2 LDAP IDStoreの準備

IDストアの準備には、2つの異なる操作があります。
  1. Oracle Access Managerで必要とされるオブジェクト・クラスを含むディレクトリ・スキーマの拡張。
  2. 管理タスクを実行するユーザーが存在するディレクトリのシード。

Oracle Access ManagementおよびOracle Identity GovernanceでLDAPディレクトリを使用するには、これらの製品に必要なオブジェクト・クラスがディレクトリに含まれている必要があります。これらのオブジェクト・クラスを使用すると、Oracle Access Managerでアカウントをロックし、Oracle Identity Governanceでセッションを終了できます。

このディレクトリは、Oracle Access Management (OAM)およびOracle Identity Governance (OIG)に必要な複数のシステム・ユーザーでも事前構成する必要があります。たとえば、WebLogic管理ページを保護する場合は、ログインを容易にするためにLDAPディレクトリ内のユーザーが必要です。また、LDAPディレクトリにアクセスして読み取るには、WebLogicドメイン用のシステム以外のユーザーを作成する必要があります。

プロパティ・ファイルの作成

この項では、事前構成ステップとユーザー移入ステップの両方に対応するプロパティ・ファイルの作成について説明します。

  1. 次の内容でprepareLDAP.propsというファイルを作成します。

    Oracle Unified DirectoryのprepareLDAP.propsファイルの例 

    IDSTORE_PORT: 1636
IDSTORE_SSL_ENABLED: true
IDSTORE_ADMIN_PORT: 4444

IDSTORE_KEYSTORE_FILE: /u01/oracle/config/keystores/idmcerts.p12
IDSTORE_KEYSTORE_PASSWORD: mytruststorepassword
IDSTORE_ADMIN_KEYSTORE_FILE: /u01/oracle/config/instances/oud1/config/admin-keystore
IDSTORE_ADMIN_KEYSTORE_PASSWORD:  myadmintruststorepassword

IDSTORE_BINDDN: cn=oudadmin
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_NEW_SETUP: true
IDSTORE_DIRECTORYTYPE: OUD
IDSTORE_OAMADMINUSER: oamadmin
IDSTORE_OAMSOFTWAREUSER: oamLDAP
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
IDSTORE_SYSTEMIDBASE: cn=SystemIDs,dc=example,dc=com
IDSTORE_OIMADMINGROUP: OIMAdministrators
IDSTORE_OIMADMINUSER: oimLDAP
# WebLogic
IDSTORE_WLSADMINUSER : weblogic_iam
IDSTORE_WLSADMINGROUP : WLSAdministrators

    次の表では、prepareLDAP.propsファイルで設定できるパラメータについて説明します。

    表2-1 prepareLDAP.propsファイルのパラメータ

    プロパティ 説明 値の例

    IDSTORE_DIRECTORYTYPE

    アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。

    OUD or OID

    IDSTORE_HOST

    アイデンティティ・ストアのホスト名を入力します。

    idstore.example.com

    IDSTORE_PORT

    アイデンティティ・ストアのポートを入力します。

    1389
    IDSTORE_ADMIN_PORT OUDインストール管理機能は、専用の管理ポートで実行されます。 4444
    IDSTORE_SSL_ENABLED SSLを使用してLDAPディレクトリに接続する場合は、このパラメータをtrueに設定します。前述のIDSTORE_PORTは、ディレクトリのSSLポートである必要があります。 true
    IDSTORE_KEYSTORE_FILE ディレクトリがSSL有効の場合、ツールは、含まれるディレクトリのCAを使用して有効なトラスト・ストアにアクセスできる必要があります。これをそのトラスト・ストアの場所に設定します。  
    IDSTORE_KEYSTORE_PASSWORD ID_KEYSTORE_FILEのパスワードが指定されていない場合は、スクリプトによって入力が求められます。 password
    IDSTORE_ADMIN_KEYSTORE_FILE OUDを使用している場合は、OUD管理トラスト・ストア・ファイルの場所を指定する必要があります。 OUD_INSTANCE//config/admin-keystore
    IDSTORE_ADMIN_KEYSTORE_PASSWORD

    IDSTORE_ADMIN_KEYSTORE_FILEのパスワードが指定されていない場合は、スクリプトによって入力が求められます。

    このパスワードを取得するには、次のコマンドを発行します:
    dsconfig -h ldaphost1 -p 4444 -D cn=oudadmin -j ~/oud.pwd -X -n
    get-key-manager-provider-prop --provider-name Administration --property key-store-pin --showKeystorePassword

