13 エンタープライズ・デプロイメント用のOracle LDAPの構成
新しいOracle LDAPディレクトリ(Oracle Unified Directory (OUD))を作成している場合は、次の手順に従ってください。
この章の内容は次のとおりです。
- エンタープライズ・デプロイメント用のOracle Unified Directoryの構成
Oracle Unified Directory (OUD)をインストールして構成します。 - Oracle Unified Directory Services Manager用のOracle HTTP Serverの構成
Oracle Webサーバーを介してOracle Unified Directory Services Manager (OUDSM)コンソールにアクセスする場合は、いずれか1つの管理仮想ホストに必要なエントリを追加する必要があります。 - 既存LDAPディレクトリの準備
Oracle Identity and Access ManagementとともにLDAPディレクトリを使用する前に、Oracle Access Managerで必要とされるオブジェクト・クラスを含むようにLDAPディレクトリを拡張する必要があります。
上位トピック: 「エンタープライズ・ドメインの構成」
エンタープライズ・デプロイメント用のOracle Unified Directoryの構成
Oracle Unified Directory (OUD)をインストールして構成します。
エンタープライズ・デプロイメントでは、各OUDインスタンスは個別のホスト上に構成されます。OUDはドメインにはインストールされません。
- Oracle Unified Directoryの構成時に使用する変数
Oracle Unified Directory参照をインストールして構成する手順では、環境内で使用される実際の値に置換できる一連の変数を使用します。 - サポートされているJDKのインストール
- Oracle Unified Directoryのインストール
Oracle Universal Installerによる対話的なグラフィカル・ウィザードを使用して、Oracle Unified Directoryをインストールできます。 - Oracle Unified Directoryインスタンスの構成
- Oracle Unified Directory Service Managerのインストールおよび構成
Oracle Unified Directory Service Manager (OUDSM)は、Oracle Unified Directoryを管理するために使用されるグラフィカル・ユーザー・インタフェース(GUI)ツールです。
Oracle Unified Directoryの構成時に使用する変数
Oracle Unified Directory参照をインストールして構成する手順では、環境内で使用される実際の値に置換できる一連の変数を使用します。
これらの手順では、次のディレクトリの場所の変数が使用されます。
-
DIR_ORACLE_HOME
-
OUD_ORACLE_INSTANCE
-
OUD_REPLICATION_PORT
-
OUD_ADMIN_PORT
-
LDAP_PORT
-
LDAP_SSL_PORT
-
LDAP_ADMIN_PORT
-
JAVA_HOME
-
INSTANCE_NAME
-
PRIVATE_CONFIG_DIR
-
WEB_DOMAIN_HOME
-
OHS_DOMAIN_HOME
-
IDSTORE_HOST
-
IDSTORE_PORT
-
IDSTORE_DIRECTORYTYPE
-
IDSTORE_BINDDN
-
IDSTORE_SEARCHBASE
-
IDSTORE_LOGINATTRIBUTE
-
IDSTORE_USERSEARCHBASE
-
IDSTORE_GROUPSEARCHBASE
-
IDSTORE_SYSTEMIDBASE
-
IDSTORE_USERNAMEATTRIBUTE
-
IDSTORE_LOGIN_ATTRIBUTE
-
IDSTORE_ADMIN_PORT
-
IDSTORE_KEYSTORE_FILE
-
IDSTORE_KEYSTORE_PASSWORD
-
IDSTORE_NEW_SETUP
-
IDSTORE_OAMADMINUSER
-
IDSTORE_OAMSOFTWAREUSER
-
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN
-
OAM11G_SERVER_LOGIN_ATTRIBUTE
-
IDSTORE_WLSADMINUSER
-
IDSTORE_WLSADMINGROUP
-
IAD_ORACLE_HOME
-
IGD_ORACLE_HOME
-
ORACLE_HOME
サポートされているJDKのインストール
Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。
- JDKソフトウェアの検索とダウンロード
- JDKソフトウェアのインストール
Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。
JDKソフトウェアの検索とダウンロード
動作保証されているJDKを調べるには、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証ドキュメントを参照してください。
現在のOracle Fusion MiddlewareリリースのOracle JDKを特定したら、Oracle Technology Networkの次の場所からOracle JDKをダウンロードできます。
http://www.oracle.com/technetwork/java/index.html
Java SE JDKのダウンロードに必ず移動してください。
親トピック: サポートされているJDKのインストール
JDKソフトウェアのインストール
Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。
JDKを次の場所にインストールする必要があります。
