D Oracle Access Management Access Managerと統合するためのOracle Virtual Directoryの構成
ノート:
Oracle Virtual DirectoryをAccess Managerとともに使用することはオプションであるため、ここで説明されている手順は、主要な統合プロセスの一部としては必要ありません。
この付録の内容は次のとおりです。
ノート:
Oracle Virtual Directoryは、ほとんどのLDAP対応テクノロジとともに使用できます。この付録に含まれる情報については、一般的な統合を簡略化するOracle Virtual Directoryの機能の説明に重点が置かれています。
その他のOracle Virtual Directoryの統合へのサポートに関しては、Oracleサポートに連絡してください。
D.1 Oracle Virtual Directoryアダプタの作成および構成
Access Managerと統合するためにOracle Virtual Directoryを構成するには、Oracle Directory Services Managerの「クイック構成ウィザード」の「Oracle Access Managerの設定」を使用します。このウィザードは、必要なローカル・ストア・アダプタや、Access Managerが使用するデータ・リポジトリに適切なアダプタ・タイプ(LDAP、データベースまたはカスタム)を作成するステップを1つずつ説明します。
- Oracle Directory Services Managerにログインします。
- タスク選択バーで、「拡張」を選択します。拡張ナビゲーション・ツリーが表示されます。
- 拡張ツリーの「クイック構成ウィザード」エントリを開きます。
- ツリーで、「Oracle Access Managerの設定」をクリックします。「Oracle Access Managerの設定」画面が表示されます。
- 「ローカル・ストア・アダプタ(LSA)の作成に使用されるネームスペース」フィールドにローカル・ストア・アダプタのネームスペースをDN形式入力し、「適用」をクリックします。「アダプタ」画面が表示されます。
- Access Managerが使用するデータ・リポジトリに適したアダプタを作成します。手順は、最後に記載されている各項を参照してください。
- Oracle Directory Services Managerのタスク選択バーから「アダプタ」を選択し、「アダプタ」ツリーで構成するアダプタの名前をクリックすることで、Access Managerが使用するデータ・リポジトリのアダプタを構成します。
D.1.1 LDAPアダプタの作成および構成
Access ManagerのLDAPアダプタを作成するには、『Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの作成に関する項を参照してください。
LDAPアダプタを作成した後、次の項で説明する手順を使用してそのアダプタを構成できます。
ノート:
LDAPアダプタの構成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの構成に関する項を参照してください。
D.1.1.1 LDAPアダプタの一般設定の構成
「アダプタ」ツリーでアダプタ名をクリックし、「一般」タブをクリックして次に示すフィールドに値を設定し、「適用」をクリックしてアダプタの一般設定を構成できます。
- ルート
-
このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
- アクティブ
-
アダプタは、アクティブ(有効)または非アクティブ(無効)として構成できます。非アクティブに構成されたアダプタは、サーバーの再起動時やアダプタの起動の試行時には起動しません。非アクティブの設定は、古い構成を使用可能な状態にしておく場合や、構成から削除せずにスタンバイ状態にしておく場合に使用します。デフォルト設定はアクティブ(有効)です。
LDAPサーバーの詳細
「一般」タブの「LDAPサーバー」表にプロキシLDAPホストの情報を構成するには、次の手順を実行します。各プロキシLDAPホストは、同等のコンテンツを提供するレプリカであることが必要です。
プロキシ設定するホストを1つのみ指定する場合は注意が必要です。フェイルオーバー・ホストがないと、LDAPアダプタは、自動的に別のホストにフェイルオーバーされません。単一のホストが適しているのは、Oracle Virtual Directoryがロード・バランシング・システムを使用して論理LDAPサービスに接続されている場合です。
ノート:
「LDAPサーバー」表の情報は、「自動検出にDNSを使用」パラメータを「いいえ」に設定した場合にのみ使用されます。
アダプタにプロキシLDAPホストを追加するには、次のようにします。
-
「ホストの追加」ボタンをクリックします。
-
「ホスト」フィールドに、プロキシを設定するLDAPホストのIPアドレスまたはDNS名を入力します。
ノート:
Oracle Virtual Directory 12c (12.2.2)ではIPv6がサポートされています。ネットワークでIPv6がサポートされている場合、「ホスト」フィールドにリテラルIPv6アドレスを使用して、プロキシ設定されたLDAPホストを指定できます。
-
「ポート」フィールドに、プロキシ設定されたLDAPホストが提供するLDAPサービスのポート番号を入力します。
-
