Oracle Content Management SDK 管理者ガイド 10g(9.0.4.2) B15638-01 |
|
この章では、Oracle Internet Directoryを使用してユーザーを認証する方法について説明します。また、Oracle CM SDK Credential Manager Configuration Assistantを使用して資格証明マネージャを作成する方法についても説明します。項目は次のとおりです。
Oracle Content Management SDK(Oracle CM SDK)サービスでは、資格証明マネージャを使用してユーザー認証を行います。ユーザーの資格証明とは、そのユーザーを証明つまり認証することです。サービスに関連付けられた資格証明マネージャによって、資格証明を取得する場所と方法がサービスに示されます。
サービスには、ネイティブのOracle CM SDK資格証明マネージャ(IfsCredentialManager
)を使用できます。これにより、資格証明情報がOracle CM SDKスキーマに格納されます。または、1つ以上のOracle Internet Directory資格証明マネージャ(OidCredentialManagers
)をユーザー認証に使用することもできます。
Oracle CM SDKサービスはそれぞれ、使用する資格証明マネージャを指定した一連の構成プロパティを持ちます。1つのサービスで使用できるIfsCredentialManager
は1つのみですが、OidCredentialManagers
は複数使用できます。Oracle CM SDK Credential Manager Configuration Assistantを使用すると、追加のOidCredentialManagers
を構成できます。
Oracle CM SDKの構成時に、ネイティブなOracle CM SDK資格証明マネージャまたはOracle Internet Directoryのどちらかを選択済です。Oracle CM SDK資格証明マネージャを選択した場合は、IfsCredentialManager
インスタンスが作成されています。Oracle Internet Directoryを選択し、必要なパラメータを指定した場合は、OidCredentialManager
インスタンスが作成されています。
初期構成時に作成されるOidCredentialManager
には、デフォルトで次のような特性があります。
Oracle Internet Directoryの主な管理ツールとしては、Oracle Directory Managerがあります。Oracle Directory Managerを使用すると、OIDのユーザーおよびグループの追加または削除や、ユーザーのOIDパスワードの変更が可能です。
Oracle Directory Managerの詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
Oracle CM SDK Credential Manager Configuration Assistantを使用して、各種の資格証明マネージャを作成したり、資格証明マネージャの設定を削除または編集したりできます。各サービスが使用できるOracle CM SDK資格証明マネージャは1つのみですが、異なるInfrastructure層にそれぞれ属する複数のOID資格証明マネージャを使用できます。
特定のOracle Internet Directoryインスタンスを、Oracle CM SDKと組み合せて使用するためにOidCredentialManager
として指定および構成するには、Oracle Internet Directoryが構成済かつ実行中であることが必要です。さらに、管理ユーザー名およびパスワードを把握している必要があります。
注意 Oracle Internet Directoryを資格証明管理のために使用する場合や、Oracle Internet DirectoryインスタンスがOracle Application Server Infrastructure層の一部である場合、Oracle Internet Directoryをネットワーク上の別のホストに移行するときは、Application Server Controlを使用してInfrastructureサービスを変更します。Oracle CM SDK Credential Manager Configuration Assistantは使用しないでください。次の2つの条件を満たしている場合は、Application Server Controlを使用してInfrastructureサービスを変更できます。
詳細は、「認証管理の構成」を参照してください。 |
Oracle CM SDK Credential Manager Configuration Assistantは、次のディレクトリにあるifscmca
スクリプトをコマンドラインから実行して起動できます。
$ORACLE_HOME/ifs/cmsdk/bin
ifscmca
を実行するには、中間層ホスト上に他のすべてのOracleソフトウェアをインストールおよび構成したOSユーザーの名前(通常はoracle
)でログインする必要があります。
資格証明マネージャを追加作成するには、Oracle CM SDK Credential Manager Configuration Assistantを使用します。Oracle CM SDKの初期の資格証明マネージャは、構成時に設定されています。
