この章では、Oracle Internet Directoryのベスト・プラクティスについて説明します。この章の内容は次のとおりです。
bulkloadユーティリティは、スキーマ違反やスキーマの重複がないか標準的なLDIF形式のファイルをチェックし、Oracle Internet Directoryの基礎となるデータベース表への高速ロードを可能にするために、SQL*Loaderの中間ファイルを生成します。bulkloadユーティリティは、初期ブートストラップが必要な時に使用してください。たとえば、Microsoft Active Directoryや他のLDAPディレクトリ・サーバーとの同期化を図る場合に使用します。
サード・パーティのLDAPディレクトリからのLDIFファイル出力は、check=true
モードのbulkloadに渡すことをお薦めします。これによって、既存のLDAPスキーマで問題が発生した場合に警告が表示されます。
ほとんどのサード・パーティのLDAPディレクトリ(Oracle Internet Directoryを含む)では、操作属性(通常は、別のベンダーのディレクトリにロードできない)なしのLDIFへの出力がサポートされています。この機能をサポートしない別のディレクトリからOracle Internet Directoryにデータをロードする場合、LDIFファイルをgenerate=yes
モードのbulkloadに渡す前に、操作属性を手動で削除する必要があります。
LDIF入力ファイルが別のOracle Internet Directoryインスタンスのものである場合は、bulkload.sh
のrestore=yes
オプションを使用して、バルクロード中に操作属性を保持する必要があります。
実装の詳細
関連項目: 『Oracle Identity Managementユーザー・リファレンス』の第4章「Oracle Internet Directoryのデータ管理ツール」 |
Oracle Internet Directoryでは、ディレクトリのマルチマスター・レプリケーションとファンアウト・レプリケーションがサポートされています。
高可用性を実現するには、Oracle Internet Directory のマルチマスター・レプリケーション・グループをネットワーク・ロード・バランサの背後に配置して、LDAPクライアント・アプリケーションに単一のIPアドレスを提供するようにしてください。レプリケートされたノードが使用不能になった場合、ロード・バランサを構成して使用可能なサーバーにリクエストを自動的に再ルーティングすることができます。
また、Oracle Internet Directoryの各ノードは、Oracle Real Application Cluster上で実行可能です。これにより、データベースの稼働時間とデータ可用性が増し、可用性がさらに向上します。
実装の詳細
関連項目:
|
TLS/SSLは、標準的なインターネット・プロトコルで、きわめてセキュアなデータ通信が可能になると考えられています。TLS/SSLは、デジタル証明書を使用した強固なPKI認証に加えて、通信チャネルを保護するためのデータ整合性とデータ暗号化の複数の層を備えています。SSLでは、多くのセキュリティ・レベルに対応するために、様々な暗号化アルゴリズムからなる複数の暗号スイートが用意されています。
Oracle Internet Directoryでは、次の3つのTLS/SSL認証モードがサポートされています。
このモードでは、SSL暗号スイートは、Diffie-Hellmanアルゴリズムを使用して実行時にクライアントまたはサーバーのセッション鍵を生成します。セッション鍵は、通信チャネルを暗号化するために使用されます。サーバーまたはユーザーのSSL Walletは必要ありません。このモードでは、チャネルはDiffie-Hellman鍵を使用して暗号化されます。
注意: Diffie-Hellmanアルゴリズムは、暗号鍵用の対称鍵でなく、鍵交換専用の非対称鍵のペアを生成するために使用されるものです。 |
このモードでは、基本的に証明書を認証に使用します。クライアントは、サーバー証明書を検証する必要があります。SSLサーバーと通信する必要があるクライアントは証明書を必要としないため、このモードはインターネット環境で最も一般的に使用されています。クライアントでは、ユーザー名とパスワードからなるIDを使用して、サーバーに対して自身を認証できます。ユーザー名とパスワードがネットワーク上に転送されるときには、SSLによる暗号化で保護されます。
このモードでは、クライアントとサーバーはX.509 v3証明書を使用して互いを認証します。まず、クライアントはサーバーの証明書を検証することによってサーバーを認証します。次に、サーバーもクライアントの真偽を確認するために、クライアント証明書の送信を要求します。
このような認証モードを選択する以外にも、適切なセキュリティ・アルゴリズムを選択する必要があります。
実装の詳細
関連項目: 『Oracle Internet Directory管理者ガイド』の第17章「Secure Sockets Layer(SSL)とディレクトリ」 |
