5 Oracle Directory Integration Platformツール

Oracle Directory Integration Platformの管理に使用される様々なコマンドライン・ツールについて学習します。

ノート:

• 最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。

• Oracle Directory Integration Platformコマンドを実行する前に、環境変数WLS_HOMEおよびORACLE_HOMEを設定する必要があります。

• Oracle Directory Integration PlatformがデプロイされるOracle WebLogic Managed Serverは、Oracle Directory Integration PlatformコマンドをSSLモードで実行するため、SSLを構成する必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。

• Oracle Directory Integration Platformのユーティリティの使用

• DIPサーバーの構成管理ユーティリティ

• 同期プロファイルの管理ユーティリティ

• 同期プロファイル・ブートストラップ・ユーティリティ

• Express同期設定ユーティリティ

• プロビジョニング・プロファイル・バルク・ユーティリティ

• Oracle Directory Integration Platformステータス・ユーティリティ

• スキーマ要素同期ユーティリティ

• プロビジョニング・プロファイルの管理ユーティリティ

5.1 Oracle Directory Integration Platformのユーティリティの使用

Oracle Directory Integration Platformのユーティリティの使用方法を理解します。

この項の内容は次のとおりです。

• DIPサーバーの構成管理ユーティリティの実行

• 同期プロファイルの管理ユーティリティの実行

• 同期プロファイル・ブートストラップ・ユーティリティの実行

• Express同期設定ユーティリティの実行

• プロビジョニング・プロファイル・バルク・ユーティリティの実行

• DIPステータス・ユーティリティの実行

• OIDおよびサード・パーティ・ディレクトリ・サーバーに対するスキーマ同期ユーティリティの実行

• 2つのOracle Internet Directoryサーバー間のスキーマの比較

• 2つのOracle Internet Directoryサーバー間のスキーマの同期

• プロビジョニング・プロファイルの管理ユーティリティの実行

5.1.1 DIPサーバーの構成管理ユーティリティの実行

例に従って、manageDIPServerConfigユーティリティを使用してDIPサーバー構成を管理する方法を理解します。

次の例は、manageDIPServerConfigユーティリティ・コマンドの実行方法を示しています。

manageDIPServerConfig get -h myhost.mycompany.com -p 7005 -D weblogic \
   -attr sslmode

manageDIPServerConfig set -h myhost.mycompany.com -p 7005 -D weblogic \
   -attr sslmode -val 2

コマンドの詳細は、「DIPサーバーの構成管理ユーティリティ」を参照してください

5.1.2 同期プロファイルの管理ユーティリティの実行

例に従って、manageSyncProfilesユーティリティの使用方法を理解します。

次に示す例に従って、manageSyncProfilesを使用して様々なアクションを実行します。

manageSyncProfiles register -h myhost.mycompany.com -p 7005 -D weblogic \
  -f /opt/ldap/odip/iPlImport.profile 

manageSyncProfiles deregister -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

manageSyncProfiles updatechgnum -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

manageSyncProfiles activate -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

manageSyncProfiles deactivate -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

manageSyncProfiles get -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

manageSyncProfiles testProfile -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

manageSyncProfiles associateprofile -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile -assopf myProfile1 

 manageSyncProfiles dissociateprofile -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

 manageSyncProfiles getAllAssociatedProfiles -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

 manageSyncProfiles getAssociatedProfile -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile 

 manageSyncProfiles update -h myhost.mycompany.com -p 7005 \
   -D weblogic -pf myProfile -f /opt/ldap/odip/iPlImport.profile 

 manageSyncProfiles validateMapRules -h myhost.mycompany.com -p 7005 \
   -D weblogic -f /opt/ldap/odip/iPlImport.map -conDirHost server.example.com \  
   -conDirPort 8000 -conDirBindDn administrator@idm2003.net -mode IMPORT \
   -conDirType IPLANET 

 manageSyncProfiles isexists -h myhost.mycompany.com -p 7005 -D weblogic \
   -pf myProfile 

 manageSyncProfiles copy -h myhost.mycompany.com -p 7005 -D weblogic \
   -pf myProfile -newpf yourProfile 

manageSyncProfiles list -h myhost.mycompany.com -p 7005 -D weblogic -profileStatus
 

コマンドの詳細は、「同期プロファイルの管理ユーティリティ」を参照してください

5.1.3 同期プロファイル・ブートストラップ・ユーティリティの実行

例に従って、syncProfileBootstrapユーティリティを使用して同期プロファイル・ブートストラップを実行する方法を理解します。

次の例は、syncProfileBootstrapユーティリティの使用方法を示しています。

manageSyncProfileBootstrap -h myhost.mycompany.com -p 7005 -D weblogic \
  -pf myProfile -lp 5

manageSyncProfileBootstrap -h myhost.mycompany.com -p 7005 -D weblogic \
  -f /opt/ldap/odip/bootstrap.properties -lr 3  

