12 Oracle Internet Directoryでのアカウントおよびパスワードの管理
次の各トピックでは、Oracle Internet Directoryでのアカウントおよびパスワードの管理について説明します。
12.1 アカウントおよびパスワードの管理の概要
コマンド行ツールまたはセルフサービス・コンソールを使用して、アカウントおよびパスワードに関する管理タスクを実行できます。
ノート:
Oracle Identity Managerでセルフサービス・コンソールを使用してユーザーを管理するには、12cリリース2 (12.2.1.3.0)の『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザーの管理に関する項を参照してください。
コマンド行ツールまたはセルフサービス・コンソールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。セキュリティ管理者グループのメンバーの場合、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
コマンド行ツールを使用して、ユーザーが初めてログインする場合、ユーザーに対してパスワードの変更を強制できます。
パスワードを忘れた場合や、アカウントがロックアウトされた場合は、パスワードを再設定できます。これは、セルフサービス・コンソールを使用して実行できます。この場合、パスワード検証属性セットに値を入力して、サーバーに対して本人確認を行う必要があります。この操作は、以前回答を指定したパスワードのヒントの質問に答えるという形をとります。
スーパーユーザーは、ディレクトリ情報への完全なアクセス権限を持つ特別なディレクトリ管理者です。スーパーユーザーのデフォルトのユーザー名はorcladmin
です。パスワードはインストール時に管理者によって設定されます。
ノート:
このパスワードは、インストール後にすぐに変更することをお薦めします。
Oracle Enterprise Managerまたはldapmodify
のどちらかを使用して、スーパーユーザーのパスワードを管理できます。
関連項目:
アクセス権限の設定方法の詳細は、「ディレクトリ・アクセス制御の管理」を参照してください
もう1つの特権アカウントは管理者(cn=emd admin,cn=oracle internet directory
)です。このアカウントは、Oracle Internet Directoryサーバーの管理機能情報の収集の開始または停止に使用されます。Oracle Enterprise Manager Fusion Middleware ControlでOracle Internet Directoryの構成を変更する場合にも使用されます。これらの変更はセキュアな接続を介して行われます。
このアカウントのパスワードは、「EMD管理者アカウントのパスワードの変更」で説明されている手順を使用しなければ変更できません。oidpasswd
ツールでは、このパスワードの変更はサポートされていません。
12.2 コマンド行ツールを使用したアカウントおよびパスワードの管理
コマンド行ツールを使用して、ユーザー・アカウントに対する管理操作を実行できます。
この項の内容は次のとおりです。
12.2.1 コマンド行ツールを使用したアカウントの有効化と無効化
コマンド行ツールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。
アカウントを永続的に無効にするには、orclisenabled
属性をDISABLED
に設定します。この属性に他の値を設定すると、アカウントは有効になります。
アカウントを無効にした後、有効にするには、この属性をエントリから削除します。
特定の期間、アカウントを有効にするには、ユーザー・エントリ内のorclActiveStartDate
およびorclActiveEndDate
属性を、UTC (協定世界時)書式による適切な値に設定します。たとえば、次のようなコマンド行を使用できます。
ldapmodify -p port -h host -D cn=orcladmin -q -v -f my.ldif
この場合、my.ldifには次が含まれます。
dn:cn=John Doe,cn=users,o=my_company,dc=com orclactivestartdate:20030101000000z orclactiveenddate: 20031231000000z
この例で、John Doeは、2003年1月1日から2003年12月31日までの期間ログインできます。2003年1月1日より前、または2003年12月31日より後はログインできません。これらの日付にはさまれた期間について彼のアカウントを無効にする場合は、orclisenabled
属性をDISABLED
に設定します。
12.2.2 コマンド行ツールを使用したアカウントのロック解除
セキュリティ管理者グループのメンバーの場合、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
アカウントのロックを解除するには、orclpwdaccountunlock
属性を1に設定します。
次の例では、John Doeというユーザーのアカウントのロックを解除します。
ldapmodify -p port -h host -D cn=orcladmin -q -v -f file.ldif
この場合、file.ldifには次が含まれます。
dn: cn=John Doe,cn=users,o=my_company,dc=com changetype: modify add: orclpwdaccountunlock orclpwdaccountunlock: 1
12.2.3 コマンド行ツールを使用したパスワードの強制変更
ユーザーが初めてログインする場合、ユーザーに対してパスワードの変更を強制できます。これを行うには、pwdpolicy
エントリ内のpwdMustChange
属性を1
に設定し、パスワードを再設定します。この場合、ユーザーがログインしてパスワードを変更できるように、ユーザーに新しいパスワードを明示的に通知する必要があります。
関連項目:
-
パスワードを再設定する方法は、「Oracle Internet Directoryセルフサービス・コンソールを使用したパスワードの再設定」 を参照してください
-
パスワード・ポリシーの属性の設定方法は、「コマンド行ツールを使用したパスワード・ポリシーの設定」を参照してください
12.3 セルフサービス・コンソールを使用したアカウントおよびパスワードの管理
管理者にとって、Oracle Directory Services Managerはユーザーおよびパスワードを管理するための主要なツールです。
