6 LDAPスキーマの概要
この項の内容は次のとおりです。
6.1 ディレクトリ・スキーマの概要
ディレクトリ・スキーマは、他のルールの中でも特に、ディレクトリが保持するオブジェクトのタイプと、各オブジェクト・タイプの必須属性およびオプション属性を規定します。
Lightweight Directory Access Protocol(LDAP)バージョン3は、ネットワークで検出される一般オブジェクト(国、地域、組織、人物、グループ、デバイスなど)に対して、X.500規格に基づいたスキーマを定義します。LDAPバージョン3では、スキーマはディレクトリから使用できます。つまり、スキーマはディレクトリのエントリとして、その情報はエントリの属性として表現されます。この項には次のトピックが含まれます:
6.1.1 オブジェクト・クラスについて
LDAPディレクトリの用語におけるオブジェクト・クラスとは、ディレクトリ・エントリまたはレコードで表されるオブジェクトのタイプを意味します。階層ツリー構造で、当該オブジェクトの下位オブジェクトが存在する可能性を示すオブジェクト・クラスtopのように、他のオブジェクトに対するオブジェクトの関係を定義するオブジェクト・クラスも存在します。
一部のLDAPオブジェクト・クラスは、結合してディレクトリ内で1件のエントリを構成できます。たとえば、ユーザーのエントリでは、top、person、organizationalPerson、inetOrgPersonおよびorclUserV2のオブジェクト・クラスを使用します。
必須属性と補足属性
オブジェクト・クラスの定義には、必須属性(MUST)および補足属性(MAY)のリストが含まれます。必須属性とは、オブジェクト・クラスを使用するエントリに存在する必要がある属性のことです。補足属性とは、オブジェクト・クラスを使用するエントリに存在してもかまわない属性のことです。
オブジェクト・クラスの型
X.500 1993仕様では、次の4つのカテゴリのいずれかに割り当てられるオブジェクト・クラスが必要です。
-
構造型: ディレクトリにインスタンスを保持できるオブジェクト・クラス。構造型クラスは、ディレクトリのオブジェクトまたはエントリを作成するために使用されます。
-
抽象型: 新しい構造型クラスを導出するためにのみ使用されるテンプレート・オブジェクト・クラス。抽象型クラスは、ディレクトリ内でインスタンス化できません。
-
補助型: 構造型クラスまたは抽象型クラスの定義の最後に追加できる属性のリスト。補助型クラスは、ディレクトリ内でインスタンス化できません。
-
88クラス: X.500 1988仕様では、オブジェクト・クラスをカテゴリに割り当てる必要はありませんでした。X.500 1993規格より前に定義されたクラスは、デフォルトで88クラスになります。新しい88クラスを定義しないでください。
オブジェクト・クラスの継承
継承は導出とも呼ばれますが、既存のオブジェクト・クラスから新規のオブジェクト・クラスを構築する機能です。新規のオブジェクトは、親オブジェクトのサブクラスとして定義されます。サブクラスは、親になる他のクラスから構造やコンテンツ・ルールなどを継承するクラスです。親オブジェクトは、新規オブジェクトのスーパークラスになります。スーパークラスは、その情報を1つ以上の他のクラスが継承しているクラスです。
6.1.2 属性の概要
ディレクトリ・データは、属性と値のペアとして表現されます。ディレクトリ内の情報は、記述的な属性と関連付けられています。
たとえば、cn(commonName)属性を使用してニックネームを格納します。William(Bill)Smithという名前の人物は、ディレクトリ内では次のように表現されます。
cn: Bill Smith
この項の内容は次のとおりです。
6.1.2.1 属性名に関する制限
属性名の長さは127文字までです。属性の管理の詳細は、『Oracle Internet Directoryの管理』の属性の理解に関する項を参照してください。
Oracle Internet Directoryでは、属性名で使用できる文字に制限はありません。ただし、Oracle Identity Managementの他のコンポーネントでは、特定の属性に使用できる文字が制限されています。
Oracle Delegated Administration ServicesおよびOracle Directory Integration Platformでは、空白および& ' % ? \ / + = ( ) * ^ , ; | ' ~の各文字をUserIDで使用することはできません。
Oracle Application Server Single Sign-Onでは、パスワードに& { } < > " ' ( )の各文字を使用することはできません。
6.1.2.2 属性構文
属性構文は、属性の基本的な構成単位です。各属性には、属性値のデータ書式を定義する構文が割り当てられています。たとえば、属性構文は、属性が格納するのは整数データか、文字列データかそれともバイナリ・データかを決定します。また、属性値に対して実行できる比較演算子のタイプを制御する一致規則を定義します。
Oracle Internet Directoryは、RFC 2252の指定に従って属性構文を認識するため、RFC 2252のドキュメントに記載されている属性構文を属性と関連付けることができます。Oracle Internet Directoryでは、次のタイプの属性構文が実行されます。
-
DN
-
OID (オブジェクト識別子)
-
電話番号
次の表では、Oracle Internet Directoryで最も一般的に使用される属性構文を説明します。
表6-1 Oracle Internet Directoryで一般的に使用される属性構文
| 構文とオブジェクトID | 説明 |
|---|---|
|
ACI項目 1.3.6.1.4.1.1466.115.121.1.1 |
この属性の値は、アクセス制御識別子項目です。 |
|
バイナリ 1.3.6.1.4.1.1466.115.121.1.5 |
この属性の値は、バイナリです。 |
|
ブール 1.3.6.1.4.1.1466.115.121.1.7 |
この属性は、2つの値true(1)またはfalse(0)のいずれか一方のみを保持できます。 |
|
ディレクトリ文字列 1.3.6.1.4.1.1466.115.121.1.15 |
この属性の値は、大/小文字を区別しない文字列です。 |
|
DN 1.3.6.1.4.1.1466.115.121.1.12 |
この属性の値は、DN(識別名)です。 |
|
一般的な時刻 1.3.6.1.4.1.1466.115.121.1.24 |
この属性の値は、印刷可能文字列としてエンコードされます。タイムゾーンを指定する必要があります(GMTなど)。 |
|
IA5String 1.3.6.1.4.1.1466.115.121.1.26 |
International Reference Alphabet No.5の文字列。この属性の値は、大/小文字を区別します。 |
|
整数 1.3.6.1.4.1.1466.115.121.1.27 |
この属性の有効値は、数値です。 |
|
JPEG 1.3.6.1.4.1.1466.115.121.1.28 |
この属性の有効値は、JPEGファイルです。 |
|
名前 1.3.6.1.4.1.1466.115.121.1.34 |
この属性の有効値は、名前または任意のUIDです。 |
|
OID 1.3.6.1.4.1.1466.115.121.1.38 |
一意のオブジェクト識別子です。 |
|
印刷可能文字列 1.3.6.1.4.1.1466.115.121.1.44 |
