Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド 11gリリース1 (11.1.1) for Windows B55922-09 |
|
前 |
次 |
この章では、Oracle Virtual Directoryアダプタの作成および構成方法について説明します。この章の内容は次のとおりです。
次の表は、使用可能なOracle Virtual Directoryアダプタ・テンプレートおよびそれらのテンプレートによってデプロイされるプラグインを示しています。
表12-1 アダプタ・テンプレート
アダプタ・テンプレート・タイプ | アダプタ・テンプレート | アダプタ・テンプレートによってデプロイされるプラグイン |
---|---|---|
デフォルト・アダプタ |
デフォルト・テンプレート |
|
LDAPアダプタ |
Active_Directory |
|
CA_eTrust |
||
Changelog_LDAP-TYPE |
Changelogプラグイン |
|
EUS_ActiveDirectory |
|
|
EUS_LSAMetaData_LDAP-TYPE |
||
EUS_OID |
EUSOIDプラグイン |
|
EUS_Sun |
|
|
EUS_eDirectory |
|
|
General_LDAP_Directory |
||
IBM_Directory |
||
Novell_eDirectory |
||
マッパーを使用したOAM/ADアダプタ |
|
|
SSLおよびマッパーを使用したOAM/ADアダプタ |
アダプタはデフォルトではクライアントには表示されません。それはActive Directory Passwordプラグインなどのプラグインを通してのみアクセスできます。 |
|
スクリプトを使用したOAM/ADアダプタ |
|
|
マッパーを使用したOAM/ADAMアダプタ |
|
|
SSLおよびマッパーを使用したOAM/ADAMアダプタ |
アダプタはデフォルトではクライアントには表示されません。それはActive Directory Passwordプラグインなどのプラグインを通してのみアクセスできます。 |
|
スクリプトを使用したOAM/ADAMアダプタ |
|
|
マッパーを使用したOAM/SunOneアダプタ |
|
|
スクリプトを使用したOAM/SunOneアダプタ |
Dump Transactionsプラグイン |
|
ONames_LDAP-TYPE |
ONamesプラグイン |
|
Oracle_Internet_Directory |
||
Siemens_DirX |
||
SunOne_Directory |
||
User_LDAP-TYPE |
UserManagementプラグイン |
|
ローカル・ストア・アダプタ |
Local_Storage_Adapter |
|
データベース・アダプタ |
スクリプトを使用したOAM/DBアダプタ |
|
この項では、LDAPアダプタの作成および構成方法について説明します。この項の内容は次のとおりです。
Oracle Directory Services Managerを使用してLDAPアダプタを作成するには、次の手順を実行します。
Oracle Directory Services Managerにログインします。
タスク選択バーから「アダプタ」を選択します。「アダプタ」ナビゲーション・ツリーが表示されます。
「アダプタの作成」ボタンをクリックします。新規アダプタ・ウィザードが表示されます。
アダプタのタイプを定義するには、次の手順を実行します。
「アダプタ・タイプ」リストから「LDAP」を選択します。
「アダプタ名」フィールドにLDAPアダプタの一意の名前を入力します。アダプタ名の値は、そのアダプタを参照する必要のある他の構成フィールドで使用されます。
第2.9項「アダプタ・テンプレートの概要」を参照して、「アダプタ・テンプレート」リストからアダプタ・テンプレートを選択します。使用するテンプレートが不明な場合は、「デフォルト」を選択します。
注意: アダプタ・テンプレートを選択すると、Oracle Directory Services Managerによってアダプタ設定の一部のデフォルト値が移入されます。これらのデフォルト値は、使用する環境に合せて変更する必要があります。 |
「次へ」をクリックします。「接続」画面が表示されます。
「自動検出にDNSを使用」オプションから操作のDNSモードを選択し、(「接続詳細」表に特定のLDAPホストを構成するかわりに)定義されているリモート・ベースの適切なLDAPホストを、DNSを使用して自動的に検出するようにOracle Virtual Directoryを構成します。これは、サーバーレス・バインド・モードとも呼ばれます。LDAPアダプタは、次に示す操作のDNSモードをサポートします。
注意: DNSオプションは、Oracle Directory Services Managerのインタフェースに英語でのみリストされますが、各DNSオプションの説明はローカライズされた言語翻訳でサポートされています。 |
いいえ: サーバーレス・バインドではなく、「接続詳細」表の構成を使用します。
標準: Microsoft以外のサーバーの標準DNS参照を使用します。すべてのサーバーは読取り/書込みとしてマーク付けされるため、LDAPの書込みサポートを許可するために「参照の追跡」設定を有効化することをお薦めします。
Microsoft: DNSサーバーはMicrosoftの動的DNSであり、ロード・バランシング構成もサポートします。Microsoftの動的DNSサーバーに対してプロキシ設定する場合は、この設定をお薦めします。これは、Oracle Virtual Directoryの機能により、読取り専用サーバーと比較して読取り/書込みサーバーが自動検出されるためです。
注意: この設定の使用時には、リモート・ベースにdc=myorg,dc=comなど、ドメイン・コンポーネントのスタイル名が指定されている必要があります。この名前により、Oracle Virtual Directoryで、myorg.com を検索してDNSサービス内のLDAPホストが検出されます。 |
「自動検出にDNSを使用」設定で「いいえ」オプションを選択した場合、「ホストの追加」ボタンをクリックしてから、次の情報を入力し、プロキシLDAPホスト情報を追加します。各プロキシLDAPホストは、同等のコンテンツを提供するレプリカであることが必要です。
注意: プロキシ設定するホストを1つのみ指定する場合は注意が必要です。フェイルオーバー・ホストがないと、LDAPアダプタは、自動的に別のホストにフェイルオーバーされません。単一のホストが適しているのは、Oracle Virtual Directoryがロード・バランシング・システム経由で論理LDAPサービスに接続されている場合です。 |
「ホスト」フィールドに、プロキシを設定するLDAPホストのIPアドレスまたはDNS名を入力します。
注意: Oracle Virtual Directory 11gリリース1 (11.1.1)ではIPv6がサポートされています。ネットワークでIPv6がサポートされている場合、「ホスト」フィールドにリテラルIPv6アドレスを使用して、プロキシ設定されたLDAPホストを指定できます。 |
「ポート」フィールドに、プロキシ設定されたLDAPホストが提供するLDAPサービスのポート番号を入力します。
「重みの値」フィールドに0から100の間の数値を入力し、ホストに送信する負荷率を構成します。アダプタに構成されたすべてのホストの統合したパーセンテージが合計で100にならない場合は、ホストに対して入力したパーセンテージを、アダプタに構成されているすべてのホストの合計パーセンテージで割ることで、Oracle Virtual Directoryにより負荷率が自動的に調整されます。たとえば、20パーセント、30パーセントおよび40パーセントの3つのホストがアダプタに構成されている場合、Oracle Virtual Directoryにより、20は22(20/90)に、30は33(30/90)に、40は44(40/90)に調整されます。
「読取り専用」オプションを選択し、LDAPホストでのみ検索操作を実行するようにLDAPアダプタを構成します。LDAPアダプタは、すべての変更トラフィックをリスト内の読取り/書込みホストに自動的に送ります。
「SSL/TLSの使用」オプションを選択し、SSL/TLSを使用して、LDAPアダプタとプロキシLDAPホスト間の通信を保護します。
「SSL/TLSの使用」オプションを選択(有効化)する場合、「SSL認証モード」リストからオプションを選択することで、アダプタをセキュリティで保護するために使用するSSL認証モードを選択します。「SSL認証モード」設定は、「SSL/TLSの使用」オプションが有効化されている場合にのみ機能します。
「サーバー・プロキシ・バインドDN」フィールドのプロキシ設定されたディレクトリへのアクセス時に、バインドするLDAPアダプタのデフォルトの識別名を入力します。「パススルー資格証明」フィールドの設定に応じて、このDNは、すべての操作で使用されるか、パススルー・モードのような特別な場合にのみ使用されます。識別名の書式は、リモート・ディレクトリの書式に合せる必要があります。「サーバー・プロキシ・バインドDN」フィールドが空の場合、LDAPアダプタは匿名としてバインドします。
「プロキシ・パスワード」フィールドに、サーバー・プロキシ・バインドDN値とともに使用する認証パスワードをクリアテキストで入力します。サーバーにロードされると、値は自動的に暗号化されます。
「次へ」をクリックします。Oracle Virtual Directoryにより、「接続詳細」表に定義したホストへの接続が検証されます。接続検証プロセスの結果が表示された「接続のテスト」画面が表示されます。
検証が成功した場合には、成功のメッセージと接続の詳細が表示されます。「次へ」をクリックします。「ネームスペース」画面が表示されます。手順11に進んで、新規LDAPアダプタの作成を続行します。
検証に失敗した場合は、検証できなかったホスト接続のステータス表の「接続」列に、Could not connect
というメッセージが表示されます。検証できなかったホスト接続の行をクリックして、接続に失敗した理由の詳細を参照します。「戻る」ボタンをクリックして接続が失敗したホストの設定を確認し、必要に応じてホスト設定を編集して、失敗した接続を解決します。
プロキシLDAPホストへの接続は、そのLDAPホストのプロキシ設定をするアダプタに対して検証する必要があります。失敗した接続を解決したら、新規LDAPアダプタ・ウィザードの「接続テスト」画面で「次へ」をクリックします。「ネームスペース」画面が表示されます。手順11に進んで、新規LDAPアダプタの作成を続行します。
「リモート・ベース」フィールドに、ローカルOracle Virtual Directoryのルート接尾辞に対応する、リモート・サーバーのディレクトリ・ツリー構造内の場所を入力します。これは、Oracle Virtual Directoryによってアダプタのすべての検索および操作が実行される、リモート・ディレクトリ内の場所です。LDAPアダプタにより、リモート・ベースからアダプタ・ルート・ベースへの全エントリの自動マッピングが適用されます。
「マップされたネームスペース」フィールドに、プロキシ設定されたディレクトリのネームスペースのかわりに、Oracle Virtual Directoryクライアントに表示するネームスペースを入力します。たとえば、プロキシ設定されたディレクトリのDNがdc=oracle, dc=comで、ネームスペースをdc=Oracle Corp, dc=comとしてOracle Virtual Directoryクライアントに表示する場合は、「マップされたネームスペース」フィールドにdc=Oracle Corp, dc=com
と入力します。
「パススルー資格証明」リストから次のいずれかのオプションを選択して、LDAPアダプタのパススルー資格証明を設定します。
注意: パススルー・オプションは、Oracle Directory Services Managerのインタフェースに英語でのみ表示されますが、各パススルー・オプションの説明はローカライズされた言語翻訳でサポートされています。 |
プロキシDN資格証明をすべての操作で使用する場合は、「なし」を選択します。
バインド用にのみユーザー資格証明をプロキシ設定されたLDAPサーバーに渡し、その他のすべての操作でデフォルトのサーバー資格証明を使用する場合は、「バインドのみ」を選択します。