パーセンテージ・フィールドに0から100の間の数値を入力し、ホストに送信する負荷率を構成します。アダプタに構成されたすべてのホストの統合したパーセンテージが合計で100にならない場合は、ホストに対して入力したパーセンテージを、アダプタに構成されているすべてのホストの合計パーセンテージで割ることで、Oracle Virtual Directoryにより負荷率が自動的に調整されます。たとえば、20パーセント、30パーセントおよび40パーセントの3つのホストがアダプタに構成されている場合、Oracle Virtual Directoryにより、20は22 (20/90)に、30は33 (30/90)に、40は44 (40/90)に調整されます。
-
「読取り専用」オプションを選択し、LDAPホストでのみ検索操作を実行するようにLDAPアダプタを構成します。LDAPアダプタは、すべての変更トラフィックをリスト内の読取り/書込みホストに自動的に送ります。
アダプタからプロキシLDAPホストを削除するには、次のようにします。
-
「リモート・ホスト」表で削除するホストの行をクリックします。
-
「削除」ボタンをクリックします。確認のダイアログ・ボックスが表示されます。
-
アダプタからプロキシLDAPホストを削除するには、「確認」をクリックします。
プロキシLDAPホストの接続を検証するには、次のようにします。
-
接続を検証するホストの「リモート・ホスト」表の行をクリックします。
-
「検証」ボタンをクリックします。プロキシLDAPホストへの接続は、そのLDAPホストのプロキシ設定をするアダプタに対して検証する必要があります。
- SSL/TLSの使用
-
このオプションを有効化すると、SSL/TLSを使用して、LDAPアダプタとプロキシLDAPホスト間の通信を保護できます。
関連項目:
認証局の詳細は、「SSLで保護されているLDAPアダプタの認証局の管理」を参照してください。
- SSL認証モード
-
「SSL/TLSの使用」オプションを選択(有効化)する場合、「SSL認証モード」リストからオプションを選択することで、アダプタをセキュリティで保護するために使用するSSL認証モードを選択します。「SSL認証モード」設定は、「SSL/TLSの使用」オプションが有効化されている場合にのみ機能します。
- フェイルオーバー・モード
-
「順次」に設定すると、障害が発生しないかぎり、「LDAPサーバー」表に指定した最初のホストが使用されます。障害が発生した場合は、次のホストが試行されます。順次フェイルオーバーは、地域間のフェイルオーバーに使用されます。順次フェイルオーバーでは、LDAPアダプタは、障害が発生するまで指定されたホストの使用を試行します。この時点で、別のデータ・センターまたは遠隔地にある使用可能な同等のホストにフェイルオーバーします。
「分散」に設定すると、作成されるすべての新規接続は、「LDAPサーバー」表に定義されたリストを使用してロード・バランスされます。分散フェイルオーバーは、同じデータ・センターにある一連のLDAPホスト、またはネットワーク・パフォーマンスに関して同等に使用可能な一連のLDAPホストにプロキシ設定する場合に使用されます。
ノート:
リモート・ホストのネットワークに障害が発生した場合は、プラットフォーム固有のTCPソケットのタイムアウト設定が原因で、Oracle Virtual Directoryに数分の遅延が発生する可能性があります。ただし、Oracle Virtual Directoryのフェイルオーバーは適切に実行されており、遅延中にデータが損失することはありません。
- 試行延長
-
このオプションは、ホストへの接続が失敗したことが判明しても、Oracle Virtual Directoryサーバーが、アダプタへの新規受信リクエストで、「LDAPサーバー」表にリストされた最後のホストへの接続を試行し続けるようにする場合に有効化します。有効化すると、ホストへの接続が失敗しても、そのホストは「LDAPサーバー」表から削除さず、アダプタの「ハートビート間隔」設定が無視されます。分散ディレクトリの存在する一部の環境では、その時点での結果の一部を迅速に戻すために、ルーティング・クリティカル設定とともに「試行延長」オプションを無効化する場合があります。デフォルト設定は「有効」です。
- ハートビート間隔
-
LDAPアダプタでは、「LDAPサーバー」表に定義されている各ホストの可用性が定期的に検証されます。この検証サイクルでは、現在無効化されているホストが復活する可能性があるほか、TCP/IP接続のテストに失敗した現在アクティブなホストが「false」とラベル付けされます。「ハートビート間隔」パラメータは、検証通過の間隔を秒数で指定します。低すぎる値を設定すると、リモート・ディレクトリへの不要な接続が発生します。高すぎる値を設定すると、障害発生時のリカバリ検出時間が長くなります。本番環境では、この値を60秒から開始し、必要に応じて調整することをお薦めします。
- 操作タイムアウト
-
LDAPリクエストがリモート・ホストによって承認されるのをサーバーが待機する時間(ミリ秒単位)。この操作が失敗した場合、LDAPアダプタにより、「リモート・ホスト」表の次のサーバーが自動的に試行されます。構成可能な最小値は100です。低すぎる設定にすると、使用頻度の高いサーバーでエラーによる障害が発生することがあります。本番環境では、この値を5000 (5秒)から開始し、必要に応じて調整することをお薦めします。
- 最大プール接続数
-
単一のサーバーに確立できる同時接続数を制御するための、チューニング・パラメータです。本番環境では、この値を10接続から開始し、必要に応じて調整することをお薦めします。
- 最大プール待機
-
