この章では、Oracle Directory Integration Platformの管理に使用できる次のコマンドライン・ツールについて説明します。
dipassistant(Oracle Directory Integrationアシスタント)
odisrvreg(Oracle Directory Integration Platform Server登録)
oidprovtool(プロビジョニング登録ツール)
schemasync(スキーマ同期ツール)
注意: セキュリティ向上のため、Oracle Directory Integration Platformのツールでは、入力を求められた場合を除き、パスワードを入力しないでください。 |
Directory Integration Platformアシスタント(dipassistant
)は、Oracle Directory Integration Platform Serverを管理するためのコマンドライン・ツールです。
operation
dipassistant
を使用して実行する操作の名前。操作固有の構文、引数および使用方法の詳細は、目的の操作に関する説明を参照してください。使用できる操作は次のとおりです。
bootstrap(bs): 接続ディレクトリとOracle Internet Directory間でデータの初期移動を実行します。この操作の詳細は、「dipassistant bootstrap操作」を参照してください。
bulkprov(bp): ユーザー・エントリを作成し、それらをアプリケーションに一括してプロビジョニングするか、プロビジョニング解除します。この操作の詳細は、「dipassistant bulkprov操作」を参照してください。
chgpasswd(cpw): dipadmin
アカウントのパスワードを変更します。この操作の詳細は、「dipassistant chgpasswd操作」を参照してください。
createprofile(cp): 新規同期プロファイルを作成します。この操作の詳細は、「dipassistant createprofile操作」を参照してください。
createprofilelike(cpl): 既存のプロファイルをテンプレートとして使用し、新規同期プロファイルを作成します。この操作の詳細は、「dipassistant createprofilelike操作」を参照してください。
deleteprofile(dp): 同期プロファイルを削除します。この操作の詳細は、「dipassistant deleteprofile操作」を参照してください。
expressconfig(ec): サード・パーティ・ディレクトリ・コネクタのExpress構成を実行します。この操作の詳細は、「dipassistant expressconfig操作」を参照してください。
extauth(ea): 接続されているディレクトリに対する外部認証プラグインを構成します。この操作の詳細は、「dipassistant extauth操作」を参照してください。
listprofiles(lp): Oracle Internet Directoryのすべての同期プロファイル名を一覧表示します。この操作の詳細は、「dipassistant listprofiles操作」を参照してください。
loaddata(ld): この操作の詳細は、「dipassistant loaddata操作」を参照してください。
modifyprofile(mp): 既存の同期プロファイルを変更します。この操作の詳細は、「dipassistant modifyprofile操作」を参照してください。
reassociate(rs): 任意のOracle Internet Directoryサーバーから別のサーバーにディレクトリ統合プロファイルを移動して再度関連付けます。この操作の詳細は、「dipassistant reassociate操作」を参照してください。
showprofile(sp): この操作の詳細は、「dipassistant showprofile操作」を参照してください。
validatemapfile(sp): 属性のマッピング・ファイルを検証します。この操作の詳細は、「dipassistant validatemapfile操作」を参照してください。
wpasswd(wp): この操作の詳細は、「dipassistant wpasswd操作」を参照してください。
注意: dipassistant操作の中にはgrpID パラメータを含むものがあります。このパラメータは、Oracle Directory Integration Platformをoidctl コマンドで開始する際に使用するgrpID パラメータと同じです。 |
-gui
dipassistant
と同じ操作を実行できるグラフィカル・ユーザー・インタフェースのOracle Directory Integration Platform Server管理ツールを起動します。Oracle Directory Integration Platform Server管理ツールの詳細は、『Oracle Identity Management統合ガイド』を参照してください。
-help
dipassistant
ツールのコマンドライン・ヘルプを表示します。すべての操作を一覧表示するには、次のように入力します。
dipassistant -help
特定の操作の引数と構文を表示するには、次のように入力します。
dipassistant operation_name -help
bootstrap(bs)
操作では、接続ディレクトリとOracle Internet Directory間でデータの初期移動を実行できます。
dipassistant bootstrap {-profile profile_name [-h oid_hostname] [-p port] [-U ssl_mode] [-D "bindDN"] [-w password][-log log_file] [-logseverity 1-15] [-trace trace_file] [-tracelevel level] [-loadparallelism number_threads] [-loadretry retry_count]}|{-f config_file}
-profile profile_name
-f
または-profile
のいずれかは必須。ブートストラップ操作の実行時に使用する同期プロファイルの名前。同期プロファイルを指定しない場合、かわりに構成ファイルの名前を指定します。プロファイルを指定した場合、次のオプションの引数をコマンドラインで指定できます。
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
-log log_file
オプション。ログ・ファイルのパスと名前。デフォルトはORACLE_HOME
/ldap/odi/bootstrap.log
です。
-logseverity
オプション。記録するイベントのレベルに応じた1〜15の数値。レベルは次のとおりです。
1: INFO
2: WARNING
4: DEBUG
8: ERROR
複数のレベルを指定するには、数値を合計します。たとえば、デフォルトのログ重大度は、INFOおよびERRORに相当する9(1+8=9)です。
-trace trace_file
オプション。トレース・ログ・ファイルのフルパスと名前。デフォルトの場所は、ORACLE_HOME
/ldap/odi/log/bootstrap.trc
です。ファイルがすでに存在する場合、上書きされます。
-tracelevel level
オプション。トレース・ログ・ファイルに記録する情報のレベルに応じた数値。複数のレベルを指定するには、数値を合計します。デフォルトのトレース・レベルは、3(1+2=3)です。
1: スレッドの開始と停止
2: プロファイルのリフレッシュ
4: コネクタの初期化、実行および終了の詳細
8: コネクタ実行時の詳細
16: コネクタの変更レコード
32: コネクタのマッピングの詳細
64: コネクタの実行時間の詳細
-loadparallelism number_threads
オプション。データをOracle Internet Directoryにロードするための同時スレッドの数。デフォルトは5です。
-loadretry retry_count
オプション。エントリのロードに失敗したときに、不正エントリとしてマークする前にそのエントリのロードを再試行する回数。デフォルトは5です。
-f config_file
-f
または-profile
のいずれかは必須。「dipassistant bootstrap用の構成ファイルのプロパティ」に記載されたプロパティを含む構成ファイルのフルパスと名前。構成ファイルを指定しない場合、かわりに同期プロファイルの名前を指定します。
odip.bootstrap.srctype
必須。ブートストラップ・データのソース。有効な値は、LDAP
またはLDIF
です。
odip.bootstrap.desttype
必須。ブートストラップ・データの宛先。有効な値は、LDAP
またはLDIF
です。
odip.bootstrap.srcurl
必須。LDAP
の場合、ブートストラップ・データのソースであるディレクトリ・サーバーのhost_name:port
。LDIF
の場合、ブートストラップ・ソース・データを含むファイルの絶対パス。
odip.bootstrap.desturl
必須。LDAP
の場合、ブートストラップ・データの宛先であるディレクトリ・サーバーのhost_name:port
。LDIF
の場合、宛先LDIFファイルの絶対パス。
odip.bootstrap.srcsslmode
オプション。ブートストラップ・データのソースへの接続にSSLベース認証を必要とする場合、TRUE
に設定します。デフォルトは、SSLを使用しないFALSE
です。
odip.bootstrap.destsslmode
オプション。ブートストラップ・データの宛先への接続にSSLベース認証を必要とする場合、TRUE
に設定します。デフォルトは、SSLを使用しないFALSE
です。
odip.bootstrap.srcdn
LDAPの場合にのみ必須。ソース・ディレクトリへのバインドに使用するソースDN。デフォルトは、Oracle Directory Integration Platform管理者のDNです("cn=dipadmin"
