7 Oracle Internet Directoryのスタート・ガイド
ノート:
この章のタスクを実行する前に、『Oracle Identity Managementのインストールと構成』の「Oracle Internet Directoryのインストールについて」の説明に従って、Oracle Internet Directoryをインストールして構成する必要があります。
この章の内容は次のとおりです。
7.1 インストール後のタスクおよび情報の概要
Oracle Internet Directoryのインストールおよび基本構成の完了後、次のタスクを実行します。
この項では、次の項目について説明します。
7.1.1 環境の設定
他のタスクを実行する前に、まず環境を設定する必要があります。
「コマンド行ユーティリティを使用したOracle Internet Directoryの管理の概要」の最初に説明されている環境変数を設定します。
7.1.2 OLTS_CT_STOREおよびOLTS_ATTRSTORE表領域へのデータファイルの追加
Oracle Internet Directory 11g リリース1(11.1.1.6.0)以上が新規インストールされている場合は、このステップをスキップできます。この場合、Oracle Internet Directoryスキーマは、リリース1 (11.1.1.6.0)以上のRCUおよびconfig.sh
を使用して作成されます。
11gリリース1 (11.1.1.6.0)より前のリリースのインストール中に作成されたスキーマでは、Oracle Internet Directoryに100万エントリを超えて追加する予定がある場合に、OLTS_CT_STOREおよびOLTS_ATTRSTORE表領域にデータファイルを追加する必要があります。このステップは、bulkload
またはldapadd
操作の前に実行します。詳細は、『Oracle Database管理者ガイド』のデータファイルの作成および表領域への追加に関する項を参照してください。
7.1.3 Windowsサービスの設定の変更
Windowsサービス(Oracle DatabaseおよびTNS Listener)の「スタートアップの種類」を「自動」から「手動」に変更します。これは、サービスを正しい順序で開始するために必要です。
7.1.4 Oracleスタックの起動と停止
Oracleスタックのコンポーネントを特定の順序で起動および停止する方法を理解します。
詳細は、付録「Oracleスタックの起動と停止」を参照してください。
7.1.5 デフォルトのURLとポート
次の表で、デフォルトのURLとポートを確認します。
URLまたはポート | デフォルト値 |
---|---|
Oracle Directory Services Manager (ODSM) |
|
Oracle Enterprise Manager Fusion Middleware Control。 |
|
Oracle WebLogic Server管理コンソール |
|
Oracle Internet Directory LDAP |
|
Oracle Internet Directory LDAPS |
|
7.1.6 Oracle Internet Directoryのチューニングについて
Oracle Internet Directoryのデフォルト構成は、ほとんどすべてのデプロイメントでチューニングを必要とします。デプロイメントに応じて特定の構成属性の値を変更する必要があります。
パフォーマンスのチューニングの「Oracle Internet Directory」の基本的なチューニングの考慮事項に関する項(特にOracle Databaseインスタンス・パラメータの最小値およびLDAPサーバーの属性のチューニングに関する項)を参照してください。
チューニングの詳細は、『Oracle Fusion Middlewareパフォーマンスのチューニング・ガイド』の「Oracle Internet Directory」の章を参照してください。すべての属性の説明は、「システム構成属性の管理」および「レプリケーション構成属性の管理」を参照してください。
7.1.7 匿名ユーザーによるバインドの有効化
ルートDSE以外に対する匿名検索はデフォルトでは無効になっています。一部には、クライアントでルートDSE以外へのアクセスが必要なデプロイメント環境もあります。そのようなデプロイメントの場合、orclanonymousbindsflag
属性を1に設定します。
関連項目:
7.1.8 Oracle Internet Directoryの特権ポートでの実行の有効化
多くのオペレーティング・システムでは、スーパーユーザー権限で実行されているプロセスのみが1024よりも小さいポート番号を使用できます。デフォルトでは、インストーラはOracle Internet Directoryに特権ポートを割り当てませんが、インストーラおよびWLSTコマンド入力でこれらの値を明示的に指定してデフォルトをオーバーライドできます。
SSLおよび非SSLポートを、インストール後に特権付きの範囲の番号に変更する場合、次の手順に従います。
rootユーザーとして、次のコマンドを実行します。
ORACLE_HOME/oidRoot.sh
ノート:
スーパー・ユーザー特権にアクセスできない場合は、システム管理者にスクリプトを実行してもらってください。次のいずれかの方法でポート番号を再度割り当てます。
-
「ldapmodifyを使用したシステム構成属性の設定」に記載のように、
ldapmodify
を使用してインスタンス固有の構成エントリのorclnonsslport
およびorclsslport
