ヘッダーをスキップ
Oracle Identity Managementユーザー・リファレンス
10g(10.1.4.2)
E05895-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

3 Oracle Internet Directoryデータベース管理ツール

この章では、Oracle Internet Directoryデータベースの管理に使用できる次のコマンドライン・ツールについて説明します。

3.1 oidpasswd

Oracle Internet Directoryデータベース・パスワード・ユーティリティ(oidpasswd)を使用すると、次のことを実行できます。

3.1.1 oidpasswdの構文

oidpasswd [connect=connect_string] [change_oiddb_pwd=true | create_wallet=true | unlock_su_acct=true| reset_su_password=true | manage_su_acl=true]

3.1.2 oidpasswdの引数

connect=connect_string

オプション。ディレクトリ・データベース接続文字列。tnsnames.oraファイルが構成されている場合は、そのファイルで指定されたネット・サービス名です。tnsnames.oraファイルは、$ORACLE_HOME/network/adminにあります。指定しない場合、デフォルトで$ORACLE_SID環境変数の値が使用されます。

change_oiddb_pwd=true | unlock_su_acct=true | reset_su_password=true | manage_su_password=true

必須。実行する操作を指定します。選択した操作に応じて、Oracle Internet Directoryデータベース・パスワード・ユーティリティによって追加情報の入力を求められます。選択できる操作は次のとおりです。

  • change_oiddb_pwd=true: Oracle Internet Directoryデータベースのパスワードを変更します。この場合、現在のデータベース・パスワードの指定、新規データベース・パスワードの入力、および新規パスワードの確認を求められます。


    注意:

    Oracle Real Application Clusters(RAC)環境では、1つのOracle RACノードでパスワードを更新した場合は、他のOracle RACノードでWalletを更新する必要があります。詳細は、『Oracle Application Server高可用性ガイド』の、Oracle RACシステムでのODSパスワードの変更に関する項を参照してください。

  • create_wallet=true: Oracle Internet Directoryデータベース・パスワードのWallet(oidpwdlldap1)と、Oracleディレクトリ・レプリケーション・サーバー・パスワードのWallet(oidpwdrsid)を作成します。

    sidは、SID環境変数ではなく接続先のデータベースから取得されます。

    ODS Walletを作成するには、ODSデータベースでの認証のためにODSパスワードを指定する必要があります。デフォルトのODSパスワードは、Oracle Application Server管理者のパスワードと同じです。

  • unlock_su_acct=true: ロックされているスーパーユーザー・アカウントのロックを解除します。

  • reset_su_password=true: Oracle Internet Directoryスーパーユーザー・アカウントのパスワードを再設定します。この場合、Oracle Internet Directoryデータベース・パスワードの指定、新規スーパーユーザー・パスワードの入力、および新規スーパーユーザー・パスワードの確認を求められます。

  • manage_su_acl=true: スーパーユーザー制限ACLを管理します。

3.1.3 oidpasswdのタスクと使用例

Oracle Internet Directoryデータベース・パスワード・ユーティリティを使用すると、次のタスクを実行できます。

3.1.3.1 Oracle Internet Directoryデータベースのパスワードの変更

次の例は、Oracle Internet Directoryデータベースが同一マシン上にある場合に、データベース・パスワードを変更する方法を示しています。

例:

oidpasswd
current password: oldpassword
new password: newpassword
confirm password: newpassword
password set.

Oracle Internet Directoryデータベース・パスワード・ユーティリティによって、現在のパスワードを求められます。現在のパスワードを入力し、次に新規パスワードを入力したら、新規パスワードの確認を行います。

ユーティリティでは、変更対象のパスワードは、デフォルトで(ORACLE_HOMEおよびORACLE_SIDで定義された)ローカル・データベースのパスワードであるとみなされます。リモート・データベースのパスワードを変更する場合は、connect=connect_stringオプションを使用する必要があります。


注意:

  • パスワードの入力中は、ユーザーの入力文字が画面に表示されません。

  • Oracle Internet Directoryデータベース・パスワード・ユーティリティを使用してデータベース・パスワードを変更する場合、oidemdpasswdユーティリティも実行する必要があります。これにより、Oracle Enterprise Managerデーモン(Oracle Enterprise Managerのコンポーネント)は、そのパスワードを適切にキャッシュし、起動時にODSスキーマに接続できます。oidemdpasswdの実行後は、Oracle Enterprise ManagerからOracle Internet Directoryプロセスを監視できます。


3.1.3.2 Oracle Internet Directoryデータベース・パスワードおよびOracleディレクトリ・レプリケーション・サーバー・パスワードのWalletの作成

次の例は、Oracle Internet Directoryデータベース・パスワードおよびOracleディレクトリ・レプリケーション・サーバー・パスワードのWalletを作成する方法を示しています。