など)。
odip.bootstrap.destdn
LDAPの場合にのみ必須。宛先ディレクトリへのバインドに使用する宛先DN。デフォルトは、Oracle Directory Integration Platform管理者のDNです("cn=dipadmin"
など)。
注意: ソースDNまたは宛先DNにマルチバイト・キャラクタ・セットの文字が含まれる場合は、UTF-16 形式で指定する必要があります。次に例を示します。
odip.bootstrap.srcdn = CN=nlstest1,ou=\u7F8E\u56FD\u5730\u533A,dc=idm2003,dc=net |
odip.bootstrap.srcpasswd
オプション。ソース・ディレクトリへのバインドに使用するパスワード。LDAPバインディングの場合、この値はセキュリティ資格証明として使用されます。このファイルにはパスワードを指定しないことをお薦めします。
odip.bootstrap.destpasswd
オプション。宛先ディレクトリへのバインドに使用するパスワード。LDAPバインディングの場合、この値はセキュリティ資格証明として使用されます。このファイルにはパスワードを指定しないことをお薦めします。
odip.bootstrap.mapfile
オプション。属性とドメインのマッピングを含むマップ・ファイルの場所。
odip.bootstrap.logfile
オプション。ログ・ファイルのパスと名前。デフォルトはORACLE_HOME
/ldap/odi/bootstrap.log
です。
odip.bootstrap.logseverity
オプション。記録するイベントのレベルに応じた1〜15の数値。レベルは次のとおりです。
1: INFO
2: WARNING
4: DEBUG
8: ERROR
複数のレベルを指定するには、数値を合計します。たとえば、デフォルトのログ重大度は、INFOおよびERRORに相当する9(1+8=9)です。
odip.bootstrap.loadparallelism
オプション。データをOracle Internet Directoryにロードするための同時スレッドの数。デフォルトは5です。
odip.bootstrap.loadretry
オプション。エントリのロードに失敗したときに、不正エントリとしてマークする前にそのエントリのロードを再試行する回数。デフォルトは5です。
odip.bootstrap.trcfile
オプション。トレース・ログ・ファイルのフルパスと名前。デフォルトの場所は、ORACLE_HOME
/ldap/odi/log/bootstrap.trc
です。ファイルがすでに存在する場合、上書きされます。
odip.bootstrap.trclevel
オプション。トレース・ログ・ファイルに記録する情報のレベルに応じた数値。複数のレベルを指定するには、数値を合計します。デフォルトのトレース・レベルは、3(1+2=3)です。
1: スレッドの開始と停止
2: プロファイルのリフレッシュ
4: コネクタの初期化、実行および終了の詳細
8: コネクタ実行時の詳細
16: コネクタの変更レコード
32: コネクタのマッピングの詳細
64: コネクタの実行時間の詳細
odip.bootstrap.srcencode
オプション。LDIFファイルのネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、WE8MSWIN1252
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。次のようなLDIFファイルがある場合、キャラクタ・セットを指定する必要があります。
サード・パーティのディレクトリ・ユーティリティによって生成されたLDIFファイル
グローバリゼーション・サポート・データが含まれるLDIFファイル
異なるプラットフォームで処理されたLDIFファイル
bootstrap
操作を使用すると、次のタスクを実行できます。
次の例では、iPlanetProfile
という同期プロファイルを使用してブートストラップを実行します。
例:
dipassistant bootstrap –profile iPlanetProfile -h myhost –port 3060 -D cn=dipadmin
次の例では、bootstrap.cfg
という構成ファイルを使用してブートストラップを実行します。構成ファイルには、「dipassistant bootstrap用の構成ファイルのプロパティ」に記載されたプロパティが含まれます。
例:
dipassistant bootstrap –f bootstrap.cfg
bulkprov(bp)
操作を使用すると、管理者は、ユーザー・エントリを作成して様々なアプリケーションに一括してプロビジョニングすることや、逆にそれらを様々なアプリケーションから一括してプロビジョニング解除することができます。また、この操作を使用して、ユーザー・エントリの属性を変更することも可能です。この操作では、LDIFファイルを入力として使用します。適切な形式のLDIF入力ファイルの詳細は、付録A「LDIFファイル形式」を参照してください。
次に、LDIF形式のユーザー・エントリの例を示します。
dn: cn=John Smith,cn=users,dc=us,dc=mycompany,dc=com changetype: add cn: John Smith cn: John sn: Smith mail: jsmith@mycompany.com uid: jsmith_us orclisenabled: True
この入力ファイルを使用してbulkprov
操作を起動すると、ユーザー・エントリを追加して、そのエントリをディレクトリで構成されたアプリケーションにプロビジョニングできます。すべての構成済アプリケーションにデフォルト・プロビジョニング・ポリシーとしてPROVISIONING_REQUIRED
が割り当てられている場合、デフォルトで各アプリケーションにこのプロビジョニング・ステータスを使用してユーザーが作成されます。
bulkprov
操作は、アプリケーション用の構成済プラグインも起動します。プロビジョニング・ポリシーの決定、データ検証の実行、およびデフォルトの割当てを行うプラグインを指定することで、それらのプラグインでデフォルト・プロビジョニング・ポリシーを上書きできます。アプリケーション固有の属性を別の場所に保存する場合は、プラグインを指定してそのアプリケーション・データを管理できます。
LDIFファイルに指定された各ユーザーの識別名(DN)が、レルム内で有効なDNであることを確認する必要があります。DN検証は、自動的には実行されません。LDIFファイルでレルム外のDNを指定し、そのDNがどのユーザー検索ベースにも含まれない場合、Oracle Internet Directoryプロビジョニング・コンソールやOracle Internet Directoryセルフ・サービス・コンソールでユーザー検索を実行しても、それらの新規ユーザーは表示されません。
ユーザー・エントリを削除してアプリケーションからプロビジョニング解除するには、LDIFファイルに次のようなユーザー・エントリを指定します。
dn: cn=John Smith,cn=users,dc=us,dc=mycompany,dc=com changetype: delete
dipassistant bulkprov -f ldif_file [-h oid_hostname] [-p port] [-U ssl_mode] [-D bindDN] [-w password] [-realm realm_name] [-E character_set]
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
-realm realm_name
ユーザーをプロビジョニングするレルム。指定しない場合、ルートOracleコンテキストで指定されたデフォルトのID管理レルムが使用されます。
-E "character_set"
オプション。ネイティブのキャラクタ・セット・エンコーディング。デフォルトはユーザーの使用する端末のキャラクタ・セットです。サポートされている各キャラクタ・セットには、ISO-8859-1
、JA16SJIS
またはAL32UTF8
などの一意の略語があります。
chgpasswd(cpw)
操作では、Oracle Directory Integration Platform管理者(dipadmin
)アカウントのパスワードを再設定できます。dipadmin
アカウントのデフォルト・パスワードは、インストール時に選択したias_admin
のパスワードと同じです。パスワードを再設定するには、Oracle Internet Directory管理者(orcladmin
)アカウントのセキュリティ資格証明を指定する必要があります。
dipassistant chgpasswd [-h oid_hostname] [-p port] [-U ssl_mode] [-D bindDn] [-w password]
コマンドラインで指定する引数の他に、ツールにより、Oracle Directory Integration Platform管理者(dipadmin
)アカウントの新規パスワードを求められます。
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
createprofile(cp)
操作では、Oracle Internet Directoryと外部ディレクトリの新規同期プロファイルを作成できます。
dipassistant createprofile [-h oid_hostname] [-p port] [-U ssl_mode] [-D bindDN] [-w password] -f prop_file -grpID connector_group_identifier
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
-f prop_file
必須。「dipassistant createprofile用の構成ファイルのプロパティ」に記載されたプロパティを含むプロファイル・プロパティ・ファイルのフルパスと名前。
-grpID connector_group_identifier
必須。プロファイルに関連付けるコネクタ・グループを示す一意の識別子。
