Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド リリース9.0.3 E05120-01 |
|
戻る |
次へ |
このマニュアルでは、2つのシナリオを説明します。
Password Synchronization Moduleの既存インスタンスの現行リリースへのアップグレード
このオプションを実装する場合は、第3章で説明されている手順に従います。
Password Synchronization Moduleのデプロイ
このオプションを実装する場合は、この章で説明されている手順に従います。
Password Synchronization Moduleをデプロイするには、次の汎用の手順を実行します。
インストールの準備をするには、まず、次のデプロイ要件に対応していることを確認します。
Oracle Identity Managerリリース8.5.3.1以降のインスタンスがインストールおよび実行されていて、Password Synchronization Moduleをインストールする、Microsoft Active Directoryドメイン・コントローラをホスティングしているコンピュータで認識できる。
関連資料: 使用するアプリケーション・サーバーに応じて、次のいずれかのマニュアルを参照してください。
|
Microsoft Active Directoryのコネクタをデプロイする必要がある。
関連資料: 『Oracle Identity Manager Microsoft Active Directory Connectorガイド』 |
アプリケーション・サーバーのホスト以外のコンピュータにインストールする場合は、そのアプリケーション・サーバーをホスティングしているコンピュータのホスト名およびポート番号を把握しておく必要がある。さらに、リモート・ホストはIPアドレスとホスト名の両方を使用してアプリケーション・サーバー・ホストをpingできる必要がある。
Oracle Identity ManagerインストールのホスティングにIBM WebSphereを使用する場合。この場合、インストールされているIBM WebSphereのバージョンと互換性のあるIBM WebSphere Application Clientのインスタンスを、Password Synchronization Moduleをインストールするコンピュータにインストールする必要がある。
Password Synchronization Moduleをインストールするコンピュータが、次の表に記載されている要件を満たしている。
項目 | 要件 |
---|---|
Microsoft Active Directory | Active Directory Server |
ホスト・オペレーティング・システム | 次のいずれか:
|
注意: Oracle Identity Managerが管理するユーザー・アカウント・ストアとのパスワードの同期を必要とする各Active Directoryドメイン・コントローラに、Password Synchronization Moduleの別々のインスタンスをインストールする必要があります。 |
Password Synchronization Moduleのインストール・ファイルは、インストール・メディアにある次のZIPファイルに圧縮されています。
Directory Servers\Microsoft Active Directory\Microsoft Active Directory Password Sync Rev 9.0.3.zip
デプロイ要件を確認したら、Oracle Identity ManagerサーバーのディレクトリにZIPファイルをコピーします。ZIPファイルの内容をそのディレクトリに抽出します。
デフォルトのMicrosoft Windowsパスワード・ポリシーおよびカスタム・パスワード・ポリシーの両方を強制するには、「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を有効にする必要があります。この項では、このポリシー設定を有効にする手順を説明します。
注意: デフォルト・パスワード・ポリシーを強制しない場合は、「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を無効にしておく必要があります。「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定の有効、無効にかかわらず、カスタム・パスワード・ポリシーは強制されます。 |
「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を有効にするには、次のようにします。
Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするMicrosoft Windowsコンピュータで、「ドメイン セキュリティ ポリシー」アプリケーションを起動します。
これを実行するには、Microsoft Windowsコンピュータで、「スタート」メニュー、「プログラム」、「管理ツール」、「ドメイン セキュリティ ポリシー」の順にクリックします。
Microsoft Active Directory 2003を使用している場合には、すぐに次のステップに進みます。
Microsoft Active Directory 2000を使用している場合には、「ドメイン セキュリティ ポリシー」アプリケーション・ウィンドウの左ペインにある「ウィンドウの設定」を選択してから次のステップに進みます。
「セキュリティの設定」を選択し、「アカウント ポリシー」を開いて、「パスワード ポリシー」をクリックします。
「パスワードは、複雑さの要件を満たす必要がある」をダブルクリックします。「パスワードは、複雑さの要件を満たす必要がある」プロパティ・ダイアログ・ボックスが表示されます。
ダイアログ・ボックスで、「このポリシーの設定を定義する」を選択し、「有効」を選択して「OK」をクリックします。
Password Synchronization Moduleをインストールするには、次のようにします。
Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータで、次のステップを実行します。
Microsoft Windowsの「エクスプローラ」を開きます。
インストール・メディアのZIPファイルの内容を抽出する一時ディレクトリに移動します。
インストーラを起動するには、setup_ad.exe
ファイルをダブルクリックします。
言語を指定します。
「次へ」をクリックします。
「ターゲット・ディレクトリ」ページでは、デフォルトのインストール・ディレクトリをそのまま使用することも、インストール先のディレクトリのパスを指定することもできます。たとえば、次のようなパスを指定できます。
C:\OracleProvisioningAD
また、「参照」ボタンを使用して、インストール・ディレクトリに移動することもできます。
「次へ」をクリックします。
インストーラにより、指定したインストール・ディレクトリ内にadsynch
という名前のディレクトリが作成されます。その後、Password Synchronization Moduleのコンポーネントがadsynch
ディレクトリにコピーされ、adsynch
ディレクトリ内に特定のディレクトリが複数作成されます。
注意: これ以降、このマニュアルでは、ディレクトリuser_specified_install_directory \adsynch をADSYNC_HOME と呼びます。 |
「アプリケーション・サーバー」ページで、Active Directoryの接続先であるOracle Identity Managerサーバーをホスティングするアプリケーション・サーバーを指定します。「次へ」をクリックします。
注意: アプリケーション・サーバーとしてIBM WebSphereを指定する場合には、次のステップを実行します。それ以外の場合には、ステップ7に進みます。 |
「WebSphereディレクトリ」ページで、インストール先のコンピュータでIBM WebSphere Application Clientがインストールされているディレクトリのパスを指定します。「次へ」をクリックします。
「JRE」ページで、モジュールで使用するJREオプションを指定します。次の選択が可能です。
Oracle Identity ManagerにバンドルされているJRE。
Password Synchronization Moduleのインストール先であるコンピュータの既存のJRE 1.4.2インストール。次の表に、サポートされているアプリケーション・サーバーの適切なJREのバージョンを示します。
既存のJREインストールの場合は、インストールのパスを指定する必要があります。「次へ」をクリックします。
「システム管理者」ページで、Oracle Identity Managerサーバーへのログインに必要なアカウント名およびパスワードを指定します。
ログイン用のデフォルトのアカウントはxelsysadm
です。
必要な情報を指定したら、「次へ」をクリックします。
「アプリケーション・サーバー構成」ページで、次の情報を指定します。
Oracle Identity Managerをホスティングしているアプリケーション・サーバー・コンピュータのホスト名またはIPアドレス。
アプリケーション・サーバーと関連付けられているネーミング・ポート。次の表に、サポートされているアプリケーション・サーバーのデフォルトのネーミング・ポートを示します。
Oracle Identity Managerのアプリケーション・サーバーでデフォルト以外のネーミング・ポートが使用されている場合には、そのポート番号を使用し、その他の注意事項についてシステム管理者に相談してください。
必要な情報を指定したら、「次へ」をクリックします。
「サマリー」ページで、「ターゲット・ディレクトリ」ページで指定したモジュールのインストール・ディレクトリが正しく表示されていることを確認します。
インストール・ディレクトリを変更する必要がある場合には、「ターゲット・ディレクトリ」ページが表示されるまで「戻る」をクリックし、必要な変更を行ってからインストール手順を再度進めます。
インストール・ディレクトリが正しく表示されたら、「インストール」をクリックします。
「完了」ページに、インストールが成功したことを示すメッセージが表示されます。
「終了」をクリックしてインストーラを終了します。
コンピュータを再起動します。
注意: Password Synchronization Moduleのインストール後に、Oracle Identity Manager管理者パスワードを変更しないでください。インストール後にパスワードを変更すると、Password Synchronization Moduleは機能しなくなります。パスワードを変更する場合は、Password Synchronization Moduleを再インストールする必要があります。 |
次の表に、Password Synchronization Moduleのキー・コンポーネントのインストール場所を示します。
ファイル | 説明 |
---|---|
Windows_System32_Directory\Adsync.dll
|
このファイルは、Active Directoryドメイン・コントローラのパスワード変更のリスナーとして登録されます。Active Directoryのパスワードが変更されるたびに、このファイルにより、ChangePassword.cmd という名前のパスワード変更スクリプトが呼び出されます。 |
ADSYNC_HOME\config\xlconfig.xml
|
このファイルには、ユーザーによる構成が可能なPassword Synchronization Moduleの設定がすべて含まれています。ユーザーは、モジュールのインストール後にこのファイルを編集できます。詳細は、「手順5: Password Synchronization Moduleの構成」の項を参照してください。 |
ADSYNC_HOME\lib\xliADSync.jar
|
