ヘッダーをスキップ
Oracle Application Serverベスト・プラクティス・ガイド
10g(10.1.4.0.1)
B31976-02
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

3 Oracle Internet Directory

この章では、Oracle Internet Directoryのベスト・プラクティスについて説明します。この章の内容は次のとおりです。

3.1 bulkloadユーティリティを使用してシステムをブートストラップする

bulkloadユーティリティは、スキーマ違反やスキーマの重複がないか標準的なLDIF形式のファイルをチェックし、Oracle Internet Directoryの基礎となるデータベース表への高速ロードを可能にするために、SQL*Loaderの中間ファイルを生成します。bulkloadユーティリティは、初期ブートストラップが必要な時に使用してください。たとえば、Microsoft Active Directoryや他のLDAPディレクトリ・サーバーとの同期化を図る場合に使用します。

サード・パーティのLDAPディレクトリからのLDIFファイル出力は、check=trueモードのbulkloadに渡すことをお薦めします。これによって、既存のLDAPスキーマで問題が発生した場合に警告が表示されます。

ほとんどのサード・パーティのLDAPディレクトリ(Oracle Internet Directoryを含む)では、操作属性(通常は、別のベンダーのディレクトリにロードできない)なしのLDIFへの出力がサポートされています。この機能をサポートしない別のディレクトリからOracle Internet Directoryにデータをロードする場合、LDIFファイルをgenerate=yesモードのbulkloadに渡す前に、操作属性を手動で削除する必要があります。

LDIF入力ファイルが別のOracle Internet Directoryインスタンスのものである場合は、bulkload.shrestore=yesオプションを使用して、バルクロード中に操作属性を保持する必要があります。

実装の詳細


関連項目:

『Oracle Identity Managementユーザー・リファレンス』の第4章「Oracle Internet Directoryのデータ管理ツール」

3.2 高可用性実現のためのレプリケーション

Oracle Internet Directoryでは、ディレクトリのマルチマスター・レプリケーションとファンアウト・レプリケーションがサポートされています。

高可用性を実現するには、Oracle Internet Directory のマルチマスター・レプリケーション・グループをネットワーク・ロード・バランサの背後に配置して、LDAPクライアント・アプリケーションに単一のIPアドレスを提供するようにしてください。レプリケートされたノードが使用不能になった場合、ロード・バランサを構成して使用可能なサーバーにリクエストを自動的に再ルーティングすることができます。

また、Oracle Internet Directoryの各ノードは、Oracle Real Application Cluster上で実行可能です。これにより、データベースの稼働時間とデータ可用性が増し、可用性がさらに向上します。

実装の詳細


関連項目:

  • 『Oracle Identity Managementインフラストラクチャ管理者ガイド』の第3章「Oracle Internet Directoryの管理計画」

  • 『Oracle Application Server高可用性ガイド』の第III部「高可用性トポロジでのOracle Internet Directory」


3.3 TLS/SSLバインドを使用してトラフィックを保護する

TLS/SSLは、標準的なインターネット・プロトコルで、きわめてセキュアなデータ通信が可能になると考えられています。TLS/SSLは、デジタル証明書を使用した強固なPKI認証に加えて、通信チャネルを保護するためのデータ整合性とデータ暗号化の複数の層を備えています。SSLでは、多くのセキュリティ・レベルに対応するために、様々な暗号化アルゴリズムからなる複数の暗号スイートが用意されています。

Oracle Internet Directoryでは、次の3つのTLS/SSL認証モードがサポートされています。

  1. 機密保護モード

    このモードでは、SSL暗号スイートは、Diffie-Hellmanアルゴリズムを使用して実行時にクライアントまたはサーバーのセッション鍵を生成します。セッション鍵は、通信チャネルを暗号化するために使用されます。サーバーまたはユーザーのSSL Walletは必要ありません。このモードでは、チャネルはDiffie-Hellman鍵を使用して暗号化されます。


    注意:

    Diffie-Hellmanアルゴリズムは、暗号鍵用の対称鍵でなく、鍵交換専用の非対称鍵のペアを生成するために使用されるものです。

  2. サーバー認証のみのモード

    このモードでは、基本的に証明書を認証に使用します。クライアントは、サーバー証明書を検証する必要があります。SSLサーバーと通信する必要があるクライアントは証明書を必要としないため、このモードはインターネット環境で最も一般的に使用されています。クライアントでは、ユーザー名とパスワードからなるIDを使用して、サーバーに対して自身を認証できます。ユーザー名とパスワードがネットワーク上に転送されるときには、SSLによる暗号化で保護されます。

  3. サーバーとクライアント認証モード(相互認証)

    このモードでは、クライアントとサーバーはX.509 v3証明書を使用して互いを認証します。まず、クライアントはサーバーの証明書を検証することによってサーバーを認証します。次に、サーバーもクライアントの真偽を確認するために、クライアント証明書の送信を要求します。

