| Oracle Application Server Standard Edition Oneリリース・ノート 10g リリース2(10.1.2)for Microsoft Windows(32 Bit) B19168-03 |
|
 戻る |
 次へ |
| Oracle Application Server Standard Edition Oneリリース・ノート 10g リリース2(10.1.2)for Microsoft Windows(32 Bit) B19168-03 |
|
| 戻る |
次へ |
この章では、Oracle Directory Integration and Provisioningに関する問題について説明します。 この章の内容は次のとおりです。
この項では、Oracle Directory Integration and Provisioningの構成に関する問題とその対処方法について説明します。 この項の内容は次のとおりです。
Oracle Internet Directoryがインフラストラクチャとともにインストールされた後にのみ、OID Configuration AssistantはDirectory Integration and Provisioningサーバーを起動します。Directory Integration and Provisioningのスタンドアロン・インストールでは、OID Configuration Assistantはサーバーを登録しますが、起動はしません。
これは、Directory Integration and Provisioningサーバーの2つのインスタンスに、同一のインスタンス番号または構成設定番号を付けることができないという制限があるためです。
Directory Integration and Provisioningサーバーの1つ目のインスタンスは、常にインスタンス番号1と構成設定番号0を使用して起動されます。その後、このサーバーの別のインスタンスが別のインストールで起動されると、これも同様にインスタンス番号1と構成設定番号0を使用します。ただし、このインスタンス番号と構成設定番号はすでに使用されているため、2つ目のインスタンスはエラーになります。
ただし、Directory Integration and Provisioningサーバーは登録されているため、インスタンスを手動で起動することは可能です。これには、スクリプト$ORACLE_HOME/bin/odisrvを使用します。このとき、起動するサーバー・インスタンスには、現在実行中の他のインスタンスと同一のインスタンス番号または構成設定番号が指定されていないことを確認してください。
Oracle Application Server 10g リリース2(10.1.2)では、Oracle9i Database Serverリリース2(9.2)に対して実行されるディレクトリ・サーバーで、次のプラグイン機能がサポートされません。
Windows NTドメインの外部認証プラグイン
プラグイン定義の一部としてディレクトリ・サーバーに接続するための、OID PL/SQL PLUGIN APIとして提供されるLDAP_PLUGINパッケージのsimple_bind_s()関数
この項では、Oracle Directory Integration and Provisioningの管理に関する問題とその対処方法について説明します。 この項の内容は次のとおりです。
12.2.2項「シングル・ドメインのMicrosoft Active Directoryデプロイメントではデフォルトのマッピング・ルールを簡略化できる」
12.2.3項「Directory Integration and Provisioning Assistantは、SSL Mode 2をサポートしない」
12.2.6項「マルチマスター・レプリケーションを使用する高可用性環境では、プロビジョニング・イベントが伝播されない場合および複製される場合がある」
12.2.7項「Oracle Directory Integration and Provisioningサーバーを停止した直後に再起動するとシャットダウンしないことがある」
12.2.8項「Provisioning Subscriptionツール(oidprovtool)を使用すると、プロファイルのlastchangenumberエントリを変更できない」
12.2.10項「Real Application ClustersおよびDirectory Integration and Provisioningサービスの使用」
Directory Integration and Provisioning Assistant(dipassistant)には、Oracle Internet DirectoryにCSVファイルのデータをロードする新しいloaddata操作が追加されています。
dipassistant loaddata –f properties_file
次のサンプル・プロパティ・ファイルを参照してください。
$ORACLE_HOME/ldap/odi/samples/csv2ldp.properties
-f properties_file
必須。「dipassistant loaddataの構成ファイルのプロパティ」で説明するプロパティを含むプロパティ・ファイルのフルパスおよびファイル名を指定します。
odip.bootstrap.srctype
必須。ロードするデータのソース・タイプを指定します。このプロパティに有効な値はCSVのみです。
odip.bootstrap.dsttype
必須。ロードするデータの宛先タイプを指定します。このプロパティに有効な値はLDAPのみです。
odip.bootstrap.srcurl
必須。Oracle Internet Directoryにロードするデータを含むCSVファイルの絶対パスを指定します。次のサンプル・データファイルを参照してください。
$ORACLE_HOME/ldap/odi/samples/csvsample.data
odip.bootstrap.srcctl
必須。データの格納方法に関するソース制御情報を含むファイルの絶対パスを指定します。次のサンプルのソース制御ファイルを参照してください。
$ORACLE_HOME/ldap/odi/samples/csvsample.ctl
odip.bootstrap.desturl
必須。データのロード先ディレクトリ・サーバーのLDAP host_name:portを指定します。
odip.bootstrap.destdn
必須。ロード先ディレクトリへのバインドに使用するDNを指定します。デフォルトは、Oracle Directory Integration and Provisioning管理者のDN("cn=dipadmin"など)です。
odip.bootstrap.destpasswd
必須。ロード先ディレクトリへのバインドに使用するパスワードを指定します。LDAPバインディングの場合、このパスワードはセキュリティ資格証明として使用されます。データのロード後、すぐにプロパティ・ファイルからこのプロパティに割り当てた値を削除することをお薦めします。
odip.bootstrap.mapfile
必須。属性とドメインのマッピングを含むマップ・ファイルの絶対パスを指定します。次のサンプル・マップ・ファイルを参照してください。
$ORACLE_HOME/ldap/odi/samples/csvload.map.sample