-
共有ストレージ・デバイスで、JDKを
/u01/oracle/products/jdk
ディレクトリにインストールします。各アプリケーション層のホスト・コンピュータからJDKにアクセスできます。 -
Web層の各ホスト・コンピュータのローカル記憶域デバイスDMZに配置されるWeb層ホスト・コンピュータは、アプリケーション層の共有記憶域に必ずしもアクセスできるとはかぎりません。
-
ディレクトリ層の各ホスト・コンピュータのローカル記憶域デバイス(ディレクトリ・ホストが共有記憶域を使用していない場合)。
JDKソフトウェアの推奨場所の詳細は、「エンタープライズ・デプロイメント用の推奨ディレクトリ構造の理解」を参照してください。
親トピック: サポートされているJDKのインストール
Oracle Unified Directoryのインストール
Oracle Universal Installerによる対話的なグラフィカル・ウィザードを使用して、Oracle Unified Directoryをインストールできます。
Oracle Unified Directoryインストール画面のナビゲート
次の表に、Oracle Unified Directoryをインストールするためのインストーラ画面の使用方法を示します。
インストール画面に関して詳細な情報が必要な場合は、画面名をクリックしてください。
画面 | 説明 |
---|---|
製品のインストーラの紹介画面です。 「次」をクリックします。 |
|
この製品の自動更新を受け取るかどうかを選択します。 |
|
このエンタープライズ・デプロイメントのためには、表9-2に示すDIR_ORACLE_HOME変数の値を入力します。 ランタイム・プロセスからこのディレクトリに書き込むことはできないので注意してください。 |
|
この画面を使用してインストールのタイプと、それに従ってインストールされる製品および機能を選択します。 WebLogic ServerまたはOUDSMを介してOUDを管理する場合、「同じ場所に配置されたOracle Unified Directory Server (WebLogic Server経由で管理)」を選択します。 ノート: コロケート・モードを選択する場合は、Oracle Fusion Middleware Infrastructureもインストールする必要があります。 「Oracle Fusion Middleware Infrastructureのインストール」を参照してください。WebLogic Serverとは切り離してOUDを管理する場合、「スタンドアロンOracle Unified Directory Server (WebLogic Serverとは切り離して管理)」を選択します。 「次」をクリックします。 |
|
前提条件が満たされているか確認するために、ホスト・コンピュータがインストーラによって分析されます。前提条件チェックの結果が画面に表示されます。 前提条件チェックが失敗した場合は、エラーまたは警告メッセージが表示されます。
「次へ」をクリックして続行します。 |
|
この画面には、前に指定したOracleホーム・ディレクトリが表示されます。また、インストールに使用されるディスク領域と使用可能な空き領域も示されます。 この画面の情報を確認します。 インストール・ウィザードでこれまで指定した設定をテキスト・ファイル(レスポンス・ファイル)に保存するには、「保存」をクリックします。必要な場合は、このレスポンス・ファイルを使用して、同じインストールをコマンドラインから実行できます。 「インストール」をクリックしてインストールを開始します。 サイレント・インストールやコマンド行インストールの詳細は、Oracle Universal Installerによるソフトウェアのインストールでサイレント・モードにおけるOracle Universal Installerの使用方法に関する項を参照してください。 |
|
この画面には、インストール・プロセスの進捗状況とステータスが表示されます。 インストールを取り消す場合は、「取消」をクリックします。インストールを取り消す前にシステムにコピーされたファイルは、システムにそのまま残ります。これらは手作業で削除する必要があります。 「次へ」をクリックして続行します。 |
|
「終了」をクリックします。 |
他のホスト・コンピュータへのソフトウェアのインストール
LDAPHOST2用に別の共有記憶域ボリュームまたはパーティションを構成している場合は、LDAPHOST2にもソフトウェアをインストールする必要があります。詳細は、「エンタープライズ・デプロイメントをインストールおよび構成する場合の共有記憶域の推奨事項」を参照してください。
Oracleホーム(ソフトウェア・バイナリが含まれている)をインストールする場所は、ホストによって異なることに注意してください。ご使用のOracleホーム・ディレクトリの正しい場所を特定するには、「このガイドで使用するファイル・システムとディレクトリ変数」のガイドラインを参照してください。
インストールの検証
インストールの完了後、次のタスクを正常に実行することでインストールを検証できます。
- インストール・ログ・ファイルの確認
- ディレクトリ構造のチェック
Oracle Unified DirectoryをインストールしてOracleホームを作成した後は、この項にリストされたディレクトリとサブディレクトリが表示されます。インストールの内容は、インストール中に選択したオプションによって異なります。 - Oracleホームの内容の表示
インストール・ログ・ファイルの確認
インストール・ログ・ファイルの内容を確認し、何も問題が発生していないことを確認します。ログ・ファイルとその場所の詳細は、『Oracle Universal Installerによるソフトウェアのインストール』のインストール・ログ・ファイルの理解に関する項を参照してください。
親トピック: インストールの確認
ディレクトリ構造のチェック
Oracle Unified DirectoryをインストールしてOracleホームを作成した後は、この項にリストされたディレクトリとサブディレクトリが表示されます。インストールの内容は、インストール中に選択したオプションによって異なります。