警告: 構成ファイルには機密情報が含まれる場合があるため、このファイルはプロファイル作成後に削除することをお薦めします。 |
odip.profile.agentexecommand
LDAP以外のインタフェースの場合、LDIF形式で情報を生成するコマンド。このデータは、プロファイル・エントリのorclODIPAgentExeCommand属性に格納されます。
odip.profile.condiraccount
サード・パーティ・ディレクトリへの接続に使用するDNまたはユーザー名。このデータは、プロファイル・エントリのorclODIPConDirAccessAccount属性に格納されます。
odip.profile.condirpassword
サード・パーティ・ディレクトリへの接続に使用するパスワード。このデータは、プロファイル・エントリのorclODIPConDirAccessPassword属性に格納されます。
odip.profile.condirfilter
Oracle Internet Directoryにインポートする前に、接続ディレクトリから読み取られた変更に適用するフィルタ。このデータは、プロファイル・エントリのorclODIPConDirMatchingFilter属性に格納されます。
odip.profile.condirurl
サード・パーティ・ディレクトリのhostname:port
。このデータは、プロファイル・エントリのorclODIPConDirURL属性に格納されます。
odip.profile.configfile
実行時に使用されるプロファイル固有の追加情報を含むファイルの名前。
odip.profile.configinfo
実行時に使用されるプロファイル固有の追加情報。このデータは、プロファイル・エントリのorclODIPAgentConfigInfo属性に格納されます。
odip.profile.debuglevel
デバッグ・レベルを指定します。このデータは、プロファイル・エントリのorclODIPProfileDebugLevel属性に格納されます。
odip.profile.directorytype
10g(10.1.4.2)より前のリリースのOracle Directory Integration Platformで作成されたすべてのプロパティ・ファイルに必須のパラメータ。接続ディレクトリのタイプを特定します。このデータは、プロファイル・エントリのorclODIPConDirURL属性に格納されます。
odip.profile.interface
データ交換に使用する形式(LDAP、LDIF、DBまたはTAGGED)。デフォルトはLDAPです。このデータは、プロファイル・エントリのorclODIPProfileInterfaceType属性に格納されます。
odip.profile.lastchgnum
最終適用変更番号。エクスポート・プロファイルの場合、この番号は、Oracle Internet Directoryの最終適用変更番号を示します。インポート・プロファイルの場合、この番号は、接続ディレクトリの最終適用変更番号を示します。このデータは、プロファイル・エントリのorclODIPConDirLastAppliedChgNum属性に格納されます。ldapsearch
コマンドを使用すると、Oracle Internet Directoryでの最終変更番号を確認できます。次に例を示します。
ldapsearch -D cn=orcladmin -b "" -s base objectclass=* lastchangenumber
odip.profile.mapfile
マッピング・ルールを含むファイルの名前。このデータは、プロファイル・エントリのorclODIPAttributeMappingRules属性に格納されます。
odip.profile.name
同期プロファイルの名前。このデータは、プロファイル・エントリのorclODIPAgentName属性に格納されます。
odip.profile.oidfilter
接続ディレクトリにエクスポートする前に、Oracle Internet Directoryから読み取られた変更に適用するフィルタ。このデータは、プロファイル・エントリのorclODIPOIDMatchingFilter属性に格納されます。
odip.profile.password
このプロファイルにアクセスするためのパスワード。このデータは、プロファイル・エントリのorclODIPAgentPassword属性に格納されます。
odip.profile.retry
Oracle Directory Integration Platform Serverでエントリの実行を再試行する最大回数。このデータは、プロファイル・エントリのorclODIPSyncRetryCount属性に格納されます。デフォルトは4です。
odip.profile.schedinterval
統合サーバーでこのプロファイルを連続実行する際の実行間隔。前の実行が完了していない場合、それが完了するまで次の実行は再開されません。このデータは、プロファイル・エントリのorclODIPSchedulingInterval属性に格納されます。デフォルトは1分です。
odip.profile.status
このプロファイルを有効(ENABLE)にするか無効(DISABLE)にするかを指定します。このデータは、プロファイル・エントリのorclODIPAgentControl属性に格納されます。デフォルトはDISABLEです。
odip.profile.syncmode
同期の方向。変更をサード・パーティ・ディレクトリからOracle Internet Directoryに伝播する場合、同期モードはIMPORTです。変更をサード・パーティ・ディレクトリに伝播する場合、同期モードはEXPORTです。このデータは、プロファイル・エントリのorclODIPSchedulingInterval属性に格納されます。デフォルトはIMPORTです。
createprofilelike(cpl)
操作では、既存のプロファイルをテンプレートとして使用し、新規同期プロファイルを作成できます。
dipassistant createprofilelike [-h oid_hostname] [-p port] [-U ssl_mode] [-D bindDN] [-w password] -profile orig_profile_name -newprofile new_profile_name -grpID connector_group_identifier
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
-profile orig_profile_name
必須。テンプレートとして使用する既存のプロファイルの名前。
-newprofile new_profile_name
必須。作成する新規プロファイルの名前。
-grpID connector_group_identifier
必須。プロファイルに関連付けるコネクタ・グループを示す一意の識別子。
deleteprofile(dp)
操作では、Oracle Internet Directoryから同期プロファイルを削除できます。
dipassistant deleteprofile -profile profile_name [-h oid_hostame] [-p port] [-U ssl_mode] [-D bindDN] [-w password] -grpID connector_group_identifier
-profile profile_name
必須。削除するプロファイルの名前。
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
-grpID connector_group_identifier
必須。プロファイルを関連付けるコネクタ・グループを示す一意の識別子。
expressconfig(ec)
操作では、サード・パーティ・ディレクトリのコネクタのExpress構成を実行できます。この操作により、必要なすべての構成が実行され、インポート・プロファイルとエクスポート・プロファイルが作成されます。サード・パーティ・ディレクトリ・コネクタの構成方法の詳細は、『Oracle Identity Management統合ガイド』を参照してください。
dipassistant expressconfig [-h oid_hostname] [-p port] [-U ssl_mode] [-3rdpartyds third_party_ds ] [-grpID connector_group_identifier]
コマンドラインで指定する引数の他に、ツールでは次の情報を求められます。
Oracle Internet Directoryの資格証明。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDNとパスワードを指定する必要があります。
サード・パーティ・ディレクトリ接続の詳細と特権ユーザーの資格証明。接続でSSLモードを使用するかどうかを指定する必要があります。また、サード・パーティ・ディレクトリがMicrosoft Active Directoryである場合を除き、同期をとるサブツリーのDNの指定も求められます。
サード・パーティ・ディレクトリがMicrosoft Active Directoryである場合は、同期をとるサブツリーのDNは、「cn=users,
default_naming_context
」に自動的に設定されます。削除を同期するには、Microsoft Active Directoryの適切な管理権限を保持している必要があります。たとえば、Microsoft Active Directoryのインストールされているホストがmyhost@mycompany.com
である場合、administrator@mycompany.com
と指定します。
作成される同期プロファイルを識別する名前。たとえば、abc
という名前を指定すると、abcImport
およびabcExport
という2つのプロファイルが作成されます。
cn=usersコンテナの適切なACL(オプション)。cn=users
コンテナの下のOracleコンポーネントでユーザーとグループを管理できます。この方法でACLをカスタマイズする場合、元のACLはORACLE_HOME
/ldap/odi/archive/profile_name_prefix_useracl.ldif
