この章では、LDAPディレクトリ・スキーマの基本的な概念について説明し、Oracle Identity Managementのスキーマ要素の詳細なリストを示します。
この章の内容は次のとおりです。
ディレクトリ・スキーマは、他のルールの中でも特に、ディレクトリが保持するオブジェクトのタイプと、各オブジェクト・タイプの必須属性およびオプション属性を規定します。Lightweight Directory Access Protocol(LDAP)バージョン3は、ネットワークで検出される一般オブジェクト(国、地域、組織、人物、グループ、デバイスなど)に対して、X.500規格に基づいたスキーマを定義します。LDAPバージョン3では、スキーマはディレクトリから使用できます。つまり、スキーマはディレクトリのエントリとして、その情報はエントリの属性として表現されます。
この項の内容は次のとおりです。
LDAPディレクトリの用語におけるオブジェクト・クラスとは、ディレクトリ・エントリまたはレコードで表されるオブジェクトのタイプを意味します。階層ツリー構造で、当該オブジェクトの下位オブジェクトが存在する可能性を示すオブジェクト・クラスtop
のように、他のオブジェクトに対するオブジェクトの関係を定義するオブジェクト・クラスも存在します。一部のLDAPオブジェクト・クラスは、結合してディレクトリ内で1件のエントリを構成できます。たとえば、ユーザーのエントリでは、top
、person
、organizationalPerson
、inetOrgPerson
およびorclUserV2
のオブジェクト・クラスを使用します。
必須属性と補足属性
オブジェクト・クラスの定義には、必須属性(MUST)および補足属性(MAY)のリストが含まれます。必須属性とは、オブジェクト・クラスを使用するエントリに存在する必要がある属性のことです。補足属性とは、オブジェクト・クラスを使用するエントリに存在してもかまわない属性のことです。
オブジェクト・クラス・タイプ
X.500 1993仕様では、次の4つのカテゴリのいずれかに割り当てられるオブジェクト・クラスが必要です。
構造型: ディレクトリにインスタンスを保持できるオブジェクト・クラス。構造型クラスは、ディレクトリのオブジェクトまたはエントリを作成するために使用されます。
抽象型: 新しい構造型クラスを導出するためにのみ使用されるテンプレート・オブジェクト・クラス。抽象型クラスは、ディレクトリ内でインスタンス化できません。
補助型: 構造型クラスまたは抽象型クラスの定義の最後に追加できる属性のリスト。補助型クラスは、ディレクトリ内でインスタンス化できません。
88クラス: X.500 1988仕様では、オブジェクト・クラスをカテゴリに割り当てる必要はありませんでした。X.500 1993規格より前に定義されたクラスは、デフォルトで88クラスになります。新しい88クラスを定義しないでください。
オブジェクト・クラスの継承
継承は導出とも呼ばれますが、既存のオブジェクト・クラスから新規のオブジェクト・クラスを構築する機能です。新規のオブジェクトは、親オブジェクトのサブクラスとして定義されます。サブクラスは、親になる他のクラスから構造やコンテンツ・ルールなどを継承するクラスです。親オブジェクトは、新規オブジェクトのスーパークラスになります。スーパークラスは、その情報を1つ以上の他のクラスが継承しているクラスです。
ディレクトリ・データは、属性と値のペアとして表現されます。ディレクトリ内の情報は、記述的な属性と関連付けられています。たとえば、cn
(commonName
)属性を使用してニックネームを格納します。William(Bill)Smithという名前の人物は、ディレクトリ内では次のように表現されます。
cn: Bill Smith
属性名に関する制限
属性名の長さは、127文字以下にしてください。属性の管理の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
Oracle Internet Directoryでは、属性名で使用できる文字に制限はありません。ただし、Oracle Identity Managementの他のコンポーネントでは、特定の属性に使用できる文字が制限されています。
Oracle Delegated Administration ServicesおよびOracle Directory Integration Platformでは、空白および& ' % ? \ / + = ( ) * ^ , ; | ' ~の各文字をUserID
で使用することはできません。
Oracle Application Server Single Sign-Onでは、パスワードに& { } < > " ' ( )の各文字を使用することはできません。
属性構文
属性構文は、属性の基本的な構成単位です。各属性には、属性値のデータ書式を定義する構文が割り当てられています。たとえば、属性構文は、属性が格納するのは整数データか、文字列データかそれともバイナリ・データかを決定します。また、属性値に対して実行できる比較演算子のタイプを制御する一致規則を定義します。
Oracle Internet Directoryは、RFC 2252の指定に従って属性構文を認識するため、RFC 2252のドキュメントに記載されている属性構文を属性と関連付けることができます。Oracle Internet Directoryでは、次のタイプの属性構文が実行されます。
DN
OID(オブジェクト識別子)
Telephone Number
次の表では、Oracle Internet Directoryで最も一般的に使用される属性構文を説明します。
表6-1 Oracle Internet Directoryで一般的に使用される属性構文
構文とオブジェクトID | 説明 |
---|---|
ACI Item 1.3.6.1.4.1.1466.115.121.1.1 |
この属性の値は、アクセス制御識別子項目です。 |
Binary 1.3.6.1.4.1.1466.115.121.1.5 |
この属性の値は、バイナリです。 |
Boolean 1.3.6.1.4.1.1466.115.121.1.7 |
この属性は、2つの値true(1)またはfalse(0)のいずれか一方のみを保持できます。 |
ディレクトリ文字列 1.3.6.1.4.1.1466.115.121.1.15 |
この属性の値は、大/小文字を区別しない文字列です。 |
DN 1.3.6.1.4.1.1466.115.121.1.12 |
この属性の値は、DN(識別名)です。 |
Generalized Time 1.3.6.1.4.1.1466.115.121.1.24 |
この属性の値は、印刷可能文字列としてエンコードされます。タイムゾーンを指定する必要があります(GMTなど)。 |
IA5String 1.3.6.1.4.1.1466.115.121.1.26 |
International Reference Alphabet No.5の文字列。この属性の値は、大/小文字を区別します。 |
整数 1.3.6.1.4.1.1466.115.121.1.27 |
この属性の有効値は、数値です。 |
JPEG 1.3.6.1.4.1.1466.115.121.1.28 |
この属性の有効値は、JPEGファイルです。 |
名前 1.3.6.1.4.1.1466.115.121.1.34 |
この属性の有効値は、名前または任意のUIDです。 |
OID 1.3.6.1.4.1.1466.115.121.1.38 |
一意のオブジェクト識別子です。 |
印刷可能文字列 1.3.6.1.4.1.1466.115.121.1.44 |
拡張文字を許可しない文字列です。この属性の値は、大/小文字を区別しません。 |
Telephone Number 1.3.6.1.4.1.1466.115.121.1.50 |
この属性の値は、電話番号の形式をとります。 |
属性別名
リリース1 (11.1.1)では属性名に別名を作成できるようになりました。たとえば、属性sn
に対してわかりやすい別名surname