ディレクトリ構造をチェックするには:
親トピック: インストールの確認
Oracleホームの内容の表示
viewInventory
スクリプトを使用して、Oracleホームの内容を表示することもできます。『Oracle Universal Installerによるソフトウェアのインストール』のOracleホームの内容の表示に関する項を参照してください。
親トピック: インストールの確認
Oracle Unified Directoryインスタンスの構成
次のステップに従って、LDAPHOST1とLDAPHOST2のディレクトリ層でOracle Unified Directory (OUD)コンポーネントを構成します。構成中、Oracle Unified Directoryレプリケーション・サーバーも構成します。
Oracle Unified Directoryのインストール時に使用できる2つのオプションは、次のとおりです。
-
スタンドアロン・モード: コマンドライン・ツールを使用してOUDを管理する場合は、このオプションを選択します。
-
コロケート・モード: Oracle Unified Directoryをドメインに関連付ける場合は、このオプションを選択します。ドメインに関連付けることを選択した場合は、Oracle Unified Directory Service Managerを使用してOUDを管理することを選択できます。OUDSMを使用する場合は、コロケート・モードでOracle Unified Directoryをインストールすることを選択する必要があります。
この項には次のトピックが含まれます:
LDAPHOST1でのOracle Unified Directoryの構成
使用しているオペレーティング・システムで次のコマンドを発行して、ポート1389、1636、4444および8989がコンピュータ上のサービスで使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても出力は何も返されません。
netstat -an | grep "1389"
ポートが使用されている(コマンドからどちらかのポートを識別する出力が返された)場合は、ポートを解放する必要があります。
/etc/services
ファイルでポート1389、1636、4444および8989のエントリを削除して、サービスまたはコンピュータを再起動します。
環境変数JAVA_HOMEを設定します
DIR_ORACLE_HOME/oud
ディレクトリに移動します。
環境変数INSTANCE_NAMEを../../admin/oud1
に設定します。たとえば:
export INSTANCE_NAME=../../../../u02/private/oracle/config/instances/oud1
ツールはインスタンス・ホームをDIR_ORACLE_HOME
を基準にして作成するため、前のディレクトリを含めてPRIVATE_CONFIG_DIR
/instances
で作成したインスタンスを取得する必要があります。
次のコマンドを実行してOracle Unified Directory構成アシスタントを起動します。
./oud-setup
次の表に、Oracle Unified Directoryを構成するための構成アシスタント画面の使用方法を示します。
画面 | 説明 |
---|---|
ようこそ |
この画面は、製品構成アシスタントの概要を示します。 「次」をクリックします。 |
サーバー管理設定 |
次のサーバーの詳細を入力します。
「次」をクリックします。 |
ポート |
次の情報を入力します。 LDAP
LDAPS
証明書 既存の証明書を使用するか、自己署名証明書を生成できます。本番デプロイメントには、自己署名証明書はお薦めしません。
|
トポロジ・オプション |
次の情報を入力します。
「次」をクリックします。 |
ディレクトリ・データ |
次の情報を入力します。
「次」をクリックします。 |
Oracleコンポーネントの統合 |
このディレクトリを他のディレクトリとの統合に使用する予定である場合は、DIPで有効にするを選択します。 このディレクトリをE Business SuiteまたはOracleデータベース名の解決のために使用する予定である場合は、「EBS (E-Business Suite)、Database Net ServicesおよびDIPで有効にする」を選択します。 「次」をクリックします。 このディレクトリをエンタープライズ・ユーザー・セキュリティのために使用する予定である場合は、「EUS (エンタープライズ・ユーザー・セキュリティ)、EBS、Database Net ServicesおよびDIPで有効にする」を選択します。 |
サーバー・チューニング |
特定のリソースをOUDインスタンスに割り当てるオプションがあります。デプロイメントに基づいてリソース割当てを変更するデフォルトを受け入れることを選択できます。分散デプロイメントの場合と同様にこのサーバーがOUDにのみ使用される場合は、「OUD専用のマシン」ボックスを選択します。 「次」をクリックします。 |
確認 |
表示されている情報が正しいことを確認します。構成後にOUDサーバーを起動する場合は、「サーバーを起動します」オプションを選択する必要があります。 |
完了 |
「閉じる」をクリックします。 |
LDAPHOST1でのOracle Unified Directoryの検証
構成後、次のコマンドを使用して単純検索を実行することによって、Oracle Unified Directoryが動作することを検証できます。
OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST1.example.com -p 1389 -D cn=oudadmin -b "" -s base "(objectclass=*)" supportedControl
Oracle Unified Directoryが正常に動作している場合は、supportedControl
エントリのリストが返されます。
ディレクトリでSSLを有効化した場合は、次のコマンドを使用してそれをテストできます。
OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST1.example.com -p 1636 --useSSL -D cn=oudadmin -b "" -s base "(objectclass=*)" supportedControl
LDAPHOST2でのOracle Unified Directoryインスタンスの構成
使用しているオペレーティング・システムで次のコマンドを発行して、ポート1389、1636、4444および8989がコンピュータ上のサービスで使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても出力は何も返されません。
netstat -an | grep "1389"
ポートが使用されている(コマンドからどちらかのポートを識別する出力が返された)場合は、ポートを解放する必要があります。
/etc/services
ファイルでポート1389
、1636
、4444
および8989
のエントリを削除して、サービスまたはコンピュータを再起動します。
環境変数JAVA_HOME
をJAVA_HOME
に設定します。
DIR_ORACLE_HOME/oud
ディレクトリに移動します
環境変数INSTANCE_NAME
を../../admin/oud2
に設定します。
たとえば:
export INSTANCE_NAME=../../../../u02/private/oracle/config/instances/oud2
ツールはインスタンス・ホームをDIR_ORACLE_HOME
を基準にして作成するため、前のディレクトリを含めてPRIVATE_CONFIG_DIR
/instances
で作成したインスタンスを取得する必要があります。
次のコマンドを実行してOracle Unified Directory構成アシスタントを起動します。
./oud-setup
次の表に、Oracle Unified Directoryを構成するための構成アシスタント画面の使用方法を示します。
画面 | 説明 |
---|---|
ようこそ |
この画面は、製品構成アシスタントの概要を示します。 「次」をクリックします。 |
サーバー管理設定 |
次のサーバーの詳細を入力します。
「次」をクリックします。 |
ポート |
次の情報を入力します。 LDAP
LDAPS
証明書 既存の証明書を使用するか、自己署名証明書を生成できます。本番デプロイメントには、自己署名証明書はお薦めしません。
|
トポロジ・オプション |
次の情報を入力します。
「次」をクリックします。 「信頼できない証明書」ダイアログが表示される場合、これは自己署名証明書を使用しているためです。「常に受け入れる」をクリックします。 詳細は、インストール中のレプリケーションの設定に関する項を参照してください。 |
グローバル管理者の作成 |
次の情報を入力します。
「次」をクリックします。 |
データ・レプリケーション |
「dc=example,dc=com」を選択します。 「次」をクリックします。 |
Oracleコンポーネントの統合 |
LDAPHOST1の構成時に統合する製品を選択した場合は、ここで同じオプションを選択します。 「次」をクリックします。 |
サーバー・チューニング |
特定のリソースをOUDインスタンスに割り当てるオプションがあります。デプロイメントに基づいてリソース割当てを変更するデフォルトを受け入れることを選択できます。分散デプロイメントの場合と同様にこのサーバーがOUDにのみ使用される場合は、「OUD専用のマシン」ボックスを選択します。 「次」をクリックします。 |
確認 |
表示されている情報が正しいことを確認します。構成後にOUDサーバーを起動する場合は、「サーバーを起動します」オプションを選択する必要があります。 |
完了 |
「閉じる」をクリックします。 |
LDAPHOST2でのOracle Unified Directoryの検証
構成後、単純検索を実行することによってOracle Unified Directoryが動作することを検証できます。これを実行するには、次のコマンドを発行します。
OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST2.example.com -p 1389 -D cn=oudadmin -b "" -s base "(objectclass=*)" supportedControl
Oracle Unified Directoryが正常に動作している場合、リストsupportedControl
エントリが返されます。
ディレクトリでSSLを有効化した場合は、次のコマンドを使用してそれをテストできます。
OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST2.example.com -p 1636 --useSSL -D cn=oudadmin -b "" -s base "(objectclass=*)" supportedControl
Oracle Unified Directoryレプリケーションが有効になっていることを確認するには、次のコマンドを発行します。
OUD_ORACLE_INSTANCE/OUD/bin/status
管理者バインドDN (cn=oudadmin
)およびそのパスワードの入力を要求されます。
次の例のような出力が表示されます。レプリケーションは有効に設定されます。
