| Oracle® Fusion Middleware Oracle Internet Directory管理者ガイド 11g リリース1(11.1.1) B55919-08 |
|
 前 |
 次 |
この項では、Oracle Internet Directoryの最新リリースで導入された新機能について簡単に説明し、各新機能の関連項目を記載します。
この章では、次のリリースについて説明します。
永続検索操作: 永続検索操作は、初期検索の結果がOracle Internet DirectoryサーバーからLDAPクライアントに返された後も継続する拡張検索です。初期検索の終了後も、サーバーに対する接続は、クライアントが操作をバインド解除するか中止するまで維持されます。永続検索操作によって、クライアントは、検索範囲のエントリが変更された場合に通知を受信できます。
第3.2.2項「永続LDAP検索操作」を参照してください。
Oracle Directory Services Manager (ODSM)セッション・タイムアウト: 現在、ODSMセッション・タイムアウトのデフォルトは、5分です。異なる値を構成するには、WebLogic Server管理コンソールを使用します。
第7.4.7項「Oracle Directory Services Managerセッション・タイムアウトの構成」を参照してください。
結果セットおよびメタデータ・キャッシュ構成: 新しいorclcachemaxsize構成属性では、結果セットおよびメタデータ・キャッシュのサイズを指定し、Oracle Internet DirectoryサーバーからそのOracle Databaseへの読取り/書込み操作のパフォーマンスを向上できます。
第9.1.4項「DSA構成エントリの属性」を参照してください。
拡張ロギング: 新しいorcltraceconndnおよびorcltraceconnipというインスタンス固有の構成属性では、それぞれ接続識別名(DN)とIPアドレスに基づいてロギングを指定できます。
第9.1.3項「インスタンス固有の構成エントリの属性」を参照してください。
新しいDSA構成属性:
orclblockdnip属性は、新しい接続を拒否してそのIPアドレスからの既存の接続をOracle Internet Directoryサーバーにクローズさせます。
orclmaxlatencylog属性は、その時間を超えるとOracle Internet Directoryサーバーの操作がアラート・ログに記録される時間(マイクロ秒)を指定します。
第9.1.4項「DSA構成エントリの属性」を参照してください。
サーバーに対するバインドの制限。新しいbindAuthPriv属性では、Oracle Internet Directoryサーバーにバインド可能なユーザーを指定できます。
第33.8項「Oracle Internet Directoryサーバーに対するユーザーのバインドの制限」を参照してください。
計算属性のconnectByインタフェース: orclComputedAttributeのconnectByインタフェースでは、2つ以上の他のエントリの属性を接続して、属性を計算できます。
第17章「計算属性の管理」を参照してください。
DITビュー: 異なるDITまたはソースDITのエントリを表示した仮想ビューまたはネームスペースであるDITビューを作成できます。
第34.4項「DITビューの作成」を参照してください。
LDAPレプリケーション・フィルタ: Oracle Internet Directoryサーバーおよびレプリケーション・サーバーでは、レプリケーション承諾のorclEntryExclusionFilter属性で構成されたLDAPフィルタ文字列に基づいて、特定のエントリのフィルタリングがサポートされます。
第42.1.3.1項「レプリケーション承諾エントリの属性」を参照してください。
トラブルシューティングの新規情報と改訂情報: 付録R「Oracle Internet Directoryに関するトラブルシューティング」を参照してください。
変更ログのパーティション化: Oracle Internet Directoryでは、変更ログ表のパーティション化の概念が導入されています。
第43.1.4項「ディレクトリ・レプリケーションの変更ログのパーティション化」を参照してください。
新しいインスタンス固有の構成エントリ:
orclskipspecialinfilter属性は、Oracle Internet Directoryで検索操作中にフィルタ値に指定された特殊文字の処理をスキップするかどうかを評価します。
第9.1.3項「インスタンス固有の構成エントリの属性」を参照してください。
集合属性のspecificationFilterの範囲の拡張: Oracle Internet Directoryでは、サブツリー仕様のLDAPフィルタを定義できるようになりました。
第16.1.3.3項「特定の除外」を参照してください。
拡張されたパフォーマンス・チューニング:
選択可能な新しいcatalogコマンドのIOTオプションにより、追加索引を作成することなく、指定する属性についてIndex Organized Table(IOT)が作成されます。IOTオプションは、通常のLDAP操作の読取りおよび書込みのパフォーマンスをともに向上させ、記憶域の使用を軽減します。第15.7項「catalogを使用した既存の属性の索引の作成および削除」を参照してください。
Oracle Internet Directoryサーバーでは、attr_uniqueness_log表内の重複する属性値がレポートされます。attr_uniqueness_log表をスキャンすることによって重複する値を特定した後、クリーンアップできます。第19.2項「重複する属性値のクリーンアップ」を参照してください。
診断機能の強化: Oracle Internet Directoryサーバーが対応するOracle Databaseにキープ・アライブ・メッセージを送信するためにOCIPing()をコールするように指定できます。こうしたメッセージの頻度は、新しいorclMaxTcpIdleConnTime属性によって決定されます。
orclMaxTcpIdleConnTime属性に、Oracle Internet DirectoryサーバーとOracle Database間のファイアウォールのタイムアウト値よりも小さい値を設定することによって、データベース接続の切断が避けられます。
第9.1.4項「DSA構成エントリの属性」を参照してください。
検索フィルタでのorclMemberOfのサポート: orclMemberOfは、そのエントリが属するグループを含む複数値属性です。検索フィルタでorclMemberOfを使用できるようになりました。
第14.1.5項「orclMemberOf属性」を参照してください。
LDAPレプリケーションの強化: LDAPレプリケーションのデータ・フローは、適用キューを含む適用フェーズのみから構成されます。トランスポート・キューを含むトランスポート・フェーズは使用されなくなりました。
付録D「レプリケーションの動作」を参照してください。
計算属性のサポート: 新しいorclComputedAttribute属性は、1つ以上のルールに基づいて構成可能な属性およびその値を動的に計算するためのメカニズムを提供します。
第17章「計算属性の管理」を参照してください。
エントリ・キャッシュおよび結果セット・キャッシュの両方が有効: orclecacheenabled属性により、エントリ・キャッシュおよび結果セット・キャッシュの両方を有効および無効にできます。
第9.1.4項「DSA構成エントリの属性」を参照してください。
トランザクション・サポート: Oracle Internet Directory SDKは、RFC 5805に定義されているトランザクションをサポートするようになりました。『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』のLDAPトランザクションの使用に関する説明を参照してください。
共有エントリ・キャッシュ: エントリ・キャッシュが共有メモリー上に置かれるようになったため、同じホスト上の複数のOracle Internet Directoryサーバー・インスタンスでキャッシュを共有できます。ホストがクラスタの一部である場合、1台のホスト上でエントリが変更されたときに、すべてのホストに対してエントリを削除するよう通知されます。すべての検索タイプがキャッシュされるわけではなく、パフォーマンスの向上による効果がある検索タイプのみがキャッシュされます。キャッシュを構成するための属性は、DSA構成エントリ内に置かれるようになりました。詳細は、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章にある、サーバー・エントリ・キャッシュに関する説明を参照してください。
自動カタログ: リリース1(11.1.1.6.0)の新規インストールでは、デフォルトで、新しい自動カタログ機能が有効化されます。この機能を有効にすると、属性を検索したときに、Oracle Internet Directoryで自動的にcatalogコマンドが起動され、属性が索引付けされます。
自動カタログ機能を有効化しないで、カタログ化されていない以前の属性を検索フィルタで使用する場合は、以前のリリースと同様に、その属性をカタログ・エントリに追加する必要があります。catalogのかわりにldapmodifyを使用して、属性に索引付けできるようになりました。ldapmodifyコマンドによりcatalogが起動し、操作が実行されます。
第21.1.3.4項「属性の索引付けについて」を参照してください。
DITマスキング: Oracle Internet Directoryサーバー・インスタンスで公開されるDITコンテンツを制限できるようになりました。これにより、ユーザーが接続しているインスタンスに応じて、異なるユーザーに異なるDIT表示を提示できます。第39項「DITマスキングの管理」を参照してください。
セキュリティ拡張機能
機密の属性のAES暗号化: 機密の属性を暗号化するアルゴリズムがAESになりました。「機密の属性の暗号化アルゴリズム」を参照してください。
より多くのSHA-2バリアントのサポート: ユーザー・パスワードの保護にSHA-2ハッシング・アルゴリズムの複数のバリアントを使用できるようになりました。第31章「パスワード・ベリファイアの管理」を参照してください。
