| Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド リリース9.0.4 E05520-01 |
|
 戻る |
 次へ |
| Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド リリース9.0.4 E05520-01 |
|
戻る |
次へ |
このマニュアルでは、2つのシナリオを説明します。
Password Synchronization Moduleの既存インスタンスの現行リリースへのアップグレード
このオプションを実装する場合は、第3章で説明されている手順に従います。
Password Synchronization Moduleのデプロイ
このオプションを実装する場合は、この章で説明されている手順に従います。
Password Synchronization Moduleをデプロイするには、次の手順を実行します。
Microsoft Active Directoryの強力なパスワード認証(パスワードの複雑さのチェック)機能を使用する場合は、次の項の手順を実行してください。
インストールの準備をするには、まず、次のデプロイ要件に対応していることを確認します。
Oracle Identity Managerリリース8.5.3.1以降のインスタンスがインストールおよび実行されていて、Password Synchronization Moduleをインストールする、Microsoft Active Directoryドメイン・コントローラをホスティングしているコンピュータで認識できる。
|
関連資料: 使用するアプリケーション・サーバーに応じて、次のいずれかのマニュアルを参照してください。
|
アプリケーション・サーバーのホスト以外のコンピュータにインストールする場合は、そのアプリケーション・サーバーをホスティングしているコンピュータのホスト名およびポート番号を把握しておく必要がある。さらに、リモート・ホストはIPアドレスとホスト名の両方を使用してアプリケーション・サーバー・ホストをpingできる必要がある。
Oracle Identity ManagerインストールのホスティングにIBM WebSphereを使用する場合は、Microsoft Active DirectoryサーバーにIBM WebSphere Application Clientをインストールする必要があります。
Password Synchronization Moduleをインストールするコンピュータが、次の表に記載されている要件を満たしている。
| 項目 | 要件 |
|---|---|
| Microsoft Active Directory | Active Directory Server |
| ホスト・オペレーティング・システム | 次のいずれか:
|
|
注意: Oracle Identity Managerが管理するユーザー・アカウント・ストアとのパスワードの同期を必要とする各Active Directoryドメイン・コントローラに、Password Synchronization Moduleの別々のインスタンスをインストールする必要があります。 |
Password Synchronization Moduleをインストールするには、次のようにします。
次のようにして、Microsoft Active Directoryサーバーでインストーラを起動します。
言語を指定します。
「次へ」をクリックします。
「ターゲット・ディレクトリ」ページでは、デフォルトのインストール・ディレクトリをそのまま使用することも、インストール先のディレクトリのパスを指定することもできます。たとえば、次のようなパスを指定できます。
C:\OracleProvisioningAD
また、「参照」ボタンを使用して、インストール・ディレクトリに移動することもできます。
「次へ」をクリックします。
インストーラにより、指定したインストール・ディレクトリ内にadsynchという名前のディレクトリが作成されます。その後、Password Synchronization Moduleのコンポーネントがadsynchディレクトリにコピーされ、adsynchディレクトリ内に特定のディレクトリが複数作成されます。
|
注意: これ以降、このマニュアルでは、ディレクトリuser_specified_install_directory/adsynchをADSYNC_HOMEと呼びます。 |
「アプリケーション・サーバー」ページで、Active Directoryの接続先であるOracle Identity Managerサーバーをホスティングするアプリケーション・サーバーを指定します。「次へ」をクリックします。
|
注意: アプリケーション・サーバーとしてIBM WebSphereを指定する場合には、次のステップを実行します。それ以外の場合には、ステップ7に進みます。 |
「WebSphereディレクトリ」ページで、インストール先のコンピュータでIBM WebSphere Application Clientがインストールされているディレクトリのパスを指定します。「次へ」をクリックします。
「JRE」ページで、モジュールで使用するJREオプションを指定します。次の選択が可能です。
Oracle Identity ManagerにバンドルされているJRE。
Password Synchronization Moduleのインストール先であるコンピュータの既存のJRE 1.4.2インストール。次の表に、サポートされているアプリケーション・サーバーの適切なJREのバージョンを示します。
