4.2.4 LDAPストアでのユーザーとグループの作成

Oracle Advanced Authentication (OAA)では、Oracle Access Management (OAM)で使用されるLDAPストアに2つのグループを構成する必要があります:

• OAA-Admin-Role。管理コンソールへのアクセスを許可されている管理者ユーザーを認証するために使用されます。
• OAA-App-User。セルフサービス・ポータルへのアクセスを許可されたユーザーのリストが含まれます。

ノート:

• ユーザーをOAA-Admin-Roleおよびユーザー・グループの両方のメンバーにすることはできません。そのため、専用の管理者ユーザー名の使用をお薦めします。
• Oracle Universal Authenticator (OUA)をインストールする場合、各ユーザーには、永続ログイン用にobpsftid: trueというldap属性が設定されている必要があります。

ユーザーとグループの作成

次の項では、OAM対応LDAPディレクトリにOAA-Admin-RoleグループおよびOAA-App-Userグループを作成する例を示します。また、OAA管理ユーザー(oaaadmin)を作成し、OAA-Admin-Roleグループに追加します。

ユーザーおよびグループを作成するには:

1. LDIFファイルoaa_admin.ldifを作成します。このファイルの内容は次のとおりです:

   dn: cn=oaaadmin,cn=Users,dc=example,dc=com
   changetype: add
   objectClass: orclUserV2
   objectClass: oblixorgperson
   objectClass: person
   objectClass: inetOrgPerson
   objectClass: organizationalPerson
   objectClass: oblixPersonPwdPolicy
   objectClass: orclAppIDUser
   objectClass: orclUser
   objectClass: orclIDXPerson
   objectClass: top
   objectClass: OIMPersonPwdPolicy
   givenName: oaaadmin
   uid: oaaadmin
   orclIsEnabled: ENABLED
   sn: oaaadmin
   userPassword: <Password>
   mail: oaaadmin@example.com
   orclSAMAccountName: oaaadmin
   cn: oaaadmin
   obpasswordchangeflag: false
   ds-pwp-password-policy-dn: cn=FAPolicy,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext,dc=example,dc=com
   
   dn:cn=OAA-Admin-Role,cn=Groups,dc=example,dc=com
   changetype: add
   objectClass: top
   objectClass: groupofuniquenames
   uniqueMember: cn=oaaadmin,cn=Users,dc=example,dc=com
   
   dn:cn=OAA-App-User,cn=Groups,dc=example,dc=com
   changetype: add
   objectClass: top
   objectClass: groupofuniquenames

2. LDIFファイルをディレクトリにロードします。次の例では、Oracle Unified DirectoryをLDAPストアとして使用しているとします:

   $ cd INSTANCE_DIR/OUD/bin
   ldapmodify -h <OUD_HOSTNAME> -p 1389 -D "cn=Directory Manager" -w <password> -f oaa_admin.ldif

OAAユーザー・グループへの既存のユーザーの追加

次の例は、前に作成したOAA-App-Userグループに既存のユーザーを追加する方法を示しています:

1. LDAPインスタンスで次のコマンドを実行しますこれらのコマンドにより、既存のすべてのユーザーをOAA-App-Userグループに追加するLDIFファイルが作成されます:

   echo "dn:cn=OAA-App-User,cn=Groups,dc=example,dc=com" > update_group.ldif

   echo "changetype: modify" >> update_group.ldif

   echo "add: uniqueMember" >> update_group.ldif

   ldapsearch -h <OUD_HOSTNAME> -p <OUD_PORT> "cn=Directory Manager" -w <password> -b cn=Users,dc=example,dc=com "cn=*" dn | grep -v oaaadmin | grep -v "dn: cn=Users,dc=example,dc=com" | grep cn| awk ' { print "uniqueMember: "$2 } ' >> update_group.ldif

2. update_group.ldifを編集し、グループに追加しないユーザーを削除します。
3. LDIFファイルをディレクトリにロードします:

   ldapmodify -h oud.example.com -p 1389 -D "cn=Directory Manager" -w <password> -f update_group.ldif

既存のOAAユーザーに対するLDAP属性obpsftidの設定

OAA-App-Userユーザー・グループのユーザーに対して永続ログインを有効にするには、各LDAPユーザーのLDAP属性obpsftidをtrueに設定する必要があります:

1. 次の内容を含むmodify_oaa_user.ldifを作成します:

   dn: cn=<username>,<LDAP_USER_SEARCHBASE>
   changetype: modify
   replace: obpsftid
   obpsftid: true

   たとえば:

   dn: cn=oaauser,cn=Users,dc=example,dc=com
   changetype: modify
   replace: obpsftid
   obpsftid: true

2. LDIFファイルをディレクトリにロードします:

   ldapmodify -h <OUD_HOSTNAME> -p 1389 -D "cn=Directory Manager" -w <password> -f modify_oaa_user.ldif

3. これは、OAA-App-Userグループ内のユーザーごとに実行する必要があります。OAA-App-Userグループのメンバーのリストを取得するには、LDAPインスタンスから次のLDAPコマンドを発行します:

   ldapsearch -h "<OUD_HOSTNAME>" -p "<OUD_PORT>" -D "cn=Directory Manager" -w "<password>" -b "cn=<OAA_USER_GROUP>,<LDAP_GROUP_SEARCHBASE>" "cn=*" uniqueMember
   

   たとえば:

   ldapsearch -h "oud.example.com" -p 1389 -D "cn=Directory Manager" -w <password> -b "cn=OAA-App-User,cn=Groups,dc=example,dc=com" "cn=*" uniqueMember