1. Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド
  2. エンタープライズ・デプロイメントの構成
  3. エンタープライズ・デプロイメント用のOracle LDAPの構成

13 エンタープライズ・デプロイメント用のOracle LDAPの構成

新しいOracle LDAPディレクトリ(Oracle Unified Directory (OUD))を作成している場合は、次の手順に従ってください。

この章の内容は次のとおりです。

上位トピック: 「エンタープライズ・ドメインの構成」

エンタープライズ・デプロイメント用のOracle Unified Directoryの構成

Oracle Unified Directory (OUD)をインストールして構成します。

エンタープライズ・デプロイメントでは、各OUDインスタンスは個別のホスト上に構成されます。OUDはドメインにはインストールされません。

親トピック: エンタープライズ・デプロイメント用のOracle LDAPの構成

Oracle Unified Directoryの構成時に使用する変数

Oracle Unified Directory参照をインストールして構成する手順では、環境内で使用される実際の値に置換できる一連の変数を使用します。

これらの手順では、次のディレクトリの場所の変数が使用されます。

  • DIR_ORACLE_HOME

  • OUD_ORACLE_INSTANCE

  • OUD_REPLICATION_PORT

  • OUD_ADMIN_PORT

  • LDAP_PORT

  • LDAP_SSL_PORT

  • LDAP_ADMIN_PORT

  • JAVA_HOME

  • INSTANCE_NAME

  • PRIVATE_CONFIG_DIR

  • WEB_DOMAIN_HOME

  • OHS_DOMAIN_HOME

  • IDSTORE_HOST

  • IDSTORE_PORT

  • IDSTORE_DIRECTORYTYPE

  • IDSTORE_BINDDN

  • IDSTORE_SEARCHBASE

  • IDSTORE_LOGINATTRIBUTE

  • IDSTORE_USERSEARCHBASE

  • IDSTORE_GROUPSEARCHBASE

  • IDSTORE_SYSTEMIDBASE

  • IDSTORE_USERNAMEATTRIBUTE

  • IDSTORE_LOGIN_ATTRIBUTE

  • IDSTORE_ADMIN_PORT

  • IDSTORE_KEYSTORE_FILE

  • IDSTORE_KEYSTORE_PASSWORD

  • IDSTORE_NEW_SETUP

  • IDSTORE_OAMADMINUSER

  • IDSTORE_OAMSOFTWAREUSER

  • OAM11G_IDSTORE_ROLE_SECURITY_ADMIN

  • OAM11G_SERVER_LOGIN_ATTRIBUTE

  • IDSTORE_WLSADMINUSER

  • IDSTORE_WLSADMINGROUP

  • IAD_ORACLE_HOME

  • IGD_ORACLE_HOME

  • ORACLE_HOME

親トピック: エンタープライズ・デプロイメント用のOracle Unified Directoryの構成

サポートされているJDKのインストール

Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。

親トピック: エンタープライズ・デプロイメント用のOracle Unified Directoryの構成

JDKソフトウェアの検索とダウンロード

動作保証されているJDKを調べるには、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証ドキュメントを参照してください。

現在のOracle Fusion MiddlewareリリースのOracle JDKを特定したら、Oracle Technology Networkの次の場所からOracle JDKをダウンロードできます。

http://www.oracle.com/technetwork/java/index.html

Java SE JDKのダウンロードに必ず移動してください。

JDKソフトウェアのインストール

Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。

JDKを次の場所にインストールする必要があります。

  • 共有ストレージ・デバイスで、JDKを/u01/oracle/products/jdkディレクトリにインストールします。各アプリケーション層のホスト・コンピュータからJDKにアクセスできます。

  • Web層の各ホスト・コンピュータのローカル記憶域デバイスDMZに配置されるWeb層ホスト・コンピュータは、アプリケーション層の共有記憶域に必ずしもアクセスできるとはかぎりません。

  • ディレクトリ層の各ホスト・コンピュータのローカル記憶域デバイス(ディレクトリ・ホストが共有記憶域を使用していない場合)。

JDKソフトウェアの推奨場所の詳細は、「エンタープライズ・デプロイメント用の推奨ディレクトリ構造の理解」を参照してください。

JDK 1.8.0_131をインストールするには:
  1. ディレクトリを、JDKアーカイブ・ファイルをダウンロードした場所に変更します。
    cd download_dir
  2. JDKホーム・ディレクトリにアーカイブを解凍してから、次のコマンドを実行します。
    tar -xzvf jdk-8u131-linux-x64.tar.gz
    ここに記載されたJDKバージョンは、このドキュメントの発行時点のものです。サポートされている最新のJDKについては、Oracle Fusion Middlewareのシステム要件と仕様で現在のOracle Fusion Middlewareリリースを参照してください。
  3. JDKディレクトリを、ディレクトリ構造内の推奨される場所に移動します。
    たとえば:
    mv ./jdk1.8.0_131 /u01/oracle/products/jdk
  4. ホスト・コンピュータでJavaを実行するためのJAVA_HOMEおよびPATH環境変数を定義します。
    たとえば:
    export JAVA_HOME=/u01/oracle/products/jdk
export PATH=$JAVA_HOME/bin:$PATH
  5. 次のコマンドを実行して、適切なjava実行可能ファイルがそのパスにあり、環境変数が適切に設定されていることを確認します。
    java -verison
    出力のJavaバージョンは「1.8.0_131」と表示されます。

Oracle Unified Directoryのインストール

Oracle Universal Installerによる対話的なグラフィカル・ウィザードを使用して、Oracle Unified Directoryをインストールできます。

親トピック: エンタープライズ・デプロイメント用のOracle Unified Directoryの構成

Oracle Unified Directoryインストーラの起動

インストール・プログラムを起動するには:

  1. LDAPHOST1にログインします。
  2. インストーラをダウンロードしたディレクトリに移動します
  3. 次のJavaコマンドを実行して、インストール・ウィザードを起動します。

    • Linuxの場合

      JAVA_HOME/bin/java -d64 -jar fmw_12.2.1.3.0_oud_generic.jar

    前述のコマンドのJDKの場所は、システム上の実際のJDKの場所に置き換えてください。ソフトウェアをダウンロードして製品の実際のインストーラ・ファイル名を見つける方法の詳細は、「エンタープライズ・デプロイメント用のソフトウェア・ディストリビューションの特定と取得」を参照してください。
Oracle Unified Directoryインストール画面のナビゲート

次の表に、Oracle Unified Directoryをインストールするためのインストーラ画面の使用方法を示します。

インストール画面に関して詳細な情報が必要な場合は、画面名をクリックしてください。

画面 説明

ようこそ

製品のインストーラの紹介画面です。

「次」をクリックします。

自動更新

この製品の自動更新を受け取るかどうかを選択します。

インストールの場所

このエンタープライズ・デプロイメントのためには、表9-2に示すDIR_ORACLE_HOME変数の値を入力します。

ランタイム・プロセスからこのディレクトリに書き込むことはできないので注意してください。

インストール・タイプ

この画面を使用してインストールのタイプと、それに従ってインストールされる製品および機能を選択します。

WebLogic ServerまたはOUDSMを介してOUDを管理する場合、「同じ場所に配置されたOracle Unified Directory Server (WebLogic Server経由で管理)」を選択します。

