10gリリース2(10.1.2)
B15775-02
 目次 |
 索引 |
| Oracle Internet Directory 管理者ガイド 10gリリース2(10.1.2) B15775-02 |
|
この章では、Oracle Internet Directoryの様々な管理ツールについて説明します。Oracle Directory Managerと呼ばれるオンライン管理ツールの起動方法とナビゲート方法、およびこのツールでディレクトリ・サーバーに接続する方法を説明します。また、LDAP、バルクおよびカタログの各操作に関するコマンドライン・ツールについても説明します。
この章では、次の項目について説明します。
Oracle Delegated Administration Servicesは、ユーザーのかわりにディレクトリ操作を実行するために事前定義されたWebベースのユニットのセットであり、これもディレクトリ管理に利用できます。これにより、ディレクトリ管理者は他の管理者やエンド・ユーザーに対して特定の機能を委任でき、ディレクトリ管理の日常的な作業から解放されます。たとえば、エンド・ユーザーが管理者の介入を必要とせずに自分の個人プロファイル情報(Oracle Application Server Single Sign-Onパスワードなど)を変更できるようにするために使用できます。
Oracle Internet Directoryセルフ・サービス・コンソールは、Oracle Delegated Administration Servicesを使用して作成されたツールの1つです。このすぐに使用可能なアプリケーションによって、委任された管理者やエンド・ユーザーがディレクトリのデータを管理するための単一のグラフィカル・インタフェースが提供されます。
Oracle Directory Managerは、Oracle Internet Directoryを管理するためのJavaベースのツールです。この項では、その基本機能のいくつかを説明します。各機能固有の詳細は、このマニュアルの中で、各種タスクの実行方法を説明している項に記載されています。
この項では、次の項目について説明します。
Oracle Directory Managerの起動前に、ディレクトリ・サーバー・インスタンスを実行しておく必要があります。インスタンスを実行していない場合は、「Oracle Internet Directoryを起動するOPMNのセマンティクス」の説明に従って起動してください。
Oracle Directory Managerを起動するには、オペレーティング・システムごとに、表4-1に示す説明に従ってください。
| オペレーティング・システム | 参照先 |
|---|---|
|
Microsoft Windows |
「スタート」メニューから「プログラム」を選択し、「ORACLE_HOME」、「Integrated Management」、「Oracle Directory Manager」の順に選択します。 |
|
UNIX |
パスを設定していない場合は、
|
初めてOracle Directory Managerを起動すると、サーバーに接続する必要があることを知らせるアラートが表示されます。「OK」を選択します。「ディレクトリ・サーバーの接続」ダイアログ・ボックスが表示されます。
ディレクトリ・サーバーへ接続する手順は、次のとおりです。
デフォルトのポートは389です。ポートは必要に応じて変更できます。ただし、Oracleディレクトリ・サーバーをデフォルトのポート以外で実行する場合は、そのサーバーを使用するすべてのクライアントに、正しいポートを必ず通知してください。
「OK」を選択します。「Oracle Internet Directoryの接続」ダイアログ・ボックスが表示されます。
関連資料
この項では、Oracle Directory Managerの概要を紹介し、メニュー・バーの項目とツールバーのボタンについて説明します。
ディレクトリと同様に、ナビゲータ・ペイン(ダブル・ウィンドウ・インタフェースの左側のウィンドウ)はツリー構造です。最初にOracle Directory Managerをオープンしたときのナビゲータ・ペインには、ツリー項目「Oracle Internet Directoryサーバー」のみが表示されます。ツリー項目の横のプラス記号(+)をクリックすると、そのツリー項目のサブコンポーネントが表示されます。
右側のペインでは、一部のウィンドウに「適用」ボタンと「OK」ボタンがあります。「適用」を選択すると、変更内容がコミットされ、ウィンドウを開いたまま続けて他の変更操作を実行できます。「OK」をクリックすると、変更内容がコミットされ、ウィンドウが閉じます。
同様に、「回復」ボタンと「取消」ボタンがあります。「回復」をクリックすると、そのウィンドウで行った変更は適用されず、元の値が該当するフィールドに再び表示され、ウィンドウを開いたまま作業を継続できます。「取消」をクリックすると、そのウィンドウで行った変更は適用されないままウィンドウが閉じます。
表4-2に、メニュー・バーからアクセスできるメニューを示します。各メニュー項目は、表示しているペインやタブ・ページによって、使用できる場合と使用できない場合があります。
表4-4に、Oracle Internet Directoryツールバーのボタンの説明を示します。各ボタンは、Oracle Directory Managerに表示しているペインやタブ・ページによって、使用できる場合と使用できない場合があります。
一度に複数のディレクトリ・サーバーに接続し、各ディレクトリ・サーバーのデータ、スキーマおよびセキュリティを表示して変更できます。複数のサーバーに接続すると、「Oracle Internet Directoryサーバー」の下のナビゲータ・ペインに、各サーバーがリストされます。
