Oracle Internet Directory คือเซิร์ฟเวอร์ Lightweight Directory Access Protocol (LDAP) ซึ่งใช้ฐานข้อมูล oracle ภายนอกเพื่อจัดเก็บข้อมูลและจัดเตรียมโซลูชันการลงชื่อเพียงครั้งเดียวสำหรับ Oracle Applications
• OID ให้ประสิทธิภาพสูงสำหรับการใช้งานขนาดใหญ่
• OID เป็นบริการไดเรกทอรีที่ปลอดภัยที่สุดซึ่งให้การรักษาความปลอดภัยในแต่ละระดับตั้งแต่ข้อมูลที่ส่งไปยังที่จัดเก็บหรือสำรองข้อมูล
• ให้บริการพื้นที่จัดเก็บและการซิงโครไนซ์Oracle Unified Directory คือ Oracle รุ่นใหม่ในโซลูชันไดเรกทอรีเดียวที่มีพื้นที่จัดเก็บ พร็อกซี่ การซิงโครไนซ์และความสามารถในการจำลองเสมือน เซิร์ฟเวอร์ LDAP นี้เขียนด้วย JAVA อย่างสมบูรณ์เพื่อรองรับการปรับใช้ที่ปรับขนาดได้จำนวนมากเพื่อให้มีประสิทธิภาพสูง
คุณสามารถใช้ OUD เพื่อทำสิ่งต่อไปนี้ได้
• เซิร์ฟเวอร์ไดเรกทอรี LDAP เพื่อจัดเก็บข้อมูล
• เป็นอินเทอร์เฟซพร็อกซีเซิร์ฟเวอร์ระหว่างไคลเอนต์และเซิร์ฟเวอร์ไดเรกทอรี
• เกตเวย์การจำลองแบบระหว่าง Oracle Unified Directory และ Oracle Directory Server Enterprise Edition มีสองวิธีในการย้าย OID ไปยัง OUD:
-
การซิงโครไนซ์ OUD กับ OID โดยใช้ DIP
-
แผนผัง
1. การซิงโครไนซ์ OUD กับ OID โดยใช้ DIP
ขั้นตอนก่อน
คุณต้องเปิดใช้งานบันทึกการเปลี่ยนแปลงภายนอกเป็นขั้นตอนล่วงหน้าเพื่อดำเนินการย้ายข้อมูล บันทึกการเปลี่ยนแปลงภายนอก (ECL) จะพร้อมใช้งานตามค่าเริ่มต้นบนอินสแตนซ์ของเซิร์ฟเวอร์ใดๆ ที่มีทั้งเซิร์ฟเวอร์ไดเรกทอรีและเซิร์ฟเวอร์การจำลองแบบ ECL จะเปิดใช้งานเมื่อมีการกำหนดค่าเซิร์ฟเวอร์ไดเร็กทอรีเป็นส่วนหนึ่งของโทโพโลยีการจำลองแบบระหว่างการติดตั้ง หรือคุณสามารถกำหนดค่าการจำลองแบบโดยการรันคำสั่ง dereplication
$ dsreplication enable-changelog -h localhost -p 4444 -D "cn=directory manager" -j
pwd-file -r 8989 -b dc=example,dc=com -X -n
ตรวจสอบว่าเปิดใช้งานบันทึกการเปลี่ยนแปลงแล้ว โดยเรียกใช้คำสั่งด้านล่าง
ldapsearch -h <HOSTNAME> -p <PORT> -D "cn=<DM_ADMIN>" -w <PASSWORD> -s base -b ""
"objectclass=*" namingContexts
version: 1
dn:
namingContexts: cn=changelog
namingContexts: <SUFFIX_DN>
DIP และ OID ได้รับการกำหนดค่าและใช้งาน
เปิดใช้งาน SSL บน OID:
การซิงโครไนซ์ DIP-OID ทำได้ด้วยโหมด SSL เท่านั้น คุณต้องสร้าง OID wallet เพื่ออนุญาตให้ผูกกับ OID ในโหมด SSL จำเป็นต้องใช้กระเป๋าเงินที่ลงชื่อด้วยตนเองเพื่อสร้างโดยใช้ตัวจัดการระดับองค์กร และควรคัดลอกไปยังกระเป๋าเงิน Oracle โดยใช้ขั้นตอนต่อไปนี้
ขั้นตอนในการสร้าง OID Self Signed Certificate:
ส่งออกใบรับรองที่เชื่อถือได้และคัดลอกไปยังผู้จัดการ Oracle Wallet
สร้าง OID Wallet จาก OWM และคัดลอกใบรับรองที่เชื่อถือได้ไปยังกระเป๋าเงิน
ผูกกับ OID1 ในโหมด SSL โดยใช้คำสั่งด้านล่าง
ldapbind -h <OID_HOSTNAME> -p <OID_PORT> -D "cn=<OID_ADMIN>" -w <PASSWORD> -U 2