拡張文字を許可しない文字列です。この属性の値は、大/小文字を区別しません。 |
|
電話番号 1.3.6.1.4.1.1466.115.121.1.50 |
この属性の値は、電話番号の形式をとります。 |
6.1.2.3 属性別名
リリース1 (11.1.1.0.0)では属性名に別名を作成できるようになりました。たとえば、属性snに対してわかりやすい別名surname(姓)を作成する、といったことができます。属性名に対して別名が作成されていると、ユーザーはLDAP操作で属性名のかわりに別名を指定できます。
属性のLDAPスキーマ定義で、属性に対して別名を定義します。ディレクトリ・スキーマの操作属性attributeTypesが強化され、属性名リストに別名を含めることができるようになりました。これまでのリリースでは、属性名リストの形式は、次のようなものでした。
attributeTypes=( ObjectIdentifier NAME 'AttributeName' ... )
リリース1 (11.1.1.0.0)では、次のような指定も可能になります。
attributeTypes=( ObjectIdentifier NAME ( 'AttributeName' 'Alias1' 'Alias2' ...) ... )
これは、RFC 2251およびRFC 2252で指定されているように、LDAPプロトコルと一致します。属性名リストでは、最初の項目は属性の名前として認識され、リストの残りの項目は属性別名として認識されます。たとえば、属性snに別名surnameを指定するには、snのスキーマ定義について次の変更を行います。
attributeTypes=( 2.5.4.4 NAME 'sn' SUP name )
を次のように変更します。
attributeTypes=( 2.5.4.4 NAME ( 'sn' 'surname' ) SUP name )
関連項目:
属性別名ルール、コマンドライン・ツールによる属性別名の管理および属性別名の使用の詳細は、『Oracle Internet Directoryの管理』の属性別名の理解に関する項を参照してください。
6.1.2.4 属性値の一致規則
一致規則は、同じ属性構文に準拠している2つの属性値を照合するためのルールです。Oracle Internet Directoryがスキーマで認識する一致規則定義は、次のとおりです。
-
accessDirectiveMatch -
IntegerMatch -
bitStringMatch -
numericStringMatch -
caseExactMatch -
objectIdentifierFirstComponentMatch -
caseExactIA5Match -
ObjectIdentifierMatch -
caseIgnoreIA5Match -
OctetStringMatch -
caseIgnoreListMatch -
presentationAddressMatch -
caseIgnoreMatch -
protocolInformationMatch -
caseIgnoreOrderingMatch -
telephoneNumberMatch -
distinguishedNameMatch -
uniqueMemberMatch -
generalizedTimeMatch -
generalizedTimeOrderingMatch -
orclpkimatchingrule
前のリストの中で、Oracle Internet Directoryが属性値を比較するときに実際に適用する一致規則は、次のとおりです。
-
distinguishedNameMatch -
caseExactMatch -
caseIgnoreMatch -
numericStringMatch -
IntegerMatch -
telephoneNumberMatch -
orclpkimatchingrule
6.1.2.5 サイズ設定属性値
属性構文は、属性値に対して特定のサイズ制限を定義しません。しかし、属性を定義するときに属性値のサイズを指定できます。Oracle Internet Directoryの属性にはサイズ制限を定義できるものもありますが、属性の長さの特性は適用されません。
たとえば、次の構文は属性fooのサイズを64に制限しますが、このサイズ制限はOracle Internet Directoryでは適用されません。
(object_identifier_of_attribute NAME 'foo' EQUALITY caseIgnoreMatch SYNTAX 'object_identifier_of_syntax{64}' )
6.1.2.6 単一値と複数値の属性について
デフォルトでは、ほとんどの属性は複数値です。つまり、エントリは複数の値を持つ同じ属性を保持できます。単一値属性の場合、1つのエントリに指定できる属性のインスタンスは1つのみです。たとえば、属性orclObjectGUIDが保持できる値は1つのみです。
6.1.2.7 属性の使用方法
属性の使用方法は、属性をディレクトリ内でどのように使用するかを定義します。属性の使用方法タイプは、次のとおりです。
-
ユーザー・アプリケーション属性: 明示的に属性に定義されていない場合の、デフォルトの属性の使用方法
-
システム操作属性: ディレクトリ自体の操作を制御する属性
関連項目:
『Oracle Internet Directoryの管理』の「システム構成属性の管理」
6.1.3 LDAPコントロール
LDAPバージョン3のディレクトリのように、Oracle Internet Directoryでは、コントロールを使用して標準LDAP操作を拡張します。これらは、既存の操作に付随する追加情報で、操作の動きを変更します。
クライアント・アプリケーションから標準LDAPコマンドとともに制御が渡されると、命令された操作の動きがそれに応じて変更されます。次の各項では、Oracle Internet Directory 12cリリース2 (12.1.2.3.0)でサポートされているコントロールを示しています。
6.1.3.1 Oracle Internet Directoryでサポートされているリクエスト・コントロール
表6-2 Oracle Internet Directoryでサポートされるリクエスト・コントロール
| オブジェクト識別子 | 名前 | 説明 |
|---|---|---|
|
2.16.840.1.113730.3.4.18 |
プロキシ認可 |
LDAPクライアント・アプリケーションは、その独自のアイデンティティでOracle Internet Directoryサーバーにバインドし、他のユーザーや複数のユーザーのかわりに操作を実行できます。 このコントロールによって、特に複数のユーザーのかわりに実行されるプロキシ操作でパフォーマンスが向上します。LDAP操作では、各ユーザーのリバインドは不要です。 たとえば、次の使用例について考えてみます。
プロキシ認可コントロールの考慮事項は、次のとおりです。
|
|
1.3.6.1.4.1.42.2.27.8.5.1 |
パスワード・ポリシー |
LDAPクライアントは、ユーザーの現在のパスワード・ポリシー状態についてOracle Internet Directoryサーバーからの情報をリクエストできます。パスワード・ポリシーが適用可能な場合、クライアントは、次の操作でこのコントロールを送信できます。
パスワード・ポリシー・リクエスト・コントロールには パスワード・ポリシーは、通常、LDAP簡易認証メソッドまたはパスワード・ベースのSimple Authentication and Security Layer (SASL)認証の単一値属性 詳細は、次の場所にある「Password Policy for LDAP Directories」を参照してください。