すべての操作で、Oracle Virtual Directoryに示されたユーザー資格証明をプロキシ設定されたLDAPサーバーに渡す場合は、「常時」を選択します。
注意: 状況によっては、「パススルー・モード」が「常時」に設定されていても、LDAPアダプタによってプロキシDNが使用される場合があります。これは、別のアダプタ・ネームスペースなどからユーザー資格証明をマップできない場合や、ユーザー資格証明がルート・アカウントの場合に発生します。Microsoft Active Directoryフォレスト内の異なるドメイン・コントローラに複数のアダプタを定義する場合は、バインドを含むルーティング設定を使用して、LDAPアダプタが他のアダプタ(同じActive Directoryフォレストを指す複数のアダプタ)からの資格証明にプロキシを設定するように指定できます。 |
「Kerberosの使用」オプションを選択し、Kerberosプロトコルを使用してLDAPバインド操作を実行するようにLDAPアダプタを構成します。「Kerberosの使用」設定を有効化してKerberosのMicrosoft Active Directoryバージョンに存在する既知の問題の多くを解決する場合は、Java 1.6以上を使用することをお薦めします。
「Kerberosの使用」オプションを有効化する場合は、次の点に注意する必要があります。
Kerberos認証は資格証明の検証にのみ使用でき、その他の操作のためにバックエンド・サーバーに渡されることはないため、パススルーオプションは「バインドのみ」に設定する必要があります。
RDN値はKerberosプリンシパル名(Active Directoryの場合はsAMAccountName)と同一であることが必要です。つまり、KerberosバインドのバインドDNは実際のユーザーDNではありません。たとえば、ユーザーDNはcn=Jane Doe,cn=users,dc=mycompany,dc=com
ですが、sAMAccountNameはjdoe
で、「Kerberosの使用」オプションが有効化されたバインドDNはcn=jdoe,cn=users,dc=mycompany,dc=com
です。
krb5.confファイルを作成し、Oracle Virtual Directoryの構成フォルダ内に置く必要があります。krb5.confには次のプロパティがあります。
プロパティ | 説明 |
---|---|
default_realm |
マッピングによって提供されていない場合に使用されるデフォルト・ドメインです。たとえば、あるユーザーが |
domain_realm |
ドメインとレルム定義との間のマッピングを定義します。(例: |
realms |
1つ以上のレルムを定義します(例: |
kdc |
特定のレルム定義のKerberosサービスを実行するサーバーのDNS名です。 |
Kerberosバインドでは、標準のJavaパッケージに備わっているKerberosライブラリが使用されます。Kerberosライブラリでは、現状ではOracle Virtual DirectoryのLDAPアダプタ設定に同期していないkrb5.confファイルが使用されます。Kerberosのフェイルオーバーは、デフォルトのライブラリによって制御されます。フェイルオーバーおよびkrb5.confファイルの高度な構成の詳細は、Sun社のJavaドキュメントを参照してください。
注意: Microsoft Active Directoryサーバーが停止(停止または再起動のいずれか)の処理中で、Oracle Virtual Directoryがそれへの接続を試行する場合、Active Directoryでは資格証明の検証が行われず、Key Distribution Center(ドメイン・コントローラ)の接続エラーではなく、Client not Found in Kerberos Database エラー・メッセージが戻されることがあります。
エンド・ユーザーは、Active Directoryサーバーが使用可能であるか、Key Distribution Centerのフェイルオーバーが有効化されているため、正常な認証が戻されると理解して再度ログインします。 |
「Kerberosの使用」オプションを有効化する場合、「Kerberosの再試行」オプションを使用して、認証の試行が失敗した後にOracle Virtual Directoryがログインを再試行するかどうかを制御できます。「Kerberosの再試行」オプションを有効化してあり、かつ認証に失敗した場合、Oracle Virtual Directoryによってkerb5.confファイルがリロードされ、ログインが再試行されます。
注意: krb5.confファイルにおいて1つのKerberosレルムで複数のActive Directoryサーバーを識別している場合、「Kerberosの再試行」オプションを有効化しないでください。再試行を有効化すると、フェイルオーバー機能が損われることがあります。 |
「ネームスペース」画面の「次へ」をクリックします。新規LDAPアダプタの設定がリストされた「概要」画面が表示されます。
新規LDAPアダプタの設定を確認し、「終了」をクリックしてLDAPアダプタを作成します。「アダプタ」ツリーに、新規LDAPアダプタが表示されます。
LDAPアダプタを作成したら、第12.1.2項「LDAPアダプタの構成」の手順に従って構成できます。
Oracle Unified Directoryアダプタを作成するには、第12章「LDAPアダプタの作成」の説明に従って、デフォルト・テンプレートを使用してLDAPアダプタを作成します。
Oracle Identity Managementと統合するには、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Unified Directory (OUD)向けのアダプタの作成に関する項の手順を参照してください。
この項では、LDAPアダプタ設定の構成方法を説明します。この項の内容は次のとおりです。
LDAPアダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックし、「一般」タブをクリックして次に示すフィールドに値を設定し、「適用」をクリックしてアダプタの一般設定を構成できます。
注意: この項で説明されている接続プール・パラメータの許容可能な最小および最大設定は、Oracle Virtual Directoryとそのデータベースを実行しているシステムに応じて異なります。 |
このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
アダプタは、アクティブ(有効)または非アクティブ(無効)として構成できます。非アクティブに構成されたアダプタは、サーバーの再起動時やアダプタの起動の試行時には起動しません。非アクティブの設定は、古い構成を使用可能な状態にしておく場合や、構成から削除せずにスタンバイ状態にしておく場合に使用します。デフォルト設定はアクティブ(有効)です。
LDAPサーバーの詳細
「一般」タブの「LDAPサーバー」表にプロキシLDAPホストの情報を構成するには、次の手順を実行します。各プロキシLDAPホストは、同等のコンテンツを提供するレプリカであることが必要です。
プロキシ設定するホストを1つのみ指定する場合は注意が必要です。フェイルオーバー・ホストがないと、LDAPアダプタは、自動的に別のホストにフェイルオーバーされません。単一のホストが適しているのは、Oracle Virtual Directoryがロード・バランシング・システムを使用して論理LDAPサービスに接続されている場合です。
注意: 「LDAPサーバー」表の情報は、「自動検出にDNSを使用」パラメータを「いいえ」に設定した場合にのみ使用されます。 |
アダプタにプロキシLDAPホストを追加するには、次のようにします。
「ホストの追加」ボタンをクリックします。
「ホスト」フィールドに、プロキシを設定するLDAPホストのIPアドレスまたはDNS名を入力します。
注意: Oracle Virtual Directory 11gリリース1 (11.1.1)ではIPv6がサポートされています。ネットワークでIPv6がサポートされている場合、「ホスト」フィールドにリテラルIPv6アドレスを使用して、プロキシ設定されたLDAPホストを指定できます。 |
「ポート」フィールドに、プロキシ設定されたLDAPホストが提供するLDAPサービスのポート番号を入力します。
パーセンテージ・フィールドに0から100の間の数値を入力し、ホストに送信する負荷率を構成します。アダプタに構成されたすべてのホストの統合したパーセンテージが合計で100にならない場合は、ホストに対して入力したパーセンテージを、アダプタに構成されているすべてのホストの合計パーセンテージで割ることで、Oracle Virtual Directoryにより負荷率が自動的に調整されます。たとえば、20パーセント、30パーセントおよび40パーセントの3つのホストがアダプタに構成されている場合、Oracle Virtual Directoryにより、20は22(20/90)に、30は33(30/90)に、40は44(40/90)に調整されます。
「読取り専用」オプションを選択し、LDAPホストでのみ検索操作を実行するようにLDAPアダプタを構成します。LDAPアダプタは、すべての変更トラフィックをリスト内の読取り/書込みホストに自動的に送ります。
アダプタからプロキシLDAPホストを削除するには、次のようにします。
「リモート・ホスト」表で削除するホストの行をクリックします。
「削除」ボタンをクリックします。確認のダイアログ・ボックスが表示されます。
アダプタからプロキシLDAPホストを削除するには、「確認」をクリックします。
プロキシLDAPホストの接続を検証するには、次のようにします。
接続を検証するホストの「リモート・ホスト」表の行をクリックします。
「検証」ボタンをクリックします。プロキシLDAPホストへの接続は、そのLDAPホストのプロキシ設定をするアダプタに対して検証する必要があります。
このオプションを有効化すると、SSL/TLSを使用して、LDAPアダプタとプロキシLDAPホスト間の通信を保護できます。
「SSL/TLSの使用」オプションを選択(有効化)する場合、「SSL認証モード」リストからオプションを選択することで、アダプタをセキュリティで保護するために使用するSSL認証モードを選択します。「SSL認証モード」設定は、「SSL/TLSの使用」オプションが有効化されている場合にのみ機能します。
「順次」に設定すると、Oracle Virtual Directoryは、「LDAPサーバー」表で指定されたアクティブなホストのリストから、最初に使用可能なサーバーを常に取得します。そのサーバーが(ソケットをオープンできないか、タイムアウトに到達したために)応答しない場合、Oracle Virtual Directoryは、そのサーバーを使用不可リストに配置し、次に使用可能なサーバーの取得を試行します。
使用不可のサーバーは、ハートビート・スレッドを継続します(デフォルトは60秒間隔です)。ハートビートが実行されるたびに、Oracle Virtual Directoryは、接続を取得できるかどうかを確認します。その場合、該当するサーバーはアクティブ・リストの前の位置に戻されます。たとえば、それが最初のサーバーであった場合、最上位に戻されます。
順次フェイルオーバーは、地域間のフェイルオーバーに使用されます。順次フェイルオーバーでは、LDAPアダプタは、障害が発生するまで指定されたホストの使用を試行します。この時点で、別のデータ・センターまたは遠隔地にある使用可能な同等のホストにフェイルオーバーします。
「分散」に設定すると、作成されるすべての新規接続は、「LDAPサーバー」表に定義されたリストを使用してロード・バランスされます。分散フェイルオーバーは、同じデータ・センターにある一連のLDAPホスト、またはネットワーク・パフォーマンスに関して同等に使用可能な一連のLDAPホストにプロキシ設定する場合に使用されます。
注意: リモート・ホストのネットワークに障害が発生した場合は、プラットフォーム固有のTCPソケットのタイムアウト設定が原因で、Oracle Virtual Directoryに数分の遅延が発生する可能性があります。ただし、Oracle Virtual Directoryのフェイルオーバーは適切に実行されており、遅延中にデータが損失することはありません。 |