LDAPアダプタによって新しい接続が生成される前に、既存の接続を使用するためにLDAP操作が待機する最大時間(ミリ秒単位)。本番環境では、この値を1000(1秒)から開始し、必要に応じて調整することをお薦めします。
- 最大プール試行数
-
「最大プール接続数」パラメータを上書きして新しい接続を生成する前に、LDAP接続のために操作が待機される最大回数。最大時間は、「最大プール待機数」の時間に試行回数を掛けた結果です。プール待機が1秒で試行の最大数が10回の場合、標準プールでLDAP接続が使用不可になってから10秒後に、増大した負荷の処理のためにプールが拡張されます。「最大プール接続数」を超過してプールが拡張されるのを回避するには、試行回数を高い数値に設定してください。本番環境では、この値を10から開始し、必要に応じて調整することをお薦めします。
- Kerberosの使用
-
「Kerberosの使用」オプションを有効化する場合は、次の点に注意する必要があります。
Kerberos認証は資格証明の検証にのみ使用でき、その他の操作のためにバックエンド・サーバーに渡されることはないため、「パススルー」オプションは「バインドのみ」に設定する必要があります。
RDN値はKerberosプリンシパル名(Active Directoryの場合はsAMAccountName)と同一であることが必要です。つまり、KerberosバインドのバインドDNは実際のユーザーDNではありません。たとえば、ユーザーDNは
cn=Jane Doe,cn=users,dc=mycompany,dc=comですが、sAMAccountNameはjdoeで、「Kerberosの使用」オプションが有効化されたバインドDNはcn=jdoe,cn=users,dc=mycompany,dc=comです。krb5.confファイルを作成し、Oracle Virtual Directoryの構成フォルダ内に置く必要があります。krb5.confには次のプロパティがあります。
表D-1 krb5.confファイルのプロパティ
プロパティ 説明 default_realm
マッピングによって提供されていない場合に使用されるデフォルト・ドメインです。たとえば、あるユーザーが
uid=jsmith,ou=people,dc=myorg,dc=comとしてバインドされると、jsmith@myorg.comとして処理されます。マップされたネームスペースにドメイン・コンポーネント(DC)ベースのルートが含まれていない場合は、かわりにこの値が置き換えられます。domain_realm
ドメインとレルム定義との間のマッピングを定義します。(たとえば:
.oracle.com = ORACLE.COM)realms
1つ以上のレルムを定義します(たとえば:
ORACLE.COM = {...})。kdc
特定のレルム定義のKerberosサービスを実行するサーバーのDNS名です。
Kerberosバインドでは、標準のJavaパッケージに備わっているKerberosライブラリが使用されます。Kerberosライブラリでは、現状ではOracle Virtual DirectoryのLDAPアダプタ設定に同期していないkrb5.confファイルが使用されます。Kerberosのフェイルオーバーは、デフォルトのライブラリによって制御されます。フェイルオーバーおよびkrb5.confファイルの高度な構成の詳細は、Javaドキュメントを参照してください。
ノート:
Microsoft Active Directoryサーバーが停止(停止または再起動のいずれか)の処理中で、Oracle Virtual Directoryがそれへの接続を試行する場合、Active Directoryでは資格証明の検証が行われず、Key Distribution Center (ドメイン・コントローラ)の接続エラーではなく、
Client not Found in Kerberos Databaseエラー・メッセージが戻されることがあります。エンド・ユーザーは、Active Directoryサーバーが使用可能であるか、Key Distribution Centerのフェイルオーバーが有効化されているため、正常な認証が戻されると理解して再度ログインします。
- Kerberosの再試行
-
「Kerberosの使用」オプションを有効化する場合、「Kerberosの再試行」オプションを使用して、認証の試行が失敗した後にOracle Virtual Directoryがログインを再試行するかどうかを制御できます。「Kerberosの再試行」オプションを有効化してあり、かつ認証に失敗した場合、Oracle Virtual Directoryによってkerb5.confファイルがリロードされ、ログインが再試行されます。
ノート:
krb5.confファイルにおいて1つのKerberosレルムで複数のActive Directoryサーバーを識別している場合、「Kerberosの再試行」オプションを有効化しないでください。再試行を有効化すると、フェイルオーバー機能が損なわれることがあります。
- 自動検出にDNSを使用
-
「LDAPサーバー」表で特定のプロキシLDAPホストを構成するかわりに、このオプションを使用して、定義されているリモート・ベースの適切なLDAPサーバーの検出に、Oracle Virtual DirectoryでDNSを使用するように設定できます(サーバーレス・バインド・モードとも呼ばれます)。LDAPアダプタは、次に示す操作モードをサポートします。
-
いいえ: サーバーレス・バインドではなく、「LDAPサーバー」表の構成を使用します。
-
