1 Oracle Unified Directoryの概要
この項では、次の項目について説明します。
1.1 Oracle Unified Directoryの理解
Oracle Unified Directoryは、次世代の包括的なディレクトリ・サービスです。大規模なデプロイメントに対応し、高パフォーマンスを提供できるように設計され、拡張性に優れています。Oracle Unified Directoryは、簡単にデプロイ、管理およびモニターできます。
次の各トピックでは、Oracle Unified Directoryの概要について説明します。
1.1.1 Oracle Unified Directoryのコンポーネントの概要
ディレクトリ・サーバーのパフォーマンスの堅牢性を確保するために、Oracle Unified Directoryのいくつかのコンポーネントを定義できます。
Oracle Unified Directoryのコンポーネントには次のものがあります。
-
LDAPディレクトリ・サーバー。データの格納に使用します。
「ディレクトリ・サーバーの概要」を参照してください。
-
プロキシ・サーバー。データが格納されているディレクトリ・サーバーとクライアントの間のインタフェースとして動作します。
「プロキシ・サーバーの概要」を参照してください。
-
レプリケーション・ゲートウェイ。Oracle Unified DirectoryとOracle Directory Server Enterprise Editionの間に位置します。
「レプリケーション・ゲートウェイの概要」を参照してください。
使用する必要があるOracle Unified Directoryサーバー・モードの詳細は、「Oracle Unified Directoryのインストール・タイプの理解」を参照してください。
1.1.2 Oracle Unified Directoryのインストール・タイプの理解
Oracle Unified Directoryサーバーの動作モードは、要件に応じてこのソフトウェアをインストールする方法によって決まります。要件に応じてインストール・タイプを選択できます。
Oracle Unified Directoryのインストール時には、次のインストール・タイプを使用できます。
1.1.2.1 ディレクトリ・サーバーの設定について
ディレクトリ・データを含むLDAPディレクトリ・サーバーを作成するには、『Oracle® Fusion Middleware Oracle Unified Directoryのインストール』のディレクトリ・サーバーとしてのOracle Unified Directoryの設定に関する項の説明に従って、Oracle Unified Directoryをディレクトリ・サーバーとしてインストールします。
1.1.2.2 プロキシ・サーバーの設定について
データを格納するディレクトリ・サーバーとクライアントの間のインタフェースとしてサーバーを使用する場合、プロキシ・サーバーとしてOracle Unified Directoryをインストールします。プロキシ・サーバーにはデータは格納されません。ロード・バランシングまたはデータ分散を通じて、クライアント・リクエストを処理します。『Oracle® Fusion Middleware Oracle Unified Directoryのインストール』のプロキシ・サーバーとしてのOracle Unified Directoryの設定に関する項を参照してください。
ノート:
ここで説明されている仮想ディレクトリ機能を使用するには、有効なOracle Directory Service Plus
ライセンスが必要です。
1.1.2.3 レプリケーション・ゲートウェイ・サーバーの設定について
Oracle Unified Directoryサーバーを使用してOracle Unified DirectoryとOracle Directory Server Enterprise Editionの間で情報をレプリケートする場合、レプリケーション・ゲートウェイとしてOracle Unified Directoryをインストールします。『Oracle® Fusion Middleware Oracle Unified Directoryのインストール』のレプリケーション・ゲートウェイとしてのOracle Unified Directoryの設定に関する項を参照してください。
1.1.3 Oracle Unified Directoryと他のディレクトリの同期の理解
Oracle Directory Integration Platformを使用して、Oracle Unified Directoryと他のディレクトリを同期できます。Oracle Directory Integration Platformは、ディレクトリと他のリポジトリの間の同期とプロビジョニングのソリューションを支援する一連のサービスとインタフェースで構成されます。
ディレクトリ統合プラットフォームを使用してOracle Unified Directoryの同期を有効にするには、Oracle Unified Directory変更ログを有効にする必要があります。
ディレクトリ統合プラットフォームの同期には、次の方法があります:
ノート:
Oracle Directory Integration Platformは、Oracle Identity Managementリリース11.1.1.6.0以上をインストールすることで入手できます。