このオプションは、ホストへの接続が失敗したことが判明しても、Oracle Virtual Directoryサーバーが、アダプタへの新規受信リクエストで、「LDAPサーバー」表にリストされた最後のホストへの接続を試行し続けるようにする場合に有効化します。有効化すると、ホストへの接続が失敗しても、そのホストは「LDAPサーバー」表から削除さず、アダプタの「ハートビート間隔」設定が無視されます。分散ディレクトリの存在する一部の環境では、その時点での結果の一部を迅速に戻すために、ルーティング・クリティカル設定とともに「試行延長」オプションを無効化する場合があります。デフォルト設定は「有効」です。
LDAPアダプタでは、「LDAPサーバー」表に定義されている各ホストの可用性が定期的に検証されます。この検証サイクルでは、現在無効化されているホストが復活する可能性があるほか、TCP/IP接続のテストに失敗した現在アクティブなホストが「false」とラベル付けされます。「ハートビート間隔」パラメータは、検証通過の間隔を秒数で指定します。低すぎる値を設定すると、リモート・ディレクトリへの不要な接続が発生します。高すぎる値を設定すると、障害発生時のリカバリ検出時間が長くなります。本番環境では、この値を60秒から開始し、必要に応じて調整することをお薦めします。
注意: 「ハートビート間隔」パラメータを0に設定すると、ハートビート・スレッドが無効になりますが、ハートビート・スレッドを常に有効にしておくことをお薦めします。 |
LDAPリクエストがリモート・ホストによって承認されるのをサーバーが待機する時間(ミリ秒単位)。この操作が失敗した場合、LDAPアダプタにより、「リモート・ホスト」表の次のサーバーが自動的に試行されます。構成可能な最小値は15000(ミリ秒)です。本番環境では、この値を15000(15秒)から開始し、必要に応じて調整することをお薦めします。(デフォルトは15000、つまり15秒です。)
単一のサーバーに確立できる同時接続数を制御するための、チューニング・パラメータです。本番環境では、この値を10接続から開始し、必要に応じて調整することをお薦めします。(デフォルトは10接続です。)
LDAPアダプタによって新しい接続が生成される前に、既存の接続を使用するためにLDAP操作が待機する最大時間(ミリ秒単位)。本番環境では、この値を1000(1秒)から開始し、必要に応じて調整することをお薦めします。(デフォルトは1000ミリ秒です。)
「最大プール接続数」パラメータを上書きして新しい接続を生成する前に、LDAP接続のために操作が待機される最大回数。最大時間は、「最大プール待機数」の時間に試行回数を掛けた結果です。プール待機が1秒で試行の最大数が10回の場合、標準プールでLDAP接続が使用不可になってから10秒後に、増大した負荷の処理のためにプールが拡張されます。「最大プール接続数」を超過してプールが拡張されるのを回避するには、試行回数を高い数値に設定してください。本番環境では、この値を10から開始し、必要に応じて調整することをお薦めします。(デフォルトは10試行です。)
「Kerberosの使用」オプションの詳細は、手順14を参照してください。
「Kerberosの使用」オプションを有効化する場合、「Kerberosの再試行」オプションを使用して、認証の試行が失敗した後にOracle Virtual Directoryがログインを再試行するかどうかを制御できます。「Kerberosの再試行」オプションを有効化してあり、かつ認証に失敗した場合、Oracle Virtual Directoryによってkerb5.confファイルがリロードされ、ログインが再試行されます。
注意: krb5.confファイルにおいて1つのKerberosレルムで複数のActive Directoryサーバーを識別している場合、「Kerberosの再試行」オプションを有効化しないでください。再試行を有効化すると、フェイルオーバー機能が損われることがあります。 |
「LDAPサーバー」表で特定のプロキシLDAPホストを構成するかわりに、このオプションを使用して、定義されているリモート・ベースの適切なLDAPサーバーの検出に、Oracle Virtual DirectoryでDNSを使用するように設定できます(サーバーレス・バインド・モードとも呼ばれます)。LDAPアダプタは、次に示す操作モードをサポートします。
いいえ: サーバーレス・バインドではなく、「LDAPサーバー」表の構成を使用します。
標準: Microsoft以外のサーバーの標準DNS参照を使用します。すべてのサーバーは読取り/書込みとしてマーク付けされるため、LDAPの書込みサポートを許可するために「参照の追跡」設定を有効化することをお薦めします。
Microsoft: DNSサーバーはMicrosoftの動的DNSであり、ロード・バランシング構成もサポートします。Microsoftの動的DNSサーバーに対してプロキシ設定する場合は、この設定をお薦めします。これは、Oracle Virtual Directoryの機能により、読取り専用サーバーと比較して読取り/書込みサーバーが自動検出されるためです。
注意: この設定の使用時には、リモート・ベースにdc=myorg,dc=comなど、ドメイン・コンポーネントのスタイル名が指定されている必要があります。この名前により、Oracle Virtual Directoryで、myorg.comを検索してDNSサービス内のLDAPホストが検出されます。 |
「一般」タブの「設定」セクションには、次のフィールドが表示されます。
ローカルOracle Virtual Directoryのルート接尾辞に対応する、リモート・サーバーのディレクトリ・ツリー構造内の場所。これは、Oracle Virtual Directoryによって現在のアダプタのすべての検索および操作が実行される、リモート・ディレクトリ内の場所です。LDAPアダプタにより、リモート・ベースからアダプタ・ルート・ベースへの全エントリの自動マッピングが適用されます。
member、uniquemember、managerなど、ネームスペース変換が必要なDNとして処理される属性のリスト。たとえば、これらの属性が「DN属性」リストにある場合、プロキシ・ディレクトリからのグループ・エントリを読み取る際には、Oracle Virtual Directoryでuniquememberまたはmember属性だけでなく、グループ・エントリ自体のDNが自動的に変換されます。
注意: クライアント・アプリケーションで使用する必要があるとわかっている属性のみを変換します。可能性のあるすべてのDN属性を入力する必要はありません。入力すると、プロキシで消費されるCPU時間が少し増加します。 |
「DN属性」リストに属性を追加するには、次のようにします。
「追加」をクリックします。「DN属性の選択」ダイアログ・ボックスが表示されます。
追加する属性を選択します。
「OK」をクリックします。
ディレクトリに/文字が含まれる場合、Oracle Virtual Directoryでは、円記号の\を使用して、オプションでスラッシュをエスケープできます。スラッシュをエスケープせずに使用できるディレクトリ・サーバー製品と、そうでない製品があります。この設定を有効化すると、スラッシュがエスケープされます。
この設定を有効化すると、クライアントのかわりにソース・ディレクトリから受信した参照がLDAPアダプタにより追跡されます。無効化すると、参照はブロックされ、クライアントに戻されません。
次に、LDAP操作設定の管理対象DSAコントロールの送信と関連した異なる設定のときのLDAPアダプタの動作の概要を示します。
LDAPアダプタの「参照の追跡」が有効(true)に設定され、かつLDAP操作の管理対象DSAコントロールの送信が「True」に設定されている場合、Oracle Virtual Directoryは参照エントリを追跡しませんが、クライアントに戻します。
LDAPアダプタの「参照の追跡」が有効(true)に設定され、LDAP操作の管理対象DSAコントロールの送信が「False」に設定されている場合、Oracle Virtual Directoryは参照エントリを追跡しません。
LDAPアダプタの「参照の追跡」が無効(false)に設定され、LDAP操作の管理対象DSAコントロールの送信が「True」に設定されている場合、Oracle Virtual Directoryは参照エントリを追跡しませんが、クライアントに戻します。
LDAPアダプタの「参照の追跡」が無効(false)に設定され、かつLDAP操作の管理対象DSAコントロールの送信が「False」に設定されている場合、Oracle Virtual Directoryは参照エントリを追跡せず、クライアントにも戻しません。
この設定を有効化すると、プロキシでPaged Result Controlをプロキシ設定されたディレクトリに使用できます。この設定は、ディレクトリで問合せの結果数を制限する場合に最もよく有効化されます。この設定は、Oracle Virtual Directoryのクライアントのかわりに透過的に使用されます。
「一般」タブの「資格証明の処理」セクションには、次のフィールドが表示されます。
プロキシ設定されたディレクトリにアクセスする際に、LDAPアダプタがバインドするデフォルトのDN。「パススルー・モード」設定に応じて、このDNは、すべての操作で使用されるか、パススルー・モードのような特別な場合にのみ使用されます。識別名の書式は、リモート・ディレクトリの書式に合せる必要があります。空の値は匿名とみなされます。
「プロキシDN」値とともに使用される認証パスワード。パスワードを設定するには、値をクリアテキストで入力します。サーバーにロードされると、追加のセキュリティを提供するために、可逆的なマスクを使用して値が自動的にハッシュされます(例: {OMASK}jN63CfzDP8XrnmauvsWs1g==)。
すべての操作で、Oracle Virtual Directoryに示されたユーザー資格証明をプロキシ設定されたLDAPサーバーに渡す場合は、「常時」に設定します。バインド用にのみユーザー資格証明をプロキシ設定されたLDAPサーバーに渡し、その他のすべての操作でデフォルトのサーバー資格証明を使用する場合は、「バインドのみ」に設定します。プロキシDN資格証明をすべての操作で使用する場合は、「なし」に設定します。
注意: 状況によっては、「パススルー・モード」が「常時」に設定されていても、LDAPアダプタによってプロキシDNが使用される場合があります。これは、別のアダプタ・ネームスペースなどからユーザー資格証明をマップできない場合や、ユーザー資格証明がルート・アカウントの場合に発生します。Microsoft Active Directoryフォレスト内の異なるドメイン・コントローラに複数のアダプタを定義する場合は、バインドを含むルーティング設定を使用して、LDAPアダプタが他のアダプタ(同じActive Directoryフォレストを指す複数のアダプタ)からの資格証明にプロキシを設定するように指定できます。 |
「一般」タブの「pingプロトコルの設定」セクションには、次のフィールドが表示されます。
「pingプロトコルの設定」には、応答していないソースLDAPディレクトリ・サーバーがいつ使用可能になるのかを判別する方法に関するオプションがあります。複数のソース・ディレクトリ・サーバーが構成されている場合、Oracle Virtual Directoryによって応答していないサーバーが識別され、次に使用可能なサーバーに対して後続の操作が実行されます。
ソース・ディレクトリ・サーバーにpingする際にOracle Virtual Directoryが使用するプロトコルとして「TCP」または「LDAP」のいずれかを選択します。ソース・ディレクトリ・サーバーがSSLを使用している場合は、「LDAP」を選択します。
注意: 「TCP」プロトコル・オプションは「LDAP」オプションよりも高速ですが、ソース・ディレクトリ・サーバーのネットワーク・ソケットが使用可能であるがそのLDAPサーバー・プロセスを使用できない場合にソース・ディレクトリ・サーバーから不正確なレスポンスが作成されることがあります。 |
「pingプロトコル」として「LDAP」を選択した場合は、そのLDAPバインドに使用するDNを指定します。
「pingプロトコル」として「LDAP」を選択した場合は、「pingバインドDN」設定で指定したDNのパスワードを指定します。
アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックして「ルーティング」タブをクリックし、第3.2項「ルーティング設定の概要」を参照することで、そのアダプタのルーティングを構成できます。
アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックして「プラグイン」タブをクリックし、第13.1項「アダプタ・プラグインの管理」および第14.3項「アダプタへのマッピングの適用」を参照することで、そのアダプタにプラグインおよびマッピングを適用できます。