の値を変更します -
「サーバー・プロパティの構成」に記載されているように、Oracle Enterprise Manager Fusion Middleware ControlのOracle Internet Directoryの「サーバー・プロパティ」ページの「一般」タブで、「SSLポート」および「非SSLポート」の値を変更します。
「Fusion Middleware Controlを使用したOracle Internet Directoryサーバーの再起動」または「WLSTコマンドを使用したOracle Internet Directoryの起動」の説明に従って、Oracle Internet Directoryを再起動します。
7.1.9 Oracle Databaseタイムゾーンの検証
Oracle Internet Directoryガベージ・コレクション・ロジックが正しく動作するようにするには、Oracle Databaseのdbtimezone
パラメータを検証します。
「ガベージ・コレクション用のOracle Databaseタイムゾーンの設定」を参照して、Oracle Databaseのdbtimezone
パラメータを検証してください。
7.2 Fusion Middleware Controlを使用したOracle Internet Directoryの管理の概要
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Fusion Middlewareに対して包括的なシステム管理プラットフォームを提供するグラフィカル・ユーザー・インタフェースです。Fusion Middleware Controlでは、様々なパフォーマンス・データおよび管理機能を、ドメイン、Oracleインスタンス、ミドルウェア・システム・コンポーネントおよびアプリケーション用の個別のWebベースのホームページへと編成します。
この項では、次の項目について説明します。
7.2.1 Fusion Middleware Controlを使用したOracle Internet Directoryの管理
Fusion Middleware Controlを使用してOracle Internet Directoryを管理する方法を理解します。Oracle Internet Directoryは、Oracle Enterprise Manager Fusion Middleware Controlのターゲット・タイプです。
ノート:
-
Oracle Internet Directoryのインストール時にドメインを要求されたときに「ドメインなしで構成」を選択した場合は、Oracle Enterprise Manager Fusion Middleware Controlを使用できなくなります。
-
Oracle Enterprise Manager Fusion Middleware Controlは、そのSSLポートを介してOracle Internet Directoryを管理します。Oracle Internet DirectoryのSSLポートは、認証なしまたはサーバー認証用に構成されている必要があります。また、構成する暗号には、次のDiffie-Hellman認証なし暗号が1つ以上含まれている必要があります。
-
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
-
SSL_DH_anon_WITH_RC4_128_MD5
-
SSL_DH_anon_WITH_DES_CBC_SHA
Oracle Enterprise Manager Fusion Middleware Controlは、そのSSLポートを介してOracle Internet Directoryを管理します。サーバーを構成するためにWLSTまたはOracle Enterprise Manager Fusion Middleware Controlを使用する場合は、
orclsslenable
を1
または2
に設定します。「SSL認証モードについて」を参照してください。Oracle Internet DirectoryのSSLポートが誤って構成されている場合、または適切な暗号が構成されていない場合は、WLSTまたはOracle Enterprise Manager Fusion Middleware Controlを使用してOracle Internet Directoryのパラメータを変更することはできません。「SSL認証モードについて」を参照してください。
-
-
Fusion Middleware ControlおよびOracle Directory Services Managerでサポートされているブラウザの詳細は、
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
からリンクされている、Oracle Fusion Middleware 11gR1のシステム要件およびサポートされているプラットフォームに関する説明を参照してください。
Oracle Internet Directoryのインタフェースを使用するには:
7.2.2 「Oracle Internet Directory」メニュー
次の表に示すとおり、「Oracle Internet Directory」メニューを使用して、Oracle Internet Directory用の他のFusion Middleware Controlページに移動したり、Oracle Internet Directory用のOracle Directory Services Managerページに移動したり、他のタスクを実行できます。