(姓)を作成する、といったことができます。属性名に対して別名が作成されていると、ユーザーはLDAP操作で属性名のかわりに別名を指定できます。
属性に対する別名は、属性のLDAPスキーマ定義の中で定義します。ディレクトリ・スキーマ操作属性attributeTypes
は、属性名リストに別名を含めることができるように拡張されています。以前のリリースでは、属性名リストの形式は次のとおりでした。
attributeTypes=( ObjectIdentifier NAME 'AttributeName' ... )
リリース1 (11.1.1)では、次のような指定も可能になります。
attributeTypes=( ObjectIdentifier NAME ( 'AttributeName' 'Alias1' 'Alias2' ...) ... )
これは、RFC 2251およびRFC 2252で指定されているLDAPプロトコルと同じ形式です。属性名リストでは、最初の項目が属性の名前と認識され、リストの残りの項目は属性別名と認識されます。たとえば、属性sn
に対して別名surname
を指定するには、sn
に対する次のようなスキーマ定義を変更します。
attributeTypes=( 2.5.4.4 NAME 'sn' SUP name )
この定義を、次のように変更します。
attributeTypes=( 2.5.4.4 NAME ( 'sn' 'surname' ) SUP name )
関連項目: 属性別名ルール、コマンドライン・ツールによる属性別名の管理、および属性別名の使用の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のディレクトリにおける属性別名に関する項を参照してください。 |
一致規則
一致規則は、同じ属性構文に準拠している2つの属性値を照合するためのルールです。Oracle Internet Directoryがスキーマで認識する一致規則定義は、次のとおりです。
accessDirectiveMatch
IntegerMatch
bitStringMatch
numericStringMatch
caseExactMatch
objectIdentifierFirstComponentMatch
caseExactIA5Match
ObjectIdentifierMatch
caseIgnoreIA5Match
OctetStringMatch
caseIgnoreListMatch
presentationAddressMatch
caseIgnoreMatch
protocolInformationMatch
caseIgnoreOrderingMatch
telephoneNumberMatch
distinguishedNameMatch
uniqueMemberMatch
generalizedTimeMatch
generalizedTimeOrderingMatch
orclpkimatchingrule
前のリストの中で、Oracle Internet Directoryが属性値を比較するときに実際に適用する一致規則は、次のとおりです。
distinguishedNameMatch
caseExactMatch
caseIgnoreMatch
numericStringMatch
IntegerMatch
telephoneNumberMatch
orclpkimatchingrule
属性値のサイズ設定
属性構文は、属性値に対して特定のサイズ制限を定義しません。しかし、属性を定義するときに属性値のサイズを指定できます。Oracle Internet Directoryの属性にはサイズ制限を定義できるものもありますが、属性の長さの特性は適用されません。
たとえば、次の構文は属性foo
のサイズを64に制限しますが、このサイズ制限はOracle Internet Directoryでは適用されません。
(object_identifier_of_attribute NAME 'foo' EQUALITY caseIgnoreMatch SYNTAX 'object_identifier_of_syntax{64}' )
単一値と複数値の属性
デフォルトでは、ほとんどの属性は複数値です。つまり、エントリは複数の値を持つ同じ属性を保持できます。単一値属性の場合、1つのエントリに指定できる属性のインスタンスは1つのみです。たとえば、属性orclObjectGUID
が保持できる値は1つのみです。
属性の使用方法
属性の使用方法は、属性をディレクトリ内でどのように使用するかを定義します。属性の使用方法タイプは、次のとおりです。
ユーザー・アプリケーション属性: 明示的に属性に定義されていない場合の、デフォルトの属性の使用方法
システム操作属性: ディレクトリ自体の操作を制御する属性
関連項目: 『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のシステム操作属性の管理に関する項 |
ユーザー変更不可
「ユーザー変更不可」と指定されている属性は、ディレクトリ・サーバーによってのみ変更できます。これらの属性は、他のユーザーまたはプロセスによって変更することはできません。
LDAPバージョン3のディレクトリのように、Oracle Internet Directoryでは、コントロールを使用して標準LDAP操作を拡張します。これらのコントロールは、既存の操作とともに保持される追加情報で、操作の動作を変更します。クライアント・アプリケーションが標準LDAPコマンドとともにコントロールを渡すと、コマンドの操作の動作はそれに応じて変更されます。
Oracle Internet Directory 11gリリース1 (11.1.1)でサポートされるコントロールは、表6-2「Oracle Internet Directoryでサポートされるリクエスト・コントロール」および表6-3「Oracle Internet Directoryでサポートされるレスポンス・コントロール」のリストに記載されています。
表6-2 Oracle Internet Directoryでサポートされるリクエスト・コントロール
オブジェクト識別子 | 名前 | 説明 |
---|---|---|
2.16.840.1.113730.3.4.18 |
プロキシ認可 |
LDAPクライアント・アプリケーションは、その独自のアイデンティティでOracle Internet Directoryサーバーにバインドし、他のユーザーや複数のユーザーのかわりに操作を実行できます。 このコントロールによって、特に複数のユーザーのかわりに実行されるプロキシ操作でパフォーマンスが向上します。LDAP操作では、各ユーザーのリバインドは不要です。 たとえば、次の使用例について考えてみます。
プロキシ認可コントロールの考慮事項は、次のとおりです。
|
1.3.6.1.4.1.42.2.27.8.5.1 |
パスワード・ポリシー |
LDAPクライアントは、ユーザーの現在のパスワード・ポリシー状態についてOracle Internet Directoryサーバーからの情報をリクエストできます。パスワード・ポリシーが適用可能な場合、クライアントは、次の操作でこのコントロールを送信できます。
パスワード・ポリシー・リクエスト・コントロールには パスワード・ポリシーは、通常、LDAP簡易認証メソッドまたはパスワード・ベースのSimple Authentication and Security Layer (SASL)認証の単一値属性 詳細は、次の場所にある「Password Policy for LDAP Directories」を参照してください。
|
2.16.840.1.113730.3.4.3 |
永続検索 |