標準: Microsoft以外のサーバーの標準DNS参照を使用します。すべてのサーバーは読取り/書込みとしてマーク付けされるため、LDAPの書込みサポートを許可するために「参照の追跡」設定を有効化することをお薦めします。
-
Microsoft: DNSサーバーはMicrosoftの動的DNSであり、ロード・バランシング構成もサポートします。Microsoftの動的DNSサーバーに対してプロキシ設定する場合は、この設定をお薦めします。これは、Oracle Virtual Directoryの機能により、読取り専用サーバーと比較して読取り/書込みサーバーが自動検出されるためです。
ノート:
この設定の使用時には、リモート・ベースにdc=myorg,dc=comなど、ドメイン・コンポーネントのスタイル名が指定されている必要があります。この名前により、Oracle Virtual Directoryで、myorg.comを検索してDNSサービス内のLDAPホストが検出されます。
-
「一般」タブの「設定」セクションには、次のフィールドが表示されます。
- リモート・ベース
-
ローカルOracle Virtual Directoryのルート接尾辞に対応する、リモート・サーバーのディレクトリ・ツリー構造内の場所。これは、Oracle Virtual Directoryによって現在のアダプタのすべての検索および操作が実行される、リモート・ディレクトリ内の場所です。LDAPアダプタにより、リモート・ベースからアダプタ・ルート・ベースへの全エントリの自動マッピングが適用されます。
- DN属性
-
member、uniquemember、managerなど、ネームスペース変換が必要なDNとして処理される属性のリスト。たとえば、これらの属性が「DN属性」リストにある場合、プロキシ・ディレクトリからのグループ・エントリを読み取る際には、Oracle Virtual Directoryでuniquememberまたはmember属性だけでなく、グループ・エントリ自体のDNが自動的に変換されます。
ノート:
クライアント・アプリケーションで使用する必要があるとわかっている属性のみを変換します。可能性のあるすべてのDN属性を入力する必要はありません。入力すると、プロキシで消費されるCPU時間が少し増加します。
「DN属性」リストに属性を追加するには、次のようにします。
-
「追加」をクリックします。「DN属性の選択」ダイアログ・ボックスが表示されます。
-
追加する属性を選択します。
-
「OK」をクリックします。
-
- エスケープ・スラッシュ
-
ディレクトリに/文字が含まれる場合、Oracle Virtual Directoryでは、円記号の\を使用して、オプションでスラッシュをエスケープできます。スラッシュをエスケープせずに使用できるディレクトリ・サーバー製品と、そうでない製品があります。この設定を有効化すると、スラッシュがエスケープされます。
- 参照の追跡
-
この設定を有効化すると、クライアントのかわりにソース・ディレクトリから受信した参照がLDAPアダプタにより追跡されます。無効化すると、参照はブロックされ、クライアントに戻されません。
次に、LDAP操作設定の管理対象DSAコントロールの送信と関連した異なる設定のときのLDAPアダプタの動作の概要を示します。
-
LDAPアダプタの「参照の追跡」が有効(true)に設定され、かつLDAP操作の管理対象DSAコントロールの送信が「True」に設定されている場合、Oracle Virtual Directoryは参照エントリを追跡しませんが、クライアントに戻します。
-
LDAPアダプタの「参照の追跡」が有効(true)に設定され、LDAP操作の管理対象DSAコントロールの送信が「False」に設定されている場合、Oracle Virtual Directoryは参照エントリを追跡しません。
-
LDAPアダプタの「参照の追跡」が無効(false)に設定され、LDAP操作の管理対象DSAコントロールの送信が「True」に設定されている場合、Oracle Virtual Directoryは参照エントリを追跡しませんが、クライアントに戻します。
-
LDAPアダプタの「参照の追跡」が無効(false)に設定され、かつLDAP操作の管理対象DSAコントロールの送信が「False」に設定されている場合、Oracle Virtual Directoryは参照エントリを追跡せず、クライアントにも戻しません。
-
- プロキシ設定されたページ・サイズ
-
この設定を有効化すると、プロキシでPaged Result Controlをプロキシ設定されたディレクトリに使用できます。この設定は、ディレクトリで問合せの結果数を制限する場合に最もよく有効化されます。この設定は、Oracle Virtual Directoryのクライアントのかわりに透過的に使用されます。
「一般」タブの「資格証明の処理」セクションには、次のフィールドが表示されます。
- プロキシDN
-
プロキシ設定されたディレクトリにアクセスする際に、LDAPアダプタがバインドするデフォルトのDN。「パススルー・モード」設定に応じて、このDNは、すべての操作で使用されるか、パススルー・モードのような特別な場合にのみ使用されます。識別名の書式は、リモート・ディレクトリの書式に合せる必要があります。空の値は匿名とみなされます。
- プロキシ・パスワード
-
「プロキシDN」値とともに使用される認証パスワード。パスワードを設定するには、値をクリアテキストで入力します。サーバーにロードされると、追加のセキュリティを提供するために、可逆的なマスクを使用して値が自動的にハッシュされます(たとえば、{OMASK}jN63CfzDP8XrnmauvsWs1g==)。
- パススルー・モード
-