    Oracle Unified Directoryを使用していない場合、このパラメータを無視できます。このファイルは、OIGOAMIntegration.shコマンドが実行されているホストと同じホストに配置する必要があります。コマンドは、このファイルを使用してOUDで自己認証します。

    		 password

    IDSTORE_BINDDN

    Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。
    • OID: cn=orcladmin
    • OUD: cn=oudadmin
    • AD: CN=Administrator,CN=Users,DC=example.com,DC=example,dc=com

    IDSTORE_BINDDN_PWD

    Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザーのパスワードを入力します。

    password

    IDSTORE_USERNAMEATTRIBUTE

    アイデンティティ・ストア内のユーザーを設定および検索するために使用するusername属性を入力します。

    cn

    IDSTORE_LOGINATTRIBUTE

    ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性を入力します。

    uid

    IDSTORE_SEARCHBASE

    ユーザーおよびグループが保存されるディレクトリの場所を入力します。

    dc=example,dc=com

    IDSTORE_USERSEARCHBASE

    Access Managerがユーザーを検索するコンテナを入力します。

    cn=users,dc=example,dc=com

    IDSTORE_GROUPSEARCHBASE

    グループが保存されているディレクトリの場所を入力します。

    cn=groups,dc=example,dc=com

    IDSTORE_SYSTEMIDBASE

    システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは限られており、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。

    たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。

    cn=systemids,dc=example,dc=com

    IDSTORE_READONLYUSER

    アイデンティティ・ストアに対する読取り専用権限を持つユーザーを入力します。

    このパラメータは省略可能です。

    IDROUser

    IDSTORE_READWRITEUSER

    アイデンティティ・ストアに対する読取り/書込み権限を持つユーザーを入力します。

    このパラメータは省略可能です。

    IDRWUser

    IDSTORE_SUPERUSER

    アイデンティティ・ストア内のOracle Fusion Applicationsスーパーユーザーを入力します。

    このパラメータは省略可能です。

    weblogic_fa

    IDSTORE_OAMSOFTWAREUSER

    OAMがLDAPとの対話に使用するLDAPユーザーを入力します。

    oamLDAP

    IDSTORE_OAMADMINUSER

    Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。

    oamadmin

    IDSTORE_OAMADMINUSER_PWD

    Oracle Access Managementコンソールへのアクセスに使用するユーザーのパスワードを入力します。

    ノート:

    パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。

    password

    IDSTORE_OIMADMINUSER

    アイデンティティ・ストアに接続するために、Oracle Identity Governanceにより使用されるユーザーを入力します。

    oimLDAP

    IDSTORE_OIMADMINUSER_PWD

    Oracle Identity Governanceがアイデンティティ・ストアに接続するために使用するユーザーのパスワードを入力します。

    password

    IDSTORE_OIMADMINGROUP

    Oracle Identity Governance管理ユーザーを保持するために作成するグループを入力します。

    OIMAdministrators

    IDSTORE_WLSADMINUSER

    Oracle WebLogic Serverのアイデンティティ・ストア管理者を入力します。
    weblogic_idm

    ノート:

    これは、WebLogic管理操作の実行に使用されるLDAPユーザーです。内部WebLogicユーザーと同等です。

    IDSTORE_WLSADMINUSER_PWD

    Oracle WebLogic Serverのアイデンティティ・ストア管理者のパスワードを入力します。

    password

    IDSTORE_WLSADMINGROUP

    Oracle WebLogic Serverのアイデンティティ・ストア管理者グループを入力します。

    wlsadmingroup

    IDSTORE_OAAMADMINUSER

    Oracle Access Management管理者として作成するユーザーを入力します。このユーザーはツールによって作成されます。

    oaamAdminUser

    IDSTORE_XELSYSADMINUSER_PWD

    Oracle Identity Governanceのシステム管理者のパスワードを入力します。Oracle Identity Governanceの値と一致する必要があります

    password

    POLICYSTORE_SHARES_IDSTORE

    ポリシー・ストアとアイデンティティ・ストアが同じディレクトリ内にある場合はtrueに設定します。そうでない場合は、falseに設定します。

    TRUE

    IDSTORE_KEYSTORE_FILE

    Oracle Unified Directoryキーストア・ファイルの場所を入力します。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、OUD_ORACLE_INSTANCE/OUD/configにあります

    Oracle Unified Directoryを使用していない場合、このパラメータを無視できます。このファイルは、OIGOAMIntegration.shコマンドが実行されているホストと同じホストに配置する必要があります。コマンドは、このファイルを使用してOUDで自己認証します。

    /u01/config/instances/oud1/OUD/config/admin-keystore

    IDSTORE_KEYSTORE_PASSWORD

    Oracle Unified Directoryキーストアの暗号化されたパスワードを入力します。この値は、ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pinにあります。Oracle Unified Directoryを使用していない場合、このパラメータを無視できます。

    password
    SSL_DEBUG_ENABLE SSL接続のデバッグを支援するように設定できます false
  2. idmConfigToolを実行してディレクトリ・スキーマを拡張します。 
    export JAVA_HOME=/u01/oracle/products/jdk
export PATH=$JAVA_HOME/jdk/bin:$PATH
export MW_HOME=/u01/oracle/products/idm
export ORACLE_HOME=$MW_HOME/idm

