5 Oracle Directory Integration Platformツール
ノート:
-
最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。
-
Oracle Directory Integration Platformコマンドを実行する前に、環境変数
WLS_HOME
およびORACLE_HOME
を設定する必要があります。 -
Oracle Directory Integration PlatformがデプロイされるOracle WebLogic Managed Serverは、Oracle Directory Integration PlatformコマンドをSSLモードで実行するため、SSLを構成する必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。
5.1 Oracle Directory Integration Platformのユーティリティの使用
Oracle Directory Integration Platformのユーティリティの使用方法を理解します。
この項の内容は次のとおりです。
5.1.1 DIPサーバーの構成管理ユーティリティの実行
例に従って、manageDIPServerConfig
ユーティリティを使用してDIPサーバー構成を管理する方法を理解します。
次の例は、manageDIPServerConfigユーティリティ・コマンドの実行方法を示しています。
manageDIPServerConfig get -h myhost.mycompany.com -p 7005 -D weblogic \ -attr sslmode
manageDIPServerConfig set -h myhost.mycompany.com -p 7005 -D weblogic \ -attr sslmode -val 2
コマンドの詳細は、「DIPサーバーの構成管理ユーティリティ」を参照してください
5.1.2 同期プロファイルの管理ユーティリティの実行
例に従って、manageSyncProfiles
ユーティリティの使用方法を理解します。
次に示す例に従って、manageSyncProfiles
を使用して様々なアクションを実行します。
manageSyncProfiles register -h myhost.mycompany.com -p 7005 -D weblogic \ -f /opt/ldap/odip/iPlImport.profile
manageSyncProfiles deregister -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles updatechgnum -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles activate -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles deactivate -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles get -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles testProfile -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles associateprofile -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile -assopf myProfile1
manageSyncProfiles dissociateprofile -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles getAllAssociatedProfiles -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles getAssociatedProfile -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles update -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile -f /opt/ldap/odip/iPlImport.profile
manageSyncProfiles validateMapRules -h myhost.mycompany.com -p 7005 \ -D weblogic -f /opt/ldap/odip/iPlImport.map -conDirHost server.example.com \ -conDirPort 8000 -conDirBindDn administrator@idm2003.net -mode IMPORT \ -conDirType IPLANET
manageSyncProfiles isexists -h myhost.mycompany.com -p 7005 -D weblogic \ -pf myProfile
manageSyncProfiles copy -h myhost.mycompany.com -p 7005 -D weblogic \ -pf myProfile -newpf yourProfile
manageSyncProfiles list -h myhost.mycompany.com -p 7005 -D weblogic -profileStatus
コマンドの詳細は、「同期プロファイルの管理ユーティリティ」を参照してください
5.1.3 同期プロファイル・ブートストラップ・ユーティリティの実行
例に従って、syncProfileBootstrap
ユーティリティを使用して同期プロファイル・ブートストラップを実行する方法を理解します。
次の例は、syncProfileBootstrapユーティリティの使用方法を示しています。
manageSyncProfileBootstrap -h myhost.mycompany.com -p 7005 -D weblogic \ -pf myProfile -lp 5
manageSyncProfileBootstrap -h myhost.mycompany.com -p 7005 -D weblogic \ -f /opt/ldap/odip/bootstrap.properties -lr 3
コマンドの詳細は、「同期プロファイル・ブートストラップ・ユーティリティ」を参照してください
5.1.4 Express同期設定ユーティリティの実行
例に従って、expressSyncSetup
ユーティリティの使用方法を理解します。
次の例を使用して、expressSyncSetup
ユーティリティを、Express同期設定に対する引数とともに使用します。
expressSyncSetup -h myhost.mycompany.com -p 7005 -D weblogic -pf myProfile \ -conDirType ACTIVEDIRECTORY -conDirUrl server.mycompany.com:5432 \ -conDirBindDN administrator@idm2003.net -conDirContainer ou=sales,dc=us,dc=com \ -enableProfiles false \
expressSyncSetup -help