非アクティブな期間に基づくアカウントの有効期限: ユーザーが非アクティブであることに基づいてアカウントを期限切れにすることができます。「パスワード・ポリシーの属性」を参照してください。
IPアドレスに制約されたアクセス制御: クライアントのIPアドレスに対する制約のあるACIを作成できます。付録H「アクセス制御ディレクティブ書式」の「バインドIPフィルタ」を参照してください。
Oracle Directory Services Managerの機能
SSO統合: シングル・サインオン用のOracle Access Manager 11gまたはOracle Access Manager 10gを使用するようにODSMを構成できます。「Oracle Directory Services Managerとのシングル・サインオン統合」を参照してください。
ロックされたアカウントのロック解除: ODSMからロックされたアカウントをリストし、ロック解除することができます。「Oracle Directory Services Managerを使用したロックされたアカウントのリストおよびロック解除」を参照してください。
LDIFファイルからのエントリのインポートおよびLDIFファイルへのエントリのエクスポート: LDIFファイルからエントリをインポートしたり、LDIFファイルにエントリをエクスポートできます。「Oracle Directory Services Managerを使用したLDIFファイルのエントリのインポート」および「Oracle Directory Services Managerを使用したLDIFファイルへのエントリのエクスポート」を参照してください。
サブツリーの削除: サブツリー全体を一度に削除できます。「Oracle Directory Services Managerを使用したエントリまたはサブツリーの削除」を参照してください。
構成可能なセッション・タイムアウト: 非アクティブなセッションがタイムアウトになるまでの時間を制御できます。「Oracle Directory Services Managerセッション・タイムアウトの構成」を参照してください。
LDAPプロトコル機能
+オプションのサポート: このオプションを使用して、検索で操作属性を返すことができます。「ldapsearchを使用した操作属性のリスト」を参照してください。
集合属性のサポート: 複数のエントリに共通の属性を構成できます。第16章「集合属性の管理」を参照してください。
グループ機能
キャッシュされていない動的グループのサポート: 動的グループに類似したキャッシュされていないグループを動的にリストします。「動的グループ」を参照してください。
OrclMemberOf属性のサポート: 一部のタイプのグループのメンバーには、この属性の値が自動的に割り当てられます。「orclMemberOf属性」を参照してください。
アップグレード要件
ディレクトリ・レプリケーション・グループのローリング・アップグレード: 既存のOracle Internet Directory環境にマルチマスター・レプリケーションが構成されている場合は、付録Q「ローリング・アップグレードの実行」の手順に従う必要があります。
パフォーマンスおよびフットプリントの改善
パフォーマンスの改善: LDAP追加、LDAP検索および権限グループ更新におけるパフォーマンスが強化されました。
記憶域フットプリントの削減: 値が複数ある特定の属性が、1行に格納されるようになりました。
oidstats.sqlの自動実行: 管理者が手動でoidstats.sqlを実行する必要がなくなりました。データベース内の更新回数に基づいて、OIDMONが実行します。『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のoidstats.sqlを使用したデータベース統計の更新に関する説明を参照してください。
WebLogic Serverの統合: 11g リリース1(11.1.1)のOracle Internet Directoryは、管理サービスにWebLogic管理ドメインを使用できるシステム・コンポーネントです。
Fusion Middleware Control: Oracle Enterprise Manager Fusion Middleware Controlというグラフィカル・ユーザー・インタフェースを使用してOracle Internet Directoryを管理できます。
Oracle Directory Services Manager: ディレクトリ管理用の以前のグラフィカル・ユーザー・インタフェースであるOracle Directory Managerは、このWebベースの管理ツールに置き換えられました。これを使用してOracle Internet DirectoryおよびOracle Virtual Directoryを管理します。Oracle Enterprise Manager Fusion Middleware Controlから直接起動できます。