odip.bootstrap.logfile
オプション。ログ・ファイルのパスおよびファイル名を指定します。デフォルトはORACLE_HOME/ldap/odi/loaddata.logです。
odip.bootstrap.trcfile
オプション。トレース・ロギング・ファイルのフルパスおよびファイル名を指定します。デフォルトの場所はORACLE_HOME/ldap/odi/log/loaddata.trcです。既存のファイルは上書きされます。
シングル・ドメインのMicrosoft Active Directoryデプロイメントでは、Oracle Directory Integration and Provisioningとともにインストールされたマッピング・ルールを簡略化できます。
デフォルトのマッピング・ルールは次のとおりです。
sAMAccountName,userPrincipalName: : :user:orclSAMAccountName: :orclADUser:toupper(truncl(userPrincipalName,'@'))+"$"+sAMAccountname
デプロイメントのActive Directoryがシングル・ドメインである場合は、デフォルトのマッピング・ルールを次のとおり簡略化できます。
sAMAccountName: : :user:orclSAMAccountName::orclADUser
10g リリース2(10.1.2)では、Directory Integration and Provisioning AssistantをSSL以外の接続と、SSL接続(認証は行わず(SSL Mode1)、接続を暗号化する)SSL接続の両方で使用できます。Assistantは、一方向(サーバーのみ)のSSL認証を必要とするSSL Mode 2を使用することはできません。
シェル・スクリプト・ベースの構成ツールldapcreateConn.sh、ldapdeleteConn.shおよびldapUploadAgentFile.shは、10g リリース2(10.1.2)で廃止される予定です。プロファイルの構成には、JavaベースのOracle Directory Integration and Provisioningサーバー管理ツールを使用することをお薦めします。
Oracle Directory Integration and Provisioningサーバーは、Oracle Internet Directoryにおける追加、変更および削除の操作によるイベントを伝播します。modrdn操作を行った結果としてのイベントは伝播しません。
マルチマスター・レプリケーションでは、最終変更番号はOracle Internet Directoryノードにローカルに格納されます。高可用性環境では、そのノードに障害が発生し、プロビジョニング・プロファイルが別のOracle Internet Directoryノードに移されると、プロファイルに対して適用された最終変更番号は無効になります。プロファイル内のその番号は、フェイルオーバー・ノード上で手動でリセットする必要があります。それでも、イベントが伝播されない場合や複製される場合があります。
停止するかどうかを判断するために、Oracle Directory Integration and Provisioningサーバーは、cn=odisrv,cn=subregistrysubentryに保存されている登録エントリをポーリングします。これは30秒間隔で実行されます。サーバーを停止して30秒未満で再起動すると、新しいインスタンスが起動する前に、古いサーバー・インスタンスが停止しないことがあります。これを回避するには、30秒間待ってからサーバーを再起動します。
プロファイルのlastchangenumberエントリを変更するには、ldapmodifyを使用します。
ディレクトリ・レプリケーション・サーバー(oidrepld)またはDirectory Integration and Provisioningサーバー(odisrv)のいずれか、あるいはその両方を実行しているプライマリ・ノードに障害が発生すると、5分後にセカンダリ・ノードのOIDモニターがこれらのプロセスをセカンダリ・ノードで開始します。ただし、プライマリ・ノードが再起動しても、これらのサーバーはプライマリ・ノードで自動的に再起動しません。
通常のシャットダウンはフェイルオーバーとしては処理されません。すべてのプロセスが正常に停止した場合、セカンダリ・ノードで実行されているOIDモニターは、5分間経過してもこれらのプロセスをセカンダリ・ノードで開始することはありません。また障害が発生した場合と同様に、プライマリ・ノードが再起動されても、これらのサーバーはプライマリ・ノードで自動的に再起動されません。
次の状況について考えてみます。
Oracle Internet Directoryは、Real Application Clusters(RAC)モードで構成されています。
Directory Integration and Provisioningサーバーは、別のノードでOracle Directory Integration and Provisioningのみのインストールの一部として実行されています。
Directory Integration and Provisioningサーバーを実行するOracle Internet Directoryノードに障害が発生します。
この状況では、Directory Integration and Provisioningサーバーは、RAC対応の他のOracle Internet Directoryノードの1つに実行を透過的に切り替えることができません。その結果、Directory Integration and Provisioningサーバーも強制終了されるため、$ORACLE_HOME/bin/odisrvスクリプトを使用して手動で起動する必要があります。
dipassistant loaddataコマンドで使用できるコマンド引数は、-fのみです。この引数には、「dipassistant loaddataの構成ファイルのプロパティ」で説明するプロパティを含むプロパティ・ファイルのフルパスおよびファイル名を指定します。
『Oracle Identity Management統合ガイド』では、マッピング・ルールを構成する際の識別名マッピングの指定に関する情報に誤記があります。
マッピング・ファイルのDomainRulesセクションでは、DstDomainコンポーネントに関して、ソースがLDAP/LDIF以外の場合は、このフィールドが必須であることに注意してください。このフィールドは、エントリを作成するコンテナを識別します。
マッピング・ファイルのDomainRulesセクションでは、DomainMappingRuleコンポーネントに関して、Oracle Internet Directoryへのインポートの場合、またはLDIFファイルやLDAP準拠の別の外部ディレクトリへのエクスポートの場合にのみ、このフィールドが有効であることに注意してください。接続先ディレクトリのエントリのRDNがソース・ディレクトリのRDNとは異なる場合にのみ、このフィールドを指定します。
NONLDAPから同期化する場合(タグ付けされたインタフェースの場合)、このフィールドは必須です。これは、DNの構成方法を示します。RDNコンポーネントで指定された属性は、属性マッピング・ルールで必須属性として指定する必要があります。
