38 ディレクトリ・サーバー・チェーンの構成
この章の内容は次のとおりです。
ノート:
この章で言及するOracle Single Sign-Onは、Oracle Single Sign-On 10g (10.1.4.3.0)以上のことです。Oracle Enterprise User Securityに言及している場合、10gリリースのみを示しています。
38.1 ディレクトリ・サーバー・チェーンの構成の理解
この項では、ディレクトリ・サーバー・チェーンについてコンテキストに応じて説明し、Oracle Internet Directoryサーバー・チェーンと統合できるOracle製品およびその他の外部ディレクトリ・サーバーのリストを示します
この項の内容は次のとおりです。
38.1.1 Oracle Internet Directoryサーバー・チェーンについて
ディレクトリ・サーバー・チェーンは、Oracle Internet Directory 10g (10.1.4.0.1)で最初に導入され、Javaプラグイン・フレームワークを使用して実装されました。11gリリース1 (11.1.1.0.0)では、SSLを使用するようにサーバー・チェーンを構成することもできます。サーバー・チェーンは、Oracle Directory Integration Platformを置き換えることはありませんが、かわりにその製品に補完的な機能を提供します。
サーバー・チェーンは、Oracle Virtual Directoryなどの仮想ディレクトリとは異なります。仮想ディレクトリは、複数のアイデンティティ・リポジトリとアプリケーション間の柔軟な仮想レイヤーです。仮想ディレクトリにより、アイデンティティ同期およびディレクトリ・サーバーに補完的なサービスが提供されます。組織では、複数のディレクトリおよびデータベースにわたる可能性があるデータの統合された論理ビューまたは仮想ビューを作成できます。
38.1.2 外部ディレクトリ・サーバーのサポート
Oracle Internet Directoryサーバー・チェーンは、外部ディレクトリ・サーバーをサポートします。
サポートされる外部ディレクトリ・サーバーは、次のとおりです。
-
Microsoft Active Directory
ノート:
Oracle Internet Directoryサーバー・チェーンではMicrosoft Active Directory Lightweight Directory Service (AD LDS、以前のADAM)はサポートされません。
-
Oracle Directory Server Enterprise Edition(ODSEE)
-
Sun Java System Directory Server (以前のSun ONEまたはiPlanet Directory Server)
-
Novell eDirectory
Oracle Internet Directoryでは、1つのActive Directoryサーバー、1つのSun Java System Directory Server、1つのNovell eDirectory、または3つのディレクトリ・サーバーすべてと接続できます。
38.1.3 Oracle製品とOracle Internet Directoryサーバー・チェーンの統合
次のOracle製品が、Oracle Internet Directoryサーバー・チェーンに統合されました。
38.1.3.1 Oracle Single Sign-On 10g (10.1.4.3.0)以上
サーバー・チェーンが有効な場合、外部ディレクトリのユーザーは、Oracle Internet Directory内(外部リポジトリではなく)でローカルに認証された場合と同様にOracle Single Sign-Onを介してログインできます。
38.1.3.2 Enterprise User Security 10gのみ
Oracle Internet Directoryサーバー・チェーンにより、アイデンティティ・データをOracle Internet Directoryと同期させることなく、Oracle Directory Integration Platformを介してEnterprise User Security 10gを実装できます。アイデンティティ・データは外部リポジトリに置かれたままで、Oracle Internet Directoryのデータ・ストアにはエンタープライズ・ユーザー・セキュリティ関連のメタデータのみが格納されます。
Sun Java System Directory Serverが外部ディレクトリの場合、サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとのパスワードベースの認証をサポートします。
Active Directoryが外部ディレクトリの場合、サーバー・チェーンは、エンタープライズ・ユーザー・セキュリティとのKerberosベースの認証およびパスワードベースの認証をサポートします。外部ユーザーは、エンタープライズ・ユーザー・セキュリティの認証設定が完了すると、Oracle Databaseにログインできます。詳細は、http://metalink.oracle.comにあるMy Oracle Support (以前のMetaLink)のノート452385.1に基づいた「パスワード変更通知のActive Directoryプラグインの構成」を参照してください。
関連項目:
エンタープライズ・ユーザー・セキュリティのパスワード認証およびKerberos認証用の構成の詳細は、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。
38.1.4 サーバー・チェーンでサポートされる操作
サーバー・チェーンでは、次の操作をサポートします。
-
バインド
-
比較
-
変更
-
検索
比較、変更および検索操作は、構成パラメータの設定により有効または無効にできます。