に保存されます。
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-3rdpartyds third_party_ds
オプション。接続しているサード・パーティ・ディレクトリ・サービス。コマンドラインで指定しない場合、ツールによってこの情報の入力を求められます。サポートされている値は次のとおりです。
ActiveDirectory
またはAD
SunJava
またはiPlanet
eDirectory
またはedir
OpenLDAP
注意: これらの値は、大/小文字を区別しません。 |
-grpID connector_group_identifier
オプション。プロファイルに関連付けるコネクタ・グループを示す一意の識別子。
extauth(ea)
操作は、接続されているディレクトリに対する外部認証プラグインを構成します。
dipassistant exauth [-h hostName] [-p port] -D bindDN -w bindPassword -t extDirType
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p oid_port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-D bindDN
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意の他のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w bindPassword
オプション。ディレクトリへのバインドに使用するパスワード。
-t extDirType
外部ディレクトリのタイプ。値は次のとおりです。
AD(Active Directory)
iPlanet
eDirectory
OpenLDAP
listprofiles(lp)
操作では、Oracle Internet Directoryのすべての同期プロファイルを一覧表示できます。
dipassistant listprofiles [-h oid_hostname] [-p port] [-U ssl_mode] [-D bindDN] [-w password] [-grpID connector_group_identifier]
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
-grpID connector_group_identifier
オプション。プロファイルに関連付けるコネクタ・グループを示す一意の識別子。
listprofiles
操作を使用すると、次のタスクを実行できます。
次の例では、Oracle Internet Directoryのすべての同期プロファイルを一覧表示します。
例:
dipassistant listprofiles -h myhost -p 3060 -D cn=dipadmin
デフォルトでは、このコマンドにより、インストール時に作成されたサンプル・プロファイルのリストが次のように出力されます。ただし、実際のOracle Internet Directoryの配置状況によっては、追加の同期プロファイルが含まれることもあります。
IplanetExport IplanetImport ActiveImport ActiveExport LdifExport LdifImport TaggedExport TaggedImport OracleHRAgent ActiveChgImp
loaddata
操作では、CSVファイルからOracle Internet Directoryにデータをロードできます。
dipassistant loaddata -f properties_file | [-h oid_hostname] [-p port] [-U ssl_mode] [-D bindDn] [-w password] [-c control_file] [-a application] [-g groupDN] -data data_file [-map map_file] f[-log log_file] [-logseverity 1-15] [-trace trace_file] [-tracelevel level]
-f properties_file
プロパティ・ファイルでデータをロードする場合は必須。「dipassistant loaddata用の構成ファイルのプロパティ」に記載されたプロパティを含むプロパティ・ファイルのフルパスと名前。
CSVファイルからOracle Internet Directoryにデータをロードする方法の具体例は、次のサンプル・プロパティ・ファイルを参照してください。
$ORACLE_HOME/ldap/odi/samples/csv2ldp.properties
CSVファイルからOracle Internet Directoryにデータをロードし、それらのデータをOracleインスタント・ポータルで使用可能にする方法の具体例は、次のサンプル・プロパティ・ファイルを参照してください。プロパティ・ファイルにより、Oracle Internet Directoryに新規ユーザーが作成されると同時に、Oracleインスタント・ポータルで必要とされるグループに各ユーザーが追加されます。Oracleインスタント・ポータルで新規ユーザーを使用可能にする必要があり、次のプロパティ・ファイルを使用しない場合は、適切なOracleインスタント・ポータル・グループに各ユーザーを手動で追加する必要があります。
$ORACLE_HOME/ldap/odi/samples/load2oip.properties
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
-c control_file
データファイルからデータをロードする場合は必須。制御ファイルのフルパスと名前。詳細は、「odip.bootstrap.srcctl」を参照してください。
-a application
オプション。ロードされたデータを使用するアプリケーションの名前。Oracle Identity Management 10g(10.1.4.2)の場合、この引数に有効な値は、Oracleインスタント・ポータルを示すportal
のみです。
-g groupDN
オプション。-a
引数で指定したアプリケーションのグループDN。Oracle Identity Management 10g(10.1.4.2)の場合、この引数に有効な値は、Oracleインスタント・ポータルのグループDNのみです。
-data data_file
データファイルからデータをロードする場合は必須。ロードするデータを含むCSVファイルのフルパスと名前。詳細は、「odip.bootstrap.srcurl」を参照してください。
-map map_file
データファイルからデータをロードする場合は必須。マッピング・ファイルのフルパスと名前。詳細は、「odip.bootstrap.mapfile」を参照してください。
-log log_file
オプション。ログ・ファイルのフルパスと名前。デフォルトは、$ORACLE_HOME/ldap/odi/log/loaddata.trcです。
-logseverity 1-15
オプション。記録するイベントのレベルに応じた1〜15の数値。レベルは次のとおりです。
1: INFO
2: WARNING
4: DEBUG
8: ERROR
複数のレベルを指定するには、数値を合計します。たとえば、デフォルトのログ重大度は、INFOおよびERRORに相当する9(1+8=9)です。
-trace trace_file
オプション。トレース・ログ・ファイルのフルパスと名前。
-tracelevel level
オプション。トレース・ログ・ファイルに記録する情報のレベルに応じた数値。複数のレベルを指定するには、数値を合計します。デフォルトのトレース・レベルは、3(1+2=3)です。
odip.bootstrap.srctype
必須。ロードするデータのソース・タイプ。このプロパティの有効な値は、CSVのみです。
odip.bootstrap.dsttype
必須。ロードするデータの宛先タイプ。このプロパティの有効な値は、LDAPのみです。
odip.bootstrap.srcurl
必須。Oracle Internet Directoryにロードするデータを含むCSVファイルの絶対パス。次のサンプル・データファイルを参照してください。
$ORACLE_HOME/ldap/odi/samples/csvsample.data
odip.bootstrap.srcctl
必須。データの格納方法に関するソース制御情報を含むファイルの絶対パス。次のサンプル・ソース制御ファイルを参照してください。
$ORACLE_HOME/ldap/odi/samples/csvsample.ctl
odip.bootstrap.desturl
必須。データの宛先であるディレクトリ・サーバーのLDAP
host_name:port
。
odip.bootstrap.destdn
必須。宛先ディレクトリへのバインドに使用するDN。デフォルトは、Oracle Directory Integration Platform管理者のDNです("cn=dipadmin"
など)。
odip.bootstrap.destpasswd
必須。宛先ディレクトリへのバインドに使用するパスワード。LDAPバインディングの場合、この値はセキュリティ資格証明として使用されます。このプロパティに割り当てた値は、データのロード後にプロパティ・ファイルから即座に削除することをお薦めします。
odip.bootstrap.mapfile
必須。属性とドメインのマッピングを含むマップ・ファイルの絶対パス。次のサンプル・マップ・ファイルを参照してください。
$ORACLE_HOME/ldap/odi/samples/csvload.map.sample
odip.bootstrap.logfile
オプション。ログ・ファイルのパスと名前。デフォルトはORACLE_HOME
/ldap/odi/loaddata.log
です。
odip.bootstrap.trcfile
オプション。トレース・ログ・ファイルのフルパスと名前。デフォルトの場所は、$
ORACLE_HOME
