Oracle Unified Directoryのインストール』の説明に従って、Oracle Unified Directoryがインストールされていることを確認します。
OUDベースの場所のホームには、ミドルウェア・ホームとしてOracle Directory Integration Platformのホーム・ディレクトリを指定することをお薦めします。
グラフィカル・ユーザー・インタフェース(GUI)またはコマンド行インタフェース(CLI)を使用してOracle Unified Directoryサーバー・インスタンスを設定する場合、次のいずれかのオプションを必ず選択してください。
DIPに対応: このサーバー・インスタンスをOracle Directory Integration Platform (DIP)のみで有効化する場合、このオプションを選択します。
EBS (E-Business Suite)、Database Net ServicesおよびDIPに対応: このサーバー・インスタンスをOracle E-Business Suite (EBS)、Oracle Database Net ServicesおよびOracle Directory Integration Platform (DIP)で有効化する場合、このオプションを選択します。
EUS (エンタープライズ・ユーザー・セキュリティ)、EBS、Database Net ServicesおよびDIPに対応: このサーバー・インスタンスをOracle Enterprise User Security (EUS)、Oracle E-Business Suite (EBS)、Oracle Database Net ServicesおよびOracle Directory Integration Platform (DIP)で有効化する場合、このオプションを選択します。
注意: Oracle Directory Integration Platformでは、前述のすべてのオプションが有効です。Oracle Unified Directoryを、EBS、EUSまたはDatabase Net Serviceには統合せずに、Oracle Directory Integration Platformに統合する場合は、DIPに対応オプションの使用をお薦めします。 |
『Oracle Unified Directoryの管理』の説明に従って、Oracle Unified Directoryを構成する必要があります。
「タスク1: Oracle Unified Directoryのインストール」の説明に従ってインストール中に接尾辞を作成しなかった場合、次のようにコマンド行でsetup-oracle-context
コマンドを実行して、cn=oraclecontext
接尾辞とcn=oracleschemaversion
接尾辞を作成する必要があります。
UNIX
$ setup-oracle-context -h localhost -p 4444 -D "cn=directory manager" -j pwd-file --no-prompt --trustAll
Windows
setup-oracle-context -h localhost -p 4444 -D "cn=directory manager" -j pwd-file --no-prompt --trustAll
コマンド行で次の2つのコマンドを実行して、ディレクトリ・サーバー・インスタンスの外部変更ログ(ECL)を有効にする必要があります。
注意: インストール中にレプリケーションを構成した場合、外部変更ログ(ECL)が有効化されます。詳細は、『Oracle Unified Directoryのインストール』のインストール時のレプリケーションの設定に関する項を参照してください。 |
UNIX
$ dsreplication enable-changelog -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -r 8989 -b <user_suffix> --trustAll --no-prompt
$ dsreplication enable-changelog -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -r 8989 -b cn=oraclecontext --trustAll --no-prompt
Windows
$ dsreplication enable-changelog -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -r 8989 -b <user_suffix> --trustAll --no-prompt
$ dsreplication enable-changelog -h localhost -p 4444 -D "cn=directory manager" -j pwd-file -r 8989 -b cn=oraclecontext --trustAll --no-prompt
外部変更ログを構成するには、スタンドアロン・サーバーでもレプリケーション・ポート(-r
)が必要ですが、これは外部変更ログがレプリケーション・メカニズムに依存しているためです。レプリケーション・ポートを指定する必要があるのは、そのサーバーで変更ログ(またはレプリケーション)があらかじめ構成されていない場合のみです。レプリケーション・ポートのデフォルト値は8989です。
ディレクトリ・サーバー・インスタンスでECLが構成されていることを確認するには、次の検索コマンドを実行してcn=changelog
ネーミング・コンテキストを見つけます。
$ ldapsearch -h localhost -p 1389 -D "cn=directory manager" -j pwd-file -s base -b "" "objectclass=*" namingContexts dn: namingContexts: cn=changelog namingcontexts: cn=OracleContext namingcontexts: cn=OracleSchemaVersion namingcontexts: dc=example,dc=com
Oracle Directory Integration PlatformとOracle Unified Directoryを構成する必要があります。次のトピックが含まれます:
既存のWebLogicドメインのOracle Directory Integration PlatformとOracle Unified Directory
新規Oracle WebLogic ServerドメインのOracle Directory Integration PlatformとOracle Unified Directory
