Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド リリース9.0.2 B31934-01 |
|
![]() 戻る |
![]() 次へ |
このマニュアルでは、2つのシナリオを説明します。
Password Synchronization Moduleの既存インスタンスの現行リリースへのアップグレード
このオプションを実装する場合は、第3章で説明されている手順に従います。
Password Synchronization Moduleのデプロイ
このオプションを実装する場合は、この章で説明されている手順に従います。
Password Synchronization Moduleをデプロイするには、次の汎用の手順を実行します。
インストールの準備をするには、まず、次のデプロイ要件に対応していることを確認します。
Oracle Identity Managerリリース8.5.3.1以降のインスタンスがインストールおよび実行されていて、Password Synchronization Moduleをインストールする、Active Directoryドメイン・コントローラをホスティングしているコンピュータで認識できる。
関連資料: 使用するアプリケーション・サーバーに応じて、次のいずれかのマニュアルを参照してください。
|
Oracle Identity ManagerインストールのホスティングにIBM WebSphereを使用する場合。この場合、インストールされているIBM WebSphereのバージョンと互換性のあるIBM WebSphere Application Clientのインスタンスを、Password Synchronization Moduleをインストールするコンピュータにインストールする必要がある。
Password Synchronization Moduleをインストールするコンピュータが、次の表に記載されている要件を満たしている。
項目 | 要件 |
---|---|
Microsoft Active Directory | Active Directory Server |
ホスト・オペレーティング・システム | 次のいずれか:
|
注意: Oracle Identity Managerが管理するユーザー・アカウント・ストアとのパスワードの同期を必要とする各Active Directoryドメイン・コントローラに、Password Synchronization Moduleの別々のインスタンスをインストールする必要があります。 |
Password Synchronization Moduleのインストール・ファイルは、インストール・メディアにある次のZIPファイルに圧縮されています。
Directory Servers\Microsoft Active Directory\Microsoft Active Directory Password Sync Rev 4.5.0.zip
デプロイ要件を確認したら、Oracle Identity ManagerサーバーのディレクトリにZIPファイルをコピーします。ZIPファイルの内容をそのディレクトリに抽出します。
Active Directoryのパスワード・ポリシーを有効化するには、次のようにします。
Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするMicrosoft Windowsコンピュータで、「ドメイン セキュリティ ポリシー」アプリケーションを起動します。
これを実行するには、Microsoft Windowsコンピュータで、「スタート」メニュー、「プログラム」、「管理ツール」、「ドメイン セキュリティ ポリシー」の順にクリックします。
Microsoft Active Directory 2003を使用している場合には、すぐに次のステップに進みます。
Microsoft Active Directory 2000を使用している場合には、「ドメイン セキュリティ ポリシー」アプリケーション・ウィンドウの左ペインにある「ウィンドウの設定」を選択してから次のステップに進みます。
「セキュリティの設定」を選択し、「アカウント ポリシー」を開いて、「パスワード ポリシー」をクリックします。
「パスワードは、複雑さの要件を満たす必要がある」をダブルクリックします。「パスワードは、複雑さの要件を満たす必要がある」プロパティ・ダイアログ・ボックスが表示されます。
ダイアログ・ボックスで、「このポリシーの設定を定義する」を選択し、「有効」を選択して「OK」をクリックします。
Password Synchronization Moduleをインストールするには、次のようにします。
Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータで、次のステップを実行します。
Microsoft Windowsの「エクスプローラ」を開きます。
インストール・メディアのZIPファイルの内容を抽出する一時ディレクトリに移動します。
インストーラを起動するには、setup_ad.exe
ファイルをダブルクリックします。
言語を指定します。
「次へ」をクリックします。
「ターゲット・ディレクトリ」ページでは、デフォルトのインストール・ディレクトリをそのまま使用することも、インストール先のディレクトリのパスを指定することもできます。たとえば、次のようなパスを指定できます。
C:\OracleProvisioningAD
また、「参照」ボタンを使用して、インストール・ディレクトリに移動することもできます。
「次へ」をクリックします。
インストーラにより、指定したインストール・ディレクトリ内にadsynch
という名前のディレクトリが作成されます。その後、Password Synchronization Moduleのコンポーネントがadsynch
ディレクトリにコピーされ、adsynch
ディレクトリ内に特定のディレクトリが複数作成されます。
注意: これ以降、このマニュアルでは、ディレクトリuser_specified_install_directory \adsynch をADSYNC_HOME と呼びます。 |
「アプリケーション・サーバー」ページで、Active Directoryの接続先であるOracle Identity Managerサーバーをホスティングするアプリケーション・サーバーを指定します。「次へ」をクリックします。
注意: アプリケーション・サーバーとしてIBM WebSphereを指定する場合には、次のステップを実行します。それ以外の場合には、ステップ7に進みます。 |
