レプリケーション・ゲートウェイとしてのOracle Unified Directoryの設定

5 レプリケーション・ゲートウェイとしてのOracle Unified Directoryの設定

レプリケーション・ゲートウェイは、Oracle Directory Server Enterprise EditionとOracle Unified Directoryの間でレプリケーションを有効にします。この主な目的は、Oracle Directory Server Enterprise Editionデプロイメントからの移行を容易にすることです。グラフィカル・ユーザー・インタフェースまたはコマンドライン・ユーティリティを使用して、Oracle Unified Directoryレプリケーション・ゲートウェイを設定できます。

内容は次のとおりです。

5.1 レプリケーション・ゲートウェイを設定する前に

レプリケーション・ゲートウェイ・インスタンスを設定する前に、次の条件を確認します。

次の点に注意してください。

Oracle Directory Server Enterprise Edition構成とOracle Unified Directory構成との矛盾を考慮に入れるように、トポロジ内のOracle Unified Directoryサーバーを構成する必要があります。

ds2oudコマンドを実行して、レプリケートされたトポロジ内のOracle Directory Server Enterprise Editionサーバーと共存するようにOracle Unified Directoryディレクトリ・サーバーを構成します。『Oracle Unified Directoryの管理』のOracle Directory Server Enterprise EditionとOracle Unified Directory間のレプリケーションに関する項を参照してください。
レプリケーション・ゲートウェイに接続されるOracle Directory Server Enterprise Editionサーバーは、レプリケーション用に構成され、マスター・レプリカである必要があります。

Oracle Directory Server Enterprise Editionのレプリケートされるサフィックスにおいて、レプリケーションを有効化する必要があります。これは、トポロジ内のOracle Directory Server Enterprise Editionサーバーが1つのみである場合でも当てはまります。
レプリケーション・ゲートウェイの設定では、Oracle Unified DirectoryサーバーおよびOracle Directory Server Enterprise Editionサーバーへの接続が試行されます。したがって、これらのサーバーが稼働している必要があります。

5.2 グラフィカル・ユーザー・インタフェース(GUI)を使用したレプリケーション・ゲートウェイの設定

GUI設定ではJavaベースのグラフィカル・インストーラが使用されるため、レプリケーション・ゲートウェイの設定および構成が可能です。

グラフィカル・ユーザー・インタフェースを使用してレプリケーション・ゲートウェイ・サーバーのインスタンスを構成するには:

ソフトウェアをインストールしたら、OUD_ORACLE_HOMEサブディレクトリに移動します。

UNIXおよびLinuxシステムの場合:
```
$ cd OUD-base-location/OUD_ORACLE_HOME
```
Windowsシステムの場合:
```
C:\> cd OUD-base-location\OUD_ORACLE_HOME
```
JAVA_HOME環境変数が、サポートされているJVMインストール(Java 1.8以上)に設定されていることを確認します。
oud-replication-gateway-setupコマンドを実行し、レプリケーション・ゲートウェイ・インストールを構成します。

UNIXおよびLinuxシステムの場合:
```
$ oud-replication-gateway-setup
```
Windowsシステムの場合:
```
C:\> oud-replication-gateway-setup.bat
```
このユーティリティはグラフィカル・インストーラを起動して、OUD-base-location/instance-dirにレプリケーション・ゲートウェイ・インスタンスを作成します。

デフォルトのインスタンス・ディレクトリ名はasinst_1であり、asinst_2、asinst_3などの名前を持つ同じサーバー上に後続のインスタンスが設定されます。別のインスタンス名を指定するには、設定を実行する前にINSTANCE_NAME環境変数を、たとえば次のように設定します:
```
$ export INSTANCE_NAME=my-oud-instance
```
「ようこそ」画面で、「次へ」をクリックします。

レプリケートされたトポロジ内のOracle Directory Server Enterprise Editionサーバーと共存するようにOracle Unified Directoryディレクトリ・サーバーを構成したことを確認するよう求める確認メッセージが表示されます。この構成が完了している場合は、「はい」をクリックします。完了していない場合は「いいえ」をクリックし、インストーラを終了してds2oudコマンドを実行し、レプリケーション・ゲートウェイをインストールする前に必要な構成を実行します。