追加のディレクトリ・サーバーに接続する手順は、次のとおりです。
Oracle Directory Managerを使用してディレクトリ・サーバーから切断するには、「ファイル」メニューから「切断」を選択します。また、Oracle Directory Managerを終了すると、すべてのディレクトリ・サーバーとディレクトリ間の接続が自動的に切断されます。
すべての接続情報は、ファイルosdadmin.iniのユーザーのホーム・ディレクトリに格納されます。
Oracle Directory Managerを再起動すると、今までに接続したすべてのサーバー接続が、「ディレクトリ・サーバー・ログイン」ダイアログ・ボックスに表示されます。
検索の結果としてOracle Directory Managerに表示されるエントリの最大数と検索の期間を指定できます。Oracle Directory Managerまたはディレクトリ・サーバー、あるいはその両方でこれらの構成を行えます。
Oracle Directory Managerとディレクトリ・サーバーの両方で構成を行い、Oracle Directory Managerでの構成がディレクトリ・サーバーでの構成と一致しない場合、この矛盾をOracle Internet Directoryが次のように解決します。
Oracle Directory Managerで検索の表示と期間を構成する手順は、次のとおりです。
Oracleディレクトリ・サーバーで検索の表示と期間を構成する手順は、次のとおりです。
Oracle Directory Managerを使用すると、Oracle Internet Directoryの大部分の管理タスクを実行できます。Oracle Directory Managerで実行できないタスクには、OIDモニター(oidmon)の起動と停止やサーバー・インスタンスの起動と停止などの実行プロセスがあります。Oracle Directory Managerで実行できないタスクの実行には、対応するLDAPコマンドライン・ツールを使用します。
|
関連資料
|
表4-4に、Oracle Directory Managerを使用して管理できるタスクの領域、および各領域に関する説明の参照先を示します。
| タスクの領域 | 参照先 |
|---|---|
|
アクセス制御管理 |
|
|
属性一意性管理 |
|
|
監査ログ管理 |
|
|
変更ログ管理 |
第25章「Oracle Internet Directory レプリケーションの管理」 『Oracle Identity Management統合ガイド』のOracle Directory Synchronization Serviceに関する章を参照してください。 『Oracle Identity Management統合ガイド』のOracle Directory Integration and Provisioning Serverの章 |
|
エントリ管理 |
|
|
ガベージ・コレクション |
|
|
パスワード・ポリシー管理 |
|
|
パスワード検証管理 |
|
|
プラグイン管理 |
|
|
レプリケーション管理 |
|
|
スキーマ管理 |
|
|
サーバー管理 |
この項では、Oracle Internet Directoryにおけるプロセス制御モデルの背後にある概念を列挙して説明します。これはOracle Internet DirectoryのLDAP、レプリケーションおよびディレクトリ統合サーバーのインスタンスに適用されます。
この項では、次の項目について説明します。
Oracle Directory Integration and Provisioningサーバーの起動と停止の詳細は、『Oracle Identity Management統合ガイド』のOracle Directory Integration and Provisioningサーバー管理に関する章を参照してください。
OPMNは、Oracle Application Serverインストールの様々なコンポーネントを監視するデーモン・プロセスです。OPMNは、すべての中間層およびOracle Application Server Infrastructureにインストールおよび構成され、Oracle Application Serverの実行に不可欠です。Oracle Internet DirectoryはOracle Application Server Infrastructureの一部としてインストールされるため、OPMNはOracle Application ServerコンポーネントとしてのOracle Internet Directoryを監視します。OPMNのコマンドライン・インタフェースは、$ORACLE_HOME/opmn/bin/opmnctlです。コンポーネントとしてのOracle Internet Directoryを停止または起動するには、OPMNCTLを使用します。
OIDMON($ORACLE_HOME/bin/oidmon)は、すべてのOracle Internet Directoryサーバー・インスタンスのプロセス制御を行うデーモン・プロセスです。
OIDCTL($ORACLE_HOME/bin/oidctl)は、追加のOracle Internet Directoryサーバー・インスタンスの構成や、インスタンス・レベルのプロセス制御の実行を可能にするコマンドライン・ツールです。
この項では、Oracle Internet DirectoryとOPMNの相互作用について説明します。ここで説明する項目は次のとおりです。