LDAPクライアントは、Oracle Internet Directoryサーバーに永続検索リクエストを送信できます。 永続検索操作は、初期検索の結果がサーバーからクライアントに返された後も継続する拡張検索です。初期検索の終了後も、サーバーに対する接続は、クライアントが操作をバインド解除するか中止するまで維持されます。クライアントは、検索範囲内のエントリの変更を追跡し、エントリが変更されている場合、エントリ変更通知レスポンス・コントロールを受信できます。 このコントロールの定義は次のとおりです。 PersistentSearch ::= SEQUENCE { controlType 2.16.840.1.113730.3.4.3 changeTypes INTEGER, changesOnly BOOLEAN, returnECs BOOLEAN } これらのフィールドの説明は、次を参照してください。 |
2.16.840.1.113894.1.8.39 |
計算属性値の一意性 |
複数の属性値のエントリベースの組合せで、計算属性値の一意性を許可します。通常、属性一意性は単一属性にのみ構成されます。属性値の組合せで一意性を必要とするアプリケーションでは、このコントロールを送信すると、Oracle Internet Directoryサーバーにより、 計算値を含むエントリがすでに存在する場合は、Oracle Internet Directoryサーバーによって、LDAPエラー・コード「LDAP_ALREADY_EXISTS = 0x44」が返されます。 たとえば、マルチテナント環境では、ユーザーのUID属性は特定のテナントで一意である必要がありますが、ディレクトリ全体では必ずしも一意である必要はありません。アプリケーションでは、計算属性TenantID_UIDを持つLDAPエントリが作成されます。ここで、TenantIDはテナントの識別子、UIDは属性になります。LDAPエントリが作成されたアプリケーションでは、このコントロールが送信されます。計算属性値を含むエントリがすでに存在する場合は、Oracle Internet Directoryサーバーによって、LDAP_ALREADY_EXISTSエラー・コードが返されます。 |
2.16.840.1.113730.3.4.9 |
OID_SEARCH_VLV_REQ_CONTROL |
指定のLDAP検索で、大規模な検索結果セットの連続したサブセットを返すことをクライアントがサーバーに求めることを許可します。このコントロールを使用すると、検索結果を一度に1ページずつ表示できるため、クライアントでのより迅速な検索結果の取得が可能になると同時に、一度に多数の検索結果の格納が必要になる事態を防げます。 サーバーによって、OID_SEARCH_VLV_RES_CONTROL 2.16.840.1.113730.3.4.10が返されます。 OID_SEARCH_VLV_REQ_CONTROLは、SORTコントロール(ldapsearchの-T引数)との組合せでのみ使用できます。SORTコントロールを含めないと、リクエストによりLDAPエラー・コード53「VLVリクエスト制御を含む検索操作でSORTリクエスト制御が欠落しています。」が返されます。 SORTコントロールでは、サーバーで有効な任意のソート指定を含められます。SORTコントロールをOID_SEARCH_VLV_REQ_CONTROLと一緒に使用すると、サーバーはソートした検索結果の完全セットを返すかわりに、ターゲット・エントリを検索結果の参照ポイントとして使用して、コントロールで指定されているエントリの連続したサブセットを返します。 詳細は、「LDAP Extensions for Scrolling View Browsing of Search Results」( |
1.2.840.113556.1.4.319 |
OID_SEARCH_PAGING_CONTROL |
『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の「LDAPプロトコルの拡張」を参照してください。 |
1.2.840.113556.1.4.473 |
OID_SEARCH_SORTING_REQUEST_CONTROL |
『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の「LDAPプロトコルの拡張」を参照してください。 |
2.16.840.1.113730.3.4.2 |
GSL_MANAGE_DSA_CONTROL |
Oracle Internet Directoryの参照、動的グループおよび別名オブジェクトを管理するために使用します。詳細は、 |
2.16.840.1.113894.1.8.1 |
OID_RESET_PROXYCONTROL_IDENTITY |
確立されたLDAP接続でアイデンティティのプロキシ・スイッチを実行するために使用されます。たとえば、アプリケーションAがディレクトリ・サーバーに接続していて、アプリケーションBにスイッチする場合を考えます。アプリケーションBの資格証明を提供することで、リバインドは簡単に実行できます。しかし、資格証明が使用できないときでも、アプリケーションによるアイデンティティの切り替えを可能にするプロキシのメカニズムを使用できる場合があります。このコントロールを使用すると、Oracle Internet DirectoryでアプリケーションAがアプリケーションBとしてプロキシする権限を持っている場合に、アプリケーションAがアプリケーションBにスイッチすることができます。 |
2.16.840.1.113894.1.8.2 |
OID_APPLYUSEPASSWORD_POLICY |
ユーザーの検証機能をアプリケーションに送信する前にOracle Internet Directoryによるアカウントのロックアウトを必要とするアプリケーションによって送信されます。Oracle Internet Directoryによりベリファイア検索リクエスト内にこのコントロールが検出され、ユーザー・アカウントがロックされている場合、Oracle Internet Directoryはアプリケーションにベリファイアを送信しません。適切なパスワード・ポリシー・エラーが送信されます。 |
2.16.840.1.113894.1.8.3 |
CONNECT_BY |
『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の「LDAPプロトコルの拡張」を参照してください。 |
2.16.840.1.113894.1.8.4 |
OID_CLIENT_IP_ADDRESS |
Oracle Internet DirectoryによってIPロックアウトが実施される場合に、エンド・ユーザーのIPアドレスを送信するクライアントを対象としています。 |
2.16.840.1.113894.1.8.5 |
GSL_REQDATTR_CONTROL |
動的グループとともに使用します。ディレクトリ・サーバーに、メンバーシップ・リストではなくメンバーの特定の属性を読み取るように指示します。 |
2.16.840.1.113894.1.8.6 |
PasswordStatusRequestControl |
このコントロールがLDAPバインド/比較操作リクエストの一部としてパッケージ化されると、サーバーはパスワード・ポリシー・レスポンス・コントロールを生成します。実際のレスポンス・コントロールは、状況によって異なります。状況とは、差し迫ったパスワードの有効期限、残りの猶予期間ログイン数、パスワードの期限切れ、アカウントがロックされているなどです。 |
2.16.840.1.113894.1.8.14 |
OID_DYNAMIC_VERIFIER_REQUEST_CONTROL |
サーバーで動的パスワード検証機能を作成させるときに、クライアントが送信するリクエスト・コントロール。サーバーは、リクエスト・コントロールのパラメータを使用して検証機能を構成します。 |
2.16.840.1.113894.1.8.16 |
AccountStatusRequestControl |
このコントロールが認証プロセスに関連するLDAP検索操作とともにパッケージ化されると、Oracle Internet Directoryはパスワード・ポリシー・レスポンス・コントロールを返し、アカウントのロックアウト、パスワード有効期限切れなどのアカウントの状態に関する情報をクライアント・アプリケーションに通知します。アプリケーションは、結果を解析し、施行できます。 |