表7-1 「Oracle Internet Directory」メニューの使用
タスク | 選択 |
---|---|
ホームページへの戻り |
「ホーム」 |
パフォーマンス・サマリーの表示 |
「モニタリング中」→「パフォーマンス」 |
Oracle Internet Directoryコンポーネントの起動、停止または再起動 |
「コントロール」から、それぞれ「起動」、「停止」または「再起動」 |
Oracle Internet Directoryのログの表示 |
「ログ」→「ログ・メッセージの表示」 |
非SSLおよびSSLポート情報の表示。 |
「ポートの使用状況」 |
このOracle Internet Directoryコンポーネントに固有のプロパティの管理 |
「管理」→「サーバー・プロパティ」 |
同じOracle Databaseに接続しているすべてのOracle Internet Directoryコンポーネントで共有されるプロパティの管理 |
「管理」→「共有プロパティ」 |
Oracle Directory Services Managerを使用したOracle Internet Directoryエントリの管理 |
「Directory Services Manager」→「データ・ブラウザ」 |
Oracle Directory Services Managerを使用したOracle Internet Directoryスキーマの管理 |
「Directory Services Manager」→「スキーマ」 |
Oracle Directory Services Managerを使用したOracle Internet Directoryセキュリティの管理 |
「Directory Services Manager」→「セキュリティ」 |
Oracle Directory Services Managerを使用したOracle Internet Directory拡張機能の管理 |
「Directory Services Manager」→「拡張」 |
Oracle Internet Directoryに対する監査の構成 |
「セキュリティ」→「監査ポリシー設定」 |
ターゲット名、ソフトウェアのバージョン、Oracleホーム、Oracleインスタンス、Oracle Enterprise Manager Fusion Middleware Controlエージェントおよびホストの表示 |
「一般情報」。 |
7.3 Oracle Directory Services Managerの概要
Oracle Directory Services Managerは、Oracle Internet DirectoryインスタンスとOracle Virtual Directoryインスタンスの管理用のWebベースのインタフェースです。非推奨となったOracle Directory Managerにかわるものです。
この項では、次の項目について説明します。
7.3.1 Oracle Directory Services Managerの概要
Oracle Directory Services Managerは、Oracle Internet DirectoryインスタンスとOracle Virtual Directoryインスタンスの管理用のWebベースのインタフェースです。非推奨となったOracle Directory Managerにかわるものです。Oracle Directory Services Managerでは、ディレクトリ構造の構成、ディレクトリ内のオブジェクトの定義、ユーザー、グループおよびその他のエントリの追加と構成ができます。ODSMは、エントリ、スキーマ、セキュリティおよび他のディレクトリ機能を管理するために使用するインタフェースです。
また、ODSMを使用してシステム構成属性を管理することもでき、これは、Fusion Middleware Controlを利用できない場合やFusion Middleware Controlインタフェースがない属性を変更する必要がある場合に便利です。「ODSMデータ・ブラウザを使用したシステム構成属性の管理」および「Oracle Directory Services Managerを使用したエントリの管理」を参照してください。
この項には次のトピックが含まれます:
7.3.1.1 Oracle Directory Services ManagerでのJAWSスクリーン・リーダーについて
ODSMでJAWSを使用する場合、新規ウィンドウがポップアップ表示されるたびに、JAWSはポップアップを読み取ります。ページ全体を読み取るには、[Insert]キーを押しながら[b]キーを押します。
7.3.1.2 Oracle Directory Services Managerへの非スーパーユーザー・アクセス
Oracle Directory Services Managerでは、ディレクトリで有効な識別名およびパスワードを持つ任意のユーザーとしてOracle Internet Directoryに接続できます。スーパーユーザーcn=orcladmin
として、またはcn=DirectoryAdminGroup,cn=oracle internet directory
のメンバーであるユーザーとして接続している場合は、インタフェースのすべてのタブにアクセスできます。その他のユーザーとしてログインしている場合は、「ホーム」タブ、「スキーマ」タブおよび「データ・ブラウザ」タブのみにアクセスできます。
7.3.1.3 Oracle Directory Services Managerとのシングル・サインオン統合