1521
)、「データベース・サービス名」、「スキーマ名」および「スキーマ・パスワード」を入力します。この画面は、3つのサービス構成すべてにOracle CM SDK資格証明マネージャ(IfsCredentialManagers
)がすでに存在していることを示しています。これは、実行時にSmallServiceConfiguration
、MediumServiceConfiguration
またはLargeServiceConfiguration
を使用してサービスを作成するたびに、選択されたサービス・タイプ用のIfsCredentialManager
が使用されることを意味します。
SmallServiceConfiguration
など)を選択します。
OidCredentialManager
を定義する場合は「Oracle Internet Directory」を、IfsCredentialManager
を作成する場合は「Oracle CM SDK」を選択します。
新たに追加したOracle Internet Directory資格証明マネージャを有効にするには、そのHTTPノードのOracle CM SDKドメインとOC4Jインスタンスを再起動する必要があります。Oracle CM SDKマネージャの新しい資格証明マネージャを使用して新規ユーザーを作成するには、その資格証明マネージャを「値ドメイン」の「CredentialManagers」にも追加/登録する必要があります。
詳細は、「構成後のApplication Server ControlおよびOracle CM SDKマネージャでの作業」を参照してください。
注意
Oracle Internet Directoryのデフォルトのスーパー・ユーザー名は、cn=orcladmin
です。
Oracle Internet DirectoryのデフォルトのルートOracleコンテキストは、cn=OracleContext
に設定されています。通常、これを変更する必要はありません。Oracle Internet Directory管理者がルート・コンテキストを変更している場合は、その値を入力する必要があります。ルート・コンテキストの概念は、LDAPディレクトリ・サービスに固有のものです。
Oracle Internet Directoryの詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
Oracle CM SDKマネージャおよびAPIは、Oracle CM SDKの使用時に必要なOracle Internet Directoryで管理された情報のサブセットのみを取得するため、Oracle Internet Directoryユーザー管理ツールを使用することをお薦めします (Oracle CM SDK APIを使用して、Oracle CM SDKで既存のOracle Internet Directoryユーザーを使用可能にすることはできます)。
一部のプロトコル・サーバーは、暗号化されていないパスワードをネットワークに送信します。したがって、これらのパスワードのいずれかが傍受されると、このユーザーのOracle Internet Directoryが制御するすべてのシステムへのアクセスが可能になります。セキュリティを強化するには、(デフォルトのOracle Internet Directoryパスワードではなく)Oracle CM SDK固有のパスワードを使用して、選択したプロトコル・サーバーのユーザーを認証します。
この画面でプロトコル・サーバーを選択した場合、これらのプロトコルにアクセスするすべてのユーザーにOracle CM SDK固有のパスワードを作成する必要があります。パスワードを作成しないと、プロトコル・サーバーはこれらのユーザーを認証できません。Oracle CM SDK固有のパスワードを作成する方法については、「Oracle CM SDK固有のパスワード」を参照してください。
Oracle Internet Directoryは、アプリケーション・サービス・プロバイダ(ASP)またはホスティング対象のモデルをサポートし、これらによって複数の組織が同じディレクトリ・サービスを使用できるようになります。このような環境で業務を行っていない場合、自身の企業がこのページに表示される唯一のサブスクライバ名となります。これがデフォルトのサブスクライバです。
複数のサブスクライバ環境の場合、デフォルト以外のサブスクライバのユーザーは、Oracle CM SDKにログインする際に「user_name
@
subscriber_name
」(jsmith@subscriber2
など)と入力する必要があります。デフォルト・サブスクライバのユーザーは、通常のユーザー名のみでログインできます。
デフォルト・サブスクライバは、Oracle Internet Directoryで指定します。詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
注意
この画面で選択したサブスクライバは、サービス構成プロパティの |
Oracle CM SDK Credential Manager Configuration Assistant(ifscmca
)を使用して新しい資格証明マネージャを作成したら、次の作業を行う必要があります。
$ORACLE_HOME/opmn/bin/opmnctl restartproc process-type=OC4J_iFS_cmsdk
$ORACLE_HOME/ifs/cmsdk/bin