/ldap/odi/log/loaddata.trc
です。ファイルがすでに存在する場合、上書きされます。
modifyprofile(mp)
操作では、同期プロファイルの特定のプロパティを変更できます。変更するプロファイル・プロパティをコマンドラインで指定するか、変更するプロパティとその新しい値がリストされた構成ファイルを指定します。同期プロファイルのプロパティの説明は、「dipassistant createprofile用の構成ファイルのプロパティ」を参照してください。
dipassistant modifyprofile [-h oid_hostname] [-p port] [-U ssl_mode] [-D bindDN] [-w password] {-f prop_file | -profile profile_name [-updlcn] [propName1=value] [propName2=value]...}
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
-f prop_file
変更するプロパティとその新しい値を含むプロファイル・プロパティ・ファイルのフルパスと名前。これらのプロパティは、「dipassistant createprofile用の構成ファイルのプロパティ」に記載されています。
-profile profile_name
変更する同期プロファイルの名前。
-updlcn
オプション。同期プロファイルの最終変更番号を、ソース・ディレクトリの最終変更番号で更新します。
propName=value
変更する値を保持するプロパティの名前と、そのプロパティの新しい値。これらのプロパティは、「dipassistant createprofile用の構成ファイルのプロパティ」に記載されています。
modifyprofile
操作を使用すると、次のタスクを実行できます。
次の例では、changes.profile
というプロパティ・ファイルを使用して、myprofile
というプロファイルを変更します。
例:
dipassistant modifyprofile -profile myprofile -h myhost -p 3060 -D cn=dipadmin -f changes.profile
次の例では、-Uオプションを使用してOracle Internet DirectoryにSSLモードで接続します。
dipassistant modifyprofile -profile myprofile -h myhost -p 636 -U 2 -D cn=dipadmin -f changes.profile
reassociate(rs)
操作では、同期プロファイルを別のノードに移動して、そのプロファイルを新規ノードに再度関連付けることができます。たとえば、中間層コンポーネントが特定のOracle Identity Managementインフラストラクチャに関連付けられている場合、そのインフラストラクチャ・ノードに存在するすべてのプロファイルを新しいインフラストラクチャ・ノードに移動して、それらのプロファイルを再度適切に関連付けることができます。
新規ノードにプロファイルが存在しない場合、プロファイルは新しいOracle Internet Directoryノードにコピーされ、コピー後に無効になります。そのため、アプリケーションにより有効にする必要があります。統合プロファイルのlastchangenumber
属性は、2番目のOracle Internet Directoryノードの現在の最終変更番号に変更されます。
すでに対応するプロファイルが存在するノードにプロファイルを移動する場合、2つの統合プロファイルは次のように調整されます。
ノード1のプロファイルの新規属性は、すべてノード2のプロファイルに追加されます。
両方に同じ属性が存在する場合、ノード1のプロファイルの値でノード2のプロファイルの属性が上書きされます。
コピー後に、プロファイルは無効になります。そのため、アプリケーションにより有効にする必要があります。
統合プロファイルのlastchangenumber
属性は、2番目のOracle Internet Directoryノードの現在の最終変更番号に変更されます。
dipassistant reassociate [-src_ldap_host oid1_hostname] [-src_ldap_port port] [-src_sslmode ssl_mode] [-src_ldap_dn bindDN] [-src_ldap_passwd password] -dst_ldap_host oid2_hostname [-dst_ldap_port port] [-dst_sslmode ssl_mode][-dst_ldap_dn bindDN] [-dst_ldap_passwd password] [-log logfile]
-src_ldap_host oid1_hostname
オプション。ソースOracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-src_ldap_port port
オプション。ソースOracle Internet DirectoryサーバーのLDAPリスニング・ポート。デフォルトは389です。
-src_sslmode ssl_mode
オプション。ソースOracle Internet DirectoryサーバーのSSL認証モード。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-src_ldap_dn bindDN
ソースOracle Internet DirectoryサーバーのスーパーユーザーのDN(cn=orcladmin
)。
-src_ldap_passwd password
ソース・ディレクトリへのバインドに使用するパスワード。
-dst_ldap_host oid2_hostname
必須。宛先Oracle Internet Directoryサーバーのホスト名。
-dst_ldap_port port
オプション。宛先Oracle Internet DirectoryサーバーのLDAPリスニング・ポート。デフォルトは389です。
-dst_sslmode ssl_mode
オプション。宛先Oracle Internet DirectoryサーバーのSSL認証モード。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-dst_ldap_dn bindDN
宛先Oracle Internet DirectoryサーバーのスーパーユーザーのDN(cn=orcladmin
)。
-dst_ldap_passwd password
宛先ディレクトリへのバインドに使用するパスワード。
-log logfile
操作に関するログを記録するファイルの名前。
showprofile(sp)
操作では、特定の同期プロファイルの詳細を表示できます。
dipassistant showprofile -profile profile_name [-h oid_hostname] [-p port] [-U ssl_mode] [-D bindDN] [-w password]
-p profile_name
必須。表示する同期プロファイルの名前。
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-U ssl_mode
オプション。Oracle Internet DirectoryのSSLモードを表す1〜3の値です。SSLモードは次のとおりです。
1: 認証を行わないSSLモード
2: サーバーのみの認証を行うSSLモード
3: クライアントとサーバーの両方の認証を行うSSLモード
-D "bindDN"
オプション。スーパーユーザー(cn=orcladmin
)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
オプション。ディレクトリへのバインドに使用するパスワード。
showprofile
操作を使用すると、次のタスクを実行できます。
次のコマンド例では、インストール時に作成されるActiveImport
サンプル・プロファイルの詳細が表示されます。
例:
dipassistant showprofile -profile ActiveImport -h myhost -p 3060 -D cn=dipadmin
このコマンドにより、ActiveImport
サンプル・プロファイルの詳細が次のように出力されます。
odip.profile.version = 2.0 odip.profile.lastchgnum = 0 odip.profile.interface = LDAP odip.profile.oidfilter = orclObjectGUID odip.profile.schedinterval = 60 odip.profile.name = ActiveImport odip.profile.syncmode = IMPORT odip.profile.condirfilter = searchfilter=(|(objectclass=group)(objectclass=organizationalunit) (&(objectclass=user)(!(objectclass=computer)))) odip.profile.retry = 5 odip.profile.debuglevel = 0 odip.profile.status = DISABLE
validatemapfile(vmf)
操作では、指定されたプロファイルまたは属性マッピング・ファイル名から属性マッピング・ファイルを検証します。
dipassistant validatemapfile -profile profile_name [-h host_name] [-p port] [-D "bindDn"] [-w password] [-t directory_type]
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-D "binddn"
必須。ディレクトリへのバインドに必要なOracle Internet Directoryユーザー(cn=orcladmin
など)、またはDirectory Integration Platformの管理者グループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory
)のDN。
-w password
必須。ディレクトリへのバインドに使用するパスワード。
-t | -type directory_type
プロファイルで指定されていない場合は必須。接続ディレクトリのタイプ。
-profile profile_name
必須。検証する属性マッピング・ファイルを含むプロファイルの名前。
-f | -file file_name
オプション。属性マッピング・ファイル検証用の次のパラメータを含むファイル。
wpasswd(wp)
操作では、Oracle Directory Integration Platform ServerでOracle Internet Directoryへの接続に使用されるWalletパスワードを設定できます。
dipassistant
は、Oracle Internet Directoryまたはサード・パーティのディレクトリにSSLモードで接続できます。次のトピックでは、SSLモードを使用してディレクトリに接続するために行う必要のあるタスクについて説明します。
SSLモードでdipassistant
を実行する前に、次のタスクを実行する必要があります。
odi.properties
ファイルでWalletの場所を指定します。このファイルは、$ORACLE_HOME/ldap/odi/conf
ディレクトリにあります。
dipassistant wpasswd
コマンドを使用して、Walletのパスワードを設定します。詳細は、「dipassistant wpasswd操作」を参照してください。
注意: 前の手順は、-U 2 (サーバーのみの認証)オプションまたは-U 3 (サーバーとクライアントの認証)オプションを使用して、Oracle Internet Directoryに接続する場合にのみ必要です。-U 1 (認証なしのSSLモード)オプションを使用してOracle Internet Directoryに接続する場合は、これらの手順は必要ありません。 |
dipassistant
は、次のシナリオでサード・パーティのディレクトリに接続できます。
dipassistant bootstrap
を使用して、サード・パーティ・ディレクトリとOracle Internet Directory間でデータの初期移動を実行します。
dipassistant modifyprofile -updlcn
を使用して、インポート・プロファイルに対するサード・パーティの(接続された)ディレクトリから最終変更番号を取得します。
dipassistant
を使用してSSLモードでサード・パーティ・ディレクトリに接続する前に、次のタスクを実行します。
odi.properties
ファイルでWalletの場所を指定します。このファイルは、$ORACLE_HOME/ldap/odi/conf
ディレクトリにあります。
dipassistant wpasswd
コマンドを使用して、Walletのパスワードを設定します。詳細は、「dipassistant wpasswd操作」を参照してください。
接続されたディレクトリから証明書を生成します。これには、外部の認証局は必要ありません。
証明書をBase64
エンコード形式にエクスポートします。
Oracle Wallet Managerを使用し、証明書を信頼できるポイントとしてOracle Walletにインポートします。
odisrvreg
コマンドライン・ツールでは、Oracle Directory Integration Platform ServerをOracle Internet Directoryに登録できます。このツールにより、ディレクトリにエントリを作成し、Directory Integration Platform Serverのパスワードを設定します。登録エントリがすでに存在する場合、このツールを使用して既存のパスワードを再設定できます。odisrvreg
ツールでは、ORACLE_HOME
/ldap/odi/conf
にodisrvwallet_
hostname
というローカル・ファイルも作成できます。このファイルは、Directory Integration Platform Serverが起動時にディレクトリにバインドするためのプライベートWalletとして機能します。
odisrvreg -h oid_hostname -p port -D bindDN -w "password"[-U SSL_auth_mode -W wallet_location –P wallet_password]
-h oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
-p port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
-D "bindDN"
必須。ディレクトリのスーパーユーザー(cn=orcladmin
)のDN。
-w password
必須。ディレクトリへのバインドに使用するパスワード。
-U SSL_auth_mode
オプション。次のSSL認証モード:
1
: 認証の必要がない場合。
2
: 一方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
3
: 双方向認証が必要な場合。Walletの場所とWalletのパスワードも指定する必要があります。
-W wallet_location
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。サーバーのSSL証明書を含むWalletの場所。
UNIXでの例:
-W "file:/home/my_dir/my_wallet"
Microsoft Windowsでの例:
-W "file:C:\my_dir\my_wallet"
-P wallet_password
一方向または双方向のSSL認証を使用する場合(-U 2|3
)は必須。-W
引数で指定したWalletのパスワード。
odisrvreg
コマンドライン・ツールを使用すると、次のタスクを実行できます。
次の例は、セキュアな通信のためにSSLを使用して、Oracle Internet DirectoryにOracle Directory Integration Platform Serverを登録する方法を示しています。
例:
odisrvreg -h myhost.company.com -p 3040 -D "cn=orcladmin" -U 2 -W "file:/home/my_dir/my_wallet" –P walpasswd123
プロビジョニング機能を使用すると、ディレクトリの変更(ユーザーまたはグループ情報の変更など)をアプリケーションに確実に通知できます。これらの変更は、アプリケーションのプロセスやリソースに対するユーザー・アクセスを許可するかどうかという決定に影響を与える可能性があります。
プロビジョニングする予定のアプリケーションをインストールしたら、プロビジョニング登録ツール(oidprovtool
)を使用してそのアプリケーション用のプロビジョニング統合プロファイルを作成する必要があります。このツールを使用すると、次のことができます。
新規プロビジョニング・プロファイルの作成。新規プロビジョニング・プロファイルを作成し、Oracle Directory Integration Platformで処理できるように有効化します。
既存のプロビジョニング・プロファイルの無効化。
無効化されたプロビジョニング・プロファイルの有効化。
既存のプロビジョニング・プロファイルの変更。
既存のプロビジョニング・プロファイルの削除。
指定したプロビジョニング・プロファイルの現在の状態の取得。
既存のプロビジョニング・プロファイルのすべてのエラーの消去。
プロビジョニング登録ツールにより、プロビジョニング・プロファイル・エントリの場所およびスキーマの詳細がツールのコール元から保護されます。コール元の観点からすると、アプリケーションとレルムの組合せにより、プロビジョニング・プロファイルを一意に識別できます。システム上の制約により、各レルムの1つのアプリケーションに対して割り当てることができるのは、1つのプロビジョニング・プロファイルのみです。
プロファイルを一度作成したら、modify
操作を使用してそのモード(INBOUND、OUTBOUNDまたはBOTH)を変更することはできません。モードを変更するには、プロファイルを削除して再作成する必要があります。
Oracle Directory Integration Platform Serverにより、Oracle Internet Directoryでのプロビジョニング・プロファイル構成の変更(プロビジョニング・プロファイルの作成、変更、削除など)は自動的に監視されます。そのため、プロビジョニング・プロファイルを手動で有効化または無効化する必要はありません。
注意: セキュリティ向上のため、oidprovtool コマンドでは、入力を求められた場合を除き、パスワードを入力しないでください。 |