シングル・サインオン(SSO)を使用するようにOracle Directory Services Managerを構成できます。SSOで構成すると、Oracle Directory Services Managerでは、SSOサーバーによって認証されたユーザーは、SSO対応ディレクトリを管理する権限を持っている場合、ログインせずにそのディレクトリに接続できます。
Oracle Directory Services Managerは、SSO認証済ユーザーが管理できるOracle Internet Directoryサーバーのリストを維持します。SSO認証済ユーザーがOracle Internet Directoryの管理に必要な権限を持っているかどうかを検証するために、Oracle Directory Services ManagerはSSO認証済ユーザーをOracle Internet Directoryサーバー内の識別名にマップします。
Oracle Directory Services Managerは、プロキシ認証を使用してディレクトリに接続します。プロキシ・ユーザーの識別名およびパスワードは、資格証明ストア・フレームワーク(CSF)と呼ばれるセキュアなストレージ・フレームワークに格納されます。
SSO認証済ユーザーをマップするために、Oracle Directory Services Managerは、プロキシ権限を持つユーザーの資格証明を使用して、Oracle Internet Directoryサーバーに対して認証します。次に、Oracle Directory Services ManagerはSSO認証済ユーザーの一意識別子をOracle Internet Directoryユーザーの一意識別子にマップしようとします。
WLS管理者は、プロキシ・ユーザーの資格証明、一意の識別子属性、およびOracle Directory Services ManagerがCSFに格納されているユーザーを検索するベース識別名を構成します。Oracle Directory Services Managerは、有効な識別名を取得すると、SSO認証済ユーザーをその識別名にマップします。SSO認証済ユーザーが有効な識別名にマップされると、Oracle Directory Services Managerは、プロキシ認証を使用して、SSO認証済ユーザーのマップされた識別名でOracle Internet Directoryサーバーに接続します。
SSO統合を構成するには、「SSO統合用ODSMの構成」、「ODSM統合用SSOサーバーの構成」および「ODSM-SSO統合用Oracle HTTP Serverの構成について」を参照してください。
7.3.2 SSO統合用ODSMの構成
ODSM-SSO統合を構成するには、http://
host
:
port
/odsm-config
にあるODSMプロキシ・バインド構成画面を使用します。WebLogic管理者としてログインします。
この画面で、SSOユーザーが管理できるディレクトリ・サーバーのセットをOracle Directory Services Managerに提供します。この画面には、シングル・サインオンによりアクセス可能なディレクトリが示されます。
「表示」リストを使用して、列の数および順序を変更します。既存のディレクトリを削除するには、「削除」をクリックします。
既存のディレクトリを変更するには、「変更」をクリックします。
シングル・サインオンによりアクセス可能なディレクトリを新たに追加するには、「追加」をクリックします。
「変更」または「追加」をクリックすると、「ディレクトリ詳細」画面が表示されます。次の手順を実行します。
7.3.3 ODSM統合用SSOサーバーの構成
SSO-ODSM統合を適切に機能させてパフォーマンスを向上するには、特定のODSM URLを保護対象、非保護または除外として構成する必要があります。
ODSMのホーム・ページは、非保護のURLである必要があります。つまり、SSO認証プロセスを経ていないユーザーを含め、すべてのユーザーがODSMホーム・ページにアクセスできる必要があります。
/odsm/odsm-sso.jsp
のURLは、SSOサーバーによって保護されている必要があります。ユーザーがホーム・ページの右上の隅に表示される「ログイン」リンクをクリックすると、ユーザーは/odsm/odsm-sso.jsp
にリダイレクトされます。SSOサーバーは、そのユーザーがまだ認証されていない場合、ユーザーのユーザー名およびパスワードを調べます。認証に成功すると、ユーザーはODSMホーム・ページに戻されます。
ODSM URLを次のように構成します。
-
保護:
/odsm/odsm-sso.jsp
-
非保護:
/odsm/faces/odsm.jspx
-
除外:
/odsm/.../
CSS、JavaScriptおよびグラフィック(/odsm/.../
)ファイルを除外に設定すると、これらのファイルがOracle Access Managerによって検証されなくなり、デプロイメントのパフォーマンスを改善できます。
Oracle Access Manager 11gまたはOracle Access Manager 10gをSSOプロバイダとして使用できます。
SSO認証済ユーザーの一意識別子をHTTPヘッダーを介してOracle Directory Services Managerに送信するようにOracle Access Managerサーバーを構成する必要があります。Oracle Directory Services ManagerはOAM_REMOTE_USER HTTP
ヘッダーを探します。Oracle Access Managerサーバーは、デフォルトでOAM_REMOTE_USER
