OTNホーム > Oracle WebLogic Server 12.2.1.3.0ドキュメント > 管理コンソール・オンライン・ヘルプ > Oracle Virtual Directory認証プロバイダの構成

管理コンソール・オンライン・ヘルプ

前 次 新規ウィンドウで目次を開く
ここから内容の開始

Oracle Virtual Directory認証プロバイダの構成

始める前に


Oracle Virtual Directory認証プロバイダを使用してOracle Virtual Directory LDAP V3サービスに格納されているユーザーおよびグループの情報にアクセスします。

各セキュリティ・レルムには、少なくとも1つの認証プロバイダが構成されている必要があります。「制御フラグ」属性は、各認証プロバイダのLoginModuleを認証プロセスで使用する方法を決定します。詳細は、JAAS制御フラグの設定を参照してください。

Oracle Virtual Directory認証プロバイダがセキュリティ・レルムに構成されている唯一の認証プロバイダである場合は、WebLogic Serverを起動するLDAPユーザーがAdminロールに割り当てられたグループに追加されていることを確認します。そうでない場合、WebLogic Serverは起動できません。Oracle Virtual Directory認証プロバイダがLDAPサーバーへの接続に失敗した場合や、例外がスローされた場合は、次に示すステップに従って、このプロバイダの構成設定が正しく設定されていることを確認します。これらの構成設定に関する詳細は、Oracle Internet DirectoryおよびOracle Virtual Directoryの認証プロバイダにおけるユーザーとグループの構成を参照してください。

WebLogic Serverに含まれるすべての認証プロバイダは、アイデンティティ・ドメインをサポートします。Oracle Virtual Directory認証プロバイダにアイデンティティ・ドメイン属性が設定されている場合は、そのアイデンティティ・ドメインに定義されたユーザーのみを認証できます。詳細は、セキュリティの構成を参照してください。

Oracle Virtual Directory認証プロバイダを構成するには:

  1. まだ行っていない場合、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします(チェンジ・センターの使用を参照)。
  2. 左ペインで「セキュリティ・レルム」を選択して、構成するレルムの名前(myrealmなど)をクリックします。
  3. 「プロバイダ」→「認証」を選択して「新規作成」をクリックします。

    「新しい認証プロバイダの作成」ページが表示されます。
  4. 名前」フィールドに、Oracle Virtual Directory認証プロバイダの名前を入力します。
  5. 「タイプ」ドロップダウン・リストから、OracleVirtualDirectoryAuthenticatorを選択して、「OK」をクリックします。
  6. 「プロバイダ」→「認証」を選択して、構成を行う新しいOracle Virtual Directory認証プロバイダの名前をクリックします。
  7. Oracle Virtual Directory認証プロバイダの「構成」ページで、「共通」タブの必要な値を設定します。複数の認証プロバイダを構成する場合は、JAAS制御フラグの設定を参照してください。
  8. プロバイダ固有」タブを選択します。
  9. 接続」ラベルのセクションでは、次の項目を指定します。
    • Oracle Virtual Directory LDAPサーバーをホストするマシンのホストとポート
    • WebLogic Serverで接続を確立するために使用されるLDAPユーザーの資格証明
  10. Oracle Virtual Directoryへの接続にSSLを使用する場合、「SSLの有効化」を選択します。詳細は、LDAP認証プロバイダのSSLを有効化を参照してください。
  11. ユーザー」ラベルのセクションでは、Oracle Virtual Directory LDAPサーバーのユーザーのディレクトリ構造と一致するように、必要に応じて次の設定を調整します。
    1. ユーザー・ベースDN」でユーザーのLDAPディレクトリ構造が正しく指定されていることを確認します。Oracle Virtual Directoryユーザーのデフォルトは、cn=users,dc=us,dc=oracle,dc=comです。
    2. LDAPディレクトリ構造内のユーザー・オブジェクト・クラスのユーザー名属性の型がcn以外の場合は、「すべてのユーザーのフィルタ」、「名前指定によるユーザー・フィルタ」、および「ユーザー名属性」の各属性の設定で型を変更します。たとえば、ユーザー名属性の型がuidの場合は、「すべてのユーザーのフィルタ」を(&(uid=*)(objectclass=person)))に変更します。

