Oracle Internet Directoryのディレクトリ・サーバー・チェーンによって、外部またはサード・パーティのLDAPディレクトリに存在するエントリをディレクトリ・ツリーの一部にマップして、同期またはデータ移行なしでそれらのエントリにOracle Internet Directoryを通じてアクセスできます。サーバー・チェーンにより、実際のアイデンティティ・データがOracle Internet Directoryの外部にある場合も、Oracle Internet Directoryの認可フレームワークを使用できます。
この章の内容は次のとおりです。
注意: この章で言及するOracle Single Sign-Onは、Oracle Single Sign-On 10g (10.1.4.3.0)以上のことです。Oracle Enterprise User Securityに言及している場合、10gリリースのみを示しています。 |
ディレクトリ・サーバー・チェーンは、Oracle Internet Directory 10g (10.1.4.0.1)で最初に導入され、Javaプラグイン・フレームワークを使用して実装されました。11gリリース1 (11.1.1)では、SSLを使用するようにサーバー・チェーンを構成することもできます。サーバー・チェーンは、Oracle Directory Integration Platformを置き換えることはありませんが、かわりにその製品に補完的な機能を提供します。
サーバー・チェーンは、Oracle Virtual Directoryなどの仮想ディレクトリとは異なります。仮想ディレクトリは、複数のアイデンティティ・リポジトリとアプリケーション間の柔軟な仮想レイヤーです。仮想ディレクトリにより、アイデンティティ同期およびディレクトリ・サーバーに補完的なサービスが提供されます。組織では、複数のディレクトリおよびデータベースにわたる可能性があるデータの統合された論理ビューまたは仮想ビューを作成できます。
この項の内容は次のとおりです。
Oracle Internet Directoryサーバー・チェーンは、次の外部ディレクトリ・サーバーをサポートします。
Microsoft Active Directory
注意: Oracle Internet Directoryサーバー・チェーンではMicrosoft Active Directory Lightweight Directory Service (AD LDS、以前のADAM)はサポートされません。 |
Oracle Directory Server Enterprise Edition(ODSEE)
Sun Java System Directory Server (以前のSun ONEまたはiPlanet Directory Server)
Novell eDirectory
Oracle Internet Directoryでは、1つのActive Directoryサーバー、1つのSun Java System Directory Server、1つのNovell eDirectory、または3つのディレクトリ・サーバーすべてと接続できます。
次のOracle製品が、Oracle Internet Directoryサーバー・チェーンに統合されました。
サーバー・チェーンが有効な場合、外部ディレクトリのユーザーは、Oracle Internet Directory内(外部リポジトリではなく)でローカルに認証された場合と同様にOracle Single Sign-Onを介してログインできます。
Oracle Internet Directoryサーバー・チェーンにより、アイデンティティ・データをOracle Internet Directoryと同期させることなく、Oracle Directory Integration Platformを介してEnterprise User Security 10gを実装できます。アイデンティティ・データは外部リポジトリに置かれたままで、Oracle Internet Directoryのデータ・ストアにはエンタプライズ・ユーザー・セキュリティ関連のメタデータのみが格納されます。
Sun Java System Directory Serverが外部ディレクトリの場合、サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとのパスワードベースの認証をサポートします。
Active Directoryが外部ディレクトリの場合、サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとのKerberosベースの認証およびパスワードベースの認証をサポートします。外部ユーザーは、エンタープライズ・ユーザー・セキュリティの認証設定が完了すると、Oracle Databaseにログインできます。詳細は、http://metalink.oracle.comにあるMy Oracle Support(以前のMetaLink)のNote 452385.1に基づいた第38.5項「パスワード変更通知のActive Directoryプラグインの構成」を参照してください。
関連項目: エンタープライズ・ユーザー・セキュリティのパスワード認証およびKerberos認証用の構成の詳細は、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。 |
サーバー・チェーンでは、次の操作をサポートします。
バインド
比較
変更
検索
比較、変更および検索操作は、構成パラメータの設定により有効または無効にできます。
Oracle Internet Directoryクライアント・アプリケーションからLDAP検索リクエストが発行されると、Oracle Internet Directoryは自身のデータと外部ディレクトリからの検索結果を統合します。
Oracle Internet Directoryクライアント・アプリケーションからLDAPバインド、比較または変更リクエストが発行されると、Oracle Internet Directoryはリクエストを外部ディレクトリにリダイレクトします。
10g(10.1.4.0.1)以上では、比較操作はuserpassword
属性でのみサポートされています。
10g(10.1.4.0.1)以上では、次の2つの場合に属性変更がサポートされます。
外部属性は、Oracle Internet Directory属性と同じ名前を持っています。これは大部分のLDAP属性についても当てはまります。
外部属性はOracle Internet Directory属性にマップされ、外部属性とOracle Internet Directory属性のどちらも操作属性ではありません。