Oracle Internet Directoryクライアント・アプリケーションからLDAP検索リクエストが発行されると、Oracle Internet Directoryは自身のデータと外部ディレクトリからの検索結果を統合します。
Oracle Internet Directoryクライアント・アプリケーションからLDAPバインド、比較または変更リクエストが発行されると、Oracle Internet Directoryはリクエストを外部ディレクトリにリダイレクトします。
10g(10.1.4.0.1)以上では、比較操作はuserpassword属性でのみサポートされています。
10g(10.1.4.0.1)以上では、次の2つの場合に属性変更がサポートされます。
-
外部属性は、Oracle Internet Directory属性と同じ名前を持っています。これは大部分のLDAP属性についても当てはまります。
-
外部属性はOracle Internet Directory属性にマップされ、外部属性とOracle Internet Directory属性のどちらも操作属性ではありません。
ノート:
Active Directoryユーザー・パスワードは、Oracle Internet Directoryからサーバー・チェーンを介して変更できません。
38.2 サーバー・チェーンの構成
次のトピックでは、サーバー・チェーン・エントリとそれらのエントリを環境にあわせてカスタマイズする方法について説明します。
38.2.1 サーバー・チェーン・エントリについて
Oracle Internet Directoryには、サーバー・チェーンの無効のサンプル・エントリが付属しています。
サーバー・チェーン・エントリの識別名は、次のとおりです。
-
Active Directory:
cn=oidscad,cn=OID Server Chaining,cn=subconfigsubentry -
Oracle Directory Server Enterprise EditionおよびSun Java System Directory Server (以前のSun ONEまたはiPlanet):
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry -
Novell eDirectory:
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry
前述のエントリを自分の環境に合うようにカスタマイズし、それらを有効にすることで、サーバー・チェーンを構成します。この構成を実行するには、コマンド行を使用するか、この項の後述の説明に従ってOracle Directory Services Managerを使用します。
11gリリース1 (11.1.1.9.0)以降では、cn=OID Server Chaining, cn=subconfigsubentryの下に独自のエントリを追加してサーバー・チェーンを構成できます。この場合、新しいエントリにorcloidscdirtype属性を追加する必要があります。この属性は、サーバー・チェーンを構成する外部ディレクトリを指定し、次のいずれかの値を持つことができます。
-
Active Directoryの場合:
ad -
Novell eDirectoryの場合:
edir -
Sun Java System Directory Serverの場合:
iplanet
たとえば、エントリにorcloidscdirtype=edirが含まれる場合、このエントリはeDirectoryとの接続用に構成されていることがわかります。同様に、エントリの独自のセットを持つことができます。
ノート:
外部ディレクトリ・サーバー・タイプ用にサポートされるアクティブなエントリは、1つのみです。
38.2.2 Oracle Directory Services Managerを使用したサーバー・チェーンの構成
Oracle Directory Services Managerには、Oracle Internet Directoryサーバー・チェーン構成エントリの変更に便利なインタフェースが備わっています。
Oracle Directory Services Managerを使用してサーバー・チェーンを構成するには:
38.3 サーバー・チェーン構成エントリの作成
次のトピックでは、SSLを使用する場合と使用しない場合の外部ディレクトリ・サーバーのサーバー・チェーンの構成方法について説明します。
38.3.1 サーバー・チェーンの構成エントリ属性
この項では、サーバー・チェーンの構成エントリ属性とその説明を示します。
表38-1は、サーバー・チェーンの構成エントリ属性を示しています。
表38-1 サーバー・チェーンの構成エントリ属性
| 属性 | 必須 | 説明 |
|---|---|---|
|
|
はい |
外部ディレクトリ・ホストのホスト名。これは単一値属性です。 |
|
|
はい |
外部ディレクトリ・ホストのポート番号。これは単一値属性です。デフォルト値は3060です。 |
|
|
はい |
外部ディレクトリの識別名。サーバー・チェーンは、検索および変更操作を実行するために、このアイデンティティを使用して、外部ディレクトリに対してバインドされます。このアイデンティティには、操作を実行するために十分な権限が必要です。これは単一値属性です。 |
|
|
はい |
外部ディレクトリの識別名のパスワード。これは単一値属性です。ユーザーがこの属性をクリアテキストで取得できないようにするため、必ずプライバシ・モードを有効にします。「機密の属性のプライバシ・モードの有効化」を参照してください。 |
|
|
はい |
ユーザー検索操作を実行する外部ディレクトリ内のユーザー・コンテナ。これは単一値属性です。 |
|
|
はい |
グループ検索操作を実行する外部ディレクトリ内のグループ・コンテナ。これは単一値属性です。 外部ユーザー・コンテナおよび外部グループ・コンテナが同じ場合(つまり、外部ディレクトリ・サーバー内のグループをユーザーと同じコンテナに格納する場合)、この値とユーザー・コンテナ( |