このJARファイルには、パスワード変更スクリプトに必要なクラス・ファイルが含まれます。 |
ADSYNC_HOME\ChangePassword.cmd
|
パスワードの変更に応じてadsync.dll によって呼び出されるこのスクリプトでは、ChangePassword クラスの呼び出しに必要なクラスパスおよびコマンドライン・パラメータが使用されます。このクラスは、xliADSync.jar ファイルにあります。 |
ADSYNC_HOME\wsChangePassowrd.cmd
|
IBM WebSphereによって使用されるバージョンのパスワード変更スクリプトです。 |
ADSYNC_HOME\lib\xliADSync.ear
|
このファイルには、IBM WebSphereによって使用されるバージョンのパスワード変更スクリプトに必要なクラス・ファイルが含まれます。 |
Password Synchronization Moduleのインストール後に、次の手順を行います。
次のファイルをOIM_home
\ext
ディレクトリから、Password Synchronization ModuleをインストールしたコンピュータのADSYNC_HOME
\ext
ディレクトリにコピーします。
javagroups-all.jar
またはjgroups-all.jar
oscache-2.0.2-22Jan04.jar
またはoscache.jar
Oracle Identity Manager Design ConsoleをホスティングしているコンピュータのOIM_Design_Console_installation_dir
\lib
ディレクトリから、Password Synchronization ModuleをインストールしたコンピュータのADSYNC_HOME
\lib
ディレクトリにすべてのJARファイルをコピーします。
使用するアプリケーション・サーバーに応じて、次のいずれかの手順を行います。
JBoss Application Serverの場合は、JBoss_home
\client\jbossall-client.jar
をADSYNC_HOME
\ext
ディレクトリにコピーします。
BEA WebLogicの場合は、BEAWebLogic_home
\weblogic81\server\lib\weblogic.jar
をADSYNC_HOME
\ext
ディレクトリにコピーします。
IBM WebSphereの場合は、次のようにしてADSYNC_HOME
\lib
ディレクトリにxlDataObjectBeans.jar
ファイルを抽出およびコピーします。
a. 次のURLを使用してIBM WebSphere管理コンソールに接続します。
http://localhost:9090/admin
b. Oracle Identity Manager管理者アカウント資格証明を使用して、ログインします。
c. 「Applications」、「Enterprise Applications」の順にクリックします。
d. 「Xellerate」を選択します。
c. 「Export」をクリックします。
f. Xellerate.ear
ファイルを一時ディレクトリに保存します。
g. xlDataObjectBeans.jar
ファイルをXellerate.ear
ファイルから抽出します。
h. xlDataObjectBeans.jar
ファイルをADSYNC_HOME
\lib
ディレクトリにコピーします。
注意: 抽出およびコピーしたファイルが、xlDataObjects.jar ファイルではなく、xlDataObjectBeans.jar ファイルであることを確認してください。 |
OC4Jの場合は、次に示すファイルをADSYNC_HOME
\ext
ディレクトリにコピーします。
OC4J_home\j2ee\home\oc4jclient.jar OC4J_home\j2ee\home\lib\ejb.jar
Oracle Identity Managerをクラスタ化されたアプリケーション・サーバーで実行する場合は、次のようにします。
Oracle Identity Managerクラスタを表す仮想サーバーとPassword Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータの間に信頼関係を確立します。
Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータのhosts
ファイルに、仮想サーバーのホスト名を追加します。
インストールするPassword Synchronization Moduleに関連付けられているxlconfig.xml
ファイルを編集します。このファイルは、ADSYNC_HOME
\config
ディレクトリにあります。
xlconfig.xml
ファイルで、<java.naming.provider.url>
タグの値を仮想サーバーの完全修飾ホスト名に変更します。
注意: xlconfig.xml ファイルの各インスタンスは、config ディレクトリにあります。このディレクトリは、構成ファイルが関連付けられているコンポーネントのルート・インストール・ディレクトリにあります。たとえば、Password Synchronization Moduleに関連付けられているxlconfig.xml ファイルのパスは次のとおりです。
ADSYNC_HOME\config
|
Password Synchronization Moduleに関連付けられているxlconfig.xml
ファイルの<java.naming.provider.url>
タグの値を更新したら、ファイルを保存して閉じます。
Password Synchronization Moduleのインストールが完了したら、xlconfig.xml
ファイルを編集して構成できます。このファイルは、ADSYNC_HOME
\config
ディレクトリにあります。
xlconfig.xml
ファイルのパラメータを構成するには、まず任意のテキスト・エディタを使用してファイルを開きます。次の表に、xlconfig.xml
ファイルの<ADsync>