--- Server Status --- Server Run Status: Started Open Connections: 2 --- Server Details --- Host Name: slc01fnv Administrative Users: cn=oudadmin Installation Path: /u01/oracle/products/dir/oud Instance Path: /u02/private/oracle/config/instances/oud1/OUD Version: Oracle Unified Directory 12.2.1.3.0 Java Version: 1.8.0_102 Administration Connector: Port 4444 (LDAPS) --- Connection Handlers --- Address:Port : Protocol : State -------------:-------------:----------- : LDIF : Disabled 8989 : Replication : Enabled 0.0.0.0:161 : SNMP : Disabled 0.0.0.0:1389 : LDAP : Enabled 0.0.0.0:1636 : LDAPS : Enabled 0.0.0.0:1689 : JMX : Disabled --- Data Sources --- Base DN: dc=example ,dc=com Backend ID: userRoot Entries: 1 Replication: Enabled Missing Changes: 0 Age Of Oldest Missing Change: <not available> Status
Oracle Unified Directory Service Managerのインストールおよび構成
Oracle Unified Directory Service Manager (OUDSM)は、Oracle Unified Directoryを管理するために使用されるグラフィカル・ユーザー・インタフェース(GUI)ツールです。
OUDSMをインストールしている場合は、独自の軽量ドメインに作成することをお薦めします。
次の各項目で、その方法について説明します。
- Oracle Unified Directory Service Manager用のドメインの作成
WebLogic Scripting Tool (WLST)コマンドを使用して、Oracleデータベースまたはリポジトリ作成ユーティリティ(RCU)に依存せずにOracle Unified Directory Service Manager (OUDSM)用のドメインを作成できます。 - Oracle Unified Directory Service Managerドメインの起動
Oracle Unified Directory Service Managerドメインを構成した後、管理サーバーを起動してドメインを管理します。
Oracle Unified Directory Service Manager用のドメインの作成
WebLogic Scripting Tool (WLST)コマンドを使用して、Oracleデータベースまたはリポジトリ作成ユーティリティ(RCU)に依存せずにOracle Unified Directory Service Manager (OUDSM)用のドメインを作成できます。
ノート:
これが、OUDSM用のドメインを設定するためのOracleの推奨アプローチです。他の製品やコンポーネントでこのドメインを拡張しないことをお薦めします。このアプローチでは、config.sh
を実行する必要はありません。
WLSTを使用してOUDSMドメインを設定するには、次の手順を実行します。
Oracle Unified Directory Services Manager用のOracle HTTP Serverの構成
Oracle Webサーバーを介してOracle Unified Directory Services Manager (OUDSM)コンソールにアクセスする場合は、いずれか1つの管理仮想ホストに必要なエントリを追加する必要があります。
既存LDAPディレクトリの準備
LDAPディレクトリをOracle Identity and Access Managementと併用するには、Oracle Access Managerで必要とされるオブジェクト・クラスを使用してLDAPディレクトリを拡張する必要があります。
ノート:
この手順には、Oracle Identity and Access Managementスイートの一部として提供されるユーティリティの実行が含まれています。続行するには、Oracle Access Manager用のソフトウェア(「Oracle Fusion Middleware Infrastructureのインストール」)またはOracle Identity Manager用のソフトウェア(「OIMHOST1へのOracle Fusion Middleware Infrastructureのインストール」)がインストールされている必要があります。この項には次のトピックが含まれます:
エンタープライズ・デプロイメント・ユーザーおよびグループについて
次の各項では、エンタープライズ・デプロイメント管理ユーザーおよびグループの用途と特性に関する重要な情報を提供します。
各ドメインで一意の管理ユーザーの使用について
集中LDAPユーザー・ストアを使用すると、複数のOracle WebLogic Serverドメインで使用するユーザーおよびグループをプロビジョニングできます。その結果、あるWebLogic管理ユーザーがエンタープライズ内のすべてのドメインにアクセスできてしまうことにもなります。
Oracle Fusion Middlewareドメインの管理用にプロビジョニングするユーザーおよびグループにディレクトリ・ツリー内で一意の識別名(DN)を作成して割り当てる方法をお薦めします。
たとえば、WebLogicドメインをLDAPに接続するために使用する、oamLDAP
およびoimLDAP
という名前の2人のユーザーを作成します。これにより、ディレクトリ内に存在するユーザーおよびグループをドメインが参照できるようになります。ドメインごとに異なるユーザーを作成したり、複数のドメインに対して単一のユーザーを使用したりできます。この目的のためにデフォルトのLDAP管理ユーザーは決して使用しないでください。これらのユーザーは、systemids
コンテナ内に作成する必要があります。このコンテナは、通常はユーザーに表示されないシステム・ユーザーに使用されます。このユーザーをsystemids