|
|
はい |
外部ユーザーが存在するOracle Internet Directory内のユーザー・コンテナ。詳細は、「ユーザー・コンテナとグループ・コンテナのネーミング規則」を参照してください。 |
|
|
はい |
外部グループが存在するOracle Internet Directory内のグループ・コンテナ。詳細は、「ユーザー・コンテナとグループ・コンテナのネーミング規則」を参照してください。 |
|
|
いいえ |
外部ディレクトリとOracle Internet Directory間の各属性マッピングを指定します。たとえば、
詳細は、「Oracle Internet Directory属性と外部ディレクトリ属性のマッピング」を参照してください。 |
|
|
はい |
外部検索機能です。 |
|
|
はい |
外部変更機能です。 |
|
|
はい |
外部認証機能です。 |
|
|
いいえ |
外部ディレクトリへのSSL接続です。0 =無効化(デフォルト)、1 =有効化です。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
|
いいえ |
外部ディレクトリ・ホストのSSLポート番号。これは単一値属性です。 |
|
|
いいえ |
外部ディレクトリのサーバー証明書が格納されているウォレットのファイル名とパス。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
|
いいえ |
ウォレット・パスワード。これは単一値属性です。SSLが有効になっている場合は必須です。 |
|
|
いいえ |
OID属性uidのActive Directoryの属性へのマッピングを指定します。uidは、Active Directoryに定義されている任意の非バイナリ属性にマップできます。デフォルト値はnameです。これは単一値属性です。 |
|
|
いいえ |
グループ・コンテナに対する検索において、baseの場合、オブジェクト・クラス・グループとともにエントリを表示し(デフォルト)、subの場合、オブジェクト・クラスuserおよびcomputerなしでエントリを表示します。これは単一値属性です。Active Directoryでのみ適用可能です。 |
|
|
いいえ |
ユーザー・コンテナの1レベル下にあるエントリをベースとして使用した1レベル検索において、baseの場合、いずれのエントリも表示せず(デフォルト)、subの場合、検索のベースの下位にあるサブツリーのエントリを表示します。これは単一値属性です。Active Directoryでのみ適用可能です。 |
|
|
いいえ |
オブジェクト・クラス・ユーザーを持つエントリにorcluserv2オブジェクト・クラスを追加します。0 =無効化(デフォルト)、1 =有効化です。これは単一値属性です。Active Directoryでのみ適用可能です。 |
38.3.2 ユーザー・コンテナとグループ・コンテナのネーミング規則
ターゲットのユーザー・コンテナおよびグループ・コンテナは、Oracle Single Sign-Onと連携させるために、Oracle Internet Directory検索ベースの下に置く必要があります。
ユーザー・コンテナとグループ・コンテナには、次の名前を使用します。
-
Active Directory:
cn=AD -
Oracle Directory Server Enterprise EditionまたはSun Java System Directory Server (iPlanetまたはSun ONE Directory Server):
cn=iPlanet -
Novell eDirectory:
cn=edir
たとえば、ユーザー検索ベースがcn=users,dc=us,dc=oracle,dc=comの場合
ターゲット・ユーザー・コンテナには次の名前を使用します。
-
Active Directory:
cn=AD,cn=users,dc=us,dc=oracle,dc=com -
Oracle Directory Server Enterprise EditionまたはSun Java System Directory Server:
cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com -
Novel eDirectory:
cn=edir,cn=users,dc=us,dc=oracle,dc=com
同様に、グループ検索ベースがcn=groups,dc=us,dc=oracle,dc=comの場合
ターゲット・グループ・コンテナには次の名前を使用します。
-
Active Directory:
cn=AD,cn=groups,dc=us,dc=oracle,dc=com -
Oracle Directory Server Enterprise EditionまたはSun Java System Directory Server (iPlanetまたはSun ONE Directory Server):
cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com -
Novel eDirectory:
cn=edir,cn=groups,dc=us,dc=oracle,dc=com
ノート:
ターゲットのユーザー・コンテナおよびグループ・コンテナは、外部ディレクトリ専用のものです。これらのノードの下に表示されるユーザーおよびグループはすべて、外部ディレクトリによりデータが移入されます。これらのコンテナの下に、Oracle Internet Directoryから直接エントリを追加しないでください。
外部ユーザー・コンテナと外部グループ・コンテナが同じである(つまり、外部ディレクトリ・サーバーのグループがユーザーと同じコンテナに格納されている)場合、グループ・コンテナ(orclOIDSCExtGroupContainer属性)の値は、ユーザー・コンテナ(orclOIDSCExtUserContainer属性)に使用されている値と同じである必要があります。