LDAPベースのマルチマスター・レプリケーション: マルチマスター・ディレクトリ・レプリケーション・グループ用としてLDAPベースのレプリケーションを使用できるようになりました。この目的でOracle Databaseアドバンスト・レプリケーション・ベースのレプリケーションを使用する必要がなくなりました。ただし、Oracle Single Sign-Onをレプリケートする必要がある場合、Oracle Databaseアドバンスト・レプリケーション・ベースのレプリケーションを使用する必要があります。
改良されたレプリケーション管理機能: Oracle Enterprise Manager Fusion Middleware Controlのレプリケーション・ウィザードを使用してLDAPベースのレプリケーションを設定および管理できます。個別の「レプリケーション」ページでレプリケーション・サーバーを制御する属性を調整できます。
サイズ設定とチューニング・ウィザード: Oracle Enterprise Manager Fusion Middleware Controlでサイズ設定とチューニング・ウィザードを実行し、チューニングとサイズ設定に関する推奨事項を得ることができます。
|
関連項目: 『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章 |
共通監査インフラストラクチャとの統合: Oracle Internet DirectoryがOracle Fusion Middlewareの共通監査インフラストラクチャと統合されました。コマンド行またはOracle Enterprise Manager Fusion Middleware Controlを使用して監査を構成できます。
参照整合性の向上: 参照整合性が完全に実装しなおされました。コマンド行またはOracle Enterprise Manager Fusion Middleware Controlを使用して構成できます。
パスワード・ポリシー制御およびエラー・メッセージの更新: 新しい制御とエラー・メッセージがLDAP APIに追加されました。
|
関連項目:
|
構成パラメータの変更: LDAPサーバーの構成属性の大半が2つのエントリに存在するようになりました。インスタンス固有の属性はインスタンス固有の構成エントリにあり、共有属性はDSA構成エントリにあります。この大半は、Oracle Enterprise Manager Fusion Middleware ControlまたはOracle Directory Services Managerを使用して管理できます。
属性とエントリ別名のサポートの向上: Oracle Internet Directoryで、検索での別名の間接参照にいくつかの異なるオプションがサポートされるようになりました。
検索フィルタの拡張可能一致: Oracle Internet Directoryでは、attr:dn:=valueという形式の検索フィルタをサポートできるようになりました。このフィルタを使用すると、dn属性が検索を目的としたエントリの一部とみなされるようになります。Oracle Internet Directoryは、フィルタに指定した一致規則を使用した拡張可能一致はサポートしていません。
Oracle Internet Directoryでは拡張可能フィルタがサポートされますが、ldapsearchおよびOracle LDAP APIではサポートされません。この種のフィルタを使用するには、JNDIなどの別のAPIを使用する必要があります。
|
関連項目: 『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の「標準的なLDAP APIを使用したアプリケーションの開発」 |
10g(10.1.4.3.0)以上のOracle Single Sign-OnおよびOracle Delegated Administration Servicesのサポート: Oracle Fusion Middleware 11g リリース1(11.1.1)には、Oracle Single Sign-OnもOracle Delegated Administration Servicesも含まれていません。ただし、Oracle Internet Directory 11g リリース1(11.1.1)は10g(10.1.4.3.0)以上のOracle Single Sign-OnおよびOracle Delegated Administration Servicesと互換性があります。
手順情報へのリンク: このドキュメントには、重要なタスクへのリンクの表が含まれています。
Identity Management Grid Control Plug-in: この新しいインタフェースでは、Oracle Enterprise Manager 10g Grid Controlコンソールの機能を使用してOracle Internet Directory、Oracle Single Sign-On、Oracle Delegated Administration ServicesおよびOracle Directory Integration Platformをモニターおよび管理できます。
