Microsoft Active Directoryとの統合

21 Microsoft Active Directoryとの統合

この章では、本番環境でOracle Identity ManagementとMicrosoft Active Directoryを統合する手順について説明します。

トピック:

ノート:

この章に進む前に、前の章で説明している概念を理解している必要があります。次の章は特に重要です。

Microsoft Active Directoryとの統合のデモンストレーションを構成する場合は、Oracle Identity ManagementのOracle By Exampleシリーズを参照してください。Oracle Technology Network (http://www.oracle.com/technology/)で参照可能です

21.1 Microsoft Active Directoryの同期要件の確認

Microsoft Active Directoryで基本同期または拡張同期を構成するには、使用する環境で必要な同期要件が満たされていることを確認してください。

「同期要件の確認」の指示に従う必要があります。

21.2 Microsoft Active Directoryとの基本同期の構成

Oracle Enterprise Manager Fusion Middleware ControlまたはmanageSyncProfilesコマンドを使用して、Microsoft Active Directoryの同期プロファイルを構成できます。

詳細は、「ディレクトリ同期プロファイルの管理」を参照してください。

ヒント:

Oracle Directory Integration Platformでは、1つのMicrosoft Active Directory(AD)と複数のOracleディレクトリ・サーバーを同時に同期化できます。

21.3 Microsoft Active Directoryとの拡張統合の構成

Oracle Directory Integration Platformをインストールすると、サポート対象の接続ディレクトリごとにインポートおよびエクスポートの同期プロファイルのサンプルが自動的に作成されます。

Microsoft Active Directory用に作成された同期プロファイルのサンプルは、次のとおりです。

ActiveImport—DirSync方式を使用して、Microsoft Active DirectoryからOracleバックエンド・ディレクトリに変更をインポートするためのプロファイル
ActiveChgImp—USN-Changed方式を使用して、Microsoft Active DirectoryからOracleバックエンド・ディレクトリに変更をインポートするためのプロファイル
ActiveExport—Oracleバックエンド・ディレクトリからMicrosoft Active Directoryに変更をエクスポートするためのプロファイル

ノート:

ActiveImportまたはActiveChgImpのいずれを使用するかは、変更の追跡方法でDirSync方式かUSN-Changed方式のどちらを選択したかによって決まります。
ユーザーのエクスポートおよびインポートの両方のためにActive DirectoryとOracleバックエンド・ディレクトリ間の統合を確立する場合は、ActiveExport検索フィルタをカスタマイズして、Oracle Directory Integration Platformでユーザーが2回エクスポートまたはインポートされないようにする必要があります。次に、同じActive Directoryインスタンスでエクスポート操作とインポート操作の両方が有効なときに使用できる、カスタマイズされたActiveExport検索フィルタの例を示します。
```
odip.profile.condirfilter ="searchfilter=(|(objectclass= group)(objectclass= organizationalunit)(&(objectclass=user) (!(objectclass=computer))))"
```

関連項目:

検索フィルタのカスタマイズの詳細は、「Microsoft Active Directoryから情報を取得する検索フィルタのカスタマイズ」を参照してください

expressSyncSetupコマンドまたはOracle Enterprise Manager Fusion Middleware Controlを使用して、追加の同期プロファイルを作成することもできます。インストール・プロセス時またはexpressSyncSetupによって作成されたインポートおよびエクスポートの同期プロファイルは、Oracleバックエンド・ディレクトリとMicrosoft Active Directoryの統合をデプロイする際に使用する開始点としてのみ利用されます。デフォルトの同期プロファイルは事前定義の仮定を使用して作成されるため、次のステップを順序どおりに実行して、環境に合せてそれらをさらにカスタマイズする必要があります。

21.3.1 Microsoft Active Directoryとの統合を計画する方法の理解

「接続ディレクトリ統合の概念と考慮事項」、特に「Microsoft Active Directory統合の概念」を読んで、統合を計画します。「同期プロファイルの作成」の指示に従い、既存のActive Directoryテンプレート・プロファイルをコピーして、必ず新規のプロファイルを作成します。