「WebSphereディレクトリ」ページで、インストール先のコンピュータでIBM WebSphere Application Clientがインストールされているディレクトリのパスを指定します。「次へ」をクリックします。
「JRE」ページで、モジュールで使用するJREオプションを指定します。次の選択が可能です。
Oracle Identity ManagerにバンドルされているJRE。
Password Synchronization Moduleのインストール先であるコンピュータの既存のJRE 1.4.2インストール。次の表に、サポートされているアプリケーション・サーバーの適切なJREのバージョンを示します。
既存のJREインストールの場合は、インストールのパスを指定する必要があります。「次へ」をクリックします。
「システム管理者」ページで、Oracle Identity Managerサーバーへのログインに必要なアカウント名およびパスワードを指定します。
ログイン用のデフォルトのアカウントはxelsysadm
です。
必要な情報を指定したら、「次へ」をクリックします。
「アプリケーション・サーバー構成」ページで、次の情報を指定します。
Oracle Identity Managerをホスティングしているアプリケーション・サーバーのホスト名またはIPアドレス。
アプリケーション・サーバーと関連付けられているネーミング・ポート。次の表に、サポートされているアプリケーション・サーバーのデフォルトのネーミング・ポートを示します。
Oracle Identity Managerのアプリケーション・サーバーでデフォルト以外のネーミング・ポートが使用されている場合には、そのポート番号を使用し、その他の注意事項についてシステム管理者に相談してください。
必要な情報を指定したら、「次へ」をクリックします。
「サマリー」ページで、「ターゲット・ディレクトリ」ページで指定したモジュールのインストール・ディレクトリが正しく表示されていることを確認します。
インストール・ディレクトリを変更する必要がある場合には、「ターゲット・ディレクトリ」ページが表示されるまで「戻る」をクリックし、必要な変更を行ってからインストール手順を再度進めます。
インストール・ディレクトリが正しく表示されたら、「インストール」をクリックします。
「完了」ページに、インストールが成功したことを示すメッセージが表示されます。
「終了」をクリックしてインストーラを終了します。
コンピュータを再起動します。
次の表に、Password Synchronization Moduleのキー・コンポーネントのインストール場所を示します。
ファイル | 説明 |
---|---|
Windows_System32_Directory\Adsync.dll
|
このファイルは、Active Directoryドメイン・コントローラのパスワード変更のリスナーとして登録されます。Active Directoryのパスワードが変更されるたびに、このファイルにより、ChangePassword.cmd という名前のパスワード変更スクリプトが呼び出されます。 |
ADSYNC_HOME\config\xlconfig.xml
|
このファイルには、ユーザーによる構成が可能なPassword Synchronization Moduleの設定がすべて含まれています。ユーザーは、モジュールのインストール後にこのファイルを編集できます。詳細は、「手順5: Password Synchronization Moduleの構成」の項を参照してください。 |
ADSYNC_HOME\lib\xliADSync.jar
|
このJARファイルには、パスワード変更スクリプトに必要なクラス・ファイルが含まれます。 |
ADSYNC_HOME\ChangePassword.cmd
|
パスワードの変更に応じてadsync.dll によって呼び出されるこのスクリプトでは、ChangePassword クラスの呼び出しに必要なクラスパスおよびコマンドライン・パラメータが使用されます。このクラスは、xliADSync.jar ファイルにあります。 |
ADSYNC_HOME\wsChangePassowrd.cmd
|
IBM WebSphereによって使用されるバージョンのパスワード変更スクリプトです。 |
ADSYNC_HOME\lib\xliADSync.ear
|
このファイルには、IBM WebSphereによって使用されるバージョンのパスワード変更スクリプトに必要なクラス・ファイルが含まれます。 |
次に示すインストール後の手順を実行します。
次のファイルをOIM_home
\ext
ディレクトリから、Password Synchronization ModuleをインストールしたコンピュータのADSYNC_HOME
\ext
ディレクトリにコピーします。
javagroups-all.jar
またはjgroups-all.jar
oscache-2.0.2-22Jan04.jar
またはoscache.jar
使用されているアプリケーション・サーバーに応じて、次のファイルのいずれか1つをADSYNC_HOME
\ext
ディレクトリにコピーします。
JBoss_home
\client\jbossall-client.jar
(JBoss Application Serverの場合)
BEAWebLogic_home
\weblogic81\server\lib\weblogic.jar
(BEA WebLogicの場合)
Oracle Identity Manager Design ConsoleをホスティングしているコンピュータのOIM_Design_Console_installation_dir
\lib
ディレクトリから、Password Synchronization ModuleをインストールしたコンピュータのADSYNC_HOME
\lib
ディレクトリにすべてのJARファイルをコピーします。
Oracle Identity Managerをクラスタ化されたアプリケーション・サーバーで実行する場合は、次のようにします。
Oracle Identity Managerをホスティングしているコンピュータと、Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータの間に信頼関係を確立します。
Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータのhosts
ファイルに、Oracle Identity Managerをホスティングしているコンピュータのホスト名を追加します。