例:

oidpasswd connect=dbs1 create_wallet=true

この場合、create_wallet=trueは必須の引数です。接続文字列以外のオプションは指定できません。

3.1.3.3 スーパーユーザー・アカウントのロック解除

次の例は、Oracle Internet Directoryスーパーユーザー・アカウント(cn=orcladmin)のロックを解除する方法を示しています。

例:

oidpasswd connect=dbs1 unlock_su_acct=true

unlock_su_acctは必須の引数です。接続文字列以外のオプションは指定できません。

3.1.3.4 スーパーユーザー・パスワードの再設定

Oracle Internet Directoryスーパーユーザーのパスワードを忘れた場合、oidpasswdツールを使用してパスワードを再設定できます。Oracle Internet Directoryデータベース・パスワードを指定する必要があります。最初にOracle Internet Directoryをインストールした場合、スーパーユーザー・パスワードとOracle Internet Directoryデータベース・パスワードは同じです。ただし、インストール後に、ldapmodifyを使用してOracle Internet Directoryスーパーユーザー・パスワードを変更できます。Oracle Internet Directoryスーパーユーザー・パスワードは、oidpasswdツールを使用して個別に変更できます。

次の例は、Oracle Internet Directoryスーパーユーザー・パスワードを再設定する方法を示しています。この場合、oidpasswdツールによって、Oracle Internet Directoryデータベース・パスワードの入力を求められます。

例:

oidpasswd connect=dbs1 reset_su_password=true
OID DB user password: oid_db_password
                password: new_su_password
confirm password: new_su_password
OID super user password reset successfully

3.1.3.5 スーパーユーザーのアクセス制御ポイントの管理

アクセス制御ポイント(ACP)がDenyGroupOverrideというキーワードを含むアクセス制御項目(ACI)付きで設定されている場合、Oracle Internet DirectoryスーパーユーザーもDirectoryAdminGroupのメンバーもそのACPの管理下にあるサブツリーにはアクセスできません。必要に応じて、Oracle Internet Directoryスーパーユーザーがサブツリーにアクセスできるように、oidpasswdツールを使用してそのACPをリセットできます。

次の例は、制限ACPをリセットする方法を示しています。この場合、oidpasswdユーティリティによって、Oracle Internet Directoryデータベース・パスワードの入力と、リセットするスーパーユーザー制限ACPの選択を求められます。

例:

oidpasswd conn=dbs1 manage_su_acl=true
OID DB user password: oid_db_password

The super user restricted ACP list
[1] o=oracle,c=us
[2] ou=personnel,o=oracle,c=us

Enter 'resetall' or the number(s) of the ACP to be reset separated by [,]
resetall

スーパーユーザーがアクセスできるようにACPをリセットした後は、ldapmodifyを使用して再度スーパーユーザーがサブツリーにアクセスできないよう設定できます。

3.1.4 oidpasswdの関連コマンドライン・ツール

3.2 oidstats.sql

Oracle Internet Directoryデータベース統計収集ツール(oidstats.sql)を使用すると、様々なデータベースのods(Oracleディレクトリ・サーバー)スキーマ・オブジェクトを分析して統計を評価できます。このツールは、$ORACLE_HOME/ldap/admin/ディレクトリにあります。ディレクトリにデータを初めてロードしたときなど、ディレクトリ・データに重要な変更があった場合は、このユーティリティを実行する必要があります。

バルク・ロード・ツール(bulkload.sh)以外の方法でディレクトリにデータをロードした場合、ロード後にOracle Internet Directoryデータベース統計収集ツールを実行する必要があります。統計収集は、LDAP操作に対応する問合せを実行する際に、Oracleオプティマイザで最適な計画を選択するために必須の作業です。Oracle Internet Directoryデータベース統計収集ツールは、Oracle Internet Directoryデーモンを停止せずにいつでも実行できます。


注意:

バルク・ロード・ユーティリティを使用してディレクトリにデータを移入しない場合、検索パフォーマンスの大幅な低下を避けるためにoidstats.sqlツールを実行する必要があります。

3.2.1 oidstats.sqlの構文

sqlplus ods/ods_password@connect_string@oidstats.sql

3.2.2 oidstats.sqlの引数

ods_password

必須。ODSデータベースでの認証に使用するODSパスワード。デフォルトのODSパスワードは、Oracle Application Server管理者のパスワードと同じです。

connect_string

必須。ODSデータベースの接続文字列。これは、tnsnames.oraファイルに設定されているネットワーク・サービス名です。

3.2.3 oidstats.sqlのタスクと使用例

oidstats.sqlツールを使用すると、次のタスクを実行できます。

3.2.3.1 Oracle Internet Directoryデータベース統計収集ツールの実行

例:

sqlplus ods/welcome1@dbs1@oidstats.sql

3.2.4 oidstats.sqlの関連コマンドライン・ツール