2.16.840.1.113894.1.8.23 |
GSL_CERTIFICATE_CONTROL |
証明書検索コントロール。ユーザー証明書の検索方法を指定するために、クライアントが送信するリクエスト・コントロール。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のディレクトリでのユーザー証明書の検索に関する項を参照してください。 |
2.16.840.1.113894.1.8.29 |
EffectivePolicyControl |
このコントロールは、LDAPベース検索の一部としてパッケージ化されます(ベースDNは、テストされているユーザー・エントリのDNです)。この時点で、ディレクトリにエントリが存在している必要はありません。検索を実行しているエンティティがパスワード・ポリシー・エントリを表示するアクセス権を持つ場合、このコントロールを渡すと、適用されるパスワード・ポリシーが記述されたLDAPエントリが返されます。オプションのtestPasswordパラメータとして望ましいパスワードを指定すると、ディレクトリ・サーバーはレスポンス・コントロール2.16.840.1.113894.1.8.32を返します。 |
2.16.840.1.113894.1.8.36 |
DelSubtreeControl |
このコントロールが削除操作とともに送信されると、指定されたDNの下位のサブツリー全体が削除されます。必要な権限を持つユーザーのすべてがこの操作を実行できます。 |
1.2.840.113556.1.4.805 |
DelSubtreeControl |
このコントロールが削除操作とともに送信されると、指定されたDNの下位のサブツリー全体が削除されます。必要な権限を持つユーザーのすべてがこの操作を実行できます。 |
1.3.6.1.1.21.2 |
トランザクション指定コントロール |
これは、トランザクションIDをコントロールの値とし、これを利用して操作とトランザクションの関連付けを指定するLDAPコントロールです。この重大性は |
表6-3 Oracle Internet Directoryでサポートされるレスポンス・コントロール
オブジェクト識別子 | 名前 | 説明 |
---|---|---|
1.3.6.1.4.1.42.2.27.8.5.1 |
パスワード・ポリシー |
Oracle Internet Directoryサーバーがパスワード・ポリシー・リクエスト・コントロールに応答してLDAPクライアントに返すレスポンス・コントロール。レスポンス制御の値は次のようにエンコードされます: PasswordPolicyResponseValue ::= SEQUENCE { warning [0] CHOICE { timeBeforeExpiration [0] INTEGER (0 .. maxInt), graceAuthNsRemaining [1] INTEGER (0 .. maxInt) } OPTIONAL, error [1] ENUMERATED { passwordExpired (0), accountLocked (1), changeAfterReset (2), passwordModNotAllowed (3), mustSupplyOldPassword (4), insufficientPasswordQuality (5), passwordTooShort (6), passwordTooYoung (7), passwordInHistory (8) } OPTIONAL } サーバーは、パスワード・ポリシー・レスポンス・コントロールでエラーまたは警告のいずれかを送信します(両方ではありません)。エラー・コードの説明は、次を参照してください。
コントロールの重大性は、レスポンスでは返されません。パスワード・ポリシーの違反がない場合、サーバーは、レスポンスを送信しません。 |
2.16.840.1.113730.3.4.7 |
エントリ変更通知 |
このコントロールの定義は次のとおりです。 EntryChangeNotification ::= SEQUENCE { controlType 2.16.840.1.113730.3.4.7 changeType ENUMERATED { add (1), delete (2), modify (4), modDN (8) }, previousDN LDAPDN OPTIONAL, -- modifyDN ops. only changeNumber INTEGER OPTIONAL -- if supported } これらのフィールドの説明は、次を参照してください。 |
2.16.840.1.113730.3.4.10 |
OID_SEARCH_VLV_RES_CONTROL |
サーバーは、OID_SEARCH_VLV_REQ_CONTROL 2.16.840.1.113730.3.4.9に応答してこのコントロールを返します。 |
2.16.840.1.113894.1.8.7 |
OID_PASSWORD_EXPWARNING_CONTROL |
パスワード・ポリシー・コントロール。pwdExpireWarning属性が有効に設定され、クライアントがリクエスト・コントロールを送信したときに、サーバーが送信するレスポンス・コントロール。レスポンス・コントロール値には、パスワードの有効期限(秒単位)が含まれます。 |
2.16.840.1.113894.1.8.8 |
OID_PASSWORD_GRACELOGIN_CONTROL |
パスワード・ポリシー・コントロール。猶予期間ログインが構成され、クライアントがリクエスト・コントロールを送信したときに、サーバーが送信するレスポンス・コントロール。レスポンス・コントロール値には、残りの猶予期間ログイン数が含まれます。 |
2.16.840.1.113894.1.8.20 |
OID_PWDEXPIRED_CONTROL |
パスワード・ポリシー・コントロール。パスワードが期限切れになり、猶予期間ログインの残数がなく、クライアントからリクエスト・コントロールが送信された場合に、サーバーが送信するレスポンス・コントロール。 |
2.16.840.1.113894.1.8.9 |
OID_PASSWORD_MUSTCHANGE_CONTROL |
パスワード・ポリシー・コントロール。パスワードの強制リセットが有効に設定され、クライアントがリクエスト・コントロールを送信したときに、サーバーが送信するレスポンス・コントロール。クライアントは、このコントロールを受信したらすぐに、ユーザーに強制的にパスワードを変更させる必要があります。 |
2.16.840.1.113894.1.8.15 |
OID_DYNAMIC_VERIFIER_RESPONSE_CONTROL |
エラーの発生時に、サーバーがクライアントに送信するレスポンス・コントロール。レスポンス・コントロールには、エラー・コードが含まれます。 |
2.16.840.1.113894.1.8.32 |
PasswordValidationControl |
オプションのtestPasswordパラメータとして望ましいパスワードが指定すると、サーバーはコントロールl 2.16.840.1.113894.1.8.29に対してこのレスポンスを返します。クライアント・アプリケーションは、validationResultを解析し、サーバーがこのパスワードを受け入れ可能(「Success」)か、またはパスワードが拒否された理由を判断できます。userpasswordに対するLDAP変更操作の失敗が値として返されるときに、同じタイプのエラーメッセージが生成されます。 |
2.16.840.1.113894.1.8.37 |
OID_SEARCH_DYNGRP_STATIC_UMEM |
このコントロールとともにフィルタ |