ノート:

コロケート・モードを選択する場合は、Oracle Fusion Middleware Infrastructureもインストールする必要があります。

「Oracle Fusion Middleware Infrastructureのインストール」を参照してください。

WebLogic Serverとは切り離してOUDを管理する場合、「スタンドアロンOracle Unified Directory Server (WebLogic Serverとは切り離して管理)」を選択します。

「次」をクリックします。

前提条件チェック

前提条件が満たされているか確認するために、ホスト・コンピュータがインストーラによって分析されます。前提条件チェックの結果が画面に表示されます。

前提条件チェックが失敗した場合は、エラーまたは警告メッセージが表示されます。

  • エラーを修正し、「再実行」をクリックします。たとえば、「Oracle Traffic Directorのインストールの前提条件」に示されている必須パッケージのいずれかがシステムにない場合は、そのパッケージをインストールします。

  • エラーや警告を無視してインストールを続行する場合は、「スキップ」をクリックします。

  • 前提条件のチェック・プロセスを中止するには、「停止」をクリックします。

「次へ」をクリックして続行します。

インストールの概要

この画面には、前に指定したOracleホーム・ディレクトリが表示されます。また、インストールに使用されるディスク領域と使用可能な空き領域も示されます。

この画面の情報を確認します。

インストール・ウィザードでこれまで指定した設定をテキスト・ファイル(レスポンス・ファイル)に保存するには、「保存」をクリックします。必要な場合は、このレスポンス・ファイルを使用して、同じインストールをコマンドラインから実行できます。

「インストール」をクリックしてインストールを開始します。

サイレント・インストールやコマンド行インストールの詳細は、Oracle Universal Installerによるソフトウェアのインストールでサイレント・モードにおけるOracle Universal Installerの使用方法に関する項を参照してください。

インストールの進行状況

この画面には、インストール・プロセスの進捗状況とステータスが表示されます。

インストールを取り消す場合は、「取消」をクリックします。インストールを取り消す前にシステムにコピーされたファイルは、システムにそのまま残ります。これらは手作業で削除する必要があります。

「次へ」をクリックして続行します。

インストール完了

「終了」をクリックします。

他のホスト・コンピュータへのソフトウェアのインストール

LDAPHOST2用に別の共有記憶域ボリュームまたはパーティションを構成している場合は、LDAPHOST2にもソフトウェアをインストールする必要があります。詳細は、「エンタープライズ・デプロイメントをインストールおよび構成する場合の共有記憶域の推奨事項」を参照してください。

Oracleホーム(ソフトウェア・バイナリが含まれている)をインストールする場所は、ホストによって異なることに注意してください。ご使用のOracleホーム・ディレクトリの正しい場所を特定するには、「このガイドで使用するファイル・システムとディレクトリ変数」のガイドラインを参照してください。

インストールの検証

インストールの完了後、次のタスクを正常に実行することでインストールを検証できます。

親トピック: Oracle Unified Directoryのインストール

インストール・ログ・ファイルの確認

インストール・ログ・ファイルの内容を確認し、何も問題が発生していないことを確認します。ログ・ファイルとその場所の詳細は、『Oracle Universal Installerによるソフトウェアのインストール』インストール・ログ・ファイルの理解に関する項を参照してください。

親トピック: インストールの確認

ディレクトリ構造のチェック

Oracle Unified DirectoryをインストールしてOracleホームを作成した後は、この項にリストされたディレクトリとサブディレクトリが表示されます。インストールの内容は、インストール中に選択したオプションによって異なります。

ディレクトリ構造をチェックするには:

  1. Oracle Unified DirectoryをインストールしたDIR_ORACLE_HOMEディレクトリに移動します。
  2. 次のコマンドを入力します。
    ls --format=single-column
    コロケート方法を使用してインストールした場合、システム上のディレクトリ構造は、次の例に示す構造と一致する必要があります。
    addons
bat
bin 
common 
config 
lib 
libForUpgrade 
oud-proxy-setup 
oud-proxy-setup.bat 
oud-replication-gateway-setup 
oud-replication-gateway-setup.bat 
oud-setup 
oud-setup.bat 
plugins 
snmp 
winlib
    スタンドアロン方法を使用してインストールした場合は、ディレクトリ構造は次の例に示す構造と一致する必要があります。
    cfgtoollogs
inventory
OPatch
oracle_common
oraInst.loc
oud
oui
wlserver
    Oracle Fusion Middlewareの理解Oracle Fusion Middlewareの主要なディレクトリに関する項を参照してください。

親トピック: インストールの確認

Oracleホームの内容の表示

viewInventoryスクリプトを使用して、Oracleホームの内容を表示することもできます。『Oracle Universal Installerによるソフトウェアのインストール』Oracleホームの内容の表示に関する項を参照してください。

親トピック: インストールの確認

Oracle Unified Directoryインスタンスの構成

次のステップに従って、LDAPHOST1とLDAPHOST2のディレクトリ層でOracle Unified Directory (OUD)コンポーネントを構成します。構成中、Oracle Unified Directoryレプリケーション・サーバーも構成します。

Oracle Unified Directoryのインストール時に使用できる2つのオプションは、次のとおりです。

  • スタンドアロン・モード: コマンドライン・ツールを使用してOUDを管理する場合は、このオプションを選択します。

  • コロケート・モード: Oracle Unified Directoryをドメインに関連付ける場合は、このオプションを選択します。ドメインに関連付けることを選択した場合は、Oracle Unified Directory Service Managerを使用してOUDを管理することを選択できます。OUDSMを使用する場合は、コロケート・モードでOracle Unified Directoryをインストールすることを選択する必要があります。

この項には次のトピックが含まれます:

親トピック: エンタープライズ・デプロイメント用のOracle Unified Directoryの構成

LDAPHOST1でのOracle Unified Directoryの構成

使用しているオペレーティング・システムで次のコマンドを発行して、ポート1389、1636、4444および8989がコンピュータ上のサービスで使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても出力は何も返されません。

netstat -an | grep "1389"

ポートが使用されている(コマンドからどちらかのポートを識別する出力が返された)場合は、ポートを解放する必要があります。

/etc/servicesファイルでポート1389、1636、4444および8989のエントリを削除して、サービスまたはコンピュータを再起動します。

環境変数JAVA_HOMEを設定します

DIR_ORACLE_HOME/oudディレクトリに移動します。

環境変数INSTANCE_NAMEを../../admin/oud1に設定します。たとえば: 

export INSTANCE_NAME=../../../../u02/private/oracle/config/instances/oud1

ツールはインスタンス・ホームをDIR_ORACLE_HOMEを基準にして作成するため、前のディレクトリを含めてPRIVATE_CONFIG_DIR/instancesで作成したインスタンスを取得する必要があります。