既存のJREインストールの場合は、インストールのパスを指定する必要があります。「次へ」をクリックします。
「システム管理者」ページで、Oracle Identity Managerサーバーへのログインに必要なアカウント名およびパスワードを指定します。
ログイン用のデフォルトのアカウントはxelsysadmです。
必要な情報を指定したら、「次へ」をクリックします。
「アプリケーション・サーバー構成」ページで、次の情報を指定します。
Oracle Identity Managerをホスティングしているアプリケーション・サーバー・コンピュータのホスト名またはIPアドレス。
アプリケーション・サーバーと関連付けられているネーミング・ポート。次の表に、サポートされているアプリケーション・サーバーのデフォルトのネーミング・ポートを示します。
Oracle Identity Managerのアプリケーション・サーバーでデフォルト以外のネーミング・ポートが使用されている場合には、そのポート番号を使用し、その他の注意事項についてシステム管理者に相談してください。
必要な情報を指定したら、「次へ」をクリックします。
「サマリー」ページで、「ターゲット・ディレクトリ」ページで指定したモジュールのインストール・ディレクトリが正しく表示されていることを確認します。
インストール・ディレクトリを変更する必要がある場合には、「ターゲット・ディレクトリ」ページが表示されるまで「戻る」をクリックし、必要な変更を行ってからインストール手順を再度進めます。
インストール・ディレクトリが正しく表示されたら、「インストール」をクリックします。
「完了」ページに、インストールが成功したことを示すメッセージが表示されます。
「終了」をクリックしてインストーラを終了します。
コンピュータを再起動します。
|
注意: Password Synchronization Moduleのインストール後に、Oracle Identity Manager管理者パスワードを変更しないでください。インストール後にパスワードを変更すると、Password Synchronization Moduleは機能しなくなります。パスワードを変更する場合は、Password Synchronization Moduleを再インストールする必要があります。 |
次の表に、Password Synchronization Moduleのキー・コンポーネントのインストール場所を示します。
| ファイル | 説明 |
|---|---|
Windows_System32_Directory\Adsync.dll
|
このファイルは、Active Directoryドメイン・コントローラのパスワード変更のリスナーとして登録されます。Active Directoryのパスワードが変更されるたびに、このファイルにより、ChangePassword.cmdという名前のパスワード変更スクリプトが呼び出されます。 |
ADSYNC_HOME\config\xlconfig.xml
|
このファイルには、ユーザーによる構成が可能なPassword Synchronization Moduleの設定がすべて含まれています。ユーザーは、モジュールのインストール後にこのファイルを編集できます。詳細は、「手順4: Password Synchronization Moduleの構成」の項を参照してください。 |
ADSYNC_HOME\lib\xliADSync.jar
|
このJARファイルには、パスワード変更スクリプトに必要なクラス・ファイルが含まれます。 |
ADSYNC_HOME\ChangePassword.cmd
|
パスワードの変更に応じてadsync.dllによって呼び出されるこのスクリプトでは、ChangePasswordクラスの呼び出しに必要なクラスパスおよびコマンドライン・パラメータが使用されます。このクラスは、xliADSync.jarファイルにあります。 |
ADSYNC_HOME\wsChangePassword.cmd
|
IBM WebSphereによって使用されるバージョンのパスワード変更スクリプトです。 |
ADSYNC_HOME\lib\xliADSync.ear
|
このファイルには、IBM WebSphereによって使用されるバージョンのパスワード変更スクリプトに必要なクラス・ファイルが含まれます。 |
Password Synchronization Moduleのインストール後に、次の手順を行います。
次のファイルをOIM_home\extディレクトリから、Password Synchronization ModuleをインストールしたコンピュータのADSYNC_HOME\extディレクトリにコピーします。
javagroups-all.jarまたはjgroups-all.jar
oscache-2.0.2-22Jan04.jarまたはoscache.jar
Oracle Identity Manager Design ConsoleをホスティングしているコンピュータのOIM_Design_Console_installation_dir\libディレクトリから、Password Synchronization ModuleをインストールしたコンピュータのADSYNC_HOME\libディレクトリにすべてのJARファイルをコピーします。
使用するアプリケーション・サーバーに応じて、次のいずれかの手順を行います。
JBoss Application Serverの場合は、JBOSS_HOME\client\jbossall-client.jarをADSYNC_HOME\extディレクトリにコピーします。