1.1.3.1 Oracle Unified DirectoryとOracle Internet Directoryの間の同期の理解
Oracle Directory Integration Platform 11.1.1.5以上で、Oracle Internet DirectoryとOracle Unified Directoryの間の同期がサポートされています。同期手順の詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platform管理者ガイド』のOracle Directory Server Enterprise Editionとの統合(接続済ディレクトリ)に関する項を参照してください。
ノート:
Oracle Directory Server Enterprise Editionは、旧名Sun Java System Directory Serverです。同期が正常に動作するには、ガイドでSJSDS
と参照されている箇所をすべてOUD
に置き換える必要があります。Oracle Directory Integration Platformは、Oracle Identity Managementリリース11.1.1.6.0以上をインストールすることで入手できます。
1.2 ディレクトリ・サーバーの概要
ディレクトリ・サーバーは、アイデンティティ・プロファイル、ユーザー資格証明、アクセス権限、アプリケーション・リソース情報、ネットワーク・リソース情報などの情報を格納および管理するための中央リポジトリを提供します。Oracle Unified Directoryサーバーは、データを格納するための、すべてJavaで記述されているLDAPv3準拠ディレクトリ・サーバーです。
ディレクトリ・サーバーには、次の高レベルの機能が組み込まれています:
-
LDAPv3 (RFC 4510-4519)に完全準拠し、多数の標準および実験的拡張をサポート
-
高パフォーマンス、高スペース効率のデータ・ストレージ
-
構成と管理が容易
-
非常に拡張性の高い管理フレームワーク。この後にリストされている機能のほとんどをカスタマイズできます。
-
管理コネクタ。サーバーへのすべての管理トラフィックを管理します。管理コネクタを使用すると、ユーザー・トラフィックと管理トラフィックを分離して、ロギングとモニタリングを簡素化し、ユーザー・データを操作するコマンドよりも管理コマンドが優先されることを保証できます。
-
グラフィカルなコントロール・パネル。サーバー・ステータス情報を表示し、サーバーとデータの基本的な管理操作を実行できます。
-
各種コマンド行ユーティリティ。構成、管理タスク、基本モニタリングおよびデータ管理を支援します。メイン構成ユーティリティ(
dsconfig
)には、大部分の構成タスクを段階的に実行できる対話モードがあります。
-
-
高度なレプリケーション・メカニズム
-
強化されたディレクトリ・サーバー・インスタンス間のマルチマスターのレプリケーション。
-
保証レプリケーション機能。データの高可用性および特定のデプロイメント要件におけるデータの即時可用性を保証します。
-
部分レプリケーション機能
-
ディレクトリ・サーバー・データベースで発生したすべての変更を公開する外部変更ログのサポート。
-
-
拡張可能セキュリティ・モデル
-
様々なレベルの認証と機密性のサポート
-
権限に基づくリソースへのアクセス
-
高度なアクセス制御メカニズム
-
-
多面的なモニタリング機能
-
豊富なユーザー管理機能
-
パスワード・ポリシー
-
アイデンティティ・マッピング
-
アカウント・ステータス通知
-
1.3 プロキシ・サーバーの概要
プロキシ・サーバーは、大規模ネットワークからリソースを求めるクライアントによるリクエストのブリッジとして動作します。プロキシ・サーバーによりパフォーマンスとセキュリティが向上します。Oracle Unified Directoryは、ロード・バランシング、フェイルオーバー、データ分散およびグローバル索引をサポートしています。
次の各トピックでは、Oracle Unified Directoryのプロキシ・コンポーネントの概要を簡単に説明します。
1.3.1 プロキシ・サーバーの理解
Oracle Unified Directoryプロキシは、データを格納しないで、クライアントからのLDAPリクエストを企業全体に分散しているディレクトリ・サーバーにルーティングするLDAPv3準拠サーバーです。
このプロキシは、複数のディレクトリ・サーバーまたは複数のデータ・センター、あるいはその両方の全体に分散しているディレクトリ・サービス・デプロイメントへのエントリ・ポイントです。クライアント・リクエストはすべて、プロキシによって適切なリモートLDAPサーバーにルーティングされます。Oracle Unified Directoryプロキシ・コンポーネントは、Oracle Unified DirectoryサーバーやOracle Directory Server Enterprise Editionなど、任意のLDAP v3準拠ディレクトリ・サーバーと連携して動作できます。
データ・リクエストをリモートLDAPサーバーに転送するには、ロード・バランシングまたはデータ分散、あるいはその両方を使用するようプロキシ・コンポーネントを構成します。
Oracle Unified Directoryプロキシは、oud-proxy-setup