次のコマンドを実行してOracle Unified Directory構成アシスタントを起動します。

./oud-setup

次の表に、Oracle Unified Directoryを構成するための構成アシスタント画面の使用方法を示します。

画面 説明

ようこそ

この画面は、製品構成アシスタントの概要を示します。

「次」をクリックします。

サーバー管理設定

次のサーバーの詳細を入力します。

  • インスタンス・パス: OUD構成ファイルの場所(OUD_INSTANCE_HOME)を入力します。

  • ホスト名: Oracle Unified Directoryが実行しているホストの名前を入力します。たとえば: LDAPHOST1.example.com

    Exalogicの場合、これは使用するネットワークにアタッチされたホストになります。

  • 管理ポート: このフィールドの値により、OUDの管理方法が決定されます。オプションの値は次のとおりです。

    • LDAPによる管理のみを有効化: 管理トラフィックに使用されるLDAPポートを入力します。

      デフォルトのLDAP管理ポートは4444です。

    • LDAPおよびHTTPよる管理を有効化: 管理トラフィックに使用されるLDAPおよびHTTPポートを入力します。

      デフォルトの管理ポートは、LDAPの場合は4444で、HTTPの場合は8444です。

    • HTTPによる管理を有効化: 管理トラフィックに使用されるHTTPポートを入力します。

      デフォルトのHTTP管理ポートは8444です。

  • LDAPポート: LDAPを介してOUDを管理するために使用するポートを入力します。

  • HTTPポート: HTTPを介してOUDを管理するために使用するポートを入力します(8444 (OUD_ADMIN_PORT))。

  • ルート・ユーザーDN: 管理ユーザーを入力します。たとえば、cn=oudadminなどです。

  • パスワード: ouadminユーザーに割り当てるパスワードを入力します。

  • パスワード(確認): パスワードを再入力します。

「次」をクリックします。

ポート

次の情報を入力します。

LDAP

  • 有効化: OUDとの非SSL通信を有効にする場合に選択します。

  • ポート: 使用するポートを選択します(LDAP_PORT)。

  • LDAPでStartTLSを有効にする: セキュアな通信をセキュリティ保護されていない他の接続で開始するために、LDAP接続ハンドラでクライアントによるStartTLS拡張操作の使用が許可されるよう指定するには、「LDAPでStartTLSを有効にする」を選択します。

LDAPS

  • 有効化: OUDとのSSL通信を有効にする場合に選択します。

  • ポート: 使用するポートを選択します(LDAP_SSL_PORT)。

    このオプションを選択した場合は、次のSSL証明書情報を指定する必要があります。

証明書

既存の証明書を使用するか、自己署名証明書を生成できます。本番デプロイメントには、自己署名証明書はお薦めしません。

  • 自己署名付き証明書を生成する: OUDで独自の証明書を生成する場合に選択します。

  • 既存の証明書を使用する: 既存の証明書を使用している場合に選択します。

    証明書のタイプ、キーストアの場所およびキーストア・ピンを選択します。

トポロジ・オプション

次の情報を入力します。

  • このサーバーはレプリケーション・トポロジの一部になります: これを選択します。

  • レプリケーション・ポート: レプリケーション・ポートを入力します。たとえば: 8989 (OUD_REPLICATION_PORT)

  • セキュアとして構成する: レプリケーション・トラフィックを暗号化する場合に選択します。

  • サーバーがトポロジ内にすでに存在する未選択のままにします。

「次」をクリックします。

ディレクトリ・データ

次の情報を入力します。

  • ディレクトリ・ベースDN: dc=example,dc=com

  • ディレクトリ・データ: ベース・エントリのみを作成します

「次」をクリックします。

Oracleコンポーネントの統合

このディレクトリを他のディレクトリとの統合に使用する予定である場合は、DIPで有効にするを選択します。

このディレクトリをE Business SuiteまたはOracleデータベース名の解決のために使用する予定である場合は、「EBS (E-Business Suite)、Database Net ServicesおよびDIPで有効にする」を選択します。

「次」をクリックします。

このディレクトリをエンタープライズ・ユーザー・セキュリティのために使用する予定である場合は、「EUS (エンタープライズ・ユーザー・セキュリティ)、EBS、Database Net ServicesおよびDIPで有効にする」を選択します。

サーバー・チューニング

特定のリソースをOUDインスタンスに割り当てるオプションがあります。デプロイメントに基づいてリソース割当てを変更するデフォルトを受け入れることを選択できます。分散デプロイメントの場合と同様にこのサーバーがOUDにのみ使用される場合は、「OUD専用のマシン」ボックスを選択します。

「次」をクリックします。

確認

表示されている情報が正しいことを確認します。構成後にOUDサーバーを起動する場合は、「サーバーを起動します」オプションを選択する必要があります。

完了

「閉じる」をクリックします。

LDAPHOST1でのOracle Unified Directoryの検証

構成後、次のコマンドを使用して単純検索を実行することによって、Oracle Unified Directoryが動作することを検証できます。

OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST1.example.com -p 1389 -D cn=oudadmin -b "" -s base "(objectclass=*)" supportedControl

Oracle Unified Directoryが正常に動作している場合は、supportedControlエントリのリストが返されます。

ディレクトリでSSLを有効化した場合は、次のコマンドを使用してそれをテストできます。

OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST1.example.com -p 1636 --useSSL -D cn=oudadmin -b "" -s base "(objectclass=*)" supportedControl
LDAPHOST2でのOracle Unified Directoryインスタンスの構成

使用しているオペレーティング・システムで次のコマンドを発行して、ポート1389、1636、4444および8989がコンピュータ上のサービスで使用されていないことを確認します。ポートが使用されていなければ、コマンドを実行しても出力は何も返されません。

netstat -an | grep "1389"

ポートが使用されている(コマンドからどちらかのポートを識別する出力が返された)場合は、ポートを解放する必要があります。

/etc/servicesファイルでポート138916364444および8989のエントリを削除して、サービスまたはコンピュータを再起動します。

環境変数JAVA_HOMEJAVA_HOMEに設定します。

DIR_ORACLE_HOME/oudディレクトリに移動します

環境変数INSTANCE_NAME../../admin/oud2に設定します。

たとえば:

export INSTANCE_NAME=../../../../u02/private/oracle/config/instances/oud2

ツールはインスタンス・ホームをDIR_ORACLE_HOMEを基準にして作成するため、前のディレクトリを含めてPRIVATE_CONFIG_DIR/instancesで作成したインスタンスを取得する必要があります。