BEA WebLogicの場合は、BEAWebLogic_home\weblogic81\server\lib\weblogic.jarをADSYNC_HOME\extディレクトリにコピーします。
IBM WebSphereの場合は、次のようにしてADSYNC_HOME\libディレクトリにxlDataObjectBeans.jarファイルを抽出およびコピーします。
a. 次のURLを使用してIBM WebSphere管理コンソールに接続します。
http://localhost:9090/admin
b. Oracle Identity Manager管理者アカウント資格証明を使用して、ログインします。
c. 「Applications」、「Enterprise Applications」の順にクリックします。
d. 「Xellerate」を選択します。
c. 「Export」をクリックします。
f. Xellerate.earファイルを一時ディレクトリに保存します。
g. xlDataObjectBeans.jarファイルをXellerate.earファイルから抽出します。
h. xlDataObjectBeans.jarファイルをADSYNC_HOME\libディレクトリにコピーします。
|
注意: 抽出およびコピーしたファイルが、xlDataObjects.jarファイルではなく、xlDataObjectBeans.jarファイルであることを確認してください。 |
OC4Jの場合は、次に示すファイルをADSYNC_HOME\extディレクトリにコピーします。
OC4J_home/j2ee/home/oc4jclient.jar OC4J_home/j2ee/home/lib/ejb.jar
Oracle Identity Managerをクラスタ化されたアプリケーション・サーバーで実行する場合は、次のようにします。
Oracle Identity Managerクラスタを表す仮想サーバーとPassword Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータの間に信頼関係を確立します。
Password Synchronization Moduleのインストール先であるActive Directoryドメイン・コントローラをホスティングするコンピュータのhostsファイルに、仮想サーバーのホスト名を追加します。
インストールするPassword Synchronization Moduleに関連付けられているxlconfig.xmlファイルを編集します。このファイルは、ADSYNC_HOME\configディレクトリにあります。
xlconfig.xmlファイルで、<java.naming.provider.url>タグの値を仮想サーバーの完全修飾ホスト名に変更します。
|
注意: xlconfig.xmlファイルの各インスタンスは、configディレクトリにあります。このディレクトリは、構成ファイルが関連付けられているコンポーネントのルート・インストール・ディレクトリにあります。たとえば、Password Synchronization Moduleに関連付けられているxlconfig.xmlファイルのパスは次のとおりです。
ADSYNC_HOME\config
|
Password Synchronization Moduleに関連付けられているxlconfig.xmlファイルの<java.naming.provider.url>タグの値を更新したら、ファイルを保存して閉じます。
Password Synchronization Moduleのインストールが完了したら、xlconfig.xmlファイルを編集して構成できます。このファイルは、ADSYNC_HOME\configディレクトリにあります。
xlconfig.xmlファイルのパラメータを構成するには、まず任意のテキスト・エディタを使用してファイルを開きます。次の表に、xlconfig.xmlファイルの<ADsync>タグ内の構成可能な要素を示します。
| <ADSync>タグ内のタグ | 説明 |
|---|---|
<UserMatch> </UserMatch> |
MatchingMethodパラメータは、adsync.dllファイルに渡されたActive Directory IDを、Oracle Identity ManagerがOracle Identity Managerユーザーと一致する方法を指定します。次の3つのうち、1つ目のオプションがデフォルトです。これは、Oracle Identity ManagerのすべてのログインIDが、すべてのActive DirectoryユーザーのIDと一致する場合に使用します。Oracle Identity ManagerのログインIDとActive Directory IDが一致しない場合には、その他のオプションのいずれか1つを使用します。
|
<Result> </Result> |
このオプションの構成要素は、パスワード変更操作の結果が記録される必要のある場所(adsync.logファイル以外)を指定します。次のパラメータの値は、<Result>タグ内のタグとして指定されます。
|
次のサンプルのXMLコードに、<ADSync>タグの元(デフォルト)の内容を示します。