すべての操作で、Oracle Virtual Directoryに示されたユーザー資格証明をプロキシ設定されたLDAPサーバーに渡す場合は、「常時」に設定します。バインド用にのみユーザー資格証明をプロキシ設定されたLDAPサーバーに渡し、その他のすべての操作でデフォルトのサーバー資格証明を使用する場合は、「バインドのみ」に設定します。プロキシDN資格証明をすべての操作で使用する場合は、「なし」に設定します。
ノート:
状況によっては、「パススルー・モード」が「常時」に設定されていても、LDAPアダプタによってプロキシDNが使用される場合があります。これは、別のアダプタ・ネームスペースなどからユーザー資格証明をマップできない場合や、ユーザー資格証明がルート・アカウントの場合に発生します。
Microsoft Active Directoryフォレスト内の異なるドメイン・コントローラに複数のアダプタを定義する場合は、バインドを含むルーティング設定を使用して、LDAPアダプタが他のアダプタ(同じActive Directoryフォレストを指す複数のアダプタ)からの資格証明にプロキシを設定するように指定できます。
「一般」タブの「pingプロトコルの設定」セクションには、次のフィールドが表示されます。
「pingプロトコルの設定」には、応答していないソースLDAPディレクトリ・サーバーがいつ使用可能になるのかを判別する方法に関するオプションがあります。複数のソース・ディレクトリ・サーバーが構成されている場合、Oracle Virtual Directoryによって応答していないサーバーが識別され、次に使用可能なサーバーに対して後続の操作が実行されます。
- pingプロトコル
-
ソース・ディレクトリ・サーバーにpingする際にOracle Virtual Directoryが使用するプロトコルとして「TCP」または「LDAP」のいずれかを選択します。ソース・ディレクトリ・サーバーがSSLを使用している場合は、「LDAP」を選択します。
ノート:
「TCP」プロトコル・オプションは「LDAP」オプションよりも高速ですが、ソース・ディレクトリ・サーバーのネットワーク・ソケットが使用可能であるがそのLDAPサーバー・プロセスを使用できない場合にソース・ディレクトリ・サーバーから不正確なレスポンスが作成されることがあります。
- pingバインドDN
-
「pingプロトコル」として「LDAP」を選択した場合は、そのLDAPバインドに使用するDNを指定します。
- pingバインド・パスワード
-
「pingプロトコル」として「LDAP」を選択した場合は、「pingバインドDN」設定で指定したDNのパスワードを指定します。
D.1.1.2 SSLで保護されているLDAPアダプタの認証局の管理
Oracle Virtual DirectoryからLDAPアダプタのSSLポートへのSSL接続が失敗し、次のメッセージが表示される場合があります。
Oracle Virtual Directory could not load certificate chain
次に、これが発生する2つの状況の例を示します。
-
SSLで保護されている新規LDAPアダプタを作成し、信頼されない認証局を使用した場合
-
SSLで保護されている既存のLDAPアダプタの証明書の期限が切れていて、新しい証明書が信頼されない認証局により署名されている場合
この問題を解決するには、証明書を信頼できることをOracle Virtual Directoryが認識できるように、LDAPサーバーの証明書、およびLDAPサーバーの証明書の署名に使用されたルート認証局の証明書の両方を、Oracle Virtual Directoryサーバーにインポートします。
次のkeytoolコマンドと適切な別名をすべて1つのコマンドラインで使用します。
ORACLE_HOME/jdk/jre/bin/keytool -import -trustcacerts -alias "NEW_CA" -file PATH_TO_CA_CERTIFICATE -keystore ORACLE_INSTANCE/config/OVD/ovd1/keystores/adapters.jks
Microsoft Active DirectoryおよびMicrosoft Certificate ServicesとのLDAPアダプタの使用
デフォルトでは、期限切れのActive Directory SSL証明書はMicrosoft Certificate Servicesによって自動的に更新されます。ただし、通常、この変更がクライアント・アプリケーションに自動的に通知されることはありません。これが行われた場合、更新されたActive Directoryサーバーに接続しているOracle Virtual Directory LDAPアダプタは機能を停止します。その場合は、Oracle Directory Services Managerを使用してLDAPアダプタを構成し、信頼できる証明書をインポートするとアダプタが再び機能するようになります。
ノート:
Active Directoryサーバーは、SSLサーバー認証のみをサポートします。このため、Active Directoryサーバー証明書に署名した認証局のルートCA証明書のみをOVDキーストアにロードする必要があります。Active Directoryサーバー証明書もロードされた場合、Sun JSSEの標準的な動作に基づき、信頼できる証明書の有効期限チェックをOVDは実行しません。
したがって、バックエンドLDAPサーバーによって送信された証明書が信頼できる証明書としてOVDキーストアに格納される場合、有効期限のチェックは実行されません。