この項では、Oracle Identity Managementのスキーマ要素をカテゴリ別に示します。各カテゴリには、適用可能なLDAPオブジェクト・クラスおよび属性が示されていますが、それぞれその属性またはオブジェクト・クラスの詳細情報にリンクされています。スキーマ要素は、次のカテゴリに分類されます。
第6.2.6項「Oracle Directory Integration and Provisioningのスキーマ要素」
第6.2.8項「Oracle Application Server Certificate AuthorityおよびPKIのスキーマ要素」
システム操作のスキーマ要素は、ディレクトリ・サーバーで使用されます。システム操作オブジェクト・クラスは、ディレクトリ・サーバーの操作に関係するエントリを作成するために、ディレクトリ・サーバーで使用されます。特定のシステム操作属性は、エントリのオブジェクト・クラスに定義されているかどうかに関係なく、ディレクトリ内のすべてのエントリに対して使用できます。この項の内容は次のとおりです。
この項では、ディレクトリ・スキーマの操作属性およびオブジェクト・クラスを示します。
属性
attributeTypes、contentRules、ldapSyntaxes、matchingRules、objectClasses
オブジェクト・クラス
この項では、パスワード・ポリシーの操作属性を示します。
属性
orclPwdAccountUnlock、orclPwdIPAccountLockedTime、orclPwdIPFailureTime、orclRevPwd、orclUnsyncRevPwd、pwdAccountLockedTime、pwdChangedTime、pwdExpirationWarned、pwdFailureTime、pwdGraceUseTime、pwdHistory、pwdReset
この項では、Oracle Internet Directoryの構成に関係するスキーマ要素を示します。内容は次のとおりです。
この項では、Oracle Internet Directoryサーバーの構成に関係する属性およびオブジェクト・クラスを示します。
属性
namingContexts、orclAnonymousBindsFlag、orclCatalogEntryDN、orclCompatibleVersion、orclCryptoScheme、orclDBType、orclDebugFlag、orclDebugForceFlush、orclDebugOp、orclDIPRepository、orclDirectoryVersion、orclDITRoot、orclEcacheEnabled、orclEcacheMaxEntries、orclEcacheMaxSize、orclEnableGroupCache、orclEventLevel、orclGUPassword、orclHostname、orclIndexedAttribute、orclIpAddress、orclLDAPConnTimeout、orclMatchDnEnabled、orclMaxCC、orclNonSSLPort、orclNormDN、orclNwrwTimeout、orclPKIMatchingRule、orclPrName、orclPrPassword、orclReplAgreements、orclReplicaID、orclSASLAuthenticationMode、orclSASLCipherChoice、orclSASLMechanism、orclsDumpFlag、orclServerMode、orclServerProcs、orclSizeLimit、orclSkewedAttribute、orclSkipRefInSQL、orclSSLAuthentication、orclSSLCipherSuite、orclSSLEnable、orclSSLPort、orclSSLVersion、orclSSLWalletURL、orclStatsDN、orclStatsFlag、orclStatsLevel、orclStatsOp、orclStatsPeriodicity、orclSUAccountLocked、orclSuffix、orclSULoginFailureCount、orclSUName、orclSUPassword、orclTimeLimit、orclTLimitMode、orclUpgradeInProgress
オブジェクト・クラス
orclDSAConfig、orclIndexOC、orclLDAPInstance、orclLDAPSubConfig、subentry、subregistry
この項では、Oracleコンテキストの構成に関係する属性およびオブジェクト・クラスを示します。
属性
orclCommonAutoRegEnabled、orclCommonContextMap、orclCommonDefaultUserCreateBase、orclCommonGroupCreateBase、orclCommonNamingAttribute、orclCommonNicknameAttribute、orclCommonSASLRealm、orclCommonUserSearchBase、orclDefaultSubscriber、orclProductVersion、orclSubscriberNickNameAttribute、orclSubscriberSearchBase、orclUserObjectClasses、orclVersion
オブジェクト・クラス
orclCommonAttributes、orclCommonAttributesV2、orclRootContext、orclSchemaVersion
この項では、Oracleネットワーク・サービスの構成に関係する属性とオブジェクト・クラスを紹介します。
属性
labeledURI、orclActiveEndDate、orclActiveStartdate、orclAssocDB、orclAssocIasInstance、orclEnabled、orclFlexAttribute1、orclIsEnabled、orclMasterNode、orclNetDescName、orclNetDescString、orclOracleHome、orclServiceInstanceLocation、orclServiceMember、orclServiceSubscriptionLocation、orclServiceSubType、orclServiceType、orclSID、orclSuiteType、orclSystemName、orclVersion
オブジェクト・クラス
orclService、orclServiceInstance、orclServiceInstanceReference、orclServiceRecipient、orclServiceSuite、orclServiceSubscriptionDetail
この項では、ガベージ・コレクションの構成に関係する属性およびオブジェクト・クラスを示します。
属性
orclPurgeBase、orclPurgeDebug、orclPurgeEnable、orclPurgeFileLoc、orclPurgeFileName、orclPurgeFilter、orclPurgeInterval、orclPurgeNow、orclPurgePackage、orclPurgeStart、orclPurgeTargetAge、orclPurgeTranSize
オブジェクト・クラス
この項では、属性一意性の構成に関係する属性およびオブジェクト・クラスを示します。
属性
orclUniqueAttrName、orclUniqueEnable、orclUniqueObjectClass、orclUniqueScope、orclUniqueSubtree
オブジェクト・クラス
この項では、監査ログおよびエラー・ログに関係する属性およびオブジェクト・クラスを示します。
属性