コマンドの詳細は、「Express同期設定ユーティリティ」を参照してください
5.1.5 プロビジョニング・プロファイル・バルク・ユーティリティの実行
例に従って、provProfileBulkProv
ユーティリティおよびプロビジョニング・プロファイル・バルク・ユーティリティに対する引数を使用します。
次の例は、provProfileBulkProvユーティリティの使用方法を示しています。
provProfileBulkprov -h myhost.mycompany.com -p 7005 -D weblogic \ -f /opt/ldap/odip/users.ldif -realm cn=aaaa,ou=bbbb,dc=cccc
コマンドの詳細は、「プロビジョニング・プロファイル・バルク・ユーティリティ」を参照してください。
5.1.6 DIPステータス・ユーティリティの実行
例に従って、dipStatus
ユーティリティを使用してDIPステータスを実行する方法を理解します。
次の例は、dipStatusユーティリティの使用方法を示しています。
dipStatus -h myhost.mycompany.com -p 7005 -D weblogic
dipStatus -help
コマンドの詳細は、「Oracle Directory Integration Platformステータス・ユーティリティ」を参照してください
5.1.7 OIDおよびサード・パーティ・ディレクトリ・サーバーに対するスキーマ同期ユーティリティの実行
Oracle Internet Directoryとサード・パーティ・ディレクトリ・サーバーの間でスキーマを同期する方法を理解します。
次の例を使用して、Oracle Internet Directoryとサード・パーティ・ディレクトリ・サーバーの間でスキーマを同期します。
schemasync -srchost myhost1.mycompany.com -srcport 3060 -srcdn "cn=orcladmin" \ -dsthost myhost2.mycompany.com -dstport 3060 \ -dstdn "uid=superuser,ou=people,dc=mycompany,dc=com" -ldap
コマンドの詳細は、「スキーマ要素同期ユーティリティ」を参照してください
5.1.8 2つのOracle Internet Directoryサーバー間のスキーマの比較
schemasync
コマンドライン・ツールを使用して、2つのOracle Internet Directoryサーバー間のスキーマを比較します。
schemasync -srchost myhost1.mycompany.com -srcport 3060 -srcdn "cn=orcladmin" \
-dsthost myhost2.mycompany.com -dstport 3060 "cn=orcladmin"
5.1.9 2つのOracle Internet Directoryサーバー間のスキーマの同期
schemasync
コマンドライン・ツールを使用して、OIDサーバー・スキーマを別のOIDサーバーに実際に同期します。
schemasync -srchost myhost1.mycompany.com -srcport 3060 -srcdn "cn=orcladmin" \
-dsthost myhost2.mycompany.com -dstport 3060 "cn=orcladmin" -ldap
5.1.10 プロビジョニング・プロファイルの管理ユーティリティの実行
-
新しいプロビジョニング・プロファイルの作成。新しいプロビジョニング・プロファイルを作成し、Oracle Directory Integration and Provisioningが処理できるように、有効化状態に設定します。
-
既存のプロビジョニング・プロファイルの変更。
-
既存のプロビジョニング・プロファイルの削除。
-
既存のプロビジョニング・プロファイルの無効化。
-
無効化されたプロビジョニング・プロファイルの有効化。
manageProvProfiles
ユーティリティを使用したプロビジョニング・プロファイルの管理方法の詳細は、『Oracle Directory Integration Platformの管理』のmanageProvProfilesのタスクと例に関する項を参照してください。
5.2 DIPサーバーの構成管理ユーティリティ
DIPサーバーの構成管理ユーティリティ(manageDIPServerConfig
)では、Oracle Directory Integration Platform Serverの構成を管理できます。
5.2.1 manageDIPServerConfig
manageDIPServerConfigユーティリティの構文と使用できる引数について学習します。
構文
manageDIPServerConfigユーティリティの構文は次のとおりです。
manageDIPServerConfig {get | set} -h HOST -p PORT -D wlsuser -attribute {sslmode | refreshinterval | quartzthreadcount | quartzdbretryinterval | oidhostport | keystorelocation} [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-value ATTRIBUTE_VALUE] [-help]
引数
manageDIPServerConfigユーティリティでは、次の引数を使用できます。
get | set
実行する操作。
-
get: DIP構成ファイルに含まれるconfigパラメータの現在の値を表示します。
-
set: DIP構成ファイルに含まれるconfigパラメータの値を更新します。
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | -wlsuser
WebLogic ServerのログインID。
ノート:
Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからmanageDIPServerConfig
を実行する必要がある場合、Oracle WebLogic Serverのログイン・パスワードを含むファイルから、入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。
-attr | -attribute
manageDIPServerConfig
が操作を実行する属性を指定します。次に、manageDIPServerConfig
が操作を実行できる属性のリストとその説明を示します。
-
sslmode
: Oracle Directory Integration PlatformがOracle Internet Directoryへの接続に使用するSSLモード。サポートされている値は1および2です。1は、SSLモード1(認証なし)を使用してOracle Internet Directoryに接続する場合に使用します。2は、SSLモード2(サーバー認証のみ)を使用してOracle Internet Directoryに接続する場合に使用します。 -
refreshinterval
: Oracle Directory Integration Platformサーバーがプロファイル構成の詳細をリフレッシュする頻度を制御する時間間隔(秒)。 -
quartzthreadcount