Oracle Virtual DirectoryからLDAPアダプタのSSLポートへのSSL接続が失敗し、次のメッセージが表示される場合があります。
Oracle Virtual Directory could not load certificate chain
次に、これが発生する2つの状況の例を示します。
SSLで保護されている新規LDAPアダプタを作成し、信頼されない認証局を使用した場合
SSLで保護されている既存のLDAPアダプタの証明書の期限が切れていて、新しい証明書が信頼されない認証局により署名されている場合
この問題を解決するには、証明書を信頼できることをOracle Virtual Directoryが認識できるように、LDAPサーバーの証明書、およびLDAPサーバーの証明書の署名に使用されたルート認証局の証明書の両方を、Oracle Virtual Directoryサーバーにインポートします。
次のkeytool
コマンドと適切な別名をすべて1つのコマンドラインで使用します。
ORACLE_HOME/jdk/jre/bin/keytool -import -trustcacerts -alias "NEW_CA" -file PATH_TO_CA_CERTIFICATE -keystore ORACLE_INSTANCE/config/OVD/ovd1/keystores/adapters.jks
Microsoft Active DirectoryおよびMicrosoft Certificate ServicesとのLDAPアダプタの使用
デフォルトでは、期限切れのActive Directory SSL証明書はMicrosoft Certificate Servicesによって自動的に更新されます。ただし、通常、この変更がクライアント・アプリケーションに自動的に通知されることはありません。これが行われた場合、更新されたActive Directoryサーバーに接続しているOracle Virtual Directory LDAPアダプタは機能を停止します。その場合は、Oracle Directory Services Managerを使用してLDAPアダプタを構成し、信頼できる証明書をインポートするとアダプタが再び機能するようになります。
Oracle Virtual DirectoryおよびOracle Internet Directory間に相互認証SSL接続を構成するには、次の手順を実行します。
第12.1項「LDAPアダプタの作成」および第12.1.2項「LDAPアダプタの構成」参照して、Oracle Internet DirectoryのLDAPアダプタを作成および構成します。アダプタを構成するときは、非SSLポート番号を使用するように設定してください。
ORACLE_INSTANCE/config/OVD/ovd1/adapters.jksが存在しない場合は、次のコマンドを実行して署名付き証明書とともに作成し、信頼できる証明書を格納します。
ORACLE_HOME/jdk/jre/bin/keytool -genkey \ -keystore ORACLE_INSTANCE/config/OVD/ovd1/keystores/adapters.jks \ -storepass password -alias alias -keyalg rsa -dname DN
注意: 前のコマンドの-dnameオプションで指定されたDN は、Oracle Virtual DirectoryがOracle Internet Directoryのクライアントとして機能するときに使用するDNです。
SSL相互認証を機能させるためには、このDNに対応するユーザー・エントリがOracle Internet Directory上に存在する必要があります(または作成する必要があります)。 |
次のコマンドを使用して、Oracle Internet Directoryサーバーの証明書をBase64形式でエクスポートします。
orapki wallet export -wallet LOCATION_OF_OID_WALLET \ -dn DN_FOR_OID_SERVER_CERTIFICATE -cert ./b64certificate.txt
注意: orapki コマンドで証明書別名を使用し、その別名の一部が小文字でない場合は、エラーが発生します。 |
次のコマンドを使用して、手順3で作成したOracle Internet Directoryサーバーの証明書を、Oracle Virtual Directoryのキーストアに信頼できるエントリとしてインポートします。
ORACLE_HOME/jdk/jre/bin/keytool -importcert \ -keystore ORACLE_INSTANCE/config/OVD/ovd1/keystores/adapters.jks \ -storepass password -alias alias -file b64certificate.txt -noprompt
次のコマンドを使用して、Oracle Virtual Directoryサーバーの証明書をBase64形式でエクスポートします。
ORACLE_HOME/jdk/jre/bin/keytool -exportcert \ -keystore ORACLE_INSTANCE/config/OVD/ovd1/keystores/adapters.jks \ -storepass password -rfc -alias alias -file cert.txt
Oracle Virtual Directoryサーバーの証明書を、Oracle Internet Directoryのウォレットに信頼できる証明書としてインポートします。Oracle Internet Directoryのウォレット・ディレクトリから、次のコマンドを実行します。
orapki wallet add -wallet ./ewallet.p12 -cert cert.txt \ -trusted_cert -pwd password
注意: orapki コマンドで証明書別名を使用し、その別名の一部が小文字でない場合は、エラーが発生します。 |
Oracle Directory Services Managerを使用して、次のようにOracle Internet DirectoryのLDAPアダプタを更新します。
「SSL/TLSの使用」オプションを選択(有効化)します。
Oracle Internet Directoryで「相互認証」に構成されているSSLポート番号にポート番号を変更します。
「SSL認証モード」として「サーバー認証のみ/相互認証」を選択します。
「プロキシDN」および「プロキシ・パスワード」オプションは空白のままにしておきます。
「適用」ボタンをクリックしてアダプタの変更内容を保存します。
Oracle Virtual Directoryサーバーを再起動し、接続の詳細を確認します。そして、アダプタをテストしてください。
テストが成功した場合、アダプタ・ステータスはCertificates Trusted
メッセージを表示します。次に例を示します。
opmnctl stopproc ias-component=ovd1 opmnctl startproc ias-component=ovd1
この項では、データベース・アダプタの作成および構成方法について説明します。この項の内容は次のとおりです。
Oracle Directory Services Managerを使用してデータベース・アダプタを作成するには、次の手順を実行します。
注意: 非Oracleデータベースに初めてデータベース・アダプタを作成する前に、Oracle Virtual Directoryにデータベースのドライバをロードする必要があります。Oracle Virtual Directoryサーバーにドライバをロードする方法の詳細は、第9.6.2項「Oracle Virtual Directoryサーバーへのライブラリのロード」を参照してください。MS SQL 2005または2008のアダプタを作成する場合は、必ず最新のsqljbdc4.jar (SQL JDBCドライバ)を使用してください。古いドライバを使用するとデータベースの表示に問題が発生し、アダプタを正常に作成できません。 |
Oracle Directory Services Managerにログインします。
タスク選択バーから「アダプタ」を選択します。「アダプタ」ナビゲーション・ツリーが表示されます。
「アダプタの作成」ボタンをクリックします。新規アダプタ・ウィザードが表示されます。
アダプタのタイプを定義するには、次の手順を実行します。
「アダプタ・タイプ」リストから「データベース」を選択します。
「アダプタ名」フィールドにデータベース・アダプタの一意の名前を入力します。アダプタ名の値は、そのアダプタを参照する必要のある他の構成フィールドで使用されます。
Oracle Virtual DirectoryとOracle Access Managerを統合している場合以外は、「アダプタ・テンプレート」リストから「デフォルト」を選択します。詳細は、第2.9項「アダプタ・テンプレートの概要」を参照してください。
注意: アダプタ・テンプレートを選択すると、Oracle Directory Services Managerによってアダプタ設定の一部のデフォルト値が移入されます。これらのデフォルト値は、使用する環境に合せて変更する必要があります。 |
「次へ」をクリックします。「接続」画面が表示されます。
「アダプタ接尾辞/ネームスペース」フィールドに有効なベースDNを(DN形式で)入力します。このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
次の「URLタイプ」リストからオプションを1つ選択します。データベース・アダプタを作成する手順の一部は、選択するオプションによって異なります。オプションを選択したら、各オプションのアルファベットのリストの手順に従ってこの作業を続行します。
事前定義済データベースの使用: このオプションは、事前定義済データベースに接続する場合に選択します。事前定義済データベースは、「URLタイプ」リストから「事前定義済データベースの使用」を選択した後に「データベース・タイプ」リストに表示されます。使用するデータベース・タイプがOracle Virtual Directoryに事前に定義されているか不明な場合は、「URLタイプ」リストから「事前定義済データベースの使用」を選択し、使用するデータベースが「データベース・タイプ」リストに含まれているかどうかを確認します。「データベース・タイプ」リストにデータベースがリストされている場合は、次の手順に進みます。データベースがリストされていない場合は、「URLタイプ」リストから「カスタムURLの使用」を選択し、カスタムURLを使用する場合の手順を実行します。
「データベース・タイプ」リストから、データベース・タイプを選択します。データベース・タイプを選択すると、「JDBCドライバ・クラス」および「データベースURL」フィールドにデータベースの適切な情報が移入されます。
「ホスト」フィールドに、データベースのIPアドレスまたはDNSホスト名を入力します。
「ポート」フィールドに、データベースがリスニングするポート番号を入力します。
「データベース名」フィールドに、Oracle SIDなどのデータベース名を入力します。
「データベース・ユーザー」フィールドに、データベース・アダプタがデータベースへの接続に使用するユーザー名を入力します。
「パスワード」フィールドに、「データベース・ユーザー」フィールドに入力したユーザー名のパスワードを入力します。このフィールドに入力する値は、起動時にOracle Virtual Directoryにより、可逆的にマスクされた値に置き換えられます。
「次へ」をクリックします。「データベース表のマップ」画面が表示されます。ここで、手順7に進んでこの手順を続行します。
カスタムURLの使用: このオプションは、Oracle Virtual Directoryをカスタム・データベースに接続する場合に選択します。
「JDBCドライバ・クラス」フィールドに、データベースのJDBCドライバ・クラスの名前を入力します。
「データベースURL」フィールドに、Oracle Virtual Directoryがデータベースへのアクセスに使用するURLを入力します。
「データベース・ユーザー」フィールドに、データベース・アダプタがデータベースへの接続に使用するユーザー名を入力します。