|
|
2.16.840.1.113730.3.4.3 |
永続検索 |
LDAPクライアントは、Oracle Internet Directoryサーバーに永続検索リクエストを送信できます。 永続検索操作は、初期検索の結果がサーバーからクライアントに返された後も継続する拡張検索です。初期検索の終了後も、サーバーに対する接続は、クライアントが操作をバインド解除するか中止するまで維持されます。クライアントは、検索範囲内のエントリの変更を追跡し、エントリが変更されている場合、エントリ変更通知レスポンス・コントロールを受信できます。 このコントロールの定義は次のとおりです。 PersistentSearch ::= SEQUENCE {
controlType 2.16.840.1.113730.3.4.3
changeTypes INTEGER,
changesOnly BOOLEAN,
returnECs BOOLEAN
}
これらのフィールドの説明は、次を参照してください。 |
|
2.16.840.1.113894.1.8.39 |
計算属性値の一意性 |
複数の属性値のエントリベースの組合せで、計算属性値の一意性を許可します。通常、属性一意性は単一属性にのみ構成されます。属性値の組合せで一意性を必要とするアプリケーションでは、このコントロールを送信すると、Oracle Internet Directoryサーバーにより、 計算値を含むエントリがすでに存在する場合は、Oracle Internet Directoryサーバーによって、LDAPエラー・コード「LDAP_ALREADY_EXISTS = 0x44」が返されます。 たとえば、マルチテナント環境では、ユーザーのUID属性は特定のテナントで一意である必要がありますが、ディレクトリ全体では必ずしも一意である必要はありません。アプリケーションでは、計算属性TenantID_UIDを持つLDAPエントリが作成されます。ここで、TenantIDはテナントの識別子、UIDは属性になります。LDAPエントリが作成されたアプリケーションでは、このコントロールが送信されます。計算属性値を含むエントリがすでに存在する場合は、Oracle Internet Directoryサーバーによって、LDAP_ALREADY_EXISTSエラー・コードが返されます。 |
|
2.16.840.1.113730.3.4.9 |
OID_SEARCH_VLV_REQ_CONTROL |
指定のLDAP検索で、大規模な検索結果セットの連続したサブセットを返すことをクライアントがサーバーに求めることを許可します。このコントロールを使用すると、検索結果を一度に1ページずつ表示できるため、クライアントでのより迅速な検索結果の取得が可能になると同時に、一度に多数の検索結果の格納が必要になる事態を防げます。 サーバーによって、OID_SEARCH_VLV_RES_CONTROL 2.16.840.1.113730.3.4.10が返されます。 OID_SEARCH_VLV_REQ_CONTROLは、SORTコントロール(ldapsearchの-T引数)との組合せでのみ使用できます。SORTコントロールを含めないと、リクエストによりLDAPエラー・コード53「VLVリクエスト制御を含む検索操作でSORTリクエスト制御が欠落しています。」が返されます。 SORTコントロールでは、サーバーで有効な任意のソート指定を含められます。SORTコントロールをOID_SEARCH_VLV_REQ_CONTROLと一緒に使用すると、サーバーはソートした検索結果の完全セットを返すかわりに、ターゲット・エントリを検索結果の参照ポイントとして使用して、コントロールで指定されているエントリの連続したサブセットを返します。 詳細は、「LDAP Extensions for Scrolling View Browsing of Search Results」( |
|
1.2.840.113556.1.4.319 |
OID_SEARCH_PAGING_CONTROL |
『Oracle Identity Managementアプリケーション開発者ガイド』のLDAPプロトコルの拡張に関する項を参照してください |
|
1.2.840.113556.1.4.473 |
OID_SEARCH_SORTING_REQUEST_CONTROL |
『Oracle Identity Managementアプリケーション開発者ガイド』のLDAPプロトコルの拡張に関する項を参照してください |
|
2.16.840.1.113730.3.4.2 |
GSL_MANAGE_DSA_CONTROL |
Oracle Internet Directoryの参照、動的グループおよび別名オブジェクトを管理するために使用します。詳細は、 |
|
2.16.840.1.113894.1.8.1 |
OID_RESET_PROXYCONTROL_IDENTITY |
確立されたLDAP接続でアイデンティティのプロキシ・スイッチを実行するために使用されます。たとえば、アプリケーションAがディレクトリ・サーバーに接続していて、アプリケーションBにスイッチする場合を考えます。アプリケーションBの資格証明を提供することで、リバインドは簡単に実行できます。しかし、資格証明が使用できないときでも、アプリケーションによるアイデンティティの切り替えを可能にするプロキシのメカニズムを使用できる場合があります。このコントロールを使用すると、Oracle Internet DirectoryでアプリケーションAがアプリケーションBとしてプロキシする権限を持っている場合に、アプリケーションAがアプリケーションBにスイッチすることができます。 |
|
2.16.840.1.113894.1.8.2 |
OID_APPLYUSEPASSWORD_POLICY |
アプリケーションにユーザーのベリファイアを送信する前に、Oracle Internet Directoryによるアカウント・ロックアウトの確認が必要なアプリケーションによって送信されます。Oracle Internet Directoryによりベリファイア検索リクエスト内にこのコントロールが検出され、ユーザー・アカウントがロックされている場合、Oracle Internet Directoryはアプリケーションにベリファイアを送信しません。適切なパスワード・ポリシー・エラーが送信されます。 |
|
2.16.840.1.113894.1.8.3 |
CONNECT_BY |
『Oracle Identity Managementアプリケーション開発者ガイド』のLDAPプロトコルの拡張に関する項を参照してください |
|
2.16.840.1.113894.1.8.4 |
OID_CLIENT_IP_ADDRESS |
Oracle Internet DirectoryによってIPロックアウトが実行される場合に、クライアントがエンド・ユーザーIPアドレスを送信するために使用されます。 |
|
2.16.840.1.113894.1.8.5 |
GSL_REQDATTR_CONTROL |
動的グループとともに使用されます。ディレクトリ・サーバーに、メンバーシップ・リストではなくメンバーの特定の属性を読み取るよう指示します。 |
|
2.16.840.1.113894.1.8.6 |
PasswordStatusRequestControl |
このコントロールがLDAPバインド/比較操作リクエストの一部としてパッケージ化されている場合、このコントロールによってサーバーでパスワード・ポリシーのレスポンス・コントロールが生成されます。実際のレスポンス・コントロールは状況に応じて異なります。状況とは、差し迫ったパスワードの有効期限、残りの猶予期間ログインの数、パスワードの期限切れ、アカウントのロックなどです。 |