: 同時にスケジュールできるプロファイルの数を制御します。デフォルト値は15です。15を超えるプロファイルがある場合は、それに応じてquartzthreadcount
属性を増やします。 -
quartzdbretryinterval
: Oracle Directory Integration Platformのクォーツ・スケジューラがOracle Internet Directoryデータベースへの再接続を試行する頻度を制御します。 -
oidhostport
: Oracle Directory Integration Platformに関連付けられているOracle Internet Directoryのホストとポートを指定します。oidhostport属性の値は、host:port
の形式で指定します。 -
keystorelocation
: Oracle Directory Integration Platformがデプロイされているホストに基づいて、Javaキーストア(JKS)の絶対パスを指定します。keystorelocation
属性の値を指定するときは、適切なパス・セパレータを使用してください(UNIXおよびLinuxプラットフォームの場合は/、Windowsプラットフォームの場合は\)。
-ssl
SSLモードでコマンドを実行します。
ノート:
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-val | -value
属性に対して設定される値。このパラメータはset操作に必要です。
-help
コマンドの使用方法のヘルプを提供します。
5.3 同期プロファイルの管理ユーティリティ
同期プロファイルの管理ユーティリティ(manageSyncProfiles
)を使用して、同期プロファイルを管理できます。
5.3.1 manageSyncProfiles
manageSyncProfilesの構文と使用できる引数について学習します。
構文
manageSyncProfilesを使用するための構文は、次のとおりです。
manageSyncProfiles {activate | deactivate | copy | deregister | get | isexists | update | testProfile | validateProfile | validateMapRules | register | updatechgnum | associateProfile | dissociateProfile | getAllAssociatedProfiles | getAssociatedProfile | list } -h HOST -p PORT -D wlsuser [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-profile] [-newProfile] [-associateProfile][-file] [-params 'prop1 val1 prop2 val2 ...'] [-conDirHost] [-conDirPort] [-conDirBindDn] [-mode] [-conDirType] [-conDirSSL] [-profileStatus] [-help]
引数
manageSyncProfilesユーティリティでは、次の引数を使用できます。
操作
activate
プロファイルの状態を有効(ENABLE)に変更します。
deactivate
プロファイルの状態を無効(DISABLE)に変更します。
copy
既存のプロファイルをプロファイルnewProfileにコピーします
deregister
OIDから既存のプロファイルを削除します。
get
OIDからプロファイルの詳細を取得します。
isexists
プロファイルprofileがOIDに存在しているかどうかを確認します。
update
OIDの既存のプロファイルprofileを変更します。
testProfile
無効化されたプロファイルprofileの状態をTESTに変更して、プロファイルのテストをスケジュールし、プロファイルによって同期が正常に実行されることを確認します。testProfile操作を指定したmanageSyncProfilesコマンドの実行後は、テスト結果を次のログ・ファイルで参照できます。ここで、DOMAIN_HOMEはOracle WebLogic Serverドメイン・ホームを表し、ORACLE_WEBLOGIC_MANAGED_SERVER_NAMEはOracle Directory Integration and Provisioningがデプロイされる管理対象サーバーの名前を表します。
$DOMAIN_HOME/servers/ORACLE_WEBLOGIC_MANAGED_SERVER_NAME/logs/ORACLE_WEBLOGIC_MANAGED_SERVER_NAME.log
ノート:
testProfile操作は、ENABLE状態のプロファイルのテストをスケジュールすることはできません。
validateProfile
指定されたプロファイルの値の構文が正確かどうか検証します。
validateMapRules
指定されたマップ・ルールを検証します。
register
OIDに新規プロファイルを作成します。
updatechgnum
プロファイル内で前回適用された変更番号を最新の番号に更新します。
associateProfile
associateProfileNameをprofileNameと関連付けて、情報の逆流を防ぎます。
dissociateProfile
profileNameに対するプロファイルの関連付けを解除します。
getAllAssociatedProfiles
プロファイルprofileNameが関連付けられているすべてのプロファイルを一覧表示します。
getAssociatedProfile
プロファイルprofileNameに関連付けられているプロファイル名を表示します。
list
OIDに登録されているすべてのプロファイルを表示します。
オプション
-h | host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | wlsuser
Oracle WebLogic ServerのログインID
ノート:
Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからコマンドを実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。manageSyncProfiles
に複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。
-ssl
SSLモードでコマンドを実行します。
ノート:
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-pf | -profile
操作の実行時に使用する同期プロファイルの名前。
-newpf | -newProfile
profileのコピーとなる新規プロファイルの名前。
-assopf
profileと関連付けられるプロファイルの名前。
-f | -file
プロパティが含まれているプロファイル・プロパティ・ファイルのフルパスおよびファイル名。このようなファイルの例は、『Oracle Directory Integration Platformの管理』の同期プロファイルのプロパティ・ファイルの例に関する付録を参照してください。
-params
prop1 val1 prop2 val2 ...
