4.2.4 LDAPストアでのユーザーとグループの作成
Oracle Advanced Authentication (OAA)では、Oracle Access Management (OAM)で使用されるLDAPストアに2つのグループを構成する必要があります:
- OAA-Admin-Role。管理コンソールへのアクセスを許可されている管理者ユーザーを認証するために使用されます。
- OAA-App-User。セルフサービス・ポータルへのアクセスを許可されたユーザーのリストが含まれます。
ノート:
- Oracle Universal Authenticator (OUA)をインストールする場合、各ユーザーには、永続ログイン用に
obpsftid: true
というldap属性が設定されている必要があります。
ユーザーとグループの作成
次の項では、OAM対応LDAPディレクトリにOAA-Admin-Role
グループおよびOAA-App-User
グループを作成する例を示します。また、OAA管理ユーザー(oaaadmin
)を作成し、OAA-Admin-Role
グループに追加します。
ユーザーおよびグループを作成するには:
- LDIFファイル
oaa_admin.ldif
を作成します。このファイルの内容は次のとおりです:dn: cn=oaaadmin,cn=Users,dc=example,dc=com changetype: add objectClass: orclUserV2 objectClass: oblixorgperson objectClass: person objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: oblixPersonPwdPolicy objectClass: orclAppIDUser objectClass: orclUser objectClass: orclIDXPerson objectClass: top objectClass: OIMPersonPwdPolicy givenName: oaaadmin uid: oaaadmin orclIsEnabled: ENABLED sn: oaaadmin userPassword: <Password> mail: oaaadmin@example.com orclSAMAccountName: oaaadmin cn: oaaadmin obpasswordchangeflag: false ds-pwp-password-policy-dn: cn=FAPolicy,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext,dc=example,dc=com dn:cn=OAA-Admin-Role,cn=Groups,dc=example,dc=com changetype: add objectClass: top objectClass: groupofuniquenames uniqueMember: cn=oaaadmin,cn=Users,dc=example,dc=com dn:cn=OAA-App-User,cn=Groups,dc=example,dc=com changetype: add objectClass: top objectClass: groupofuniquenames
- LDIFファイルをディレクトリにロードします。次の例では、Oracle Unified DirectoryをLDAPストアとして使用しているとします:
$ cd INSTANCE_DIR/OUD/bin ldapmodify -h <OUD_HOSTNAME> -p 1389 -D "cn=Directory Manager" -w <password> -f oaa_admin.ldif
OAAユーザー・グループへの既存のユーザーの追加
次の例は、前に作成した
OAA-App-User
グループに既存のユーザーを追加する方法を示しています:
- LDAPインスタンスで次のコマンドを実行しますこれらのコマンドにより、既存のすべてのユーザーを
OAA-App-User
グループに追加するLDIFファイルが作成されます:echo "dn:cn=OAA-App-User,cn=Groups,dc=example,dc=com" > update_group.ldif
echo "changetype: modify" >> update_group.ldif
echo "add: uniqueMember" >> update_group.ldif
ldapsearch -h <OUD_HOSTNAME> -p <OUD_PORT> "cn=Directory Manager" -w <password> -b cn=Users,dc=example,dc=com "cn=*" dn | grep -v oaaadmin | grep -v "dn: cn=Users,dc=example,dc=com" | grep cn| awk ' { print "uniqueMember: "$2 } ' >> update_group.ldif
update_group.ldif
を編集し、グループに追加しないユーザーを削除します。- LDIFファイルをディレクトリにロードします:
ldapmodify -h oud.example.com -p 1389 -D "cn=Directory Manager" -w <password> -f update_group.ldif
既存のOAAユーザーに対するLDAP属性obpsftidの設定
OAA-App-User
ユーザー・グループのユーザーに対して永続ログインを有効にするには、各LDAPユーザーのLDAP属性obpsftid
をtrue
に設定する必要があります:
- 次の内容を含む
modify_oaa_user.ldif
を作成します:dn: cn=<username>,<LDAP_USER_SEARCHBASE> changetype: modify replace: obpsftid obpsftid: true
たとえば:dn: cn=oaauser,cn=Users,dc=example,dc=com changetype: modify replace: obpsftid obpsftid: true
- LDIFファイルをディレクトリにロードします:
ldapmodify -h <OUD_HOSTNAME> -p 1389 -D "cn=Directory Manager" -w <password> -f modify_oaa_user.ldif
- これは、
OAA-App-User
グループ内のユーザーごとに実行する必要があります。OAA-App-User
グループのメンバーのリストを取得するには、LDAPインスタンスから次のLDAPコマンドを発行します:ldapsearch -h "<OUD_HOSTNAME>" -p "<OUD_PORT>" -D "cn=Directory Manager" -w "<password>" -b "cn=<OAA_USER_GROUP>,<LDAP_GROUP_SEARCHBASE>" "cn=*" uniqueMember
たとえば:ldapsearch -h "oud.example.com" -p 1389 -D "cn=Directory Manager" -w <password> -b "cn=OAA-App-User,cn=Groups,dc=example,dc=com" "cn=*" uniqueMember