Oracle Internet Directoryのスタート・ガイド

7 Oracle Internet Directoryのスタート・ガイド

この章では、Oracle Internet Directoryでの作業を開始する方法(Oracle Internet Directory管理者として実行する必要のある最初のタスクなど)について説明します。これらのタスクには、システムへのパッチ適用、インストール後のタスクの実行、およびOracle Enterprise Manager Fusion Middleware Control、Oracle Directory Services Manager (ODSM)、コマンド行ユーティリティなどの管理インタフェースの使用が含まれます。

ノート:

この章のタスクを実行する前に、『Oracle Identity Managementのインストールと構成』の「Oracle Internet Directoryのインストールについて」の説明に従って、Oracle Internet Directoryをインストールして構成する必要があります。

この章の内容は次のとおりです。

7.1 インストール後のタスクおよび情報の概要

Oracle Internet Directoryのインストールおよび基本構成の完了後、次のタスクを実行します。

この項では、次の項目について説明します。

7.1.1 環境の設定

他のタスクを実行する前に、まず環境を設定する必要があります。

「コマンド行ユーティリティを使用したOracle Internet Directoryの管理の概要」の最初に説明されている環境変数を設定します。

7.1.2 OLTS_CT_STOREおよびOLTS_ATTRSTORE表領域へのデータファイルの追加

Oracle Internet Directory 11g リリース1(11.1.1.6.0)以上が新規インストールされている場合は、このステップをスキップできます。この場合、Oracle Internet Directoryスキーマは、リリース1 (11.1.1.6.0)以上のRCUおよびconfig.shを使用して作成されます。

11gリリース1 (11.1.1.6.0)より前のリリースのインストール中に作成されたスキーマでは、Oracle Internet Directoryに100万エントリを超えて追加する予定がある場合に、OLTS_CT_STOREおよびOLTS_ATTRSTORE表領域にデータファイルを追加する必要があります。このステップは、bulkloadまたはldapadd操作の前に実行します。詳細は、『Oracle Database管理者ガイド』のデータファイルの作成および表領域への追加に関する項を参照してください。

7.1.3 Windowsサービスの設定の変更

Windowsサービス(Oracle DatabaseおよびTNS Listener)の「スタートアップの種類」を「自動」から「手動」に変更します。これは、サービスを正しい順序で開始するために必要です。

7.1.4 Oracleスタックの起動と停止

Oracleスタックのコンポーネントを特定の順序で起動および停止する方法を理解します。

詳細は、付録「Oracleスタックの起動と停止」を参照してください。

7.1.5 デフォルトのURLとポート

次の表で、デフォルトのURLとポートを確認します。

URLまたはポート	デフォルト値
Oracle Directory Services Manager (ODSM)	`http://host:7001/odsm`
Oracle Enterprise Manager Fusion Middleware Control。	`http://host:7001/em/`
Oracle WebLogic Server管理コンソール	`http://host:7001/console/`
Oracle Internet Directory LDAP	`3060`
Oracle Internet Directory LDAPS	`3131`

7.1.6 Oracle Internet Directoryのチューニングについて

Oracle Internet Directoryのデフォルト構成は、ほとんどすべてのデプロイメントでチューニングを必要とします。デプロイメントに応じて特定の構成属性の値を変更する必要があります。

『パフォーマンスのチューニング』の「チューニングに関する基本的な考慮事項」で、特に、データベース・パラメータの表およびLDAPサーバー属性の表を参照してください。

チューニングの詳細は、『パフォーマンスのチューニング』のOracle Internet Directoryのパフォーマンスのチューニングに関する項を参照してください。すべての属性の説明は、「システム構成属性の管理」および「レプリケーション構成属性の管理」を参照してください。

7.1.7 匿名ユーザーによるバインドの有効化

ルートDSE以外に対する匿名検索はデフォルトでは無効になっています。一部には、クライアントでルートDSE以外へのアクセスが必要なデプロイメント環境もあります。そのようなデプロイメントの場合、orclanonymousbindsflag属性を1に設定します。

関連項目:

匿名ユーザーによるバインドの管理

7.1.8 Oracle Internet Directoryの特権ポートでの実行の有効化

多くのオペレーティング・システムでは、スーパーユーザー権限で実行されているプロセスのみが1024よりも小さいポート番号を使用できます。デフォルトでは、インストーラはOracle Internet Directoryに特権ポートを割り当てませんが、インストーラおよびWLSTコマンド入力でこれらの値を明示的に指定してデフォルトをオーバーライドできます。

SSLおよび非SSLポートを、インストール後に特権付きの範囲の番号に変更する場合、次の手順に従います。

rootユーザーとして、次のコマンドを実行します。

ORACLE_HOME/oidRoot.sh

ノート:

スーパー・ユーザー特権にアクセスできない場合は、システム管理者にスクリプトを実行してもらってください。

次のいずれかの方法でポート番号を再度割り当てます。

「ldapmodifyを使用したシステム構成属性の設定」に記載のように、ldapmodifyを使用してインスタンス固有の構成エントリのorclnonsslportおよびorclsslportの値を変更します
「サーバー・プロパティの構成」に記載されているように、Oracle Enterprise Manager Fusion Middleware ControlのOracle Internet Directoryの「サーバー・プロパティ」ページの「一般」タブで、「SSLポート」および「非SSLポート」の値を変更します。

「Fusion Middleware Controlを使用したOracle Internet Directoryサーバーの再起動」または「WLSTコマンドを使用したOracle Internet Directoryの起動」の説明に従って、Oracle Internet Directoryを再起動します。

7.1.9 Oracle Databaseタイムゾーンの検証

Oracle Internet Directoryガベージ・コレクション・ロジックが正しく動作するようにするには、Oracle Databaseのdbtimezoneパラメータを検証します。

「ガベージ・コレクション用のOracle Databaseタイムゾーンの設定」を参照して、Oracle Databaseのdbtimezoneパラメータを検証してください。

7.2 Fusion Middleware Controlを使用したOracle Internet Directoryの管理の概要

Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Fusion Middlewareに対して包括的なシステム管理プラットフォームを提供するグラフィカル・ユーザー・インタフェースです。Fusion Middleware Controlでは、様々なパフォーマンス・データおよび管理機能を、ドメイン、Oracleインスタンス、ミドルウェア・システム・コンポーネントおよびアプリケーション用の個別のWebベースのホームページへと編成します。

この項では、次の項目について説明します。

7.2.1 Fusion Middleware Controlを使用したOracle Internet Directoryの管理

Fusion Middleware Controlを使用してOracle Internet Directoryを管理する方法を理解します。Oracle Internet Directoryは、Oracle Enterprise Manager Fusion Middleware Controlのターゲット・タイプです。

ノート:

Oracle Internet Directoryのインストール時にドメインを要求されたときに「ドメインなしで構成」を選択した場合は、Oracle Enterprise Manager Fusion Middleware Controlを使用できなくなります。
Oracle Enterprise Manager Fusion Middleware Controlは、そのSSLポートを介してOracle Internet Directoryを管理します。Oracle Internet DirectoryのSSLポートは、認証なしまたはサーバー認証用に構成されている必要があります。また、構成する暗号には、次のDiffie-Hellman認証なし暗号が1つ以上含まれている必要があります。
- SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
- SSL_DH_anon_WITH_RC4_128_MD5
- SSL_DH_anon_WITH_DES_CBC_SHA
Oracle Enterprise Manager Fusion Middleware Controlは、そのSSLポートを介してOracle Internet Directoryを管理します。サーバーを構成するためにWLSTまたはOracle Enterprise Manager Fusion Middleware Controlを使用する場合は、orclsslenableを1または2に設定します。「SSL認証モードについて」を参照してください。

Oracle Internet DirectoryのSSLポートが誤って構成されている場合、または適切な暗号が構成されていない場合は、WLSTまたはOracle Enterprise Manager Fusion Middleware Controlを使用してOracle Internet Directoryのパラメータを変更することはできません。「SSL認証モードについて」を参照してください。
Fusion Middleware ControlおよびOracle Directory Services Managerでサポートされているブラウザの詳細は、http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.htmlからリンクされている、Oracle Fusion Middleware 11gR1のシステム要件およびサポートされているプラットフォームに関する説明を参照してください。

Oracle Internet Directoryのインタフェースを使用するには:

Fusion Middleware Controlに接続します。
URLの形式は次のとおりです。
```
http://host:port/em
```
左パネルのトポロジ・ツリーで、ドメインを展開して、「Fusion Middleware」→「Identity and Access」を選択します。あるいは、ドメインのホームページから「Fusion Middleware」→「Identity and Access」と展開します。Oracle Internet Directoryのインスタンスが両方の箇所に表示されます。コンポーネント・インスタンスの完全名を表示するには、インスタンス名の上にマウスを移動します。
管理するOracle Internet Directoryコンポーネントを選択します。
「Oracle Internet Directory」メニューを使用してタスクを選択します。

7.2.2 「Oracle Internet Directory」メニュー

次の表に示すとおり、「Oracle Internet Directory」メニューを使用して、Oracle Internet Directory用の他のFusion Middleware Controlページに移動したり、Oracle Internet Directory用のOracle Directory Services Managerページに移動したり、他のタスクを実行できます。

