12 Oracle Internet Directoryでのアカウントおよびパスワードの管理

コマンド行ツール、セルフサービス・コンソール、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Internet Directoryのアカウントおよびパスワードを管理できます。また、スーパーユーザー・アカウント、EMD管理者およびOracle Internet Directoryデータベースのパスワードを管理することもできます。

次の各トピックでは、Oracle Internet Directoryでのアカウントおよびパスワードの管理について説明します。

• アカウントおよびパスワードの管理の概要

• コマンドライン・ツールを使用したアカウントおよびパスワードの管理

• セルフサービス・コンソールを使用したアカウントおよびパスワードの管理

• Oracle Directory Services Managerを使用したロックされたアカウントのロック解除

• Fusion Middleware Controlを使用したスーパーユーザー・パスワードの変更

• スーパーユーザー権限を持つ別のアカウントの作成

• ldapmodifyを使用したスーパーユーザー・パスワードの管理

• Oracle Internet Directoryデータベース・パスワードの変更

• スーパーユーザー・パスワードの再設定

• EMD管理者アカウントのパスワードの変更

• ODSSM管理者アカウントのパスワードの変更

• データ・ソースの新しいODSSMパスワードの更新

12.1 アカウントおよびパスワードの管理の概要

コマンド行ツールまたはセルフサービス・コンソールを使用して、アカウントおよびパスワードに関する管理タスクを実行できます。

関連項目:

• Oracle Internet Directoryでのディレクトリ・エントリの管理

• パスワード・ポリシーの管理

ノート:

Oracle Identity Managerでセルフサービス・コンソールを使用してユーザーを管理するには、12cリリース2 (12.2.1.3.0)の『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザーの管理に関する項を参照してください。

コマンド行ツールまたはセルフサービス・コンソールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。セキュリティ管理者グループのメンバーの場合、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。

コマンド行ツールを使用して、ユーザーが初めてログインする場合、ユーザーに対してパスワードの変更を強制できます。

パスワードを忘れた場合や、アカウントがロックアウトされた場合は、パスワードを再設定できます。これは、セルフサービス・コンソールを使用して実行できます。この場合、パスワード検証属性セットに値を入力して、サーバーに対して本人確認を行う必要があります。この操作は、以前回答を指定したパスワードのヒントの質問に答えるという形をとります。

スーパーユーザーは、ディレクトリ情報への完全なアクセス権限を持つ特別なディレクトリ管理者です。スーパーユーザーのデフォルトのユーザー名はorcladminです。パスワードはインストール時に管理者によって設定されます。

ノート:

このパスワードは、インストール後にすぐに変更することをお薦めします。

Oracle Enterprise Managerまたはldapmodifyのどちらかを使用して、スーパーユーザーのパスワードを管理できます。

関連項目:

アクセス権限の設定方法の詳細は、「ディレクトリ・アクセス制御の管理」を参照してください

もう1つの特権アカウントは管理者(cn=emd admin,cn=oracle internet directory )です。このアカウントは、Oracle Internet Directoryサーバーの管理機能情報の収集の開始または停止に使用されます。Oracle Enterprise Manager Fusion Middleware ControlでOracle Internet Directoryの構成を変更する場合にも使用されます。これらの変更はセキュアな接続を介して行われます。

このアカウントのパスワードは、「EMD管理者アカウントのパスワードの変更」で説明されている手順を使用しなければ変更できません。oidpasswdツールでは、このパスワードの変更はサポートされていません。

12.2 コマンド行ツールを使用したアカウントおよびパスワードの管理

コマンド行ツールを使用して、ユーザー・アカウントに対する管理操作を実行できます。

この項の内容は次のとおりです。

• コマンドライン・ツールを使用したアカウントの有効化と無効化

• コマンドライン・ツールを使用したアカウントのロック解除

• コマンドライン・ツールを使用したパスワードの強制変更

12.2.1 コマンド行ツールを使用したアカウントの有効化と無効化

コマンド行ツールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。

アカウントを永続的に無効にするには、orclisenabled属性をDISABLEDに設定します。この属性に他の値を設定すると、アカウントは有効になります。

アカウントを無効にした後、有効にするには、この属性をエントリから削除します。

特定の期間、アカウントを有効にするには、ユーザー・エントリ内のorclActiveStartDateおよびorclActiveEndDate属性を、UTC (協定世界時)書式による適切な値に設定します。たとえば、次のようなコマンド行を使用できます。

ldapmodify -p port -h host -D cn=orcladmin -q -v -f my.ldif

この場合、my.ldifには次が含まれます。

dn:cn=John Doe,cn=users,o=my_company,dc=com
orclactivestartdate:20030101000000z
orclactiveenddate: 20031231000000z