注意: Active Directoryユーザー・パスワードは、Oracle Internet Directoryからサーバー・チェーンを介して変更できません。 |
サーバー・チェーンをレプリケーション環境で使用する場合は、すべてのノード上でサーバー・チェーンを設定し、エントリがノード全体で一貫性を保てるようにします。サーバー・チェーンを構成して、マップされた外部ディレクトリがレプリケートされたすべてのノードにとって同じになるようにします。
Oracle Internet Directoryには、サーバー・チェーンの無効のサンプル・エントリが付属しています。サーバー・チェーン・エントリの識別名は、次のとおりです。
Active Directory: cn=oidscad,cn=OID Server Chaining,cn=subconfigsubentry
Oracle Directory Server Enterprise EditionおよびSun Java System Directory Server (以前のSun ONEまたはiPlanet): cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry
Novell eDirectory: cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry
前述のエントリを自分の環境に合うようにカスタマイズし、それらを有効にすることで、サーバー・チェーンを構成します。この構成を実行するには、コマンド行を使用するか、この項の後述の説明に従ってOracle Directory Services Managerを使用します。
11g (11.1.1.9)以降では、cn=OID Server Chaining, cn=subconfigsubentry
の下に独自のエントリを追加してサーバー・チェーンを構成できます。この場合、新しいエントリにorcloidscdirtype
属性を追加する必要があります。この属性は、サーバー・チェーンを構成する外部ディレクトリを指定し、次のいずれかの値を持つことができます。
Active Directoryの場合: ad
Novell eDirectoryの場合: edir
Sun Java System Directory Serverの場合: iplanet
たとえば、エントリにorcloidscdirtype=edir
が含まれる場合、このエントリはeDirectoryとの接続用に構成されていることがわかります。同様に、エントリの独自のセットを持つことができます。
注意: 外部ディレクトリ・サーバー・タイプ用にサポートされるアクティブなエントリは、1つのみです。 |
この項の内容は次のとおりです。
Oracle Directory Services Managerには、Oracle Internet Directoryサーバー・チェーン構成エントリの変更に便利なインタフェースが備わっています。
Oracle Directory Services Managerを使用してサーバー・チェーンを構成する手順は、次のとおりです。
第7.4.5項「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。
タスク選択バーで、「拡張」を選択します。
「サーバー・チェーン」を展開します。左側のパネルにサーバー・チェーンのエントリが表示されます。現在のエントリにiPlanet(Oracle Directory Server Enterprise EditionおよびSun Java System Directory Server)とActive Directoryが含まれています。
サーバー・チェーン構成エントリを変更するには、そのエントリを選択します。右側のペインに「サーバー・チェーン管理」タブが表示されます。
必要に応じて「外部ホスト名」、「外部ポート番号」、「ログイン・ユーザーDN」および「ログイン・ユーザー・パスワード」を変更します。
サーバー・チェーンの認証、変更または検索を有効にするには、対応するチェック・ボックスを選択します。
必要に応じて他のフィールドを変更します。
外部ユーザー・コンテナ、グループ・コンテナまたはログイン資格証明の変更後、それぞれ「ユーザー・コンテナの検証」、「グループ・コンテナの検証」または「ログイン資格証明の検証」 をクリックして値を検証します。
検証に失敗した場合、入力した値に誤りがないか確認します。問題が解消されない場合、外部ディレクトリ管理者に連絡し、入力した値が正しいかどうかを確認します。
属性マッピングを追加する場合は、「属性マッピング」の下の「属性マッピングをリストに追加」アイコンをクリックします。既存のマッピングを編集するには、マッピングを選択して「属性マッピング」の下の「属性マッピングの編集」アイコンをクリックします。新規属性マッピング・ウィンドウが表示されます。「外部ディレクトリ属性」および「OID属性」を入力します。参照によってOracle Internet Directory属性を特定するには、「選択」をクリックして属性の選択ウィンドウで属性を選択します。
「OK」をクリックしてマッピングを作成するか、「取消」をクリックして破棄します。
マッピングを削除するには、マッピングを選択して「選択した属性マッピングの削除」アイコンをクリックします。削除の確認ダイアログが表示されたら、「削除」をクリックしてマッピングを削除するか、「取消」削除を取り止めます。
「OK」をクリックして構成の変更を有効にするか、「取消」をクリックして変更を破棄します。
コマンド行からサーバー・チェーンを構成するには、次のようにします。
LDIFファイルを作成して、手動でユーザーおよびグループのコンテナを追加します。これらのコンテナの識別名を判断するには、第38.3.2項「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。たとえば、ユーザー検索ベースがcn=users,dc=us,dc=oracle,dc=com
、グループ検索ベースがcn=groups,dc=us,dc=oracle,dc=com
の場合、LDIFファイルで次のエントリを使用します。
