Oracle Access Managerのインストール中に指定した基本コンポーネント(Personオブジェクト・クラスやディレクトリ・サーバー・ホストなど)を変更できます。この章ではシステムレベルの構成について説明します。
この章に含まれる内容は次のとおりです。
再構成可能なもの
再構成可能な基本システム・コンポーネントはいくつかあります。
(構成データまたはポリシー・データ用の)別のディレクトリ・サーバーに対して、Oracle Access Managerを構成することができます。
Personオブジェクト・クラスまたはGroupオブジェクト・クラスのクラス属性を変更できます。
次のディレクトリ特性を再構成できます。
LDAPバインド・パスワード
ホスト名
ポート番号
ドメイン名
ルートDN
ルート・パスワード
構成DN
検索ベース
注意: LDAPバインド・パスワードの変更を除くすべてのアクションで、設定の再実行が必要です。 |
指定したデータは、インストール時に多くの領域に書き込まれます。こうした領域には、次に示すものがあります。
setup.xml
configInfo.xml
ois_server_config.xml
ディレクトリ・サーバー
次に示す手順は、「再構成可能なもの」に示したいずれかの変更を行った後で、Oracle Access Managerが正しく機能するように再構成する方法です。
システム構成を更新する手順
WebPassを実行するWebサーバーをシャットダウンします。
アイデンティティ・サーバー・サービスを停止します。
ディレクトリの構成データをLDIFファイルにエクスポートしてバックアップをとります。
バックアップ・コピーを確実に取得するため、次のファイル名を変更します。
Identity_Server_install_dir
/identity/oblix/config/ois_server_config.xml.bak
前のステップで移動したディレクトリから、次のファイルをバックアップして削除します。
setup.xml
configInfo.xml
ois_server_config.xml
ファイルois_server__config.bakをois_server__config.xmlにコピーします。
このアクションにより、この手順で後述する設定プログラムの再実行の際に構成設定を変更することができます。これによりアイデンティティ・サーバーの設定時に、ディレクトリからの設定ではなくois_server__config.xmlからの設定が取得されます。ois_server__config.xml内の情報は、アイデンティティ・サーバーの再起動時にディレクトリに移行されます。
ポリシーが格納されているディレクトリのブランチから、WebResrcDBコンテナを探します。
WebResrcDBコンテナで、次のエントリを削除します。
WebPassのエントリ
このエントリのcnは、WebPassのインストール時に指定したIDです。例: wp1_50
アイデンティティ・サーバーのエントリ
このエントリのcnは、アイデンティティ・サーバーのインストール時に指定したIDです。例: ois1_50
IDのタイムスタンプが付いたエントリ
例: 20010815T16221897。このエントリは、WebPassとアイデンティティ・サーバーのコンポーネントを結び付けます。
ポリシーが格納されているディレクトリのブランチでDBAgentsコンテナを探し、このコンテナの下にあるすべてのエントリを削除します。
アイデンティティ・サーバー・サービスを再起動します。
WebPassを実行するWebサーバーを再起動します。
ブラウザからアイデンティティ・システム・コンソールにアクセスします。
http://
server
:
port
/identity/oblix/
後述のアイデンティティ・システムの手順で示しているとおり、設定プログラムを再実行し、設定の変更を行います。
設定プログラムにより、Oracle Access Manager用に以前構成されていた情報が表示されます。設定を再実行する際に、必要に応じて構成情報を変更できます。
アクセス・システムの設定を再実行する場合の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
アイデンティティ・サーバーを再起動します。
ois_server_config.xml内の情報(サーバー名、ポート、管理者DN、パスワード、検索ベース、構成ベース)はディレクトリに戻され、config.xmlファイル内の情報は削除されます。
アイデンティティ・システムの設定を再実行する手順:
複数のアイデンティティ・サーバーが稼働している場合は、1つを除いてすべてシャットダウンします。
残った1つのアイデンティティ・サーバーのホストにアクセスし、次のsetup.xmlファイルを開きます。
IdentityServer_install_dir/identity/oblix/config/setup.xml
次のstatusパラメータを削除します(または、statusパラメータの値を"done"から"incomplete"に変更します)。
次に例を示します。
<NameValPair ParamName="status" Value="incomplete"></NameValPair>
ファイルを保存します。
アイデンティティ・サーバーを再起動します。
Webブラウザからアイデンティティ・システム・コンソールを起動します。