Oracle Identity Managerを使用して、Oracle Internet Directoryに対するユーザーおよびアカウントのプロビジョニングを集中管理することもできます。エンド・ユーザー・セルフサービスにとって、Oracle Identity Managerは推奨されるソリューションです。Oracle Identity Managerドキュメントは、Oracle Technology Networkで入手できます。
この項の内容は次のとおりです。
12.3.1 Oracle Internet Directoryセルフサービス・コンソールを使用したアカウントの有効化と無効化
Oracle Internet Directoryセルフサービス・コンソールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。
関連項目:
12cリリース2 (12.2.1.3.0)の『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザーの管理に関する項。
12.3.2 Oracle Internet Directoryセルフサービス・コンソールを使用したアカウントのロック解除
セキュリティ管理者グループのメンバーの場合、アカウントがロックされると、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。
関連項目:
12cリリース2 (12.2.1.3.0)の『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザー・アカウントのロック解除に関する項。
12.3.3 Oracle Internet Directoryセルフサービス・コンソールを使用したパスワードの再設定
パスワードを忘れた場合や、アカウントがロックアウトされた場合は、パスワードを再設定できます。この場合、パスワード検証属性セットに値を入力して、サーバーに対して本人確認を行う必要があります。この操作は、以前回答を指定したパスワードのヒントの質問に答えるという形をとります。
関連項目:
Oracle Identity Managerでセルフサービス・コンソールを使用してパスワードを再設定するには、12cリリース2 (12.2.1.3.0)の『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザー・パスワードの再設定に関する項を参照してください。
12.4 Oracle Directory Services Managerを使用したロックされたアカウントのロック解除
Oracle Directory Services Managerで検索文字列pwdaccountlockedtime
を使用して、ロックされたアカウントをリストできます。
Oracle Directory Services Managerを使用してロックされたアカウントをリストしてロック解除するには:
- 「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動します。
- タスク選択バーで、「データ・ブラウザ」を選択します。
- 「Oracle Directory Services Managerを使用したエントリの検索」の説明に従い、検索文字列(pwdaccountlockedtime=*)を使用して簡易検索を実行します。ロックされたアカウントを含むエントリのリストが表示されます。
- ロック解除するアカウントを含むエントリを選択します。
- アカウントがロックされている場合、「適用」ボタンおよび「元に戻す」ボタンの前に、「アカウントのロックを解除」が表示されます。「アカウントのロックを解除」をクリックします。
12.5 Fusion Middleware Controlを使用したスーパーユーザー・パスワードの変更
構成属性orclsupassword
はDSEルートの属性です。以前に割り当てられたスーパーユーザーのパスワードを変更できます。
Oracle Enterprise Manager Fusion Middleware Controlを使用してスーパーユーザーのパスワードを変更するには:
- 「Oracle Internet Directory」メニューから「管理」を選択し、「共有プロパティ」を選択します。
- 「スーパーユーザー・パスワードの変更」タブをクリックします。
- 古いパスワードを指定します。
- 新しいパスワードを指定します。
- 新しいパスワードを確認します。
- 「適用」をクリックします。
12.6 スーパーユーザー権限を持つ別のアカウントの作成
スーパーユーザーcn=orcladmin
は、複数の権限グループ内のメンバーシップから権限を取得します。
これらのグループを問い合せるには、次のldapsearch
コマンドを使用します。
ldapsearch -h host -p port -D "cn=orcladmin" -q -b "" -L \ -s sub "(|(uniquemember=cn=orcladmin)(member=cn=orcladmin))" dn
スーパーユーザー権限を持つ2つ目のアカウントを作成するには、同じグループに属する別のユーザー・エントリを作成します。さらに、グループcn=directoryadmingroup,cn=oracle internet directory
のメンバーとして、そのユーザーを追加します。
ノート:
「セキュリティ」および「拡張」タブを含むすべてのODSM機能を使用するには、新しいスーパーユーザー・アカウントはDirectoryAdminGroup
グループのダイレクト・メンバーである必要があります。新しいスーパーユーザー・アカウントは、DirectoryAdminGroup
グループのメンバーとなるグループのメンバーであることはできません。この構成では、スーパーユーザーはODSMの「ホーム」、「スキーマ」および「データ・ブラウザ」タブにのみアクセスできます。
スーパーユーザー権限を持つ追加のユーザーを作成した後は、Oracle Internet Directoryの管理にcn=orcladmin
を使用する必要はありません。権限を持つアカウントがあれば十分です。ただし、属性orclsuname
には値cn=orcladmin
を設定する必要があります。
関連項目:
ユーザー・エントリの作成方法を学習するには、「Oracle Internet Directoryでのディレクトリ・エントリの管理」 、グループにユーザーを追加する方法を学習するには、「Oracle Internet Directoryでの動的グループと静的グループの管理」を参照してください。
ノート:
システム・セキュリティを保持するには、権限ユーザーの数を最小限に抑えるとともに、すべての権限アカウントが監査されていることを確認します。「監査の管理」を参照してください。