38.3.3 Oracle Internet Directory属性と外部ディレクトリ属性のマッピング
外部ディレクトリの属性とOracle Internet Directory属性が同じ場合、マッピングは不要です。サーバー・チェーンは、デフォルトでいくつかの属性マッピングを実行します。
次のトピックでは、Oracle Internet Directoryと外部ディレクトリのデフォルトの属性マッピングについて説明します。
38.3.3.1 Active Directoryに対するデフォルトの属性マッピング
次の表に、Oracle Internet DirectoryとActive Directoryのデフォルトの属性マッピングを示します。
表38-2 Active Directoryに対するデフォルトの属性マッピング
| Oracle Internet Directory属性 | Active Directory属性 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
Active Directoryサーバー・チェーンの場合、mapUIDtoADAttribute属性を使用して、Active Directoryに定義されている任意の非バイナリ属性にuidをマップできます。
38.3.3.2 Sun Java System Directory Serverに対するデフォルトの属性マッピング
次の表に、Oracle Internet DirectoryとSun Java System Directory Serverのデフォルトの属性マッピングを示します。
表38-3 Sun Java System Directory Serverに対するデフォルトの属性マッピング
| Oracle Internet Directory属性 | Sun Java System Directory Server属性 |
|---|---|
|
|
|
|
|
|
|
|
|
38.3.3.3 Novell eDirectoryに対するデフォルトの属性マッピング
次の表に、Oracle Internet DirectoryとNovell eDirectoryのデフォルトの属性マッピングを示します。
表38-4 Novell eDirectoryに対するデフォルトの属性マッピング
| Oracle Internet Directory属性 | Novell eDirectory属性 |
|---|---|
|
|
|
|
|
|
|
|
|
次のオブジェクトはマップできません。
-
操作属性
-
オブジェクト・クラス
-
Oracle Internet Directory固有の属性。これらの属性には通常、
orclで始まる名前が付いています。
38.3.4 Active Directoryのサーバー・チェーンの構成例
次の例は、Active Directoryサーバーdlin-pc9.us.example.com、ポート3060を、外部ディレクトリ・ストアとして使用するよう構成されたサーバー・チェーンを示しています。SSL機能は有効になっています。
属性はすべて、表38-1で説明しています。
cn=oidscad,cn=OID Server Chaining,cn= subconfigsubentry orclOIDSCExtHost: dlin-pc9.us.example.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=administrator,cn=users,dc=oidvd,dc=com orclOIDSCExtPassword: ******* orclOIDSCExtUserContainer: cn=users,dc=oidvd,dc=com orclOIDSCTargetUserContainer: cn=AD,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=AD,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCAttrMapping;description: title orcloidscsslenabled: 0
38.3.5 Active Directoryのサーバー・チェーンの構成
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry
changetype: modify
replace: orcloidscextdn
orcloidscextdn: cn=administrator,cn=users,dc=oidvd,dc=com
-
replace: orcloidscextpassword
orcloidscextpassword: password
-
replace: orcloidscexthost
orcloidscexthost: dlin-pc9.us.example.com
-
replace: orcloidscextport
orcloidscextport: 3060
-
replace: orcloidsctargetusercontainer
orcloidsctargetusercontainer: cn=AD,cn=users,dc=us,dc=oracle,dc=com
-
replace: orcloidsctargetgroupcontainer
orcloidsctargetgroupcontainer: cn=AD,cn=groups,dc=us,dc=oracle,dc=com
-
replace: orcloidscextusercontainer
orcloidscextusercontainer: cn=users,dc=dlin,dc=net
-
replace: orcloidscextgroupcontainer
orcloidscextgroupcontainer: cn=users,dc=dlin,dc=net