アイデンティティ・システムの初期設定時と同様のセットアップ・ページが表示されます。
設定を再度開始し、新しい情報を指定します。
設定が完了したら、他のアイデンティティ・サーバーを再起動します。
他のアイデンティティ・サーバーによって新しい情報が取得されます。
Oracle Access Managerコンポーネントと通信するディレクトリ・サーバーのLDAPバインド・パスワードは、定期的に更新する必要があります。たとえば、政府の規制に従うためにLDAPバインド・パスワードを更新する場合があります。
ディレクトリ・サーバーのLDAPバインド・パスワードを更新する際には、Oracle Access Manager構成ディレクトリの対応するエントリも更新する必要があります。構成ディレクトリ・サーバーには、Oracle Access Manager構成データが格納されています。このデータには、Oracle Access Manager管理コンソールで定義したディレクトリ・サーバー・プロファイルも含まれます。それぞれのディレクトリ・サーバー・プロファイルには、ディレクトリ・サーバーのパスワードを含むデータベース・インスタンス・セクションが含まれます。
Oracle Access Managerによって格納されるのは、次のコンポーネントのディレクトリ・サーバー・プロファイルです。
アイデンティティ・サーバー
ポリシー・マネージャ
アクセス・サーバー
LDAPバインド・パスワードは、構成ファイルに暗号化形式で格納されます。ディレクトリ・サーバーの構成データ・ファイルおよびフェイルオーバー・ディレクトリ・サーバーは、次の場所に格納されます。
<component install dir>/config/ldap
ModifyLDAPBindPasswordコマンドを使用すると、Oracle Access Manager構成ファイル内のLDAPバインド・パスワードをリセットできます。サーバーの再起動や設定の再実行を行わずに、LDAPバインド・パスワードをリセットできます。
ModifyLDAPBindPasswordツールでは、変更を実行する前に、セキュリティのためにディレクトリ・サーバーの資格証明がチェックされます。
次に示すタスクの概要は、バインド・パスワードの自動定期更新のために推奨される方法です。ModifyLDAPBindPasswordツールは、スクリプトを使用せずに対話形式でも発行できます。ただし、対話形式のパスワード更新を選択した場合は、環境に含まれるOracle Access Managerインスタンスごとに、この情報を繰り返す必要があります。
タスクの概要: LDAPバインド・パスワードの更新
更新されたパスワードを含む、暗号化されたファイルを作成します。
詳細は、「ModifyLDAPBindPasswordツールのパラメータ」および「ModifyLDAPBindPasswordツールの実行」を参照してください。更新されたパスワードの指定には、暗号化されたファイルの使用をお薦めします。ただし、ツールの実行時に対話形式でパスワードを指定することも可能です。
アイデンティティ・サーバー構成ファイル(config.xmlファイル)に格納されているLDAPバインド・パスワード、およびディレクトリ・サーバーのすべてのディレクトリ・プロファイルを更新します。
詳細は、「ModifyLDAPBindPasswordツールのパラメータ」および「ModifyLDAPBindPasswordツールの実行」を参照してください。
-t file
オプションを使用して、アイデンティティ・サーバー、ポリシー・マネージャおよびアクセス・サーバーの追加インスタンスごとに、構成ファイル内のLDAPバインド・パスワードを更新します。
詳細は、「ModifyLDAPBindPasswordツールのパラメータ」および「ModifyLDAPBindPasswordツールの実行」を参照してください。
ディレクトリ・サーバーのホスト名のバリエーションごとに、ツールを再実行します。
たとえば、.company.comというドメインにあるmachine1という名前のホストを実行している場合、Oracle Access Managerではmachine1.company.comおよびmachine1の両方でホスト名を構成できます。この場合、構成されているホスト名ごとに1回ずつ、計2回ツールを実行する必要があります。
詳細は、『Oracle Access Manager IDおよび共通管理ガイド』のホスト名のバリエーションの使用に関する情報を参照してください。
ディレクトリ・サーバー自体でバインド・パスワードを変更します。
新旧両方のパスワードは、Oracle Access Manager構成ファイルに格納されます。これにより、すべての更新が完了するまで古いパスワードを有効にしておくことができます。
表6-1は、暗号化されたファイルでパスワードを生成する際にModifyLDAPBindPasswordツールで使用できるコマンド・オプションを示しています。
表6-1 暗号化されたパスワードを作成するためのパラメータ
パラメータ | 説明 |
---|---|
|
ツールによってパスワード・ファイルが生成されることを示します。 このファイルは、パスワード更新のためにModifyLDAPBindPasswordツールを実行するときに渡されます。 |
|