コマンドの詳細は、「同期プロファイル・ブートストラップ・ユーティリティ」を参照してください

5.1.4 Express同期設定ユーティリティの実行

例に従って、expressSyncSetupユーティリティの使用方法を理解します。

次の例を使用して、expressSyncSetupユーティリティを、Express同期設定に対する引数とともに使用します。

expressSyncSetup -h myhost.mycompany.com -p 7005 -D weblogic -pf myProfile \ 
  -conDirType ACTIVEDIRECTORY -conDirUrl server.mycompany.com:5432 \
  -conDirBindDN administrator@idm2003.net -conDirContainer ou=sales,dc=us,dc=com \
  -enableProfiles false \

expressSyncSetup -help 

コマンドの詳細は、「Express同期設定ユーティリティ」を参照してください

5.1.5 プロビジョニング・プロファイル・バルク・ユーティリティの実行

例に従って、provProfileBulkProvユーティリティおよびプロビジョニング・プロファイル・バルク・ユーティリティに対する引数を使用します。

次の例は、provProfileBulkProvユーティリティの使用方法を示しています。

provProfileBulkprov -h myhost.mycompany.com -p 7005 -D weblogic \
  -f /opt/ldap/odip/users.ldif -realm cn=aaaa,ou=bbbb,dc=cccc

コマンドの詳細は、「プロビジョニング・プロファイル・バルク・ユーティリティ」を参照してください。

5.1.6 DIPステータス・ユーティリティの実行

例に従って、dipStatusユーティリティを使用してDIPステータスを実行する方法を理解します。

次の例は、dipStatusユーティリティの使用方法を示しています。

dipStatus -h myhost.mycompany.com -p 7005 -D weblogic

dipStatus -help

コマンドの詳細は、「Oracle Directory Integration Platformステータス・ユーティリティ」を参照してください

5.1.7 OIDおよびサード・パーティ・ディレクトリ・サーバーに対するスキーマ同期ユーティリティの実行

Oracle Internet Directoryとサード・パーティ・ディレクトリ・サーバーの間でスキーマを同期する方法を理解します。

次の例を使用して、Oracle Internet Directoryとサード・パーティ・ディレクトリ・サーバーの間でスキーマを同期します。

schemasync -srchost myhost1.mycompany.com -srcport 3060 -srcdn "cn=orcladmin" \
   -dsthost myhost2.mycompany.com -dstport 3060 \
   -dstdn "uid=superuser,ou=people,dc=mycompany,dc=com" -ldap

コマンドの詳細は、「スキーマ要素同期ユーティリティ」を参照してください

5.1.8 2つのOracle Internet Directoryサーバー間のスキーマの比較

schemasyncコマンドライン・ツールを使用して、2つのOracle Internet Directoryサーバー間のスキーマを比較します。

schemasync -srchost myhost1.mycompany.com -srcport 3060 -srcdn "cn=orcladmin" \
   -dsthost myhost2.mycompany.com -dstport 3060 "cn=orcladmin"

5.1.9 2つのOracle Internet Directoryサーバー間のスキーマの同期

schemasyncコマンドライン・ツールを使用して、OIDサーバー・スキーマを別のOIDサーバーに実際に同期します。

schemasync -srchost myhost1.mycompany.com -srcport 3060 -srcdn "cn=orcladmin" \
   -dsthost myhost2.mycompany.com -dstport 3060 "cn=orcladmin" -ldap

5.1.10 プロビジョニング・プロファイルの管理ユーティリティの実行

プロビジョニングする予定のアプリケーションをインストールしたら、プロビジョニング・プロファイルの管理ユーティリティを使用してプロビジョニング統合プロファイルを作成する必要があります。コマンドの詳細は、「プロビジョニング・プロファイルの管理ユーティリティ」を参照してください。

プロビジョニング・プロファイルの管理ユーティリティの用途は、次のとおりです。

• 新しいプロビジョニング・プロファイルの作成。新しいプロビジョニング・プロファイルを作成し、Oracle Directory Integration and Provisioningが処理できるように、有効化状態に設定します。

• 既存のプロビジョニング・プロファイルの変更。

• 既存のプロビジョニング・プロファイルの削除。

• 既存のプロビジョニング・プロファイルの無効化。

• 無効化されたプロビジョニング・プロファイルの有効化。

manageProvProfilesユーティリティを使用したプロビジョニング・プロファイルの管理方法の詳細は、『Oracle Directory Integration Platformの管理』のmanageProvProfilesのタスクと例に関する項を参照してください。

5.2 DIPサーバーの構成管理ユーティリティ

DIPサーバーの構成管理ユーティリティ(manageDIPServerConfig)では、Oracle Directory Integration Platform Serverの構成を管理できます。

5.2.1 manageDIPServerConfig

manageDIPServerConfigユーティリティの構文と使用できる引数について学習します。

構文

manageDIPServerConfigユーティリティの構文は次のとおりです。

manageDIPServerConfig {get | set} -h HOST -p PORT -D wlsuser -attribute {sslmode |
refreshinterval | quartzthreadcount | quartzdbretryinterval | oidhostport |
keystorelocation} [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] 
[-value ATTRIBUTE_VALUE] [-help]