21.3.2 Microsoft Active Directoryのレルムの構成

Oracleバックエンド・ディレクトリがOracle Internet Directoryである場合は、「レルムの構成」の指示に従い、レルムを構成してください。

21.3.3 Microsoft Active Directoryから情報を取得する検索フィルタのカスタマイズ

デフォルトで、Microsoft Active Directoryコネクタにより、同期用に構成されたコンテナ内のすべてのオブジェクトに対する変更が取得されます。特定のタイプの変更のみ(ユーザーやグループに対する変更のみなど)を取得する場合は、LDAP検索フィルタを構成する必要があります。このフィルタにより、Microsoft Active DirectoryコネクタのMicrosoft Active Directoryに対する問合せの際に、不要な変更が排除されます。フィルタは、同期プロファイルのsearchfilter属性に格納されます。

サンプル・プロファイルのactiveChgImpとactiveImportでは、グループとユーザーのみがMicrosoft Active Directoryから取得されます。コンピュータは取得されません。searchfilter属性の値は、次のように設定されます。

searchfilter=(|(objectclass=group)(&(objectclass=user)(!(objectclass=computer))))

次のステップのように、Oracle Enterprise Manager Fusion Middleware Controlを使用して検索フィルタをカスタマイズできます。

Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか開き、続いて、カスタマイズする検索フィルタを含むDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「同期プロファイル」をクリックします。「同期プロファイルの管理」ページが表示されます。
同期サーバーの管理ページで、既存のプロファイルを選択して「編集」をクリックします。「同期プロファイルの編集」ページが表示され、「一般」タブが開きます。
「同期プロファイルの編集」ページで、「フィルタリング」タブを選択します。
「マッピング」タブ・ページで、宛先の一致フィルタ(orclODIPConDirMatchingFilter)フィールドおよび「ソースの一致フィルタ」(orclODIPOIDMatchingFilter)フィールドにsearchfilter属性の適切な値を入力します。searchfilter属性の指定方法は、「LDAP検索による変更のフィルタ処理」を参照してください。
「OK」を選択します。

manageSyncProfilesコマンドを使用して検索フィルタをカスタマイズするには:

「接続されたディレクトリ一致フィルタ」(orclODIPConDirMatchingFilter)属性をカスタマイズするために、次のコマンドを入力します。

manageSyncProfiles update -h host -p port -D WLS_login_ID
-pf synchronization_profile_name -params "odip.profile.condirfilter 
searchfilter=(|(objectclass=group)(objectclass=organizationalunit)(&(objectclas
s=user)(!(objectclass=computer))))"

「OID一致フィルタ」(orclODIPOIDMatchingFilter)属性をカスタマイズするために、次のコマンドを入力します。

manageSyncProfiles update -h host -p port -D WLS_login_ID
-pf synchronization_profile_name -params "odip.profile.oidfilter 
orclObjectGUID"

ノート:

searchfilter属性に指定する属性はすべて、Microsoft Active Directoryの索引付き属性のように構成する必要があります。

関連項目:

LDAP検索フィルタを構成する方法は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のLDAPフィルタ定義に関する付録を参照してください。

21.3.4 Microsoft Active DirectoryのACLをカスタマイズする方法の理解

「Access制御リストのカスタマイズ」で説明されているように、ACLをカスタマイズします。

21.3.5 Microsoft Active Directoryとの統合の属性マッピングのカスタマイズ

Microsoft Active Directoryと統合する場合は、次の属性レベル・マッピングがすべてのオブジェクトに対して必須です。

ObjectGUID:  :  : :orclObjectGUID:
ObjectSID:  :  : :orclObjectSID:

例21-1 Microsoft Active Directoryのユーザー・オブジェクト用の属性レベル・マッピング

SAMAccountName:1: :user:orclADSAMAccountName: :orclADUser
userPrincipalName: : :user:orclADUserPrincipalName::orclADUser:userPrincipalName

例21-2 Microsoft Active Directoryのグループ・オブジェクト用の属性レベル・マッピング

SAMAccountName:1: :group:orclADSAMAccountName: :orclADGroup

この例では、Microsoft Active DirectoryのSAMAccountNameおよびuserPrincipalNameは、それぞれOracle Internet DirectoryのorclADSAMAccountNameおよびorclADUserPrincipalNameにマップされます。

