設定 Oracle Access Management 12c 的 Oracle Unified Directory

簡介

本教學課程示範如何安裝及設定搭配 Oracle Access Management 12c 使用的 Oracle Unified Directory (OUD)。

這是 Oracle Access Management 12c 入門系列中的第七個教學課程。依序讀取。

• Oracle Access Management 12c 系列入門 - 簡介
• 安裝 Oracle Database for Oracle Access Management 12c
• 建立適用於 Oracle Access Management 12c 的 Oracle Database
• 安裝 Oracle Access Management 12c
• 設定 Oracle Access Management 12c
• 設定 Oracle Access Management 12c 的 SSL
• 設定 Oracle Access Management 12c 的 Oracle Unified Directory
• 安裝並設定 Oracle HTTP Server for Oracle Access Management 12c
• 建立並設定 WebGate
• 使用 Oracle Access Management 12c 保護 WebLogic 伺服器中部署的應用程式

目標

設定 Oracle Unified Directory 以搭配 Oracle Access Management 12c 使用。

Oracle Access Management 12c 預設會使用 WLS 內嵌 LDAP 伺服器來儲存識別資訊 (例如使用者和群組)。或者，您也可以將此識別資訊儲存在其他 LDAP 伺服器 (例如 Oracle Unified Directory) 中。如果您偏好使用 WLS 內嵌 LDAP 伺服器，請略過此教學課程。

必要條件

遵循設定 Oracle Access Management 12c 的 SSL。

下載 Oracle Unified Directory 軟體

1. 啟動瀏覽器並瀏覽至身分識別與存取管理下載。
2. 在 Identity Management 12cPS4 (12.2.1.4.0) 下，按一下 Oracle Unified Directory 12cPS4。
3. 在 Oracle Software Delivery Cloud 頁面中，從平台下拉式清單中選取 Linux x86-64。
4. 按一下 V983402-01.zip - Oracle Fusion Middleware 12c (12.2.1.4.0) Unified Directory for (Linux x86-64) 。將會開始下載。
5. 下載完成後，將壓縮檔案移至暫存目錄，例如：/stage/OUD12c 並解壓縮。

以獨立模式安裝 Oracle Unified Directory

1. 以 oracle 身分啟動終端機視窗，並執行下列命令：

   cd /stage/OUD12c
   java -jar fmw_12.2.1.4.0_oud.jar
   

2. 請依照下表引導您完成安裝畫面：

   步驟	視窗描述	選項或值
   1	歡迎使用	按一下下一步
   2	自動更新	略過自動更新
   3	安裝位置	Oracle 本位目錄：/u01/app/oracle/product/middleware/oud
   4	安裝類型	獨立 Oracle Unified Directory Server (不由 WebLogic Server 管理)
   5	先決條件檢查	按一下下一步
   6	安裝摘要	按一下安裝
   7	安裝進度	按一下下一步
   8	安裝完成	按一下完成

設定 Oracle Unified Directory

1. 以 oracle 形式啟動終端機視窗，並輸入下列命令：

   cd /u01/app/oracle/product/middleware/oud/oud
   ./oud-setup
   

2. 請依照下表引導您完成組態畫面：

   步驟	視窗描述	選項或值
   1	歡迎使用	按一下下一步
   2	伺服器管理設定值	執行處理路徑：/u01/app/oracle/product/middleware/oud/asinst_1/OUD 主機名稱：oam.example.com 密碼：<password> 確認密碼：<password>
   3	連接埠	Select checkbox: LDAPS: Enable on Port Check Enable StartTLS for LDAP Certificate: Use an Existing Certificate Key Store Type: JKS Key Store Path: /u01/app/oracle/admin/domains/oam_domain/keystore/oam_keystore.jks Key Store PIN: <password> When you see an Error stating the Key Store contains multiple certificates, click OK and from the Alias drop down list select server_cert.
   4	拓樸選項	選取：這是獨立伺服器
   5	目錄資料	選取：將資料庫留白
   6	Oracle 元件整合	按一下下一步
   7	伺服器調整	按一下下一步
   8	複查	按一下完成
   9	已完成	按一下關閉

   注意：Oracle Unified Directory 將會在組態精靈完成後自動啟動。如需停止及啟動 Oracle Unified Directory 的相關資訊，請參閱：啟動及停止伺服器。

匯入範例識別資料

您可以在此段落匯入範例識別資料，其中包含將用於後續教學課程中的範例使用者和群組。

1. 下載 example.ldif 檔案，並將檔案移至 /stage/OUD12c。

2. 以 oracle 形式啟動終端機視窗，並執行下列命令以填入含有範例資料的 OUD 目錄伺服器：

   cd /u01/app/oracle/product/middleware/oud/asinst_1/OUD/bin
   ./ldapmodify -p 1389 -D "cn=Directory Manager" -w <password> -a -c -f /stage/OUD12c/example.ldif
   

將 CA 憑證匯入 JAVA_HOME 金鑰存放區

1. 執行下列命令，將 CA 憑證匯入 Java 金鑰存放區 cacerts 檔案：

   keytool -import -v -alias oam_ca -file /stage/ssl/ca.crt -noprompt -trustcacerts -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
   

   輸出與下列類似：

   Certificate was added to keystore
   [Storing /u01/app/oracle/product/jdk/jre/lib/security/cacerts]
   

將 OUD 設定為 OAM 中的識別存放區

1. 啟動瀏覽器並存取 OAM 主控台 https://oam.example.com:7002/oamconsole。以 weblogic/<password> 身分登入。