(prop
はプロファイル・プロパティの名前、val
はそのプロパティの新規の値)の形式で値を指定します。このキーワードは、プロファイルの変更のみに使用されます。キー値は必要な数だけ指定できます。
-conDirHost
接続ディレクトリ・サーバーが稼働しているホスト。
-conDirPort
接続ディレクトリ・サーバーがリスニングするポート。
-conDirBindDn
接続ディレクトリ・サーバーのバインドDN。
例:
-
Active Directory
administrator@idm2003.net
-
Sun ONEまたはiPlanet
cn=Directory Manager
-
Oracle Internet Directory
cn=orcladmin
ノート:
接続ディレクトリのバインドDNパスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからmanageSyncProfiles
を実行する必要がある場合は、接続ディレクトリのバインドDNパスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。manageSyncProfiles
に複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。
-mode
使用する同期モード・マッピング・ルール(import
または export
)。
-conDirType
接続ディレクトリのタイプ。サポートされている値は、ActiveDirectory
、EDirectory
、iPlanet
、OpenLDAP
、ADAM
、Tivoli
、ExchangeServer2003
およびOID
です。
-conDirSSL
接続ディレクトリ・サーバーへの接続に使用するSSLモードの値。
-prfSt | -profileStatus
プロファイルのステータスを表示します。list
操作と組み合せてのみ使用します。
-help
コマンドの使用方法のヘルプを提供します。
5.4 同期プロファイル・ブートストラップ・ユーティリティ
同期プロファイル・ブートストラップ・ユーティリティ(syncProfileBootstrap
)は、接続ディレクトリとOracle Internet Directory間で同期プロファイルのデータの初期移行を実行します。
5.4.1 syncProfileBootstrap
syncProfileBootstrap
ユーティリティの構文および様々な引数について理解します。各引数は、接続ディレクトリとOracle Internet Directoryの間で初期移行を実行するためのオプションを提供します。
構文
syncProfileBootstrapを使用するための構文は、次のとおりです。
syncProfileBootstrap -h HOST -p PORT -D wlsuser {-file FILENAME |-profile -PROFILE_NAME} [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-loadParallelism INTEGER] [-loadRetry INTEGER][-help]
引数
syncProfileBootstrapユーティリティでは、次の引数を使用できます。
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | wlsuser
Oracle WebLogic ServerのログインID
ノート:
Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからsyncProfileBootstrap
を実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。
-f | -file
ブートストラップのプロパティ・ファイル。
-pf | -profile
操作の実行時に使用する同期プロファイルの名前。
-ssl
SSLモードでコマンドを実行します。
ノート:
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-lp | -loadParallelism
Oracle Internet Directoryへのロードが、複数のスレッドを使用してパラレルで実行されることを示します。たとえば、-loadparallelism 5は、5つのスレッドが作成され、各スレッドでOracle Internet Directoryへのエントリのロードがパラレルで実行されることを意味します。
-lr | -loadRetry
宛先へのロードに失敗した場合に、そのエントリを不正なエントリとしてマークするまでに実行する再試行の回数。
-help
コマンドの使用方法のヘルプを提供します。
5.5 Express同期設定ユーティリティ
Express同期設定ユーティリティ(expressSyncSetup
)を使用して、インポートおよびエクスポート同期プロファイルを作成する方法を理解します。
5.5.1 expressSyncSetup
expressSyncSetup
ユーティリティの構文および様々な引数について理解します。
構文
expressSyncSetupを使用するための構文は、次のとおりです。
expressSyncSetup -h HOST -p PORT -D wlsuser -pf PROFILE -conDirType CONNECTED_DIRECTORY_TYPE -conDirURL CONNECTED_DIRECTORY_URL -conDirBindDN CONNECTED_DIRECTORY_BIND_DN -conDircontainer SYNC_CONTAINER [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-enableProfiles {true | false}] [-help]
引数
expressSyncSetupユーティリティでは、次の引数を使用できます。
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | wlsuser
Oracle WebLogic ServerのログインID
ノート:
Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからexpressSyncSetup
を実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。expressSyncSetup
に複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。
-pf | -profile