「マッピング・ルールのカスタマイズ」の指示に従い、属性マッピングをカスタマイズします。

21.3.6 複数のMicrosoft Active Directoryドメインとの同期

複数のMicrosoft Active Directoryドメインと同期化する場合は、通常、ドメインごとに別々のインポートおよびエクスポート同期プロファイルが必要です。ただし、各ドメインのプロファイルは非常に似たものにします。唯一の例外は、グローバル・カタログをインポート同期プロファイルとともに使用する場合です。この場合、Microsoft Active Directoryフォレスト用の1つのインポート同期プロファイルを作成するのみです。詳細は、「Microsoft Active DirectoryからOracleバックエンド・ディレクトリへのインポートに必要な構成について」を参照してください。

ノート:

属性および識別名マッピングは、必ず複数のドメインとの同期化を行う前に実行してください。

複数ドメインに個別のインポートおよびエクスポート同期プロファイルを作成する最善の方法は、次のとおりです。

単一ドメイン用のインポートおよびエクスポート同期プロファイルを、この項で前述した手順を使用して、カスタマイズします。
最初のドメイン用のインポートおよびエクスポートの同期プロファイルのカスタマイズを終了したら、manageSyncProfilesコマンドのcopy操作を使用して、プロファイルを次のように複製します。
```
manageSyncProfiles copy -h host -p port -D WLS_login_ID
-pf Original_Profile_Name -newpf New_Profile_Name
```
manageSyncProfilesコマンドのupdate操作を使用して、その他のMicrosoft Active Directoryドメインごとに、プロファイルを次のようにカスタマイズします。
```
manageSyncProfiles update -h host -p port -D WLS_login_ID
-pf Profile_Name -params "prop1 val1 prop2 val2 ..."
```
必要な場合は、「サード・パーティ・ディレクトリの接続詳細の構成」の指示に従い、ドメインごとに接続詳細を更新します。
次のコマンドを実行して、各ドメインのインポートおよびエクスポート同期プロファイルの最終変更番号を更新します。
```
manageSyncProfiles updatechgnum -h host -p port -D WLS_login_ID
-pf Profile_Name
```
同期が必要なMicrosoft Active Directoryドメインごとに、ステップ2から5を繰り返します。

21.3.7 Microsoft Active Directoryから削除を同期する方法について

Microsoft Active Directoryでの削除をOracleバックエンド・ディレクトリと同期化するには、Oracle Directory Integration ServerでMicrosoft Active Directoryとの同期を実行するために使用されるMicrosoft Active Directoryユーザー・アカウントに必要な権限を付与する必要があります。Microsoft Active Directoryでの削除は、Microsoft Active Directoryで削除を問い合せることで、Oracleバックエンド・ディレクトリと同期化できます。この方法は、DirSync方式またはUSN-Changed方式のいずれを使用しているかによって決まります。

DirSync方式の場合、Oracle Directory Integration PlatformでMicrosoft Active Directoryへのアクセスに使用されるMicrosoft Active Directoryユーザー・アカウントは、ドメイン管理権限を持つか、ドメイン管理者グループに属するか、または「ディレクトリの変更の複製」権限を明示的に付与される必要があります。

関連項目:

「ディレクトリの変更の複製」権限を付与する方法は、http://support.microsoft.comでArticle ID 303972を参照してください

USN-Changed方式の場合、Oracle Directory Integration PlatformでMicrosoft Active Directoryへのアクセスに使用されるMicrosoft Active Directoryユーザー・アカウントには、指定したドメインのcn=Deleted Objectsコンテナに対する「内容の一覧表示」権限と「プロパティの読取り」権限が必要です。これらの権限を設定するには、Microsoft Active Directory Lightweight Directory Service(AD LDS: 旧称Microsoft Active Directory Application Mode(ADAM))の最新のバージョンで使用可能なdsacls.exeコマンドを使用する必要があります。

Microsoft Active Directoryでの削除をOracleバックエンド・ディレクトリと同期化するためにDirSync方式またはUSN-Changed方式のどちらを使用する場合であっても、ActiveImportプロファイル(DirSync方式用)またはActiveChgImpプロファイル(USN-Changedプロファイル用)の一致フィルタを作成する場合は、必ず次のMicrosoft Active Directoryのキー属性のみを含めます。

ObjectGUID
ObjectSID
ObjectDistName
USNChanged

これらのキー属性以外の属性を一致フィルタに指定すると、Microsoft Active Directoryでの削除はOracleバックエンド・ディレクトリに伝播されません。

関連項目:

Microsoft Active Directoryからアイテムを削除する方法は、http://support.microsoft.comでArticle ID 230113を参照してください
Oracleバックエンド・ディレクトリでサポートされる標準のLDAP属性のリストは、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』の属性リファレンスに関する章を参照してください。