次の手順を実行して、既存のWebLogic管理ドメイン内でOracle Unified Directoryと組み合せてOracle Directory Integration Platformを構成します。
<MW_HOME>/oracle_common/common/bin/config.sh
スクリプト(UNIX)または<MW_HOME>\oracle_common\common\bin\config.cmd
(Windows)を実行します。
「ようこそ」画面が表示されます。
「既存のWebLogicドメインの拡張」を選択して「次へ」をクリックします。
「WebLogicドメイン・ディレクトリの選択」画面が表示されます。
Oracle Directory Server Enterprise Editionと組み合せてOracle Directory Integration Platformを構成するWebLogicドメインが含まれるディレクトリに移動し、「次へ」をクリックします。
「拡張ソースの選択」画面が表示されます。
次のドメイン構成オプションを選択します。
Oracle Enterprise Manager - 11.1.1.0 [oracle_common]
Oracle Directory Integration Platform - 11.1.1.2.0 [Oracle_IDM1]
注意:
|
「次へ」をクリックします。
「ドメイン名と場所の指定」画面が表示されます。
「ドメイン名と場所の指定」画面で、アプリケーションの場所が自動的に選択されます。「次へ」をクリックします。
「オプションの構成を選択」画面が表示されます。
「管理対象サーバー、クラスタ、およびマシン」オプションを選択します。「次へ」をクリックします。
「管理対象サーバーの構成」画面が表示されます。
管理対象サーバー名を指定して「次へ」をクリックします。
「クラスタの構成」画面が表示されます。
必要に応じてクラスタを構成し、「次へ」をクリックします。
「マシンの構成」画面が表示されます。
「マシン」または「Unixマシン」タブを選択します。「追加」をクリックし、マシン名を指定します。「次へ」をクリックします。
「マシンの構成」画面でマシンを追加した場合、「サーバーのマシンへの割当」画面が表示されます。「サーバーのマシンへの割当」画面で、管理サーバーと管理対象サーバーを指定したマシンに割り当てます。「次へ」をクリックします。
「構成のサマリー」画面で、ドメイン構成を確認して「拡張」をクリックし、ドメインの拡張を開始します。
ドメインが拡張されたら、「完了」をクリックします。
既存のOracle Unified DirectoryドメインがOracle Directory Integration Platformをサポートするために拡張されます。
Oracle Fusion Middleware構成ウィザードを実行して次のようにOracle WebLogicドメインを作成する必要があります。
注意: 「ソフトウェアのインストール - 構成なし」オプションを使用してOracle Directory Integration Platformがインストールされていることを確認します。 |
<MW_HOME>/oracle_common/common/bin/config.sh
スクリプト(UNIXの場合)または<MW_HOME>\oracle_common\common\bin\config.cmd
(Windowsの場合)を実行します。
「ようこそ」画面が表示されます。
「新しいWebLogicドメインの作成」を選択して「次へ」をクリックします。
「ドメイン・ソースの選択」画面が表示されます。
「次の製品をサポートするために、自動的に構成されたドメインを生成する」を選択して、次のドメイン構成オプションを選択します。
Oracle Enterprise Manager - 11.1.1.0 [oracle_common]
Oracle Directory Integration Platform - 11.1.1.2.0 [Oracle_IDM1]
注意:
|
「次へ」をクリックします。
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力します。ドメインのアプリケーションを保存する場所も入力します。「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
「本番モード」および有効なJDKを選択します。
「オプションの構成」画面が表示されます。
「次へ」をクリックします。
「構成のサマリー」画面が表示されます。
ドメインの詳細を確認し、「作成」をクリックします。
「ドメインの作成中」画面が表示されます。
ドメイン作成プロセスが完了したら、「完了」をクリックして構成ウィザードを終了します。
新しいWebLogicドメイン(domain1など)が、Oracle Directory Integration PlatformおよびFusion Middleware Controlをサポートするために<MW_HOME>\user_projects\domains
ディレクトリに作成されます(Windowsの場合)。UNIXでは、ドメインは<MW_HOME>/user_projects/domains
ディレクトリに作成されます。
Oracle WebLogic Serverドメインの構成後に次のタスクを実行します。
<MW_HOME>/oracle_common/common/bin/setNMProps.sh
スクリプト(UNIXの場合)または<MW_HOME>\oracle_common\common\bin\setNMProps.cmd
(Windowsの場合)を実行します。
付録C「Oracleスタックの起動と停止」の説明に従って、管理サーバー、ノード・マネージャおよび管理対象サーバーを起動します。
start-ds
コマンドを使用してOracle Unified Directoryを起動します。
UNIX: $ start-ds
Windows: C:\> start-ds
Oracle WebLogic Serverドメインを構成したら、Oracle Unified Directory用にOracle Directory Integration Platformを構成するため、WL_HOME
およびORACLE_HOME
環境変数を設定し、コマンド行でdipConfigurator setup
(<ORACLE_HOME>/bin
)コマンドを実行して次の引数を入力する必要があります。
注意: <ORACLE_HOME>/ldap/log/ にあるdipConfig.log ファイルを参照できます。 |
表5-1 Oracle Unified DirectoryのdipConfiguratorプロパティ
プロパティ | 説明 |
---|---|
|
