OTNホーム > Oracle WebLogic Server 12.2.1.3.0ドキュメント > 管理コンソール・オンライン・ヘルプ > Oracle Internet Directory認証プロバイダの構成

管理コンソール・オンライン・ヘルプ

前 次 新規ウィンドウで目次を開く
ここから内容の開始

Oracle Internet Directory認証プロバイダの構成

始める前に


Oracle Internet Directory認証プロバイダを使用してOracle Internet Directory LDAP V3サービスに格納されているユーザーおよびグループの情報にアクセスします。

各セキュリティ・レルムには少なくとも1つの認証プロバイダを構成する必要があります。「制御フラグ」属性は、各認証プロバイダのLoginModuleを認証プロセスで使用する方法を決定します。詳細は、JAAS制御フラグの設定を参照してください。

Oracle Internet Directory認証プロバイダがセキュリティ・レルムに構成されている唯一の認証プロバイダである場合は、WebLogic Serverを起動するLDAPユーザーがAdminロールに割り当てられたグループに追加されていることを確認します。そうでない場合、WebLogic Serverは起動できません。Oracle Internet Directory認証プロバイダがLDAPサーバーへの接続に失敗した場合や、例外がスローされた場合は、次に示すステップに従って、このプロバイダの構成設定が正しく設定されていることを確認します。これらの構成設定に関する詳細は、Oracle Internet DirectoryおよびOracle Virtual Directoryの認証プロバイダにおけるユーザーとグループの構成を参照してください。

WebLogic Serverに含まれるすべての認証プロバイダは、アイデンティティ・ドメインをサポートします。Oracle Internet Directory認証プロバイダにアイデンティティ・ドメイン属性が設定されている場合は、そのアイデンティティ・ドメインに定義されたユーザーのみを認証できます。詳細は、セキュリティの構成を参照してください。

Oracle Internet Directory認証プロバイダを構成するには:

  1. まだ行っていない場合、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします(チェンジ・センターの使用を参照)。
  2. 左ペインで「セキュリティ・レルム」を選択して、構成するレルムの名前(myrealmなど)をクリックします。
  3. 「プロバイダ」→「認証」を選択して「新規作成」をクリックします。

    「新しい認証プロバイダの作成」ページが表示されます。
  4. 名前」フィールドに、Oracle Internet Directory認証プロバイダの名前を入力します。
  5. 「タイプ」ドロップダウン・リストから、OracleInternetDirectoryAuthenticatorを選択して、「OK」をクリックします。
  6. 「プロバイダ」→「認証」を選択して、構成を行う新しいOracle Internet Directory認証プロバイダの名前をクリックします。
  7. Oracle Internet Directory認証プロバイダの「構成」ページで、「共通」タブの必要な値を設定します。複数の認証プロバイダを構成する場合は、JAAS制御フラグの設定を参照してください。
  8. プロバイダ固有」タブを選択します。
  9. 接続」ラベルのセクションでは、次の項目を指定します。
    • Oracle Internet Directory LDAPサーバーをホストするマシンのホストとポート
    • WebLogic Serverで接続を確立するために使用されるLDAPユーザーの資格証明
  10. Oracle Internet Directoryへの接続にSSLを使用している場合は、「SSLEnabled」を選択します。詳細は、LDAP認証プロバイダのSSLを有効化を参照してください。
  11. ユーザー」ラベルのセクションでは、Oracle Internet Directory LDAPサーバーのユーザーのディレクトリ構造と一致するように、必要に応じて次の設定を調整します。
    1. ユーザー・ベースDN」でユーザーのLDAPディレクトリ構造が正しく指定されていることを確認します。Oracle Internet Directoryユーザーのデフォルトは、cn=users,dc=us,dc=oracle,dc=comです。
    2. LDAPディレクトリ構造のユーザー・オブジェクト・クラスのユーザー名属性のタイプがcn以外の場合は、「すべてのユーザーのフィルタ」「名前指定によるユーザー・フィルタ」「ユーザー名属性」の各属性の設定で、そのタイプを変更します。たとえば、ユーザー名属性の型がuidの場合は、「すべてのユーザーのフィルタ」を(&(uid=*)(objectclass=person)))に変更します。

      ノート: ユーザーまたはグループに対してLDAP検索フィルタを指定する際には、ワイルドカードを使用できます。ただし、特にユーザー名またはグループ名の属性に複数のアスタリスクのワイルドカードを使用すると、LDAPサーバーのパフォーマンスに悪影響を及ぼします。

  12. グループ」ラベルのセクションでは、Oracle Internet Directory LDAPサーバーのグループのディレクトリ構造と一致するように、必要に応じて以下の設定を調整します(太字は変更の例を示します)。
    1. LDAPディレクトリ構造内の静的グループ・オブジェクトのグループ名属性の型がcn以外の場合は、「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性の設定で型を変更します。

      たとえば、静的グループ名属性のタイプがuidの場合は、「すべてのグループのフィルタ」(&(uid=*)(|(objectclass=groupofUniqueNames)(objectclass=orcldynamicgroup)))に変更し、「名前指定によるグループ・フィルタ」(|(&(uid=%g)(objectclass=groupofUniqueNames))(&(cn=%g)(objectclass=orcldynamicgroup)))に変更します。

    2. LDAPディレクトリ構造内の動的グループ・オブジェクトのグループ名属性の型がcn以外の場合は、「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性の設定で型を変更します。

      たとえば、動的グループ名属性の型がuidの場合は、「すべてのグループのフィルタ」(&(uid=*)(|(objectclass=groupofUniqueNames)(objectclass=orcldynamicgroup)))に変更し、「名前指定によるグループ・フィルタ」(|(&(cn=%g)(objectclass=groupofUniqueNames))(&(uid=%g)(objectclass=orcldynamicgroup)))に変更します。

    3. LDAPディレクトリ構造内の静的グループ・オブジェクト・クラス名が(groupofuniquenamesではなく)groupofnamesであり、静的メンバーDN属性の型が(uniquememberではなく)memberである場合は、「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」objectclass要素を変更します。

      たとえば、「すべてのグループのフィルタ」(&(cn=*)(|(objectclass=groupofnames)(objectclass=orcldynamicgroup)))「名前指定によるグループ・フィルタ」(|(&(cn=%g)(objectclass=groupofnames))(&(cn=%g)(objectclass=orcldynamicgroup)))に設定します。

  13. 「静的グループ」ラベルのセクションでは、Oracle Internet Directory LDAPサーバーの静的グループのスキーマ定義に一致するように、必要に応じて次の変更を行います。
    1. 静的グループ・オブジェクト・クラスのグループ名属性の型がcn以外の場合は、「静的グループ名属性」で型を指定します。指定する型は「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性で指定された名前属性の型と一致している必要があります。
    2. 必要に応じて「静的グループ・オブジェクト・クラス」groupofnamesに変更し、「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性で指定されたクラス名と一致していることを確認します。
    3. 「静的グループ・オブジェクト・クラス」groupofnamesの場合は、「静的メンバーDN属性」memberに変更します。
  14. 「動的グループ」ラベルのセクションでは、「動的グループ名属性」「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性で指定された名前属性の型と一致していることを確認します。
  15. 保存」をクリックして変更を保存します。
  16. 「チェンジ・センター」で、「変更のアクティブ化」をクリックします。レルムの自動再起動を有効化する場合、更新を有効にするためにWebLogic Serverを再起動する必要はありません。

先頭に戻る