dn: cn=AD,cn=users,dc=us,dc=oracle,dc=com cn: AD objectclass: orclcontainer objectclass: top dn: cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com cn: iPlanet objectclass: orclcontainer objectclass: top dn: cn=AD,cn=groups,dc=us,dc=oracle,dc=com cn: AD objectclass: orclcontainer objectclass: top dn: cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com cn: iPlanet objectclass: orclcontainer objectclass: top
ldapadd
と、エントリを追加するために作成したLDIFファイルを使用します。
ldapadd -p port -h host -D "binddn" -q -v -f container_ldif_file_name
もう1つのLDIFファイルを作成し、サーバー・チェーン構成エントリを変更し、有効にします。LDIFファイルの例は、第38.3.4項「Active Directoryの例」および第38.3.7,項「Oracle Directory Server Enterprise EditionおよびSun Java System Directory Server(iPlanet)の例」を参照してください。属性の表は、第38.3項「サーバー・チェーン構成エントリの作成」を参照してください。属性のマッピングは、第38.3.3項「属性マッピング」を参照してください。
ldapmodify
コマンドと作成したLDIFファイルを使用してサーバー・チェーン構成エントリを変更します。次の形式のコマンド行を使用します。
ldapmodify -D "cn=orcladmin" -q -p port -h host -D "binddn" \ -v -f entry_ldif_file_name
この項の内容は次のとおりです。
表38-1は、サーバー・チェーンの構成エントリ属性を示しています。
表38-1 サーバー・チェーンの構成エントリ属性
属性 | 必須 | 説明 |
---|---|---|
|
はい |
外部ディレクトリ・ホストのホスト名。これは単一値属性です。 |
|
はい |
外部ディレクトリ・ホストのポート番号。これは単一値属性です。デフォルト値は3060です。 |
|
はい |
外部ディレクトリの識別名。サーバー・チェーンは、検索および変更操作を実行するために、このアイデンティティを使用して、外部ディレクトリに対してバインドされます。このアイデンティティには、操作を実行するために十分な権限が必要です。これは単一値属性です。 |
|
はい |
外部ディレクトリの識別名のパスワード。これは単一値属性です。ユーザーがこの属性をクリアテキストで取得できないようにするため、必ずプライバシ・モードを有効にします。第28.7項「受信した機密の属性のプライバシの構成」を参照してください。 |
|
はい |
ユーザー検索操作を実行する外部ディレクトリ内のユーザー・コンテナ。これは単一値属性です。 |
|
はい |
グループ検索操作を実行する外部ディレクトリ内のグループ・コンテナ。これは単一値属性です。 外部ユーザー・コンテナおよび外部グループ・コンテナが同じ場合(つまり、外部ディレクトリ・サーバー内のグループをユーザーと同じコンテナに格納する場合)、この値とユーザー・コンテナ( |
|
はい |
外部ユーザーが存在するOracle Internet Directory内のユーザー・コンテナ。詳細は、第38.3.2項「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。 |
|
はい |
外部グループが存在するOracle Internet Directory内のグループ・コンテナ。詳細は、第38.3.2項「ユーザー・コンテナとグループ・コンテナの要件」を参照してください。 |
|
いいえ |
外部ディレクトリとOracle Internet Directory間の各属性マッピングを指定します。たとえば、
詳細は、第38.3.3項「属性マッピング」を参照してください。 |
|
はい |
外部検索機能です。 |
|
はい |
外部変更機能です。 |
|
はい |
外部認証機能です。 |
|
いいえ |
外部ディレクトリへのSSL接続です。0 =無効化(デフォルト)、1 =有効化です。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
いいえ |
外部ディレクトリ・ホストのSSLポート番号。これは単一値属性です。 |
|
いいえ |
外部ディレクトリのサーバー証明書が格納されているウォレットのファイル名とパス。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
いいえ |
ウォレット・パスワード。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
いいえ |
OID属性uidのActive Directoryの属性へのマッピングを指定します。uidは、Active Directoryに定義されている任意の非バイナリ属性にマップできます。デフォルト値はnameです。これは単一値属性です。 |
|
いいえ |
グループ・コンテナに対する検索において、baseの場合、オブジェクト・クラス・グループとともにエントリを表示し(デフォルト)、subの場合、オブジェクト・クラスuserおよびcomputerなしでエントリを表示します。これは単一値属性です。Active Directoryでのみ適用可能です。 |
|
いいえ |
ユーザー・コンテナの1レベル下にあるエントリをベースとして使用した1レベル検索において、baseの場合、いずれのエントリも表示せず(デフォルト)、subの場合、検索のベースの下位にあるサブツリーのエントリを表示します。これは単一値属性です。Active Directoryでのみ適用可能です。 |
|
いいえ |
オブジェクト・クラス・ユーザーを持つエントリにorcluserv2オブジェクト・クラスを追加します。0 =無効化(デフォルト)、1 =有効化です。これは単一値属性です。Active Directoryでのみ適用可能です。 |
ターゲットのユーザー・コンテナおよびグループ・コンテナは、Oracle Single Sign-Onと連携させるために、Oracle Internet Directory検索ベースの下に置く必要があります。
ユーザー・コンテナとグループ・コンテナには、次の名前を使用します。
Active Directory: cn=AD
Oracle Directory Server Enterprise EditionまたはSun Java System Directory Server (iPlanetまたはSun ONE Directory Server): cn=iPlanet