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverのホスト名。デフォルトのホスト名は |
|
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理サーバーのリスニング・ポート番号。デフォルトのポート番号は |
|
Oracle WebLogic Serverのログイン・ユーザー名。 |
|
Oracle Unified Directoryのホスト名。デフォルトのホスト名は |
|
Oracle Unified Directoryサーバーのポート番号。デフォルト値は、 |
|
|
|
ディレクトリに接続するためのバインドDN。デフォルト値は |
|
接続するOracle Unified Directoryの管理ポート番号。デフォルトのポート番号は |
|
Oracle Directory Integration Platformインスタンスがクラスタ環境内にあるかどうかを指定します。デフォルト値は |
|
あるインスタンスがクラスタの他のインスタンスでサーバー・ステータス(障害インスタンスの検出など)を確認する頻度(ミリ秒)を指定します。デフォルト値は |
例:
UNIX
$ORACLE_HOME/bin/dipConfigurator setup -wlshost localhost -wlsport 7001 -wlsuser weblogic -ldaphost oudhost -ldapport 1389 -ldapuser "cn=Directory Manager" -isldapssl false -ldapadminport 4444
Windows
ORACLE_HOME/bin/dipConfigurator setup -wlshost localhost -wlsport 7001 -wlsuser weblogic -ldaphost oudhost -ldapport 1389 -ldapuser "cn=Directory Manager" -isldapssl false -ldapadminport 4444
コマンド行でldapmodify
コマンドを実行して、LDIFファイルにACIを追加する必要があります。
ldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -w <password> <<EOF dn: dc=example,dc=com changetype: modify add: aci aci: (target="ldap:///dc=example,dc=com")(version 3.0; acl "Entry-level DIP permissions"; allow (all,proxy) groupdn="ldap:///cn=dipadmingrp,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; allow (all,proxy) groupdn="ldap:///cn=odipigroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; ) - add: aci aci: (targetattr="*")(version 3.0; acl "Attribute-level DIP permissions"; allow (all,proxy) groupdn="ldap:///cn=dipadmingrp,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; allow (all,proxy) groupdn="ldap:///cn=odipigroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext";) EOF
注意: これは例のため、dc=example,dc=com ACIは独自のプロファイル構成に置き換える必要があります。 |
$ORACLE_HOME
/bin/ディレクトリにあるdipStatusコマンドを使用して、Oracle Directory Integration Platform(ODIP)のインストールを検証します。
注意: 環境変数WL_HOMEおよびORACLE_HOMEを設定してから、dipStatus コマンドを実行してください。 |
dipStatus
コマンドの構文は次のとおりです。
$ORACLE_HOME/bin/dipStatus -hlocalhost
-p7005
-D weblogic [-help]
-h | -host
には、Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverを指定します。
-p | -port
には、Oracle Directory Integration Platform管理対象サーバーのリスニング・ポートを指定します。
-D | -wlsuser
には、Oracle WebLogic ServerのログインIDを指定します。
注意: Oracle WebLogic Serverのログイン・パスワードを要求されます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトから |
次のようにOracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Directory Integration Platform (ODIP)インストールも検証できます。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」をクリックするか展開し、DIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックし、「管理」→「サーバー・プロパティ」を選択します。
「接続テスト」をクリックしてインスタンスを検証します。
Oracle Directory Integration Platform (ODIP)をインストールして構成した後、第III部「Oracle Directory Integration Platformスタート・ガイド」を参照してください。
Oracle Directory Integration Platform用にOracle Unified Directory (バックエンド・ディレクトリ)の非SSL通信を構成したら、第III部「Oracle Directory Integration Platformを使用した同期」または第III部「Oracle Directory Integration Platformによるプロビジョニング」の説明に従って、接続ディレクトリを対象に同期またはプロビジョニングできます。