-W "file:/home/oracle/oid1_client_wallet" -P "<PASSWORD>"
bind successful
ขั้นตอนการกำหนดค่า DIP
สร้างที่เก็บคีย์โดยใช้ Keytool พร้อมใบรับรอง OID ที่ลงนามเอง
keytool -importcert -trustcacerts -file /home/oracle/certificates_base/
oid1_selfsigned_cert.txt -keystore $HOME/dip_keystore
ป้อนรหัสผ่านที่เก็บคีย์:
ป้อนรหัสผ่านใหม่อีกครั้ง:
Trust this certificate? [no]: yes
Certificate was added to keystore
อัปเดต DIP Config ให้ชี้ตำแหน่งที่เก็บคีย์
$ORACLE_HOME/bin/manageDIPServerConfig set -attribute keystorelocation -h
<OID_HOSTNAME> -p <WLS_PORT> -D <WL_ADMIN> -value $HOME/dip_keystore <wls admin
user password>
Connection parameters initialized.
Connected successfully.
The attribute keystorelocation is successfully changed to value /home/oracle/dip_keystore.
กำหนดค่า DIP ในโหมด SSL V2 โดยใช้คำสั่งด้านล่าง
$ORACLE_HOME/bin/manageDIPServerConfig set -attribute sslmode -h <OID_HOSTNAME> -p
<WLS_PORT> -D <WLS_ADMIN> -value 2 <wls admin user password>
Connection parameters initialized.
Connected successfully.
The attribute sslmode is successfully changed to a value of 2.
อัปเดต Java Key store โดยใช้ wlst.sh และรีสตาร์ท OID และ DIP services เพื่อให้การเปลี่ยนแปลงนี้มีผล
wlst.sh
connect('<WLS_ADMIN>','<PASSWORD>','t3://localhost:<EM_PORT>')
createCred(map="dip",key="jksKey", user="<JKS_USER>",password="<PASSWORD>")
disconnect()
โปรไฟล์การซิงโครไนซ์ OUD และ OID:
คุณต้องสร้างรายการ Suffix_dn ใน OID เพื่อเติมข้อมูล OUD สิ่งสำคัญคือต้องเลือกส่วนต่อท้ายที่จะสร้างและจะใช้โดยตรงระหว่างการจัดการโปรไฟล์การซิงโครไนซ์ เลือกไดเร็กทอรีหลักตามที่แสดงในภาพหน้าจอต่อไปนี้
สร้างโปรไฟล์การซิงโครไนซ์:
ไปที่ Menu> เลือก OID ใน Identity and Access> OID Administration และเลือก Synchronization profile ดังแสดงในภาพต่อไปนี้
สร้างโปรไฟล์การซิงโครไนซ์ด้านล่าง 2 โปรไฟล์
OUD> OID:OUDImport OID> OUD:OUDExport
คุณต้องตัดสินใจว่าควรใช้ OID เป็นแหล่งที่มาหรือปลายทางในขณะที่สร้างโปรไฟล์การซิงโครไนซ์
ใช้ชื่อโฮสต์และพอร์ตเป็นชื่อโฮสต์ OID และหมายเลขพอร์ตเนื่องจากกำลังใช้ OID เป็นแหล่งที่มา เมื่อการแมปด้านบนเสร็จสมบูรณ์ OUDImport /OUDExport จะแมป “ou=people, dc=people,dc=com”
ในแต่ละด้านดังแสดงในภาพหน้าจอต่อไปนี้
เมื่อเปิดใช้งานการแมปแล้ว โดยค่าเริ่มต้นแอตทริบิวต์ต่อไปนี้จะได้รับการแมปโดยอัตโนมัติ
การบูตข้อมูลจาก OID ไปยัง OUD:
เพิ่ม OID ACI เพื่ออนุญาตให้ DIP เข้าถึงส่วนต่อท้าย DN เพื่อดำเนินการ syncProfileBootstrap
เพิ่ม OID ACI โดยใช้คำสั่งต่อไปนี้
cat aci_oudimport.ldif
dn: ou=People,dc=people,dc=com
changetype :modify
add: orclaci
orclaci:access to entry by dn="orclodipagentname=OUDImport,cn=subscriber profile,