プロファイル名。
-conDirType
接続ディレクトリのタイプ。サポートされている値は、ActiveDirectory
、EDirectory
、iPlanet
、OpenLDAP
、ADAM
、Tivoli
、ExchangeServer2003
およびOID
です。
-conDirUrl
接続ディレクトリが稼働しているURL。host:portという形式です。
-conDirBindDN
接続ディレクトリ・サーバーのバインドDN。次に例を示します。
administrator@idm2003.net
cn=orcladmin
、cn=Directory Manager
ノート:
接続ディレクトリのバインドDNパスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからexpressSyncSetup
を実行する必要がある場合は、接続ディレクトリのバインドDNパスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。expressSyncSetup
に複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。
-conDirContainer
同期コンテナ。次に例を示します。
ou=sales,dc=us,dc=com
OU=Groups,DC=imtest,DC=com
CN=Users,DC=imtest,DC=com
-ssl
SSLモードでコマンドを実行します。
ノート:
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-enableProfiles
作成されたプロファイルを有効にするにはtrue
を指定します。無効にする場合はfalse
を指定します。
-help
コマンドの使用方法のヘルプを提供します。
5.6 プロビジョニング・プロファイル・バルク・ユーティリティ
プロビジョニング・プロファイル・バルク・ユーティリティ(provProfileBulkProv
)は、プロビジョニング・プロファイルのデータのLDIFファイルからOracle Internet Directoryへの初期移行を実行します。
5.6.1 provProfileBulkProv
provProfileBulkProv
ユーティリティの構文および様々な引数について理解します。
構文
provProfileBulkProvを使用するための構文は、次のとおりです。
provProfileBulkProv -h HOST -p PORT -D wlsuser -file LDIF_FILE -realm REALM_DN [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-encoding INPUT_ENCODING] [-help]
引数
provProfileBulkProvユーティリティでは、次の引数を使用できます。
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | -wlsuser
Oracle WebLogic ServerのログインID
ノート:
Oracle WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからprovProfileBulkProv
を実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。
-f | -file
移行されるデータを含むLDIFファイル。
-realm
ユーザーがプロビジョニングされるレルム。
-ssl
SSLモードでコマンドを実行します。
ノート:
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-encoding
入力ファイルのエンコーディング。
-help
コマンドの使用方法のヘルプを提供します。
5.7 Oracle Directory Integration Platformステータス・ユーティリティ
dipStatus
ユーティリティを使用すると、Oracle Directory Integration Platformのステータスと、それが登録されているかどうかを確認できます。
5.7.1 dipStatus
dipStatus
ユーティリティの構文および様々な引数について理解します。
構文
dipStatusを使用するための構文は、次のとおりです。
dipStatus -h HOST -p PORT -D wlsuser [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-help]
引数
dipStatusユーティリティでは、次の引数を使用できます。
-h | -host
Oracle Directory Integration Platformがデプロイされている管理対象サーバーが稼働しているWebLogic Serverのホスト名。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | -wlsuser
WebLogic ServerのログインID。
ノート:
WebLogic Serverのログイン・パスワードの入力を求められます。パスワードをコマンド行引数として指定することはできません。
最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからdipStatus
を実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。
-ssl
SSLモードでコマンドを実行します。
ノート:
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-help
コマンドの使用方法のヘルプを提供します。
5.8 スキーマ要素同期ユーティリティ
schemasync
ユーティリティでは、Oracle Internet Directoryサーバーとサード・パーティのLDAPディレクトリ間でスキーマ要素(属性とオブジェクトクラス)の同期をとることができます。
5.8.1 schemasync
schemasync
ユーティリティの構文、様々な引数およびコマンドライン・ツールについて理解します。
構文
schemasyncを使用するための構文は、次のとおりです。
schemasync -srchost hostname -srcport port -srcdn bindDN -srcpwd password -dsthost hostname -dstport port -dstdn bindDN -dstpwd password [-ldap]
引数
schemasyncユーティリティでは、次の引数を使用できます。
