Oracle Application Serverリリース・ノート 10gリリース2(10.1.2)for Solaris Operating System (SPARC) B15829-14 |
|
戻る |
次へ |
この章では、Oracle Directory Integration and Provisioningに関する問題について説明します。この章の内容は次のとおりです。
この項では、Oracle Directory Integration and Provisioningの構成に関する問題とその対処方法について説明します。この項の内容は次のとおりです。
Oracle Application Server 10gリリース2(10.1.2)では、Oracle Internet DirectoryがOracle9i Database Serverリリース9.2に対して実行されている場合に次のプラグイン機能がサポートされません。
Microsoft Windows NTドメインの外部認証プラグイン
プラグイン定義の一部としてディレクトリ・サーバーに接続するOID PL/SQL PLUGIN APIとして提供されているLDAP_PLUGINパッケージのsimple_bind_s()
関数
この項では、Oracle Directory Integration and Provisioningの管理に関する問題とその対処方法について説明します。この項の内容は次のとおりです。
第25.2.1項「シングル・ドメインのMicrosoft Active Directoryのデプロイでデフォルトのマッピング・ルールを簡略化できる」
第25.2.2項「Directory Integration and Provisioning AssistantでSSL Mode 2がサポートされない」
第25.2.4項「マルチマスター・レプリケーションを使用した高可用性環境でプロビジョニング・イベントが伝播されない場合や重複する場合がある」
第25.2.5項「Oracle Directory Integration and Provisioningサーバーを停止後すぐに再起動すると停止しないことがある」
第25.2.6項「変更ログ・エントリの消去によるプロビジョニング・イベントがOracle Directory Integration and Provisioningサーバーに送信されない」
シングル・ドメインのMicrosoft Active Directoryのデプロイでは、Oracle Directory Integration and Provisioningとともにインストールされたデフォルトのマッピング・ルールを簡略化できます。
デフォルトのマッピング・ルールは、次のとおりです。
sAMAccountName,userPrincipalName: : :user:orclSAMAccountName: :orclADUser:toupper(truncl(userPrincipalName,'@'))+"$"+sAMAccountname
デプロイのActive Directoryがシングル・ドメインである場合は、デフォルトのマッピング・ルールを次のように簡略化できます。
sAMAccountName: : :user:orclSAMAccountName::orclADUser
10gリリース2(10.1.2)では、Directory Integration and Provisioning Assistantで非SSL接続または暗号化を行う認証なしのSSL接続(SSL Mode 1)を使用できます。Assistantでは、SSLサーバー(サーバーのみ)の認証を必要とするSSL Mode 2は使用できません。
シェル・スクリプト・ベースのプロファイル構成ツールであるldapcreateConn.sh、ldapdeleteConn.shおよびldapUploadAgentFile.shは、10gリリース2(10.1.2)で非推奨になります。プロファイル構成には、JavaベースのOracle Directory Integration and Provisioningサーバー管理ツールを使用することをお薦めします。
マルチマスター・レプリケーションでは、最新の変更番号がOracle Internet Directoryノードにローカルで保存されます。高可用性環境では、このノードに障害が起こると、プロビジョニング・プロファイルが別のOracle Internet Directoryノードに移動して、プロファイルに最後に適用された変更番号が無効になります。プロファイルの番号は、フェイルオーバー・ノード上で手動でリセットする必要があります。ただし、イベントはその後も伝播されない場合や重複する場合があります。
Oracle Directory Integration and Provisioningサーバーは、停止するかどうかを判断するために、cn=odisrv,cn=subregistrysubentry
の下に格納された登録エントリをポーリングします。これは、30秒ごとに実行されます。サーバーを30秒以内に停止して再起動すると、古いサーバー・インスタンスは新しいインスタンスが起動するまで停止しません。これを回避するには、30秒待ってからサーバーを再起動します。
バージョン3.0のプロビジョニング・プロファイルの時間ベースの変更ログ消去を使用すると、変更がOracle Directory Integration and Provisioningサーバーから任意のプロビジョニング統合アプリケーションに伝播される前に、変更ログ・エントリが消去されます。これは、Oracle Directory Integration and Provisioningでは、デフォルトの変更ログ・サブスクライバ・コンテナcn=subscriber profile,cn=changelog subscriber,cn=oracle internet directory
でバージョン3.0のプロビジョニング・プロファイルが作成されないために起こります。
この問題を解決するには、デフォルトの変更ログ・サブスクライバ・コンテナに各バージョン3.0のプロビジョニング・プロファイル用のコンテナを作成し、各プロファイルのorclLastAppliedChangeNumber
属性に0の値を割り当てます。次のサンプルLDIFファイルでは、デフォルトの変更ログ・サブスクライバ・コンテナにプロビジョニング・プロファイル・コンテナを作成し、orclLastAppliedChangeNumber
属性に0の値を割り当てます。
dn: cn=profile_name,cn=changelog subscriber,cn=oracle internet directory
orclsubscriberdisable: 0
orcllastappliedchangenumber: 0
objectclass: orclChangeSubscriber