-
replace: orcloidscextsearchenabled
orcloidscextsearchenabled: 1
-
replace: orcloidscextmodifyenabled
orcloidscextmodifyenabled: 1
-
replace: orcloidscextauthenabled
orcloidscextauthenabled: 1
-
replace: orcloidscsslenabled
orcloidscsslenabled:138.3.6 SSLを使用したActive Directoryのサーバー・チェーンの構成例
次の例は、Active Directoryサーバーを使用するように構成されたサーバー・チェーンを示しています。
次の例は、Active Directoryサーバーad.example.com、SSLポート3133、および/adwallet/ewallet.p12にあるウォレットを使用するよう構成されたサーバー・チェーンを示しています。
cn=oidscad,cn=OID Server Chaining,cn= subconfigsubentry orclOIDSCExtHost: ad.example.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=administrator,cn=users,dc=oidvd,dc=com orclOIDSCExtPassword: ******* orclOIDSCExtUserContainer: cn=users,dc=oidvd,dc=com orclOIDSCTargetUserContainer: cn=AD,cn=users,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=AD,cn=groups,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 3133 orclOIDSCWalletLocation: /adwallet/ewallet.p12 orclOIDSCWalletPassword: ********
38.3.7 SSLを使用したActive Directoryのサーバー・チェーンの構成
コマンドラインから、SSLを使用したActive Directoryのサーバー・チェーンを構成できます。
次のステップを実行します。
38.3.8 既存のActive Directoryサーバー・チェーン・エントリへの新規属性の追加
属性を既存のActive Directoryサーバー・チェーン・エントリに追加するには、適切な値を使用してLDIFファイルを変更します。
mapUIDtoADAttribute、showExternalGroupEntries、showExternalUserEntriesおよびaddOrcluserv2ToADUsers属性は、Oracle Internet Directory 10g (10.1.4.0.1)から追加されています。
これらの属性を既存のActive Directoryサーバー・チェーン・エントリに追加するには、適切な値を使用して次のLDIFファイルを変更します。
dn: cn=oidscad,cn=oid server chaining,cn=subconfigsubentry changetype: modify replace: mapUIDtoADAttribute mapUIDtoADAttribute: name - replace: showExternalGroupEntries showExternalGroupEntries: base - replace: showExternalUserEntries showExternalUserEntries: base - replace: addOrcluserv2ToADUsers addOrcluserv2ToADUsers: 0
次の形式のコマンド行を使用します。
ldapmodify -p OID_port -h OID_host -D "cn=orcladmin" -q -v -f ldif_file_name
構成エントリが変更されます。
38.3.9 Sun Java System Directory Server (iPlanet)のサーバー・チェーンの構成例
次の例は、Sun Java System Directory Server dlin-pc10.us.example.com、ポート103060を、外部ディレクトリ・ストアとして使用するよう構成されたサーバー・チェーンを示しています。
属性はすべて、表38-1で説明しています。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: dlin-pc10.us.example.com orclOIDSCExtPort: 10389 orclOIDSCExtDN: cn=directory manager orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=people,dc=example,dc=com orclOIDSCExtGroupContainer: ou=groups,dc=example,dc=com orclOIDSCTargetUserContainer: cn=iPlanet,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=iPlanet,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled:0
38.3.10 Sun Java System Directory Server (iPlanet)のサーバー・チェーンの構成
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
次の例は、構成エントリを変更するために使用されるLDIFファイルです。