次のコマンドを実行してOracle Unified Directory構成アシスタントを起動します。

./oud-setup

次の表に、Oracle Unified Directoryを構成するための構成アシスタント画面の使用方法を示します。

画面 説明

ようこそ

この画面は、製品構成アシスタントの概要を示します。

「次」をクリックします。

サーバー管理設定

次のサーバーの詳細を入力します。

  • インスタンス・パス: OUD構成ファイルの場所(OUD_INSTANCE_HOME)を入力します。

  • ホスト名: Oracle Unified Directoryが実行しているホストの名前を入力します。たとえば: LDAPHOST2.example.com

    Exalogicの場合、これは使用するネットワークにアタッチされたホストになります。

  • 管理ポート: このフィールドの値により、OUDの管理方法が決定されます。オプションの値は次のとおりです。

    • LDAPによる管理のみを有効化: 管理トラフィックに使用されるLDAPポートを入力します。

    • LDAPおよびHTTPよる管理を有効化: 管理トラフィックに使用されるLDAPおよびHTTPポートを入力します。

    • HTTPによる管理を有効化: 管理トラフィックに使用されるHTTPポートを入力します。

  • LDAPポート: LDAPを介してOUDを管理するために使用するポートを入力します。

  • HTTPポート: HTTPを介してOUDを管理するために使用するポートを入力します。たとえば、8444 (OUD_ADMIN_PORT)などです。

  • ルート・ユーザーDN: 管理ユーザーを入力します。たとえば、cn=oudadminなどです。

  • パスワード: ouadminユーザーに割り当てるパスワードを入力します。

  • パスワード(確認): パスワードを再入力します。

「次」をクリックします。

ポート

次の情報を入力します。

LDAP

  • 有効化: OUDとの非SSL通信を有効にする場合に選択します。

  • ポート: 使用するポートを選択します(LDAP_PORT)。

  • LDAPでStartTLSを有効にする: セキュアな通信をセキュリティ保護されていない他の接続で開始するために、LDAP接続ハンドラでクライアントによるStartTLS拡張操作の使用が許可されるよう指定するには、「LDAPでStartTLSを有効にする」を選択します。

LDAPS

  • 有効化: OUDとのSSL通信を有効にする場合に選択します。

  • ポート: 使用するポートを選択します(LDAP_SSL_PORT)。

    このオプションを選択した場合は、次のSSL証明書情報を指定する必要があります。

証明書

既存の証明書を使用するか、自己署名証明書を生成できます。本番デプロイメントには、自己署名証明書はお薦めしません。

  • 自己署名付き証明書を生成する: OUDで独自の証明書を生成する場合に選択します。

  • 既存の証明書を使用する: 既存の証明書を使用している場合に選択します。

    証明書のタイプ、キーストアの場所およびキーストア・ピンを選択します。

トポロジ・オプション

次の情報を入力します。

  • このサーバーはレプリケーション・トポロジの一部になります: これを選択します。

  • レプリケーション・ポート: レプリケーション・ポートを入力します。たとえば: 8989 (OUD_REPLICATION_PORT)

  • セキュアとして構成する: レプリケーション・トラフィックを暗号化する場合に選択します。

  • サーバーがトポロジ内にすでに存在する: 選択済。次のように入力します。

    • ホスト名: 既存のOracle Unified Directoryサーバー・ホストの名前。たとえば、LDAPHOST1.example.comです

    • 管理者コネクタ・ポート: 4444 (LDAP_ADMIN_PORT)

    • 管理ユーザー: LDAPHOST1のOracle Unified Directory管理ユーザーの名前。たとえば、cn=oudadminなどです

    • 管理者パスワード: 管理者パスワード

「次」をクリックします。

「信頼できない証明書」ダイアログが表示される場合、これは自己署名証明書を使用しているためです。「常に受け入れる」をクリックします。

詳細は、インストール中のレプリケーションの設定に関する項を参照してください。

グローバル管理者の作成

次の情報を入力します。

  • グローバル管理者ID: Oracle Unified Directoryレプリケーションを管理するために使用するアカウントの名前を入力します。たとえば: oudmanager

  • グローバル管理者パスワード / 確認: このアカウントのパスワードを入力します。

「次」をクリックします。

データ・レプリケーション

「dc=example,dc=com」を選択します。

「次」をクリックします。

Oracleコンポーネントの統合

LDAPHOST1の構成時に統合する製品を選択した場合は、ここで同じオプションを選択します。

「次」をクリックします。

サーバー・チューニング

特定のリソースをOUDインスタンスに割り当てるオプションがあります。デプロイメントに基づいてリソース割当てを変更するデフォルトを受け入れることを選択できます。分散デプロイメントの場合と同様にこのサーバーがOUDにのみ使用される場合は、「OUD専用のマシン」ボックスを選択します。

「次」をクリックします。

確認

表示されている情報が正しいことを確認します。構成後にOUDサーバーを起動する場合は、「サーバーを起動します」オプションを選択する必要があります。

完了

「閉じる」をクリックします。

LDAPHOST2でのOracle Unified Directoryの検証

構成後、単純検索を実行することによってOracle Unified Directoryが動作することを検証できます。これを実行するには、次のコマンドを発行します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST2.example.com -p 1389 -D cn=oudadmin -b "" -s base "(objectclass=*)" supportedControl

Oracle Unified Directoryが正常に動作している場合、リストsupportedControlエントリが返されます。

ディレクトリでSSLを有効化した場合は、次のコマンドを使用してそれをテストできます。

OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST2.example.com -p 1636 --useSSL -D cn=oudadmin -b "" -s base "(objectclass=*)" supportedControl

Oracle Unified Directoryレプリケーションが有効になっていることを確認するには、次のコマンドを発行します。

OUD_ORACLE_INSTANCE/OUD/bin/status

管理者バインドDN (cn=oudadmin)およびそのパスワードの入力を要求されます。

次の例のような出力が表示されます。レプリケーションは有効に設定されます。

--- Server Status ---
Server Run Status: Started
Open Connections: 2
 
--- Server Details ---
Host Name: slc01fnv
Administrative Users: cn=oudadmin
Installation Path: /u01/oracle/products/dir/oud
Instance Path: /u02/private/oracle/config/instances/oud1/OUD 
Version: Oracle Unified Directory 12.2.1.3.0
Java Version: 1.8.0_102
Administration Connector: Port 4444 (LDAPS)
 
--- Connection Handlers ---
Address:Port : Protocol : State
-------------:-------------:----------- : 
LDIF : Disabled
8989 : Replication : Enabled
0.0.0.0:161 : SNMP : Disabled
0.0.0.0:1389 : LDAP : Enabled
0.0.0.0:1636 : LDAPS : Enabled
0.0.0.0:1689 : JMX : Disabled
 
--- Data Sources ---
Base DN: dc=example ,dc=com
Backend ID: userRoot
Entries: 1
Replication: Enabled
Missing Changes: 0
Age Of Oldest Missing Change: <not available>
Status

Oracle Unified Directory Service Managerのインストールおよび構成

Oracle Unified Directory Service Manager (OUDSM)は、Oracle Unified Directoryを管理するために使用されるグラフィカル・ユーザー・インタフェース(GUI)ツールです。