表7-1 「Oracle Internet Directory」メニューの使用

タスク	選択
ホームページへの戻り	「ホーム」
パフォーマンス・サマリーの表示	「モニタリング中」→「パフォーマンス」
Oracle Internet Directoryコンポーネントの起動、停止または再起動	「コントロール」から、それぞれ「起動」、「停止」または「再起動」
Oracle Internet Directoryのログの表示	「ログ」→「ログ・メッセージの表示」
非SSLおよびSSLポート情報の表示。	「ポートの使用状況」
このOracle Internet Directoryコンポーネントに固有のプロパティの管理	「管理」→「サーバー・プロパティ」
同じOracle Databaseに接続しているすべてのOracle Internet Directoryコンポーネントで共有されるプロパティの管理	「管理」→「共有プロパティ」
Oracle Directory Services Managerを使用したOracle Internet Directoryエントリの管理	「Directory Services Manager」→「データ・ブラウザ」
Oracle Directory Services Managerを使用したOracle Internet Directoryスキーマの管理	「Directory Services Manager」→「スキーマ」
Oracle Directory Services Managerを使用したOracle Internet Directoryセキュリティの管理	「Directory Services Manager」→「セキュリティ」
Oracle Directory Services Managerを使用したOracle Internet Directory拡張機能の管理	「Directory Services Manager」→「拡張」
Oracle Internet Directoryに対する監査の構成	「セキュリティ」→「監査ポリシー設定」
ターゲット名、ソフトウェアのバージョン、Oracleホーム、Oracleインスタンス、Oracle Enterprise Manager Fusion Middleware Controlエージェントおよびホストの表示	「一般情報」。

7.3 Oracle Directory Services Managerの概要

この項では、次の項目について説明します。

「Oracle Directory Services ManagerのJavaキーストアの管理」を参照してください。

7.3.1 Oracle Directory Services Managerの概要

Oracle Directory Services Managerは、Oracle Internet DirectoryインスタンスとOracle Virtual Directoryインスタンスの管理用のWebベースのインタフェースです。非推奨となったOracle Directory Managerにかわるものです。Oracle Directory Services Managerでは、ディレクトリ構造の構成、ディレクトリ内のオブジェクトの定義、ユーザー、グループおよびその他のエントリの追加と構成ができます。ODSMは、エントリ、スキーマ、セキュリティおよび他のディレクトリ機能を管理するために使用するインタフェースです。

また、ODSMを使用してシステム構成属性を管理することもでき、これは、Fusion Middleware Controlを利用できない場合やFusion Middleware Controlインタフェースがない属性を変更する必要がある場合に便利です。「ODSMデータ・ブラウザを使用したシステム構成属性の管理」および「Oracle Directory Services Managerを使用したエントリの管理」を参照してください。

この項には次のトピックが含まれます:

7.3.1.1 Oracle Directory Services ManagerでのJAWSスクリーン・リーダーについて

ODSMでJAWSを使用する場合、新規ウィンドウがポップアップ表示されるたびに、JAWSはポップアップを読み取ります。ページ全体を読み取るには、[Insert]キーを押しながら[b]キーを押します。

7.3.1.2 Oracle Directory Services Managerへの非スーパーユーザー・アクセス

Oracle Directory Services Managerでは、ディレクトリで有効な識別名およびパスワードを持つ任意のユーザーとしてOracle Internet Directoryに接続できます。スーパーユーザーcn=orcladminとして、またはcn=DirectoryAdminGroup,cn=oracle internet directoryのメンバーであるユーザーとして接続している場合は、インタフェースのすべてのタブにアクセスできます。その他のユーザーとしてログインしている場合は、「ホーム」タブ、「スキーマ」タブおよび「データ・ブラウザ」タブのみにアクセスできます。

7.3.1.3 Oracle Directory Services Managerとのシングル・サインオン統合

シングル・サインオン(SSO)を使用するようにOracle Directory Services Managerを構成できます。SSOで構成すると、Oracle Directory Services Managerでは、SSOサーバーによって認証されたユーザーは、SSO対応ディレクトリを管理する権限を持っている場合、ログインせずにそのディレクトリに接続できます。

Oracle Directory Services Managerは、SSO認証済ユーザーが管理できるOracle Internet Directoryサーバーのリストを維持します。SSO認証済ユーザーがOracle Internet Directoryの管理に必要な権限を持っているかどうかを検証するために、Oracle Directory Services ManagerはSSO認証済ユーザーをOracle Internet Directoryサーバー内の識別名にマップします。

Oracle Directory Services Managerは、プロキシ認証を使用してディレクトリに接続します。プロキシ・ユーザーの識別名およびパスワードは、資格証明ストア・フレームワーク(CSF)と呼ばれるセキュアなストレージ・フレームワークに格納されます。

SSO認証済ユーザーをマップするために、Oracle Directory Services Managerは、プロキシ権限を持つユーザーの資格証明を使用して、Oracle Internet Directoryサーバーに対して認証します。次に、Oracle Directory Services ManagerはSSO認証済ユーザーの一意識別子をOracle Internet Directoryユーザーの一意識別子にマップしようとします。

WLS管理者は、プロキシ・ユーザーの資格証明、一意の識別子属性、およびOracle Directory Services ManagerがCSFに格納されているユーザーを検索するベース識別名を構成します。Oracle Directory Services Managerは、有効な識別名を取得すると、SSO認証済ユーザーをその識別名にマップします。SSO認証済ユーザーが有効な識別名にマップされると、Oracle Directory Services Managerは、プロキシ認証を使用して、SSO認証済ユーザーのマップされた識別名でOracle Internet Directoryサーバーに接続します。