タグ内の構成可能な要素を示します。
<ADSync>タグ内のタグ | 説明 |
---|---|
<UserMatch> </UserMatch> |
MatchingMethod パラメータは、adsync.dll ファイルに渡されたActive Directory IDを、Oracle Identity ManagerがOracle Identity Managerユーザーと一致する方法を指定します。次の3つのうち、1つ目のオプションがデフォルトです。これは、Oracle Identity ManagerのすべてのログインIDが、すべてのActive DirectoryユーザーのIDと一致する場合に使用します。Oracle Identity ManagerのログインIDとActive Directory IDが一致しない場合には、その他のオプションのいずれか1つを使用します。
|
<Result> </Result> |
このオプションの構成要素は、パスワード変更操作の結果が記録される必要のある場所(adsync.log ファイル以外)を指定します。次のパラメータの値は、<Result> タグ内のタグとして指定されます。
|
次のサンプルのXMLコードに、<ADSync>
タグの元(デフォルト)の内容を示します。
<ADSync> <!-- The Login section provides information about how the utility is authenticated. If UseSignature is true, then the username is used for authentication, using the signature-based login. The key in the "PrivateKey" alias is used. If UseSignature is false, then the username and password are used for authentication. --> <Login> <UseSignature>false</UseSignature> <Username>xelsysadm</Username> <Password encrypted="true">tPzEM127PIQxO64w2g7wgw==</Password> </Login> <!-- The Active Directory name should match an Oracle Identity Manager username. If the MatchingMethod is UserID, the Active Directory username is assumed to be the Oracle Identity Manager user name. For UDF, FieldName must contain the name of the User Defined field that contains the active directory user ID. For ResourceField, process forms of the users who have ResourceObject specified are searched to find the required user. This can be used if Active Directory is provisioned as an account, but not a trusted source. --> <UserMatch> <!-- UserID, UDF and ResourceField --> <MatchingMethod>UserID</MatchingMethod> <FieldName>UD_ADUSER_LOGIN</FieldName> <ResourceObject>AD User</ResourceObject> </UserMatch> <!-- If required, a UDF field can be updated with the result of the operation and Timestamp so that additional workflow can be started. --> <Result> <UpdateUDF>false</UpdateUDF> <FieldName>USR_UDF_ADPWDRES</FieldName> <SuccessValue>SUCCESS</SuccessValue> <FailureValue>FAIL</FailureValue> <AppendTimeStamp>true</AppendTimeStamp> </Result> </ADSync>
xlconfig.xml
ファイルのユーザーによる構成が可能なタグに必要な変更を加えたら、ファイルを保存して閉じます。
Microsoft Active Directoryコネクタのインストール後に、次のようにしてパスワードの同期のxlconfig.xml
を変更し、コネクタのプロパティを反映させる必要があります。
xlconfig.xml
ファイルを開きます。
ファイルで、<ADConnectorConfig>
タグを検索します。
<ADConnectorConfig>タグの子要素に次の変更を行います。
<Installed>
タグ: 値をtrueに設定します。
<ITResourceType>
タグ: コネクタのITリソース・タイプの名前を指定します。
<ITResourceName>
タグ: コネクタのITリソースの名前を指定します。
ファイルを保存して閉じます。
次のXMLコードは、<ADConnectorConfig>セクションに入力したサンプル値を示します。
<ADConnectorConfig> <Installed>true</Installed> <ITResourceType>AD Server</ITResourceType> <ITResourceName>AD34</ITResourceName> </ADConnectorConfig>