23 サード・パーティ・ディレクトリとの統合の管理

この章では、構成後タスクおよび継続的な管理タスクについて説明します。内容は次のとおりです。

• サード・パーティ・ディレクトリでの構成後のタスク

• サード・パーティ・ディレクトリとの統合の一般的な管理

サード・パーティ・ディレクトリでの構成後のタスク

構成の完了後、次のタスクを実行します。

1. 一方のディレクトリから他方のディレクトリに、必要に応じてデータを移行します。詳細は、「ディレクトリ間でのデータのブートストラップ」を参照してください。

2. Directory Integrationアシスタントを使用して次のコマンドを入力し、同期プロファイルを有効にします。

   $ORACLE_HOME/bin/dipassistant modifyprofile
   [-h host name] [-p port_number] [-D bind_DN] 
   -profile profile_name_in_OID odip.profile.status=ENABLE 
   

3. プロファイルのコンフィギュレーション・セットに対応するコンフィギュレーション・セットを使用して、Oracle Directory Integration Serverを起動します。「Oracle Directory Integration Platformの起動、停止および再起動」を参照してください。

サード・パーティ・ディレクトリとの統合の一般的な管理

管理タスクには一般に次のものがあります。

• 同期プロファイルおよびマッピング・ルールの管理
  • 新しいプロファイルの作成。複数ドメイン環境で追加のドメイン・コントローラと同期化する必要がある場合は、新しいプロファイルを作成します。

    新しいプロファイルは、既存のプロファイルをテンプレートとして使用することで作成できます。これには、Directory Integrationアシスタント（dipassistant）ユーティリティのcreatelikeコマンドを使用します。

  • プロファイルの構成（属性）の変更。

  • プロファイルによるメンテナンス許可の無効化およびその再有効化。プロファイルを無効にすると、そのプロファイルに関連する同期が停止されます。

• マッピング・ルールの管理
  • 新しいルールの作成（追加の属性を同期化する必要がある場合）

  • 既存ルールの変更（属性を同期化する方法を変更する必要がある場合）

  • 不要なルールの削除またはコメント化（特定の属性を同期化する必要がない場合）

• アクセス制御の管理

• Oracleディレクトリ・サーバーおよびOracle Directory Integration Serverの起動と停止

この項の内容は次のとおりです。

• ディレクトリ間でのデータのブートストラップ

• サード・パーティ・ディレクトリ外部認証プラグインの管理

  関連資料 サーバーの起動方法および停止方法とDirectory Integrationアシスタント（dipassistant）ユーティリティの使用方法は、『Oracle Identity Managementユーザー・リファレンス』を参照してください。 Identity Management Grid Control Plug-inを使用したサード・パーティ・ディレクトリとの統合の管理方法は、『Oracle Identity Managementインフラストラクチャ管理者ガイド』を参照してください。

ディレクトリ間でのデータのブートストラップ

ブートストラップは、データの移行と呼ばれることがあります。データをブートストラップするには、サード・パーティ・ディレクトリのコネクタおよびプラグインの構成完了後に次の手順を実行します。

1. 移行するデータを識別します。ディレクトリ内のデータ全体またはサブセットのみの移行を選択できます。

2. 次のコマンドを使用して、インポートおよびエクスポート同期プロファイルを無効にします。

   $ORACLE_HOME/bin/dipassistant modifyprofile -host myhost -port myport 
   -file import.profile -dn bind_DN -passwd password_of_bind_DN 
   -profile profile_name odip.profile.status=DISABLE
   

3. -bootstrapオプションを指定したDirectory Integrationアシスタント（dipassistant）を使用して、ディレクトリ間でデータをブートストラップします。ブートストラップの詳細は、第8章「Oracle Directory Integration Platformにおけるディレクトリのブートストラップ」を参照してください。

   ブートストラップが完了すると、Directory Integrationアシスタント（dipassistant）によって同期プロファイルのプロファイル・ステータス属性が適切に更新されます。

4. LDIFファイルベースのブートストラップを使用した場合、Directory Integrationアシスタント（dipassistant）を使用して、次のようにlastchangekey値を初期化します。

   $ORACLE_HOME/bin/dipassistant modifyprofile -updlcn
   

   このlastchangekey属性は、ブートストラップを開始する前に、ソース・ディレクトリの最終変更番号の値に設定する必要があります。

5. 双方向同期が必要な場合は、エクスポート・プロファイルを有効にし、Oracleディレクトリ・サーバーで変更ロギング・オプションが有効になっていることを確認します。変更ロギングは、Oracle Internet Directoryの起動時に-lオプションによって制御されます。デフォルトでは、変更ロギングが有効なことを意味するTRUEに設定されています。FALSEに設定されている場合は、OID制御ユーティリティを使用してOracleディレクトリ・サーバーを停止した後、変更ログを有効にしてサーバーを再起動します。

サード・パーティ・ディレクトリ外部認証プラグインの管理

この項では、サード・パーティの外部認証プラグインを削除、無効化および再有効化する方法について説明します。

サード・パーティ・ディレクトリ外部認証プラグインの削除

サード・パーティの外部認証プラグインを削除するには、次のコマンドを入力します。

ldapdelete -h host -p port -D cn=orcladmin -w password 
"cn=adwhencompare,cn=plugin,cn=subconfigsubentry"

ldapdelete -h host -p port -D cn=orcladmin -w password 
"cn=adwhenbind,cn=plugin,cn=subconfigsubentry"

サード・パーティの外部認証プラグインの無効化

サード・パーティの外部認証プラグインを無効にするには、次のようにします。

1. 次の内容で、LDIFファイルを作成します。

   dn: cn=adwhencompare,cn=plugin,cn=subconfigsubentry
   changetype: modify
   replace: orclpluginenable
   orclpluginenable: 0
   
   dn: cn=adwhenbind,cn=plugin,cn=subconfigsubentry
   changetype: modify
   replace: orclpluginenable
   orclpluginenable: 0
   

2. 次のように、ldapmodifyコマンドを使用してLDIFファイルをロードします。

   ldapmodify -h host -p port -D cn=orcladmin -w password -f fileName
   

サード・パーティの外部認証プラグインの再有効化

サード・パーティの外部認証プラグインを再度有効にするには、次の2つのコマンドを使用します。

1. 次の内容で、LDIFファイルを作成します。

   dn: cn=adwhencompare,cn=plugin,cn=subconfigsubentry
   changetype: modify
   replace: orclpluginenable
   orclpluginenable: 1
   
   dn: cn=adwhenbind,cn=plugin,cn=subconfigsubentry
   changetype: modify
   replace: orclpluginenable
   orclpluginenable: 1
   

2. 次のように、ldapmodifyコマンドを使用してLDIFファイルをロードします。

   ldapmodify -h host -p port -D cn=orcladmin -w password -f fileName