SSO統合を構成するには、「SSO統合用ODSMの構成」、「ODSM統合用SSOサーバーの構成」および「ODSM-SSO統合用Oracle HTTP Serverの構成について」を参照してください。

7.3.2 SSO統合用ODSMの構成

ODSM-SSO統合を構成するには、http://host:port/odsm-configにあるODSMプロキシ・バインド構成画面を使用します。WebLogic管理者としてログインします。

この画面で、SSOユーザーが管理できるディレクトリ・サーバーのセットをOracle Directory Services Managerに提供します。この画面には、シングル・サインオンによりアクセス可能なディレクトリが示されます。

「表示」リストを使用して、列の数および順序を変更します。既存のディレクトリを削除するには、「削除」をクリックします。

既存のディレクトリを変更するには、「変更」をクリックします。

シングル・サインオンによりアクセス可能なディレクトリを新たに追加するには、「追加」をクリックします。

「変更」または「追加」をクリックすると、「ディレクトリ詳細」画面が表示されます。次の手順を実行します。

「ポート・タイプ」リストから「非SSL」または「SSL」を選択します。
「ディレクトリ・タイプ」リストから「OID」または「OVD」を選択します。
次の情報を指定します。
- ディレクトリのホストおよびポート。
- プロキシ・ユーザーのDNおよびパスワード: Oracle Directory Services Managerがプロキシ認証に使用する識別名およびパスワード。
- ユーザー・コンテナDN: ディレクトリでユーザー・エントリが配置される識別名。
- ユーザー参照属性: ディレクトリ内のユーザーの識別名を参照するための一意属性。たとえば、SSOサーバーがユーザーのメールIDをそのユーザーの一意識別子としてOracle Directory Services Managerに送信した場合、mailをユーザー参照属性として構成できます。
「検証」をクリックして、ディレクトリ接続の詳細を検証します。

Oracle Directory Services Managerは、提供された資格証明を使用してディレクトリ・サーバーに対して認証します。
「適用」をクリックして選択内容を適用します。

選択を中止する場合は、「元に戻す」をクリックします。
「SSOログアウトURL」テキスト・ボックスでSSOサーバーの「ログアウトURL」を指定します。

たとえば、http://myoamhost.mycompany.com:14100/oam/server/logoutは、Oracle Access Manager 11gサーバーのデフォルトのログアウトURLです。このフィールドのみを構成した場合、Oracle Directory Services Managerにより、Oracle Directory Services Managerページの右上の隅に「ログイン」リンクが表示されます。

7.3.3 ODSM統合用SSOサーバーの構成

SSO-ODSM統合を適切に機能させてパフォーマンスを向上するには、特定のODSM URLを保護対象、非保護または除外として構成する必要があります。

ODSMのホーム・ページは、非保護のURLである必要があります。つまり、SSO認証プロセスを経ていないユーザーを含め、すべてのユーザーがODSMホーム・ページにアクセスできる必要があります。

/odsm/odsm-sso.jspのURLは、SSOサーバーによって保護されている必要があります。ユーザーがホーム・ページの右上の隅に表示される「ログイン」リンクをクリックすると、ユーザーは/odsm/odsm-sso.jspにリダイレクトされます。SSOサーバーは、そのユーザーがまだ認証されていない場合、ユーザーのユーザー名およびパスワードを調べます。認証に成功すると、ユーザーはODSMホーム・ページに戻されます。

ODSM URLを次のように構成します。

保護: /odsm/odsm-sso.jsp
非保護: /odsm/faces/odsm.jspx
除外: /odsm/.../

CSS、JavaScriptおよびグラフィック(/odsm/.../)ファイルを除外に設定すると、これらのファイルがOracle Access Managerによって検証されなくなり、デプロイメントのパフォーマンスを改善できます。

Oracle Access Manager 11gまたはOracle Access Manager 10gをSSOプロバイダとして使用できます。

SSO認証済ユーザーの一意識別子をHTTPヘッダーを介してOracle Directory Services Managerに送信するようにOracle Access Managerサーバーを構成する必要があります。Oracle Directory Services ManagerはOAM_REMOTE_USER HTTPヘッダーを探します。Oracle Access Managerサーバーは、デフォルトでOAM_REMOTE_USERヘッダーを設定します。このヘッダーを使用できない場合、Oracle Directory Services Managerはodsm-sso-user-unique-id HTTPヘッダーを探します。Oracle Directory Services Managerがこれらのヘッダーのいずれも見つけることができない場合、Oracle Directory Services Manager SSO統合は機能しません。

ユーザーの一意識別子をHTTPヘッダーを介して送信する以外に、オプションで、次のHTTPヘッダーを送信するようにOracle Access Managerを構成できます。