この例で、John Doeは、2003年1月1日から2003年12月31日までの期間ログインできます。2003年1月1日より前、または2003年12月31日より後はログインできません。これらの日付にはさまれた期間について彼のアカウントを無効にする場合は、orclisenabled属性をDISABLEDに設定します。

12.2.2 コマンド行ツールを使用したアカウントのロック解除

セキュリティ管理者グループのメンバーの場合、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。

アカウントのロックを解除するには、orclpwdaccountunlock属性を1に設定します。

次の例では、John Doeというユーザーのアカウントのロックを解除します。

ldapmodify -p port -h host -D cn=orcladmin -q -v -f file.ldif

この場合、file.ldifには次が含まれます。

dn: cn=John Doe,cn=users,o=my_company,dc=com
changetype: modify
add: orclpwdaccountunlock
orclpwdaccountunlock: 1

12.2.3 コマンド行ツールを使用したパスワードの強制変更

ユーザーが初めてログインする場合、ユーザーに対してパスワードの変更を強制できます。これを行うには、pwdpolicyエントリ内のpwdMustChange属性を1に設定し、パスワードを再設定します。この場合、ユーザーがログインしてパスワードを変更できるように、ユーザーに新しいパスワードを明示的に通知する必要があります。

関連項目:

• パスワードを再設定する方法は、「Oracle Internet Directoryセルフサービス・コンソールを使用したパスワードの再設定」 を参照してください

• パスワード・ポリシーの属性の設定方法は、「コマンド行ツールを使用したパスワード・ポリシーの設定」を参照してください

12.3 セルフサービス・コンソールを使用したアカウントおよびパスワードの管理

管理者にとって、Oracle Directory Services Managerはユーザーおよびパスワードを管理するための主要なツールです。

Oracle Identity Managerを使用して、Oracle Internet Directoryに対するユーザーおよびアカウントのプロビジョニングを集中管理することもできます。エンド・ユーザー・セルフサービスにとって、Oracle Identity Managerは推奨されるソリューションです。Oracle Identity Managerドキュメントは、Oracle Technology Networkで入手できます。

この項の内容は次のとおりです。

• Oracle Internet Directoryセルフサービス・コンソールを使用したアカウントの有効化と無効化

• Oracle Internet Directoryセルフサービス・コンソールを使用したアカウントのロック解除

• Oracle Internet Directoryセルフサービス・コンソールを使用したパスワードの再設定

12.3.1 Oracle Internet Directoryセルフサービス・コンソールを使用したアカウントの有効化と無効化

Oracle Internet Directoryセルフサービス・コンソールを使用して、ユーザー・アカウントを一時的に無効にし、その後再び有効にすることができます。

関連項目:

12cリリース2 (12.2.1.3.0)の『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザーの管理に関する項。

12.3.2 Oracle Internet Directoryセルフサービス・コンソールを使用したアカウントのロック解除

セキュリティ管理者グループのメンバーの場合、アカウントがロックされると、ユーザーのパスワードを再設定せずに、アカウントのロックを解除できます。これによって、ユーザーに新規パスワードを明示的に知らせる必要がなくなります。ユーザーは、旧パスワードを使用してログインできます。

関連項目:

12cリリース2 (12.2.1.3.0)の『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザー・アカウントのロック解除に関する項。

12.3.3 Oracle Internet Directoryセルフサービス・コンソールを使用したパスワードの再設定

パスワードを忘れた場合や、アカウントがロックアウトされた場合は、パスワードを再設定できます。この場合、パスワード検証属性セットに値を入力して、サーバーに対して本人確認を行う必要があります。この操作は、以前回答を指定したパスワードのヒントの質問に答えるという形をとります。

関連項目:

Oracle Identity Managerでセルフサービス・コンソールを使用してパスワードを再設定するには、12cリリース2 (12.2.1.3.0)の『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザー・パスワードの再設定に関する項を参照してください。

12.4 Oracle Directory Services Managerを使用したロックされたアカウントのロック解除

Oracle Directory Services Managerで検索文字列pwdaccountlockedtimeを使用して、ロックされたアカウントをリストできます。

Oracle Directory Services Managerを使用してロックされたアカウントをリストしてロック解除するには:

1. 「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動します。
2. タスク選択バーで、「データ・ブラウザ」を選択します。
3. 「Oracle Directory Services Managerを使用したエントリの検索」の説明に従い、検索文字列(pwdaccountlockedtime=*)を使用して簡易検索を実行します。ロックされたアカウントを含むエントリのリストが表示されます。
4. ロック解除するアカウントを含むエントリを選択します。
5. アカウントがロックされている場合、「適用」ボタンおよび「元に戻す」ボタンの前に、「アカウントのロックを解除」が表示されます。「アカウントのロックを解除」をクリックします。