コンテナに配置することで、Oracle Identity Governanceを所有する顧客がこのユーザーをリコンサイルしないようにします。
Oracle Access Management (OAM)とOracle Identity Manager (OIM)のLDAP接続用にそれぞれ異なるユーザーを使用することにより、OAMでLDAPに接続するために使用されるユーザーに、制限された権限セットを割り当てることができます。
weblogic_iam
と呼ばれるユーザー、およびWLSAdministrators
と呼ばれる管理グループを作成します。WLSAdministrators
グループ内のユーザーは、次へのアクセスが許可されます。
-
Oracle Fusion Middleware Control
-
Oracle WebLogic管理コンソール
oamadmin
という名前のユーザーとOAMAdministrators
という名前の管理グループを作成します。OAMAdministrators
グループ内のユーザーは、次へのアクセスが許可されます。
-
Oracle Access Policy Manager
-
Oracle Access Managerコンソール
構成ファイルの作成
アイデンティティ・ストアの準備時、または後で統合プロセスと構成プロセスのベースとして使用する、プロパティ・ファイルiam.props
を作成します。ファイルは、この項で説明する構造になります。ファイルの作成時に空白行は含めないでください。
この項のプロパティ・ファイルは完全な例です。ファイルで指定されているパラメータの一部は、ガイドの後半の構成ステップまで使用されません。使用する予定の製品用のプロパティを含めるためにのみ必要です。
この項には次のトピックが含まれます:
Oracle Unified Directoryの例
次に、Oracle Unified Directoryの構成ファイルの例を示します。
# Common IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389 IDSTORE_ADMIN_PORT: 4444 IDSTORE_KEYSTORE_FILE: OUD_INSTANCE_HOME/OUD/config/admin-keystore IDSTORE_KEYSTORE_PASSWORD: Password key IDSTORE_BINDDN: cn=oudadmin IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid OAM11G_SERVER_LOGIN_ATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_NEW_SETUP: true IDSTORE_DIRECTORYTYPE: OUD # OAM IDSTORE_OAMADMINUSER: oamadmin IDSTORE_OAMSOFTWAREUSER: oamLDAP OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators # OAM and OIM IDSTORE_SYSTEMIDBASE: cn=SystemIDs,dc=example,dc=com # OIM IDSTORE_OIMADMINGROUP: OIMAdministrators IDSTORE_OIMADMINUSER: oimLDAP # WebLogic IDSTORE_WLSADMINUSER : weblogic_iam IDSTORE_WLSADMINGROUP : WLSAdministrators
親トピック: 構成ファイルの作成
プロパティ値の説明
この項では、構成ファイルのプロパティ値について説明します。
LDAPプロパティ
-
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。アイデンティティ・ストアの準備時に、これらはLDAPインスタンスの1つを指す必要があります。OAMまたはOIMなどのコンポーネントの構成時に、これらはロード・バランサのエントリ・ポイントを指す必要があります。
Exalogic設定の場合は、このホストのOTDフェイルオーバー・グループ名を指定する必要があります。
-
IDSTORE_DIRECTORYTYPEは、使用しているディレクトリのタイプです。有効な値はOUDです。
-
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです
-
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
-
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を記述したLDAP属性です。
-
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
-
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
-
IDSTORE_SYSTEMIDBASEは、メイン・ユーザー・コンテナに配置する必要のないシステム・ユーザーを配置できる、ディレクトリ内のコンテナの場所です。
-
IDSTORE_USERNAMEATTRIBUTEは、ユーザー名が格納されるLDAP属性の名前です。
-
IDSTORE_LOGIN_ATTRIBUTEは、ユーザーIDが格納されるLDAP属性の名前です。
親トピック: プロパティ値の説明
OUDプロパティ
-
IDSTORE_ADMIN_PORTは、Oracle Unified Directoryインスタンスの管理ポートです。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。
-
IDSTORE_KEYSTORE_FILEは、Oracle Unified Directoryのキーストア・ファイルの場所です。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これは
admin-keystore
と呼ばれ、OUD_INSTANCE_HOME