ヘッダーを設定します。このヘッダーを使用できない場合、Oracle Directory Services Managerはodsm-sso-user-unique-id
HTTPヘッダーを探します。Oracle Directory Services Managerがこれらのヘッダーのいずれも見つけることができない場合、Oracle Directory Services Manager SSO統合は機能しません。
ユーザーの一意識別子をHTTPヘッダーを介して送信する以外に、オプションで、次のHTTPヘッダーを送信するようにOracle Access Managerを構成できます。
-
ユーザーの名を送信するように
odsm-sso-user-firstname
HTTPヘッダーを構成します。 -
ユーザーの姓を送信するように
odsm-sso-user-lastname
HTTPヘッダーを構成します。
これらのヘッダーが使用可能な場合、ユーザーの名および姓がOracle Directory Services Managerの右上の隅にある「次としてログイン」セクションに表示されます。名または姓を使用できない場合は、ユーザーの一意識別子が「次としてログイン」セクションに表示されます。
Oracle Access Manager 11gを構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 11g SSOソリューションのデプロイに関する項を参照してください。
7.3.4 ODSM-SSO統合用Oracle HTTP Serverの構成について
Oracle HTTP ServerをSSOサーバーのWebゲート・エージェントのホスティングに使用している場合、およびODSMをホスティングするWebLogicサーバーへのフロントエンドとして使用している場合は、ODSMをホスティングするWebLogicサーバーに/odsm
で始まるすべてのリクエストを転送するようにOracle HTTP Serverのmod_wl_ohs
モジュールを構成する必要があります。mod_wl_ohs
モジュールにより、Oracle HTTP ServerからOracle WebLogic Serverへのリクエストをプロキシ処理できます。
mod_wl_ohs
を構成する場合は、『Oracle Fusion Middleware Oracle HTTP Server管理者ガイド』のmod_wl_ohsに関する項を参照してください。
7.3.5 Oracle Directory Services Managerの起動
Oracle Directory Services Managerの起動は、直接、またはOracle Enterprise Manager Fusion Middleware Controlから実行できます。
ノート:
-
Oracle Internet Directoryのインストール時にドメインを要求されたときに「ドメインなしで構成」を選択した場合は、Oracle Directory Services Managerを使用できなくなります。
-
Fusion Middleware ControlおよびOracle Directory Services Managerでサポートされているブラウザの詳細は、
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
からリンクされている、Oracle Fusion Middlewareのシステム要件およびサポートされているプラットフォームに関する説明を参照してください。
-
Oracle Directory Services Managerを直接起動するには、ブラウザのアドレス・フィールドに次のURLを入力します。
http://host:port/odsm
Oracle Directory Services ManagerにアクセスするURLで、hostはOracle Directory Services Managerが稼働している管理サーバーの名前で、portはWebLogicサーバーからの管理サーバーのポート番号です。正確なポート番号は、$Fusion_Middleware_Home/Oracle_Identity_Management_domain/servers/wls_ods/data/nodemanager/wls_ods1.urlファイル( Fusion_Middleware_HomeはFusion Middlewareがインストールされているルート・ディレクトリ)で確認できます。
-
Fusion Middleware ControlからOracle Directory Services Managerを起動するには、Oracle Internet Directoryターゲットの「Oracle Internet Directory」メニューから「Directory Services Manager」を選択し、「データ・ブラウザ」、「スキーマ」、「セキュリティ」または「拡張」を選択します。(同様の方法で、「Oracle Virtual Directory」メニューから接続できます。)
ODSMのようこそ画面を含む新規ブラウザ・ウィンドウがポップアップ表示されます。次の項の説明に従って、サーバーに接続します。
7.3.6 Oracle Directory Services Managerからサーバーへの接続の概要
ODSMの「ようこそ」画面が表示されたら、Oracle Internet DirectoryサーバーまたはOracle Virtual Directoryサーバーに接続できます。
この項では、次の項目について説明します。
ノート:
-