このような認証モードを選択する以外にも、適切なセキュリティ・アルゴリズムを選択する必要があります。

実装の詳細


関連項目:

『Oracle Internet Directory管理者ガイド』の第17章「Secure Sockets Layer(SSL)とディレクトリ」

3.4 バックアップとリストアのユーティリティを使用してデータを保護する

Oracle Application Serverのエンタープライズ・トポロジによっては、アプリケーション・サーバー環境全体のバックアップの一貫として、Oracle Internet Directoryのバックアップの検討が必要になる場合もあります。

実装の詳細


関連項目:

  • Oracle Identity Managementインフラストラクチャの全コンポーネントを対象とした、全体的なバックアップとリカバリ計画を決定する前に、『Oracle Internet Directory管理者ガイド』の第15章「ディレクトリのバックアップとリストア」を参照してください。

  • アプリケーション・サーバーのバックアップとリカバリの一般的な計画の詳細は、『Oracle Application Server管理者ガイド』の第V部「バックアップとリカバリ」を参照してください。


3.5 Oracle Internet Directoryの監視と監査を行い可用性を向上させる

Oracle Internet Directoryは、次の4つのうちいずれかの方法で監視と監査ができます。

監査ログとエラー・ログを、毎週1回以上チェックすることをお薦めします。システム管理者は、Enterprise ManagerまたはIdentity Management Grid Controlを使用してさらに定期的なチェックを行うことによって、可用性を向上させることができます。バインド処理および比較処理の監視は、『Oracle Internet Directory管理者ガイド』の第14章「ディレクトリのロギング、監査および監視」に記述しているアプローチに従って実行できます。

実装の詳細


関連項目:

  • 『Oracle Identity Managementインフラストラクチャ管理者ガイド』の第5章「Identity Management Grid Control Plug-in」

  • 『Oracle Internet Directory管理者ガイド』の第14章「ディレクトリのロギング、監査および監視」


3.6 OPMNを使用してOracle Internet Directoryのプロセスを管理する

Oracle Application Serverでは、Oracle Internet Directoryのプロセスを起動または停止する場合はoidmonおよびoidctlを実行する必要はなくなりました。OPMNによって適切なシーケンスが格納され、これらのサービスが制御されます。

実装の詳細


関連項目:

『Oracle Internet Directory管理者ガイド』の第6章「Oracle Internet Directoryコンポーネントのプロセス制御」

3.7 Oracle Internet Directoryの権限を割り当ててアクセスを制限する

Oracle Internet DirectoryのスーパーユーザーとしてOracle Application Serverをインストールすることは可能ですが、必要以上に権限を付与することになるためお薦めしません。

Oracle Application Serverをインストールするには、ユーザーはOracle Application Server管理者グループのメンバーおよび所有者である必要があります。

Oracle Application Serverをインストールするときは、ディレクトリ管理者が、インストール・ユーザーを管理者グループのメンバーおよび所有者として追加する必要があります。インストールが完了したら、そのメンバーを所有者から外す必要があります。

3.8 ユーザー管理を制御するためにアクセス制御ポリシーを変更する

Oracle Internet Directory管理者は、より適切にユーザーを管理するために、必要に応じてデフォルトのアクセス制御ポリシーを変更する必要があります。

Oracle Internet Directory管理者は、ディレクトリ・アクセスとパスワードに関する特定の管理ポリシーに従って、Oracle Directory Managerを使用してデフォルトのアクセス制御とパスワードのポリシーを調整する必要があります。この調整には、値と状態の両方のパラメータが含まれます。

実装の詳細


関連項目:

『Oracle Internet Directory管理者ガイド』の第18章「ディレクトリ・アクセス制御」および第19章「Oracle Internet Directoryにおけるパスワード・ポリシー」

3.9 ユーザー属性とパスワードのヒントを使用して資格証明のリセットを簡素化する

OracleAS Single Sign-Onのパスワードを忘れたユーザーは、Oracle Internet Directoryセルフ・サービス・コンソールを使用して自分自身でパスワードをリセットすることができます。次のいずれかの方法で自分自身を認証する必要があります。

実装の詳細


関連項目:

『Oracle Identity Management委任管理ガイド』の第4章「Oracle Internet Directoryセルフサービス・コンソールでのプロファイルの管理」

3.10 ユーザー作成中にグループ割当てを組み込んで複数の手順を回避する

ユーザーの作成と、ユーザーのグループへの割当てを個別の手順で実行するよりも、ユーザー作成時にグループ割当ての手順を組み込むことを検討してください。

実装の詳細

この作業を行う手順は次のとおりです。

  1. Oracle Delegated Administration Services権限を持つユーザー(orcladminまたは指定のユーザー名)としてOracle Internet Directoryセルフ・サービス・コンソールにログインします。