『Oracle Unified Directoryの管理』のOracle Directory Server Enterprise EditionとOracle Unified Directoryの間のレプリケーションに関する項を参照してください。

「レプリケーション・ゲートウェイの管理」画面が表示されます。
次の情報を入力します。
- ホスト名: このレプリケーション・ゲートウェイ・インスタンスのホスト名またはIPアドレスを入力します。
  
  デフォルトはローカル・ホスト名です。
- 管理コネクタ・ポート: 管理トラフィックに使用されるポートを入力します。
  
  デフォルトの管理ポートは4444です。『Oracle Unified Directoryの管理』のサーバーへの管理トラフィックの管理に関する項を参照してください。
- ルート・ユーザーDN: ルート・ユーザーDNを入力するか、デフォルトのcn=Directory Managerをそのまま使用します。
- パスワード: ルート・ユーザーのバインド・パスワードを入力します。
- パスワード(確認): ルート・ユーザーのバインド・パスワードを再入力します。
「次へ」をクリックします。

「ODSEEサーバーの設定」画面が表示されます。
次の情報を入力します。
- ホスト名: ODSEEディレクトリ・サーバーのホスト名またはIPアドレスを入力します。
  
  デフォルトはローカル・ホスト名です。
- ポート: ODSEEディレクトリ・サーバーのLDAPポートを入力します。
- バインドDN: Oracle Directory Server Enterprise Editionサーバーへのアクセスに使用されるバインドDNを入力するか、デフォルトのcn=Directory Managerをそのまま使用します。
- パスワード: バインド・パスワードを入力します。
- Oracle Unified Directoryサーバーが読取り専用サーバーである場合、最初のチェック・ボックスの選択を解除します。そうでない場合は選択した状態にしておきます。
- ゲートウェイとOracle Directory Server Enterprise Editionサーバーの間のトラフィックを保護するには:
  1. 「ODSEEとレプリケーション・ゲートウェイの間でSSLを使用する」チェック・ボックスを選択します。
  2. 上記で指定したポートがOracle Directory Server Enterprise Editionサーバーのセキュア・ポートであることを確認します。
  3. 「クライアント認証を使用する」チェック・ボックスを選択し、「変更」をクリックして証明書を構成します。
    
    このチェックボックスを選択した場合、Oracle Unified DirectoryとODSEE (逆も同様)の間にセキュアな通信を使用することを示します。セキュアな通信のために、ODSEEからOracle Unified Directoryへのレプリケーション時に使用される証明書ベースの認証メカニズムは、さらにSASLおよび証明書マッパー構成に依存します。
    ノート:
    ODSEE構成の観点から、次の点を確認します。レプリケーション・ゲートウェイの設定に進む前に、構成が完了していることを確認します。
    - ODSEEインスタンスが複数ある場合は、証明書が正しく交換されていることを確認します。
    - SSLポートを使用してレプリケーション承諾が有効化されていることを確認します。
    - 証明書に従って、<ODSEE INST>/aliseにあるcertmap.confを正しい詳細で変更します。
      
      このファイルは、LDAPエントリに証明書をマップする方法を示します。また、「cn=replication manager, cn=replication, cn=config」を変更して、証明書のバイナリ形式を追加します。
    Oracle Unified Directory構成の観点から、次の点を確認します。レプリケーション・ゲートウェイの設定が完了した後に、次の構成が実行されていることを確認します。
    - レプリケーション・ゲートウェイの設定。
      