-srchost hostname
必須。ソース・ディレクトリ・サーバーのホスト名。
-srcport port
必須。ソース・ディレクトリ・サーバーのLDAPリスニング・ポート(3060など)。
-srcdn bindDN
必須。ソース・ディレクトリへのバインドに使用されるユーザーのDN。このユーザーには、スーパーユーザー(cn=orcladmin
)のように、ディレクトリ・スキーマの変更権限が付与されている必要があります。
-srcpwd password
オプション。ソース・ディレクトリへのバインドに使用するユーザー・パスワード。コマンドラインでパスワードを指定しない場合は、入力するように求められます。入力を求められたときにパスワードを入力するのがセキュリティのベスト・プラクティスです。
-dsthost hostname
必須。宛先ディレクトリ・サーバーのホスト名。
-dstport port
必須。宛先ディレクトリ・サーバーのLDAPリスニング・ポート(3060など)。
-dstdn bindDN
オプション。宛先ディレクトリへのバインドに使用されるユーザーのDN。このユーザーには、スーパーユーザーのように、ディレクトリ・スキーマの変更権限が付与されている必要があります。
-dstpwd password
必須。宛先ディレクトリへのバインドに使用されるユーザー・パスワード。コマンドラインでパスワードを指定しない場合は、入力するように求められます。入力を求められたときにパスワードを入力するのがセキュリティのベスト・プラクティスです。
-ldap
オプション。指定した場合は、スキーマの変更がソースLDAPディレクトリから宛先LDAPディレクトリに直接適用されます。指定しない場合は、スキーマの変更が次のLDIFファイルに配置されます。
-
ORACLE_HOME/ldap/odi/data/attributetypes.ldif: このファイルは、新しい属性の定義を持ちます。
-
ORACLE_HOME/ldap/odi/data/objectclasses.ldif: このファイルは、新しいオブジェクト・クラス定義を持ちます。
-ldap
を指定しない場合は、ldapmodifyを使用して、属性のタイプ、オブジェクト・クラスの順に、これらの2つのファイルから定義をアップロードする必要があります。
関連コマンドライン・ツール
schemasyncのコマンドライン・ツールの詳細は、「ldapmodify」を参照してください
5.9 プロビジョニング・プロファイルの管理ユーティリティ
プロビジョニング機能を使用すると、ディレクトリの変更(ユーザーまたはグループ情報の変更など)をアプリケーションに確実に通知できます。このような変更は、アプリケーションでプロセスやリソースに対するユーザー・アクセスを許可するかどうかに影響を及ぼすことがあります。
5.9.1 manageProvProfiles
manageProvProfiles
コマンドを使用して、プロビジョニング・プロファイルを管理します。
プロビジョニング対象のアプリケーションをインストールする場合、ORACLE_HOME/bin
ディレクトリにあるmanageProvProfiles
コマンドを使用して、プロビジョニング統合プロファイルを作成する必要があります。
manageProvProfiles
ユーティリティは、ツールのコール元から、プロビジョニング・プロファイル・エントリの場所とスキーマ詳細を保護します。コール元から見ると、アプリケーションとレルムの組合せにより、プロビジョニング・プロファイルが一意に特定されます。システムには、各アプリケーションのレルムごとに存在できるプロビジョニング・プロファイルは1つのみであるという制約があります。
プロファイルを一度作成したら、modify
操作を使用してそのモード(INBOUND、OUTBOUNDまたはBOTH)を変更することはできません。モードを変更するには、プロファイルを削除して再作成する必要があります。
Oracle Directory Integration Platform Serverにより、Oracle Unified DirectoryまたはOracle Internet Directoryでのプロビジョニング・プロファイル構成の変更(プロビジョニング・プロファイルの作成、変更、削除など)は自動的にモニターされます。このため、プロビジョニング・プロファイルを手動で有効または無効にする必要はありません。
ノート:
セキュリティを向上させるため、要求されないかぎり、manageProvProfiles
コマンドでパスワードを入力しないでください。
構文
manageProvProfiles
を使用するための構文は、次のとおりです。
manageProvProfiles operation=[create|modify] ldap_host=backend_hostname ldap_port=port ldap_user_dn="bindDN" [profile_mode=INBOUND|OUTBOUND|BOTH] application_dn="DN" application_type=type [application_name=name] [application_display_name=display name] organization_dn=DN [application_isdasvisible=TRUE|FALSE] [manage_application_defaults=TRUE|FALSE] [enable_bootstrap=TRUE|FALSE] [user_data_location=DN] [default_provisioning_policy=PROVISIONING_REQUIRED|PROVISIONING_NOT_REQUIRED] interface_name=SCHEMA.PACKAGE [interface_type=PLSQL|JAVA] interface_version=1.1|2.0|3.0] schedule=number_seconds lastchangenumber=number max_prov_failure_limit=number max_events_per_schedule=number max_events_per_invocation=number event_mapping_rules="OBJECT_TYPE:FILTER:DOMAIN" event_permitted_operations="OBJECT:DOMAIN:OPERATION(attributes,...)" event_subscription="USER|GROUP:DOMAIN:OPERATION(attributes,...)" max_events_per_schedule=number max_retries=number profile_group=number profile_status=ENABLED | DISABLED profile_debug=debug_level manageProvProfiles {operation=enable|disable|delete|status|reset} application_dn=DN [organization_dn=DN] [ldap_host=backend_hostname] [ldap_port=port] [ldap_user_dn=bindDN] [profile_debug=debug_level]