|
2.16.840.1.113894.1.8.14 |
OID_DYNAMIC_VERIFIER_REQUEST_CONTROL |
サーバーによる動的パスワード・ベリファイアの作成が必要な場合にクライアントが送信するリクエスト・コントロール。サーバーは、リクエスト・コントロールのパラメータを使用してベリファイアを作成します。 |
|
2.16.840.1.113894.1.8.16 |
AccountStatusRequestControl |
認証プロセスに関連付けられたLDAP検索操作とともにパッケージ化されている場合、Oracle Internet Directoryは、パスワード・ポリシーのレスポンス・コントロールを返し、アカウントのロックアウトやパスワードの有効期限などのアカウント状態に関連する情報をクライアント・アプリケーションに知らせます。 |
|
2.16.840.1.113894.1.8.23 |
GSL_CERTIFICATE_CONTROL |
証明書検索コントロール。ユーザー証明書の検索方法を指定するためにクライアントが送信するリクエスト・コントロール。『Oracle Internet Directoryの管理』のユーザー証明書のディレクトリの検索に関する付録を参照してください。 |
|
2.16.840.1.113894.1.8.29 |
EffectivePolicyControl |
このコントロールは、LDAPベース検索の一部としてパッケージ化されます(ベースDNは、テストされているユーザー・エントリのDNです)。この時点で、ディレクトリにエントリが存在している必要はありません。検索を実行しているエンティティがパスワード・ポリシー・エントリを表示するアクセス権を持つ場合、このコントロールを渡すと、適用されるパスワード・ポリシーが記述されたLDAPエントリが返されます。オプションのtestPasswordパラメータとして望ましいパスワードを指定すると、ディレクトリ・サーバーはレスポンス・コントロール2.16.840.1.113894.1.8.32を返します。 |
|
2.16.840.1.113894.1.8.36 |
DelSubtreeControl |
このコントロールが削除操作とともに送信されると、指定されたDNの下位のサブツリー全体が削除されます。必要な権限を持つユーザーのすべてがこの操作を実行できます。 |
|
1.2.840.113556.1.4.805 |
DelSubtreeControl |
このコントロールが削除操作とともに送信されると、指定されたDNの下位のサブツリー全体が削除されます。必要な権限を持つユーザーのすべてがこの操作を実行できます。 |
|
1.3.6.1.1.21.2 |
トランザクション指定コントロール |
これは、トランザクションIDをコントロールの値とし、これを利用して操作とトランザクションの関連付けを指定するLDAPコントロールです。この重大性は |
6.1.3.2 Oracle Internet Directoryでサポートされているレスポンス・コントロール
表6-3 Oracle Internet Directoryでサポートされるレスポンス・コントロール
| オブジェクト識別子 | 名前 | 説明 |
|---|---|---|
|
1.3.6.1.4.1.42.2.27.8.5.1 |
パスワード・ポリシー |
Oracle Internet Directoryサーバーがパスワード・ポリシー・リクエスト・コントロールに応答してLDAPクライアントに返すレスポンス・コントロール。レスポンス制御の値は次のようにエンコードされます: PasswordPolicyResponseValue ::= SEQUENCE {
warning [0] CHOICE {
timeBeforeExpiration [0] INTEGER (0 .. maxInt),
graceAuthNsRemaining [1] INTEGER (0 .. maxInt) } OPTIONAL,
error [1] ENUMERATED {
passwordExpired (0),
accountLocked (1),
changeAfterReset (2),
passwordModNotAllowed (3),
mustSupplyOldPassword (4),
insufficientPasswordQuality (5),
passwordTooShort (6),
passwordTooYoung (7),
passwordInHistory (8) } OPTIONAL }サーバーは、パスワード・ポリシー・レスポンス・コントロールでエラーまたは警告のいずれかを送信します(両方ではありません)。エラー・コードの説明は、次を参照してください。
コントロールの重大性は、レスポンスでは返されません。パスワード・ポリシーの違反がない場合、サーバーは、レスポンスを送信しません。 |
|
2.16.840.1.113730.3.4.7 |
エントリ変更通知 |
このコントロールの定義は次のとおりです。 EntryChangeNotification ::= SEQUENCE {
controlType 2.16.840.1.113730.3.4.7
changeType ENUMERATED {
add (1),
delete (2),
modify (4),
modDN (8)
},
previousDN LDAPDN OPTIONAL, -- modifyDN ops. only
changeNumber INTEGER OPTIONAL -- if supported
}
これらのフィールドの説明は、次を参照してください。 |
|
2.16.840.1.113730.3.4.10 |
OID_SEARCH_VLV_RES_CONTROL |
サーバーは、OID_SEARCH_VLV_REQ_CONTROL 2.16.840.1.113730.3.4.9に応答してこのコントロールを返します。 |
|
2.16.840.1.113894.1.8.7 |
OID_PASSWORD_EXPWARNING_CONTROL |
パスワード・ポリシー・コントロール。pwdExpireWarning属性が有効化されていて、クライアントからリクエスト・コントロールが送信された場合にサーバーが送信するレスポンス・コントロール。レスポンス・コントロール値には、パスワードの有効期限を表す秒単位の時間が含まれます。 |
|
2.16.840.1.113894.1.8.8 |
OID_PASSWORD_GRACELOGIN_CONTROL |
パスワード・ポリシー・コントロール。猶予期間ログインが構成されていて、クライアントからリクエスト・コントロールが送信された場合にサーバーが送信するレスポンス・コントロール。レスポンス・コントロール値には、猶予期間ログインの残数が含まれます。 |
|
2.16.840.1.113894.1.8.20 |
OID_PWDEXPIRED_CONTROL |
パスワード・ポリシー・コントロール。パスワードが期限切れになり、猶予期間ログインの残数がなく、クライアントからリクエスト・コントロールが送信された場合に、サーバーが送信するレスポンス・コントロール。 |
|
2.16.840.1.113894.1.8.9 |
OID_PASSWORD_MUSTCHANGE_CONTROL |
パスワード・ポリシー・コントロール。強制パスワードのリセットが有効化されていて、クライアントからリクエスト・コントロールが送信された場合にサーバーが送信するレスポンス・コントロール。クライアントは、ユーザーがこのコントロールを受信する際にパスワードの変更を強制する必要があります。 |