/OUD/config
にあります。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。 -
IDSTORE_KEYSTORE_PASSWORDは、Oracle Unified Directoryのキーストアの暗号化されたパスワードです。この値は、ファイル
OUD_INSTANCE_HOME
/OUD/config/admin-keystore.pin
にあります。 -
IDSTORE_NEW_SETUPは、ディレクトリを初めて準備するときに使用されます。
親トピック: プロパティ値の説明
OAMプロパティ
-
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。アイデンティティ・ストアの準備時に、これらはLDAPインスタンスの1つを指す必要があります。OAMまたはOIMなどのコンポーネントの構成時に、これらはロード・バランサのエントリ・ポイントを指す必要があります。
アイデンティティ・ストアへのアクセスにOTDフェイルオーバー・グループを使用している場合は、ここにこの値を指定する必要があります。
-
IDSTORE_OAMADMINUSERは、Access Manager管理者として作成するユーザーの名前です。
-
IDSTORE_OAMSOFTWAREUSERは、LDAPに作成されるユーザーで、Access Managerが実行中にLDAPサーバーに接続するために使用されます。
-
OAM11G_IDSTORE_ROLE_SECURITY_ADMINは、OAMコンソールへのアクセスを許可するために使用するグループの名前です。このグループに割り当てられたユーザーのみがOAMコンソールにアクセスできます。
-
OAM11G_SERVER_LOGIN_ATTRIBUTEは、ユーザーIDが格納されるLDAP属性の名前であり、IDSTORE_LOGIN_ATTRIBUTEと同じである必要があります。
ノート:
製品ごとに異なる管理者アカウントおよびグループを作成するか、または単一の管理ユーザーを使用できます。前述の例では、単一の管理ユーザーおよびグループを使用しています。
OAMSOFTWAREUSERは、LDAPに接続するためのOAMユーザーです。OIMADMINUSERは、LDAPに接続するためのOIMユーザーです。製品ごとに別のユーザーを作成するか、または単に同じユーザーを使用できます。
親トピック: プロパティ値の説明
OIMプロパティ
-
IDSTORE_OIMADMINGROUPは、Oracle Identity Governance管理ユーザーを保持するために作成するグループの名前です。
-
IDSTORE_OIMADMINUSERは、アイデンティティ・ストアに接続するためにOracle Identity Governanceが使用するユーザーです。
ノート:
OAMSOFTWAREUSERは、LDAPに接続するためのOAMユーザーです。OIMADMINUSERは、LDAPに接続するためのOIGユーザーです。製品ごとに別のユーザーを作成するか、または単に同じユーザーを使用できます。
親トピック: プロパティ値の説明
WebLogicプロパティ
-
IDSTORE_WLSADMINUSER: シングル・サインオンによって有効化された後にWebLogicドメインへのログイン用に作成されるユーザー名。
-
IDSTORE_WLSADMINGROUP: WebLogicシステム・コンポーネント(WLSコンソール、EMなど)へのログインを許可されたユーザーが属するグループの名前。
親トピック: プロパティ値の説明
アイデンティティ・ストアとしてのOUDの準備
Oracle LDAPディレクトリをOracle Identity and Access Managementとともに使用するには、ディレクトリを事前に構成しておく必要があります。
このプロセスには、ディレクトリ内での追加のオブジェクト・クラスの作成、およびOracle Identity and Access Managementスイートによってディレクトリへの接続のために使用されるユーザーのシードが含まれます。構成プロセスには2つのフェーズがあります。
-
事前構成: ここでは、必要なオブジェクト・クラスを追加します。
-
ユーザーのシード。
このためには、Oracle Unified Directoryを拡張している場合はLDAPHOST1で次のタスクを実行します。
親トピック: 既存LDAPディレクトリの準備
ディレクトリの事前構成
Oracle LDAPディレクトリをOracle Identity and Access Managementとともに使用するには、ディレクトリを事前に構成しておく必要があります。
このプロセスには、ディレクトリ内での追加のオブジェクト・クラスの作成、およびOracle Identity and Access Managementスイートによってディレクトリへの接続のために使用されるユーザーのシードが含まれます。構成プロセスには2つのフェーズがあります。
-
事前構成: ここでは、必要なオブジェクト・クラスを追加します。
-
ユーザーのシード。
このためには、Oracle Unified Directoryを拡張している場合はLDAPHOST1で次のタスクを実行します。
ノート:
LDAPの準備は、idmConfigTool
と呼ばれるツールを使用して実行します。このツールは、Oracle Identity and Access Managementソフトウェアにバンドルされています。この項の各ステップを実行する前に、Oracle Identity and Access Managementをインストールする必要があります。「Oracle Fusion Middleware Infrastructureのインストール」を参照してください。この項の各ステップは、OAMHOST1またはOIMHOST1から実行できます。
ディレクトリがIAD_ORACLE_HOME
と異なるホスト上にある場合は、idmconfigTool.sh
ツールはそのホストから実行される必要があります。IAD_ORACLE_HOME