12.5 Fusion Middleware Controlを使用したスーパーユーザー・パスワードの変更

構成属性orclsupasswordはDSEルートの属性です。以前に割り当てられたスーパーユーザーのパスワードを変更できます。

Oracle Enterprise Manager Fusion Middleware Controlを使用してスーパーユーザーのパスワードを変更するには:

1. 「Oracle Internet Directory」メニューから「管理」を選択し、「共有プロパティ」を選択します。
2. 「スーパーユーザー・パスワードの変更」タブをクリックします。
3. 古いパスワードを指定します。
4. 新しいパスワードを指定します。
5. 新しいパスワードを確認します。
6. 「適用」をクリックします。

12.6 スーパーユーザー権限を持つ別のアカウントの作成

スーパーユーザーcn=orcladminは、複数の権限グループ内のメンバーシップから権限を取得します。

これらのグループを問い合せるには、次のldapsearchコマンドを使用します。

ldapsearch -h host -p port -D "cn=orcladmin" -q -b "" -L \
-s sub "(|(uniquemember=cn=orcladmin)(member=cn=orcladmin))" dn
 

スーパーユーザー権限を持つ2つ目のアカウントを作成するには、同じグループに属する別のユーザー・エントリを作成します。さらに、グループcn=directoryadmingroup,cn=oracle internet directoryのメンバーとして、そのユーザーを追加します。

ノート:

「セキュリティ」および「拡張」タブを含むすべてのODSM機能を使用するには、新しいスーパーユーザー・アカウントはDirectoryAdminGroupグループのダイレクト・メンバーである必要があります。新しいスーパーユーザー・アカウントは、DirectoryAdminGroupグループのメンバーとなるグループのメンバーであることはできません。この構成では、スーパーユーザーはODSMの「ホーム」、「スキーマ」および「データ・ブラウザ」タブにのみアクセスできます。

スーパーユーザー権限を持つ追加のユーザーを作成した後は、Oracle Internet Directoryの管理にcn=orcladminを使用する必要はありません。権限を持つアカウントがあれば十分です。ただし、属性orclsunameには値cn=orcladminを設定する必要があります。

関連項目:

ユーザー・エントリの作成方法を学習するには、「Oracle Internet Directoryでのディレクトリ・エントリの管理」 、グループにユーザーを追加する方法を学習するには、「Oracle Internet Directoryでの動的グループと静的グループの管理」を参照してください。

ノート:

システム・セキュリティを保持するには、権限ユーザーの数を最小限に抑えるとともに、すべての権限アカウントが監査されていることを確認します。「監査の管理」を参照してください。

12.7 ldapmodifyを使用したスーパーユーザー・パスワードの管理

スーパーユーザーの名前は変更しないでください。orclsunameの値はcn=orcladminのまま維持する必要があります。

スーパーユーザーのパスワードを設定または変更するには、ldapmodifyを使用して、DSEルートの属性orclsunameまたはorclsupasswordをそれぞれ変更します。スーパーユーザーのユーザー名の変更は非常に影響が大きく、お薦めしません。

スーパーユーザーのパスワードをsuperuserpasswordに変更するには、次のように記述したLDIFファイルを使用します。

dn: 
changetype:modify
replace:orclsupassword
orclsupassword:superuserpassword

関連項目:

ldapmodifyの構文と使用上のノートは、『Oracle Identity Managementリファレンス』のldapmodifyコマンド行ツールのリファレンスを参照してください。

12.8 Oracle Internet Directoryデータベース・パスワードの変更

Oracle Internet Directoryは、独自に指定されたOracleデータベースへの接続時にパスワードを使用します。Oracle Internet Directoryインストール時のこのパスワードのデフォルトは、Oracle Fusion Middleware管理者のパスワードと同じです。oidpasswdを使用してパスワードを変更すると、新しいパスワードはウォレットに保存されます。次回、Oracle Internet Directoryのデータベースに接続しようとすると、ウォレットに保存されている新しいパスワードでユーザーが検証され、データベースに接続されます。

oidpasswdを使用して、このパスワードを変更できます。

次の例は、Oracle Internet Directoryデータベースのパスワードを変更する方法を示しています。

oidpasswd connect=OIDDB change_oiddb_pwd=true
current password: oldpassword
new password: newpassword
confirm password: newpassword
password set.