を使用して、非常に単純な構成またはレプリケーションを使用するより複雑なシナリオのどちらでもデプロイできます。いくつかの単純なデプロイメントの詳細は、「プロキシ・サーバーを使用するデプロイメントの理解」を参照してください。
ノート:
プロキシ・コンポーネントをデータストアとして直接使用することはできません。
プロキシは、クライアントとリモートLDAPサーバーの間のインタフェースとして、必要に応じてセキュアな接続を保証するために、様々なセキュリティ機能を提供します。「プロキシ/データ・ソース間のセキュリティ構成」を参照してください。
Oracle Unified Directoryプロキシを構成する要素の詳細は、「プロキシ、分散および仮想化機能の理解」を参照してください。
1.3.2 プロキシ・サーバーの使用の理解
プロキシは、クライアントとデータ・ソース(単一サーバー、レプリケートされたサーバーまたはデータ・センターの場合)の間のすべての接続を管理します。したがって、データ・ソースのロード・バランシング、データ分散およびセキュリティの処理など、クライアント接続に関するすべてのルールを集中管理します。
ロード・バランシング用にプロキシをデプロイする場合、プロキシが受信するリクエストはすべて、デプロイメント時に設定されたロード・バランシング・アルゴリズムに基づいて、いずれかのリモートLDAPサーバーにルーティングされます。このルーティングにより、プロキシが通信する必要があるバックエンド・ディレクトリ・サーバーを特定し、各ディレクトリ・サーバーが受信する必要があるクライアントの総ロードに対する割合を指定できます。構成後は、プロキシは自動的に、構成で定義されているロード条件に従って、クライアント問合せを複数のディレクトリ・サーバーに分配します。
高可用性ディレクトリ・サービスをデプロイするには、レプリケートされたディレクトリ・サーバーを少なくとも2つ用意する必要があります。最初のサーバーで処理できなかったリクエストがバックアップ・サーバーによって処理されることを保証するには、すべてのクライアントが両方のデータ・ソースのアドレスを認識し、プライマリ・サーバーでの失敗はバックアップ・サーバーにそのリクエストを再送信することで処理するようにコーディングされていることを保証する必要があります。プロキシでリクエストのフェイルオーバーとロード・バランシングが処理されるので、高可用性とスケーラビリティが単純化されます。
一般に、1つのサーバーのみを使用してデプロイメントのすべてのデータを格納する場合、データ・ストアが大きすぎると、パフォーマンスの問題が発生します。この問題は、1つのサーバーを複数のサーバーに置き換えて、それらのサーバーにデータを分散させることで解決できます。この場合、各クライアント・アプリケーションが、そのデータを検索するサーバーを認識する必要があります。プロキシを使用すると、各アプリケーションの分散情報をレプリケートする必要はなくなります。これは、リクエストを適切なデータ・ソースに分散する処理を、プロキシが管理するからです。この場合、クライアント・アプリケーションはリクエストをプロキシに送信します。プロキシはリクエストされたデータが保持されているパーティションを認識しているので、分散機能を使用してリクエストを処理します。
デプロイメントでプロキシを使用することによって、クライアント・アプリケーションの構成と管理の手間が軽減されます。プロキシは、すべてのリクエストを集中的に処理することで、リクエストのロード・バランシングまたは分散、あるいはその両方を保証します。
プロキシは、ディレクトリ・サービスのセキュリティを管理する単一アクセス・ポイントにもなります。プロキシを使用して、リモート・ディレクトリ・サーバーへのアクセスを認可または制限できます。また、メンテナンスまたはLDAPサーバーのバックアップを実行するには、プロキシ・デプロイメントを変更するだけでサービスの中断を回避できます。
サンプル・デプロイメントの詳細は、「プロキシ・サーバーを使用するデプロイメントの理解」を参照してください。
1.4 レプリケーション・ゲートウェイの概要
レプリケーション・サーバーは、1つのOracle Unified Directoryインスタンスから別のOracle Unified Directoryサーバーまたは別のOracle Directory Server Enterprise Edition (ODSEE)サーバーへのデータのレプリケーション(コピー)を容易にします。
次の各トピックでは、Oracle Unified Directoryのレプリケーション・ゲートウェイ・コンポーネントの概要を簡単に説明します。
1.4.1 レプリケーション・ゲートウェイについて
レプリケーションは、1つのディレクトリ・サーバー上で行われた変更を、レプリケーション・トポロジ内の他の複数のディレクトリに伝播するメカニズムです。レプリケーション・ゲートウェイは、Oracle Directory Server Enterprise Editionのディレクトリ・サーバーとOracle Unified Directoryのディレクトリ・サーバーの間でレプリケーション情報を効率的に変換し、伝播します。
レプリケーション・ゲートウェイの主な目的は、既存のDirectory Server Enterprise Editionデプロイメントを容易にOracle Unified Directoryトポロジに移行できるようにすることです。この移行を正常に完了するには、次のいずれかのバージョンを使用する必要があります。
-
Oracle Directory Server Enterprise Edition 11gリリース1 (11.1.1)以降