「パスワード」フィールドに、「データベース・ユーザー」フィールドに入力したユーザー名のパスワードを入力します。このフィールドに入力する値は、起動時にOracle Virtual Directoryにより、可逆的にマスクされた値に置き換えられます。
「次へ」をクリックします。「データベース表のマップ」画面が表示されます。ここで、手順7に進んでこの手順を続行します。
表ファイルの名前を入力するか、「参照」をクリックして表ファイルに移動し、それを選択して「OK」をクリックすることで、データベース・アダプタが使用する必要のあるデータベース表を「データベース表のマップ」フィールドに指定します。「データベース表のマップ」画面で、「次へ」をクリックして続行します。「オブジェクト・クラスのマップ」画面が表示されます。
「オブジェクト・クラスのマップ」フィールドで、データベース表にマップするオブジェクト・クラスとそのRDNを定義します。「オブジェクト・クラスの作成」ボタンをクリックします。オブジェクト・クラスおよびそれらに対応するRDNを定義できる「新規オブジェクト・クラス・マッピング」ダイアログ・ボックスが表示されます。次の情報を入力します。
「オブジェクト・クラス」リストに、適切なオブジェクト・クラスを選択します。
「RDN」フィールドに、オブジェクト・クラスのRDNを入力します。
「OK」をクリックします。「オブジェクト・クラス」表に、オブジェクト・クラスとRDNが表示されます。
注意: 既存のオブジェクトを入力することでネストされたオブジェクト・クラスを作成できます。その場合、ネストされたクラスのRDNは子オブジェクト・クラスの属性である必要があります。たとえば、場所情報が使用可能で組織単位(ou)情報の駆動にも使用できる、人々に関する表のレコードに対して親組織単位を作成できます。 |
オブジェクト・クラスのLDAP属性とRDNを、データベース表およびフィールドにマップします。オブジェクト・クラスのRDN値のLDAP属性をマップする必要があります。選択したオブジェクト・クラスのLDAPスキーマに必要なすべてのLDAP属性をマップする必要はありません。
「オブジェクト・クラス」表で適切なオブジェクト・クラスをクリックし、「属性マッピング」表の「マッピング属性の追加」ボタンをクリックします。次の情報を入力します。
「LDAP属性」リストから、オブジェクト・クラスのLDAP属性値を選択します。
「データベース表:フィールド」リストから、適切なデータベース表とフィールドを選択します。
オプションで、「データ型」リストから、属性タイプの説明を選択します。
注意: 属性をデータベースのBLOB列にマップする場合は、「データ型」リストからBLOBを選択する必要があります。 |
すべてのオブジェクト・クラスおよび属性マッピングを定義したら、オブジェクト・クラス・マッピングのマップ画面で「次へ」をクリックします。データベース・アダプタの設定がリストされた「概要」画面が表示されます。
データベース・アダプタ設定を確認し、「終了」をクリックしてデータベース・アダプタを作成します。「アダプタ」ツリーに、新しいデータベース・アダプタが表示されます。
アダプタが起動すると、Oracle Virtual Directoryがデータベースに接続され、属性を定義されているLDAPスキーマと一致させるために、定義済のすべてのLDAP属性および対応する表と列の情報が取得されます。マップされたLDAP属性がすでに定義されている場合は、データベース・ソースの書式からターゲットLDAPスキーマの書式へのマッピングの作成が試行されます。LDAP属性が未定義の場合は、データベース・アダプタによって、一時的に属性がデータベース書式に最も綿密にマップするサーバー・スキーマに追加されます(この定義は永続Oracle Virtual Directoryスキーマ構成には追加されません)。
データベース・アダプタを作成したら、第12.2.3項「データベース・アダプタの構成」の手順に従って構成できます。
Oracle RACデータベースとともに使用するデータベース・アダプタを作成するには、第12.2項「データベース・アダプタの作成」の手順に従いますが、「接続」画面でOracle RACデータベースへの接続を構成するときは、次の手順を実行します。
「URLタイプ」リストから「カスタムURLの使用」を選択します。
「データベースURL」フィールドに、次のようなOracle RACデータベースに接続するためのURLを入力します。
jdbc:oracle:oci:@(DESCRIPTION=(ADDRESS_LIST=(LOAD_ BALANCE=ON)(ADDRESS=(PROTOCOL=TCP)(HOST=host-name-1)(PORT=1521))(ADDRESS= (PROTOCOL=TCP)(HOST=host-name-2)(PORT=1521)))(CONNECT_ DATA=(SERVER=DEDICATED)(SERVICE_NAME=database-service-name)))
注意: Oracle Virtual Directoryデータベース・アダプタは、Oracle RACに対して高速接続フェイルオーバー(FCF)をサポートしていません。ただし、Oracle RAインスタンスに障害が発生すると、Oracle Virtual Directoryは存続しているRACインスタンスに再接続します。 |
Oracle TimesTen In-Memory Databaseとともに使用するデータベース・アダプタを作成するには、次の手順を実行します。
ネイティブOracle TimesTenライブラリがOracle Virtual Directoryからアクセスできない場合、Oracle TimesTen In-Memory Databaseクライアントをインストールする必要があります。
Oracle Virtual Directoryのopmn.xmlファイルで、Oracle TimesTenライブラリの場所を追加し、Oracle TimesTen JDBCドライバの場所をクラスパスに追加します。opmn.xmlファイルは次のディレクトリにあります。
ORACLE_INSTANCE/config/OPMN/opmn/
Oracle TimesTenライブラリの場所を設定する場合:
UNIXおよびLinuxプラットフォームの場合はLD_LIBRARY_PATH環境変数を追加します。また、WindowsではPATH環境変数を追加します。
たとえば、UNIXおよびLinuxプラットフォームでは、次のようにLD_LIBRARY_PATH環境変数を追加します。ここで、TIMESTEN_HOMEはOracle TimesTenソフトウェアをインストールしたディレクトリを表します。
注意: Windowsプラットフォームでは、opmn.xmlファイルで設定するPATH環境変数に、Oracle TimesTen binディレクトリ(TIMESTEN_HOME/binなど)を含める必要があります。 |
例12-1 UNIX/LinuxでのOracle TimesTenライブラリの場所の設定
<ias-component id="ovd1"> <process-type id="OVD" module-id="OVD"> <environment> <variable id="TNS_ADMIN" value="$ORACLE_INSTANCE/config"/> <variable id="LD_LIBRARY_PATH" value="/TIMESTEN_HOME/lib" append="true"/> </environment>
Oracle TimesTen JDBCドライバの場所をクラスパスに追加する場合:
次のようにTimesTen JDBCドライバのパスが含まれるようjava-classpathを設定します。ここで、TIMESTEN_HOMEはOracle TimesTenソフトウェアをインストールしたディレクトリを表します。
例12-2 Oracle TimesTen JDBCドライバの場所のクラスパスへの追加
<module-data> <category id="start-options"> <data id="java-bin" value="$ORACLE_HOME/jdk/bin/java"/> <data id="java-options" value="-server -Xms512m -Xmx512m -Dvde.soTimeoutBackend=0 -Doracle.security.jps.config=$ORACLE_INSTANCE/config/JPS/jps-config-jse.xml"/> <data id="java-classpath" value="$ORACLE_HOME/ovd/jlib/vde.jar$: $ORACLE_HOME/jdbc/lib/ojdbc6.jar:/TIMESTEN_HOME/lib/ttjdbc6.jar"/> </category> </module-data>
OPMNに構成を再ロードし、Oracle Virtual Directoryを停止した後起動します。次に例を示します。
OPMNに構成を再ロードするには、次を実行します。
ORACLE_INSTANCE/bin/opmnctl reload
Oracle Virtual Directoryを停止するには、次を実行します。
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=NAME_OF_OVD_COMPONENT
Oracle Virtual Directoryを起動するには、次を実行します。
ORACLE_INSTANCE/bin/opmnctl startproc ias-component=NAME_OF_OVD_COMPONENT
Oracle TimesTenのデータベース・ソース名(DSN)を作成します。詳細は、Oracle Technology Network Webサイトで『Oracle TimesTenオペレーション・ガイド』を参照してください。
Oracle Directory Services Managerを使用してOracle TimesTen用のデータベース・アダプタを作成します。Oracle TimesTen用のデータベース・アダプタを作成する場合、次のようにします。
アダプタがOracle TimesTenクライアントのみのインストール用の場合:
新規データベース・アダプタ・ウィザードの「URLタイプ」リストから「カスタムURLの使用」オプションを選択します。
「JDBCドライバ・クラス」フィールドに次のように入力します。
com.timesten.jdbc.TimesTenDriver
「データベースURL」フィールドに次のように入力します。DSN
はステップ4で作成したデータベース・ソース名に置き換えます。
jdbc:timesten:client:dsn=DSN
第12.2項「データベース・アダプタの作成」を参照してアダプタの作成を継続します。
アダプタがOracle TimesTenクライアントおよびサーバー・インストール用の場合:
新規データベース・アダプタ・ウィザードの「URLタイプ」リストから「事前定義済データベースの使用」オプションを選択します。
「データベース・タイプ」リストから「Oracle - Times-Ten」を選択します。
「URLタイプ」リストから「カスタムURLの使用」オプションを選択します。
「データベースURL」フィールドに次のように入力します。DSN
はステップ4で作成したデータベース・ソース名に置き換えます。
jdbc:timesten:direct:dsn=DSN
第12.2項「データベース・アダプタの作成」を参照してアダプタの作成を継続します。
注意: 第12.2.3.1項「データベース・アダプタの一般設定の構成」に記載されているとおり、「大/小文字区別なしの検索の有効化」オプションを使用すると、Oracle TimesTenデータベースのuidなどの大/小文字区別なしのLDAP属性の検索時に、データベース・アダプタのパフォーマンスが向上します。「大/小文字区別なしの検索の有効化」オプションの有効化に加え、検索に使用されるデータベース列の言語索引をデータベースに作成する必要があります。Oracle TimesTenデータベースの言語索引の詳細は、『Oracle Databaseグローバリゼーション・サポート・ガイド』 を参照してください。 |
この項では、データベース・アダプタ設定の構成方法を説明します。この項の内容は次のとおりです。
データベース・アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックし、「一般」タブをクリックして次に示すフィールドに値を設定し、「適用」をクリックしてアダプタの一般設定を構成できます。
このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
アダプタは、アクティブ(有効)または非アクティブ(無効)として構成できます。非アクティブに構成されたアダプタは、サーバーの再起動時やアダプタの起動の試行時には起動しません。非アクティブの設定は、古い構成を使用可能な状態にしておく場合や、構成から削除せずにスタンバイ状態にしておく場合に使用します。デフォルト設定はアクティブです。
「一般」タブの「接続の設定」セクションには、次のフィールドが表示されます。
次の「URLタイプ」リストからオプションを1つ選択します。データベース・アダプタ接続設定の一部のフィールドは、選択するオプションによって異なります。オプションを選択したら、各オプションにリストされているフィールドを設定して、「接続の設定」の構成を続行します。
カスタムURLの使用: このオプションは、Oracle Virtual Directoryをカスタム・データベースに接続する場合に選択します。
「JDBCドライバ・クラス」フィールドに、データベースのJDBCドライバ・クラスの名前を入力します。
「データベースURL」フィールドに、Oracle Virtual Directoryがデータベースへのアクセスに使用するURLを入力します。
「データベース・ユーザー」フィールドに、データベース・アダプタがデータベースへの接続に使用するユーザー名を入力します。
「パスワード」フィールドに、「データベース・ユーザー」フィールドに入力したユーザー名のパスワードを入力します。このフィールドに入力する値は、起動時にOracle Virtual Directoryにより、可逆的にマスクされた値に置き換えられます。
事前定義済データベースの使用: このオプションは、事前定義済データベースに接続する場合に選択します。事前定義済データベースは、「URLタイプ」リストから「事前定義済データベースの使用」を選択した後に「データベース・タイプ」リストに表示されます。使用するデータベース・タイプがOracle Virtual Directoryに事前に定義されているか不明な場合は、「URLタイプ」リストから「事前定義済データベースの使用」を選択し、使用するデータベースが「データベース・タイプ」リストに含まれているかどうかを確認します。「データベース・タイプ」リストにデータベースがリストされている場合は、次の手順に進みます。データベースがリストされていない場合は、「URLタイプ」リストから「カスタムURLの使用」を選択し、カスタムURLを使用する場合の手順を実行します。
「データベース・タイプ」リストから、データベース・タイプを選択します。データベース・タイプを選択すると、「JDBCドライバ・クラス」および「データベースURL」フィールドにデータベースの適切な情報が移入されます。
「ホスト」フィールドに、データベースのIPアドレスまたはDNSホスト名を入力します。
「ポート」フィールドに、データベースがリスニングするポート番号を入力します。
「データベース名」フィールドに、Oracle SIDなどのデータベース名を入力します。
「データベース・ユーザー」フィールドに、データベース・アダプタがデータベースへの接続に使用するユーザー名を入力します。
「一般」タブの「設定」セクションには、次のフィールドが表示されます。
データベースのオブジェクト・クラスは論理オブジェクトであり、マッピングで表の列に直接マップされないため、オブジェクト・クラス属性を変更するとエラーが発生することがあります。「Objectclassの変更の無視」オプションが有効化されている場合、データベース・アダプタによってオブジェクト・クラス属性の参照がすべて削除され、エラーはクライアント・アプリケーションに送信されず、無視されます。「Objectclassの変更の無視」オプションが選択されていない場合、エラー・メッセージはクライアント・アプリケーションに送信されます。
この設定を使用すると、データベース・アダプタにより、オブジェクト・クラス属性のメインのオブジェクト・クラスとともに、オブジェクト・クラスの親クラスもリストされます。Microsoft Active Directoryサーバーのスキーマをエミュレートする場合には、この設定を無効化します。objectclass=xxxという問合せが親のオブジェクト・クラス値に対して実行されるため、ほとんどのシナリオで、この設定を有効化しておくと便利です。
「大/小文字区別なしの検索の有効化」オプションを有効化(選択)すると、uidなどの大/小文字の区別のないLDAP属性が、大/小文字区別なしで検索されます。Oracle Virtual Directoryは、「大/小文字区別なしの検索の有効化」オプションが有効な場合、SQL問合せのUPPERを使用します。データベースが、Oracle TimesTenデータベースまたはMySQLデータベースなどの機能別索引を保持できない場合は、「大/小文字区別なしの検索の有効化」オプションを無効にする必要があります。「大/小文字区別なしの検索の有効化」オプションを無効にすると、Oracle Virtual Directoryは大/小文字を区別して検索を実行し、SQL問合せのUPPERを使用しません。「大/小文字区別なしの検索の有効化」オプションのデフォルト値は、「有効」有効です。
この設定は、データベース・アダプタがデータベースに作成する最大接続数を定義します。(デフォルトは10です。)
この設定は、データベースとの接続の確立中、タイムアウトするまでにデータベース・アダプタが待機する期間(秒単位)を定義します。(デフォルトは10です。)
注意: 「最大接続数」および「接続待機タイムアウト」パラメータの許容可能な最小および最大設定は、Oracle Virtual Directoryとそのデータベースを実行しているシステムに応じて異なります。 |
「一般」タブの「DB/LDAPマッピング」セクションには、次のフィールドが表示されます。
このフィールドには、データベース・アダプタが使用するように設定されているデータベース表が表示されます。データベース表を追加するには、「追加」ボタンをクリックし、表ファイルに移動して選択し、「OK」をクリックします。
「一般」タブの「オブジェクト・クラス」セクションには、次のフィールドが表示されます。
このフィールドには、データベース表にマップするオブジェクト・クラスとそのRDNが表示されます。オブジェクト・クラス・マッピングを追加するには、「作成」ボタンをクリックして「オブジェクト・クラス」リストから適切なオブジェクト・クラスを選択し、「RDN」フィールドにそのオブジェクト・クラスのRDN値を入力して「OK」をクリックします。
アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックして「ルーティング」タブをクリックし、第3.2項「ルーティング設定の概要」を参照することで、そのアダプタのルーティングを構成できます。
アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックして「プラグイン」タブをクリックし、第13.1項「アダプタ・プラグインの管理」および第14.3項「アダプタへのマッピングの適用」を参照することで、そのアダプタにプラグインおよびマッピングを適用できます。
この項では、ローカル・ストア・アダプタの作成および構成方法について説明します。この項の内容は次のとおりです。
Oracle Directory Services Managerを使用してローカル・ストア・アダプタを作成するには、次の手順を実行します。
Oracle Directory Services Managerにログインします。
タスク選択バーから「アダプタ」を選択します。「アダプタ」ナビゲーション・ツリーが表示されます。
「アダプタの作成」ボタンをクリックします。新規アダプタ・ウィザードが表示されます。
アダプタのタイプを定義するには、次の手順を実行します。
「アダプタ・タイプ」リストから「ローカル・ストア」を選択します。
「アダプタ名」フィールドにローカル・ストア・アダプタの一意の名前を入力します。アダプタ名の値は、そのアダプタを参照する必要のある他の構成フィールドで使用されます。
第2.9項「アダプタ・テンプレートの概要」を参照して、「アダプタ・テンプレート」リストからアダプタ・テンプレートを選択します。使用するテンプレートが不明な場合は、「デフォルト」テンプレートを使用します。
注意: アダプタ・テンプレートを選択すると、Oracle Directory Services Managerによってアダプタ設定の一部のデフォルト値が移入されます。これらのデフォルト値は、使用する環境に合せて変更する必要があります。 |
「次へ」をクリックします。「設定」画面が表示されます。
「アダプタ接尾辞/ネームスペース」フィールドに有効なベースDNを(DN形式で)入力します。このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
「アダプタ接尾辞の作成」オプションを選択し、「アダプタ接尾辞/ネームスペース」フィールドで指定した値を使用してローカル・ストア・アダプタのベース・エントリを作成します。
注意: 「アダプタ接尾辞の作成」オプションを有効化した場合、「設定」画面で「次」をクリックすると「オブジェクト・クラス」画面が表示されます。「オブジェクト・クラス」画面が表示されたら、ローカル・ストア・アダプタのベース・エントリのオブジェクト・クラスを選択します。 |
「データベース・ファイル」フィールドに、Oracle Virtual Directoryインストールに相対的なパスと、ローカル・ストア・アダプタ・データファイルの一意のファイル名接頭辞を入力します。有効な名前は、data/localDBなどです。複数のローカル・ストア・アダプタを使用している場合、この値は、アダプタごとに一意にする必要があり、それ以外の場合はデータの破損が発生します。
「キャッシュ・サイズ」フィールドにローカル・ストア・アダプタ・キャッシュのサイズを入力します。「キャッシュ・サイズ」オプションにより、常に最後にアクセスまたは書き込まれたエントリが含まれるローカル・ストア・アダプタによりキャッシュされるエントリの数が決定されます。エントリのサイズにより、必要なメモリー量が決まります。
注意: グループやバイナリ・オブジェクトなどの大規模なエントリを格納すると、Oracle Virtual Directoryで、通常より多くのメモリーが消費される可能性があります。Oracle Virtual Directoryで使用できる全体的なメモリー量を増やすことを検討してください。 |
「パスワード・ハッシュ・モード」リストからオプションを選択して、パスワード・ハッシュ・タイプを選択します。最もセキュアなアルゴリズムはSSHAですが、互換性を考慮してその他のアルゴリズムも提供されています。「PLAIN」を選択すると、ハッシュしないと値付けされたパスワードは、内部のローカル・ストア・アダプタのデータ・ストアに残ります。
「バックアップ・ファイル」フィールドに、Oracle Virtual Directoryインストールに相対的なパスと、自動バックアップが格納される一意のファイル名を入力します。有効なバックアップ・ファイルは、backup/localDBなどです。別のローカル・ストア・アダプタによる上書きを防ぐため、バックアップ・ファイル名はローカル・ストア・アダプタ固有のものにする必要があります。
「バックアップ時間 - 時間」フィールドに時間(0から23)を入力し、ローカル・ストア・アダプタの自動バックアップを実行する時間を設定します。
「バックアップ時間 - 分」フィールドに分(0から59)を入力し、ローカル・ストア・アダプタの自動バックアップを実行する分を設定します。
「バックアップ・ファイルの最大数」フィールドにバックアップ・ファイルの最大数を入力し、ローカル・ストア・アダプタのバックアップ・ファイルのローテーションを維持します。
「次へ」をクリックします。「オブジェクト・クラス」画面が表示されます。
メニューからオブジェクト・クラスを選択します。
dcObject。
domain。
orclMailPop3Conf。
「次へ」をクリックします。ローカル・ストア・アダプタの設定がリストされた「概要」画面が表示されます。
ローカル・ストア・アダプタ設定を確認し、「終了」をクリックしてローカル・ストア・アダプタを作成します。「アダプタ」ツリーに、新しいローカル・ストア・アダプタが表示されます。
ローカル・ストア・アダプタを作成したら、第12.3.1項「ローカル・ストア・アダプタの構成」の手順に従って構成できます。
この項では、ローカル・ストア・アダプタ設定の構成方法を説明します。この項の内容は次のとおりです。