|
2.16.840.1.113894.1.8.15 |
OID_DYNAMIC_VERIFIER_RESPONSE_CONTROL |
エラーが発生した場合にサーバーがクライアントに送信するレスポンス・コントロール。レスポンス・コントロールにはエラー・コードが含まれています。 |
|
2.16.840.1.113894.1.8.32 |
PasswordValidationControl |
必要なパスワードがオプションのtestPasswordパラメータとして指定されると、サーバーはコントロール2.16.840.1.113894.1.8.29に応答してこのコントロールを返します。クライアント・アプリケーションはvalidationResultを解析して、サーバーがパスワードを受け入れられるかどうか(成功)、またはパスワードが拒否された理由を判断できます。userpasswordに対するLDAP変更操作が失敗したときに生成されるタイプと同じエラー・メッセージが値として返されます。 |
|
2.16.840.1.113894.1.8.37 |
OID_SEARCH_DYNGRP_STATIC_UMEM |
このコントロールとともにフィルタ |
6.2 Oracle Identity Managementのスキーマ要素の概要
Oracle Identity Managementスキーマ要素をカテゴリ別に示します。各カテゴリには、適用可能なLDAPオブジェクト・クラスおよび属性が示されていますが、それぞれその属性またはオブジェクト・クラスの詳細情報にリンクされています。
スキーマ要素は、次のカテゴリに分類されます。
6.2.1 システム操作のスキーマ要素
システム操作のスキーマ要素は、ディレクトリ・サーバーで使用されます。システム操作オブジェクト・クラスは、ディレクトリ・サーバーの操作に関係するエントリを作成するために、ディレクトリ・サーバーで使用されます。特定のシステム操作属性は、エントリのオブジェクト・クラスに定義されているかどうかに関係なく、ディレクトリ内のすべてのエントリに対して使用できます。
表6-4は、システム操作のスキーマ要素と操作属性を示しています。
表6-4 システム操作のスキーマ要素の属性
| システム操作のスキーマ要素 | 操作属性 |
|---|---|
|
ディレクトリ・スキーマ |
attributeTypes、contentRules、ldapSyntaxes、matchingRules、objectClasses オブジェクト・クラス: |
|
アクセス制御 |
|
|
変更ログ |
|
|
パスワード・ポリシー |
orclPwdAccountUnlock、orclPwdIPAccountLockedTime、orclPwdIPFailureTime、orclRevPwd、orclUnsyncRevPwd、pwdAccountLockedTime、pwdChangedTime、pwdExpirationWarned、pwdFailureTime、pwdGraceUseTime、pwdHistory、pwdReset |
6.2.2 Oracle Internet Directory構成のスキーマ要素
Oracle Internet Directoryの様々な構成に関係するスキーマ要素について理解します。
この項の内容は次のとおりです。
6.2.2.1 Oracle Internet Directoryサーバー構成の属性
この項では、Oracle Internet Directoryサーバーの構成に関係する属性およびオブジェクト・クラスを示します。
属性
namingContexts、orclAnonymousBindsFlag、orclCatalogEntryDN、orclCompatibleVersion、orclCryptoScheme、orclDBType、orclDebugFlag、orclDebugForceFlush、orclDebugOp、orclDIPRepository、orclDirectoryVersion、orclDITRoot、orclEcacheEnabled、orclEcacheMaxEntries、orclEcacheMaxSize、orclEnableGroupCache、orclEventLevel、orclGUPassword、orclHostname、orclIndexedAttribute、orclIpAddress、orclLDAPConnTimeout、orclMatchDnEnabled、orclMaxCC、orclNonSSLPort、orclNormDN、orclNwrwTimeout、orclPKIMatchingRule、orclPrName、orclPrPassword、orclReplAgreements、orclReplicaID、orclSASLAuthenticationMode、orclSASLCipherChoice、orclSASLMechanism、orclsDumpFlag、orclServerMode、orclServerProcs、orclSizeLimit、orclSkewedAttribute、orclSkipRefInSQL、orclSSLAuthentication、orclSSLCipherSuite、orclSSLEnable、orclSSLPort、orclSSLVersion、orclSSLWalletURL、orclStatsDN、orclStatsFlag、orclStatsLevel、orclStatsOp、orclStatsPeriodicity、orclSUAccountLocked、orclSuffix、orclSULoginFailureCount、orclSUName、orclSUPassword、orclTimeLimit、orclTLimitMode、orclUpgradeInProgress
オブジェクト・クラス
6.2.2.2 Oracleコンテキスト構成の属性
この項では、Oracleコンテキストの構成に関係する属性およびオブジェクト・クラスを示します。
属性
orclCommonAutoRegEnabled、orclCommonContextMap、orclCommonDefaultUserCreateBase、orclCommonGroupCreateBase、orclCommonNamingAttribute、orclCommonNicknameAttribute、orclCommonSASLRealm、orclCommonUserSearchBase、orclDefaultSubscriber、orclProductVersion、orclSubscriberNickNameAttribute、orclSubscriberSearchBase、orclUserObjectClasses、orclVersion
オブジェクト・クラス
6.2.2.3 Oracleネットワーク・サービス構成の属性
この項では、Oracleネットワーク・サービスの構成に関係する属性とオブジェクト・クラスを紹介します。
属性
labeledURI、orclActiveEndDate、orclActiveStartdate、orclAssocDB、orclAssocIasInstance、orclEnabled、orclFlexAttribute1、orclIsEnabled、orclMasterNode、orclNetDescName、orclNetDescString、orclOracleHome、orclServiceInstanceLocation、orclServiceMember、orclServiceSubscriptionLocation、orclServiceSubType、orclServiceType、orclSID、orclSuiteType、orclSystemName、orclVersion