12.7 ldapmodifyを使用したスーパーユーザー・パスワードの管理
スーパーユーザーの名前は変更しないでください。orclsuname
の値はcn=orcladmin
のまま維持する必要があります。
スーパーユーザーのパスワードを設定または変更するには、ldapmodify
を使用して、DSEルートの属性orclsuname
またはorclsupassword
をそれぞれ変更します。スーパーユーザーのユーザー名の変更は非常に影響が大きく、お薦めしません。
スーパーユーザーのパスワードをsuperuserpassword
に変更するには、次のように記述したLDIFファイルを使用します。
dn: changetype:modify replace:orclsupassword orclsupassword:superuserpassword
関連項目:
ldapmodify
の構文と使用上のノートは、『Oracle Identity Managementリファレンス』のldapmodify
コマンド行ツールのリファレンスを参照してください。
12.8 Oracle Internet Directoryデータベース・パスワードの変更
Oracle Internet Directoryは、独自に指定されたOracleデータベースへの接続時にパスワードを使用します。Oracle Internet Directoryインストール時のこのパスワードのデフォルトは、Oracle Fusion Middleware管理者のパスワードと同じです。oidpasswd
を使用してパスワードを変更すると、新しいパスワードはウォレットに保存されます。次回、Oracle Internet Directoryのデータベースに接続しようとすると、ウォレットに保存されている新しいパスワードでユーザーが検証され、データベースに接続されます。
oidpasswd
を使用して、このパスワードを変更できます。
次の例は、Oracle Internet Directoryデータベースのパスワードを変更する方法を示しています。
oidpasswd connect=OIDDB change_oiddb_pwd=true current password: oldpassword new password: newpassword confirm password: newpassword password set.
関連項目:
『Oracle Identity Managementリファレンス』のoidpasswdの使用に関する項
のコマンド行ツールのリファレンス
ノート:
ここで説明したアカウントは、サーバー管理機能情報へのアクセスに使用されるODSSMアカウントとは異なります。このアカウントは、「サーバー管理機能情報にアクセスするために使用されるアカウント」で説明されています。このアカウントの変更の詳細は、「ODSSM管理者アカウントのパスワードの変更」を参照してください。
12.9 スーパーユーザーのパスワードの再設定
Oracle Internet Directoryスーパーユーザー(cn=orcladmin
)のパスワードを忘れた場合は、oidpasswd
ツールを使用してパスワードを再設定できます。Oracle Internet Directoryデータベースのパスワードを指定する必要があります。
Oracle Internet Directoryを初めてインストールする場合、スーパーユーザーのパスワードとOracle Internet Directoryデータベースのパスワードは同じです。ただし、インストール後は、ldapmodify
を使用してOracle Internet Directoryスーパーユーザーのパスワードを変更できます。Oracle Internet Directoryスーパーユーザーのパスワードを忘れた場合は、oidpasswd
ツールを使用してパスワードを再設定できます。
次の例は、Oracle Internet Directoryスーパーユーザー・パスワードを再設定する方法を示しています。この場合、oidpasswd
ツールによって、Oracle Internet Directoryデータベース・パスワードの入力を求められます。
oidpasswd connect=OIDDB reset_su_password=true OID DB user password: oid_db_password password: new_su_password confirm password: new_su_password OID superuser password reset successfully
12.10 EMD管理者アカウントのパスワードの変更
EMD管理者アカウント(cn=emd admin,cn=oracle internet directory
)の特権は非常に制限されており、主に、Oracle Internet Directoryサーバーの管理機能情報の収集を開始および停止するために使用されます。
関連項目:
Oracle Internet Directoryサーバーの管理機能情報の収集の詳細は、「Oracle Internet Directoryのモニタリング」を参照してください。
EMD管理者のパスワードを変更するには:
12.11 ODSSM管理者アカウントのパスワードの変更
Oracle Internet Directoryは、スキーマの作成時にODSスキーマに対して指定されたパスワードを使用してOracle Databaseに接続します。また、同様にスキーマの作成時に、ODSSMスキーマ・パスワードを使用して接続し、そのメトリックを取得します。インストール終了時のOracle Enterprise Manager Fusion Middleware Controlのデフォルト・パスワードは、ODSSMパスワードと同じです。
ODSSM管理者のパスワードを変更するには、Oracle Databaseでこのパスワードを変更してから、WebLogicドメインのサーバーとドメイン内の各Oracleインスタンスの両方でこのパスワードを変更する必要があります。次の手順を実行します。
12.12 データ・ソースの新しいODSSMパスワードの更新
Oracle Directory Integration Platformがインスタンス内にも構成されている場合、この新しいODSSMパスワードを1つの追加の場所で更新する必要があります。
Oracle Internet Directory資格証明ストアで新規ODSSMパスワードを更新するには:
ノート:
次のスクリプトを使用してODSSMパスワードを検証できます。
%perlbin%/perl $ORACLE_HOME/sysman/admin/scripts/iam/getCSFPassword.pl $ORACLE_HOME $ORACLE_INSTANCE [CANONICAL_PATH] ldap