ユーザーの名を送信するようにodsm-sso-user-firstname HTTPヘッダーを構成します。
ユーザーの姓を送信するようにodsm-sso-user-lastname HTTPヘッダーを構成します。

これらのヘッダーが使用可能な場合、ユーザーの名および姓がOracle Directory Services Managerの右上の隅にある「次としてログイン」セクションに表示されます。名または姓を使用できない場合は、ユーザーの一意識別子が「次としてログイン」セクションに表示されます。

Oracle Access Manager 11gを構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 11g SSOソリューションのデプロイに関する項を参照してください。

7.3.4 ODSM-SSO統合用Oracle HTTP Serverの構成について

Oracle HTTP ServerをSSOサーバーのWebゲート・エージェントのホスティングに使用している場合、およびODSMをホスティングするWebLogicサーバーへのフロントエンドとして使用している場合は、ODSMをホスティングするWebLogicサーバーに/odsmで始まるすべてのリクエストを転送するようにOracle HTTP Serverのmod_wl_ohsモジュールを構成する必要があります。mod_wl_ohsモジュールにより、Oracle HTTP ServerからOracle WebLogic Serverへのリクエストをプロキシ処理できます。

mod_wl_ohsを構成する場合は、『Oracle Fusion Middleware Oracle HTTP Server管理者ガイド』のmod_wl_ohsに関する項を参照してください。

7.3.5 Oracle Directory Services Managerの起動

Oracle Directory Services Managerの起動は、直接、またはOracle Enterprise Manager Fusion Middleware Controlから実行できます。

ノート:

Oracle Internet Directoryのインストール時にドメインを要求されたときに「ドメインなしで構成」を選択した場合は、Oracle Directory Services Managerを使用できなくなります。
Fusion Middleware ControlおよびOracle Directory Services Managerでサポートされているブラウザの詳細は、http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.htmlからリンクされている、Oracle Fusion Middlewareのシステム要件およびサポートされているプラットフォームに関する説明を参照してください。

Oracle Directory Services Managerを直接起動するには、ブラウザのアドレス・フィールドに次のURLを入力します。
```
http://host:port/odsm
```
Oracle Directory Services ManagerにアクセスするURLで、hostはOracle Directory Services Managerが稼働している管理サーバーの名前で、portはWebLogicサーバーからの管理サーバーのポート番号です。正確なポート番号は、$Fusion_Middleware_Home/Oracle_Identity_Management_domain/servers/wls_ods/data/nodemanager/wls_ods1.urlファイル( Fusion_Middleware_HomeはFusion Middlewareがインストールされているルート・ディレクトリ)で確認できます。
Fusion Middleware ControlからOracle Directory Services Managerを起動するには、Oracle Internet Directoryターゲットの「Oracle Internet Directory」メニューから「Directory Services Manager」を選択し、「データ・ブラウザ」、「スキーマ」、「セキュリティ」または「拡張」を選択します。(同様の方法で、「Oracle Virtual Directory」メニューから接続できます。)

ODSMのようこそ画面を含む新規ブラウザ・ウィンドウがポップアップ表示されます。次の項の説明に従って、サーバーに接続します。

「Oracle Directory Services Managerに関するトラブルシューティング」を参照してください

7.3.6 Oracle Directory Services Managerからサーバーへの接続の概要

ODSMの「ようこそ」画面が表示されたら、Oracle Internet DirectoryサーバーまたはOracle Virtual Directoryサーバーに接続できます。

この項では、次の項目について説明します。

ノート:

ODSMにログインした後は、複数のディレクトリ・インスタンスに同じブラウザ・ウィンドウから接続できます。
同じブラウザ・プログラムの複数のウィンドウを使用して異なるディレクトリに同時に接続することは避けてください。このような接続によって、Target unreachableエラーが発生する場合があります。
Internet ExplorerとFirefoxなど、異なるブラウザ・プログラムから同じODSMインスタンスにログインし、それぞれを別のディレクトリ・インスタンスに接続することが可能です。
ブラウザの言語設定を変更する場合、新しい設定を使用するにはセッションを更新する必要があります。セッションを更新するには、「URL」フィールドにODSM URLを再入力して[Enter]を押すか、ブラウザを終了して再起動します。

7.3.6.1 Oracle Directory Services Managerからディレクトリ・サーバーへのログイン

次のようにしてOracle Directory Services Managerからディレクトリ・サーバーの非SSLポートにログインします。

ラベル「クリックしてディレクトリに接続」の右にある小さな矢印をクリックします。次のセクションが含まれたダイアログ・ボックスが開きます。
- ライブ接続: 戻ることのできる現在の接続。
- 切断されている接続: 一度接続した後、切断したディレクトリ・サーバーのリスト。Oracle Directory Services Managerでは、以前に使用した接続に関する情報を保存し、オプション名別またはサーバー別にリストし、その接続を再選択できるようにします。
  
  ノート:
  