      ゲートウェイのインストールの完了後、表示されたPOSTコマンドに従います。次に、その一部について説明します。
    - レプリケーション・ゲートウェイ証明書をエクスポートし、レプリケートする必要のある各ODSEEインスタンスに追加します。
    - DN「cn=replication manager, cn=replication, cn=config」を、バイナリ形式のODSEEインスタンス証明書を含むusercertifcate属性で変更します。
    証明書ベースの認証プロセスを行わない場合は、チェックボックスを選択解除したままにして、ゲートウェイ・レプリケーションを続行します。
- ODSEE Directory Service Control Centerレジストリへの登録を含むレプリケーション監視を設定するには、次の情報を入力します。
  1. 「ODSEEとレプリケーション・ゲートウェイの間でDSCCモニタリングを有効化する」チェック・ボックスを選択します。
  2. DSCC Directory Service Manager: Directory Service Managerのユーザー名を入力します。
  3. DSCC Directory Service Managerのパスワード: Directory Service Managerのパスワードを入力します。
  4. DSCCレジストリ・ホスト名: DSCCレジストリ・ホストのホスト名またはIPアドレスを入力します。
  5. DSCCレジストリ・ポート: DSCCレジストリ・ホストのポート番号を入力します。
- 「次へ」をクリックします。
「レプリケーション設定の確認」画面が表示されます。
ODSEEレプリケーション設定を確認し、「次へ」をクリックします。

「ODSEEレプリケーション用のポート」画面が表示されます。
Oracle Directory Server Enterprise Editionのレプリケーション更新に使用されるレプリケーション・ゲートウェイ・インスタンスのポートを入力します。
「次へ」をクリックします。

「Oracle Unified Directoryサーバーの設定」画面が表示されます。
次の情報を入力します。
- ホスト名: ディレクトリ・サーバーのホスト名またはIPアドレスを入力します。
  
  デフォルトはローカル・ホスト名です。
- 管理コネクタ・ポート: 管理トラフィックに使用されるポートを入力します。
  
  デフォルトの管理ポートは4444です。『Oracle Unified Directoryの管理』のサーバーへの管理トラフィックの管理に関する項を参照してください。
- グローバル管理者のユーザーID: Oracle Unified Directoryインスタンスのレプリケーションを管理するために定義されたグローバル管理者の名前を入力します。
  
  グローバル管理者が定義されていない場合、ルート・ユーザー・バインドDNを入力します。
- グローバル管理者のパスワードを入力します。
「次へ」をクリックします。
証明書を受け入れます。
Oracle Unified Directoryサーバーがレプリケーション用に以前構成されていない場合、次のステップを実行します。
- このディレクトリ・サーバーのレプリケーション・ポート番号を入力します。
- 新規グローバル管理者のUIDおよびパスワードを指定します。
レプリケーション設定を確認し、「次へ」をクリックします。

「レプリケートされるベースDN」画面が表示されます。
Oracle Directory Server Enterprise EditionサーバーとOracle Unified Directoryサーバーの間でレプリケートされるサフィックスを選択します。
「確認」画面で最終的なトポロジを確認し、「完了」をクリックしてインストールを完了します。

ドロップダウン・リストの「サマリーの表示」メニュー項目を選択すると、結果トポロジのテキスト形式サマリーが表示されます。

「トポロジの表示」メニュー項目を選択すると、トポロジのグラフィカル・サマリーが表示され、結果トポロジの物理的な着想を得るのに役立ちます。

「同等のコマンド行の表示」メニュー項目を選択すると、レプリケーション・ゲートウェイの構成で実行されるすべてのコマンドが表示されます。この項目は、2つのサーバー間でレプリケーションを開始するために必要な次のステップについても情報を提供します。『Oracle Unified Directoryの管理』のOracle Directory Server Enterprise EditionとOracle Unified Directoryの間のレプリケーションに関する項を参照してください。
「完了」をクリックして設定を完了します。
レプリケーションが成功するように、ODSEEサーバー・ホストで次のコマンドを実行します。
```
dsadm export \
          -f opends-export \
          <DSEE Instance1> \
          <Base DN> \
          {exportedLDIFPath}
```
{exportedLDIFPath}は、生成されるLDIFファイルのパスです。このファイルにレプリケート対象データが格納されます。