オブジェクト・クラス
6.2.2.4 ガベージ・コレクション構成の属性
この項では、ガベージ・コレクションの構成に関係する属性およびオブジェクト・クラスを示します。
属性
orclPurgeBase、orclPurgeDebug、orclPurgeEnable、orclPurgeFileLoc、orclPurgeFileName、orclPurgeFilter、orclPurgeInterval、orclPurgeNow、orclPurgePackage、orclPurgeStart、orclPurgeTargetAge、orclPurgeTranSize
オブジェクト・クラス
6.2.3 監査およびエラー・ロギングのスキーマ要素
監査ログおよびエラー・ログに関係する属性およびオブジェクト・クラスについて理解します。
属性
orclAuditAttribute、orclAuditMessage、orclDBConnCreationFailed、orclDNSUnavailable、orclEventTime、orclEventType、orclFDIncreaseError、orclMaxFDLimitReached、orclMaxProcessLimitReached、orclMemAllocError、orclNWCongested、orclNwUnavailable、orclOpResult、orclORA28error、orclORA3113error、orclORA3114error、orclSequence、orclThreadSpawnFailed、orclUserDN
オブジェクト・クラス
6.2.4 サーバー管理機能のスキーマ要素
Oracle Internet Directoryサーバー管理機能の統計のスキーマ要素について理解します。
属性
orclACLResultsLatency、orclActiveConn、orclActiveThreads、orclAttrACLEvalLatency、orclAuditMessage、orclBERgenLatency、orclDBLatency、orclDIMEonlyLatency、orclEcacheHitRatio、orclEcacheNumEntries、orclEcacheSize、orclEntryACLEvalLatency、orclEventTime、orclEventType、orclFilterACLEvalLatency、orclFrontLatency、orclGenObjLatency、orclGetNearACLLatency、orclHostname、orclIdleConn、orclIdleThreads、orclInitialServerMemSize、orclIpAddress、orclLDAPInstanceID、orclLDAPProcessID、orclOpAbandoned、orclOpCompleted、orclOpenConn、orclOpFailed、orclOpInitiated、orclOpLatency、orclOpPending、orclOpResult、orclOpSucceeded、orclOpTimedOut、orclQueueDepth、orclQueueLatency、orclReadWaitThreads、orclSequence、orclServerAvgMemGrowth、orclSMSpec、orclSQLexeFetchLatency、orclSQLGenReusedParsed、orclTcpConnToClose、orclTcpConnToShutDown、orclTotFreePhyMem、orclTraceDimesionLevel、orclTraceFileLocation、orclTraceFileSize、orclTraceLevel、orclTraceMode、orclUserDN、orclWriteWaitThreads
オブジェクト・クラス
6.2.5 Oracleディレクトリ・レプリケーションのスキーマ要素
ディレクトリ・レプリケーション用のスキーマ要素について理解します。
属性
orclAgreementId、orclChangeLogLife、orclChangeRetryCount、orclCompatibleVersion、orclDirReplGroupAgreement、orclExcludedAttributes、orclHIQSchedule、orclHostname、orclIncludedNamingContexts、orclLastAppliedChangeNumber、orclLDAPConnKeepALive、orclPilotMode、orclPurgeSchedule、orclReplicaDN、orclReplicaID、orclReplicaSecondaryURI、orclReplicaState、orclReplicationProtocol、orclReplicaType、orclReplicaURI、orclReplicaVersion、orclThreadsPerSupplier、orclUpdateSchedule、pilotStartTime
オブジェクト・クラス
6.2.6 Oracle Directory Integration and Provisioningのスキーマ要素
Oracle Directory Integration and Provisioningのスキーマ要素について理解します。
この項の内容は次のとおりです。
6.2.6.1 プロビジョニング・アプリケーションの属性
この項では、Oracle Directory Integration and Provisioningのアプリケーションの属性およびオブジェクト・クラスを示します。
属性
orclApplicationType、orclInterval、orclODIPAgent、orclODIPApplicationName、orclODIPCommand、orclODIPDbConnectInfo、orclODIPEventSubscriptions、orclOwnerGUID、orclStatus、orclVersion
オブジェクト・クラス
6.2.6.2 プロビジョニング変更ログの属性
この項では、Oracle Directory Integration and Provisioningの変更ログの属性およびオブジェクト・クラスを示します。
属性
オブジェクト・クラス
6.2.6.3 プロビジョニング・イベントおよびオブジェクトの属性
この項では、Oracle Directory Integration and Provisioningのイベントおよびオブジェクトの属性およびオブジェクト・クラスを示します。
属性
orclODIPAttributeMappingRules、orclODIPEventFilter、orclODIPFilterAttrCriteria、orclODIPMustAttrCriteria、orclODIPObjectCriteria、orclODIPObjectEvents、orclODIPObjectName、orclODIPObjectSyncBase、orclODIPOperationMode、orclODIPOptAttrCriteria、orclODIPProvEventCriteria、orclODIPProvEventLDAPChangeType、orclODIPProvEventObjectType、orclODIPProvEventRule、orclODIPProvEventRuleDTD、orclStatus