Oracle Application Serverのエンタープライズ・トポロジによっては、アプリケーション・サーバー環境全体のバックアップの一貫として、Oracle Internet Directoryのバックアップの検討が必要になる場合もあります。
実装の詳細
関連項目:
|
Oracle Internet Directoryは、次の4つのうちいずれかの方法で監視と監査ができます。
Oracle Enterprise ManagerのLDAPのページでは、LDAPサービスを監視し、スタンドアロンのOracle Internet Directoryに関連するロードでそのサービスが実行中であるかどうかを簡単に判断することができます。
基礎となるDBや綿密な戦略について、より詳細な情報が必要な場合、および他のIdentity Managementコンポーネントを監視する場合は、Identity Management Grid Controlを使用することをお薦めします。
LDAPの各種プロセスのログ・ファイルをチェックし、エラーが発生していないことを確認できます。
LDAP監査ログ・サービスは、セキュリティ侵害情報や重大なイベントなど、より詳細な情報を提供します。監査ログは、特定のディレクトリ操作やイベントに合せてさらにカスタマイズできます。データが大量に生成されるので注意してください。
監査ログとエラー・ログを、毎週1回以上チェックすることをお薦めします。システム管理者は、Enterprise ManagerまたはIdentity Management Grid Controlを使用してさらに定期的なチェックを行うことによって、可用性を向上させることができます。バインド処理および比較処理の監視は、『Oracle Internet Directory管理者ガイド』の第14章「ディレクトリのロギング、監査および監視」に記述しているアプローチに従って実行できます。
実装の詳細
関連項目:
|
Oracle Application Serverでは、Oracle Internet Directoryのプロセスを起動または停止する場合はoidmon
およびoidctl
を実行する必要はなくなりました。OPMNによって適切なシーケンスが格納され、これらのサービスが制御されます。
実装の詳細
関連項目: 『Oracle Internet Directory管理者ガイド』の第6章「Oracle Internet Directoryコンポーネントのプロセス制御」 |
Oracle Internet DirectoryのスーパーユーザーとしてOracle Application Serverをインストールすることは可能ですが、必要以上に権限を付与することになるためお薦めしません。
Oracle Application Serverをインストールするには、ユーザーはOracle Application Server管理者グループのメンバーおよび所有者である必要があります。
Oracle Application Serverをインストールするときは、ディレクトリ管理者が、インストール・ユーザーを管理者グループのメンバーおよび所有者として追加する必要があります。インストールが完了したら、そのメンバーを所有者から外す必要があります。
Oracle Internet Directory管理者は、より適切にユーザーを管理するために、必要に応じてデフォルトのアクセス制御ポリシーを変更する必要があります。
Oracle Internet Directory管理者は、ディレクトリ・アクセスとパスワードに関する特定の管理ポリシーに従って、Oracle Directory Managerを使用してデフォルトのアクセス制御とパスワードのポリシーを調整する必要があります。この調整には、値と状態の両方のパラメータが含まれます。
実装の詳細
関連項目: 『Oracle Internet Directory管理者ガイド』の第18章「ディレクトリ・アクセス制御」および第19章「Oracle Internet Directoryにおけるパスワード・ポリシー」 |
OracleAS Single Sign-Onのパスワードを忘れたユーザーは、Oracle Internet Directoryセルフ・サービス・コンソールを使用して自分自身でパスワードをリセットすることができます。次のいずれかの方法で自分自身を認証する必要があります。
以前にパスワードを変更したときにパスワード・ヒントの質問を指定した場合、パスワードをリセットしようとする際に、「追加の個人情報の確認」ウィンドウが表示され、パスワードを忘れたときの質問に対する正しい答えが要求されます。
以前にパスワード・ヒントを設定しなかったユーザーに対しては、「追加の個人情報の確認」ウィンドウが表示されます。このウィンドウでは、管理者により構成されたように他の個人データを入力します。
実装の詳細
関連項目: 『Oracle Identity Management委任管理ガイド』の第4章「Oracle Internet Directoryセルフサービス・コンソールでのプロファイルの管理」 |
ユーザーの作成と、ユーザーのグループへの割当てを個別の手順で実行するよりも、ユーザー作成時にグループ割当ての手順を組み込むことを検討してください。
実装の詳細
この作業を行う手順は次のとおりです。
Oracle Delegated Administration Services権限を持つユーザー(orcladmin