  接続情報(サーバーのポート番号など)が変更されると、Oracle Directory Services Managerの接続情報が不正確になり、接続に失敗します。接続情報は編集できないため、リストから接続を削除してから、新たに接続を作成する必要があります。
- 新規接続: 新規接続の開始に使用されます。
SSO認証済であるユーザーには、「SSO認証済ユーザーとしてのSSO対応ディレクトリへの接続」で説明しているように、追加セクションが表示される場合があります。
ライブ接続に再接続するには、クリックします。

切断されている接続を選択するには、エントリをクリックします。大部分のフィールドが入力された簡易版のログイン・ダイアログが表示されます。選択をリストから削除するには、選択後「削除」を選択します。

新規ディレクトリ・サーバーへの接続を開始するには、「新規接続の作成」をクリックするか、[Ctrl]キーを押しながら[N]キーを押します。「新規接続」ダイアログが表示されます。
「OID」または「OVD」を選択します。
オプションで、このエントリを切断されている接続リストで識別する別名を入力します。
管理するOracle Internet DirectoryインスタンスまたはOracle Virtual Directoryインスタンスのサーバーおよび非SSLポートを入力します。
「SSL有効」の選択を解除します。
ユーザー(通常はcn=orcladmin)とパスワードを入力します。
ログイン後に移動する「開始ページ」を選択します。
「接続」をクリックします。

Oracle Internet DirectoryまたはOracle Virtual Directoryサーバーにログインした後は、ナビゲーション・タブを使用して他のページを選択できます。

Oracle Internet DirectoryおよびOracle Virtual Directory用のOracle Directory Services Managerホームページには、ディレクトリとデータベースに加えて、Oracle Directory Services Manager自体のバージョン情報も示されています。統計情報も直接示されます。

7.3.6.2 SSLを使用したOracle Directory Services Managerからディレクトリ・サーバーへのログインの概要

SSL認証モードについてよく知らない場合は、「SSL認証モードについて」を参照してください

サーバーのSSLポートにログインする場合は、ステップ5でSSLポートを指定している場合、およびステップ6で「SSL有効」の選択を解除していない場合を除き、「Oracle Directory Services Managerからのディレクトリ・サーバーへのログイン」の手順に従ってください。ステップ9で「接続」をクリックした後、SSL認証のタイプによっては証明書が提示される場合があります。

この項では、次の項目について説明します。

7.3.6.2.1 SSL認証なし

ディレクトリ・サーバーがSSL認証なしモード(デフォルト)で稼働している場合、証明書は提示されません。SSL認証なしでは、データの機密性と整合性は保証されますが、X509証明書を使用した認証は行われません。

7.3.6.2.2 SSLサーバーのみ認証

ディレクトリ・サーバーでSSLサーバー認証のみモードを使用している場合、ステップ9で「接続」をクリックすると、サーバーの証明書が提示されます。サーバーの証明書の信憑性を手動で検証したら、証明書を永続的に受け入れるか、現行のセッションでのみ受け入れるか、または却下することができます。証明書を恒久的に受け入れる場合、証明書はJavaキーストア(JKS)に格納されます。以降は、そのサーバーに接続する際、証明書を受け入れるよう要求されません。現在のセッションに対してのみ受け入れた場合、サーバーに接続するたびに証明書を受け入れるか拒否するかを確認されます。証明書を拒否した場合、ODSMでサーバーへの接続を閉じます。

関連項目:

ODSMのJavaキーストアの管理の概要

7.3.6.2.3 SSLクライアントとサーバー認証

サーバーでSSLクライアントとサーバー認証モードを使用している場合、ステップ9で「接続」をクリックすると、証明書が提示されます。「SSLサーバーのみ認証」の手順に従います。

ODSMはサーバーの証明書を受け入れた後、認証用に自身の証明書をサーバーに送信します。その証明書が信頼できる証明書のリスト内にある場合、サーバーでODSMの証明書が受け入れられます。

ODSMの証明書の識別名がサーバー内にある場合、接続ダイアログでユーザー名とパスワードを入力する必要がありません。

ODSMの証明書の識別名がサーバー内にない場合、ユーザー名とパスワードを入力する必要があります。

ODSMの証明書は自己署名証明書です。CAによって署名された証明書をODSMに割り当てるには、keytoolコマンドを使用する必要があります。「Oracle Directory Services ManagerのJavaキーストアの管理」を参照してください。

7.3.6.3 SSO認証済ユーザーとしてのSSO対応ディレクトリへの接続

シングル・サインオン・サーバーによってすでに認証されている場合、ODSMでは、SSO対応ディレクトリにエントリを持っている場合は、ログインせずにそのディレクトリに接続できます。ODSMのようこそページにアクセスしたときに、1つのSSO対応ディレクトリのみにエントリがある場合、ODSMによってそのディレクトリに接続されます。複数のSSO対応ディレクトリにエントリがある場合、ODSMでは、次のように接続するディレクトリを選択できます。

