Linux での PIM または PAM SC から PAM へのデータの移行

Linux で PIM または PAM SC から PAM にデータを移行する方法を説明します。
以下の手順では、Linux で PIM または PAM SC から PAM にデータを移行する方法について説明します。

移行ユーティリティをインストールするための準備

PIM SC/PIM サーバで以下の手順に従って、移行の準備を完了します。
  1. シェル ウィンドウを開きます。
  2. Access Control Server の場所に移動します。たとえば、
    /opt/CA/AccessControlServer/APMS/AccessControl/bin/
    または
    /opt/CA/PAMSCServer/APMS/PAMSC/bin/
    です。
  3. 次のコマンドを入力して、アクセス制御 PAM SC/PIM サーバをオフにします:
    ./secons -sk
PAM サーバで以下の手順に従って、移行の準備を完了します。
  1. PAM UI にログインします。
  2. 以下の手順に従って、ユーザの API キーを設定します。
    1. バージョン 4.0 以降を実行していることを確認します。
    2. [ユーザ]
      -
      [ユーザ管理]
      を選択します。
    3. API キーを有効にするユーザを選択し、
      [更新]
      を選択します。
    4. [API キー]
      タブに移動し、API キー名を追加します。
  3. 以下の手順に従って、ユーザの API キー(パスワード)を設定します。
    1. PAM UI で、
      [認証情報] - [
      ターゲット管理] - [
      アカウント]
      をクリックします。
    2. 前の手順で作成した API キー名を選択し、
      [更新]
      をクリックします。
    3. API キーのパスワードを設定し、
      [OK]
      を選択します。
  4. ユーティリティ サーバが PAM にインストールされて設定されていることを確認します。
  5. PIM または PAM SC 環境に UNAB ポリシー データが含まれている場合は、以下の手順に従って LDAP サーバからグループおよびユーザを設定してインポートします。
    1. LDAP サーバのデバイスおよびターゲット アプリケーションを設定するには、以下の手順に従います。
      1. [デバイス]
        -
        [デバイス管理]
        に移動し、
        [追加]
        ボタンをクリックします。
      2. LDAP サーバの詳細を指定し、
        [パスワード管理]
        デバイス タイプ オプションが設定されていることを確認します。
      3. [ターゲット アプリケーションの保存と追加]
        ボタンをクリックします。
      4. [アプリケーション名]
        を入力し、
        [アプリケーション タイプ]
        ドロップダウン メニューから
        [Active Directory]
        を選択します。
      5. 表示された
        [Active Directory]
        タブを選択し、
        [ドメイン名]
        を指定し、
        [OK]
        ボタンを選択して変更を保存します。
    2. 作成した Active Directory ターゲット アプリケーションを管理するターゲット アカウントを作成するには、以下の手順に従います。
      1. 認証情報
        ]-[
        ターゲット管理
        ]-[
        アカウント
        ]に移動します。
      2. 追加
        ]ボタンを選択します。
      3. 管理者の
        [アカウント名]
        [パスワード]
        を入力します。
      4. 作成したターゲット アプリケーションの
        [アプリケーション名]
        を入力または選択します。
        [ホスト名]
        および
        [デバイス名]
        フィールドに値が入力され、
        [Active Directory]
        タブが表示されます。
      5. [Active Directory]
        タブを選択し、適切な
        [識別名]
        を入力します。例:
        CN=Administrator,CN=Users,DC=warriors,DC=com
    3. [設定]
      -
      [サードパーティ]
      -
      [LDAP]
      に移動し、
      [追加]
      ボタンを選択して LDAP ドメイン情報を入力します。
    4. PAM クライアントを使用して PAM に接続し、グループとユーザをインポートします(UNAB ログイン ポリシーに必要)。

移行ユーティリティのインストール

以下の手順に従って、移行ユーティリティをインストールします。
  1. シェル ウィンドウを開きます。
  2. MigrationUtility.bin
    ファイルをダウンロードした場所に移動します。
  3. 以下のコマンドを入力して、移行ユーティリティを実行します。
    ./MigrationUtility.bin
    移行ユーティリティのインストーラが起動します。
  4. プロンプトに従って、以下の情報を入力します。
    • 使用許諾契約に同意するには、「
      Y
      」と入力します。
    • 移行ユーティリティをインストールするフォルダを指定し、同じフォルダを再入力して確定します。
    • Access Control Server のインストール場所を指定します。
    • 2
      」を入力して、移行モードでユーティリティをインストールします。
移行ユーティリティがインストールされます。