Novell eDirectory: cn=edir
たとえば、ユーザー検索ベースがcn=users,dc=us,dc=oracle,dc=com
の場合
ターゲット・ユーザー・コンテナには次の名前を使用します。
Active Directory: cn=AD,cn=users,dc=us,dc=oracle,dc=com
Oracle Directory Server Enterprise EditionまたはSun Java System Directory Server: cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com
Novel eDirectory: cn=edir,cn=users,dc=us,dc=oracle,dc=com
同様に、グループ検索ベースがcn=groups,dc=us,dc=oracle,dc=com
の場合
ターゲット・グループ・コンテナには次の名前を使用します。
Active Directory: cn=AD,cn=groups,dc=us,dc=oracle,dc=com
Oracle Directory Server Enterprise EditionまたはSun Java System Directory Server (iPlanetまたはSun ONE Directory Server): cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com
Novel eDirectory: cn=edir,cn=groups,dc=us,dc=oracle,dc=com
注意: ターゲットのユーザー・コンテナおよびグループ・コンテナは、外部ディレクトリ専用のものです。これらのノードの下に表示されるユーザーおよびグループはすべて、外部ディレクトリによりデータが移入されます。これらのコンテナの下に、Oracle Internet Directoryから直接エントリを追加しないでください。外部ユーザー・コンテナと外部グループ・コンテナが同じである(つまり、外部ディレクトリ・サーバーのグループがユーザーと同じコンテナに格納されている)場合、グループ・コンテナ( |
外部ディレクトリの属性とOracle Internet Directory属性が同じ場合、マッピングは不要です。サーバー・チェーンは、デフォルトでいくつかの属性マッピングを実行します。デフォルト・マッピングのリストは次のとおりです。
表38-2 Active Directoryに対するデフォルトの属性マッピング
Oracle Internet Directory属性 | Active Directory属性 |
---|---|
|
|
|
|
|
|
|
|
Active Directoryサーバー・チェーンの場合、mapUIDtoADAttribute
属性を使用して、Active Directoryに定義されている任意の非バイナリ属性にuid
をマップできます。
表38-3 Sun Java System Directory Serverに対するデフォルトの属性マッピング
Oracle Internet Directory属性 | Sun Java System Directory Server属性 |
---|---|
|
|
|
|
|
|
表38-4 Novell eDirectoryに対するデフォルトの属性マッピング
Oracle Internet Directory属性 | Novell eDirectory属性 |
---|---|
|
|
|
|
|
|
次のオブジェクトはマップできません。
操作属性
オブジェクト・クラス
Oracle Internet Directory固有の属性。これらの属性には通常、orcl
で始まる名前が付いています。
次の例は、Active Directoryサーバーdlin-pc9.us.example.com
、ポート3060
を、外部ディレクトリ・ストアとして使用するよう構成されたサーバー・チェーンを示しています。SSL機能は有効になっています。属性はすべて、表38-1で説明しています。
cn=oidscad,cn=OID Server Chaining,cn= subconfigsubentry orclOIDSCExtHost: dlin-pc9.us.example.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=administrator,cn=users,dc=oidvd,dc=com orclOIDSCExtPassword: ******* orclOIDSCExtUserContainer: cn=users,dc=oidvd,dc=com orclOIDSCTargetUserContainer: cn=AD,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=AD,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCAttrMapping;description: title orcloidscsslenabled: 0
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry
changetype: modify
replace: orcloidscextdn
orcloidscextdn: cn=administrator,cn=users,dc=oidvd,dc=com
-
replace: orcloidscextpassword
orcloidscextpassword: password
-
replace: orcloidscexthost
orcloidscexthost: dlin-pc9.us.example.com
-
replace: orcloidscextport
orcloidscextport: 3060
-
replace: orcloidsctargetusercontainer
orcloidsctargetusercontainer: cn=AD,cn=users,dc=us,dc=oracle,dc=com
-
replace: orcloidsctargetgroupcontainer
orcloidsctargetgroupcontainer: cn=AD,cn=groups,dc=us,dc=oracle,dc=com
-
replace: orcloidscextusercontainer