ラベル「クリックしてディレクトリに接続」の右にある小さな矢印をクリックします。この場合、ダイアログ・ボックスには、接続する権限があるSSO対応ディレクトリがリストされた追加のセクションが表示されます。必要なディレクトリを選択します。ODSMは、ユーザー名やパスワードを要求せずにユーザーを接続します。

接続しているポートがSSLポートである場合は、「SSL認証なし」、「SSLサーバーのみ認証」または「SSLクライアントとサーバー認証」の適切なステップを実行する必要があります。

7.3.7 Oracle Directory Services Managerセッション・タイムアウトの構成

Oracle Internet Directory 11gリリース1 (11.1.1.9.0)以降では、Oracle Directory Services Manager (ODSM)のデフォルトのセッション・タイムアウトは、5分(300秒)です。ODSMセッション・タイムアウトを異なる値に設定するには、WebLogic Server管理コンソールを使用します。(以前のリリースでは、web.xmlデプロイメント記述子の<session-config>要素を編集してタイムアウトを設定していました。)

ODSMのセッション・タイムアウトを構成するには:

WebLogic Server管理コンソールにログインします。
「チェンジ・センター」で、「ロックして編集」をクリックします。
左ペインで、「デプロイメント」をクリックします。
「デプロイメント」で、「odsm」を展開します。
「モジュール」で、「/odsm」をクリックします。
「構成」タブを選択します。
「セッション・タイムアウト」を必要な値に設定します。例: 600秒。
「保存」をクリックします。
「デプロイメント・プラン保存アシスタント」で、「OK」をクリックしてPlan.xmlファイルに変更を保存します。
「チェンジ・センター」で「変更のアクティブ化」をクリックします。

変更をテストするには、ODSMにアクセスし、ディレクトリ・サーバーにログインして、セッション・タイムアウトに指定した時間(600秒など)が経過するまでセッションをアイドル状態のままにします。指定した時間が経過するとセッションがタイムアウトし、ODSMにセッション・タイムアウトのポップアップ・メッセージが表示されます。

7.3.8 Oracle WebLogic ServerクラスタでOracle Directory Services ManagerをサポートするためのOracle HTTP Serverの構成

クラスタ化されたOracle WebLogic Server環境でOracle Directory Services Managerのリクエストを複数のOracle WebLogic ServerにルーティングするようOracle HTTP Serverを構成するには、次のステップに従います

Oracle HTTP Serverを構成するには:

Oracle HTTP Serverのhttpd.confファイルのバックアップ・コピーを作成します。この手順の実行後に問題が起きた場合、バックアップ・コピーがあると、元の状態に戻すことができます。
次のテキストをOracle HTTP Serverのhttpd.confファイルの最後に追加し、変数プレースホルダ値を環境に固有のホスト名と管理対象サーバー・ポート番号に置き換えます。エントリの最初の行として<Location /odsm/ >を必ず使用します。<Location /odsm/faces >または<Location /odsm/faces/odsm.jspx >を使用すると、Oracle Directory Services Managerインタフェースの外観がゆがむことがあります。
```
<Location /odsm/ > 
SetHandler weblogic-handler 
WebLogicCluster host-name-1:managed-server-port,host-name_2:managed_server_port 
</Location> 
```
Oracle HTTP Serverを停止してから起動し、構成の変更を有効にします。

ノート:

Oracle Directory Services Managerでは、クラスタ内の接続先のOracle WebLogic Serverに障害が発生すると、接続が失われ、セッション・タイムアウト・メッセージが表示されます。Oracle Directory Services Managerにログインしなおすと、Oracle Directory Services Managerのリクエストは、httpd.confファイルで指定したクラスタ内の2番目のOracle WebLogic Serverにルーティングされます。

7.4 コマンド行ユーティリティを使用したOracle Internet Directoryの管理の概要

コマンド行ユーティリティを使用して、Oracle Internet Directoryを管理できます。ほとんどのOracle Internet Directoryコマンド行ユーティリティを使用するには、特定の環境変数を設定する必要があります。

この項では、次の項目について説明します。

7.4.1 Oracle Internet Directoryコマンド行ユーティリティを使用するための環境変数の設定について

sqlplusなどのデータベース・クライアント・ユーティリティやOracle Internet Directoryコマンド行ユーティリティを使用するには、通常、次の環境変数を設定する必要があります。

環境変数を設定するには:

ORACLE_HOME - Oracle Identity Managementのインストール内の書込み不可ファイルの場所。
DOMAIN_HOME - Oracle Identity Managementのインストール内の書込み可能ファイルの場所。
TNS_ADMIN - データベース接続文字列がtnsnames.oraファイルに定義されているディレクトリ。デフォルトでこれは、$DOMAIN_HOME/config/fmwconfig/components/OID/componentName/config/ディレクトリです。tnsnames.oraに定義されているデータベース接続の別名は、デフォルトではOIDDBになります。
NLS_LANG (APPROPRIATE_LANGUAGE.AL32UTF8) - インストール時のデフォルトの言語セットはAMERICAN_AMERICAです。
PATH - 次のディレクトリ位置をPATHに追加する必要があります。