引数

manageDIPServerConfigユーティリティでは、次の引数を使用できます。

get | set

実行する操作。

• get: DIP構成ファイルに含まれるconfigパラメータの現在の値を表示します。

• set: DIP構成ファイルに含まれるconfigパラメータの値を更新します。

-h | -host

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト

-p | -port

Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。

-D | -wlsuser

WebLogic ServerのログインID。

ノート:

Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからmanageDIPServerConfigを実行する必要がある場合、Oracle WebLogic Serverのログイン・パスワードを含むファイルから、入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。

-attr | -attribute

manageDIPServerConfigが操作を実行する属性を指定します。次に、manageDIPServerConfigが操作を実行できる属性のリストとその説明を示します。

• sslmode: Oracle Directory Integration PlatformがOracle Internet Directoryへの接続に使用するSSLモード。サポートされている値は1および2です。1は、SSLモード1(認証なし)を使用してOracle Internet Directoryに接続する場合に使用します。2は、SSLモード2(サーバー認証のみ)を使用してOracle Internet Directoryに接続する場合に使用します。

• refreshinterval: Oracle Directory Integration Platformサーバーがプロファイル構成の詳細をリフレッシュする頻度を制御する時間間隔(秒)。

• quartzthreadcount: 同時にスケジュールできるプロファイルの数を制御します。デフォルト値は15です。15を超えるプロファイルがある場合は、それに応じてquartzthreadcount属性を増やします。

• quartzdbretryinterval: Oracle Directory Integration Platformのクォーツ・スケジューラがOracle Internet Directoryデータベースへの再接続を試行する頻度を制御します。

• oidhostport: Oracle Directory Integration Platformに関連付けられているOracle Internet Directoryのホストとポートを指定します。oidhostport属性の値は、host:portの形式で指定します。

• keystorelocation: Oracle Directory Integration Platformがデプロイされているホストに基づいて、Javaキーストア(JKS)の絶対パスを指定します。keystorelocation属性の値を指定するときは、適切なパス・セパレータを使用してください(UNIXおよびLinuxプラットフォームの場合は/、Windowsプラットフォームの場合は\)。

-ssl

SSLモードでコマンドを実行します。

ノート:

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。

-keystorePath

キーストアへのフルパス。

-keystoreType

-keystorePathで識別されるキーストアのタイプ。たとえば、-keystorePath jksまたは-keystorePath PKCS12などです。

-val | -value

属性に対して設定される値。このパラメータはset操作に必要です。

-help

コマンドの使用方法のヘルプを提供します。

5.3 同期プロファイルの管理ユーティリティ

同期プロファイルの管理ユーティリティ(manageSyncProfiles)を使用して、同期プロファイルを管理できます。

5.3.1 manageSyncProfiles

manageSyncProfilesの構文と使用できる引数について学習します。

構文

manageSyncProfilesを使用するための構文は、次のとおりです。

manageSyncProfiles {activate | deactivate | copy | deregister | get | isexists |
update | testProfile | validateProfile | validateMapRules | register | 
updatechgnum | associateProfile | dissociateProfile | getAllAssociatedProfiles |
getAssociatedProfile | list } -h HOST -p PORT -D wlsuser [-ssl -keystorePath 
PATH_TO_KEYSTORE -keystoreType TYPE] [-profile] [-newProfile]
[-associateProfile][-file] [-params 'prop1 val1 prop2 val2 ...']
[-conDirHost] [-conDirPort] [-conDirBindDn] [-mode] [-conDirType] [-conDirSSL] 
[-profileStatus] [-help]

引数

manageSyncProfilesユーティリティでは、次の引数を使用できます。

操作

activate

プロファイルの状態を有効(ENABLE)に変更します。

deactivate

プロファイルの状態を無効(DISABLE)に変更します。

copy

既存のプロファイルをプロファイルnewProfileにコピーします

deregister

OIDから既存のプロファイルを削除します。

get

OIDからプロファイルの詳細を取得します。

isexists

プロファイルprofileがOIDに存在しているかどうかを確認します。

update

OIDの既存のプロファイルprofileを変更します。

testProfile

無効化されたプロファイルprofileの状態をTESTに変更して、プロファイルのテストをスケジュールし、プロファイルによって同期が正常に実行されることを確認します。testProfile操作を指定したmanageSyncProfilesコマンドの実行後は、テスト結果を次のログ・ファイルで参照できます。ここで、DOMAIN_HOMEはOracle WebLogic Serverドメイン・ホームを表し、ORACLE_WEBLOGIC_MANAGED_SERVER_NAMEはOracle Directory Integration and Provisioningがデプロイされる管理対象サーバーの名前を表します。

