26 接続ディレクトリとの統合の管理

接続ディレクトリとの統合後の構成後タスクおよび継続的な管理タスクについて理解します。

トピック:

26.1 接続ディレクトリでの構成後のタスクの実行

この項では、接続ディレクトリでの構成後に完了する必要のあるタスクについて説明します。

次の手順を実行します。

  1. 一方のディレクトリから他方のディレクトリに、必要に応じてデータを移行します。詳細は、「ディレクトリ間でのデータのブートストラップ」を参照してください。
  2. manageSyncProfilesコマンドのactivate操作を使用して次のコマンドを入力し、同期プロファイルを有効にします。
    manageSyncProfiles activate -profile profile_name
    

    「同期プロファイルの有効化と無効化」の説明に従って、Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを有効にすることもできます。

26.2 接続ディレクトリとの統合の一般的な管理

接続ディレクトリとの統合後の管理タスクについて理解します。

トピック:

26.2.1 接続ディレクトリとの統合後の管理タスクの概要

管理タスクには一般に次のものがあります。

  • 同期プロファイルおよびマッピング・ルールの管理

    • 新しいプロファイルの作成。複数ドメイン環境で追加のドメイン・コントローラと同期化する必要がある場合は、新しいプロファイルを作成します。新しいプロファイルは、既存のプロファイルをテンプレートとして使用することで作成できます。

    • プロファイルの構成(属性)の変更。

    • プロファイルによるメンテナンス許可の無効化およびその再有効化。プロファイルを無効にすると、そのプロファイルに関連する同期が停止されます。

  • マッピング・ルールの管理。

    • 新しいルールの作成(追加の属性を同期化する必要がある場合)。

    • 既存ルールの変更(属性を同期化する方法を変更する必要がある場合)。

    • 不要なルールの削除またはコメント化(特定の属性を同期化する必要がない場合)。

  • アクセス制御の管理。

  • Oracleディレクトリ・サーバーおよびOracle Directory Integration Platformの起動と停止。

26.2.2 ディレクトリ間でのデータのブートストラップ

ブートストラップは、データの移行と呼ばれることがあります。サード・パーティ・ディレクトリのコネクタおよびプラグインの構成完了後に、データをブートストラップする必要があります。

データをブートストラップするには、サード・パーティ・ディレクトリのコネクタおよびプラグインの構成完了後に次のステップを実行します。

  1. 移行するデータを識別します。ディレクトリ内のデータ全体またはサブセットのみの移行を選択できます。
  2. 次のコマンドを使用して、インポートおよびエクスポート同期プロファイルを無効にします。
    manageSyncProfiles deactivate -profile profile_name
    
  3. syncProfileBootstrapコマンドを使用して、一方のディレクトリから他方のディレクトリへブートストラップします。ブートストラップの詳細は、「Oracle Directory Integration Platformにおけるディレクトリのブートストラップ」を参照してください。

    ブートストラップが完了すると、manageSyncProfilesコマンドによって同期プロファイルのプロファイル・ステータス属性が適切に更新されます。

  4. LDIFファイルベースのブートストラップを使用した場合、manageSyncProfilesコマンドのupdatechgnum操作を使用して、次のようにlastchangekey値を初期化します。
    manageSyncProfiles updatechgnum -profile profile_name
    

    このlastchangekey属性は、ブートストラップを開始する前に、ソース・ディレクトリの最終変更番号の値に設定する必要があります。

  5. 双方向同期が必要な場合は、エクスポート・プロファイルを有効にし、Oracleディレクトリ・サーバーで変更ロギング・オプションが有効になっていることを確認します。

    Oracle Internet Directoryでは、変更ロギングはOracle Internet Directoryの起動時に-lオプションによって制御されます。デフォルトでは、変更ロギングが有効なことを意味するTRUEに設定されています。これがFALSEに設定されている場合は、OID制御ユーティリティを使用してOracle Internet Directoryサーバーを停止し、その後、変更ログを有効にしてサーバーを再起動してください。

26.2.3 サード・パーティ・ディレクトリ外部認証プラグインの管理

このトピックでは、サード・パーティの外部認証プラグインを削除、無効化および再有効化する方法について説明します。

トピック:

Oracle Unified DirectoryおよびOracle Directory Server Enterprise Editionバックエンド・ディレクトリは、Oracle Unified DirectoryまたはOracle Directory Server Enterprise Editionからのユーザーについての認証をMicrosoft Active Directoryなどの接続ディレクトリに渡すため、パススルー認証を使用します。詳細は、次を参照してください。

26.2.3.1 サード・パーティ・ディレクトリ外部認証プラグインの削除

サード・パーティの外部認証プラグインを削除するには、次のコマンドを入力します。コマンドを実行すると、パスワードを要求されます。

ldapdelete -h host -p port -D binddn -q \
"cn=adwhencompare,cn=plugin,cn=subconfigsubentry"

ldapdelete -h host -p port -D binddn -q \
"cn=adwhenbind,cn=plugin,cn=subconfigsubentry"
26.2.3.2 サード・パーティの外部認証プラグインの無効化

サード・パーティの外部認証プラグインを無効にするには:

  1. 次の内容で、LDIFファイルを作成します。
    dn: cn=adwhencompare,cn=plugin,cn=subconfigsubentry
    changetype: modify
    replace: orclpluginenable
    orclpluginenable: 0
    
    dn: cn=adwhenbind,cn=plugin,cn=subconfigsubentry
    changetype: modify
    replace: orclpluginenable
    orclpluginenable: 0
    
  2. 次のように、ldapmodifyコマンドを使用してLDIFファイルをロードします。
    ldapmodify -h host -p port -D binddn -q -f fileName

    ノート:

    パスワードを要求されます。

26.2.3.3 サード・パーティの外部認証プラグインの再有効化

サード・パーティの外部認証プラグインを再度有効にするには、次の2つのコマンドを使用します。

  1. 次の内容で、LDIFファイルを作成します。
    dn: cn=adwhencompare,cn=plugin,cn=subconfigsubentry
    changetype: modify
    replace: orclpluginenable
    orclpluginenable: 1
    
    dn: cn=adwhenbind,cn=plugin,cn=subconfigsubentry
    changetype: modify
    replace: orclpluginenable
    orclpluginenable: 1
    
  2. 次のように、ldapmodifyコマンドを使用してLDIFファイルをロードします。
    ldapmodify -h host -p port -D binddn -q -f fileName

    ノート:

    パスワードを要求されます。

26.2.4 接続ディレクトリとして機能するOracle Unified Directoryに対するパスワード権限の付与

ldapmodifyコマンドを使用して、Oracle Unified Directory (接続ディレクトリ)のパスワード・リセット権限を付与します。

Oracle Unified Directoryが接続ディレクトリの場合、次のコマンドを実行して、エクスポート・プロファイルにパスワード・リセット権限を付与する必要があります。

$ ldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -w password
dn: <your user DN>
changetype: modify
add: ds-privilege-name
ds-privilege-name: password-reset