orcloidscextusercontainer: cn=users,dc=dlin,dc=net
-
replace: orcloidscextgroupcontainer
orcloidscextgroupcontainer: cn=users,dc=dlin,dc=net
-
replace: orcloidscextsearchenabled
orcloidscextsearchenabled: 1
-
replace: orcloidscextmodifyenabled
orcloidscextmodifyenabled: 1
-
replace: orcloidscextauthenabled
orcloidscextauthenabled: 1
-
replace: orcloidscsslenabled
orcloidscsslenabled:1
次の例は、Active Directoryサーバーad.example.com、SSLポート3133、および/adwallet/ewallet.p12
にあるウォレットを使用するよう構成されたサーバー・チェーンを示しています。
cn=oidscad,cn=OID Server Chaining,cn= subconfigsubentry orclOIDSCExtHost: ad.example.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=administrator,cn=users,dc=oidvd,dc=com orclOIDSCExtPassword: ******* orclOIDSCExtUserContainer: cn=users,dc=oidvd,dc=com orclOIDSCTargetUserContainer: cn=AD,cn=users,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=AD,cn=groups,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 3133 orclOIDSCWalletLocation: /adwallet/ewallet.p12 orclOIDSCWalletPassword: ********
コマンド行からSSLを使用してサーバー・チェーンを構成するには、次の手順を実行します。
前の項に示すように、SSLなしでActive Directoryサーバー・チェーンを構成します。
次のようなLDIFファイルを作成し、外部ディレクトリへのSSL接続を有効にします。orcloidscextsslport
、orcloidscwalletlocation
およびorcloidscwalletpassword
の値を、実際のActive Directoryサーバーの値と一致する値に置き換えます。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscsslenabled orcloidscsslenabled:1 - replace: orcloidscextsslport orcloidscextsslport: 3133 - replace: orcloidscwalletlocation orcloidscwalletlocation: /adwallet/ewallet.p12 - replace: orcloidscwalletpassword orcloidscwalletpassword: passw0rd
変更を適用するには、次のようなコマンド行を使用します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
属性mapUIDtoADAttribute
、showExternalGroupEntries
、showExternalUserEntries
およびaddOrcluserv2ToADUsers
は、Oracle Internet Directory 10g(10.1.4.0.1)から追加されています。これらの属性を既存のActive Directoryサーバー・チェーン・エントリに追加するには、適切な値を使用して次のLDIFファイルを変更します。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: mapUIDtoADAttribute mapUIDtoADAttribute: name - replace: showExternalGroupEntries showExternalGroupEntries: base - replace: showExternalUserEntries showExternalUserEntries: base - replace: addOrcluserv2ToADUsers addOrcluserv2ToADUsers: 0
次の形式のコマンド行を使用します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
構成エントリが変更されます。
次の例は、Sun Java System Directory Server dlin-pc10.us.example.com
、ポート103060
を、外部ディレクトリ・ストアとして使用するよう構成されたサーバー・チェーンを示しています。属性はすべて、表38-1で説明しています。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: dlin-pc10.us.example.com orclOIDSCExtPort: 10389 orclOIDSCExtDN: cn=directory manager orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=people,dc=example,dc=com orclOIDSCExtGroupContainer: ou=groups,dc=example,dc=com orclOIDSCTargetUserContainer: cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled:0
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
dn: cn=oidsciplanet,cn=oid server chaining,cn=subconfigsubentry
changetype: modify
replace: orcloidscextdn
orcloidscextdn: cn=directory manager
-