本番環境でのOUDSMのインストールは必須ではありませんが、OUDSMによりOracle Unified Directoryの管理が容易になります。

OUDSMをインストールしている場合は、独自の軽量ドメインに作成することをお薦めします。

次の各項目で、その方法について説明します。

親トピック: エンタープライズ・デプロイメント用のOracle Unified Directoryの構成

Oracle Unified Directory Service Manager用のドメインの作成

WebLogic Scripting Tool (WLST)コマンドを使用して、Oracleデータベースまたはリポジトリ作成ユーティリティ(RCU)に依存せずにOracle Unified Directory Service Manager (OUDSM)用のドメインを作成できます。

ノート:

これが、OUDSM用のドメインを設定するためのOracleの推奨アプローチです。他の製品やコンポーネントでこのドメインを拡張しないことをお薦めします。このアプローチでは、config.shを実行する必要はありません。

WLSTを使用してOUDSMドメインを設定するには、次の手順を実行します。

  1. 次のコマンドを実行してWLSTを起動します。
    UNIXの場合: 
    DIR_ORACLE_HOME/oracle_common/common/bin/wlst.sh
  2. 次のコマンドを実行して、Oracle Unified Directory Services Manager用のコンパクト・ドメインを作成します。
    createOUDSMDomain(domainLocation=path_to_domain_home,weblogicPort=wls_port,weblogicSSLPort=ssl_port,weblogicUserName=wls_user,weblogicUserPassword=wls_password)
    前述のコマンドで、次のパラメータの値を指定します。

    • domainLocation: これはドメイン・ホームへの絶対パスです。たとえば、PRIVATE_CONFIG_DIR/domains/OUDSMDomainになります。

    • weblogicPort: これはWebLogicポートです。この値は、サーバーに対して一意である必要があります。

    • weblogicSSLPort: これはWebLogic SSLポートです。このパラメータはオプションで、渡さない場合は有効化されません。

    • weblogicUserName: これはWebLogicユーザー名です。このパラメータは省略可能です。指定しない場合、デフォルト値weblogicが渡されます。

    • weblogicUserPassword: これはWebLogic管理サーバーのユーザー・パスワードです。

    たとえば:

    createOUDSMDomain(domainLocation="/u02/private/oracle/config/domains/OUDSMDomain",weblogicPort=7001,weblogicSSLPort=7002,weblogicUserPassword='<password>')

  3. exit()と入力してWLSTを終了します。
Oracle Unified Directory Service Managerドメインの起動

Oracle Unified Directory Service Managerドメインを構成した後、管理サーバーを起動してドメインを管理します。

これを行うには、次のステップを実行します:
  1. 次のコマンドを使用して、管理サーバーを起動します。
    PRIVATE_CONFIG_DIR/domain/OUDSMDomain/bin/startWebLogic.sh
  2. 次のURLでOracle Unified Directory Services Managerにアクセスして、管理サーバーが起動して実行中であることを確認します。
    http://hostname:port/oudsm
    前述のコマンドで、hostnameはWebLogic Serverがインストールされているサーバーの名前です。portはWebLogic管理サーバーの管理ポートです。portのデフォルト値は7001です。

Oracle Unified Directory Services Manager用のOracle HTTP Serverの構成

Oracle Webサーバーを介してOracle Unified Directory Services Manager (OUDSM)コンソールにアクセスする場合は、いずれか1つの管理仮想ホストに必要なエントリを追加する必要があります。

「エンタープライズ・デプロイメント用のOracle HTTP Serverの構成」の説明に従ってOracle HTTP Serverを構成したら、Oracle Unified Directory Services ManagerにリクエストをルーティングするようにOracle HTTP Serverを構成できます。これを行うには:
  1. WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/moduleconf/にあるiadadmin_vh.confまたはigd_admin_vh.confファイルに、次のエントリを追加します。
    <Location /oudsm>
		WebLogicHost LDAPHOST1.example.com
		WebLogicPort 7001
</Location>

    ノート:

    インスタンスの構成ファイルと実行時ファイルにはそれぞれ別のディレクトリがあります。.../OHS/instances/ohsn/*フォルダにある実行時ファイルは、直接編集しないでください。.../OHS/ohsn/*構成ファイルのみ編集します。
  2. igdadmin_vh.confまたはiadadmin_vh.confファイルを2つ目のOracle HTTP Serverインスタンス(ohs2)の次の構成ディレクトリにコピーします。
    OHS_DOMAIN_HOME/config/fmwconfig/components/ohs2/moduleconf/
  3. WEBHOST1とWEBHOST2上のOracle HTTP Serverインスタンスを再起動します。

親トピック: エンタープライズ・デプロイメント用のOracle LDAPの構成

既存LDAPディレクトリの準備

LDAPディレクトリをOracle Identity and Access Managementと併用するには、Oracle Access Managerで必要とされるオブジェクト・クラスを使用してLDAPディレクトリを拡張する必要があります。

また、特定のユーザーおよびグループをディレクトリにシードする必要があります。これらのユーザーおよびグループは、後述するように様々なOracle Identity and Access Management製品で使用されます。

ノート:

この手順には、Oracle Identity and Access Managementスイートの一部として提供されるユーティリティの実行が含まれています。続行するには、Oracle Access Manager用のソフトウェア(「Oracle Fusion Middleware Infrastructureのインストール」)またはOracle Identity Manager用のソフトウェア(「OIMHOST1へのOracle Fusion Middleware Infrastructureのインストール」)がインストールされている必要があります。

この項には次のトピックが含まれます:

親トピック: エンタープライズ・デプロイメント用のOracle LDAPの構成

エンタープライズ・デプロイメント・ユーザーおよびグループについて

次の各項では、エンタープライズ・デプロイメント管理ユーザーおよびグループの用途と特性に関する重要な情報を提供します。

親トピック: 既存LDAPディレクトリの準備

各ドメインで一意の管理ユーザーの使用について

集中LDAPユーザー・ストアを使用すると、複数のOracle WebLogic Serverドメインで使用するユーザーおよびグループをプロビジョニングできます。その結果、あるWebLogic管理ユーザーがエンタープライズ内のすべてのドメインにアクセスできてしまうことにもなります。

Oracle Fusion Middlewareドメインの管理用にプロビジョニングするユーザーおよびグループにディレクトリ・ツリー内で一意の識別名(DN)を作成して割り当てる方法をお薦めします。

たとえば、WebLogicドメインをLDAPに接続するために使用する、oamLDAPおよびoimLDAPという名前の2人のユーザーを作成します。これにより、ディレクトリ内に存在するユーザーおよびグループをドメインが参照できるようになります。ドメインごとに異なるユーザーを作成したり、複数のドメインに対して単一のユーザーを使用したりできます。この目的のためにデフォルトのLDAP管理ユーザーは決して使用しないでください。これらのユーザーは、systemidsコンテナ内に作成する必要があります。このコンテナは、通常はユーザーに表示されないシステム・ユーザーに使用されます。このユーザーをsystemidsコンテナに配置することで、Oracle Identity Governanceを所有する顧客がこのユーザーをリコンサイルしないようにします。