-
Sun Java System Directory Server Enterprise Edition、6.3.1.1.2 リリース(Oracle Unified Directory 11g リリース2 (11.1.2.3)以降のリリース)
レプリケーション・ゲートウェイは、ディレクトリの各バージョンに固有の同期メカニズムを変換して、異種トポロジの間の双方向レプリケーションを実現します。レプリケーション・ゲートウェイは、レプリケートする異種トポロジの間で更新を伝播するパイプと見なすことができます。変換には中間ファイルを使用しないので、データがディスクに格納されることはありません。
1.4.2 レプリケーション・ゲートウェイの役割の理解
レプリケーション・ゲートウェイの役割は、異種サーバー上で行われる変更をレプリケーション・トポロジ全体に伝播することです。高可用性および高パフォーマンスという目的を満たすレプリケーション設定が必要です。
次の例は、2つのトポロジの間でレプリケーション・ゲートウェイを使用することによって、既存のOracle Directory Server Enterprise EditionデプロイメントをOracle Unified Directoryトポロジに移行する方法を示します。
全体的なレプリケーション・トポロジの中では、レプリケーション・ゲートウェイは双方向転送サーバーとして動作します。Oracle Directory Server Enterprise Editionサーバーで行われた変更をOracle Unified Directoryレプリケーション・トポロジに伝播し、Oracle Unified Directoryサーバーで行われた変更をOracle Directory Server Enterprise Editionレプリケーション・トポロジに伝播します。各インスタンスでは、レプリケーション・ゲートウェイは双方向に伝播します。移行シナリオに従って、Oracle Unified DirectoryサーバーからOracle Directory Server Enterprise Editionレプリケーション・トポロジへの変更の伝播を無効にできます。
ノート:
レプリケーション・アーキテクチャでは、各レプリケーション・サーバーは、トポロジ内の他のすべてのレプリケーション・サーバーに接続されています。高可用性を実現するために、すべての移行シナリオで2つのレプリケーション・ゲートウェイ・サーバーがデプロイされます。
移行シナリオでのレプリケーション・ゲートウェイのデプロイの詳細は、「Oracle Directory Server Enterprise EditionとOracle Unified Directory間のレプリケーション」を参照してください。
1.4.3 レプリケーション・ゲートウェイの制限事項
レプリケーションは、ネットワーク全体のデータの可用性を向上させるために必要です。ただし、レプリケーション・ゲートウェイを設定する前に知っている必要があるレプリケーションの制限事項があります。
レプリケーション・ゲートウェイは、次のものを管理しません。
-
データ初期化。レプリケーション・ゲートウェイ経由の完全更新はサポートされていません。Oracle Unified DirectoryサーバーのデータでOracle Directory Server Enterprise Editionトポロジを初期化するには、Oracle Unified Directoryサーバーからデータをエクスポートして、Oracle Directory Server Enterprise Editionマスター・サーバーにインポートする必要があります。
-
スキーマの一貫性。レプリケーション・ゲートウェイは、異種サーバー間のスキーマの一貫性を保証しません。管理者が、一貫性のあるスキーマを定義する必要があります。
-
機能の変換。レプリケーション・ゲートウェイは、異種サーバー間の機能変換は行わず、機能に関してトポロジが異種混合であることを前提としています。互換性のない機能(たとえば、マクロACI、CoS、パスワード・ポリシー)を処理する最善の方法は、レプリケーションの実行前に、影響を受けるオブジェクト・クラスと属性タイプをフィルタで除外することです。
レプリケーション・ゲートウェイには、Oracle Directory Server Enterprise EditionからOracle Unified Directoryへのレプリケーションに対するフィルタリング・オプションが用意されています。このオプションを使用して、Oracle Unified Directoryサーバーに適用しないオブジェクト・クラスと属性タイプを除外できます。フィルタリングに構成されているデフォルト値は、CoS、ロール、パスワード・ポリシーおよび競合解消の違いを考慮しています。
-
レプリケーション競合の解消。単一値属性の場合、異なる値が同時に1つの単一値属性に追加されたときのOracle Directory Server Enterprise EditionサーバーとOracle Unified Directoryサーバーの競合の処理は異なります。Oracle Directory Server Enterprise Editionサーバーでは最後の変更/追加操作の値が保持されますが、Oracle Unified Directoryサーバーでは最も古い値が保持されます。両方の値が常に同じであるとはかぎりません。