oidprovtool operation=[create|modify] ldap_host=oid_hostname ldap_port=port \ ldap_user_dn="bindDN" ldap_user_password=password \ [profile_mode=INBOUND|OUTBOUND|BOTH] application_dn="DN" application_type=type [application_name=name] \ [application_display_name=display name] organization_dn=DN \ [application_isdasvisible=TRUE|FALSE] [manage_application_defaults=TRUE|FALSE] \ [enable_bootstrap=TRUE|FALSE] [user_data_location=DN] \ [default_provisioning_policy=PROVISIONING_REQUIRED|PROVISIONING_NOT_REQUIRED] \ interface_name=SCHEMA.PACKAGE [interface_type=PLSQL|JAVA] \ interface_version=1.1|2.0|3.0] interface_connect_info=connection_string \ schedule=number_seconds lastchangenumber=number \ max_prov_failure_limit=number \ max_events_per_schedule=number max_events_per_invocation=number \ event_mapping_rules="OBJECT_TYPE:FILTER:DOMAIN" \ event_permitted_operations="OBJECT:DOMAIN:OPERATION(attributes,...)" \ event_subscription="USER|GROUP:DOMAIN:OPERATION(attributes,...)" \ max_events_per_schedule=number max_retries=number profile_group=number \ profile_status=ENABLED | DISABLED profile_debug=debug_level oidprovtool {operation=enable|disable|delete|status|reset} application_dn=DN [organization_dn=DN] [ldap_host=oid_hostname] [ldap_port=port] [ldap_user_dn=bindDN] [ldap_user_password=password] [profile_debug=debug_level]
operation=create | modify | enable | disable | delete | status | reset
必須。oidprovtool
を使用して実行する操作。一度に1つの操作のみ実行できます。操作は次のとおりです。
create: 新規プロビジョニング・プロファイルの作成
modify: 既存のプロビジョニング・プロファイルの指定プロパティの変更
enable: プロビジョニング・プロファイルの有効化
disable: プロビジョニング・プロファイルの無効化
delete: プロビジョニング・プロファイルの削除
status: 指定したプロビジョニング・プロファイルの現在のステータスの表示
reset: プロビジョニング・プロファイルのすべてのエラーの消去
ldap_host=oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
ldap_port=port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは389です。
ldap_user_dn=bindDN
必須。スーパーユーザーのDN、またはプロビジョニング登録操作を実行するのに十分な権限を保持するユーザーのDN。デフォルトはcn=orcladmin
です。
ldap_user_password=password
必須。ディレクトリへのバインドに使用するユーザー・パスワード。
profile_mode=OUTBOUND | INBOUND | BOTH
create
操作でのみオプション。プロビジョニング・イベントの方向。デフォルトはOUTBOUNDです(データはOracle Internet Directoryからアプリケーションへとプロビジョニングされます)。
application_dn=DN
必須。プロビジョニングの登録先となるアプリケーションの識別名。アプリケーションDNと組織DNの組合せにより、プロビジョニング・プロファイルが一意に識別されます。たとえば、PortalのアプリケーションDNは、次のとおりです。
"orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext"
application_type=type
必須。プロビジョニングするアプリケーションのタイプ。
application_name=name
オプション。プロビジョニングするアプリケーションの名前。指定しない場合、デフォルトでapplication_dn
に割り当てられた識別名が使用されます。
application_display_name=name
オプション。プロビジョニングするアプリケーションの表示名。指定しない場合、デフォルトでapplication_name
に割り当てられた値が使用されます。
organization_dn=DN
オプション。指定しない場合、デフォルトID管理レルムが使用されます。プロビジョニングの登録先となる組織の識別名です(dc=company,dc=com
など)。アプリケーションDNと組織DNの組合せにより、プロビジョニング・プロファイルが一意に識別されます。
application_isdasvisible=TRUE | FALSE
オプション。アプリケーションをOracle Internet Directoryプロビジョニング・コンソールにプロビジョニング統合アプリケーションとして表示するかどうかを指定します。デフォルト値はTRUEです。
manage_application_default=TRUE | FALSE
オプション。Oracle Internet Directoryプロビジョニング・コンソールでアプリケーションのデフォルト値を管理するかどうかを指定します。デフォルト値はTRUEです。
enable_bootstrap=TRUE | FALSE
オプション。アプリケーションのプロビジョニング統合プロファイルを作成する前からOracle Internet Directoryに存在しているユーザーのプロビジョニング・イベントを、アプリケーションで受信するかどうかを指定します。デフォルト値はFALSEです。
user_data_location=DN
オプション。アプリケーション固有のユーザー情報を格納するコンテナのDNを指定します。
default_provisioning_policy=PROVISIONING_REQUIRED | PROVISIONING_NOT_REQUIRED
オプション。アプリケーションのデフォルト・プロビジョニング・ポリシーを指定します。デフォルト値はPROVISIONING_REQUIREDです。
interface_name=SCHEMA.PACKAGE
create
またはmodify
操作の場合は必須。PLSQLパッケージのデータベース・スキーマ名。値の形式は、schema.package_name
です。たとえば、Portal用のスキーマおよびPLSQLパッケージ情報は、次のようになります。
interface_name=PORTAL.WWSEC_OID_SYNC
interface_version=1.1 | 2.0 | 3.0
インタフェース・プロトコルのバージョン。使用可能な値は、1.1、2.0または3.0です。デフォルト値は2.0です。
interface_type=PLSQL | JAVA
オプション。イベントを伝播するインタフェースのタイプ。デフォルトはPLSQLです。
interface_connect_info=connection_string
create
またはmodify
操作の場合は必須。Oracleデータベースに接続してイベントを伝播するには、接続文字列として次のいずれかの形式を使用します。
DBURL=ldap://ldaphost:ldapport/service:username:password(推奨)
host:port:sid:username:password
DBSVC=service:username:password
schedule=number_seconds
create
およびmodify
操作でのみオプション。このプロファイルの実行間隔を示す秒数。デフォルトは3600であり、プロファイルは1時間ごとに実行されます。
lastchangenumber=number
OUTBOUND
イベントのcreate
およびmodify
操作でのみオプション。Oracle Internet Directoryの最終変更番号であり、この番号より後の適切なすべてのイベントがアプリケーションにプロビジョニングされます。デフォルトは、最新の現行変更番号です。
max_prov_failure_limit=number
オプション。Oracleプロビジョニング・システムでユーザーのプロビジョニングを試行する回数を指定します。デフォルトは1です。
max_events_per_schedule=number
create
およびmodify
操作でのみオプション。プロビジョニング・プロファイルの1回の実行でOracle Directory Integration Platform Serverからアプリケーションに送信するイベントの最大数。デフォルトは100です。
max_events_per_invocation=number
create
およびmodify
操作でのみオプション。インタフェースの1回の起動でパッケージ化してターゲットに送信するイベントの最大数。
event_mapping_rules="OBJECT_TYPE:FILTER:DOMAIN"
INBOUND
イベントのcreate
およびmodify
操作でのみ必須。このルールにより、(オプションのフィルタ条件を使用して)アプリケーションから取得したオブジェクト・タイプをOracle Internet Directoryのドメインにマップします。1つのプロビジョニング・プロファイルに複数のマッピング・ルールを定義できます。
次の例は、2つのマッピング・ルールを示しています。1番目のルールでは、地域属性がアメリカに等しい(l=AMERICA
)従業員オブジェクト(EMP
)が、ドメインl=AMER,cn=users,dc=company,dc=com
にマップされます。2番目のルールでは、フィルタ条件なしで、従業員オブジェクト(EMP
)がドメインcn=users,dc=company,dc=com
にマップされます。
event_mapping_rules="EMP:l=AMERICA:l=AMER,cn=users,dc=company,dc=com" event_mapping_rules="EMP::cn=users,dc=company,dc=com"
event_permitted_operations="OBJECT:DOMAIN:OPERATION(attributes,...)