dn: cn=oidsciplanet,cn=oid server chaining,cn=subconfigsubentry
changetype: modify
replace: orcloidscextdn
orcloidscextdn: cn=directory manager
-
replace: orcloidscextpassword
orcloidscextpassword: password
-
replace: orcloidscexthost
orcloidscexthost: dlin-pc10.us.example.com
-
replace: orcloidscextport
orcloidscextport: 10389
-
replace: orcloidsctargetusercontainer
orcloidsctargetusercontainer: cn=iplanet,cn=users,dc=us,dc=oracle,dc=com
-
replace: orcloidsctargetgroupcontainer
orcloidsctargetgroupcontainer: cn=iplanet,cn=groups,dc=us,dc=oracle,dc=com
-
replace: orcloidscextusercontainer
orcloidscextusercontainer: ou=people,dc=example,dc=com
-
replace: orcloidscextgroupcontainer
orcloidscextgroupcontainer: ou=groups,dc=example,dc=com
-
replace: orcloidscextsearchenabled
orcloidscextsearchenabled: 1
-
replace: orcloidscextmodifyenabled
orcloidscextmodifyenabled: 1
-
replace: orcloidscextauthenabled
orcloidscextauthenabled: 138.3.11 SSLを使用したSun Java System Directory Server (iPlanet)のサーバー・チェーンの構成例
この例では、SSLを使用したSun Java System Directory Serverのサーバー・チェーンの構成方法を示します。
次の例は、Sun Java System Directory Server sunone.example.com、SSLポート10636、および/ipwallet/ewallet.p12にあるウォレットを使用するよう構成したサーバー・チェーンを示しています。
cn=oidsciplanet,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: sunone.example.com orclOIDSCExtPort: 10389 orclOIDSCExtDN: cn=directory manager orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=people,dc=example,dc=com orclOIDSCExtGroupContainer: ou=groups,dc=example,dc=com orclOIDSCTargetUserContainer: cn=iPlanet,cn=users,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=iPlanet,cn=groups,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 10636 orclOIDSCWalletLocation: /ipwallet/ewallet.p12 orclOIDSCWalletPassword: ********
38.3.12 SSLを使用したOracle Directory Server Enterprise EditionおよびSun Java System Directory Server (iPlanet)のサーバー・チェーンの構成
コマンドラインからOracle Directory Server EnterpriseおよびSun System directory Serverを構成できます。
コマンド行からSSLを使用してサーバー・チェーンを構成するには:
38.3.13 eDirectoryのサーバー・チェーンの構成例
この項では、eDirectoryのサーバー・チェーンの構成例を示します。
eDirectory構成の例は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: edirhost.domain.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=admin,o=domain orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=users,o=domain orclOIDSCExtGroupContainer: ou=groups,o=domain orclOIDSCTargetUserContainer: cn=edir,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=edir,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled:0
38.3.14 SSLを使用したeDirectoryのサーバー・チェーンの構成例
SSLを使用したeDirectory構成の例は次のようになります。
SSLを使用したeDirectory構成の例は次のようになります。