orclAuditAttribute、orclAuditMessage、orclDBConnCreationFailed、orclDNSUnavailable、orclEventTime、orclEventType、orclFDIncreaseError、orclMaxFDLimitReached、orclMaxProcessLimitReached、orclMemAllocError、orclNWCongested、orclNwUnavailable、orclOpResult、orclORA28error、orclORA3113error、orclORA3114error、orclSequence、orclThreadSpawnFailed、orclUserDN
オブジェクト・クラス
この項では、Oracle Internet Directoryサーバー管理機能の統計のスキーマ要素を示します。
属性
orclACLResultsLatency、orclActiveConn、orclActiveThreads、orclAttrACLEvalLatency、orclAuditMessage、orclBERgenLatency、orclDBLatency、orclDIMEonlyLatency、orclEcacheHitRatio、orclEcacheNumEntries、orclEcacheSize、orclEntryACLEvalLatency、orclEventTime、orclEventType、orclFilterACLEvalLatency、orclFrontLatency、orclGenObjLatency、orclGetNearACLLatency、orclHostname、orclIdleConn、orclIdleThreads、orclInitialServerMemSize、orclIpAddress、orclLDAPInstanceID、orclLDAPProcessID、orclOpAbandoned、orclOpCompleted、orclOpenConn、orclOpFailed、orclOpInitiated、orclOpLatency、orclOpPending、orclOpResult、orclOpSucceeded、orclOpTimedOut、orclQueueDepth、orclQueueLatency、orclReadWaitThreads、orclSequence、orclServerAvgMemGrowth、orclSMSpec、orclSQLexeFetchLatency、orclSQLGenReusedParsed、orclTcpConnToClose、orclTcpConnToShutDown、orclTotFreePhyMem、orclTraceDimesionLevel、orclTraceFileLocation、orclTraceFileSize、orclTraceLevel、orclTraceMode、orclUserDN、orclWriteWaitThreads
オブジェクト・クラス
orclGeneralStats、orclHealthStats、orclPerfStats、orclSecRefreshEvents、orclSM、orclTraceConfig、orclUserStats
この項では、ディレクトリ・レプリケーションのスキーマ要素を示します。
属性
orclAgreementId、orclChangeLogLife、orclChangeRetryCount、orclCompatibleVersion、orclDirReplGroupAgreement、orclDirReplGroupDSAs、orclExcludedAttributes、orclExcludedNamingContexts、orclHIQSchedule、orclHostname、orclIncludedNamingContexts、orclLastAppliedChangeNumber、orclLDAPConnKeepALive、orclPilotMode、orclPurgeSchedule、orclReplicaDN、orclReplicaID、orclReplicaSecondaryURI、orclReplicaState、orclReplicationProtocol、orclReplicaType、orclReplicaURI、orclReplicaVersion、orclThreadsPerSupplier、orclUpdateSchedule、pilotStartTime
オブジェクト・クラス
orclReplAgreementEntry、orclReplInstance、orclReplicaSubentry、orclReplNameCtxConfig、orclReplSubConfig
この項では、Oracle Directory Integration and Provisioningのスキーマ要素を示します。内容は次のとおりです。
この項では、Oracle Directory Integration and Provisioningのアプリケーションの属性およびオブジェクト・クラスを示します。
属性
orclApplicationType、orclInterval、orclODIPAgent、orclODIPApplicationName、orclODIPCommand、orclODIPDbConnectInfo、orclODIPEventSubscriptions、orclOwnerGUID、orclStatus、orclVersion
オブジェクト・クラス
この項では、Oracle Directory Integration and Provisioningの変更ログの属性およびオブジェクト・クラスを示します。
属性
orclLastAppliedChangeNumber、orclSubscriberDisable、serverName、userPassword
オブジェクト・クラス
この項では、Oracle Directory Integration and Provisioningのイベントおよびオブジェクトの属性およびオブジェクト・クラスを示します。
属性
orclODIPAttributeMappingRules、orclODIPEventFilter、orclODIPFilterAttrCriteria、orclODIPMustAttrCriteria、orclODIPObjectCriteria、orclODIPObjectEvents、orclODIPObjectName、orclODIPObjectSyncBase、orclODIPOperationMode、orclODIPOptAttrCriteria、orclODIPProvEventCriteria、orclODIPProvEventLDAPChangeType、orclODIPProvEventObjectType、orclODIPProvEventRule、orclODIPProvEventRuleDTD、orclStatus
オブジェクト・クラス
orclODIPEventContainer、orclODIPObject、orclODIPProvEventDefn、orclODIPProvEventTypeConfig
この項では、Oracle Directory Integration and Provisioningのプラグインおよびインタフェースの属性およびオブジェクト・クラスを示します。
属性
orclODIPPluginAddInfo、orclODIPPluginConfigInfo、orclODIPPluginEvents、orclODIPPluginExecData、orclODIPPluginExecName、orclODIPProfileProvSubscriptionMode、orclODIPProfileStatusUpdate、orclODIPProvInterfaceFilter、orclODIPProfileInterfaceType、orclODIPProvInterfaceProcessor、orclStatus
オブジェクト・クラス