$ORACLE_HOME/bin

$ORACLE_HOME/ldap/bin

$DOMAIN_HOME/bin

コマンド行で実行できる多くのアクティビティは、Oracle Enterprise Manager Fusion Middleware ControlまたはOracle Directory Services Managerでも実行できます。一部の機能には、コマンド行以外では実行できないものもあります。

7.4.2 標準LDAPユーティリティについて

Oracle Internet Directoryでは標準LDAPコマンド行ユーティリティ(ldapadd、ldapaddmt、ldapbind、ldapcompare、ldapdelete、ldapmoddn、ldapmodify、ldapmodifymtおよびldapsearch)がサポートされます。

次に例を示します。

ldapbind -D "cn=orcladmin" -q -h "myserver.example.com" -p 3060

ldapsearch -b "cn=subschemasubentry" -s base "objectclass=*" -p 3060 \
     -D "cn=orcladmin" -q

このマニュアルには、LDAPツールの使用方法の例が多数含まれています。

関連項目:

LDAPコマンドライン・ツールを使用したエントリの管理
各ツールの詳細は、『Oracle Identity Managementリファレンス』の「Oracle Internet Directoryデータ管理ツール」を参照してください。

セキュリティ上の理由から、コマンド行でパスワードを入力することはできるかぎり避けてください。コマンド行で入力したパスワードは画面上に表示され、ログ・ファイルや、psコマンドからの出力に表示される場合があります。

プロンプトでパスワードを入力すると、画面上やps出力またはログ・ファイルには表示されません。-P passwordオプションや-w passwordオプションは使用しないで、かわりにそれぞれ-Qオプションや-qオプションを使用してください。ウォレット・パスワードが存在せず、-Qオプションを使用している場合は、パスワードのプロンプトが表示されたときにEnterキーを押します。

環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合に、-w passwordオプションおよび-P passwordオプションを無効にするように、LDAPツールは変更されています。この機能をできるかぎり使用してください。

『Oracle Identity Managementリファレンス』のコマンド行ツールでのパスワードの使用に関する項を参照してください。

7.4.3 バルク・ツール

Oracle Internet Directoryには、多数のエントリの管理に役立つ複数のツールが用意されています。

「バルク操作の実行」を参照してください

関連項目:

各ツールの詳細は、『Oracle Identity Managementリファレンス』の「Oracle Internet Directoryデータ管理ツール」を参照してください。

7.4.4 WLSTについて

Oracle WebLogic Scripting Tool(WLST)は、Jythonベースのコマンド行スクリプト環境であり、WebLogic Serverドメインの管理およびモニターに使用できます。これを使用してOracle Internet Directoryを管理およびモニターするには、Oracle Internet Directoryが配置されているカスタムMBeanツリーに移動する必要があります。そこで、Oracle Internet Directoryリソースを表すマネージドBean (MBean)のリストの作成、値の取得および値の変更が可能です。

関連項目:

WLSTを使用したシステム構成属性の管理

ノート:

WLSTは、そのSSLポートを介してOracle Internet Directoryを管理します。サーバーを構成するためにWLSTまたはOracle Enterprise Manager Fusion Middleware Controlを使用する場合は、orclsslenableを1または2に設定します。「SSL認証モードについて」を参照してください。

7.5 Oracle Internet Directoryを構成および管理するための基本タスク

次の表で、Oracle Internet Directoryの基本環境を構成および管理するために実行する必要のあるステップについて学習します。

表7-2 Oracle Internet Directoryを構成および管理するための基本タスク

タスク	参照先
LDAPサーバーを起動および停止します	「Oracle Internet Directoryインスタンスの管理」を参照してください
システム構成属性を管理します	「システム構成属性の管理」を参照してください
ディレクトリ・エントリを管理します	「Oracle Internet Directoryでのディレクトリ・エントリの管理」を参照してください
ディレクトリ・スキーマを管理します	「ディレクトリ・スキーマの管理」を参照してください
監査を構成します	「監査の管理」を参照してください
ログ・ファイルを管理します	「ロギングの管理」を参照してください
SSLを構成します	「Secure Sockets Layer (SSL)の構成」を参照してください
パスワード・ポリシーを構成します	「パスワード・ポリシーの管理」を参照してください
アクセス制御を構成します	「ディレクトリ・アクセス制御の管理」を参照してください
Oracle Internet Directoryのデプロイメントに関するサイズ設定とチューニングの推奨事項を取得します	『パフォーマンスのチューニング』のチューニングとサイズ設定ウィザードを使用した推奨事項の取得に関する項を参照してください。
レプリケーションの設定	「レプリケーションの設定」を参照してください
既存のレプリケーション設定を変更します	「レプリケーションの管理およびモニタリング」を参照してください

このガイドでは、実際のOracle Fusion Middleware環境に応じて実行する必要があるタスクなど、他のタスクについても説明しています。