replace: orcloidscextpassword
orcloidscextpassword: password
-
replace: orcloidscexthost
orcloidscexthost: dlin-pc10.us.example.com
-
replace: orcloidscextport
orcloidscextport: 10389
-
replace: orcloidsctargetusercontainer
orcloidsctargetusercontainer: cn=iplanet,cn=users,dc=us,dc=oracle,dc=com
-
replace: orcloidsctargetgroupcontainer
orcloidsctargetgroupcontainer: cn=iplanet,cn=groups,dc=us,dc=oracle,dc=com
-
replace: orcloidscextusercontainer
orcloidscextusercontainer: ou=people,dc=example,dc=com
-
replace: orcloidscextgroupcontainer
orcloidscextgroupcontainer: ou=groups,dc=example,dc=com
-
replace: orcloidscextsearchenabled
orcloidscextsearchenabled: 1
-
replace: orcloidscextmodifyenabled
orcloidscextmodifyenabled: 1
-
replace: orcloidscextauthenabled
orcloidscextauthenabled: 1
次の例は、Sun Java System Directory Server sunone.example.com、SSLポート10636、および/ipwallet/ewallet.p12にあるウォレットを使用するよう構成したサーバー・チェーンを示しています。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: sunone.example.com orclOIDSCExtPort: 10389 orclOIDSCExtDN: cn=directory manager orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=people,dc=example,dc=com orclOIDSCExtGroupContainer: ou=groups,dc=example,dc=com orclOIDSCTargetUserContainer: cn=iPlanet,cn=users,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=iPlanet,cn=groups,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 10636 orclOIDSCWalletLocation: /ipwallet/ewallet.p12 orclOIDSCWalletPassword: ********
コマンド行からSSLを使用してサーバー・チェーンを構成するには、次の手順を実行します。
前の項に示すように、SSLなしでサーバー・チェーンを構成します。
次のLDIFファイルを作成し、外部ディレクトリへのSSL接続を有効にします。orcloidscextsslport
、orcloidscwalletlocation
およびorcloidscwalletpassword
の値を、実際のOracle Directory Server Enterprise Edition/Sun Java System Directory Serverの値と一致する値に置き換えます。
dn: cn=oidsciplanet,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscsslenabled orcloidscsslenabled:1 - replace: orcloidscextsslport orcloidscextsslport: 10636 - replace: orcloidscwalletlocation orcloidscwalletlocation: /ipwallet/ewallet.p12 - replace: orcloidscwalletpassword orcloidscwalletpassword: passw0rd
次の形式のコマンド行を実行します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
構成エントリが変更されます。
eDirectory構成の例は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: edirhost.domain.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=admin,o=domain orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=users,o=domain orclOIDSCExtGroupContainer: ou=groups,o=domain orclOIDSCTargetUserContainer: cn=edir,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=edir,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled:0
SSLを使用したeDirectory構成の例は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: edirhost.domain.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=admin,o=domain orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=users,o=domain orclOIDSCExtGroupContainer: ou=groups,o=domain orclOIDSCTargetUserContainer: cn=edir,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=edir,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 3133 orclOIDSCWalletLocation: /edir/ewallet.p12 orclOIDSCWalletPassword: ********