2. 按一下組態頁籤 (右上方)，然後按一下使用者識別存放區。按一下「OAM ID 存放區」區段中的建立。

3. 如下所示指定值：

   • 商店名稱：OUDStore
   • 商店類型：OUD: Oracle Unified Directory
   • 位置：oam.example.com:1636
   • 連結 DN：cn=Directory Manager
   • Password:<password>
   • 登入 ID 屬性：uid
   • 使用者密碼屬性：userPassword
   • 使用者搜尋基準：ou=People,dc=example,dc=com
   • 群組名稱屬性：cn
   • 群組搜尋基準：ou=Groups, dc=example, dc=com
   • 勾選啟用 SSL

   例如：

   

   oudstore.jpg 圖解的描述

4. 按一下測試連線。假設連線正常運作，請按一下「連線狀態 (Connection Status)」視窗中的確定 (OK) 。

5. 按一下套用以儲存定義。

6. 存取使用者識別存放區頁籤，並將預設存放區設為 OUDStore，然後按一下套用。

7. 按一下應用程式安全性，然後按一下外掛程式磚塊下的認證模組。

8. 按一下建立 > 建立 LDAP 認證模組。輸入下列值並按一下套用：

   • 名稱：LDAPOverOUD
   • 使用者識別存放區：OUDStore

9. 按一下啟動填充字元頁籤，然後按一下存取管理程式磚塊中的認證配置連結。在搜尋認證配置頁面中，按一下搜尋。在搜尋結果中選取 LDAPScheme 列，然後按一下編輯。

10. 在 LDAPScheme 中，按一下複製。它會建立名稱為 'Copy of LDAP Scheme' 的新配置。依下列方式變更此配置，然後按一下套用。

    • 名稱：LDAPOUDScheme
    • 說明：LDAP Scheme Over OUD
    • 認證模組：LDAPOverOUD

11. 按一下設為預設值，然後按一下確認即現式視窗中的確定。

更新 oam-config.xml 以新增 TLS v1.2 支援

To support the TLSv1.2 connection to the LDAP server, add the LDAP_SSL_PROTOCOL parameter with value TLSv1.2 after the LDAP_URL parameter in the oam-config.xml` 檔案。

1. 以 oracle 形式啟動終端機視窗，並在 /stage 中建立含有下列內容的 dbschema.properties 檔案：

   oam.entityStore.ConnectString=jdbc:oracle:thin:@oam.example.com:1521/orcl.example.com
   oam.entityStore.schemaUser=DEV_OAM
   oam.entityStore.schemaPassword=<password>
   oam.importExportDirPath=/stage
   oam.frontending=params=host;port;protocol
   
   

2. 使用 config-utility.jar 從 dbstore 匯出組態：

   cd /u01/app/oracle/product/middleware/idm/oam/server/tools/config-utility
   java -cp /u01/app/oracle/product/middleware/idm/oam/server/tools/config-utility/config-utility.jar:/u01/app/oracle/product/middleware/oracle_common/modules/oracle.jdbc/ojdbc8.jar oracle.security.am.migrate.main.ConfigCommand /u01/app/oracle/admin/domains/oam_domain export /stage/dbschema.properties
   

   輸出與下列類似：

   <DATE> oracle.security.am.migrate.main.command.CommandFactory getCommand
   INFO: executable operation:	export
   oam.exportDirPath=/stage
   oam.exportedFile=oam-config.xml
   

3. 編輯 /stage/oam-config.xml 並找到行：

   <Setting Name="LDAP_URL" Type="xsd:string">ldaps://oam.example.com:1636</Setting>
   

   在 LDAP_URL 項目之後新增 LDAP_SSL_PROTOCOL 參數並儲存檔案：

   <Setting Name="LDAP_SSL_PROTOCOL" Type="xsd:string">TLSv1.2</Setting>
   

   例如：

   <Setting Name="LDAP" Type="htf:map">
   ...
   <Setting Name="LDAP_URL" Type="xsd:string">ldaps://oam.example.com:1636</Setting>
   <Setting Name="LDAP_SSL_PROTOCOL" Type="xsd:string">TLSv1.2</Setting>
   

4. 執行下列命令來匯入更新的組態：

   java -cp /u01/app/oracle/product/middleware/idm/oam/server/tools/config-utility/config-utility.jar:/u01/app/oracle/product/middleware/oracle_common/modules/oracle.jdbc/ojdbc8.jar oracle.security.am.migrate.main.ConfigCommand /u01/app/oracle/admin/domains/oam_domain import /stage/dbschema.properties
   

   輸出與下列類似：

   <DATE> oracle.security.am.migrate.main.command.CommandFactory getCommand
   INFO: executable operation:	import
   <DATE> oracle.security.am.migrate.util.ConfigFileUtil replaceValue
   INFO: 64 will be replaced by 65
   <DATE> oracle.security.am.migrate.operation.ImportConfigOperation invoke
   INFO: imported config file version to database:65
   oam.importDirPath=/stage
   oam.importedFile=oam-config.xml
   oam.importedVersion=65
   oam.operation.time=2186
   

5. 重新啟動 oam_server1 伺服器：

   cd /u01/app/oracle/admin/domains/oam_domain/bin
   ./stopManagedWebLogic.sh oam_server1
   ./startManagedWebLogic.sh oam_server1
   

下一個教學課程

安裝並設定 Oracle HTTP Server for Oracle Access Management 12c。

意見

若要對此教學課程提供意見，請聯絡 idm_user_assistance_ww_grp@oracle.com。

致謝

• 作者 - 俄羅斯霍德孫

---

標題與版權資訊

Configure Oracle Unified Directory for OAM 12c

F59416-01

June 2022

Copyright © 2022, Oracle and/or its affiliates.