ODSMにログインした後は、複数のディレクトリ・インスタンスに同じブラウザ・ウィンドウから接続できます。
-
同じブラウザ・プログラムの複数のウィンドウを使用して異なるディレクトリに同時に接続することは避けてください。このような接続によって、
Target
unreachable
エラーが発生する場合があります。 -
Internet ExplorerとFirefoxなど、異なるブラウザ・プログラムから同じODSMインスタンスにログインし、それぞれを別のディレクトリ・インスタンスに接続することが可能です。
-
ブラウザの言語設定を変更する場合、新しい設定を使用するにはセッションを更新する必要があります。セッションを更新するには、「URL」フィールドにODSM URLを再入力して[Enter]を押すか、ブラウザを終了して再起動します。
7.3.6.1 Oracle Directory Services Managerからディレクトリ・サーバーへのログイン
次のようにしてOracle Directory Services Managerからディレクトリ・サーバーの非SSLポートにログインします。
Oracle Internet DirectoryまたはOracle Virtual Directoryサーバーにログインした後は、ナビゲーション・タブを使用して他のページを選択できます。
Oracle Internet DirectoryおよびOracle Virtual Directory用のOracle Directory Services Managerホームページには、ディレクトリとデータベースに加えて、Oracle Directory Services Manager自体のバージョン情報も示されています。統計情報も直接示されます。
7.3.6.2 SSLを使用したOracle Directory Services Managerからディレクトリ・サーバーへのログインの概要
SSL認証モードについてよく知らない場合は、「SSL認証モードについて」を参照してください
サーバーのSSLポートにログインする場合は、ステップ5でSSLポートを指定している場合、およびステップ6で「SSL有効」の選択を解除していない場合を除き、「Oracle Directory Services Managerからのディレクトリ・サーバーへのログイン」の手順に従ってください。ステップ9で「接続」をクリックした後、SSL認証のタイプによっては証明書が提示される場合があります。
この項では、次の項目について説明します。
7.3.6.2.1 SSL認証なし
ディレクトリ・サーバーがSSL認証なしモード(デフォルト)で稼働している場合、証明書は提示されません。SSL認証なしでは、データの機密性と整合性は保証されますが、X509証明書を使用した認証は行われません。
7.3.6.2.2 SSLサーバーのみ認証
ディレクトリ・サーバーでSSLサーバー認証のみモードを使用している場合、ステップ9で「接続」をクリックすると、サーバーの証明書が提示されます。サーバーの証明書の信憑性を手動で検証したら、証明書を永続的に受け入れるか、現行のセッションでのみ受け入れるか、または却下することができます。証明書を恒久的に受け入れる場合、証明書はJavaキーストア(JKS)に格納されます。以降は、そのサーバーに接続する際、証明書を受け入れるよう要求されません。現在のセッションに対してのみ受け入れた場合、サーバーに接続するたびに証明書を受け入れるか拒否するかを確認されます。証明書を拒否した場合、ODSMでサーバーへの接続を閉じます。
関連項目:
7.3.6.2.3 SSLクライアントとサーバー認証
サーバーでSSLクライアントとサーバー認証モードを使用している場合、ステップ9で「接続」をクリックすると、証明書が提示されます。「SSLサーバーのみ認証」の手順に従います。
ODSMはサーバーの証明書を受け入れた後、認証用に自身の証明書をサーバーに送信します。その証明書が信頼できる証明書のリスト内にある場合、サーバーでODSMの証明書が受け入れられます。
ODSMの証明書の識別名がサーバー内にある場合、接続ダイアログでユーザー名とパスワードを入力する必要がありません。
ODSMの証明書の識別名がサーバー内にない場合、ユーザー名とパスワードを入力する必要があります。
ODSMの証明書は自己署名証明書です。CAによって署名された証明書をODSMに割り当てるには、keytool
コマンドを使用する必要があります。「Oracle Directory Services ManagerのJavaキーストアの管理」を参照してください。
7.3.6.3 SSO認証済ユーザーとしてのSSO対応ディレクトリへの接続
シングル・サインオン・サーバーによってすでに認証されている場合、ODSMでは、SSO対応ディレクトリにエントリを持っている場合は、ログインせずにそのディレクトリに接続できます。ODSMのようこそページにアクセスしたときに、1つのSSO対応ディレクトリのみにエントリがある場合、ODSMによってそのディレクトリに接続されます。複数のSSO対応ディレクトリにエントリがある場合、ODSMでは、次のように接続するディレクトリを選択できます。
ラベル「クリックしてディレクトリに接続」の右にある小さな矢印をクリックします。この場合、ダイアログ・ボックスには、接続する権限があるSSO対応ディレクトリがリストされた追加のセクションが表示されます。必要なディレクトリを選択します。ODSMは、ユーザー名やパスワードを要求せずにユーザーを接続します。
接続しているポートがSSLポートである場合は、「SSL認証なし」、「SSLサーバーのみ認証」または「SSLクライアントとサーバー認証」の適切なステップを実行する必要があります。