$DOMAIN_HOME/servers/ORACLE_WEBLOGIC_MANAGED_SERVER_NAME/logs/ORACLE_WEBLOGIC_MANAGED_SERVER_NAME.log

ノート:

testProfile操作は、ENABLE状態のプロファイルのテストをスケジュールすることはできません。

validateProfile

指定されたプロファイルの値の構文が正確かどうか検証します。

validateMapRules

指定されたマップ・ルールを検証します。

register

OIDに新規プロファイルを作成します。

updatechgnum

プロファイル内で前回適用された変更番号を最新の番号に更新します。

associateProfile

associateProfileNameをprofileNameと関連付けて、情報の逆流を防ぎます。

dissociateProfile

profileNameに対するプロファイルの関連付けを解除します。

getAllAssociatedProfiles

プロファイルprofileNameが関連付けられているすべてのプロファイルを一覧表示します。

getAssociatedProfile

プロファイルprofileNameに関連付けられているプロファイル名を表示します。

list

OIDに登録されているすべてのプロファイルを表示します。

オプション

-h | host

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。

-p | -port

Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。

-D | wlsuser

Oracle WebLogic ServerのログインID

ノート:

Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからコマンドを実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。manageSyncProfilesに複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。

-ssl

SSLモードでコマンドを実行します。

ノート:

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。

-keystorePath

キーストアへのフルパス。

-keystoreType

-keystorePathで識別されるキーストアのタイプ。たとえば、-keystorePath jksまたは-keystorePath PKCS12などです。

-pf | -profile

操作の実行時に使用する同期プロファイルの名前。

-newpf | -newProfile

profileのコピーとなる新規プロファイルの名前。

-assopf

profileと関連付けられるプロファイルの名前。

-f | -file

プロパティが含まれているプロファイル・プロパティ・ファイルのフルパスおよびファイル名。このようなファイルの例は、『Oracle Directory Integration Platformの管理』の同期プロファイルのプロパティ・ファイルの例に関する付録を参照してください。

-params

prop1 val1 prop2 val2 ... (propはプロファイル・プロパティの名前、valはそのプロパティの新規の値)の形式で値を指定します。このキーワードは、プロファイルの変更のみに使用されます。キー値は必要な数だけ指定できます。

-conDirHost

接続ディレクトリ・サーバーが稼働しているホスト。

-conDirPort

接続ディレクトリ・サーバーがリスニングするポート。

-conDirBindDn

接続ディレクトリ・サーバーのバインドDN。

例:

• Active Directory

  administrator@idm2003.net
  

• Sun ONEまたはiPlanet

  cn=Directory Manager
  

• Oracle Internet Directory

  cn=orcladmin
  

ノート:

接続ディレクトリのバインドDNパスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからmanageSyncProfilesを実行する必要がある場合は、接続ディレクトリのバインドDNパスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。manageSyncProfilesに複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。

-mode

使用する同期モード・マッピング・ルール(importまたは export)。

-conDirType

接続ディレクトリのタイプ。サポートされている値は、ActiveDirectory、EDirectory、iPlanet、OpenLDAP、ADAM、Tivoli、ExchangeServer2003およびOIDです。

-conDirSSL

接続ディレクトリ・サーバーへの接続に使用するSSLモードの値。

-prfSt | -profileStatus

プロファイルのステータスを表示します。list操作と組み合せてのみ使用します。

-help

コマンドの使用方法のヘルプを提供します。

5.4 同期プロファイル・ブートストラップ・ユーティリティ

同期プロファイル・ブートストラップ・ユーティリティ(syncProfileBootstrap)は、接続ディレクトリとOracle Internet Directory間で同期プロファイルのデータの初期移行を実行します。

5.4.1 syncProfileBootstrap

syncProfileBootstrapユーティリティの構文および様々な引数について理解します。各引数は、接続ディレクトリとOracle Internet Directoryの間で初期移行を実行するためのオプションを提供します。

構文

syncProfileBootstrapを使用するための構文は、次のとおりです。

syncProfileBootstrap -h HOST -p PORT -D wlsuser {-file FILENAME |-profile
-PROFILE_NAME} [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE]
[-loadParallelism INTEGER] [-loadRetry INTEGER][-help]

引数

syncProfileBootstrapユーティリティでは、次の引数を使用できます。

-h | -host

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。

-p | -port

Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。

-D | wlsuser

Oracle WebLogic ServerのログインID

ノート:

Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからsyncProfileBootstrapを実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。

-f | -file

ブートストラップのプロパティ・ファイル。

-pf | -profile

操作の実行時に使用する同期プロファイルの名前。

-ssl

SSLモードでコマンドを実行します。

ノート:

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。

-keystorePath

キーストアへのフルパス。

-keystoreType

-keystorePathで識別されるキーストアのタイプ。たとえば、-keystorePath jksまたは-keystorePath PKCS12などです。

-lp | -loadParallelism

Oracle Internet Directoryへのロードが、複数のスレッドを使用してパラレルで実行されることを示します。たとえば、-loadparallelism 5は、5つのスレッドが作成され、各スレッドでOracle Internet Directoryへのエントリのロードがパラレルで実行されることを意味します。

-lr | -loadRetry

宛先へのロードに失敗した場合に、そのエントリを不正なエントリとしてマークするまでに実行する再試行の回数。

-help

コマンドの使用方法のヘルプを提供します。

5.5 Express同期設定ユーティリティ

Express同期設定ユーティリティ(expressSyncSetup)を使用して、インポートおよびエクスポート同期プロファイルを作成する方法を理解します。

5.5.1 expressSyncSetup

expressSyncSetupユーティリティの構文および様々な引数について理解します。

構文

expressSyncSetupを使用するための構文は、次のとおりです。

expressSyncSetup -h HOST -p PORT -D wlsuser -pf PROFILE 
-conDirType CONNECTED_DIRECTORY_TYPE -conDirURL CONNECTED_DIRECTORY_URL
-conDirBindDN CONNECTED_DIRECTORY_BIND_DN -conDircontainer SYNC_CONTAINER 
[-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-enableProfiles {true |
false}] [-help]