21.3.8 SSLモードでの同期について

「SSLモードでの同期用接続ディレクトリ・コネクタの構成」の指示に従い、SSLモードでの同期用にMicrosoft Active Directoryコネクタを構成します。

21.3.9 Oracleバックエンド・ディレクトリからMicrosoft Active Directoryへのパスワードの同期

Oracleバックエンド・ディレクトリからMicrosoft Active Directoryにパスワードの変更を同期化するには、次のステップに従います。

SSLサーバー認証モードで実行するように、Oracleバックエンド・ディレクトリ、Oracle Directory Integration PlatformおよびMicrosoft Active Directoryを構成します。
「Oracleバックエンド・ディレクトリから接続ディレクトリへのパスワードの同期の有効化」の指示に従い、Oracleバックエンド・ディレクトリからMicrosoft Active Directoryへのパスワードの同期を有効にします。

21.3.10 Microsoft Active Directory外部認証プラグインの構成について

「外部認証プラグインの構成」の指示に従い、Microsoft Active Directory外部認証プラグインを構成します。

21.3.11 構成後タスクおよび管理タスクの実行

構成後タスクおよび継続的な管理タスクの詳細は、「接続ディレクトリとの統合の管理」を参照してください。

21.4 インポート操作変更追跡でのDirsync方式の使用

デフォルトでは、expressSyncSetupで作成されたインポート同期プロファイルでは、変更追跡にUSN-Changed方式を使用します。DirSync方式の変更追跡を使用する場合は、同期化を開始する前に、必ずこの項のステップを実行してください。

ノート:

次の手順を実行する前に、現行のインポート同期プロファイルのバックアップを取ります。プロファイルのバックアップ・コピーは、manageSyncProfilesコマンドのcopy操作を使用すると作成できます。

インポート同期プロファイルでDirSync変更追跡方式が使用されるように変更するには:

$ORACLE_HOME/ldap/odi/confディレクトリにあるactiveimp.cfg.masterファイルを使用すれば、インポート同期プロファイルをUSN-Changed方式からDirSync方式に変更できます。プロファイルを更新するには、次のコマンドを使用します。
```
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf Profile_Name 
-params "odip.profile.configfile $ORACLE_HOME/ldap/odi/conf/activeimp.cfg.master"
```

次のコマンドを実行して、最終変更番号を更新します。

manageSyncProfiles updatechgnum -h host -p port -D WLS_login_ID
-pf Profile_Name

21.5 Microsoft Active Directory外部セキュリティ・プリンシパル参照とOracleバックエンド・ディレクトリとの同期の構成

この項では、Microsoft Active Directory外部セキュリティ・プリンシパル参照をOracleバックエンド・ディレクトリと同期化する方法について説明します。

Microsoft Active Directoryでは、グループ・メンバーの情報が信頼関係のドメインに外部セキュリティ・プリンシパル参照として格納されますが、Oracleバックエンド・ディレクトリでは、これらのメンバーの識別名が格納されます。このため、エントリとグループのメンバーとしてのその値が一致しなくなります。Oracleバックエンド・ディレクトリでは、ユーザーとグループとの関係を直接確立することはできません。

ユーザーとグループとの関係を確立するには、外部セキュリティ・プリンシパルを参照するメンバー識別名を、グループの同期中にエントリの識別名に置き換える必要があります。これは外部キー参照の解決と呼ばれます。

ノート:

外部セキュリティ・プリンパル参照の同期は、Windows 2003以上でのみサポートされています。

外部キー参照を解決するタスク

この項では、外部キー参照を解決するステップを説明します。

タスク1: エージェント構成情報の更新

外部セキュリティ・プリンシパル参照が設定されている可能性のあるプロファイルごとに、次のステップを実行します。サンプル構成ファイルは、$ORACLE_HOME/ldap/odi/conf/ディレクトリにあります。

activeimp.cfg.fspファイルをコピーします。次にactiveimp.cfg.fspファイルの例を示します。
```
[INTERFACEDETAILS]
   Package: gsi
   Reader: ActiveReader
[TRUSTEDPROFILES]
   prof1 : <Name of the profile1>
   prof2 : <Name of the profile2>
[FSPMAXSIZE]
   val=10000
```
この例では、DirSync変更追跡方式を使用しているものと仮定しています。変更追跡にUSN-Changed方式を使用している場合、ReaderパラメータにActiveChgReaderの値を指定します。
activeimp.cfg.fspファイルの[TRUSTEDPROFILES]タグの下で、このドメインに外部セキュリティ・プリンシパル参照を持つその他のドメインのプロファイル名を指定します。