引数
manageProvProfiles
ユーティリティでは、次の引数を使用できます。
operation=create | modify | enable | disable | delete | status | reset
これは、manageProvProfiles
を使用して実行する操作に必要です。一度に1つの操作のみ実行できます。操作は次のとおりです。
-
create - 新しいプロビジョニング・プロファイルを作成します。
-
modify - 既存のプロビジョニング・プロファイルの指定されたプロパティを変更します。
-
enable - プロビジョニング・プロファイルを有効化します。
-
disable - プロビジョニング・プロファイルを無効化します。
-
delete - プロビジョニング・プロファイルを削除します。
-
status - 指定されたプロビジョニング・プロファイルの現在のステータスを表示します。
-
reset - プロビジョニング・プロファイルのすべてのエラーをクリアします。
ldap_host=backend_hostname
オプション。Oracle Unified DirectoryまたはOracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
ldap_port=port
オプション。バックエンド・ディレクトリのLDAPリスニング・ポート。Oracle Unified DirectoryまたはOracle Internet Directoryのデフォルト・ポートは、389
です。
ldap_user_dn=bindDN
必須。スーパーユーザーまたはプロビジョニング・サブスクリプション操作の実行に十分な権限を持つユーザーのDN。デフォルトはcn=orcladmin
です。Oracle Unified Directoryのデフォルト値は"cn=directory manager"
で、Oracle Internet Directoryのデフォルト値は"cn=orcladmin"
です。
profile_mode=OUTBOUND | INBOUND | BOTH
create
操作でのみオプション。プロビジョニング・イベントの方向。デフォルトはOUTBOUNDです(データはOracle Unified DirectoryまたはOracle Internet Directoryからアプリケーションへとプロビジョニングされます)。
application_dn=DN
必須。プロビジョニング・サブスクリプションが属するアプリケーションの識別名。アプリケーションDNと組織DNの組合せにより、プロビジョニング・プロファイルが一意に識別されます。たとえば、ポータルのアプリケーションDNは次のように指定します。
"orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext"
application_type=type
必須。プロビジョニングするアプリケーションのタイプ。
application_name=name
オプション。プロビジョニングするアプリケーションの名前。指定しない場合、application_dn
に割り当てた識別名がデフォルトになります。
application_display_name=name
オプション。プロビジョニングするアプリケーションの表示名。指定しない場合、application_name
に割り当てた値がデフォルトになります。
organization_dn=DN
オプション。指定しない場合、デフォルト・アイデンティティ管理レルムがデフォルトになります。プロビジョニング・サブスクリプションが属する組織の識別名です(dc=company,dc=com
など)。アプリケーションDNと組織DNの組合せにより、プロビジョニング・プロファイルが一意に識別されます。
application_isdasvisible=TRUE | FALSE
オプション。アプリケーションをOracle Internet Directoryにプロビジョニング統合アプリケーションとして表示するかどうかを決定します。デフォルト値はTRUEです。
ノート:
この引数は、Oracle Delegated Administration Services 10gリリース(10.1.4.x)向けです。
manage_application_default=TRUE | FALSE
オプション。Oracle Internet Directoryでアプリケーションのデフォルト値を管理するかどうかを決定します。デフォルト値はTRUEです。
ノート:
この引数は、Oracle Delegated Administration Services 10gリリース(10.1.4.x)向けです。
enable_bootstrap=TRUE | FALSE
オプション。アプリケーションのプロビジョニング統合プロファイルを作成する前にOracle Internet Directoryに存在していたユーザーのプロビジョニング・イベントをアプリケーションが受信する必要があるかどうかを示します。デフォルト値は、FALSEです。
user_data_location=DN
オプション。アプリケーション固有のユーザー情報を格納するコンテナのDNを指定します。
default_provisioning_policy=PROVISIONING_REQUIRED | PROVISIONING_NOT_REQUIRED
オプション。アプリケーションのデフォルト・プロビジョニング・ポリシーを指定します。デフォルト値はPROVISIONING_REQUIREDです。
interface_name=SCHEMA.PACKAGE
create
またはmodify
操作の場合は必須。PLSQLパッケージのデータベース・スキーマ名。値の書式は(schema.package_name
)で、たとえば、ポータルのスキーマおよびPLSQLパッケージの情報は次のように指定します。
interface_name=PORTAL.WWSEC_OID_SYNC
interface_version=1.1 | 2.0 | 3.0
インタフェース・プロトコルのバージョン。許可されている値は1.1、2.0または3.0です。デフォルト値は2.0です。