レプリケーションが成功するように、Oracle Unified Directoryサーバーで次のコマンドを実行します。

dsreplication pre-external-initializationコマンドを実行します。

asinst/OUD/bin/dsreplication pre-external-initialization \
          --hostname <OUD hostname> \
          --port <OUD Admin port> \
          --adminUID <Provide Admin UID> \
          --adminPasswordFile <Password file> \
          --baseDN <Base DN> \
          --trustAll \
          --no-prompt \
          --noPropertiesFile

import-ldifコマンドを実行します。最初のステップで生成されたLDIFファイルを、Oracle Unified Directoryサーバーがアクセス可能なディレクトリにコピーして、レプリケート対象データを格納するOracle Unified Directoryサーバーごとに次のコマンドを実行します。

asinst/OUD/bin/import-ldif \
          --hostname <OUD Hostname> \
          --port <OUD Admin port> \
          --bindDN <Bind DN> \
          --bindPasswordFile <Password file> \
          --includeBranch <Base DN> \
          --ldifFile {exportedLDIFPath} \
          --clearBackend \
          --trustAll \
          --noPropertiesFile

dsreplication post-external-initializationコマンドを実行します。

asinst/OUD/bin/dsreplication post-external-initialization \
          --hostname <OUD Hostname> \
          --port <OUD Admin Port> \
          --adminUID <Provide Admin UID> \
          --adminPasswordFile <Password file> \
          --baseDN <Base DN> \
          --trustAll \
          --no-prompt \
          --noPropertiesFile

5.3 コマンドライン・インタフェース(CLI)を使用したレプリケーション・ゲートウェイの設定

コマンドライン設定は、対話型と非対話型のどちらでも使用できます。非対話型設定では、ユーザーが介入せずにサーバーを構成できます。対話型設定では、構成の開始前に必要な情報の入力が求められます。

ノート:

コマンド行設定は複雑であるため、スクリプト記述でのみ使用することをお薦めします。レプリケーション・ゲートウェイの設定にはGUIを使用することをお薦めします。

コマンドラインを使用してレプリケーション・ゲートウェイを設定するには:

$ oud-replication-gateway-setup --cli

対話型コマンド行モードでは、必要な構成詳細の指定が求められます。たとえば:

$ oud-replication-gateway-setup --cli
OUD Instance location successfully created - /local/OUD_BASE/Oracle_OUD1/../asinst_4
The migration utility ds2oud must be run to configure the OUD servers before
setting up the replication gateway.
If you have executed ds2oud type 'yes' to continue, type 'no' otherwise. (yes
/ no) [yes]: yes
 
Oracle Unified Directory 11.1.2.1.0
Please wait while the replication gateway setup program initializes ..... Done.
 
====================================================================
Replication gateway administration settings
====================================================================
 
You must provide the fully-qualified name of the host where the replication
gateway will be installed.  The ODSEE server and Oracle Unified Directory
servers in the replication topology must be able to access this host name
[server1]:
 
What would you like to use as the initial root user DN for the replication
gateway? [cn=Directory Manager]:

スクリプト記述を容易にするために、--no-promptオプションを使用して、非対話型モードでレプリケーション・ゲートウェイを設定することもできます。次の例では、非対話型モードでの標準的なレプリケーション・ゲートウェイ設定を示しています。

$ oud-replication-gateway-setup --cli --hostname localhost \
  --adminConnectorPort 4444 --replicationPortForLegacy 2389 \
  --rootUserDN "cn=Directory Manager" --rootUserPasswordFile pwd-file \
  --baseDN dc=example,dc=com --hostNameLegacy ODSEE-host \
  --portLegacy 1389 --doNotUpdateTrustStoreWithLegacyCertsArg \
  --bindDNLegacy "cn=Directory Manager" --bindPasswordFileLegacy pwd-file \
  --hostNameNg OUD-host --portNg 4444 --adminUID admin \
  --adminPasswordFile pwd-file --trustAll --no-prompt \
  --noPropertiesFile --doNotMonitorUsingDsccLegacy

次の例では、ODSEE Directory Service Control Centerレジストリへの登録を含む、非対話型モードでの標準的なレプリケーション・ゲートウェイ設定を示しています。この構成は、ODSEEモニタリング・インタフェースを使用して、レプリケートされた変更をモニターする場合に役立ちます。