例21-3を参照すると、ドメインAのエージェント構成情報は、次のようになります。
```
[INTERFACEDETAILS]
   Package: gsi
   Reader: ActiveReader
[TRUSTEDPROFILES]
   prof1: profile_name_for_domain_B
   prof2: profile_name_for_domain_C
```
ドメインBのエージェント構成情報は、次のようになります。
```
[INTERFACEDETAILS]
   Package: gsi
   Reader: ActiveReader
[TRUSTEDPROFILES]
   prof1: profile_name_for_domain_C
```
ドメインCには外部キー参照がないため、ドメインCのエージェント構成情報ファイルには変更がありません。
[FSPMAXSIZE]タグの下で、外部セキュリティ・プリンシパルのキャッシュ・サイズを指定します。これは、設定できる外部セキュリティ・プリンシパルの平均値でかまいません。activeimp.cfg.fspファイルでは、サンプルの値1000が指定されています。

manageSyncProfilesコマンドのupdate操作を使用して、次のように新しいエージェント構成情報ファイルをロードします。

manageSyncProfiles update -h host -p port -D WLS_login_ID
-pf profile_name_for_domain_A_or_B -params "odip.profile.configfile activeimp.cfg.fsp"

対象となるすべてのプロファイルについて、このタスクを繰り返します。

タスク2: 同期中に外部セキュリティ・プリンシパルを解決するためのマッピング・ルールの更新

ブートストラップ後、グループに対する変更が、適切なグループ・メンバーシップの値でバックエンド・ディレクトリに反映される必要があります。fsptodnマッピング・ルールにより、同期化の際にこれが可能になります。外部セキュリティ・プリンシパルの解決が必要なすべてのプロファイルで、このマッピング・ルールを変更します。例21-3を参照すると、ドメインAとBについて、マッピング・ルールを変更する必要があります。

識別名マッピングがない場合は、member属性のマッピング・ルールを次のように変更します。

member: : :group:uniquemember: :groupofUniqueNames: fsptodn(member)

識別名マッピングがある場合は、マッピング・ルールを次のように変更します。

信頼関係の各ドメインに対応する識別名マッピング・ルールを追加します。これは、正しいドメイン・マッピングを解決するために使用されます。例21-3を参照すると、ドメインAのマッピング・ファイルのdomainrulesは、次のような内容になります。
```
DOMAINRULES
<Src Domain A >:<Dst domain A1 in back-end directory>
<Src Domain B >:<Dst domain B1 in back-end directory>
<Src Domain C >:<Dst domain C1 in back-end directory>
```
member属性のマッピング・ルールを次のように変更します。
```
member:::group:uniquemember::groupofUniqueNames:dnconvert(fsptodn(member))
```
次のようにmanageSyncProfilesコマンドのupdate操作を使用して、様々なプロファイルのマッピング・ファイルをアップロードします。
```
manageSyncProfiles update -h host -p port -D WLS_login_ID
-pf Profile_Name -file File_Name
```

例21-3 外部キー参照の解決方法

この項の例は、外部キー参照がどのように解決されるかを示しています。A、B、Cの3つのドメインがあるとします。

ドメインAには、ドメインBに対する一方向の非推移的な信頼があります。ドメインBのユーザーおよびグループに対して、外部セキュリティ・プリンシパル参照を設定できます。
ドメインAには、ドメインCに対する一方向の非推移的な信頼があります。ドメインCのユーザーおよびグループに対して、外部セキュリティ・プリンシパル参照を設定できます。
ドメインBには、ドメインCに対する一方向の非推移的な信頼があります。ドメインCのユーザーおよびグループに対して、外部セキュリティ・プリンシパル参照を設定できます。

この例では、ドメインAからドメインB、ドメインAからドメインC、ドメインBからドメインCに対して一方向の非推移的な信頼があります。

21.6 同一ドメイン内の異なるMicrosoft Active Directoryドメイン・コントローラへの切替え

USN-Changed方式またはDirSync方式を使用して、変更のエクスポート先であるMicrosoft Active Directoryドメイン・コントローラを変更できます。