cn=changelog subscriber,cn=oracle internet directory" (browse,add,delete)
orclaci: access to attr=(*) by group="orclodipagentname=OUDImport,cn=subscriber
profile,cn=changelog subscriber,cn=oracle internet directory"
(read,search,write, selfwrite,compare)
รันคำสั่ง ldapmodify เพื่อเพิ่ม ACI
ldapmodify -h <OID_HOSTNAME> -p <OID_PORT> -D cn=<OID_ADMIN> -w <PASSWORD> -f
aci_oudimport.ldif
รันคำสั่งต่อไปนี้เพื่อบู๊ตข้อมูลจาก OID เป็น OUD
syncProfileBootstrap -h <OID_HOSTNAME> -p <WLS_PORT> -D <WLS_ADMIN> -pf OUDImport
Connection parameters initialized.
Connecting at <OID_HOSTNAME>:<WLS_PORT>, with userid "<WLS_ADMIN>".
Connected successfully.
การดำเนินการบูตสแตรปเสร็จสิ้น ผลลัพธ์การดำเนินการคือ:
entries read in bootstrap operation: 1907
entries filtered in bootstrap operation: 0
entries ignored in bootstrap operation: 0
entries processed in bootstrap operation: 1906
entries failed in bootstrap operaton: 1
ตอนนี้ คุณจะสามารถดูข้อมูลต่อท้ายที่ฝั่ง OUD ได้
ou=people,dc=people,dc=com
สคีมาซิงค์
ยูทิลิตี Schemasync ช่วยให้สามารถซิงโครไนซ์แอตทริบิวต์สคีมาและคลาสอ็อบเจ็กต์ระหว่าง OID และไดเร็กทอรี LDAP อื่นๆ ได้
Syntax for Schemasync:
schemasync -srchost hostname -srcport port -srcdn bindDN -srcpwd password -dsthost
hostname -dstport port -dstdn bindDN -dstpwd password [-ldap]
-srchost – Host name of source directory server.
-srcport – Source directory source LDAP listening port
-srcdn – The DN of the user used to bind to the source directory.
-srcpwd – The user password used to bind to the source directory.
-dsthost – Host name of Destination directory server.
-destport – LDAP listening port for Destination directory server.
-dstdn – DN of the user used to bind to the destination directory server.
-ldap – When we use LDAP, Schema changes are applied directly from the source LDAP
to destination LDAP.
schemasync -srchost srchost.domain.com -srcport 3060 -srcdn "cn=orcladmin" \
-dsthost dsthost.domain.com -dstport 3060 \
-dstdn "uid=superuser,ou=people,dc=people,dc=com" -ldap
เมื่อดำเนินการคำสั่งข้างต้นแล้ว ให้ตรวจสอบรายละเอียด DN ในเซิร์ฟเวอร์ไดเรกทอรีปลายทาง
สรุป:
วิธีการแสดงในโพสต์นี้เพื่อโยกย้ายที่เก็บ OID ที่มีอยู่ไปยัง OUD เพื่อรองรับแอปพลิเคชันขนาดใหญ่เพื่อเปิดใช้งานโซลูชันการลงชื่อเพียงครั้งเดียว OUD ให้ประสิทธิภาพสูงในกระบวนการพิสูจน์ตัวตนผู้ใช้เมื่อเซิร์ฟเวอร์ LDAP จัดเก็บวันที่ ขั้นตอนการโยกย้ายนั้นตรงไปตรงมามากในการใช้งานทุกประเภท
ใช้แท็บคำติชมเพื่อแสดงความคิดเห็นหรือถามคำถาม คุณสามารถเริ่มการสนทนากับเราได้เช่นกัน