$ oud-replication-gateway-setup --cli --hostname localhost \
  --adminConnectorPort 4444 --replicationPortForLegacy 2389 \
  --rootUserDN "cn=Directory Manager" --rootUserPasswordFile pwd-file \
  --baseDN dc=example,dc=com --hostNameLegacy ODSEE-host \
  --portLegacy 1389 --doNotUpdateTrustStoreWithLegacyCertsArg \
  --bindDNLegacy "cn=Directory Manager" --bindPasswordFileLegacy pwd-file \
  --hostNameNg OUD-host --portNg 4444 --adminUID admin \
  --adminPasswordFile pwd-file --trustAll --no-prompt --noPropertiesFile \
  --dsccHostLegacy  gnb10492 --dsccPortLegacy 3998 --dsccAdminUidLegacy admin \
  --dsccPasswordFileLegacy pwd-file

『Oracle Unified Directoryの管理』のoud-replication-gateway-setupに関する項を参照してください。

5.4 レプリケーション・ゲートウェイの設定の確認

レプリケーション・ゲートウェイが設定済で正しく機能していることを確認するには、Oracle Unified Directoryサーバーにエントリを追加します。新しく追加したエントリがOracle Directory Server Enterprise Editionサーバーに正常にレプリケートされたことを確認します。

次の例では、Oracle Unified Directoryサーバーにユーザー・エントリが追加されます。

$ ldapmodify -a -h oud-host -p 1389 -D "cn=directory manager" -j pwd-file 
dn: uid=bjensen,ou=People,dc=example,dc=com 
objectclass: top 
objectclass: person 
objectclass: organizationalPerson 
objectclass: inetorgPerson 
uid: bjensen 
givenName: Barbara 
sn: Jensen 
cn: Babs Jensen 
telephoneNumber: (408) 555-3922 
facsimileTelephoneNumber: (408) 555-4000 
mail: bjensen@example.com 
userPassword: secret 
 
Processing ADD request for uid=bjensen,ou=People,dc=example,dc=com
ADD operation successful for DN uid=bjensen,ou=People,dc=example,dc=com

次の例では、そのユーザー・エントリがOracle Directory Server Enterprise Editionサーバー上で検索されます。

$ ldapsearch -h odsee-host -p 1389 -D "cn=directory manager" -j pwd-file -b "ou=people,dc=example,dc=com" ("uid=bjensen")

version: 1
dn: uid=bjensen, ou=People, dc=example,dc=com
cn: Barbara Jensen
cn: Babs Jensen
sn: Jensen
givenName: Barbara
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
ou: Product Development
ou: People
l: Cupertino
uid: bjensen
mail: bjensen@example.com
telephoneNumber: +1 408 555 1862
facsimileTelephoneNumber: +1 408 555 1992
roomNumber: 0209
userPassword: {SSHA}rDLnCHlFRhyAcBM7GZpby0MrwfxzTlIEdG7WYA==

5.5 WebLogic Scripting Toolを使用したレプリケーション・ゲートウェイの設定

WebLogic Scripting Tool (WLST)を使用して、レプリケーション・ゲートウェイ・サーバーを設定できます。oud-replication-gateway-setupスクリプトで oud_createInstanceを実行し、WLSTを使用してレプリケーション・ゲートウェイ・サーバー・インスタンスを設定します。

レプリケーション・ゲートウェイ・インスタンスを設定する前に、次の操作を行う必要があります。

Oracle Directory Server Enterprise Edition構成とOracle Unified Directory構成との矛盾を考慮に入れるように、トポロジ内のOracle Unified Directoryサーバーを構成する必要があります。『Oracle Unified Directoryの管理』のOracle Directory Server Enterprise EditionとOracle Unified Directoryの間のレプリケーションに関する項を参照してください。

ds2oudコマンドを実行して、レプリケートされたトポロジ内のOracle Directory Server Enterprise Editionサーバーと共存するようにOracle Unified Directoryディレクトリ・サーバーを構成します。『Oracle Unified Directoryの管理』のds2oudに関する項を参照してください。
レプリケーション・ゲートウェイに接続されるOracle Directory Server Enterprise Editionサーバーは、レプリケーション用に構成され、マスター・レプリカである必要があります。