ローカル・ストア・アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックし、「一般」タブをクリックして次に示すフィールドに値を設定し、「適用」をクリックしてアダプタの一般設定を構成できます。
このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
アダプタは、アクティブ(有効)または非アクティブ(無効)として構成できます。非アクティブに構成されたアダプタは、サーバーの再起動時やアダプタの起動の試行時には起動しません。非アクティブの設定は、古い構成を使用可能な状態にしておく場合や、構成から削除せずにスタンバイ状態にしておく場合に使用します。デフォルト設定はアクティブです。
「読取り専用」オプションを有効化すると、アダプタが変更トランザクションを受け付けず、検索のみが可能になります。デフォルト設定では無効化されており、アダプタは読取り/書込みモードです。
「一般」タブの「索引」セクションには、次のフィールドが表示されます。
「所在」フィールドには、(attrname=*)形式の検索フィルタの操作に必要で、エントリ内での所在を迅速に特定する必要のある属性タイプのリストが含まれます。リストに属性を追加するには、「追加」をクリックし、表示されるダイアログ・ボックスから属性を選択して「OK」をクリックします。
「完全」索引フィールドには、sn=smithなど、完全一致索引の検索をサポートする属性のリストが含まれます。順序付き索引を使用している場合、この索引は冗長です。リストに属性を追加するには、「追加」をクリックし、表示されるダイアログ・ボックスから属性を選択して「OK」をクリックします。
「順序」フィールドには、順序付け検索(sn<=Smithなど)、完全一致検索、および最初のサブストリングによる検索(sn=Smi*など)を有効化する属性のリストが含まれます。LDAPフィルタでは<=および>=順序関係のみを使用できます。 <および>はLDAPv3ではサポートされていません。リストに属性を追加するには、「追加」をクリックし、表示されるダイアログ・ボックスから属性を選択して「OK」をクリックします。
「サブストリング」オプションは、順序付き索引に加え、sn=*ithなど、最後のサブストリングによる検索が必要な場合にのみ必要です。通常、最初のサブストリングによる検索は、順序付き索引を使用して処理されます。リストに属性を追加するには、「追加」をクリックし、表示されるダイアログ・ボックスから属性を選択して「OK」をクリックします。
特に索引付けされていない属性の、低パフォーマンスでの検索を有効化または無効化します。「索引付けされていない検索」が無効化されている場合、索引付けされていない属性の検索では結果が戻されません(falseと評価されます)。
「一般」タブの「セキュリティ」セクションには、次のフィールドが表示されます。
センシティブ属性を有効化または無効化します。これは暗号化された値を持つローカル・ストア・アダプタの属性です。「センシティブ属性の有効化」オプションを有効化する場合、「センシティブ属性」フィールドを使用して値を暗号化する属性を指定する必要があります。
「センシティブ属性の有効化」を選択すると、「センシティブ属性」フィールドにリストされた属性の値が暗号化されます。
「一般」タブの「データベース」セクションには、次のフィールドが表示されます。
ORACLE_INSTANCE/ovd/SYSTEM_COMPONENT_NAMEに相対的なパスと、ローカル・ストア・アダプタ・データファイルの一意のファイル名接頭辞を入力します。SYSTEM_COMPONENT_NAMEは通常、ovd1です。複数のローカル・ストア・アダプタを使用している場合、この値は、アダプタごとに一意にする必要があり、それ以外の場合はデータの破損が発生します。
「パスワード・ハッシュ・モード」リストからオプションを選択して、パスワード・ハッシュ・タイプを選択します。最もセキュアなアルゴリズムはSSHAですが、互換性を考慮してその他のアルゴリズムも提供されています。「PLAIN」を選択すると、ハッシュしないと値付けされたパスワードは、内部のローカル・ストア・アダプタのデータ・ストアに残ります。
エントリを追加する場合、LDAP RFCでは、追加するエントリの属性リストに相対識別名(RDN)、つまり一番左のDN項目が存在することが必要とされています。いくつかのディレクトリ製品ベンダーでは、これが無視されて属性リストにRDN値がなくても許容されていますが、それにより、この動作に依存しているアプリケーションで互換性の問題が発生することがあります。「自動RDN」を有効化すると、Oracle Virtual Directoryによって欠落している属性を自動的に作成できます。デフォルト設定では無効化されています。
データベースを正常にバックアップしたら、Oracle Virtual Directoryでは、オプションでデータベース・ファイルを圧縮できます。ローカル・ストア・アダプタ・データが頻繁に変更される場合は、データベースを管理可能なサイズに維持するのに役立ちます。デフォルト設定では無効化されています。
注意: Windowsプラットフォームでは、「自動圧縮」機能を無効化することをお薦めします。Windowsでは、ファイル名の変更機能が保証されず、データの破損や損失につながる場合があります。 |
新規エントリの追加や変更が行われると、まずトランザクション・ログに書き込まれ、トランザクションのディスクへの書込みが保証されるだけでなく、アプリケーションのレスポンスも高速になります。
このオプションでは、トランザクション・ログを切り捨てるサイズ(バイト単位)を決定します。未処理のトランザクションが原因で、ログがこのオプションにリストされているサイズを超えたとしても、データ・ストアへの配置および索引付けが行われていないエントリは、トランザクション・ログから削除されません。
継続的に切捨てが行われる小さなトランザクション・ログの場合、大量のエントリが追加されると、かなりの量のオーバーヘッドが追加されます。初期一括ロードに備えてトランザクション・ログは可能なかぎり大きくし、本番環境に移行する前に、後からサイズを小さくします。
このオプションでは、ローカル・ストア・アダプタによりメモリー内にキャッシュされるエントリ数を決定します。最後にアクセスまたは書き込まれたエントリが必ず含まれます。必要なメモリー量は、エントリのサイズにより決定されます。
グループやバイナリ・オブジェクトなどの大規模なエントリを格納すると、Oracle Virtual Directoryで、通常より多くのメモリーが消費される可能性があります。Oracle Virtual Directoryで使用できる全体的なメモリー量を増やすことを検討してください。
「一般」タブの「バックアップ」セクションには、次のフィールドが表示されます。
ORACLE_INSTANCE/ovd/SYSTEM_COMPONENT_NAMEに相対的な、自動バックアップの格納先となる一意のファイル名を指すパス。SYSTEM_COMPONENT_NAMEは通常、ovd1です。別のローカル・ストア・アダプタによる上書きを防ぐため、バックアップ・ファイル名はローカル・ストア・アダプタ固有のものにする必要があります。
ローカル・ストア・アダプタの自動バックアップを実行する時間(0から23)。
ローカル・ストア・アダプタの自動バックアップを実行する分(0から59)。
ローカル・ストア・アダプタのバックアップ・ファイルのローテーションに維持するバックアップ・ファイルの最大数。
アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックして「ルーティング」タブをクリックし、第3.2項「ルーティング設定の概要」を参照することで、そのアダプタのルーティングを構成できます。
アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックして「プラグイン」タブをクリックし、第13.1項「アダプタ・プラグインの管理」および第14.3項「アダプタへのマッピングの適用」を参照することで、そのアダプタにプラグインおよびマッピングを適用できます。
この項では、結合ビュー・アダプタの作成および構成方法について説明します。この項の内容は次のとおりです。
注意: この項では、結合ビュー・アダプタを使用して結合するアダプタがすでに存在していることを前提としています。 |
結合ビュー・アダプタ作成のための前提条件
任意のタイプの結合ビュー・アダプタを作成およびデプロイする前に、結合ビュー・アダプタのプライマリ・アダプタとなるアダプタを作成する必要があります。詳細は、「結合ビュー・アダプタのプライマリ・アダプタ」を参照してください。
Shadow結合ビュー・アダプタを作成する前に、プライマリ・アダプタを作成することに加え、Oracle Internet Directoryに接続するLDAPアダプタ、またはShadowエントリを格納するローカル・ストア・アダプタを作成する必要があります。LDAPアダプタとOracle Internet Directoryを使用する場合は、LDAPアダプタのベースDNがOracle Internet Directoryに存在する必要があります。ローカル・ストア・アダプタを使用する場合は、ローカル・ストア・アダプタのベースDNがOracle Virtual Directoryに存在する必要があります。
結合ビュー・アダプタの作成
前提条件を満たしたら、Oracle Directory Services Managerを使用して、結合ビュー・アダプタを作成するための次の手順を実行します。
Oracle Directory Services Managerにログインします。
タスク選択バーから「アダプタ」を選択します。「アダプタ」ナビゲーション・ツリーが表示されます。
「アダプタの作成」ボタンをクリックします。新規アダプタ・ウィザードが表示されます。
アダプタのタイプを定義するには、次の手順を実行します。
「アダプタ・タイプ」リストから「結合」を選択します。
「アダプタ名」フィールドに結合アダプタの一意の名前を入力します。アダプタ名の値は、そのアダプタを参照する必要のある他の構成フィールドで使用されます。
「アダプタ・テンプレート」リストから「デフォルト」テンプレートを選択します。
注意: アダプタ・テンプレートを選択すると、Oracle Directory Services Managerによってアダプタ設定の一部のデフォルト値が移入されます。これらのデフォルト値は、使用する環境に合せて変更する必要があります。 |
「次へ」をクリックします。「設定」画面が表示されます。
「アダプタ接尾辞/ネームスペース」フィールドに、結合ビュー・アダプタが情報を提供するルートDNを入力します。定義されているDNとその下の子エントリは、アダプタのネームスペースです。このフィールドに入力する値は、仮想ディレクトリのクライアントに表示される値です。値は、カンマ区切りの識別名として指定する必要があります。
注意: 結合ビュー・アダプタのルートDNは、プライマリ・アダプタまたは任意の結合アダプタのルートDNと異なることを確認してください。予期しない重複が発生する場合があります。 |
「プライマリ・アダプタ」リストから選択することで、結合ビュー・アダプタのプライマリ・アダプタを選択します。プライマリ・アダプタは、結合ビューのデータのプライマリ・ドライバで、結合ビュー・アダプタがディレクトリ階層を構築するときに使用されます。結合ビュー・アダプタのエントリが存在するのは、プライマリ・アダプタ内にある場合にのみです。任意のアダプタをプライマリ・アダプタにできます。詳細は、「結合ビュー・アダプタのプライマリ・アダプタ」を参照してください。
注意: 結合ビューを定義およびデバッグしたら、プライマリ・アダプタの「可視性」ルーティング設定を非表示に設定し、結合されないエントリをLDAPクライアントに非表示にできます。 |
「バインド・アダプタ」フィールドにバインド検証を実行するアダプタの名前を入力するか、「参照」をクリックしてアダプタを選択します。LDAPクライアントはプライマリ・アダプタに基づいてDNとバインドできますが、別のアダプタの結合エントリに対してパスワードが確認されることがあります。バインド・アダプタは、プライマリ・アダプタまたは結合アダプタのいずれかである必要があります。
「次へ」をクリックします。結合ビュー・アダプタ設定の概要が表示された「概要」画面が表示されます。
結合ビュー・アダプタ設定を確認し、「終了」をクリックして結合ビュー・アダプタを作成します。「アダプタ」ツリーに、新しい結合ビュー・アダプタが表示されます。
結合ビュー・アダプタを作成したら、第12.4.1項「結合ビュー・アダプタの構成」の手順に従って構成できます。