<ADSync> <!-- The Login section provides information about how the utility is authenticated. If UseSignature is true, then the username is used for authentication, using the signature-based login. The key in the "PrivateKey" alias is used. If UseSignature is false, then the username and password are used for authentication. --> <Login> <UseSignature>false</UseSignature> <Username>xelsysadm</Username> <Password encrypted="true">tPzEM127PIQxO64w2g7wgw==</Password> </Login> <!-- The Active Directory name should match an Oracle Identity Manager username. If the MatchingMethod is UserID, the Active Directory username is assumed to be the Oracle Identity Manager user name. For UDF, FieldName must contain the name of the User Defined field that contains the active directory user ID. For ResourceField, process forms of the users who have ResourceObject specified are searched to find the required user. This can be used if Active Directory is provisioned as an account, but not a trusted source. --> <UserMatch> <!-- UserID, UDF and ResourceField --> <MatchingMethod>UserID</MatchingMethod> <FieldName>UD_ADUSER_LOGIN</FieldName> <ResourceObject>AD User</ResourceObject> </UserMatch> <!-- If required, a UDF field can be updated with the result of the operation and Timestamp so that additional workflow can be started. --> <Result> <UpdateUDF>false</UpdateUDF> <FieldName>USR_UDF_ADPWDRES</FieldName> <SuccessValue>SUCCESS</SuccessValue> <FailureValue>FAIL</FailureValue> <AppendTimeStamp>true</AppendTimeStamp> </Result> </ADSync>
xlconfig.xmlファイルのユーザーによる構成が可能なタグに必要な変更を加えたら、ファイルを保存して閉じます。
Microsoft Active Directoryコネクタのインストール後に、次のようにしてパスワードの同期のxlconfig.xmlを変更し、コネクタのプロパティを反映させる必要があります。
xlconfig.xmlファイルを開きます。
ファイルで、<ADConnectorConfig>タグを検索します。
<ADConnectorConfig>タグの子要素に次の変更を行います。
<Installed>タグ: 値をtrueに設定します。
<ITResourceType>タグ: コネクタのITリソース・タイプの名前を指定します。
<ITResourceName>タグ: コネクタのITリソースの名前を指定します。
ファイルを保存して閉じます。
次のXMLコードは、<ADConnectorConfig>セクションに入力したサンプル値を示します。
<ADConnectorConfig>
<Installed>true</Installed>
<ITResourceType>AD Server</ITResourceType>
<ITResourceName>AD34</ITResourceName>
</ADConnectorConfig>
|
注意: この項の手順は、Microsoft Active Directoryの強力なパスワード認証(パスワードの複雑さのチェック)機能を使用する場合のみ実行してください。 |
Microsoft Active Directoryでは、パスワード・フィルタの実装によって強力なパスワード認証機能が提供されます。このパスワード・フィルタをPassword Synchronization Moduleとともに使用する場合は、Microsoft社のWebサイトにある手順に従って、「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を有効にしてください。このポリシー設定を有効にした場合、Microsoft Active Directoryでのパスワード変更は、強力なパスワードの要件を満たしているかチェックされてからPassword Synchronization Moduleに渡されます。