とディレクトリ・サーバーの間にファイアウォールがある場合、このステップの間はそのファイアウォールでLDAPポートを利用できるようにする必要があります。
OIMのみをインストールしていて、使用中のディレクトリの構成を希望する場合は、IAD_ORACLE_HOME
ではなくIGD_ORACLE_HOME
を使用します。idmtool
は両方の場所で同じです。
親トピック: アイデンティティ・ストアとしてのOUDの準備
ユーザーおよびグループのシード
Identity Managementコンポーネントで必要なユーザーとグループでアイデンティティ・ストアをシードする必要があります。
アイデンティティ・ストアをシードするには、OAMHOST1またはOIMHOST1で次のタスクを実行する必要があります。
ノート:
このコマンドでは、アイデンティティ・ストアに予約用のコンテナも作成します。
ノート:
xelsysadm
用のパスワードを入力する場合は、OIMポリシー(長さが8文字以上で、大文字と数字が1つ以上含まれている必要があります)と同じであることを確認します。
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。
各コマンドを実行した後、ログ・ファイルでエラーまたは警告を確認し、修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
親トピック: アイデンティティ・ストアとしてのOUDの準備
OUD changelogアクセス権の付与
Oracle Unified Directoryを使用している場合は、次のステップをLDAPHOST1
およびLDAPHOST2
で実行して、changelog
に対するアクセス権を付与する必要があります。
親トピック: アイデンティティ・ストアとしてのOUDの準備
Oracle Unified Directory ACIの更新
次に、OIG統合が有効な場合のOracle Unified Directory操作の失敗時の回避策を説明します。
すべてのOUDインスタンスのOUD_ORACLE_INSTANCE/OUD/config/config.ldif
を次の変更で更新します。
ノート:
編集する前に、元のファイルのコピーを保存します。
親トピック: アイデンティティ・ストアとしてのOUDの準備
OUD索引の作成
idmConfigTool
を実行してOUDアイデンティティ・ストアを準備すると、実行対象のインスタンスに関するデータの索引が作成されます。これらの索引は、LDAPHOST2の各OUDインスタンスに手動で作成する必要があります。
これを行うには、LDAPHOST2で次のコマンドを実行します。
OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j passwordfile -c \-f IAD_ORACLE_HOME/idm/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif
OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j passwordfile -c \-f IAD_ORACLE_HOME/idm/idmtools/templates/oud/oud_indexes_extn.ldif
索引の再作成
すべてのLDAPホストで索引が作成された後、コマンドを使用して索引を再作成する必要があります。
親トピック: アイデンティティ・ストアとしてのOUDの準備
Oracle以外のディレクトリでのアクセス制御リストの作成
前の項で、Oracleコンポーネントのユーザーおよびアーティファクトをアイデンティティ・ストアにシードしました。アイデンティティ・ストアがOracle Unified DirectoryではなくOracle Directory Server Enterprise Editionである場合は、アクセス制御リスト(ACL)を設定して、作成したエンティティに適切な権限を指定する必要があり、これは、これらの前方でOracle Virtual Directoryを使用している場合でも該当します。この項では、作成されるアーティファクトおよびそのアーティファクトで必要な権限を示します。
-
システムID。すべてのシステム識別子を格納するためのシステムIDコンテナが作成されます。ユーザーの作成場所であるコンテナが他に存在する場合は、それが管理の中で指定されます。
-
Access Manager管理ユーザー。このユーザーは、OAM管理者グループに追加されます。このグループでは、Oracle Access Managementコンソールを管理する権限を提供します。このユーザーは単なるアプリケーション・ユーザーなので、LDAPスキーマ・レベルの権限は不要です。
-
Access Managerソフトウェア・ユーザー。このユーザーは、コンテナに対する読取り権限を提供するグループに追加されます。このユーザーにはスキーマ管理権限も付与されます。
-
システムIDコンテナ内のOracle Identity GovernanceユーザーoigLDAP。コンテナでは適宜パスワード・ポリシーが設定されます。システムIDコンテナのユーザーのパスワードは、期限切れにならないように設定する必要があります。
-
Oracle Identity Governance管理グループ。Oracle Identity Governanceユーザーがメンバーとして追加されます。Oracle Identity Governance管理グループには、ディレクトリ内のすべてのユーザー・エンティティおよびグループ・エンティティに対する完全な読取り/書込み権限が付与されます。
-
WebLogic管理者。Oracle Virtual DirectoryのIDMドメインの管理者です。
-
WebLogic管理者グループ。WebLogic管理者がメンバーとして追加されます。Oracle Virtual DirectoryのIDMドメインの管理者グループです。
-
予約コンテナ。読取り/書込み操作を実行するための権限がOracle Identity Governance管理グループに付与されます。
親トピック: 既存LDAPディレクトリの準備