Oracle Directory Server Enterprise Edition内では、レプリケートされた接尾辞でレプリケーションを有効化する必要があります。これは、トポロジ内のOracle Directory Server Enterprise Editionサーバーが1つのみである場合でも当てはまります。
レプリケーション・ゲートウェイの設定では、Oracle Unified DirectoryサーバーおよびOracle Directory Server Enterprise Editionサーバーへの接続が試行されます。したがって、これらのサーバーが稼働している必要があります。

WLSTを使用してレプリケーション・ゲートウェイ・サーバー・インスタンスを構成するには:

WLSTを起動する前に、PRODUCT_HOMEおよびDOMAIN_HOME環境変数を設定します。
```
export PRODUCT_HOME=/scratch/user/middleware/oracle_home
export DOMAIN_HOME=/scratch/user/middleware/oracle_home/user_projects/domains/base_domain
```
PRODUCT_HOMEはORACLE_HOMEとほぼ同じです。製品のインストール時にユーザーが指定するディレクトリを示します。ただし、DOMAIN_HOMEは、構成するドメインが作成されるディレクトリです。
WLSTを起動します。
UNIXおよびLinuxシステムの場合:
```
$ ORACLE_HOME/oracle_common/common/bin/wlst.sh
```
Windowsシステムの場合:
```
C:\> ORACLE_HOME\oracle_common\common\bin\wlst.cmd
```
ORACLE_HOMEは、インストール時に指定したOracleホーム・ディレクトリです。

スクリプト名oud-replication-gateway-setupでoud_createInstanceを実行し、レプリケーション・ゲートウェイ・インスタンスを作成します。

oud_createInstance(scriptName='oud-replication-gateway-setup',instanceName='oud_repl',hostname='localhost', 
adminConnectorPort=7444,replicationPortForLegacy=2989,rootUserDN='cn=Directory\ Manager',
rootUserPasswordFile='/scratch/user/work/password.txt',baseDN='dc=example,dc=com',hostNameLegacy='localhost',portLegacy=4389, 
bindDNLegacy='cn=Directory\ Manager',bindPasswordFileLegacy='/scratch/user/work/password.txt', 
adminPasswordFile='/scratch/user/work/password.txt',hostNameNg='localhost',portNg=4444,bindDNNg='cn=Directory\ Manager', 
bindPasswordFileNg='/scratch/user/work/password.txt',dsccHostLegacy='localhost',dsccPortLegacy=3998,dsccAdminUidLegacy='admin', 
dsccPasswordFileLegacy='/scratch/user/work/password.txt',trustAll='')

scriptNameは、OUDに基づく設定スクリプトを示します。このパラメータの値には、[oud-setup、oud-proxy-setup、oud-replication-gateway-setup]のいずれかを指定できます。

instanceNameはインスタンスの名前を示します。たとえば、oud_replなどです。

ノート:

trustAll、noPropertiesFileなどの値を持つことができない引数も、カスタムWLSTコマンドで使用できます。これらの引数には、空の値を渡す必要があります。たとえば、trustAll=''またはnoPropertiesFile=''などです。

ゲートウェイ・インスタンスはOracle Directory Server Enterprise Edition (ODSEE)インスタンスとOracle Unified Directoryインスタンスの間に作成されます。このため、ゲートウェイ・インスタンスの作成時にはOracle Directory Server Enterprise Editionサーバー・オプションも指定する必要があります。

残りのパラメータとその説明については、『Oracle Unified Directoryの管理』のoud-replication-gateway-setupに関する項を参照してください。

出力:

Initializing basic replication gateway configuration ..... Done.
The replication gateway will be started now temporarily to be configured
Starting Replication Gateway ....... Done.
Updating Registration Information ..... Done.
Configuring Oracle Unified Directory server localhost:4444 ..... Done.
Initializing Registration Information ..... Done.
Configuring Replication Gateway ..... Done.
Configuring ODSEE server localhost:4389 ..... Done.
Stopping Replication Gateway ............... Done.

The replication gateway setup has completed successfully
Successfully created OUD instance