から次のifsctl
コマンドを実行します。
ifsctl stop [domain] ifsctl start [domain]
CredentialManagers
に新しい資格証明マネージャを登録します。
適切な値ドメインに新しい資格証明マネージャを登録する手順は、次のとおりです。
Oracle CM SDK Credential Manager Configuration Assistantを使用して、資格証明マネージャの設定を編集できます。このためには、Oracle CM SDK Credential Manager Configuration Assistantを起動し、「既存の資格証明マネージャ」画面で「変更」を選択します。資格証明マネージャのパラメータについては、「資格証明マネージャの作成」を参照してください。
注意 Oracle Internet Directoryを資格証明管理のために使用する場合や、Oracle Internet DirectoryインスタンスがOracle Application Server Infrastructure層の一部である場合、Oracle Internet Directoryをネットワーク上の別のホストに移行するときは、Application Server Controlを使用してInfrastructureサービスを変更します。Oracle CM SDK Credential Manager Configuration Assistantは使用しないでください。次の2つの条件を満たしている場合は、Application Server Controlを使用してInfrastructureサービスを変更できます。
詳細は、「認証管理の構成」を参照してください。 |
Oracle CM SDK Credential Manager Configuration Assistantを使用して、資格証明マネージャを削除できます。このためには、Oracle CM SDK Credential Manager Configuration Assistantを起動し、「既存の資格証明マネージャ」画面で「削除」を選択します。資格証明マネージャのパラメータの詳細は、「資格証明マネージャの作成」を参照してください。
Oracle Internet Directoryのユーザー移行ツール(ifsmigrateusers2oid
)を使用すると、既存のOracle CM SDKユーザーをOracle CM SDK資格証明マネージャからOID資格証明マネージャに移行できます。このツールはコマンド・プロンプトから起動され、パラメータとして入力のファイル名を指定します。すべてのユーザーを移行することも、特定のユーザーのみを移行することもできます。Oracle CM SDKユーザーをOID資格証明マネージャに移行する前に、Oracle Internet DirectoryがOracle CM SDKユーザーのパスワードをサポートしているかどうかを確認してください。
このツールは、Oracle CM SDKインスタンスのパラメータを格納したテキスト・ファイルとともに動作します。このテキスト・ファイルには、Oracle CM SDKスキーマ・パスワード、Oracle CM SDK管理者アカウントおよびパスワード、DBA権限を持つデータベース・アカウントが含まれます(他のパラメータについては表8-1を参照)。
$ORACLE_HOME/ifs/cmsdk/admin/config/
ディレクトリに、このツールで使用できるサンプルのテキスト・ファイルSampleOidUserMigration.def
が用意されています。このサンプル・ファイルのコピーを作成し、使用しているインスタンスにあわせて変更できます。このツールを使用すると、次の処理を行うことができます。
IfsCredentialManager
内のすべてのユーザーを移行する。
IfsCredentialManager
内のすべてのユーザーをリスト表示する。
これら3つのアクションのいずれかを、テキスト・ファイルの"Action = ...
"という行に指定します。たとえば、ファイル内に"Action = LIST
"と指定すると、SourceCredentialManager
内のすべてのユーザーのリストが出力ファイルOidUserMigration.out
内に生成されます。次に、このファイルの出力をパラメータ・ファイルに取り込み、MIGRATE
アクションを指定することで、一部のユーザーのみを選択的に移行することができます。
ログ・メッセージの出力ファイルの名前についてなど、詳細はファイル内のコメントおよび使用上の注意を参照してください。以降では、概要のみを説明します。
$ORACLE_HOME/ifs/cmsdk/admin/config/
SampleOidUserMigration.def
ファイルを開きます。
moveallifsusers.def
表8-1
SampleOidUserMigration.def
のパラメータ
$ORACLE_HOME/ifs/cmsdk/bin
からユーザー移行コマンド(ifsmigrateusers2oidスクリプト)を実行します。次に例を示します。
ifsmigrateusers2oid moveallifsusers.def
OidUserMigration.out
)で確認します(アクションがMIGRATE_ALL
またはMIGRATE
の場合)。
|
Copyright © 2005 Oracle Corporation. All Rights Reserved. |
|