7.3.7 Oracle Directory Services Managerセッション・タイムアウトの構成
Oracle Internet Directory 11gリリース1 (11.1.1.9.0)以降では、Oracle Directory Services Manager (ODSM)のデフォルトのセッション・タイムアウトは、5分(300秒)です。ODSMセッション・タイムアウトを異なる値に設定するには、WebLogic Server管理コンソールを使用します。(以前のリリースでは、web.xml
デプロイメント記述子の<session-config>
要素を編集してタイムアウトを設定していました。)
ODSMのセッション・タイムアウトを構成するには:
- WebLogic Server管理コンソールにログインします。
- 「チェンジ・センター」で、「ロックして編集」をクリックします。
- 左ペインで、「デプロイメント」をクリックします。
- 「デプロイメント」で、「odsm」を展開します。
- 「モジュール」で、「/odsm」をクリックします。
- 「構成」タブを選択します。
- 「セッション・タイムアウト」を必要な値に設定します。たとえば: 600秒。
- 「保存」をクリックします。
- 「デプロイメント・プラン保存アシスタント」で、「OK」をクリックして
Plan.xml
ファイルに変更を保存します。 - 「チェンジ・センター」で「変更のアクティブ化」をクリックします。
変更をテストするには、ODSMにアクセスし、ディレクトリ・サーバーにログインして、セッション・タイムアウトに指定した時間(600秒など)が経過するまでセッションをアイドル状態のままにします。指定した時間が経過するとセッションがタイムアウトし、ODSMにセッション・タイムアウトのポップアップ・メッセージが表示されます。
7.3.8 Oracle WebLogic ServerクラスタでOracle Directory Services ManagerをサポートするためのOracle HTTP Serverの構成
クラスタ化されたOracle WebLogic Server環境でOracle Directory Services Managerのリクエストを複数のOracle WebLogic ServerにルーティングするようOracle HTTP Serverを構成するには、次のステップに従います
Oracle HTTP Serverを構成するには:
ノート:
Oracle Directory Services Managerでは、クラスタ内の接続先のOracle WebLogic Serverに障害が発生すると、接続が失われ、セッション・タイムアウト・メッセージが表示されます。Oracle Directory Services Managerにログインしなおすと、Oracle Directory Services Managerのリクエストは、httpd.confファイルで指定したクラスタ内の2番目のOracle WebLogic Serverにルーティングされます。
7.4 コマンド行ユーティリティを使用したOracle Internet Directoryの管理の概要
コマンド行ユーティリティを使用して、Oracle Internet Directoryを管理できます。ほとんどのOracle Internet Directoryコマンド行ユーティリティを使用するには、特定の環境変数を設定する必要があります。
この項では、次の項目について説明します。
7.4.1 Oracle Internet Directoryコマンド行ユーティリティを使用するための環境変数の設定について
sqlplusなどのデータベース・クライアント・ユーティリティやOracle Internet Directoryコマンド行ユーティリティを使用するには、通常、次の環境変数を設定する必要があります。
環境変数を設定するには:
-
ORACLE_HOME
- Oracle Identity Managementのインストール内の書込み不可ファイルの場所。 -
DOMAIN_HOME
- Oracle Identity Managementのインストール内の書込み可能ファイルの場所。 -
TNS_ADMIN
- データベース接続文字列がtnsnames.oraファイルに定義されているディレクトリ。デフォルトでこれは、$DOMAIN_HOME/config/fmwconfig/components/OID/config/componentName
ディレクトリです。tnsnames.ora
に定義されているデータベース接続の別名は、デフォルトではOIDDB
になります。 -
NLS_LANG
(APPROPRIATE_LANGUAGE
.AL32UTF8
) - インストール時のデフォルトの言語セットはAMERICAN_AMERICA
です。 -
PATH
- 次のディレクトリ位置をPATH
に追加する必要があります。$
ORACLE_HOME
/bin
$
ORACLE_HOME
/ldap/bin
$
DOMAIN_HOME
/bin
コマンド行で実行できる多くのアクティビティは、Oracle Enterprise Manager Fusion Middleware ControlまたはOracle Directory Services Managerでも実行できます。一部の機能には、コマンド行以外では実行できないものもあります。
7.4.2 標準LDAPユーティリティについて
Oracle Internet Directoryでは標準LDAPコマンド行ユーティリティ(ldapadd
、ldapaddmt
、ldapbind