サーバー・チェーンのデバッグを行うには、次の手順を実行します。
第24.2項「Fusion Middleware Controlを使用したロギングの管理」または第24.3項「コマンド行からのロギングの管理」の説明に従って、Oracle Internet Directoryサーバーのデバッグ・ロギング・レベルを設定します。ロギング・レベル値402653184を使用します。この値は、Javaプラグイン・フレームワーク関連の全メッセージのロギングを可能にします。
Oracle Internet Directoryサーバー・チェーンのデバッグ設定を変更します。cn=oidscad,cn=oid server chaining,cn=subconfigsubentry
とcn=oidsciplanet,cn=oid server chaining, cn=subconfigsubentry
の両方について、orcloidscDebugEnabled
属性を1
に設定します。
たとえば、cn=oidscad,cn=oid server chaining,cn=subconfigsubentry
でorcloidscDebugEnabled
を1
に設定するには、次のように入力します。
$ORACLE_HOME/bin/ldapmodify -h host -p port -D cn=orcladmin -q -f file
fileには、次のものが含まれます。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: orcloidscDebugEnabled orcloidscDebugEnabled: 1
関連項目: Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイドのJavaプラグインのデバッグおよびロギング情報。 |
サーバー・チェーンでEnterprise User Security 10gを使用する場合は、ユーザーを認証するためにハッシュ・パスワードが必要になります。この項では、Oracle Internet Directoryを介してアクセスしたユーザーに対してハッシュ・パスワードを使用可能にするプラグインを、Microsoft Active Directory (AD)サーバーにインストールする方法について説明します。サーバー・チェーンを介してアクセスしたユーザーにエンタープライズ・ユーザー・セキュリティを使用する構成を計画している顧客は、この機能を構成する必要があります。
手順は次のとおりです。
Active Directoryで、orclCommonAttribute
という属性を作成してハッシュ・パスワードを格納します。次の形式のコマンド行を使用します。
ldapadd –p AD_Port –h AD_host -D "AD_administrator_DN" –w AD_administrator_password -v –f orclca.ldif
次の例のようなorclca.ldifファイルを使用します。DC=bill,DC=com
をActive Directoryの実際のドメイン名に置き換えて、適切なattributeID
を選択します。
dn: cn=orclcommonattribute,CN=Schema,CN=Configuration,DC=bill,DC=com objectClass: top objectClass: attributeSchema cn: orclcommonattribute distinguishedName: CN=orclcommonattribute,CN=Schema,CN=Configuration,DC=bill,DC=com instanceType: 4 uSNCreated: 16632 attributeID: 1.9.9.9.9.9.9.9.9 attributeSyntax: 2.5.5.3 isSingleValued: TRUE uSNChanged: 16632 showInAdvancedViewOnly: TRUE adminDisplayName: orclCommonAttribute oMSyntax: 27 lDAPDisplayName: orclCommonAttribute name: orclcommonattribute objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=bill,DC=com
属性をユーザーのオブジェクト・クラスに関連付けます。次の形式のコマンド行を使用します。
ldapadd –p AD_Port –h AD_host -D "AD_administrator_DN" –w AD_administrator_password -v –f user.ldif
次のファイルuser.ldifでは、DC=bill,DC=com
をActive Directoryの実際のドメイン名に置き換えます。
dn: CN=User,CN=Schema,CN=Configuration,DC=bill,DC=com changetype: modify add: mayConatin mayContain: orclCommonAttribute
Active Directoryでは、スキーマをリフレッシュするために数分かかることがあります。
パスワード変更通知のプラグインを次の手順でインストールします。
%ORACLE_HOME%\ldap\admin\oidpwdcn.dll
をActive DirectoryのWINDOWS\system32
フォルダにコピーします。
regedt32
を使用して、レジストリを変更します。行HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
で、最後にoidpwdcn
を追加します。次のようになります。
RASSFM KDCSVC WDIGEST scecli oidpwdcn
Active Directoryを再起動します。
ユーザーのパスワードを再設定することにより、プラグインが正しくインストールされていることを確認します。orclCommonAttribute
にハッシュ・パスワードの値が格納されている必要があります。
Active Directoryの全ユーザーのパスワードを再設定し、すべてのユーザーにパスワード・ベリファイアが存在するようにします。