Oracle Directory Integration Platform用にOracle Unified Directory (バックエンド・ディレクトリ)のSSL通信を構成するには、次の手順を実行します。
Oracle Directory Integration Platform用にOracle Unified Directory (バックエンド・ディレクトリ)のSSL通信を構成するには、次の手順を実行します。
第5.2項「Oracle Directory Integration Platform用のOracle Unified Directory (非SSL)の構成」の説明に従って、Oracle Unified Directoryを構成します。
『Oracle Unified Directoryの管理』のSSLの迅速な起動と実行に関する項の説明に従って、自己署名証明書を使用したSSLベースの接続を受け入れるようにOracle Unified Directoryを構成します。
次のコマンドを実行して、Oracle Unified Directoryインスタンスの秘密鍵をエクスポートします。
UNIX
$ keytool -exportcert -alias server-cert -file config/server-cert.txt -rfc \ -keystore config/keystore -storetype JKS
Windows
keytool -exportcert -alias server-cert -file config/server-cert.txt -rfc \ -keystore config/keystore -storetype JKS
Oracle Unified Directory (バックエンド・ディレクトリ)のSSL通信を構成した後、次の手順を実行してOracle Directory Integration Platformを構成する必要があります。
keytoolを使用してJavaキーストア(JKS)を作成し、前の手順でエクスポートした信頼できる証明書をJKSにインポートします。
keytool -importcert -trustcacerts -alias
Some_alias_name
Path_to_certificate_file
-file-keystore
path_to_keystore
次に例を示します。
keytool -importcert -trustcacerts -alias OUD2
-file /home/Middleware/asinst_1/OUD/admin/server-cert.txt -keystore /home/Middleware/dip.jks
システムからキーストア・パスワードが要求されます。このキーストアの新しいパスワードを入力します。
次のコマンドを実行して、Oracle Directory Integration PlatformのJavaキーストアの場所を更新します。
manageDIPServerConfig set -attribute keystorelocation
full_path_to_keystore
-val-h
weblogic_host -p
weblogic_managed_server_port -D
weblogic_user
注意: full_path_to_keystoreはOracle Directory Integration Platformがデプロイされているホストに基づいて、Javaキーストア(JKS)への絶対パスを表します。JKSへの絶対パスを指定する場合は、適切なパス・セパレータを使用します(UNIXおよびLinuxプラットフォームでは「/」、Windowsプラットフォームでは「\」)。 |
次に例を示します。
$ORACLE_HOME/bin/manageDIPServerConfig set -h localhost -p 7005 -D wlsuser -attribute keystorelocation -val /home/Middleware/dip.jks
システムからWebLogicパスワードが要求されます。
次のコマンドを実行してCSF資格証明を作成し、Javaキーストア・パスワードを更新します。
次のコマンドを実行して、WLSTプロンプトを開きます。
$ORACLE_HOME/common/bin/wlst.sh
(UNIX)またはORACLE_HOME\common\bin\wlst.sh
(Windows)
WebLogic管理サーバーに接続します。
connect('
Weblogic_User', '
Weblogic_password',
Weblogic_Host:Weblogic_AdminServer_Port
't3://')
資格証明を作成して、Javaキーストア・パスワードを更新します。
createCred(map="dip", key="jksKey", user="jksuser", password="
JKS_password")
次のコマンドを実行してOracle Directory Integration Platform SSL構成を更新します。
UNIX
$ORACLE_HOME/bin/manageDIPServerConfig set -attribute sslmode -val 2 -h localhost -p 7005 -D "weblogic"
$ORACLE_HOME/bin/manageDIPServerConfig set -attribute backendhostport -val localhost:1636 -h localhost -p 7005 -D "weblogic"
Windows
ORACLE_HOME\bin\manageDIPServerConfig set -attribute sslmode -val 2 -h localhost -p 7005 -D "weblogic"
ORACLE_HOME\bin\manageDIPServerConfig set -attribute backendhostport -val localhost:1636 -h localhost -p 7005 -D "weblogic"
詳細は、第4.5.2項「manageDIPServerConfigの引数」を参照してください。
Enterprise Managerにログインして、Oracle Directory Integration PlatformのSSL構成を更新することもできます。
「DIP」→「サーバー・プロパティ」を選択し、「SSLモード」を2、「ポート値」をOracle Unified DirectoryのSSLポートに設定します。
Oracle WebLogic管理対象サーバーを再起動します。
Oracle Directory Integration Platformは、SSLサーバー認証モードでOracle Unified Directoryに接続するようになります。