パスワードを含むファイルの名前です。このファイルは暗号化されます。.xml拡張子を指定しない場合、拡張子は自動的に指定されます。 |
表6-2は、ModifyLDAPBindPasswordツールを実行してパスワードを更新するのに必要なパラメータを示しています。
表6-2 ModifyLDAPBindPasswordツールに必要なパラメータ
パラメータ | 説明 |
---|---|
|
ツールの実行対象であるOracle Access Managerコンポーネントのインストール・ディレクトリです。 |
|
ツールの実行対象であるコンポーネントのタイプです。このパラメータに使用できる値は次のとおりです。
|
|
更新するターゲットです。 使用できる値は次のとおりです。
|
表6-3は、ModifyLDAPBindPasswordツールの追加のパラメータを示しています。コマンドラインでこれらのパラメータのいずれかを省略した場合、このパラメータが必要かどうかを確認するプロンプトがツールによって表示されます。これらのパラメータにはデフォルト値はありません。
表6-3 LDAPバインド・パスワード変更のための追加のパラメータ
パラメータ | 説明 |
---|---|
|
ディレクトリ・サーバーのLDAPバインド・パスワードを更新するディレクトリ・プロファイルが格納されているコンピュータの名前です。 |
|
ディレクトリ・サーバーのLDAPバインド・パスワードを更新するディレクトリ・プロファイルが格納されているコンピュータのリスニング・ポートです。 |
|
構成データを格納するディレクトリ・サーバーのバインドDNです。 |
|
構成データを格納するディレクトリ・サーバーのバインド・パスワード(クリアテキスト形式)です。
|
|
スクリプトを使用してコマンドを実行する場合は、このオプションを使用します。このファイルには、バインド・パスワードの更新に必要なすべてのパスワードが含まれます。 このオプションを使用する場合は、 |
|
バインド・パスワードが更新対象となるディレクトリ・サーバーが含まれているコンピュータです。
|
|
バインド・パスワードを変更するディレクトリ・サーバーが含まれているコンピュータのリスニング・ポートです。
|
|
バインド・パスワードが変更対象となるディレクトリ・サーバーのバインドDNです。
|
|
バインド・パスワードが更新対象であるディレクトリ・サーバーの既存のバインド・パスワードです。
|
|
バインド・パスワードが更新対象であるディレクトリ・サーバーの新しいバインド・パスワードです。
|
|
更新されるディレクトリ・サーバーが構成ディレクトリ・サーバーとは異なる場合に有効です。このパラメータを指定すると、バインドがSSLモードで実行されます。省略すると、オープン・モードが使用されます。
|
ModifyLDAPBindPasswordツールは、関連する各コンポーネントのインスタンスごとに実行します。このツールをロールバックするメカニズムはありません。ツールを再実行して、構成ファイルおよびディレクトリ・サーバーに正しい値が設定されていることを確認します。エラーは次のようなログ・ファイルに書き込まれます。
<component_install_dir>/oblix/tools/modbinpasswd/ModifyLDAPBindPassword.log
このツールはコマンドラインから、もしくはスクリプトとして実行できます。パスワードの定期更新を実行する場合は、スクリプトを作成できます。コマンドラインからツールを実行すると、必要なパラメータや値が指定されていない場合に、これらを要求するプロンプトが表示されます。
暗号化されたパスワード・ファイルを生成する手順
暗号化されたパスワード・ファイルを生成するには、次のようにします。
次のディレクトリからこのツールにアクセスします。
component_install_dir/oblix/tools/modbinpasswd/
このcomponent_install_dirは、ディレクトリ・バインド・パスワードを更新するコンポーネントのインストール・ディレクトリです。
次のコマンドを実行します。
modifyldapbindpassword.exe -genpasswdfile
file
このfileは、パスワード・ファイルの名前です。拡張子.xmlは、指定しなかった場合には自動的に指定されます。
構成データのLDAPバインド・パスワードを更新する手順
次のディレクトリからこのツールにアクセスします。
Identity_install_dir/oblix/tools/modbinpasswd/
このIdentity_install_dirは、ディレクトリ・バインド・パスワードを更新する最初のアイデンティティ・サーバーのインストール・ディレクトリです。
スクリプトを使用する場合は、パスワード・ファイルを生成します。
「暗号化されたパスワード・ファイルを生成する手順」を参照してください。
1つのアイデンティティ・サーバー・インスタンスに対して次のコマンドを実行します。
modifyldapbindpassword.exe -c is -t all -
options
この段階では-c is
オプションおよび-t all
オプションを使用します。その他のオプションは、表6-2および表6-3を参照してください。
スクリプトを使用する場合は、-j
オプションを使用して、暗号化されたパスワード・ファイルを渡します。
アイデンティティ・サーバー、ポリシー・マネージャおよびアクセス・サーバーの残りのインスタンスに対して、次のコマンドを実行します。