オブジェクト・クラス
6.2.6.4 プロビジョニング・プラグインおよびインタフェースの属性
この項では、Oracle Directory Integration and Provisioningのプラグインおよびインタフェースの属性およびオブジェクト・クラスを示します。
属性
orclODIPPluginAddInfo、orclODIPPluginConfigInfo、orclODIPPluginEvents、orclODIPPluginExecData、orclODIPPluginExecName、orclODIPProfileProvSubscriptionMode、orclODIPProfileStatusUpdate、orclODIPProvInterfaceFilter、orclODIPProfileInterfaceType、orclODIPProvInterfaceProcessor、orclStatus
オブジェクト・クラス
6.2.6.5 プロビジョニング・サーバー構成の属性
この項では、Oracle Directory Integration and Provisioning Serverの構成に関係する属性およびオブジェクト・クラスを示します。
属性
cn、orclCompatibleVersion、orclHostname、orclODIPConfigDNs、orclODIPConfigRefreshFlag、orclODIPInstanceStatus、orclODIPProfileExecGroupID、orclODIPSearchCountLimit、orclODIPSearchTimeLimit、orclODIPServerCommitSize、orclODIPServerDebugLevel、orclODIPServerRefreshIntvl、orclODIPServerSSLMode、orclODIPServerWalletLoc、orclSSLEnable、orclVersion、seeAlso、userPassword
オブジェクト・クラス
6.2.6.6 プロビジョニング・プロファイルの属性
この項では、Oracle Directory Integration and Provisioningの同期プロファイルおよびプロビジョニング・プロファイルの属性およびオブジェクト・クラスを示します。
属性
cn、orclODIPAgentConfigInfo、orclODIPAgentControl、orclODIPAgentExeCommand、orclODIPAgentHostName、orclODIPAgentName、orclODIPAgentPassword、orclODIPAttributeMappingRules、orclODIPBootStrapStatus、orclODIPConDirAccessAccount、orclODIPConDirAccessPassword、orclODIPConDirLastAppliedChgNum、orclODIPConDirMatchingFilter、orclODIPConDirURL、orclODIPEncryptedAttrKey、orclODIPInterfaceType、orclODIPLastExecutionTime、orclODIPLastSuccessfulExecutionTime、orclODIPOIDMatchingFilter、orclODIPProfileDebugLevel、orclODIPProfileExecGroupID、orclODIPProfileInterfaceAdditionalInformation、orclODIPProfileInterfaceConnectInformation、orclODIPProfileInterfaceName、orclODIPProfileInterfaceType、orclODIPProfileInterfaceVersion、orclODIPProfileLastAppliedAppEventID、orclODIPProfileLastProcessingTime、orclODIPProfileLastSuccessfulProcessingTime、orclODIPProfileMaxErrors、orclODIPProfileMaxEventsPerInvocation、orclODIPProfileMaxEventsPerSchedule、orclODIPProfileMaxRetries、orclODIPProfileName、orclODIPProfileProcessingErrors、orclODIPProfileProcessingStatus、orclODIPProfileSchedule、orclODIPProvisioningAppGUID、orclODIPProvisioningAppName、orclODIPProvisioningEventMappingRules、orclODIPProvisioningEventPermittedOperations、orclODIPProvisioningEventSubscription、orclODIPProvisioningOrgGUID、orclODIPProvisioningOrgName、orclODIPSchedulingInterval、orclODIPSynchronizationErrors、orclODIPSynchronizationMode、orclODIPSynchronizationStatus、orclODIPSyncRetryCount、orclPasswordAttribute、orclStatus、orclVersion、userPassword
オブジェクト・クラス
6.2.6.7 プロビジョニング・スキーマの属性
この項では、Oracle Directory Integration and Provisioningのスキーマ情報の属性およびオブジェクト・クラスを示します。
属性
orclODIPApplicationsLocation、orclODIPInstancesLocation、orclODIPObjectDefnLocation、orclODIPProvProfileLocation、orclODIPRootLocation、orclODIPSchemaVersion、orclODIPServerConfigLocation、orclODIPSyncProfileLocation
オブジェクト・クラス
6.2.7 Oracle Delegated Administration Servicesのスキーマ要素
Oracle Delegated Administration Servicesの属性およびオブジェクト・クラスについて理解します。
属性
orclDASAdminModifiable、orclDASAttrDispOrder、orclDASAttrName、orclDASEnableProductLogo、orclDASEnableSubscriberLogo、orclDASIsEnabled、orclDASIsMandatory、orclDASIsPersonal、orclDASLOV、orclDASPublicGroupDNs、orclDASSearchable、orclDASSearchColIndex、orclDASSearchFilter、orclDASSearchSizeLimit、orclDASSelfModifiable、orclDASUIType、orclDASURL、orclDASURLBase、orclDASValidatePwdReset、orclDASViewable