orclODIPProvInterfaceDetails、orclODIPPlugin、orclODIPPluginContainer
この項では、Oracle Directory Integration and Provisioningサーバーの構成に関係する属性およびオブジェクト・クラスを示します。
属性
cn、orclCompatibleVersion、orclHostname、orclODIPConfigDNs、orclODIPConfigRefreshFlag、orclODIPInstanceStatus、orclODIPProfileExecGroupID、orclODIPSearchCountLimit、orclODIPSearchTimeLimit、orclODIPServerCommitSize、orclODIPServerDebugLevel、orclODIPServerRefreshIntvl、orclODIPServerSSLMode、orclODIPServerWalletLoc、orclSSLEnable、orclVersion、seeAlso、userPassword
オブジェクト・クラス
orclODIPServerConfig、orclODISConfig、orclODIServer、orclODISInstance
この項では、Oracle Directory Integration and Provisioningの同期プロファイルおよびプロビジョニング・プロファイルの属性およびオブジェクト・クラスを示します。
属性
cn、orclODIPAgentConfigInfo、orclODIPAgentControl、orclODIPAgentExeCommand、orclODIPAgentHostName、orclODIPAgentName、orclODIPAgentPassword、orclODIPAttributeMappingRules、orclODIPBootStrapStatus、orclODIPConDirAccessAccount、orclODIPConDirAccessPassword、orclODIPConDirLastAppliedChgNum、orclODIPConDirMatchingFilter、orclODIPConDirURL、orclODIPEncryptedAttrKey、orclODIPInterfaceType、orclODIPLastExecutionTime、orclODIPLastSuccessfulExecutionTime、orclODIPOIDMatchingFilter、orclODIPProfileDebugLevel、orclODIPProfileExecGroupID、orclODIPProfileInterfaceAdditionalInformation、orclODIPProfileInterfaceConnectInformation、orclODIPProfileInterfaceName、orclODIPProfileInterfaceType、orclODIPProfileInterfaceVersion、orclODIPProfileLastAppliedAppEventID、orclODIPProfileLastProcessingTime、orclODIPProfileLastSuccessfulProcessingTime、orclODIPProfileMaxErrors、orclODIPProfileMaxEventsPerInvocation、orclODIPProfileMaxEventsPerSchedule、orclODIPProfileMaxRetries、orclODIPProfileName、orclODIPProfileProcessingErrors、orclODIPProfileProcessingStatus、orclODIPProfileSchedule、orclODIPProvisioningAppGUID、orclODIPProvisioningAppName、orclODIPProvisioningEventMappingRules、orclODIPProvisioningEventPermittedOperations、orclODIPProvisioningEventSubscription、orclODIPProvisioningOrgGUID、orclODIPProvisioningOrgName、orclODIPSchedulingInterval、orclODIPSynchronizationErrors、orclODIPSynchronizationMode、orclODIPSynchronizationStatus、orclODIPSyncRetryCount、orclPasswordAttribute、orclStatus、orclVersion、userPassword
オブジェクト・クラス
orclODIPIntegrationProfile、orclODIProfile、orclODIPProvisioningIntegrationProfile、orclODIPProvisioningIntegrationProfileV2、orclODIPProvisioningIntegrationOutBoundProfile、orclODIPProvisioningIntegrationOutBoundProfileV2
この項では、Oracle Directory Integration and Provisioningのスキーマ情報の属性およびオブジェクト・クラスを示します。
属性
orclODIPApplicationsLocation、orclODIPInstancesLocation、orclODIPObjectDefnLocation、orclODIPProvProfileLocation、orclODIPRootLocation、orclODIPSchemaVersion、orclODIPServerConfigLocation、orclODIPSyncProfileLocation
オブジェクト・クラス
次の属性およびオブジェクト・クラスは、Oracle Directory Integration and Provisioningを使用してMicrosoft Active DirectoryからOracle Internet Directoryにインポートされるユーザーに使用します。
属性
orclObjectGUID、orclObjectSID、orclSAMAccountName、orclUserPrincipalName
オブジェクト・クラス
この項では、Oracle Delegated Administration Servicesの属性およびオブジェクト・クラスを示します。
属性
orclDASAdminModifiable、orclDASAttrDispOrder、orclDASAttrName、orclDASEnableProductLogo、orclDASEnableSubscriberLogo、orclDASIsEnabled、orclDASIsMandatory、orclDASIsPersonal、orclDASLOV、orclDASPublicGroupDNs、orclDASSearchable、orclDASSearchColIndex、orclDASSearchFilter、orclDASSearchSizeLimit、orclDASSelfModifiable、orclDASUIType、orclDASURL、orclDASURLBase、orclDASValidatePwdReset、orclDASViewable
オブジェクト・クラス
orclDASAppContainer、orclDASAttrCategory、orclDASConfigAttr、orclDASConfigPublicGroup、orclDASLOVVal、orclDASOperationURL、orclDASSubscriberContainer