D.1.2 データベース・アダプタの作成および構成
Access Managerのデータベース・アダプタを作成するには、『Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド』のデータベース・アダプタの作成に関する項を参照してください。
データベース・アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックし、「一般」タブをクリックして次に示すフィールドに値を設定し、「適用」をクリックしてアダプタの一般設定を構成できます。
ノート:
LDAPアダプタの構成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のデータベース・アダプタの構成に関する項を参照してください。
- ルート
-
このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
- アクティブ
-
アダプタは、アクティブ(有効)または非アクティブ(無効)として構成できます。非アクティブに構成されたアダプタは、サーバーの再起動時やアダプタの起動の試行時には起動しません。非アクティブの設定は、古い構成を使用可能な状態にしておく場合や、構成から削除せずにスタンバイ状態にしておく場合に使用します。デフォルト設定はアクティブです。
「一般」タブの「接続の設定」セクションには、次のフィールドが表示されます。
- URLタイプ
-
次の「URLタイプ」リストからオプションを1つ選択します。データベース・アダプタ接続設定の一部のフィールドは、選択するオプションによって異なります。オプションを選択したら、各オプションにリストされているフィールドを設定して、「接続の設定」の構成を続行します。
-
カスタムURLの使用: このオプションは、Oracle Virtual Directoryをカスタム・データベースに接続する場合に選択します。
-
「JDBCドライバ・クラス」フィールドに、データベースのJDBCドライバ・クラスの名前を入力します。
-
「データベースURL」フィールドに、Oracle Virtual Directoryがデータベースへのアクセスに使用するURLを入力します。
-
「データベース・ユーザー」フィールドに、データベース・アダプタがデータベースへの接続に使用するユーザー名を入力します。
-
「パスワード」フィールドに、「データベース・ユーザー」フィールドに入力したユーザー名のパスワードを入力します。このフィールドに入力する値は、起動時にOracle Virtual Directoryにより、可逆的にマスクされた値に置き換えられます。
-
-
事前定義済データベースの使用: このオプションは、事前定義済データベースに接続する場合に選択します。事前定義済データベースは、「URLタイプ」リストから「事前定義済データベースの使用」を選択した後に「データベース・タイプ」リストに表示されます。使用するデータベース・タイプがOracle Virtual Directoryに事前に定義されているか不明な場合は、「URLタイプ」リストから「事前定義済データベースの使用」を選択し、使用するデータベースが「データベース・タイプ」リストに含まれているかどうかを確認します。「データベース・タイプ」リストにデータベースがリストされている場合は、次のステップに進みます。データベースがリストされていない場合は、「URLタイプ」リストから「カスタムURLの使用」を選択し、カスタムURLを使用する場合のステップを実行します。
-
「データベース・タイプ」リストから、データベース・タイプを選択します。データベース・タイプを選択すると、「JDBCドライバ・クラス」および「データベースURL」フィールドにデータベースの適切な情報が移入されます。
-
「ホスト」フィールドに、データベースのIPアドレスまたはDNSホスト名を入力します。
-
「ポート」フィールドに、データベースがリスニングするポート番号を入力します。
-
「データベース名」フィールドに、Oracle SIDなどのデータベース名を入力します。
-
「データベース・ユーザー」フィールドに、データベース・アダプタがデータベースへの接続に使用するユーザー名を入力します。
-
「パスワード」フィールドに、「データベース・ユーザー」フィールドに入力したユーザー名のパスワードを入力します。このフィールドに入力する値は、起動時にOracle Virtual Directoryにより、可逆的にマスクされた値に置き換えられます。
-
-
「一般」タブの「設定」セクションには、次のフィールドが表示されます。
- Objectclassの変更の無視
-
データベースのオブジェクト・クラスは論理オブジェクトであり、マッピングで表の列に直接マップされないため、オブジェクト・クラス属性を変更するとエラーが発生することがあります。「Objectclassの変更の無視」オプションが有効化されている場合、データベース・アダプタによってオブジェクト・クラス属性の参照がすべて削除され、エラーはクライアント・アプリケーションに送信されず、無視されます。「Objectclassの変更の無視」オプションが選択されていない場合、エラー・メッセージはクライアント・アプリケーションに送信されます。
- オブジェクト・クラスのスーパー・クラスを含む
-
この設定を使用すると、データベース・アダプタにより、オブジェクト・クラス属性のメインのオブジェクト・クラスとともに、オブジェクト・クラスの親クラスもリストされます。Microsoft Active Directoryサーバーのスキーマをエミュレートする場合には、この設定を無効化します。objectclass=xxxという問合せが親のオブジェクト・クラス値に対して実行されるため、ほとんどのシナリオで、この設定を有効化しておくと便利です。