引数

expressSyncSetupユーティリティでは、次の引数を使用できます。

-h | -host

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。

-p | -port

Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。

-D | wlsuser

Oracle WebLogic ServerのログインID

ノート:

Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからexpressSyncSetupを実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。expressSyncSetupに複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。

-pf | -profile

プロファイル名。

-conDirType

接続ディレクトリのタイプ。サポートされている値は、ActiveDirectory、EDirectory、iPlanet、OpenLDAP、ADAM、Tivoli、ExchangeServer2003およびOIDです。

-conDirUrl

接続ディレクトリが稼働しているURL。host:portという形式です。

-conDirBindDN

接続ディレクトリ・サーバーのバインドDN。次に例を示します。

administrator@idm2003.net

cn=orcladmin、cn=Directory Manager

ノート:

接続ディレクトリのバインドDNパスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからexpressSyncSetupを実行する必要がある場合は、接続ディレクトリのバインドDNパスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。expressSyncSetupに複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。

-conDirContainer

同期コンテナ。次に例を示します。

ou=sales,dc=us,dc=com

OU=Groups,DC=imtest,DC=com

CN=Users,DC=imtest,DC=com

-ssl

SSLモードでコマンドを実行します。

ノート:

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。

-keystorePath

キーストアへのフルパス。

-keystoreType

-keystorePathで識別されるキーストアのタイプ。たとえば、-keystorePath jksまたは-keystorePath PKCS12などです。

-enableProfiles

作成されたプロファイルを有効にするにはtrueを指定します。無効にする場合はfalseを指定します。

-help

コマンドの使用方法のヘルプを提供します。

5.6 プロビジョニング・プロファイル・バルク・ユーティリティ

プロビジョニング・プロファイル・バルク・ユーティリティ(provProfileBulkProv)は、プロビジョニング・プロファイルのデータのLDIFファイルからOracle Internet Directoryへの初期移行を実行します。

5.6.1 provProfileBulkProv

provProfileBulkProvユーティリティの構文および様々な引数について理解します。

構文

provProfileBulkProvを使用するための構文は、次のとおりです。

provProfileBulkProv -h HOST -p PORT -D wlsuser -file LDIF_FILE -realm REALM_DN
[-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE]
[-encoding INPUT_ENCODING] [-help]

引数

provProfileBulkProvユーティリティでは、次の引数を使用できます。

-h | -host

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。

-p | -port

Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。

-D | -wlsuser

Oracle WebLogic ServerのログインID

ノート:

Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからprovProfileBulkProvを実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。

-f | -file

移行されるデータを含むLDIFファイル。

-realm

ユーザーがプロビジョニングされるレルム。

-ssl

SSLモードでコマンドを実行します。

ノート:

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。

-keystorePath

キーストアへのフルパス。

-keystoreType

-keystorePathで識別されるキーストアのタイプ。たとえば、-keystorePath jksまたは-keystorePath PKCS12などです。

-encoding

入力ファイルのエンコーディング。

-help

コマンドの使用方法のヘルプを提供します。

5.7 Oracle Directory Integration Platformステータス・ユーティリティ

dipStatusユーティリティを使用すると、Oracle Directory Integration Platformのステータスと、それが登録されているかどうかを確認できます。

5.7.1 dipStatus

dipStatusユーティリティの構文および様々な引数について理解します。

構文

dipStatusを使用するための構文は、次のとおりです。

dipStatus -h HOST -p PORT -D wlsuser [-ssl -keystorePath PATH_TO_KEYSTORE
-keystoreType TYPE] [-help]

引数

dipStatusユーティリティでは、次の引数を使用できます。

-h | -host

Oracle Directory Integration Platformがデプロイされている管理対象サーバーが稼働しているWebLogic Serverのホスト名。

-p | -port

Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。

-D | -wlsuser

WebLogic ServerのログインID。

ノート:

WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。

最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからdipStatusを実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。

-ssl

SSLモードでコマンドを実行します。

ノート:

Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。

-keystorePath

キーストアへのフルパス。

-keystoreType

-keystorePathで識別されるキーストアのタイプ。たとえば、-keystorePath jksまたは-keystorePath PKCS12などです。

-help

コマンドの使用方法のヘルプを提供します。

5.8 スキーマ要素同期ユーティリティ

schemasyncユーティリティでは、Oracle Internet Directoryサーバーとサード・パーティのLDAPディレクトリ間でスキーマ要素(属性とオブジェクトクラス)の同期をとることができます。