監視ルールは次のとおりです。
Oracle Internet Directoryコンポーネント固有のディレクティブは、次の場所にあります。
$ORACLE_HOME/opmn/conf/opmn.xmlの<ias-component id="OID" status="enabled">タグの下にあります。
opmn.xmlのOIDコンポーネントSnippet内のディレクティブを使用し、必要に応じてOIDMONおよびOIDCTLを起動します。
<category id="oidctl parameters">タグの下にあります。
<category id="oidmon parameters">タグの下にあります。このようなディレクティブは1つのみです。
opmn.xml内のOID Snippetのデフォルト値には、OIDMON用のエントリおよびOIDCTL用のエントリが1つずつあります。OPMNによるOracle Internet Directoryコンポーネントの起動は次の手順で行われます。
opmnctl startall opmnctl startproc ias-component=OID
opmn.xml内のOID Snippetのoidmon parametersで指定されている適切な引数を付けたoidmon startコマンドを発行します。
oidctl startコマンドを必要とするエントリがある場合、OPMNはこのコマンドを発行します。
opmnctl startproc ias-component=OIDを使用する場合、opmn.xmlパラメータはopmnctl startallを使用するときのようにリロードされません。
OPMNによるOracle Internet Directoryコンポーネントの停止は次の手順で行われます。
opmnctl stopall opmnctl stopproc ias-component=OID
oidmon stopコマンドを発行します。
oidctl stopコマンドを発行しません。かわりに、必要に応じてOIDMONの停止セマンティクスがOracle Internet Directoryサーバー・インスタンスの停止を確認します。詳細は、「OIDMONおよびODS_PROCESS表」を参照してください。
opmnctl stopproc ias-component=OIDを使用する場合、opmn.xmlパラメータはopmnctl stopallを使用するときのようにリロードされません。
OPMNは次の手順でOIDMONを監視します。
oidmon stopを発行すると、OIDMONは停止しますが、OPMNはただちにOIDMONを稼働状態に戻します。
OPMNCTLおよびOIDCTLを使用する場合には、次の方法をお薦めします。
oidmon stopを発行します。これにより、OIDMONは構成されたLDP、レプリケーションおよびOracle Directory Integration and Provisioningサーバー・インスタンスをすべて停止します。
oidmon startを発行します。これにより、OIDMONは構成されたLDAP、レプリケーションおよびOracle Directory Integration and Provisioningサーバー・インスタンスをすべて起動します。
oidctl stopを使用します。サーバーの構成済インスタンスをすべて停止する場合には使用しないでください。
oidctl startを使用します。
oidctl stopを使用してサーバー・インスタンスを停止した場合、そのインスタンスはプロセス表から削除され、OIDMONから認識されなくなります。このようにして停止されたインスタンスを再起動するには、oidctl startを使用します。
次の項では、お薦めする方法の例を示します。たとえば次のような方法です。
デフォルトのOracle Internet Directoryインストールでは、デフォルト構成設定(configset0)を使用します。この設定では、1つのサーバー・プロセスおよび2つのデータベース接続のある単一のサーバー・インスタンスが構成されます。この構成では、ユーザー環境での本番のLDAPロードを適切に処理できない場合があります。その場合、サーバー・プロセス数またはデータベース接続数、あるいはその両方を増やす必要があります。これらは、configset0のorclserverprocsおよびorclmaxccの属性値をそれぞれ変更することで変更できます。
Oracle Directory Managerを使用して、次の手順でデフォルトのconfigsetを変更します。
orcladminとしてログインします。
opmnctl stopproc ias-component=OID opmnctl startproc ias-component=OID
デフォルト構成設定のその他のパラメータは変更しないことをお薦めします。
追加のOracle Internet Directory LDAPサーバー・インスタンスを起動するには、必要な構成値を設定した追加構成設定を追加し、これらの追加構成設定を使用して追加のサーバー・インスタンスを起動します。(デフォルト構成設定を使用してデフォルト値を上書きしないでください。)構成設定を追加し、この設定を使用して次の手順でOracle Internet Directory LDAPサーバー・インスタンスを起動します。
configset2という新規の構成設定を使用してLDAPサーバー・インスタンスを起動するには、次を入力します。
oidctl connect=connStr server=oidldapd instance=2 configset=2 start