$ORACLE_HOME/idmtools/bin/idmConfigTool.sh -preConfigIDStore input_file=prepareLDAP.props log_level=FINEST

    IDStoreの準備のための自動スクリプトが正常に実行されました。

  3. idmConfigToolを実行して、管理ユーザーにディレクトリを移入します。
    export JAVA_HOME=/u01/oracle/products/jdk
export PATH=$JAVA_HOME/jdk/bin:$PATH
export MW_HOME=/u01/oracle/products/idm
export ORACLE_HOME=$MW_HOME/idm
$ORACLE_HOME/idmtools/bin/idmConfigTool.sh -prepareIDStore input_file=ldapPrepare.props log_level=FINEST mode=all

アイデンティティ・ストアおよびポリシー・ストアの構成の確認

LDAPディレクトリで次を実行します:

  • prepareLDAP.propsファイルで指定したユーザーおよびグループの検索ベースが、LDAPディレクトリに存在します。

  • ユーザー・コンテナ、グループ・コンテナおよびシステムIDコンテナが、LDAPディレクトリに存在します。

  • systemidsコンテナに、ユーザーIDROuserIDRWUseroamSoftwareUserおよびoimadminuserが含まれます。これらは、prepareLDAP.propsで提供されるサンプル値です。独自の値を指定して使用できます。

  • ユーザー・コンテナに、ユーザーoamadminuserweblogic_idmおよびxelsysadmが含まれます。これらは、prepareLDAP.propsで提供されるサンプル値です。独自の値を指定して使用できます。

  • グループ・コンテナに、OAMadministreatrsOIMadminsitratorsBIReportAdminnistratorSession REST API、およびwlsadmingrouporclFAGroupが含まれます。

  • OUDの変更ログへのアクセス権が付与されます:

Oracle Identity GovernanceのOUD変更ログへのアクセス権の付与
Oracle Unified Directoryを使用していて、Oracle Identity Governanceと統合する場合は、次のステップを単一ノードのLDAPホストで実行するか、多数のLDAPインスタンスのLDAPHOST1およびLDAPHOST2で実行して、変更ログに対するアクセス権を付与する必要があります:
  1. 次の内容で、oudacl.propsというプロパティ・ファイルを作成します:
    IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_HOST: ldaphost1.example.com
IDSTORE_ADMIN_PORT: 4444
IDSTORE_ADMIN_KEYSTORE_FILE: /u01/oracle/config/instances/oud1/config/admin-keystore
IDSTORE_ADMIN_KEYSTORE_PASSWORD:  myadmintruststorepassword
IDSTORE_BINDDN: cn=oudadmin
IDSTORE_PASSWD: password
    次の表では、oudacl.propsに設定できるパラメータについて説明しています。

    表2-2 oudacl.propsファイルのパラメータ

    プロパティ 説明 値の例

    IDSTORE_SEARCHBASE

    ユーザーおよびグループが保存されるディレクトリの場所を入力します。

    dc=example,dc=com

    IDSTORE_HOST

    アイデンティティ・ストアのホスト名を入力します。

    ldaphost1.example.com

    IDSTORE_ADMIN_PORT

    Oracle Unified Directory (OUD)アイデンティティ・ストアの管理ポート。

    4444

    IDSTORE_ADMIN_KEYSTORE_FILE

    OUDを使用している場合は、OUD管理トラスト・ストア・ファイルの場所を指定する必要があります。

    /u01/oracle/config/instances/oud1/config/admin-keystore

    IDSTORE_ADMIN_KEYSTORE_PASSWORD

    IDSTORE_ADMIN_KEYSTORE_FILEのパスワード。指定されていない場合は、スクリプトによって入力が求められます。

    myadmintruststorepassword

    IDSTORE_BINDDN

    Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。

    cn=oudadmin

    IDSTORE_PASSWD

    アイデンティティ・ストアのパスワード。

    password
  2. idmConfigToolを実行して、ディレクトリ・スキーマにACLを作成します。
    export JAVA_HOME=/u01/oracle/products/jdk
export PATH=$JAVA_HOME/jdk/bin:$PATH
export ORACLE_HOME=$ORACLE_HOME/idm

$ORACLE_HOME/idmtools/bin/idmConfigTool.sh  -setupOUDacl input_file=oudacl.props log_level=FINEST
  3. トポロジ内の各OUDインスタンスに対して繰り返します。