改良されたバルク・ツール: 次のバルク・ツールが、C言語実行可能ファイルに変換されました。
bulkload
bulkmodify
bulkdelete
catalog
ldifwrite
このマニュアルと『Oracle Fusion Middleware Oracle Identity Managementリファレンス』の例や説明は、これらのツールの新機能を反映するために更新されました。
|
関連項目:
|
アプリケーション固有のスキーマ・コンテナ: Oracle Internet Directoryにスキーマを追加する製品は、cn=subSchemaSubentryの下に独自のsubSchemaSubentryを持つことができます。
属性別名のサポート: 属性名にわかりやすい別名を作成できます。
動的グループのキャッシング: 動的グループが追加されると、その動的グループのメンバーが計算され、動的グループを後で変更したときに、メンバー・リストの一貫性が維持されます。
ラージ・グループ・エントリ検索の最適化: エントリ・キャッシュを無効にせず、エントリ・キャッシュのサイズを増やすことで、検索を最適化するテクニックが加わりました。
|
関連項目: 『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章 |
参照整合性: 参照整合性を有効にした場合、ディレクトリ内のエントリを更新すると、そのエントリを参照する他のエントリもサーバーによって更新されます。
サーバー管理を容易にするための新しいモニタリング機能: 追加の状況統計、ユーザー統計およびセキュリティ・イベント追跡を有効にできます。
新しいパスワード・ポリシー機能: 任意のサブツリー、または単一エントリにもパスワード・ポリシーを適用できます。選択対象のパスワード・ポリシー属性も増えました。
サーバー・チェーン: この機能を使用すると、サード・パーティのLDAPディレクトリにあるエントリを、ディレクトリ・ツリーの一部にマップし、同期やデータの移行なしに、Oracle Internet Directoryを介してアクセスできます。
LDAP検索結果のページングおよびソート: ldapsearchコマンドに、ソート用の-Tオプションとページング用の-jオプションが使用できるようになりました。
|
関連項目:
|
新しいレプリケーション機能: Oracle Internet Directoryレプリケーションは、次の機能により強化されました。
双方向LDAPベース・レプリケーション: この機能により、ファンアウト・レプリケーション・グループをデプロイできます。このグループでは、レプリケーションが双方向に流れ、どのノードで更新が行われてもグループ全体にレプリケートされます。
レプリケーション・フェイルオーバー: あるサプライヤから別のサプライヤへのLDAPレプリカのフェイルオーバーが、管理者の操作によりサポートされます。
Oracle Internet Directory比較調整ツール: 機能が改善された新しいoidcmprecコマンドが、従来のoidreconcileツールにかわりました。
|
関連項目:
|
Java Serverプラグイン: Oracle Internet Directory Plug-in Frameworkでは、JavaとPL/SQLで書かれたプラグインをサポートするようになりました。
|
注意: 次の章は、『Oracle Fusion Middleware高可用性ガイド』に移動しました。
次の付録は、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』の章として書きなおされています。
|
他のコンポーネントとの改善された統合機能: 新機能では、Oracle Collaboration Suiteなどのコンポーネントとの統合性が向上しています。これらの機能には、サービスツーサービス認証、サービス・レジストリ、および動的パラメータを使用したベリファイアの生成があります。
証明書の一致規則のサポート: 証明書を使用した外部認証では、完全一致と証明書ハッシュのどちらかの形式を選択できるようになりました。完全一致では、ユーザー認証を行うためにクライアント証明書のサブジェクトDNが使用されます。証明書ハッシュでは、クライアント証明書がハッシュされ、ディレクトリに格納されている証明書ハッシュと比較されます。
レプリケーション・デプロイメントの容易性: レプリケーションのインストール、構成および管理が非常に簡単になりました。
クラスタ・デプロイメントの容易性: クラスタ構成のインストール、構成および管理が非常に簡単になりました。
Oracle Internet Directoryスーパーユーザーに対するアクセス制御の適用: スーパーユーザーも他のユーザーと同様にアクセス制御ポリシーの適用対象になりました。新しいACLキーワードを使用すると、権限グループを使用してスーパーユーザーのアクセスを制限できます。
Oracle Internet Directoryサーバー診断ツール: OID診断ツールにより、Oracle Internet Directoryで報告される優先順序決定の問題に役立つ診断情報を収集できます。
|
関連項目: |