- 大/小文字区別なしの検索の有効化
-
「大/小文字区別なしの検索の有効化」オプションを有効化(選択)すると、uidなどの大/小文字の区別のないLDAP属性が、大/小文字区別なしで検索されます。Oracle Virtual Directoryは、「大/小文字区別なしの検索の有効化」オプションが有効な場合、SQL問合せのUPPERを使用します。データベースが、Oracle TimesTenデータベースまたはMySQLデータベースなどの機能別索引を保持できない場合は、「大/小文字区別なしの検索の有効化」オプションを無効にする必要があります。「大/小文字区別なしの検索の有効化」オプションを無効にすると、Oracle Virtual Directoryは大/小文字を区別して検索を実行し、SQL問合せのUPPERを使用しません。「大/小文字区別なしの検索の有効化」オプションのデフォルト値は、「有効」有効です。
- 最大接続数
-
この設定は、データベース・アダプタがデータベースに作成する最大接続数を定義します。
- 接続待機タイムアウト
-
この設定は、データベースとの接続の確立中、タイムアウトするまでにデータベース・アダプタが待機する期間(秒単位)を定義します。
「一般」タブの「DB/LDAPマッピング」セクションには、次のフィールドが表示されます。
- 使用データベース表
-
このフィールドには、データベース・アダプタが使用するように設定されているデータベース表が表示されます。データベース表を追加するには、「追加」ボタンをクリックし、表ファイルに移動して選択し、「OK」をクリックします。
「一般」タブの「オブジェクト・クラス」セクションには、次のフィールドが表示されます。
- オブジェクト・クラス
-
このフィールドには、データベース表にマップするオブジェクト・クラスとそのRDNが表示されます。オブジェクト・クラス・マッピングを追加するには、「作成」ボタンをクリックして「オブジェクト・クラス」リストから適切なオブジェクト・クラスを選択し、「RDN」フィールドにそのオブジェクト・クラスのRDN値を入力して「OK」をクリックします。
ノート:
データベース・アダプタの構成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のデータベース・アダプタの構成に関する項を参照してください。
D.1.3 カスタム・アダプタの構成
Access Managerのカスタム・アダプタを作成するには、『Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド』のカスタム・アダプタの作成に関する項を参照してください。
カスタム・アダプタを作成したら、「アダプタ」ツリーでアダプタ名をクリックし、「一般」タブをクリックして次に示すフィールドに値を設定し、「適用」をクリックしてアダプタの一般設定を構成できます。
ノート:
LDAPアダプタの構成の詳細は、『Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド』のカスタム・アダプタの構成に関する項を参照してください。
- ルート
-
このフィールドには、アダプタが情報を提供するルートDNを定義します。定義されているDNとその下の子エントリには、アダプタのネームスペースが含まれます。このフィールドに入力する値は、戻されるエントリのベースDN値です。たとえば、このフィールドにdc=mydomain,dc=comと入力すると、すべてのエントリはdc=mydomain,dc=comで終わります。
- アクティブ
-
アダプタは、アクティブ(有効)または非アクティブ(無効)として構成できます。非アクティブに構成されたアダプタは、サーバーの再起動時やアダプタの起動の試行時には起動しません。非アクティブの設定は、古い構成を使用可能な状態にしておく場合や、構成から削除せずにスタンバイ状態にしておく場合に使用します。デフォルト設定はアクティブです。
D.2 OAMPolicyControl Plug-InをOracle Access Manager 10gとともに使用する方法
ノート:
この項は、依然としてOracle Access Manager 10gを実行しているお客様にのみ関連します。OAMPolicyControlプラグインは、Access Manager 11gでは機能しません。
Oracle Virtual Directoryは、認証のためにLDAPを使用していて、Access Managerポリシー制御を使用する必要があるがAccess Managerと統合できないアプリケーションに対してOracle Virtual DirectoryとAccess Manager 10gの統合を簡素化するOAMPolicyControlプラグインを提供します。
D.2.1 OAMPolicyControlプラグインのデプロイの準備
OAMPolicyControlプラグインをデプロイする前に、次のことが必要です。
-
Access Managerポリシー構成を使用しているLDAPアダプタすべてについて、「バインド」パススルー設定を「なし」に設定します。
このプラグインは、すべての認証を処理し、プロキシ資格証明を使用してすべての操作を実行します。
-
Access Managerに対して別のアダプタを構成します。
これらのアダプタは、Access Managerポリシーを使用するには、OAMPolicyControlプラグインを使用する必要があります。これらのアダプタを同じOracle Virtual Directoryサーバーにデプロイする場合は、次のオプションのいずれかを構成する必要があります。