インストールするPassword Synchronization Moduleに関連付けられているxlconfig.xml
ファイルを編集します。このファイルは、ADSYNC_HOME
\config
ディレクトリにあります。
xlconfig.xml
ファイルで、<java.naming.provider.url>
タグを、Oracle Identity Managerのデプロイの一部としてインストールしたDesign Consoleのインスタンスに関連付けられているxlconfig.xml
ファイルのタグに保存されている値に変更します。
xlconfig.xml
ファイルの各インスタンスは、config
ディレクトリにあります。このディレクトリは、構成ファイルが関連付けられているコンポーネントのルート・インストール・ディレクトリにあります。たとえば、Password Synchronization Moduleに関連付けられているxlconfig.xml
ファイルのパスは次のとおりです。
ADSYNC_HOME\config
Password Synchronization Moduleに関連付けられているxlconfig.xml
ファイルの<java.naming.provider.url>
タグの値を更新したら、ファイルを保存して閉じます。
Password Synchronization Moduleのインストールが完了したら、xlconfig.xml
ファイルを編集して構成できます。このファイルは、ADSYNC_HOME
\config
ディレクトリにあります。
xlconfig.xml
ファイルのパラメータを構成するには、まず任意のテキスト・エディタを使用してファイルを開きます。次の表に、xlconfig.xml
ファイルの<ADsync>
タグ内の構成可能な要素を示します。
<ADSync>タグ内のタグ | 説明 |
---|---|
<UserMatch> </UserMatch> |
MatchingMethod パラメータは、adsync.dll ファイルに渡されたActive Directory IDを、Oracle Identity ManagerがOracle Identity Managerユーザーと一致する方法を指定します。次の3つのうち、1つ目のオプションがデフォルトです。これは、Oracle Identity ManagerのすべてのログインIDが、すべてのActive DirectoryユーザーのIDと一致する場合に使用します。Oracle Identity ManagerのログインIDとActive Directory IDが一致しない場合には、その他のオプションのいずれか1つを使用します。
|
<Result> </Result> |
このオプションの構成要素は、パスワード変更操作の結果が記録される必要のある場所(adsync.log ファイル以外)を指定します。次のパラメータの値は、<Result> タグ内のタグとして指定されます。
|
次のサンプルのXMLコードに、<ADSync>
タグの元(デフォルト)の内容を示します。
<ADSync> <!-- The Login section provides information about how the utility is authenticated. If UseSignature is true, then the username is used for authentication, using the signature-based login. The key in the "PrivateKey" alias is used. If UseSignature is false, then the username and password are used for authentication. --> <Login> <UseSignature>false</UseSignature> <Username>xelsysadm</Username> <Password encrypted="true">tPzEM127PIQxO64w2g7wgw==</Password> </Login> <!-- The Active Directory name should match an Oracle Identity Manager username. If the MatchingMethod is UserID, the Active Directory username is assumed to be the Oracle Identity Manager user name. For UDF, FieldName must contain the name of the User Defined field that contains the active directory user ID. For ResourceField, process forms of the users who have ResourceObject specified are searched to find the required user. This can be used if Active Directory is provisioned as an account, but not a trusted source. --> <UserMatch> <!-- UserID, UDF and ResourceField --> <MatchingMethod>UserID</MatchingMethod> <FieldName>UD_ADUSER_LOGIN</FieldName> <ResourceObject>AD User</ResourceObject> </UserMatch> <!-- If required, a UDF field can be updated with the result of the operation and Timestamp so that additional workflow can be started. --> <Result> <UpdateUDF>false</UpdateUDF> <FieldName>USR_UDF_ADPWDRES</FieldName> <SuccessValue>SUCCESS</SuccessValue> <FailureValue>FAIL</FailureValue> <AppendTimeStamp>true</AppendTimeStamp> </Result> </ADSync>
xlconfig.xml
ファイルのユーザーによる構成が可能なタグに必要な変更を加えたら、ファイルを保存して閉じます。