Oracle Access Management (OAM)とOracle Identity Manager (OIM)のLDAP接続用にそれぞれ異なるユーザーを使用することにより、OAMでLDAPに接続するために使用されるユーザーに、制限された権限セットを割り当てることができます。

weblogic_iamと呼ばれるユーザー、およびWLSAdministratorsと呼ばれる管理グループを作成します。WLSAdministratorsグループ内のユーザーは、次へのアクセスが許可されます。

  • Oracle Fusion Middleware Control

  • Oracle WebLogic管理コンソール

oamadminという名前のユーザーとOAMAdministratorsという名前の管理グループを作成します。OAMAdministratorsグループ内のユーザーは、次へのアクセスが許可されます。

  • Oracle Access Policy Manager

  • Oracle Access Managerコンソール

構成ファイルの作成

アイデンティティ・ストアの準備時、または後で統合プロセスと構成プロセスのベースとして使用する、プロパティ・ファイルiam.propsを作成します。ファイルは、この項で説明する構造になります。ファイルの作成時に空白行は含めないでください。

この項のプロパティ・ファイルは完全な例です。ファイルで指定されているパラメータの一部は、ガイドの後半の構成ステップまで使用されません。使用する予定の製品用のプロパティを含めるためにのみ必要です。

この項には次のトピックが含まれます:

親トピック: 既存LDAPディレクトリの準備

Oracle Unified Directoryの例

次に、Oracle Unified Directoryの構成ファイルの例を示します。

# Common
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 1389
IDSTORE_ADMIN_PORT: 4444
IDSTORE_KEYSTORE_FILE: OUD_INSTANCE_HOME/OUD/config/admin-keystore
IDSTORE_KEYSTORE_PASSWORD: Password key
IDSTORE_BINDDN: cn=oudadmin
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_NEW_SETUP: true
IDSTORE_DIRECTORYTYPE: OUD
# OAM
IDSTORE_OAMADMINUSER: oamadmin
IDSTORE_OAMSOFTWAREUSER: oamLDAP
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
# OAM and OIM
IDSTORE_SYSTEMIDBASE: cn=SystemIDs,dc=example,dc=com
# OIM
IDSTORE_OIMADMINGROUP: OIMAdministrators
IDSTORE_OIMADMINUSER: oimLDAP
# WebLogic
IDSTORE_WLSADMINUSER : weblogic_iam
IDSTORE_WLSADMINGROUP : WLSAdministrators

親トピック: 構成ファイルの作成

プロパティ値の説明

この項では、構成ファイルのプロパティ値について説明します。

LDAPプロパティ

  • IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。アイデンティティ・ストアの準備時に、これらはLDAPインスタンスの1つを指す必要があります。OAMまたはOIMなどのコンポーネントの構成時に、これらはロード・バランサのエントリ・ポイントを指す必要があります。

    Exalogic設定の場合は、このホストのOTDフェイルオーバー・グループ名を指定する必要があります。

  • IDSTORE_DIRECTORYTYPEは、使用しているディレクトリのタイプです。有効な値はOUDです。

  • IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです

  • IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。

  • IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を記述したLDAP属性です。

  • IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。

  • IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。

  • IDSTORE_SYSTEMIDBASEは、メイン・ユーザー・コンテナに配置する必要のないシステム・ユーザーを配置できる、ディレクトリ内のコンテナの場所です。

  • IDSTORE_USERNAMEATTRIBUTEは、ユーザー名が格納されるLDAP属性の名前です。

  • IDSTORE_LOGIN_ATTRIBUTEは、ユーザーIDが格納されるLDAP属性の名前です。

親トピック: プロパティ値の説明

OUDプロパティ

  • IDSTORE_ADMIN_PORTは、Oracle Unified Directoryインスタンスの管理ポートです。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。

  • IDSTORE_KEYSTORE_FILEは、Oracle Unified Directoryのキーストア・ファイルの場所です。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、OUD_INSTANCE_HOME/OUD/configにあります。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。

  • IDSTORE_KEYSTORE_PASSWORDは、Oracle Unified Directoryのキーストアの暗号化されたパスワードです。この値は、ファイルOUD_INSTANCE_HOME/OUD/config/admin-keystore.pinにあります。

  • IDSTORE_NEW_SETUPは、ディレクトリを初めて準備するときに使用されます。

親トピック: プロパティ値の説明

OAMプロパティ

  • IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。アイデンティティ・ストアの準備時に、これらはLDAPインスタンスの1つを指す必要があります。OAMまたはOIMなどのコンポーネントの構成時に、これらはロード・バランサのエントリ・ポイントを指す必要があります。

    アイデンティティ・ストアへのアクセスにOTDフェイルオーバー・グループを使用している場合は、ここにこの値を指定する必要があります。

  • IDSTORE_OAMADMINUSERは、Access Manager管理者として作成するユーザーの名前です。

  • IDSTORE_OAMSOFTWAREUSERは、LDAPに作成されるユーザーで、Access Managerが実行中にLDAPサーバーに接続するために使用されます。

  • OAM11G_IDSTORE_ROLE_SECURITY_ADMINは、OAMコンソールへのアクセスを許可するために使用するグループの名前です。このグループに割り当てられたユーザーのみがOAMコンソールにアクセスできます。

  • OAM11G_SERVER_LOGIN_ATTRIBUTEは、ユーザーIDが格納されるLDAP属性の名前であり、IDSTORE_LOGIN_ATTRIBUTEと同じである必要があります。

ノート:

製品ごとに異なる管理者アカウントおよびグループを作成するか、または単一の管理ユーザーを使用できます。前述の例では、単一の管理ユーザーおよびグループを使用しています。

OAMSOFTWAREUSERは、LDAPに接続するためのOAMユーザーです。OIMADMINUSERは、LDAPに接続するためのOIMユーザーです。製品ごとに別のユーザーを作成するか、または単に同じユーザーを使用できます。

親トピック: プロパティ値の説明

OIMプロパティ

  • IDSTORE_OIMADMINGROUPは、Oracle Identity Governance管理ユーザーを保持するために作成するグループの名前です。

  • IDSTORE_OIMADMINUSERは、アイデンティティ・ストアに接続するためにOracle Identity Governanceが使用するユーザーです。

ノート:

OAMSOFTWAREUSERは、LDAPに接続するためのOAMユーザーです。OIMADMINUSERは、LDAPに接続するためのOIGユーザーです。製品ごとに別のユーザーを作成するか、または単に同じユーザーを使用できます。