-
アダプタごとに異なるLDAPネームスペースを使用します。Access Managerのアダプタのネームスペースは、汎用LDAPクライアントが使用するネームスペースから独立したものにする必要があります。
-
「Oracle Virtual Directory」ビューを、別のAccess Managerアダプタに対するリクエストを区別するアクセス・レベルの基準を指定して使用します。
-
-
次のようにしてAccess Manager Access Serverを構成します。
-
Oracle Virtual Directoryに対応するプロキシ・リソースを作成します。
-
アイデンティティ・サーバーおよびアクセス・サーバー用のポリシー・ドメインを無効化します。これは、このプラグインがOBSSO Cookieをキャッシュしないためです。
-
-
AccessSDKを次のように構成します。
-
AccessServerSDK\oblix\tools\configureAccessGateを使用して、Access Manager Access Server用にAccessSDKインストールを構成します。
-
-Djava.library.pathがAccessSDKインストールを指すようにすることで、Oracle Virtual Directoryコンポーネントを起動するようにopmnを構成します。
INSTANCE_HOME/config/OPMN/opmn/opmn.xmlファイルを次のように編集します。
<ias-component id="ovd1"> <process-type id="OVD" module-id="OVD"> <module-data> <category id="start-options"> <data id="java-bin" value="$ORACLE_HOME/jdk/bin/java"/> <data id="java-options" value="-server -Xms512m -Xmx512m -Dvde.soTimeoutBackend=0 -Doracle.security.jps.config=$ORACLE_ INSTANCE/config/JPS/jps-config-jse.xml -Djava.library.path=AccessSDK_install_ dir/AccessSDK/AccessServerSDK/oblix/lib/"/> <data id="java-classpath" value="$ORACLE_ HOME/ovd/jlib/vde.jar$:$ORACLE_HOME/jdbc/lib/ojdbc6.jar"/> </category> </module-data> <stop timeout="120"/> </process-type> </ias-component> -
AccessSDK_install_dir/AccessServerSDK/oblix/libからORACLE_HOME/ovd/plugins/libにjobaccess.jarファイルをコピーします。
-
ノート:
前述の前提条件となる構成を正常に完了しないと、Oracle Virtual DirectorによってNoClassDefFoundエラーが生成されます。
D.2.2 OAMPolicyControlプラグインの構成パラメータ
OAMPolicyControlプラグインには、次の構成パラメータがあります。
ノート:
useAccessAuthPolicyを除く次のすべての構成パラメータが、OAMPolicyControlプラグインのデプロイに必要です。
- resourceIdOVD
-
Access Managerサーバーによって構成されるOracle Virtual Directory用のプロキシ・リソースを指定します。たとえば、//host:port/ovd_proxy_resourceなどです。
- identityproxyid
-
identityproxyidパラメータは、アイデンティティ・サーバーに対する認証に使用され、管理者のusernameAttributeの値を指定します。
- install_dir
-
必須ライブラリを含むAccessSDKインストール・ディレクトリを指定します。たとえば、AccessSDK_INSTALL_DIRECTORY/AccessServerSDK/などです。
- OrclOVDEncryptedproxypasswd
-
アイデンティティ・サーバーに対する認証用の管理者パスワード。
- identityEndpointAddress
-
アイデンティティ・サーバーのum_modifyUser Webサービスのリスニング・エンドポイントに対応するURLを指定します。たとえば、http://host:port/identity/oblix/apps/userservcenter/bin/userservcenter.cgiなどです。
- usernameAttribute
-
アイデンティティ・サーバーのログイン属性となるように構成される属性を指定します。たとえば、uidやgenUserIdです。
- useAccessAuthPolicy
-
useAccessAuthPolicyは、オプションの大文字小文字を区別しないパラメータであり、プロキシ・リソースにアクセスする際のAccess Managerサーバーの認証ポリシーの使用方法を決定します。サポートされている値はTrueおよびFalseです。デフォルト設定はFalseです。