cn=oidscedir,cn=OID Server Chaining,cn=subconfigsubentry orclOIDSCExtHost: edirhost.domain.com orclOIDSCExtPort: 3060 orclOIDSCExtDN: cn=admin,o=domain orclOIDSCExtPassword: ******** orclOIDSCExtUserContainer: ou=users,o=domain orclOIDSCExtGroupContainer: ou=groups,o=domain orclOIDSCTargetUserContainer: cn=edir,cn=users,dc=us,dc=oracle,dc=com orclOIDSCTargetGroupContainer: cn=edir,cn=groups,dc=us,dc=oracle,dc=com orclOIDSCExtSearchEnabled: 1 orclOIDSCExtModifyEnabled: 1 orclOIDSCExtAuthEnabled: 1 orclOIDSCSSLEnabled: 1 orclOIDSCExtSSLPort: 3133 orclOIDSCWalletLocation: /edir/ewallet.p12 orclOIDSCWalletPassword: ********
38.5 パスワード変更通知のActive Directoryプラグインの構成
サーバー・チェーンでEnterprise User Security 10gを使用する場合は、ユーザーを認証するためにハッシュ・パスワードが必要になります。この項では、Oracle Internet Directoryを介してアクセスしたユーザーに対してハッシュ・パスワードを使用可能にするプラグインを、Microsoft Active Directory (AD)サーバーにインストールする方法について説明します。サーバー・チェーンを介してアクセスしたユーザーにエンタープライズ・ユーザー・セキュリティを使用する構成を計画している顧客は、この機能を構成する必要があります。
パスワード変更通知のActive Directoryプラグインを構成するには:
-
Active Directoryで、
orclCommonAttributeという属性を作成してハッシュ・パスワードを格納します。次の形式のコマンド行を使用します。ldapadd –p AD_Port –h AD_host -D "AD_administrator_DN" –w AD_administrator_password -v –f orclca.ldif
次の例のようなorclca.ldifファイルを使用します。
DC=bill,DC=comをActive Directoryの実際のドメイン名に置き換えて、適切なattributeIDを選択します。dn: cn=orclcommonattribute,CN=Schema,CN=Configuration,DC=bill,DC=com objectClass: top objectClass: attributeSchema cn: orclcommonattribute distinguishedName: CN=orclcommonattribute,CN=Schema,CN=Configuration,DC=bill,DC=com instanceType: 4 uSNCreated: 16632 attributeID: 1.9.9.9.9.9.9.9.9 attributeSyntax: 2.5.5.3 isSingleValued: TRUE uSNChanged: 16632 showInAdvancedViewOnly: TRUE adminDisplayName: orclCommonAttribute oMSyntax: 27 lDAPDisplayName: orclCommonAttribute name: orclcommonattribute objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=bill,DC=com
-
属性をユーザーのオブジェクト・クラスに関連付けます。次の形式のコマンド行を使用します。
ldapadd –p AD_Port –h AD_host -D "AD_administrator_DN" –w AD_administrator_password -v –f user.ldif
次のファイルuser.ldifでは、
DC=bill,DC=comをActive Directoryの実際のドメイン名に置き換えます。dn: CN=User,CN=Schema,CN=Configuration,DC=bill,DC=com changetype: modify add: mayConatin mayContain: orclCommonAttribute
Active Directoryでは、スキーマをリフレッシュするために数分かかることがあります。
-
パスワード変更通知のプラグインを次の手順でインストールします。
-
%ORACLE_HOME%\ldap\admin\oidpwdcn.dllをActive DirectoryのWINDOWS\system32フォルダにコピーします。 -
regedt32を使用して、レジストリを変更します。行HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packagesで、最後にoidpwdcnを追加します。次のようになります。RASSFM KDCSVC WDIGEST scecli oidpwdcn
-
Active Directoryを再起動します。
-
ユーザーのパスワードを再設定することにより、プラグインが正しくインストールされていることを確認します。
orclCommonAttributeにハッシュ・パスワードの値が格納されている必要があります。
-
-
Active Directoryの全ユーザーのパスワードを再設定し、すべてのユーザーにパスワード・ベリファイアが存在するようにします。