、ldapcompare
、ldapdelete
、ldapmoddn
、ldapmodify
、ldapmodifymt
およびldapsearch
)がサポートされます。
たとえば:
ldapbind -D "cn=orcladmin" -q -h "myserver.example.com" -p 3060 ldapsearch -b "cn=subschemasubentry" -s base "objectclass=*" -p 3060 \ -D "cn=orcladmin" -q
このマニュアルには、LDAPツールの使用方法の例が多数含まれています。
関連項目:
-
各ツールの詳細は、『Oracle Identity Managementリファレンス』の「Oracle Internet Directoryデータ管理ツール」を参照してください。
セキュリティ上の理由から、コマンド行でパスワードを入力することはできるかぎり避けてください。コマンド行で入力したパスワードは画面上に表示され、ログ・ファイルや、ps
コマンドからの出力に表示される場合があります。
プロンプトでパスワードを入力すると、画面上やps
出力またはログ・ファイルには表示されません。-P
password
オプションや-w
password
オプションは使用しないで、かわりにそれぞれ-Q
オプションや-q
オプションを使用してください。ウォレット・パスワードが存在せず、-Q
オプションを使用している場合は、パスワードのプロンプトが表示されたときにEnterキーを押します。
環境変数LDAP_PASSWORD_PROMPTONLY
がTRUE
または1
に設定されている場合に、-w
password
オプションおよび-P
password
オプションを無効にするように、LDAP
ツールは変更されています。この機能をできるかぎり使用してください。
『Oracle Identity Managementリファレンス』のコマンド行ツールでのパスワードの使用に関する項を参照してください。
7.4.3 バルク・ツール
Oracle Internet Directoryには、多数のエントリの管理に役立つ複数のツールが用意されています。
「バルク操作の実行」を参照してください
関連項目:
各ツールの詳細は、『Oracle Identity Managementリファレンス』の「Oracle Internet Directoryデータ管理ツール」を参照してください。
7.4.4 WLSTについて
Oracle WebLogic Scripting Tool(WLST)は、Jythonベースのコマンド行スクリプト環境であり、WebLogic Serverドメインの管理およびモニターに使用できます。これを使用してOracle Internet Directoryを管理およびモニターするには、Oracle Internet Directoryが配置されているカスタムMBeanツリーに移動する必要があります。そこで、Oracle Internet Directoryリソースを表すマネージドBean (MBean)のリストの作成、値の取得および値の変更が可能です。
関連項目:
ノート:
WLSTは、そのSSLポートを介してOracle Internet Directoryを管理します。サーバーを構成するためにWLSTまたはOracle Enterprise Manager Fusion Middleware Controlを使用する場合は、orclsslenable
を1
または2
に設定します。「SSL認証モードについて」を参照してください。
7.5 Oracle Internet Directoryを構成および管理するための基本タスク
次の表で、Oracle Internet Directoryの基本環境を構成および管理するために実行する必要のあるステップについて学習します。
表7-2 Oracle Internet Directoryを構成および管理するための基本タスク
タスク | 参照先 |
---|---|
LDAPサーバーを起動および停止します |
「Oracle Internet Directoryインスタンスの管理」を参照してください |
システム構成属性を管理します |
「システム構成属性の管理」を参照してください |
ディレクトリ・エントリを管理します |
|
ディレクトリ・スキーマを管理します |
「ディレクトリ・スキーマの管理」を参照してください |
監査を構成します |
「監査の管理」を参照してください |
ログ・ファイルを管理します |
「ロギングの管理」を参照してください |
SSLを構成します |
「Secure Sockets Layer (SSL)の構成」を参照してください |
パスワード・ポリシーを構成します |
「パスワード・ポリシーの管理」を参照してください |
アクセス制御を構成します |
「ディレクトリ・アクセス制御の管理」を参照してください |
Oracle Internet Directoryのデプロイメントに関するサイズ設定とチューニングの推奨事項を取得します |
Fusion Middlewareパフォーマンスおよびチューニング・ガイドの「Oracle Internet Directory」のチューニングとサイズ設定ウィザードを使用した推奨事項の取得に関する項を参照してください |
レプリケーションの設定 |
「レプリケーションの設定」を参照してください |
既存のレプリケーション設定を変更します |
「レプリケーションの管理およびモニタリング」を参照してください |
このガイドでは、実際のOracle Fusion Middleware環境に応じて実行する必要があるタスクなど、他のタスクについても説明しています。