5.8.1 schemasync

schemasyncユーティリティの構文、様々な引数およびコマンドライン・ツールについて理解します。

構文

schemasyncを使用するための構文は、次のとおりです。

schemasync -srchost hostname -srcport port -srcdn bindDN -srcpwd password  -dsthost hostname -dstport port -dstdn bindDN -dstpwd password [-ldap]

引数

schemasyncユーティリティでは、次の引数を使用できます。

-srchost hostname

必須。ソース・ディレクトリ・サーバーのホスト名。

-srcport port

必須。ソース・ディレクトリ・サーバーのLDAPリスニング・ポート(3060など)。

-srcdn bindDN

必須。ソース・ディレクトリへのバインドに使用されるユーザーのDN。このユーザーには、スーパーユーザー(cn=orcladmin)のように、ディレクトリ・スキーマの変更権限が付与されている必要があります。

-srcpwd password

オプション。ソース・ディレクトリへのバインドに使用するユーザー・パスワード。コマンドラインでパスワードを指定しない場合は、入力するように求められます。入力を求められたときにパスワードを入力するのがセキュリティのベスト・プラクティスです。

-dsthost hostname

必須。宛先ディレクトリ・サーバーのホスト名。

-dstport port

必須。宛先ディレクトリ・サーバーのLDAPリスニング・ポート(3060など)。

-dstdn bindDN

オプション。宛先ディレクトリへのバインドに使用されるユーザーのDN。このユーザーには、スーパーユーザーのように、ディレクトリ・スキーマの変更権限が付与されている必要があります。

-dstpwd password

必須。宛先ディレクトリへのバインドに使用されるユーザー・パスワード。コマンドラインでパスワードを指定しない場合は、入力するように求められます。入力を求められたときにパスワードを入力するのがセキュリティのベスト・プラクティスです。

-ldap

オプション。指定した場合は、スキーマの変更がソースLDAPディレクトリから宛先LDAPディレクトリに直接適用されます。指定しない場合は、スキーマの変更が次のLDIFファイルに配置されます。

• ORACLE_HOME/ldap/odi/data/attributetypes.ldif: このファイルは、新しい属性の定義を持ちます。

• ORACLE_HOME/ldap/odi/data/objectclasses.ldif: このファイルは、新しいオブジェクト・クラス定義を持ちます。

-ldapを指定しない場合は、ldapmodifyを使用して、属性のタイプ、オブジェクト・クラスの順に、これらの2つのファイルから定義をアップロードする必要があります。

関連コマンドライン・ツール

schemasyncのコマンドライン・ツールの詳細は、「ldapmodify」を参照してください

5.9 プロビジョニング・プロファイルの管理ユーティリティ

プロビジョニング機能を使用すると、ディレクトリの変更(ユーザーまたはグループ情報の変更など)をアプリケーションに確実に通知できます。このような変更は、アプリケーションでプロセスやリソースに対するユーザー・アクセスを許可するかどうかに影響を及ぼすことがあります。

5.9.1 manageProvProfiles

manageProvProfilesコマンドを使用して、プロビジョニング・プロファイルを管理します。

プロビジョニング対象のアプリケーションをインストールする場合、ORACLE_HOME/binディレクトリにあるmanageProvProfilesコマンドを使用して、プロビジョニング統合プロファイルを作成する必要があります。

manageProvProfilesユーティリティは、ツールのコール元から、プロビジョニング・プロファイル・エントリの場所とスキーマ詳細を保護します。コール元から見ると、アプリケーションとレルムの組合せにより、プロビジョニング・プロファイルが一意に特定されます。システムには、各アプリケーションのレルムごとに存在できるプロビジョニング・プロファイルは1つのみであるという制約があります。

プロファイルを一度作成したら、modify操作を使用してそのモード(INBOUND、OUTBOUNDまたはBOTH)を変更することはできません。モードを変更するには、プロファイルを削除して再作成する必要があります。

Oracle Directory Integration Platform Serverにより、Oracle Unified DirectoryまたはOracle Internet Directoryでのプロビジョニング・プロファイル構成の変更(プロビジョニング・プロファイルの作成、変更、削除など)は自動的にモニターされます。このため、プロビジョニング・プロファイルを手動で有効または無効にする必要はありません。

ノート:

セキュリティを向上させるため、要求されないかぎり、manageProvProfilesコマンドでパスワードを入力しないでください。

構文

manageProvProfilesを使用するための構文は、次のとおりです。

manageProvProfiles operation=[create|modify] ldap_host=backend_hostname ldap_port=port 
ldap_user_dn="bindDN"
[profile_mode=INBOUND|OUTBOUND|BOTH]
application_dn="DN" application_type=type [application_name=name] 
[application_display_name=display name] organization_dn=DN 
[application_isdasvisible=TRUE|FALSE] [manage_application_defaults=TRUE|FALSE] 
[enable_bootstrap=TRUE|FALSE] [user_data_location=DN] 
[default_provisioning_policy=PROVISIONING_REQUIRED|PROVISIONING_NOT_REQUIRED] 
interface_name=SCHEMA.PACKAGE [interface_type=PLSQL|JAVA] 
interface_version=1.1|2.0|3.0] 
schedule=number_seconds lastchangenumber=number 
max_prov_failure_limit=number  
max_events_per_schedule=number max_events_per_invocation=number 
event_mapping_rules="OBJECT_TYPE:FILTER:DOMAIN" 
event_permitted_operations="OBJECT:DOMAIN:OPERATION(attributes,...)" 
event_subscription="USER|GROUP:DOMAIN:OPERATION(attributes,...)" 
max_events_per_schedule=number max_retries=number profile_group=number
profile_status=ENABLED | DISABLED profile_debug=debug_level 

manageProvProfiles {operation=enable|disable|delete|status|reset} 
application_dn=DN [organization_dn=DN] [ldap_host=backend_hostname] [ldap_port=port]
[ldap_user_dn=bindDN] [profile_debug=debug_level]