関連項目:

『Oracle Identity Managementリファレンス』のoidpasswdの使用に関する項のコマンド行ツールのリファレンス

ノート:

ここで説明したアカウントは、サーバー管理機能情報へのアクセスに使用されるODSSMアカウントとは異なります。このアカウントは、「サーバー管理機能情報にアクセスするために使用されるアカウント」で説明されています。このアカウントの変更の詳細は、「ODSSM管理者アカウントのパスワードの変更」を参照してください。

12.9 スーパーユーザーのパスワードの再設定

Oracle Internet Directoryスーパーユーザー(cn=orcladmin)のパスワードを忘れた場合は、oidpasswdツールを使用してパスワードを再設定できます。Oracle Internet Directoryデータベースのパスワードを指定する必要があります。

Oracle Internet Directoryを初めてインストールする場合、スーパーユーザーのパスワードとOracle Internet Directoryデータベースのパスワードは同じです。ただし、インストール後は、ldapmodifyを使用してOracle Internet Directoryスーパーユーザーのパスワードを変更できます。Oracle Internet Directoryスーパーユーザーのパスワードを忘れた場合は、oidpasswdツールを使用してパスワードを再設定できます。

次の例は、Oracle Internet Directoryスーパーユーザー・パスワードを再設定する方法を示しています。この場合、oidpasswdツールによって、Oracle Internet Directoryデータベース・パスワードの入力を求められます。

oidpasswd connect=OIDDB reset_su_password=true
OID DB user password: oid_db_password
        password: new_su_password
confirm password: new_su_password
OID superuser password reset successfully

12.10 EMD管理者アカウントのパスワードの変更

EMD管理者アカウント(cn=emd admin,cn=oracle internet directory)の特権は非常に制限されており、主に、Oracle Internet Directoryサーバーの管理機能情報の収集を開始および停止するために使用されます。

関連項目:

Oracle Internet Directoryサーバーの管理機能情報の収集の詳細は、「Oracle Internet Directoryのモニタリング」を参照してください。

EMD管理者のパスワードを変更するには:

1. ldapmodifyコマンドを使用して、Oracle Internet Directoryの"cn=emd admin,cn=oracle internet directory"アカウントのuserpasswordを変更します。
2. wlstコマンドを呼び出してWebLogicサーバーに接続します。

   java weblogic.WLST
   connect('weblogic', 'weblogic_user_password', 'protocol:host:port'

3. WLSTコマンドupdateCredを実行します:

   updateCred(map='emd',key='EMD_instance_name', password='newpassword',user='EMD')

   ここで、instance_nameはインストール時に指定されたインスタンス名(oid1など)です。

4. WebLogicドメインの各Oracleインスタンスで、次のコマンド行を実行します。

   oid_setProperties(context='EM', host='host', port = nnnn, sslmode=nnn, sslwrl = 'file:/wallet-location', emdPassword = 'emd-login-password')

12.11 ODSSM管理者アカウントのパスワードの変更

Oracle Internet Directoryは、スキーマの作成時にODSスキーマに対して指定されたパスワードを使用してOracle Databaseに接続します。また、同様にスキーマの作成時に、ODSSMスキーマ・パスワードを使用して接続し、そのメトリックを取得します。インストール終了時のOracle Enterprise Manager Fusion Middleware Controlのデフォルト・パスワードは、ODSSMパスワードと同じです。

ODSSM管理者のパスワードを変更するには、Oracle Databaseでこのパスワードを変更してから、WebLogicドメインのサーバーとドメイン内の各Oracleインスタンスの両方でこのパスワードを変更する必要があります。次の手順を実行します。

1. SQLPlusまたは同様のツールを使用して、データベースでパスワードを変更します。
2. ORACLE_HOME/common/binに移動して、次のコマンドを実行します。

   sh wlst.sh
   

3. WebLogic管理サーバーに接続します。

   connect('weblogic_username','pwd', 't3://host:port')
   

4. 次のupdateCred()コマンドを実行します。

   updateCred(map='odssm', key='ODSSM_instance_name', password='newpassword', user='ODSSM')
   

   ここで、instance_nameはインストール時に指定されたインスタンス名(たとえば、asinst_1)です。

5. WebLogicドメインの各Oracleインスタンスで、次のコマンド行を実行します。

   oid_setProperties(context='EM', host='host', port = nnnn, sslmode=nnn, sslwrl = 'file:/wallet-location', odssmPassword = 'odssm-schema-password')

12.12 データ・ソースの新しいODSSMパスワードの更新

Oracle Directory Integration Platformがインスタンス内にも構成されている場合、この新しいODSSMパスワードを1つの追加の場所で更新する必要があります。

Oracle Internet Directory資格証明ストアで新規ODSSMパスワードを更新するには:

1. WebLogic管理コンソール(http://host:port/console)にログインします
2. 「データ・ソース」->「schedulerDS」->「接続プール」を選択します。
3. 画面の左上隅の「ロックして編集」をクリックします。
4. 「パスワード」フィールドおよび「パスワードの確認」フィールドに、新しいパスワードを入力します。

   「保存」をクリックします。

5. 「変更のアクティブ化」をクリックします。

ノート:

次のスクリプトを使用してODSSMパスワードを検証できます。

%perlbin%/perl $ORACLE_HOME/sysman/admin/scripts/iam/getCSFPassword.pl
$ORACLE_HOME $ORACLE_INSTANCE [CANONICAL_PATH] ldap