親トピック: プロパティ値の説明

WebLogicプロパティ

  • IDSTORE_WLSADMINUSER: シングル・サインオンによって有効化された後にWebLogicドメインへのログイン用に作成されるユーザー名。

  • IDSTORE_WLSADMINGROUP: WebLogicシステム・コンポーネント(WLSコンソール、EMなど)へのログインを許可されたユーザーが属するグループの名前。

親トピック: プロパティ値の説明

アイデンティティ・ストアとしてのOUDの準備

Oracle LDAPディレクトリをOracle Identity and Access Managementとともに使用するには、ディレクトリを事前に構成しておく必要があります。

このプロセスには、ディレクトリ内での追加のオブジェクト・クラスの作成、およびOracle Identity and Access Managementスイートによってディレクトリへの接続のために使用されるユーザーのシードが含まれます。構成プロセスには2つのフェーズがあります。

  • 事前構成: ここでは、必要なオブジェクト・クラスを追加します。

  • ユーザーのシード。

このためには、Oracle Unified Directoryを拡張している場合はLDAPHOST1で次のタスクを実行します。

親トピック: 既存LDAPディレクトリの準備

ディレクトリの事前構成

Oracle LDAPディレクトリをOracle Identity and Access Managementとともに使用するには、ディレクトリを事前に構成しておく必要があります。

このプロセスには、ディレクトリ内での追加のオブジェクト・クラスの作成、およびOracle Identity and Access Managementスイートによってディレクトリへの接続のために使用されるユーザーのシードが含まれます。構成プロセスには2つのフェーズがあります。

  • 事前構成: ここでは、必要なオブジェクト・クラスを追加します。

  • ユーザーのシード。

このためには、Oracle Unified Directoryを拡張している場合はLDAPHOST1で次のタスクを実行します。

ノート:

LDAPの準備は、idmConfigToolと呼ばれるツールを使用して実行します。このツールは、Oracle Identity and Access Managementソフトウェアにバンドルされています。この項の各ステップを実行する前に、Oracle Identity and Access Managementをインストールする必要があります。「Oracle Fusion Middleware Infrastructureのインストール」を参照してください。この項の各ステップは、OAMHOST1またはOIMHOST1から実行できます。

ディレクトリがIAD_ORACLE_HOMEと異なるホスト上にある場合は、idmconfigTool.shツールはそのホストから実行される必要があります。IAD_ORACLE_HOMEとディレクトリ・サーバーの間にファイアウォールがある場合、このステップの間はそのファイアウォールでLDAPポートを利用できるようにする必要があります。

OIMのみをインストールしていて、使用中のディレクトリの構成を希望する場合は、IAD_ORACLE_HOMEではなくIGD_ORACLE_HOMEを使用します。idmtoolは両方の場所で同じです。

  1. 環境変数を設定します。
    • MW_HOME: IAD_ORACLE_HOMEまたはIGD_ORACLE_HOMEに設定します
    • JAVA_HOME: Javaホームに設定します。
    • ORACLE_HOME: MW_HOME/idmに設定します
  2. 場所ORACLE_HOME/idmtools/binからidmConfigToolコマンドを使用して、アイデンティティ・ストアを構成します。

    ノート:

    idmConfigToolを実行すると、idmDomainConfig.paramファイルが作成されるか、既存のこのファイルに情報が追加されます。このファイルは、idmConfigToolを実行したディレクトリに作成されます。このツールを実行するたびに同じファイルに情報が追加されるようにするには、必ずディレクトリIAD_ORACLE_HOME/idmtools/binからidmConfigToolを実行します。

    Linuxの場合、このコマンドの構文は次のとおりです。

    idmConfigTool.sh -preConfigIDStore input_file=configfile

    たとえば:

    idmConfigTool.sh -preConfigIDStore input_file=iam.props

    このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。このコマンドの実行には時間を要する場合があります。

    ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。

ユーザーおよびグループのシード

Identity Managementコンポーネントで必要なユーザーとグループでアイデンティティ・ストアをシードする必要があります。

アイデンティティ・ストアをシードするには、OAMHOST1またはOIMHOST1で次のタスクを実行する必要があります。

  1. 環境変数を設定します。
    • MW_HOME: IAD_ORACLE_HOMEまたはIGD_ORACLE_HOMEに設定します
    • JAVA_HOME: Javaホームに設定します。
    • ORACLE_HOME: MW_HOME/idmに設定します

    ノート:

    idmConfigToolがOIMHOST1またはOAMHOST1のどちらで実行されているかに応じて、IAM_ORACLE_HOMEIGD_ORACLE_HOMEまたはIAD_ORACLE_HOMEのいずれかで置き換えます。

  2. 次の場所にあるidmConfigToolコマンドを使用してアイデンティティ・ストアを構成します。
    ORACLE_HOME/idmtools/bin

    ノート:

    idmConfigToolを実行すると、idmDomainConfig.paramファイルが作成されるか、既存のこのファイルに情報が追加されます。このファイルは、idmConfigToolを実行したディレクトリに生成されます。このツールを実行するたびに同じファイルに情報が追加されるようにするには、必ず次のディレクトリでidmConfigToolを実行します。 

    ORACLE_HOME/idmtools/bin

    Linuxの場合、このコマンドの構文は次のとおりです。

    idmConfigTool.sh -prepareIDStore mode=MODE input_file=configfile  pwd_file=passwordfile

    MODEに選択する値によって、作成するユーザーのタイプが決まります。指定可能なMODEの値は、OAMOIMおよびWLSです。

    • すべてのトポロジにおいて、管理コンソールに対するシングル・サインオンを有効にする場合は、WebLogic管理コンソールとOracle Enterprise Manager Fusion Middleware Controlにログインする権限を持つユーザーがアイデンティティ・ストアに存在することを確認する必要があります。次のように入力します: 

      idmConfigTool.sh -prepareIDStore mode=WLS input_file=iam.props

    • トポロジにAccess Managerが含まれている場合、Access Managerで必要なユーザーをアイデンティティ・ストアにシードしておく必要があります。次のように入力します:

      idmConfigTool.sh -prepareIDStore mode=OAM input_file=iam.props

    • トポロジにOracle Identity Governanceが含まれている場合、xelsysadmユーザーをアイデンティティ・ストアにシードし、 Oracle Identity Governance管理グループにこのユーザーを割り当てる必要があります。また、リコンシリエーションを実行できるように、標準の場所cn=Users以外にもユーザーを作成します。このユーザーは、Oracle Virtual Directoryを使用してディレクトリに接続するときにバインドDNとして使用するユーザーにもなります。タイプ 

      idmConfigTool.sh -prepareIDStore mode=OIM input_file=iam.props

ノート:

このコマンドでは、アイデンティティ・ストアに予約用のコンテナも作成します。

ノート:

xelsysadm用のパスワードを入力する場合は、OIMポリシー(長さが8文字以上で、大文字と数字が1つ以上含まれている必要があります)と同じであることを確認します。

このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。

各コマンドを実行した後、ログ・ファイルでエラーまたは警告を確認し、修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。