  2. 構成」タブを選択します。

  3. ユーザー・エントリ」→「ロールの追加」を選択します。

  4. 一般的にサブスクライブされているグループ・エントリを検索して選択します。

これで、Oracle Delegated Administration Services権限を持つユーザーが「ユーザーの作成」シーケンスを実行するたびに、最後から1つ前の手順の「ロール割当て」というセクションで、指定したグループの一覧が表示されます。新しく作成されたユーザーに対して適切なチェック・ボックスを選択するだけで、指定したすべてのグループのメンバーとして、そのユーザーが自動的に割り当てられます。


関連項目:

『Oracle Identity Management委任管理ガイド』の第5章「Oracle Internet Directoryセルフサービス・コンソールでのユーザーおよびグループの管理」

3.11 Windowsのネイティブ認証を有効にするためにActive Directoryの同期化を構成する

Windowsのネイティブ認証を構成する前に、まずActive Directoryコネクタを構成してから、OracleのID管理レルム内の適切なcn=usersコンテナとcn=groupsコンテナをブートストラップしてください。Windowsのネイティブ認証を有効にする場合は、Active Directoryの外部認証プラグインは構成しないでください。


関連項目:

  • 『Oracle Identity Management統合ガイド』の第19章「Microsoft Active Directoryとの統合」

  • 『Oracle Application Server Single Sign-On管理者ガイド』


3.12 Oracle Directory Integration Platformのベスト・プラクティス

この項では、Oracle Directory Integration Platformのベスト・プラクティスについて説明します。この項の内容は次のとおりです。

3.12.1 ID管理レルムを使用してOracle Internet Directoryとサード・パーティ・ディレクトリの間の接続を確立する

Oracle Internet Directoryとサード・パーティ・ディレクトリとの間の接続を確立するには、Oracle Directory Integration Platformを使用します。この機能により、Oracleの他の製品とのシームレスな統合が実現されます。また、Oracle製品が企業内のサード・パーティ・ディレクトリで使用可能になり、他のディレクトリにおいても同じIDが共用できます。

Oracle Directory Integration Platformを使用すれば、同一の企業ユーザーが複数のLDAPディレクトリ内に所有している様々なIDを、Oracle Internet Directoryの単一のグローバルIDにまとめることができます。Oracle Directory Integration Platformによって、Oracle Internet DirectoryとOracle Application Server Single Sign-Onを使用する企業が、真のSingle Sign-On環境を実現できるようになります。

実装の詳細


関連項目:

  • 『Oracle Identity Managementインフラストラクチャ管理者ガイド』の第3章「Identity Managementインフラストラクチャの配置プランニング」

  • 『Oracle Identity Management統合ガイド』の第17章「サード・パーティ・ディレクトリ統合の概要および考慮事項」


3.12.2 ユーザーとデプロイ済アプリケーションとの対話を可能にする同期サービスを構成する

Oracle Directory Integration Platformを構成する場合は、接続ディレクトリまたはOracle Internet Directoryで必要とされるコンテナと属性のみを指定します。LDAPフィルタをマッピング構成プロファイルの一部として使用すると、不要な属性データを排除でき同期化が簡単になります。

各コネクタとそれに対応するマッピング構成ファイルでは、スケジューリングを実行する時間隔に適切な値を設定します。コネクタは互いに完全に独立しているので、他のコネクタと同じ時間または同じ間隔で起動する必要はありません。

Oracle Application Serverで使用するために外部ユーザーとグループをOracle Internet Directoryに同期化する場合は、ID管理レルムの適切なcn=userscn=groupsコンテナに対してコネクタを確立してください。その後、すべてのインバウンド・ユーザー・エントリに、配置されているOracleアプリケーションとの対話にユーザーが必要とするOracle固有属性がプロビジョニングされます。

実装の詳細


関連項目:

『Oracle Identity Management統合ガイド』の第17章「サード・パーティ・ディレクトリ統合の概要および考慮事項」

3.12.3 Oracle Human ResourcesとOracle Internet Directoryを同期化してOracleAS Single Sign-OnとOracle Delegated Administration Servicesへのアクセスを可能にする

Oracle Human Resourcesを、企業内にある従業員データの真のソースとして使用する場合は、Oracle Internet Directoryとの間で同期化する必要があります。所定の時間に接続ディレクトリから必要な変更をフェッチする際には、Last Successful Execution Timeコネクタのプロファイル属性が使用されるため、過去の日付を最初に設定してください。続いて、プロファイルを有効にします。この方法では、接続ディレクトリの全エントリが同時にOracle Internet Directoryに同期化される場合があることに注意してください。

接続ディレクトリのユーザー・データは、Oracle Internet DirectoryのID管理レルム内のパブリックなcn=usersコンテナに同期化することをお薦めします。このように、すべてのユーザーはOracleAS Single Sign-OnやOracle Delegated Administration Servicesのセルフ・サービス・コンソールにすぐにアクセスできます。

実装の詳細


関連項目:

  • 『Oracle Identity Management統合ガイド』の第10章「Oracle Human Resourcesとの同期」

  • 『Oracle Internet Directory管理者ガイド』のバルクロードに関する項