トピック:

21.6.1 USN-Changed方式を使用したMicrosoft Active Directoryドメイン・コントローラの変更

USN-Changed方式を使用している場合は、次の手順を実行します。

現在実行中のプロファイルを無効化します。Microsoft Active Directoryホスト接続情報(ホスト、ポート、ユーザー、パスワード)を、新規ホストを指すように変更します。通常、更新が必要なアイテムは、ホスト名のみです。
新しいドメイン・コントローラのルートDSEで、現行の最大のUSNChanged値(ルートDSEのhighestCommittedUSN属性の属性値)を検索することにより、highestCommittedUSNの現行値を取得します。
```
ldapsearch -h host -p port -b "" -s base -D binddn -q \
"objectclass=*" highestCommittedUSN
```
ノート:

パスワードを要求されます。
Oracle Directory Integration Platformを使用して、Microsoft Active Directoryから完全同期化を実行します。
1. 目的とするLDAP検索の範囲と検索フィルタを使用して、Microsoft Active DirectoryからOracleバックエンド・ディレクトリにエントリをダンプするldifdeコマンドを実行します。通常、検索フィルタは、実行中のプロファイルで指定されているものと同じです。たとえば、サンプルのプロパティ・ファイルでは、次の検索フィルタが設定されています。ldifdeを実行できるのは、Microsoft Windows環境からのみです。
```
searchfilter=(&(|(objectclass=user)(objectclass=organizationalunit))(!(objectclass=group)))
```
  基本的に、実行中のプロファイルによりMicrosoft Active Directoryと同期化されるように構成された、Oracleバックエンド・ディレクトリ・オブジェクト(エントリ)をすべて取得する検索範囲と検索フィルタを使用して、ldifdeを実行します。
2. Oracle Directory Integration Platformを実行して、同じプロファイルを使用してステップ3.aで生成されたLDIFファイルをアップロードします。
完全同期が完了した後、lastchangenumber属性を、ステップ2で取得されたhighestCommittedUSN値により更新します。
USNChanged属性を使用して、Microsoft Active Directoryから通常の同期(増分同期)を再開します。

21.6.2 DirSync方式を使用したMicrosoft Active Directoryドメイン・コントローラの変更

DirSync方式を使用している場合は、次のステップを実行します。

実行中の現行プロファイルを停止します。
manageSyncProfilesコマンドのcopy操作を使用して、すでに使用しているプロファイルとまったく同じプロファイルを新たに作成します。新たに作成したプロファイルで、Microsoft Active Directoryホスト接続情報(ホスト、ポート、ユーザー、パスワード)を、新規ホストを指すように変更します。通常、更新が必要なアイテムは、ホスト名のみです。
変更したプロファイルで、通常の同期を再開します。ドメイン・コントローラはすべて、同じMicrosoft Active Directoryドメインに存在することが必要です。

21.7 Microsoft Active Directory Lightweight Directory Serviceと組み合せたMicrosoft Active Directoryコネクタの構成について

Microsoft Active Directoryコネクタは、Microsoft Active Directory Lightweight Directory Service(AD LDS: 旧称Active Directory Application Mode(ADAM))とOracleバックエンド・ディレクトリの間でのエントリの同期に使用できます。

21.8 Microsoft Exchange Server用のMicrosoft Active Directoryコネクタの構成

Microsoft Active Directoryコネクタは、Microsoft Active Directory Server 2000以上をアイデンティティ・ストアとして使用するデプロイのMicrosoft Exchangeのユーザーをプロビジョニングできます。Fusion Middleware ControlまたはmanageSyncProfilesコマンドを使用して、Microsoft Exchange Server用のMicrosoft Active Directoryコネクタを構成できます。

トピック:

Microsoft Exchangeとの統合をさらにカスタマイズするには、「Microsoft Active Directoryとの拡張統合の構成」の指示に従います。

21.8.1 Fusion Middleware Controlを使用したMicrosoft Exchangeユーザー同期の有効化

「同期プロファイルの作成」で説明されているように、Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを作成します。

「一般」タブで、「DIP-OIDの使用形式」フィールドを「ソース」に設定し、「タイプ」リストから「Microsoft Exchange Server」を選択します。