この項では、公開鍵インフラストラクチャ(PKI)、証明書、Oracle Application Server Certificate Authorityに関係する属性およびオブジェクト・クラスを示します。
属性
orclCertExtensionAttribute、orclCertExtensionOID、orclCertificateHash、orclCertificateMatch、orclCertMappingAttribute、orclPKINextUpdate、orclPKIValMecAttr、x509issuer
オブジェクト・クラス
この項では、アプリケーションに関係する属性およびオブジェクト・クラスを示します。
属性
authPassword、description、labeledURI、orclAppFullName、orclApplicationCommonName、orclCategory、orclDBSchemaIdentifier、orclOwnerGUID、orclPasswordVerifier、orclResourceIdentifier、orclTrustedApplicationGroup、orclVersion、protocolInformation、seeAlso、userCertificate;binary、userPassword、userPKCS12
オブジェクト・クラス
orclApplicationEntity、orclAppSpecificUserInfo、orclAppUserEntry
この項では、リソースに関係する属性およびオブジェクト・クラスを示します。
属性
description、displayName、javaClassName、orclConnectionFormat、orclFlexAttribute1、orclFlexAttribute2、orclFlexAttribute3、orclOwnerGUID、orclPasswordAttribute、orclResourceName、orclResourceTypeName、orclResourceViewers、orclUserIDAttribute、orclUserModifiable
オブジェクト・クラス
この項では、Oracle Internet Directoryのプラグインの構成に関係する属性およびオブジェクト・クラスを示します。
属性
orclPluginAttributeList、orclPluginCheckEntryExist、orclPluginEnable、orclPluginEntryProperties、orclPluginIsReplace、orclPluginKind、orclPluginLDAPOperation、orclPluginName、orclPluginPort、orclPluginRequestGroup、orclPluginRequestNegGroup、orclPluginResultCode、orclPluginSASLCallBack、orclPluginSearchNotFound、orclPluginShareLibLocation、orclPluginSubscriberDNList、orclPluginTiming、orclPluginType、orclPluginVersion、userPassword
オブジェクト・クラス
この項では、ディレクトリ・ユーザー・エージェント(DUA)の構成に関係する属性およびオブジェクト・クラスを示します。
属性
attributeMap、authenticationMethod、bindTimeLimit、cn、credentialLevel、defaultSearchBase、defaultSearchScope、defaultServerList、followReferrals、objectClass、objectClassMap、preferredServerList、profileTTL、serviceAuthenticationMethod、serviceCredentialLevel、serviceSearchDescriptor
オブジェクト・クラス
この項では、ユーザー、グループおよびサブスクライバに使用する属性およびオブジェクト・クラスを示します。内容は次のとおりです。
Oracle Internet Directoryでは、RFC 2256に定義されている標準オブジェクト・クラスgroupOfNames
およびgroupOfUniqueNames
を使用します。標準の属性およびオブジェクト・クラスの他に、グループには次の属性およびオブジェクト・クラスも使用します。
属性
displayName、mail、orclGlobalID、orclIsVisible
オブジェクト・クラス
この項では、動的グループの属性およびオブジェクト・クラスを示します。
属性
labeledURI、mail、orclConnectByAttribute、orclConnectBySearchBase、orclConnectByStartingValue
オブジェクト・クラス
Oracle Internet Directoryでは、RFC 2256に定義されている標準オブジェクト・クラスperson
およびinetOrgPerson
を使用します。標準の属性およびオブジェクト・クラスの他に、ユーザーには次の属性およびオブジェクト・クラスも使用します。
属性
authPassword、c、jpegPhoto、krbPrincipalName、middleName、orclActiveEndDate、orclActiveStartdate、orclContact、orclDateOfBirth、orclDefaultProfileGroup、orclDisplayPersonalInfo、orclGender、orclHireDate、orclHostedCreditCardExpireDate、orclHostedCreditCardNumber、orclHostedCreditCardType、orclHostedDunsNumber、orclHostedPaymentTerm、orclIsEnabled、orclIsVisible、orclMaidenName、orclPassword、orclPasswordHint、orclPasswordHintAnswer、orclPasswordVerifier、orclPKCS12Hint、orclSAMAccountName、orclSearchFilter、orclSubscriberFullName、orclSubscriberType、orclTimeZone、orclTxnMaxOperations、orclVersion、orclWirelessAccountNumber、orclWorkflowNotificationPref、userPKCS12
オブジェクト・クラス
この項では、パスワード・ポリシーの構成に関係する属性およびオブジェクト・クラスを示します。
属性
cn、displayName、orclPwdAllowHashCompare、orclPwdAlphaNumeric、orclPwdEncryptionEnable、orclPwdIllegalValues、orclPwdIPLockout、orclPwdIPLockoutDuration、orclPwdIPMaxFailure、orclPwdPolicyEnable、pwdAllowUserChange、pwdCheckSyntax、pwdExpireWarning、pwdFailureCountInterval、pwdGraceLoginLimit、pwdInHistory、pwdLockout、pwdLockoutDuration、pwdMaxAge、pwdMaxFailure、pwdMinAge、pwdMinLength、pwdMustChange、pwdSafeModify
オブジェクト・クラス
この項では、パスワード検証機能に関係する属性およびオブジェクト・クラスを示します。
属性
cn、displayName、orclAppId、orclPwdVerifierParams、owner
オブジェクト・クラス