オブジェクト・クラス
6.2.8 Oracle Application Server Certificate AuthorityおよびPKIのスキーマ要素
公開キーインフラストラクチャ(PKI)、証明書、Oracle Application Server Certificate Authorityに関係する属性およびオブジェクト・クラスについて理解します。
属性
orclCertExtensionAttribute、orclCertExtensionOID、orclCertificateHash、orclCertificateMatch、orclCertMappingAttribute、orclPKINextUpdate、orclPKIValMecAttr、x509issuer
オブジェクト・クラス
6.2.9 アプリケーションのスキーマ要素
アプリケーションに関係する属性およびオブジェクト・クラスについて理解します。
属性
authPassword、description、labeledURI、orclAppFullName、orclApplicationCommonName、orclCategory、orclDBSchemaIdentifier、orclOwnerGUID、orclPasswordVerifier、orclResourceIdentifier、orclTrustedApplicationGroup、orclVersion、protocolInformation、seeAlso、userCertificate;binary、userPassword、userPKCS12
オブジェクト・クラス
6.2.10 リソースのスキーマ要素
リソースに関係する属性およびオブジェクト・クラスについて理解します。
属性
description、displayName、javaClassName、orclConnectionFormat、orclFlexAttribute1、orclFlexAttribute2、orclFlexAttribute3、orclOwnerGUID、orclPasswordAttribute、orclResourceName、orclResourceViewers、orclUserIDAttribute、orclUserModifiable
オブジェクト・クラス
6.2.11 プラグインのスキーマ要素
Oracle Internet Directory用のプラグインを構成するための属性およびオブジェクト・クラスについて理解します。
属性
orclPluginAttributeList、orclPluginCheckEntryExist、orclPluginEnable、orclPluginEntryProperties、orclPluginIsReplace、orclPluginKind、orclPluginLDAPOperation、orclPluginName、orclPluginPort、orclPluginRequestGroup、orclPluginRequestNegGroup、orclPluginResultCode、orclPluginSASLCallBack、orclPluginSearchNotFound、orclPluginShareLibLocation、orclPluginSubscriberDNList、orclPluginTiming、orclPluginType、orclPluginVersion、userPassword
オブジェクト・クラス
6.2.12 ディレクトリ・ユーザー・エージェントのスキーマ要素
ディレクトリ・ユーザー・エージェント(DUA)の構成に関係する属性およびオブジェクト・クラスについて理解します。
属性
attributeMap、authenticationMethod、bindTimeLimit、cn、credentialLevel、defaultSearchBase、defaultSearchScope、defaultServerList、followReferrals、objectClass、objectClassMap、preferredServerList、profileTTL、serviceAuthenticationMethod、serviceCredentialLevel、serviceSearchDescriptor
オブジェクト・クラス
6.2.13 ユーザー、グループ、およびサブスクライバのスキーマ要素
6.2.13.1 グループの属性
Oracle Internet Directoryでは、RFC 2256に定義されている標準オブジェクト・クラスgroupOfNamesおよびgroupOfUniqueNamesを使用します。標準の属性およびオブジェクト・クラスの他に、グループには次の属性およびオブジェクト・クラスも使用します。
属性
オブジェクト・クラス
6.2.13.3 ユーザーの属性
Oracle Internet Directoryでは、RFC 2256に定義されている標準オブジェクト・クラスpersonおよびinetOrgPersonを使用します。標準の属性およびオブジェクト・クラスの他に、ユーザーには次の属性およびオブジェクト・クラスも使用します。
属性
authPassword、c、jpegPhoto、krbPrincipalName、middleName、orclActiveEndDate、orclActiveStartdate、orclContact、orclDateOfBirth、orclDefaultProfileGroup、orclDisplayPersonalInfo、orclGender、orclHireDate、orclHostedCreditCardExpireDate、orclHostedCreditCardNumber、orclHostedCreditCardType、orclHostedDunsNumber、orclHostedPaymentTerm、orclIsEnabled、orclIsVisible、orclMaidenName、orclPassword、orclPasswordHint、orclPasswordHintAnswer、orclPasswordVerifier、orclPKCS12Hint、orclSAMAccountName、orclSearchFilter、orclSubscriberFullName、orclSubscriberType、orclTimeZone、orclTxnMaxOperations、orclVersion、orclWirelessAccountNumber、orclWorkflowNotificationPref、userPKCS12
オブジェクト・クラス
6.2.14 パスワード・ポリシーのスキーマ要素
パスワード・ポリシーの構成に関係する属性およびオブジェクト・クラスについて理解します。
属性
cn、displayName、orclPwdAllowHashCompare、orclPwdAlphaNumeric、orclPwdEncryptionEnable、orclPwdIllegalValues、orclPwdIPLockout、orclPwdIPLockoutDuration、orclPwdIPMaxFailure、orclPwdPolicyEnable、pwdAllowUserChange、pwdCheckSyntax、pwdExpireWarning、pwdFailureCountInterval、pwdGraceLoginLimit、pwdInHistory、pwdLockout、pwdLockoutDuration、pwdMaxAge、pwdMaxFailure、pwdMinAge、pwdMustChange、pwdSafeModify
オブジェクト・クラス