「マッピング」タブで、ドメイン・マッピング・ルールの作成に加えて、2つの属性マッピング・ルールを作成する必要があります。マッピング・ルールの作成方法を次に示します。
「マッピング」タブの「属性マッピング・ルール」セクションで「作成」をクリックします。

「属性マッピング・ルールの追加」ダイアログ・ボックスが開きます。
次のステップを使用して、2つの属性マッピング・ルールの1つ目を作成します。
1. 「ソースのオブジェクト・クラス」ドロップダウン・メニューから「inetorgperson」を選択します。
2. 「単一の属性」オプションを選択し、「ソース属性」ドロップダウン・メニューから「uid」を選択します。
3. 「宛先オブジェクト・クラス」ドロップダウン・メニューから「User」を選択します。
4. 「宛先属性」ドロップダウン・メニューから「homeMTA」を選択します。
5. 「対応付けの式」フィールドにMTA DNの値を入力します。
  
  homeMTAの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
  
  MTA DNの形式は次のとおりです。
  
  CN=Microsoft MTA,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
  
  たとえば:
  
  CN=Microsoft MTA,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
6. 「OK」をクリックしてルールを保存します。
次のステップを使用して、2つ目の属性マッピング・ルールを作成します。
1. 「ソースのオブジェクト・クラス」ドロップダウン・メニューから「inetorgperson」を選択します。
2. 「単一の属性」オプションを選択し、「ソース属性」ドロップダウン・メニューから「uid」を選択します。
3. 「宛先オブジェクト・クラス」ドロップダウン・メニューから「User」を選択します。
4. 「宛先属性」ドロップダウン・メニューから「homeMDB」を選択します。
5. 「対応付けの式」フィールドにMDB DNの値を入力します。
  
  homeMDBの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
  
  MDB DNの形式は次のとおりです。
  
  CN=Mailbox Store (<host>),CN=First Storage Group, CN=InformationStore,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
  
  たとえば:
  
  CN=Mailbox Store (DADVMN0152),CN=First Storage Group, CN=InformationStore,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
6. 「OK」をクリックしてルールを保存します。

21.8.2 コマンド行からのMicrosoft Exchangeユーザー同期の有効化

manageSyncProfilesコマンドを使用します。詳細は、「manageSyncProfilesユーティリティ」を参照してください。

コマンドを実行する際は、-conDirType引数に割り当てる値として、ExchangeServer2003を指定します。

インポート・プロファイルおよびエクスポート・プロファイルが作成されます。インポート・プロファイルはActive Directory USNテンプレート・プロファイルに、エクスポート・プロファイルはExchange Severテンプレート・プロファイルに基づいています。
msexchangeexp.map.masterマッピング・ファイルを編集し、ドメイン・マッピング・ルールおよび属性マッピング・ルールを作成します。次に、属性マッピング・ルールの作成方法の詳細を示します。マッピング・ルールに関する一般情報については、「マッピング・ルールのカスタマイズ」を参照してください。
1. ORACLE_HOME/ldap/odi/conf/にあるmsexchangeexp.map.masterマッピング・ファイルを開いて、次の属性マッピング・ルールを検索します。
  
  uid:: :inetorgperson:homeMTA: :User:'%DN_OF_MTA%'
2. %DN_OF_MTA%をMTA DNの実際の値に置き換えます。
  
  homeMTAの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
  
  MTA DNの形式は次のとおりです。
  
  CN=Microsoft MTA,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
  
  たとえば:
  
  CN=Microsoft MTA,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
3. msexchangeexp.map.masterマッピング・ファイルで、次の属性マッピング・ルールを検索します。
  
  uid:: :inetorgperson:homeMDB: :User:'%DN_OF_MDB%'
4. %DN_OF_MDB%をMDB DNの実際の値に置き換えます。
  
  homeMDBの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
  
  MDB DNの形式は次のとおりです。
  
  CN=Mailbox Store (<host>),CN=First Storage Group, CN=InformationStore,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
  
  たとえば:
  
  CN=Mailbox Store (DADVMN0152),CN=First Storage Group, CN=InformationStore,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
5. 変更を保存します。
ORACLE_HOME/ldap/odi/conf/にあるmsexchangeexp.propertiesファイルを編集して、次を指定します。
- Microsoft Exchange Serverホスト名
- Microsoft Exchange Serverのポート番号
- ユーザー名
- パスワード
- msexchangeexp.map.masterファイルおよびactiveexp.cfg.masterファイルの場所