INBOUND
イベントのcreate
およびmodify
操作でのみ必須。このプロパティを使用して、Oracle Directory Integration Platformサービスへの送信をアプリケーションに許可するイベントのタイプを定義します。1つのプロビジョニング・プロファイルに複数の許可操作を定義できます。
たとえば、ユーザー・オブジェクトが追加または削除された場合、または特定の属性が変更された場合にアプリケーションがイベントを送信することを許可するには、次のような3つの許可操作を定義します。
event_permitted_operations="USER:dc=mycompany,dc=com:ADD(*)" event_permitted_operations="USER:dc=mycompany,dc=com:MODIFY(cn,sn,mail,password)" event_permitted_operations="USER:dc=mycompany,dc=com:DELETE(*)"
event_subscription="USER | GROUP:DOMAIN:OPERATION(attributes,...)"
OUTBOUND
イベントのcreate
およびmodify
操作でのみ必須。このプロパティを使用して、Oracle Directory Integration Platformサービスからアプリケーションに送信するイベントのタイプを定義します。1つのプロビジョニング・プロファイルに複数のイベント・サブスクリプションを定義できます。
たとえば、ユーザーまたはグループ・オブジェクトが追加または削除された場合にディレクトリ統合サーバーからアプリケーションにイベントを送信するには、次のような4つのイベント・サブスクリプションを定義します。
event_subscription="GROUP:dc=mycompany,dc=com:ADD(*)" event_subscription="GROUP:dc=mycompany,dc=com:DELETE(*)" event_subscription="USER:dc=mycompany,dc=com:ADD(*)" event_subscription="USER:dc=mycompany,dc=com:DELETE(*)"
max_events_per_schedule=number
create
およびmodify
操作でのみオプション。1回のスケジュールでプロビジョニングするイベントの最大数。デフォルトは100です。
max_retries=number
create
およびmodify
操作でのみオプション。失敗したイベントを再試行する回数。デフォルトは5です。
profile_group=number
create
およびmodify
操作でのみ必須。プロファイルのグループ番号。デフォルトはDEFAULTです。この引数は、異なるOracle Directory Integration Platform Serverインスタンスを使用して様々な選択グループを実行する場合に発生するスケーラビリティの問題に対処するために必要です。
profile_status=ENABLED | DISABLED
create操作でのみ必須。プロファイルの有効化または無効化を指定します。デフォルトはENABLEDです。
profile_debug=debug_level
必須。プロファイルのデバッグ・レベル。
プロビジョニング登録ツール(oidprovtool
)を使用すると、次のタスクを実行できます。
次の例では、Oracle Internet Directoryで管理されているユーザーおよびグループ情報の更新をPortalで認識できるように、新規プロビジョニング・プロファイルを作成します。
例:
oidprovtool operation=create ldap_host=myhost.mycompany.com ldap_port=389 \ ldap_user_dn="cn=orcladmin" application_dn="orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext" \ organization_dn="dc=us,dc=mycompany,dc=com" interface_name=PORTAL.WWSEC_OID_SYNC \ interface_type=PLSQL interface_connect_info=myhost:1521:iasdb:PORTAL:password \ schedule=360 event_subscription="USER:dc=us,dc=mycompany,dc=com:DELETE" \ event_subscription="GROUP:dc=us,dc=mycompany,dc=com:DELETE" \ event_subscription="USER:dc=us,dc=mycompany,dc=com:MODIFY(orclDefaultProfileGroup,userpassword)" \ event_subscription="GROUP:dc=us,dc=mycompany,dc=com:MODIFY(uniqueMember)" \ profile_mode=OUTBOUND
次の例では、Portalアプリケーションの既存のプロビジョニング・プロファイルを変更します。ユーザー・エントリの変更時にプロビジョニングされる属性のイベント・サブスクリプションを変更します。
例:
oidprovtool operation=modify ldap_host=myhost.mycompany.com ldap_port=389 \ ldap_user_dn="cn=orcladmin" application_dn="orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext" \ organization_dn="dc=us,dc=mycompany,dc=com" \ subscription="USER:dc=us,dc=mycompany,dc=com:MODIFY(orclDefaultProfileGroup,userpassword,mail,cn,sn)"
次の例では、Portalアプリケーションのプロビジョニング・プロファイルを無効化します。
例:
oidprovtool operation=delete ldap_host=myhost.mycompany.com ldap_port=389 \ ldap_user_dn="cn=orcladmin" application_dn="orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext" \ organization_dn="dc=us,dc=mycompany,dc=com"
次の例では、Portalアプリケーションのプロビジョニング・プロファイルを無効化します。
例:
oidprovtool operation=disable ldap_host=myhost.mycompany.com ldap_port=389 \ ldap_user_dn="cn=orcladmin" application_dn="orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext" \ organization_dn="dc=us,dc=mycompany,dc=com"
schemasync
コマンドライン・ツールを使用すると、Oracle Internet Directoryサーバーとサード・パーティLDAPディレクトリ間でスキーマ要素(属性とオブジェクト・クラス)を同期できます。
スキーマの同期中に発生したエラーは、次のファイルに記録されます。
$ORACLE_HOME
/ldap/odi/log/attributetypes.log
$ORACLE_HOME
/ldap/odi/log/objectclasses.log
schemasync -srchost hostname -srcport port -srcdn bindDN -srcpwd password -dsthost hostname -dstport port -dstdn bindDN -dstpwd password [-ldap]
-srchost hostname
必須。ソース・ディレクトリ・サーバーのホスト名。
-srcport port
必須。ソース・ディレクトリ・サーバーのLDAPリスニング・ポート(389など)。
-srcdn bindDN
必須。ソース・ディレクトリへのバインドに使用するユーザーのDN。このユーザーは、ディレクトリ・スキーマを変更するための権限を保持している必要があります。たとえば、スーパーユーザー(cn=orcladmin
)を指定します。
-srcpwd password
必須。ソース・ディレクトリへのバインドに使用するユーザー・パスワード。
-dsthost hostname
必須。宛先ディレクトリ・サーバーのホスト名。
-dstport port
必須。宛先ディレクトリ・サーバーのLDAPリスニング・ポート(389など)。
-dstdn bindDN
必須。宛先ディレクトリへのバインドに使用するユーザーのDN。このユーザーは、ディレクトリ・スキーマを変更するための権限を保持している必要があります。たとえば、スーパーユーザーを指定します。
-dstpwd password
必須。宛先ディレクトリへのバインドに使用するユーザー・パスワード。
-ldap
オプション。指定した場合、スキーマの変更はソースLDAPディレクトリから宛先LDAPディレクトリに直接適用されます。指定しない場合、スキーマの変更は次のLDIFファイルに格納されます。
$ORACLE_HOME/ldap/odi/data/attributetypes.ldif: このファイルには、新規属性定義が含まれます。
$ORACLE_HOME/ldap/odi/data/objectclasses.ldif: このファイルには、新規オブジェクト・クラス定義が含まれます。
-ldap
を指定しない場合、ldapmodifyを使用してこれら2つのファイルから各定義をアップロードする必要があります。最初に属性タイプをアップロードし、次にオブジェクト・クラスをアップロードします。
schemasync
コマンドライン・ツールを使用すると、次のタスクを実行できます。
次の例は、Oracle Internet Directoryとサード・パーティ・ディレクトリ・サーバー間でスキーマを同期する方法を示しています。
例:
schemasync -srchost myhost1.mycompany.com -srcport 389 -srcdn "cn=orcladmin" -dsthost myhost2.mycompany.com -dstport 389 -dstdn "uid=superuser,ou=people,dc=mycompany,dc=com" -dstpwd admin123 -ldap