      ノート: ユーザーまたはグループに対してLDAP検索フィルタを指定する際には、ワイルドカードを使用できます。ただし、特にユーザー名またはグループ名の属性に複数のアスタリスクのワイルドカードを使用すると、LDAPサーバーのパフォーマンスに悪影響を及ぼします。

  12. グループ」ラベルのセクションでは、Oracle Virtual Directory LDAPサーバーのグループのディレクトリ構造と一致するように、必要に応じて以下の設定を調整します(太字は変更の例を示します)。
    1. LDAPディレクトリ構造内の静的グループ・オブジェクトのグループ名属性の型がcn以外の場合は、「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性の設定で型を変更します。

      たとえば、静的グループ名属性のタイプがuidの場合は、「すべてのグループのフィルタ」(&(uid=*)(|(objectclass=groupofUniqueNames)(objectclass=orcldynamicgroup)))に変更し、「名前指定によるグループ・フィルタ」(|(&(uid=%g)(objectclass=groupofUniqueNames))(&(cn=%g)(objectclass=orcldynamicgroup)))に変更します。

    2. LDAPディレクトリ構造内の動的グループ・オブジェクトのグループ名属性の型がcn以外の場合は、「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性の設定で型を変更します。

      たとえば、動的グループ名属性の型がuidの場合は、「すべてのグループのフィルタ」(&(uid=*)(|(objectclass=groupofUniqueNames)(objectclass=orcldynamicgroup)))に変更し、「名前指定によるグループ・フィルタ」(|(&(cn=%g)(objectclass=groupofUniqueNames))(&(uid=%g)(objectclass=orcldynamicgroup)))に変更します。

    3. LDAPディレクトリ構造内の静的グループ・オブジェクト・クラス名が(groupofuniquenamesではなく)groupofnamesであり、静的メンバーDN属性の型が(uniquememberではなく)memberである場合は、「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」objectclass要素を変更します。

      たとえば、「すべてのグループのフィルタ」(&(cn=*)(|(objectclass=groupofnames)(objectclass=orcldynamicgroup)))「名前指定によるグループ・フィルタ」(|(&(cn=%g)(objectclass=groupofnames))(&(cn=%g)(objectclass=orcldynamicgroup)))に設定します。

  13. 「静的グループ」ラベルのセクションでは、Oracle Virtual Directory LDAPサーバーの静的グループのスキーマ定義に一致するように、必要に応じて次の変更を行います。
    1. 静的グループ・オブジェクト・クラスのグループ名属性の型がcn以外の場合は、「静的グループ名属性」で型を指定します。指定する型は「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性で指定された名前属性の型と一致している必要があります。
    2. 必要に応じて「静的グループ・オブジェクト・クラス」groupofnamesに変更し、「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性で指定されたクラス名と一致していることを確認します。
    3. 「静的グループ・オブジェクト・クラス」groupofnamesの場合は、「静的メンバーDN属性」memberに変更します。
  14. 「動的グループ」ラベルのセクションでは、「動的グループ名属性」「すべてのグループのフィルタ」および「名前指定によるグループ・フィルタ」属性で指定された名前属性の型と一致していることを確認します。
  15. 「GUID属性」ラベルのフィールドでは、指定する属性の名前は、Oracle Virtual Directoryにこの属性の名前のマッピングが存在するかどうかにより異なります。このマッピングは、Oracle Virtual Directoryが接続されたLDAPサーバーで定義済の、名前変更を行った属性の名前を指定します。このフィールドで値を次のように入力します。
    • マッピングが存在する場合は、そのマッピングで定義された名前を指定します。たとえば、マッピングでGUID属性の名前がOVDguidに変更されている場合、このフィールドでOVDguidを指定します。
    • マッピングが存在しない場合は、LDAPサーバーで定義された名前を指定します。たとえば、Oracle Virtual DirectoryがSun iPlanet Directoryに接続されていて、GUID属性の名前がnsuniqueidと定義されていた場合、このフィールドでnsuniqueidと指定します。

    デフォルト値はorclguidです。Oracle Virtual Directoryでの属性名のマッピングの詳細は、Oracle Fusion Middleware Oracle Virtual Directoryのための管理者ガイドOracle Virtual Directoryマッピングの理解を参照してください。

  16. 保存」をクリックして変更を保存します。
  17. 「チェンジ・センター」で、「変更のアクティブ化」をクリックします。レルムの自動再起動を有効化する場合、更新を有効にするためにWebLogic Serverを再起動する必要はありません。

先頭に戻る