引数

manageProvProfilesユーティリティでは、次の引数を使用できます。

operation=create | modify | enable | disable | delete | status | reset

これは、manageProvProfilesを使用して実行する操作に必要です。一度に1つの操作のみ実行できます。操作は次のとおりです。

• create - 新しいプロビジョニング・プロファイルを作成します。

• modify - 既存のプロビジョニング・プロファイルの指定されたプロパティを変更します。

• enable - プロビジョニング・プロファイルを有効化します。

• disable - プロビジョニング・プロファイルを無効化します。

• delete - プロビジョニング・プロファイルを削除します。

• status - 指定されたプロビジョニング・プロファイルの現在のステータスを表示します。

• reset - プロビジョニング・プロファイルのすべてのエラーをクリアします。

ldap_host=backend_hostname

オプション。Oracle Unified DirectoryまたはOracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。

ldap_port=port

オプション。バックエンド・ディレクトリのLDAPリスニング・ポート。Oracle Unified DirectoryまたはOracle Internet Directoryのデフォルト・ポートは、389です。

ldap_user_dn=bindDN

必須。スーパーユーザーまたはプロビジョニング・サブスクリプション操作の実行に十分な権限を持つユーザーのDN。デフォルトはcn=orcladminです。Oracle Unified Directoryのデフォルト値は"cn=directory manager"で、Oracle Internet Directoryのデフォルト値は"cn=orcladmin"です。

profile_mode=OUTBOUND | INBOUND | BOTH

create操作でのみオプション。プロビジョニング・イベントの方向。デフォルトはOUTBOUNDです(データはOracle Unified DirectoryまたはOracle Internet Directoryからアプリケーションへとプロビジョニングされます)。

application_dn=DN

必須。プロビジョニング・サブスクリプションが属するアプリケーションの識別名。アプリケーションDNと組織DNの組合せにより、プロビジョニング・プロファイルが一意に識別されます。たとえば、ポータルのアプリケーションDNは次のように指定します。

"orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext"

application_type=type

必須。プロビジョニングするアプリケーションのタイプ。

application_name=name

オプション。プロビジョニングするアプリケーションの名前。指定しない場合、application_dnに割り当てた識別名がデフォルトになります。

application_display_name=name

オプション。プロビジョニングするアプリケーションの表示名。指定しない場合、application_nameに割り当てた値がデフォルトになります。

organization_dn=DN

オプション。指定しない場合、デフォルト・アイデンティティ管理レルムがデフォルトになります。プロビジョニング・サブスクリプションが属する組織の識別名です(dc=company,dc=comなど)。アプリケーションDNと組織DNの組合せにより、プロビジョニング・プロファイルが一意に識別されます。

application_isdasvisible=TRUE | FALSE

オプション。アプリケーションをOracle Internet Directoryにプロビジョニング統合アプリケーションとして表示するかどうかを決定します。デフォルト値はTRUEです。

ノート:

この引数は、Oracle Delegated Administration Services 10gリリース(10.1.4.x)向けです。

manage_application_default=TRUE | FALSE

オプション。Oracle Internet Directoryでアプリケーションのデフォルト値を管理するかどうかを決定します。デフォルト値はTRUEです。

ノート:

この引数は、Oracle Delegated Administration Services 10gリリース(10.1.4.x)向けです。

enable_bootstrap=TRUE | FALSE

オプション。アプリケーションのプロビジョニング統合プロファイルを作成する前にOracle Internet Directoryに存在していたユーザーのプロビジョニング・イベントをアプリケーションが受信する必要があるかどうかを示します。デフォルト値は、FALSEです。

user_data_location=DN

オプション。アプリケーション固有のユーザー情報を格納するコンテナのDNを指定します。

default_provisioning_policy=PROVISIONING_REQUIRED | PROVISIONING_NOT_REQUIRED

オプション。アプリケーションのデフォルト・プロビジョニング・ポリシーを指定します。デフォルト値はPROVISIONING_REQUIREDです。

interface_name=SCHEMA.PACKAGE

createまたはmodify操作の場合は必須。PLSQLパッケージのデータベース・スキーマ名。値の書式は(schema.package_name)で、たとえば、ポータルのスキーマおよびPLSQLパッケージの情報は次のように指定します。

interface_name=PORTAL.WWSEC_OID_SYNC

interface_version=1.1 | 2.0 | 3.0

インタフェース・プロトコルのバージョン。許可されている値は1.1、2.0または3.0です。デフォルト値は2.0です。

Oracle Internet Directoryでは、バージョン1.1、2.0または3.0がサポートされます。

Oracle Unified Directoryでは、バージョン2.0および3.0がサポートされます。

interface_type=PLSQL | JAVA

オプション。イベントの伝播先となるインタフェースのタイプ。デフォルトはPLSQLです。

ノート:

JAVAタイプでは、インタフェース・プロトコル・バージョン3.0のみがサポートされます。

schedule=number_seconds

createおよびmodify操作でのみオプション。このプロファイルの実行間隔を示す秒数。デフォルトは3600であり、プロファイルは1時間ごとに実行されます。

lastchangenumber=number

OUTBOUNDイベントのcreateおよびmodify操作でのみオプション。Oracle Internet Directoryの最終変更番号であり、この番号より後の適切なすべてのイベントがアプリケーションにプロビジョニングされます。デフォルトは、最新の現行変更番号です。

max_prov_failure_limit=number

オプション。Oracleプロビジョニング・システムがユーザーのプロビジョニングを試行する回数を決定します。デフォルトは1です。

max_events_per_schedule=number

createおよびmodify操作でのみオプション。プロビジョニング・プロファイルの1回の実行でOracle Directory Integration Platform Serverからアプリケーションに送信するイベントの最大数。デフォルトは100です。

max_events_per_invocation=number

createおよびmodify操作でのみオプション。インタフェースの1回の起動でパッケージ化してターゲットに送信するイベントの最大数。

event_mapping_rules="OBJECT_TYPE:FILTER:DOMAIN"

INBOUNDイベントのcreateおよびmodify操作でのみ必須。このルールは、アプリケーションから(オプションのフィルタ条件を使用して)受け取ったオブジェクト・タイプをOracle Internet Directoryのドメインにマップします。プロビジョニング・プロファイルには、複数のマッピング・ルールを定義できます。

次の例は、2つのマッピング・ルールを示しています。1番目のルールでは、地域属性がアメリカに等しい(l=AMERICA)従業員オブジェクト(EMP)が、ドメインl=AMER,cn=users,dc=company,dc=comにマップされます。2番目のルールでは、フィルタ条件なしで、従業員オブジェクト(EMP)がドメインcn=users,dc=company,dc=comにマップされます。

event_mapping_rules="EMP:l=AMERICA:l=AMER,cn=users,dc=company,dc=com"
event_mapping_rules="EMP::cn=users,dc=company,dc=com"

event_permitted_operations="OBJECT:DOMAIN:OPERATION(attributes,...)

INBOUNDイベントのcreateおよびmodify操作でのみ必須。このプロパティを使用して、Oracle Directory Integration and Provisioningサービスへの送信をアプリケーションに許可するイベントのタイプを定義します。1つのプロビジョニング・プロファイルに複数の許可操作を定義できます。

たとえば、ユーザー・オブジェクトが追加または削除されたときや特定の属性が変更されたときに、アプリケーションがイベントを送信するのを許可する場合、次の3つの操作が許可されていることになります。

event_permitted_operations="USER:dc=mycompany,dc=com:ADD(*)"
event_permitted_operations="USER:dc=mycompany,dc=com:MODIFY(cn,sn,mail,password)"
event_permitted_operations="USER:dc=mycompany,dc=com:DELETE(*)"

event_subscription="USER | GROUP:DOMAIN:OPERATION(attributes,...)"

OUTBOUNDイベントのcreateおよびmodify操作でのみ必須。このプロパティを使用して、Oracle Directory Integration and Provisioningサービスからアプリケーションに送信するイベントのタイプを定義します。1つのプロビジョニング・プロファイルに複数のイベント・サブスクリプションを定義できます。

たとえば、ユーザーまたはグループ・オブジェクトが追加または削除されたときに、常にディレクトリ統合サーバーからアプリケーションにイベントを送信する場合、次の4つのイベント・サブスクリプションがあることになります。

event_subscription="GROUP:dc=mycompany,dc=com:ADD(*)"
event_subscription="GROUP:dc=mycompany,dc=com:DELETE(*)"
event_subscription="USER:dc=mycompany,dc=com:ADD(*)"
event_subscription="USER:dc=mycompany,dc=com:DELETE(*)" 

max_retries=number

createおよびmodify操作でのみオプション。失敗したイベントを再試行する回数。デフォルトは5です。

profile_group=number

createおよびmodify操作でのみ必須。プロファイルのグループ番号。デフォルトはDEFAULTです。この引数は、異なるOracle Directory Integration Platform Serverインスタンスを使用して様々な選択グループを実行する場合に発生するスケーラビリティの問題に対処するために必要です。

profile_status=ENABLED | DISABLED

create操作でのみ必須。プロファイルの有効化または無効化を指定します。デフォルトはENABLEDです。

profile_debug=debug_level

必須。プロファイルのデバッグ・レベル。

ノート:

セキュリティ上の理由により、ldap_user_password引数とinterface_connect_info引数は、コマンド行では受け入れられなくなりました。