Oracle Internet Directory LDAPサーバー・インスタンスを1つ以上のOracle Internet Directory LDAPサーバー・インスタンスに置き換えるには、opmn.xmlを編集してデフォルトのLDAPインスタンスの構成を解除する必要があります。デフォルトでは、opmn.xmlにはopmnctl startの入力時にデフォルトのOracle Internet Directory LDAPサーバー・インスタンスを起動しようとするXML Snippetが含まれています。デフォルトのOracle Internet Directory LDAPサーバー・インスタンスの構成を解除するには、次の手順を実行します。
oidctl connect=connStr server=oidldapd instance=1 stop
$ORACLE_HOME/opmn/conf/opmn.xmlファイルを編集し、次の行を削除します。
<category id="oidctl-parameters"> <data id="connect" value="iasdb"/> <data id="startoidldapd" value="true"/> </category>
OIDレプリケーション・サーバーのインスタンスを構成するには、oidctl startコマンドを使用します。たとえば、次のように入力します。
oidctl connect=connStr server=oidrepld instance=1 ¥ flags="-h LdapHost -p LdapPort" start
oidrepldのインスタンスは、複数起動しないでください。
Oracle Directory Integration and Provisioningサーバーのインスタンスを構成するには、oidctl startコマンドを使用します。たとえば、次のように入力します。
oidctl connect=connStr server=odisrv instance=1 ¥ flags="-h LdapHost -p LdapPort" start
OIDMONは、Oracle Internet DirectoryのLDAP、レプリケーションおよびディレクトリ・サーバー・インスタンスを含むすべてのOracle Internet Directoryサーバー・インスタンスの起動、停止、再起動および監視を行います。
OIDMONは、ODSデータベース・ユーザー・スキーマのods_process表の内容を定期的に読み取り、その内容により伝達される目的に基づいて動作します。周期はoidmonの起動時に使用されるコマンドライン引数sleepの値によって制御されます。デフォルト値は10秒です。
表4-5で、ODS_PROCESS表のプロセス制御に関する情報について説明します。
OIDMONはOracle Internet Directoryサーバー・インスタンスに関して、次のアクションを実行します。
state値が1または4であり、OIDMONがアクティブとなっているホストとhostname値が合致するすべてのOracle Internet Directoryサーバー・インスタンスが起動します。
この項では、OIDCTLを使用したOracle Internet Directoryサーバー・インスタンスの起動および停止のセマンティクスを説明します。
OIDCTLは、ODSデータベース・ユーザー・スキーマのods_process表を更新することによって、特定のOracle Internet Directoryサーバー・インスタンスを起動、停止または再起動することを伝達します。
Oracle Internet Directoryサーバー・インスタンスの起動時のプロセスは次のとおりです。
Instance number already in useというエラーを報告します。
OIDCTLを使用したOracle Internet Directoryサーバー・インスタンスの停止時のプロセスは次のとおりです。
Cannot Stop an Instance that is not runningというエラーを報告します。
Oracle Internet Directoryには、ディレクトリ・エントリと属性を操作するために、次のような数種類のコマンドライン・ツールが用意されています。
多くのコマンドライン・ツールは、LDAP Data Interchange Format(LDIF)で記述されたテキスト・ファイルのオブジェクトに有効です。
この項では、次の項目について説明します。
表4-6に、Oracle Internet Directoryサーバーを起動、停止および監視するための各種コマンドライン・ツールとその詳細情報の参照先を示します。
| ツール | 説明 | 詳細情報の参照先 |
|---|---|---|
|
Oracle Process Manager and Notification Server(OPMN) |
Oracle Application ServerコンポーネントとしてのOracle Internet Directoryを停止または起動するには、OPMNCTLを使用します。 |
『Oracle Identity Managementユーザー・リファレンス』のopmnctlコマンドライン・ツールのリファレンス 『Oracle Process Manager and Notification Server管理者ガイド』の「Oracle Internet Directoryの構成」の章 |
|
OID制御ユーティリティ(OIDCTL) |
このツールは、サーバーの個別のインスタンスを起動および停止するときに使用します。コマンドは、OIDモニター・プロセスによって解析され、実行されます。 |