この項では、結合ビュー・アダプタ設定の構成方法を説明します。この項の内容は次のとおりです。
結合ビュー・アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックし、「一般」タブをクリックして次に示すフィールドに値を設定し、「適用」をクリックしてアダプタの一般設定と結合ルールを構成できます。
このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
注意: 結合ビュー・アダプタのルートDNは、プライマリ・アダプタまたは任意の結合アダプタのルートDNと異なることを確認してください。予期しない重複が発生する場合があります。 |
アダプタは、アクティブ(有効)または非アクティブ(無効)として構成できます。非アクティブに構成されたアダプタは、サーバーの再起動時やアダプタの起動の試行時には起動しません。非アクティブの設定は、古い構成を使用可能な状態にしておく場合や、構成から削除せずにスタンバイ状態にしておく場合に使用します。デフォルト設定はアクティブです。
「一般」タブの「設定」セクションには、次のフィールドが表示されます。
member、uniquemember、managerなど、ネームスペース変換が必要なDNとして処理される属性のリスト。たとえば、これらの属性が「DN属性」リストにある場合、プロキシ・ディレクトリからのグループ・エントリを読み取る際には、Oracle Virtual Directoryでuniquememberまたはmember属性だけでなく、グループ・エントリ自体のDNが自動的に変換されます。
注意: クライアント・アプリケーションで使用する必要があるとわかっている属性のみを変換します。可能性のあるすべてのDN属性を入力する必要はありません。入力すると、プロキシで消費されるCPU時間が少し増加します。 |
「DN属性のマップ」リストに属性を追加するには、次のようにします。
「追加」をクリックします。「DN属性の選択」ダイアログ・ボックスが表示されます。
追加する属性を選択します。
「OK」をクリックします。
プライマリ・アダプタは、結合ビューのデータのプライマリ・ドライバで、結合ビュー・アダプタがディレクトリ階層を構築するときに使用されます。結合ビュー・アダプタのエントリが存在するのは、プライマリ・アダプタ内にある場合にのみです。任意のアダプタをプライマリ・アダプタにできます。詳細は、「結合ビュー・アダプタのプライマリ・アダプタ」を参照してください。
バインド処理に使用される1つ以上のアダプタ名のリスト。デフォルトで、プライマリ・アダプタが使用されますが、上書きして別のアダプタを1つ以上リストできます。結合ビュー・アダプタは、ターゲット・アダプタに対する結合の完了と、バインド処理を試行します。バインドに成功すると処理が停止し、クライアントに成功が戻されます。バインドに失敗した場合、結合ビュー・アダプタは、「バインド・アダプタ」リストの各アダプタのバインドを試行し続けます。バインドの失敗が戻されるのは、すべてのバインド・アダプタが失敗した場合のみです。これは、ユーザーIDが複数のディレクトリに存在し、クライアントに複数のディレクトリに対するパスワード検証を実行させる場合に便利です。
結合ルール
結合ビュー・アダプタの結合関係を作成するには、次の手順を実行します。
「作成」ボタンをクリックします。「結合ルール」ダイアログ・ボックスが表示されます。
結合ビュー・アダプタと結合するアダプタを、「アダプタ」リストから選択します。
「タイプ」リストから結合関係を1つ選択し、結合ビュー・アダプタの結合関係タイプを選択します。結合関係の詳細は、第2.5.2項「結合関係」を参照してください。
次のようにして、「条件」フィールドに結合条件を入力します。
SimpleジョイナおよびOneToManyジョイナの場合は、remoteattribute=primaryadapterattribute
という形式で条件を入力します。ここで、remoteattribute
はターゲット結合アダプタの属性で、primaryadapterattrinute
はプライマリ・アダプタの属性です。
Shadowジョイナの場合は、名前の変更の際にレコードの検出に使用できるuid
など、プライマリ・アダプタの一意のキー属性名を入力します。Shadowジョイナでは、他のジョイナとは異なり、条件は等価条件ではありません。
ConditionalSimpleJoinerの場合は、;
文字、およびemployeenumber>0
など、その場合にのみ結合が行われる追加の条件を使用して、条件のSimpleジョイナ・タイプを拡張します。
たとえば、Simpleジョイナ条件がemployeenumber=employeenumber
であるとします。
;
文字や、次のような追加の条件を使用して、ConditionalSimpleJoiner用にこの条件を拡張します。
employeenumber=employeenumber;(&(employeenumber=101)(sn=Smith))
「結合ルール」ダイアログ・ボックスで「OK」をクリックし、結合関係の情報を保存します。「結合ルール」表に結合関係情報が表示されます。
「一般」タブのページ上部にある「適用」をクリックして、結合をデプロイします。
注意: キーの異なる2つのアダプタをプライマリ・アダプタに結合するには、それぞれに単一のキーを持つ複数の結合ルールを作成します。単一の結合ルールの作成に複数のキーが必要な際には、固有の基準に応じて、ConditionalSimpleJoinerを使用できる場合や、カスタムの結合ルールの書込みが必要な場合があります。 |
結合ビュー・アダプタの結合関係を変更する手順は、次のとおりです。
「結合ルール」表で変更する結合関係の名前をクリックします。画面の下半分に結合関係の設定が表示された分割画面が表示されます。
必要に応じて結合関係を編集します。
画面の下半分にある「適用」をクリックして変更内容を保存します。
「一般」タブのページ上部にある「適用」をクリックして、結合をデプロイします。
結合ビュー・アダプタの結合関係を削除するには、次の手順を実行します。
「結合ルール」表で削除する結合関係の名前をクリックします。
「結合ルール」表で、「削除」ボタンをクリックします。結合関係の削除の確認を要求する確認のダイアログ・ボックスが表示されます。
確認のダイアログ・ボックスで「削除」をクリックし、結合関係を削除します。「結合ルール」表から結合関係が削除されます。
アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックし、「ルーティング」タブをクリックし、第3.2項「ルーティング設定の概要」を参照することで、そのアダプタのルーティングを構成できます。さらに、結合ビュー・アダプタ・ルーティングを構成する際の次の固有情報を確認してください。
プライマリ・アダプタのルーティング
結合ビュー・アダプタのプライマリ・アダプタは結合ビューのデータのプライマリ・ドライバであり、結合ビュー・アダプタがディレクトリ階層を構築するときに使用されるため、プライマリ・アダプタのルーティングも構成する必要があります。
プライマリ・アダプタの「取得可能な属性」および「格納可能な属性」ルーティング設定を変更して、どの属性をプライマリ・アダプタに書き込むかを制御します。Oracle Virtual Directoryがプライマリ・アダプタに変更を書き込めないようにする場合は、「格納可能な属性」を_never
に設定します。
結合ビュー・アダプタのローカル・ストア・ディレクトリとしてのローカル・ストア・アダプタのルーティング
ローカル・ストア・アダプタを、結合ビュー・アダプタのローカル・ストア・ディレクトリとして使用している場合は、ローカル・ストア・アダプタのルーティング設定の調整が必要な場合があります。
ローカルに書き込まれる属性のみがリストされるように、ローカル・ストア・アダプタの「格納可能な属性」ルーティング設定を変更します。結合ルールで使用される一意のキー属性およびvdeprimaryref属性を含めます。LDAPクライアントに表示しない場合は、オプションで、「可視性」ルーティング設定を「内部」に設定します。
アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックして「プラグイン」タブをクリックし、第13.1項「アダプタ・プラグインの管理」および第14.3項「アダプタへのマッピングの適用」を参照することで、そのアダプタにプラグインおよびマッピングを適用できます。
次の手順は、結合ビューShadowアダプタをOracle Internet Directoryとともに使用するよう構成するためのプロセスの概要を示します。
Oracle Internet Directoryでの手順:
Oracle Internet Directoryスキーマを拡張し、次の手順を実行してshadowオブジェクト/属性のサポートを追加します。
次の情報を使用してLDIFファイルを作成します。
dn: cn=subschemasubentry changetype: modify add: attributetypes attributetypes: ( 1.3.6.1.4.1.17119.1.0.1 NAME 'vdeprimaryref' EQUALITY caseIgnoreMatch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' USAGE userApplications ) dn: cn=subschemasubentry changetype: modify add: objectclasses objectclasses: ( 1.3.6.1.4.1.17119.1.1.1 NAME 'vdeShadowObject' SUP 'top' STRUCTURAL MUST vdeprimaryref )
Oracle Internet Directoryのldapmodify
ツールを使用し、次のようにしてLDIFファイルをインポートします。
ldapmodify -h ORACLE_INTERNET_DIRECTORY_HOST -p ORACLE_INTERNET_DIRECTORY_PORT -D bindDN -q -v -f PATH_TO_LDIF_FILE
cn=shadowentries
orclcontainerオブジェクトを作成して、その他の通常ユーザー・エントリを含むシャドウ・エントリとの混同を避けるために、通常ユーザーとは別のブランチにシャドウ・エントリを格納します。
Oracle Virtual Directoryでの手順:
手順2で作成したOracle Internet Directoryのブランチに接続するLDAPアダプタを作成し、Shadow結合のみがアクセスするように可視性を「内部」に設定します。
「格納可能な属性」フィールドに、シャドウ・エントリに格納する属性のカンマ区切りのリストが続くvdeprimaryref,
uid
を追加します。プライマリ・アダプタでDNが変更される場合は、uid
をエントリの識別に使用できる属性の名前に置き換えます。たとえば、次のようになります。
vdeprimaryref,uid,cn,obpasswordhistory
Shadow結合がLDAPクライアントに対して表示されるエントリになるように、プライマリ・アダプタの可視性を「内部」に設定します。
新しい結合ビュー・アダプタを作成し、バインド・アダプタをプライマリ・アダプタに設定します。
次のようにして、新しいShadow結合ルールを作成します。
結合アダプタが、手順1で作成したShadow LDAPアダプタになるように設定します。
uid
を条件値として設定します。エントリのプライマリ・キー属性として別の属性を使用している場合は、uidを適切な値に置き換えます。
これらの手順の完了後、結合ビュー経由で公開されているエントリを更新する際には、次の操作が行われます。
Oracle Virtual Directoryにより、プライマリ・アダプタおよびShadow LDAPに書き込む必要のある属性が決定されます。
Oracle Virtual DirectoryによりShadow LDAPへの書込みが行われる場合、(vderef
属性および条件属性値を確認することで)LDAPサーバーにシャドウ設定されたエントリが存在することがまず確認されます。Oracle Virtual Directoryがエントリを検出できない場合は、エントリの作成および属性の更新が行われます。
更新の完了後にOracle Virtual Directoryに接続すると、LDAPクライアントには、すべての属性とともに全エントリが表示されます。