または指定のユーザー名)としてOracle Internet Directoryセルフ・サービス・コンソールにログインします。
「構成」タブを選択します。
「ユーザー・エントリ」→「ロールの追加」を選択します。
一般的にサブスクライブされているグループ・エントリを検索して選択します。
これで、Oracle Delegated Administration Services権限を持つユーザーが「ユーザーの作成」シーケンスを実行するたびに、最後から1つ前の手順の「ロール割当て」というセクションで、指定したグループの一覧が表示されます。新しく作成されたユーザーに対して適切なチェック・ボックスを選択するだけで、指定したすべてのグループのメンバーとして、そのユーザーが自動的に割り当てられます。
関連項目: 『Oracle Identity Management委任管理ガイド』の第5章「Oracle Internet Directoryセルフサービス・コンソールでのユーザーおよびグループの管理」 |
Windowsのネイティブ認証を構成する前に、まずActive Directoryコネクタを構成してから、OracleのID管理レルム内の適切なcn=users
コンテナとcn=groups
コンテナをブートストラップしてください。Windowsのネイティブ認証を有効にする場合は、Active Directoryの外部認証プラグインは構成しないでください。
関連項目:
|
この項では、Oracle Directory Integration Platformのベスト・プラクティスについて説明します。この項の内容は次のとおりです。
Oracle Internet Directoryとサード・パーティ・ディレクトリとの間の接続を確立するには、Oracle Directory Integration Platformを使用します。この機能により、Oracleの他の製品とのシームレスな統合が実現されます。また、Oracle製品が企業内のサード・パーティ・ディレクトリで使用可能になり、他のディレクトリにおいても同じIDが共用できます。
Oracle Directory Integration Platformを使用すれば、同一の企業ユーザーが複数のLDAPディレクトリ内に所有している様々なIDを、Oracle Internet Directoryの単一のグローバルIDにまとめることができます。Oracle Directory Integration Platformによって、Oracle Internet DirectoryとOracle Application Server Single Sign-Onを使用する企業が、真のSingle Sign-On環境を実現できるようになります。
実装の詳細
関連項目:
|
Oracle Directory Integration Platformを構成する場合は、接続ディレクトリまたはOracle Internet Directoryで必要とされるコンテナと属性のみを指定します。LDAPフィルタをマッピング構成プロファイルの一部として使用すると、不要な属性データを排除でき同期化が簡単になります。
各コネクタとそれに対応するマッピング構成ファイルでは、スケジューリングを実行する時間隔に適切な値を設定します。コネクタは互いに完全に独立しているので、他のコネクタと同じ時間または同じ間隔で起動する必要はありません。
Oracle Application Serverで使用するために外部ユーザーとグループをOracle Internet Directoryに同期化する場合は、ID管理レルムの適切なcn=users
とcn=groups
コンテナに対してコネクタを確立してください。その後、すべてのインバウンド・ユーザー・エントリに、配置されているOracleアプリケーションとの対話にユーザーが必要とするOracle固有属性がプロビジョニングされます。
実装の詳細
関連項目: 『Oracle Identity Management統合ガイド』の第17章「サード・パーティ・ディレクトリ統合の概要および考慮事項」 |
Oracle Human Resourcesを、企業内にある従業員データの真のソースとして使用する場合は、Oracle Internet Directoryとの間で同期化する必要があります。所定の時間に接続ディレクトリから必要な変更をフェッチする際には、Last Successful Execution Time
コネクタのプロファイル属性が使用されるため、過去の日付を最初に設定してください。続いて、プロファイルを有効にします。この方法では、接続ディレクトリの全エントリが同時にOracle Internet Directoryに同期化される場合があることに注意してください。
接続ディレクトリのユーザー・データは、Oracle Internet DirectoryのID管理レルム内のパブリックなcn=users
コンテナに同期化することをお薦めします。このように、すべてのユーザーはOracleAS Single Sign-OnやOracle Delegated Administration Servicesのセルフ・サービス・コンソールにすぐにアクセスできます。
実装の詳細
関連項目:
|