概念の説明は、「Oracle Internet Directoryのアーキテクチャ」を参照してください。 『Oracle Identity Managementユーザー・リファレンス』のoidctlコマンドライン・ツールのリファレンス |
|
OIDモニター(OIDMON) |
OIDMONを直接起動する必要はありません。OIDMONは、OPMNを使用して起動および停止します。ディレクトリ・サーバー・インスタンスを起動または停止するためにOID制御ユーティリティ(OIDCTL)を介してコマンドを発行すると、そのコマンドはOIDMONによって解析されます。 |
概念の説明は、「Oracle Internet Directoryのアーキテクチャ」を参照してください。 構文と使用方法は、『Oracle Identity Managementユーザー・リファレンス』のoidmonコマンドライン・ツールのリファレンスを参照してください。 |
表4-7に、エントリと属性を管理するためのコマンドライン・ツールとその詳細情報の参照先を示します。
表4-8に、バルク操作を実行するためのコマンドライン・ツールとその詳細情報の参照先を示します。
表4-9に、レプリケーションを管理するためのコマンドライン・ツールとその詳細情報の参照先を示します。
| ツール | 説明 | 詳細情報の参照先 |
|---|---|---|
|
レプリケーション環境管理ツール |
このツールは、アドバンスト・レプリケーションがディレクトリ・レプリケーションのために正しく構成されることを保証します。ディレクトリ・レプリケーション障害が発生した場合、このツールは問題を調査し、修正方法を検証します。問題を解決できない場合は、問題の性質に関するレポートを作成し、考えられる解決方法を示します。 |
構文と例は、『Oracle Identity Managementユーザー・リファレンス』のremtoolコマンドライン・ツールのリファレンスを参照してください。 |
|
OID調停ツール |
レプリケーションの競合が発生すると、Oracleディレクトリ・レプリケーション・サーバーは変更をリトライ・キューに入れ、そこからの変更の適用を指定された回数だけ再試行します。指定された失敗回数に達した後、レプリケーション・サーバーは変更を管理者操作キューに入れます。レプリケーション・サーバーはそこから長い間隔で変更適用プロセスを繰り返すと同時に、管理者によるアクションを待ちます。 この時点で、次の操作を行う必要があります。 |
「Oracle Internet Directory調停ツールの概要」 『Oracle Identity Managementユーザー・リファレンス』のoidreconcileコマンドライン・ツールのリファレンス |
|
管理者操作キュー操作ツール |
OID調停ツールを使用して、競合している変更を調停した後に、管理者操作キュー操作ツールを使用して、変更を管理者操作キューからリトライ・キューまたはパージ・キューに移動できます。パージ・キューへの変更の移動は、変更ログ・エントリの再適用を以降は試みないということを意味します。 |
OID調停ツールの構文と動作の説明は、『Oracle Identity Managementユーザー・リファレンス』のhiqretryコマンドライン・ツールのリファレンスを参照してください。 |
アプリケーション固有のリポジトリからOracle Internet Directoryへデータを移行するには、このツールを使用します。
このツールを使用し、様々なデータベースのodsスキーマ・オブジェクトを分析して統計を見積ります。ディレクトリへのデータの初回ロードを含め、ディレクトリ・データに大幅な変更がある場合は、このユーティリティを実行する必要があります。
バルク・ロード・ツール(bulkload.sh)以外の手段でデータをディレクトリにロードする場合は、ロード後にOIDデータベース統計収集ツールを実行する必要があります。OracleのオプティマイザがLDAP操作に対応する問合せについて最適の実行計画を選択するには、統計収集が必要です。OIDデータベース統計収集ツールは、OIDデーモンを停止せずに必要に応じて実行できます。
OIDデータベース・パスワード・ユーティリティを使用して、次の操作を実行できます。
Oracle Internet Directoryは、Oracleデータベースへの接続時にパスワードを使用します。このパスワードのデフォルトは、Oracle Application Server管理者のパスワードとしてインストール時に指定した値と同じです。OIDデータベース・パスワード・ユーティリティを使用すると、このパスワードを変更できます。
oidpwdlldap1というWallet、およびOracleディレクトリ・レプリケーション・サーバー・パスワード用のoidpwdrsidというWalletを作成します。sidは環境変数SIDからではなく、接続データベースから取得されます。
create_wallet=trueオプションを使用して、ODS Walletを生成する前に、ODSデータベースに対して自己認証を行うためのODSパスワードを取得する必要があります。デフォルトのODSパスワードは、Oracle Application Server管理者のパスワードと同じです。
cn=orcladmin)のロックを解除します。
Oracle Internet Directoryの定期的な管理タスクの説明は、このマニュアル全体にわたって記述されています。表4-10に、一般的なタスクの一部について必要な情報を示します。
|
 Copyright © 1995, 2005 Oracle. All Rights Reserved. |
|