Oracle Internet Directoryでは、バージョン1.1
、2.0
または3.0
がサポートされます。
Oracle Unified Directoryでは、バージョン2.0
および3.0
がサポートされます。
interface_type=PLSQL | JAVA
オプション。イベントの伝播先となるインタフェースのタイプ。デフォルトはPLSQL
です。
ノート:
JAVA
タイプでは、インタフェース・プロトコル・バージョン3.0
のみがサポートされます。
schedule=number_seconds
create
およびmodify
操作でのみオプション。このプロファイルの実行間隔を示す秒数。デフォルトは3600であり、プロファイルは1時間ごとに実行されます。
lastchangenumber=number
OUTBOUND
イベントのcreate
およびmodify
操作でのみオプション。Oracle Internet Directoryの最終変更番号であり、この番号より後の適切なすべてのイベントがアプリケーションにプロビジョニングされます。デフォルトは、最新の現行変更番号です。
max_prov_failure_limit=number
オプション。Oracleプロビジョニング・システムがユーザーのプロビジョニングを試行する回数を決定します。デフォルトは1です。
max_events_per_schedule=number
create
およびmodify
操作でのみオプション。プロビジョニング・プロファイルの1回の実行でOracle Directory Integration Platform Serverからアプリケーションに送信するイベントの最大数。デフォルトは100です。
max_events_per_invocation=number
create
およびmodify
操作でのみオプション。インタフェースの1回の起動でパッケージ化してターゲットに送信するイベントの最大数。
event_mapping_rules="OBJECT_TYPE:FILTER:DOMAIN"
INBOUND
イベントのcreate
およびmodify
操作でのみ必須。このルールは、アプリケーションから(オプションのフィルタ条件を使用して)受け取ったオブジェクト・タイプをOracle Internet Directoryのドメインにマップします。プロビジョニング・プロファイルには、複数のマッピング・ルールを定義できます。
次の例は、2つのマッピング・ルールを示しています。1番目のルールでは、地域属性がアメリカに等しい(l=AMERICA
)従業員オブジェクト(EMP
)が、ドメインl=AMER,cn=users,dc=company,dc=com
にマップされます。2番目のルールでは、フィルタ条件なしで、従業員オブジェクト(EMP
)がドメインcn=users,dc=company,dc=com
にマップされます。
event_mapping_rules="EMP:l=AMERICA:l=AMER,cn=users,dc=company,dc=com" event_mapping_rules="EMP::cn=users,dc=company,dc=com"
event_permitted_operations="OBJECT:DOMAIN:OPERATION(attributes,...)
INBOUND
イベントのcreate
およびmodify
操作でのみ必須。このプロパティを使用して、Oracle Directory Integration and Provisioningサービスへの送信をアプリケーションに許可するイベントのタイプを定義します。1つのプロビジョニング・プロファイルに複数の許可操作を定義できます。
たとえば、ユーザー・オブジェクトが追加または削除されたときや特定の属性が変更されたときに、アプリケーションがイベントを送信するのを許可する場合、次の3つの操作が許可されていることになります。
event_permitted_operations="USER:dc=mycompany,dc=com:ADD(*)" event_permitted_operations="USER:dc=mycompany,dc=com:MODIFY(cn,sn,mail,password)" event_permitted_operations="USER:dc=mycompany,dc=com:DELETE(*)"
event_subscription="USER | GROUP:DOMAIN:OPERATION(attributes,...)"
OUTBOUND
イベントのcreate
およびmodify
操作でのみ必須。このプロパティを使用して、Oracle Directory Integration and Provisioningサービスからアプリケーションに送信するイベントのタイプを定義します。1つのプロビジョニング・プロファイルに複数のイベント・サブスクリプションを定義できます。
たとえば、ユーザーまたはグループ・オブジェクトが追加または削除されたときに、常にディレクトリ統合サーバーからアプリケーションにイベントを送信する場合、次の4つのイベント・サブスクリプションがあることになります。
event_subscription="GROUP:dc=mycompany,dc=com:ADD(*)" event_subscription="GROUP:dc=mycompany,dc=com:DELETE(*)" event_subscription="USER:dc=mycompany,dc=com:ADD(*)" event_subscription="USER:dc=mycompany,dc=com:DELETE(*)"
max_retries=number
create
およびmodify
操作でのみオプション。失敗したイベントを再試行する回数。デフォルトは5です。
profile_group=number
create
およびmodify
操作でのみ必須。プロファイルのグループ番号。デフォルトはDEFAULTです。この引数は、異なるOracle Directory Integration Platform Serverインスタンスを使用して様々な選択グループを実行する場合に発生するスケーラビリティの問題に対処するために必要です。
profile_status=ENABLED | DISABLED
create操作でのみ必須。プロファイルの有効化または無効化を指定します。デフォルトはENABLEDです。
profile_debug=debug_level
必須。プロファイルのデバッグ・レベル。
ノート:
セキュリティ上の理由により、ldap_user_password
引数とinterface_connect_info
引数は、コマンド行では受け入れられなくなりました。