OUD changelogアクセス権の付与

Oracle Unified Directoryを使用している場合は、次のステップをLDAPHOST1およびLDAPHOST2で実行して、changelogに対するアクセス権を付与する必要があります。

  1. OUDに接続するために使用するパスワードが含まれているpasswordfileというファイルを作成します。
  2. コマンドを発行して、既存の変更ログを削除します。
    OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
--remove \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)"  \
--hostname OUD Host \
--port OUD Admin Port \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt

    たとえば:

    OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
--remove \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \
--hostname LDAPHOST1.example.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
  3. 次のようにして新しいACIを追加します。
    OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
--add \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
--hostname OUD Host \
--port OUD Admin Port \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt

    たとえば:

    OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
--add \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
--hostname LDAPHOST1.example.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
  4. 次のACIを追加します:
    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(targetcontrol=\"1.3.6.1.4.1.26027.1.5.4\")(version 3.0;acl \"OIMAdministrators control access\"; allow(read) groupdn=\"ldap:///cn=oimAdminGroup,cn=groups,dc=example,dc=com\";)" \
--hostname OUD_HOST \
--port OUD_ADMIN_PORT \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt

    たとえば:

    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(targetcontrol=\"1.3.6.1.4.1.26027.1.5.4\")(version 3.0;acl \"OIMAdministrators control access\"; allow(read) groupdn=\"ldap:///cn=oimAdminGroup,cn=groups,dc=example,dc=com\";)" \
--hostname LDAPHOST1.example.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
  5. 次のACIを追加します:
    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///\")(targetscope=\"base\")(targetattr=\"lastExternalChangelogCookie\")(version 3.0; acl \"User-Visible lastExternalChangelog\"; allow (read,search,compare) groupdn="ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
--hostname OUD_HOST \
--port OUD_ADMIN_PORT \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt

    たとえば:

    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///\")(targetscope=\"base\")(targetattr=\"lastExternalChangelogCookie\")(version 3.0; acl \"User-VisiblelastExternalChangelog\"; allow (read,search,compare) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
--hostname LDAPHOST1.example.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
Oracle Unified Directory ACIの更新

次に、OIG統合が有効な場合のOracle Unified Directory操作の失敗時の回避策を説明します。

すべてのOUDインスタンスのOUD_ORACLE_INSTANCE/OUD/config/config.ldifを次の変更で更新します。

ノート:

編集する前に、元のファイルのコピーを保存します。

  1. 次の行を探します。
    ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.840.113556.1.4.319 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)

    前述のaciからオブジェクト識別子1.2.840.113556.1.4.319を削除し、次に示すaciに追加します。 

    ds-cfg-global-aci: (targetcontrol="2.16.840.1.113730.3.4.2 || 2.16.840.1.113730.3.4.17 || 2.16.840.1.113730.3.4.19 || 1.3.6.1.4.1.4203.1.10.2 || 1.3.6.1.4.1.42.2.27.8.5.1 || 2.16.840.1.113730.3.4.16 || 2.16.840.1.113894.1.8.31 || 1.2.840.113556.1.4.319") (version 3.0; acl "Anonymous control access"; allow(read) userdn="ldap:///anyone";)
  2. オブジェクト識別子1.3.6.1.4.1.26027.1.5.4および1.3.6.1.4.1.26027.2.3.4を、次に示すaciに追加します。
    ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9 || 1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)
  3. 両方のLDAPHOSTでOracle Unified Directoryサーバーを再起動します。
OUD索引の作成

idmConfigToolを実行してOUDアイデンティティ・ストアを準備すると、実行対象のインスタンスに関するデータの索引が作成されます。これらの索引は、LDAPHOST2の各OUDインスタンスに手動で作成する必要があります。

これを行うには、LDAPHOST2で次のコマンドを実行します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j passwordfile -c \-f IAD_ORACLE_HOME/idm/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif
OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j  passwordfile -c \-f IAD_ORACLE_HOME/idm/idmtools/templates/oud/oud_indexes_extn.ldif

索引の再作成

すべてのLDAPホストで索引が作成された後、コマンドを使用して索引を再作成する必要があります。

  1. 次のコマンドを発行してOUDを停止します。
    OUD_ORACLE_INSTANCE/OUD/bin/stop-ds
  2. 次のコマンドを実行します:
    OUD_ORACLE_INSTANCE/OUD/bin/rebuild-index --rebuildAll -b "dc=example,dc=com"
  3. 次のコマンドを発行して、OUDを再起動します。
    OUD_ORACLE_INSTANCE/OUD/bin/start-ds
  4. 各LDAPHOST (idmToolの実行対象だったホストを含む)に対して繰り返して、可用性を維持し、索引を再作成しているディレクトリのみを停止します。

Oracle以外のディレクトリでのアクセス制御リストの作成

前の項で、Oracleコンポーネントのユーザーおよびアーティファクトをアイデンティティ・ストアにシードしました。アイデンティティ・ストアがOracle Unified DirectoryではなくOracle Directory Server Enterprise Editionである場合は、アクセス制御リスト(ACL)を設定して、作成したエンティティに適切な権限を指定する必要があり、これは、これらの前方でOracle Virtual Directoryを使用している場合でも該当します。この項では、作成されるアーティファクトおよびそのアーティファクトで必要な権限を示します。

  • システムID。すべてのシステム識別子を格納するためのシステムIDコンテナが作成されます。ユーザーの作成場所であるコンテナが他に存在する場合は、それが管理の中で指定されます。

  • Access Manager管理ユーザー。このユーザーは、OAM管理者グループに追加されます。このグループでは、Oracle Access Managementコンソールを管理する権限を提供します。このユーザーは単なるアプリケーション・ユーザーなので、LDAPスキーマ・レベルの権限は不要です。

  • Access Managerソフトウェア・ユーザー。このユーザーは、コンテナに対する読取り権限を提供するグループに追加されます。このユーザーにはスキーマ管理権限も付与されます。

  • システムIDコンテナ内のOracle Identity GovernanceユーザーoigLDAP。コンテナでは適宜パスワード・ポリシーが設定されます。システムIDコンテナのユーザーのパスワードは、期限切れにならないように設定する必要があります。

  • Oracle Identity Governance管理グループ。Oracle Identity Governanceユーザーがメンバーとして追加されます。Oracle Identity Governance管理グループには、ディレクトリ内のすべてのユーザー・エンティティおよびグループ・エンティティに対する完全な読取り/書込み権限が付与されます。

  • WebLogic管理者。Oracle Virtual DirectoryのIDMドメインの管理者です。

  • WebLogic管理者グループ。WebLogic管理者がメンバーとして追加されます。Oracle Virtual DirectoryのIDMドメインの管理者グループです。

  • 予約コンテナ。読取り/書込み操作を実行するための権限がOracle Identity Governance管理グループに付与されます。

親トピック: 既存LDAPディレクトリの準備