modifyldapbindpassword.exe -c is -t file -
options
この段階では-c is
オプションおよび-t file
オプションを使用します。その他のオプションは、表6-2および表6-3を参照してください。
スクリプトを使用する場合は、-j
オプションを使用して、暗号化されたパスワード・ファイルを渡します。
Oracle Access Managerで構成したホスト名のバリエーションごとに、このコマンドを繰り返し実行します。
構成データを格納するディレクトリ・サーバーのバインド・パスワードを更新します。
ポリシー・データのLDAPバインド・パスワードを更新する手順
ポリシー・データを格納するディレクトリ・サーバーに構成データも格納されている場合は、「構成データのLDAPバインド・パスワードを更新する手順」に従ってください。
この手順をすでに行った場合は、これで完了です。
ポリシー・データを格納するディレクトリ・サーバーが構成データを格納するディレクトリ・サーバーと異なる場合は、この手順を行って次のディレクトリからこのツールにアクセスします。
component_install_dir/oblix/tools/modbinpasswd/
このcomponent_install_dirは、ディレクトリ・バインド・パスワードを更新するコンポーネントのインストール・ディレクトリです。
スクリプトを使用する場合は、パスワード・ファイルを生成します。
「暗号化されたパスワード・ファイルを生成する手順」を参照してください。
1つのアイデンティティ・サーバー・インスタンスに対して次のコマンドを実行します。
modifyldapbindpassword.exe -t all -
options
-t all
オプションを指定します。その他のオプションは、表6-2および表6-3を参照してください。
スクリプトを使用する場合は、-j
オプションを使用して、暗号化されたパスワード・ファイルを渡します。
ポリシー・マネージャおよびアクセス・サーバーの残りのインスタンスに対して、次のコマンドを実行します。
modifyldapbindpassword.exe -t file -
options
-t file
オプションを指定します。その他のオプションは、表6-2および表6-3を参照してください。
スクリプトを使用する場合は、-j
オプションを使用して、暗号化されたパスワード・ファイルを渡します。
Oracle Access Managerで構成したホスト名のバリエーションごとに、このコマンドを繰り返し実行します。
構成データを格納するディレクトリ・サーバーのバインド・パスワードを更新します。
ユーザー・データのLDAPバインド・パスワードを更新する手順
ユーザー・データを格納するディレクトリ・サーバーに構成データも格納されている場合は、「構成データのLDAPバインド・パスワードを更新する手順」に従ってください。
この手順をすでに行った場合は、これで完了です。
ユーザー・データを格納するディレクトリ・サーバーが構成データを格納するディレクトリ・サーバーと異なる場合は、この手順を行って次のディレクトリからこのツールにアクセスします。
component_install_dir/oblix/tools/modbinpasswd/
このcomponent_install_dirは、ディレクトリ・バインド・パスワードを更新するコンポーネントのインストール・ディレクトリです。
スクリプトを使用する場合は、パスワード・ファイルを生成します。
「暗号化されたパスワード・ファイルを生成する手順」を参照してください。
次のコマンドを実行します。
modifyldapbindpassword.exe -t ds -
options
-t ds
オプションを指定します。その他のオプションは、表6-2および表6-3を参照してください。
スクリプトを使用する場合は、-j
オプションを使用して、暗号化されたパスワード・ファイルを渡します。
Oracle Access Managerで構成したホスト名のバリエーションごとに、このコマンドを繰り返し実行します。
構成データを格納するディレクトリ・サーバーのバインド・パスワードを更新します。
アイデンティティ・サーバーまたはアクセス・サーバーで明示的なバインドが使用されている場合は、次の手順に従って、「ModifyLDAPBindPasswordツールの実行」で説明したLDAPバインド・パスワードを変更できます。
アイデンティティ・サーバーまたはアクセス・サーバーをActive Directoryドメインでユーザーとして実行している場合は、次の手順に従ってLDAPバインド・パスワードを更新します。
ADSIのLDAPバインド・パスワードを更新する手順
Active Directoryドメインのユーザーのパスワードを変更します。
アイデンティティ・サーバーまたはアクセス・サーバーを停止します。
「スタート」メニューから「ファイル名を指定して実行」を選択し、次のように入力します。
services.msc
実行中のすべてのサービスを表示するダイアログ・ボックスが表示されます。
サービス内でユーザーの資格証明を変更するには、変更するサービスを右クリックして「プロパティ」をクリックします。次に「ログオン」タブをクリックして「アカウント」をクリックします。
アイデンティティ・サーバーまたはアクセス・サーバーを再起動します。