移行ユーティリティの実行

PAM SC/PIM サーバで以下の手順に従って、移行ユーティリティを実行し、移行を完了します。
  1. シェル ウィンドウを開きます。
  2. 実行するデータ処理および検証用にステージング ディレクトリを作成します。インストールごとに異なるステージング ディレクトリを作成します。
    以下に例を示します。
    • /opt/CA/AccessControlServer/APMS/AccessControl/policies/DMS__
    • /opt/CA/PAMSCServer/APMS/PAMSC/policies/DMS__
  3. migration_utility_installation_dir/bin
    に移動します。
  4. 次のコマンドを入力して、移行ユーティリティを起動します:
    ./Migration.sh
    移行ユーティリティが起動します。このユーティリティでは、移行プロセスの各段階で詳細なメトリックが表示されます。
  5. start
    」と入力して、移行プロセスを初期化します。
  6. 表示されたデプロイメント マップ サーバ(DMS)ディレクトリの場所を確認し、必要に応じて変更します。
  7. これらの手順で先に作成したステージング ディレクトリの場所を指定します。
  8. Enter
    キーを押します。このユーティリティは、ステージング ディレクトリをセットアップし、データ移行の準備を行います。
  9. extract
    」と入力して、PAM SC/PIM データとデプロイメント レコードを PAM SC/PIM Access Control Server からこれらの手順で先に作成したステージング ディレクトリに抽出します。
    抽出されているレコードのライブ ステータスおよび実行時間が表示されます。進捗バーは、抽出が完了したレコードの割合を示します。
    抽出中にエラーが発生した場合は、「孤立データ、レコード、検証エラーのトラブルシューティング」を参照してください。
  10. 抽出フェーズが正常に完了したら、「
    validate
    」と入力して移行プロセスの検証フェーズを開始します。
    検証フェーズでは、ユーティリティは PAM SC/PIM レコードをスキャンして検証し、PAM と互換性のあるエンティティのリレーショナル マッピングを作成します。進捗バーは、検証中のレコードの割合を示します。検証中にエラーが発生した場合は、「孤立データ、レコード、検証エラーのトラブルシューティング」の「検証エラー」を参照してください。
    • 移行ユーティリティのインストール中に
      [移行の事前確認]
      を選択した場合は、抽出と検証のみが実行されて、移行対象の PAMSC/PIM データの健全性および適合性がチェックされます。データは移行されません。検証後、「
      データはすべて PAM への移行用に設定されています
      」という成功メッセージが表示されます。移行ユーティリティを終了できます。
    • インストール中に
      [移行]
      を選択した場合は、以下の手順に進みます。
  11. 検証が完了したら、
    [バックアップ]
    を選択して PAM サーバのバックアップを作成します。表示された
    [PAM サーバ詳細]
    ダイアログ ボックスで以下のフィールドに入力し、
    [OK]
    を選択します。
    • PAM サーバ IP
      : データの移行先の PAM サーバの IP アドレス。
    • API キー
      : これらの手順で以前に設定した完全な API キー名。
    • API パスワード
      : これらの手順で以前に設定した API キーのパスワード。
    入力が完了したら、後で使用できるようにバックアップ ファイル名をメモしておきます。移行ユーティリティは、PAM にアクセスできないか、または正しくない API キー認証情報が指定された場合、ユーザに通知します。
  12. [移行]
    を選択して、PAM サーバへのデータ移行を開始します。
    移行が始まり、移行されたレコードの割合が進捗バーに表示されます。
    移行中に、以下の手順を実行して、移行が正しく行われていることを確認できます。
    • [一時停止]
      を選択して、PAM サーバで移行されたデータを確認します。移行を続行するには
      [再開]
      を選択し、PAM データベースを移行前の状態に復元するには
      [ロールバック]
      を選択します。
    • 並行して PAM 環境をチェックして、データ(デバイス、デバイス グループ、ポリシー、およびデプロイメント)が正しくロードされていることを確認します。
    エラーがある場合は、コンソールに表示されます。エラーの詳細については、「孤立データ、レコード、検証エラーのトラブルシューティング」を参照してください。
  13. PAM へのデータ移行が完了したら、
    [ファイナライズ]
    を選択して移行をコミットします。
  14. [終了]
    を選択して、移行ユーティリティを閉じます。

移行後の手順

この手順では、既存の PIM/PAM SC 配布サーバから PAM で設定された新しいユーティリティ アプライアンスにカットオーバーする方法について説明します。
  1. PIM/PAM SC Access Control Server の場所に移動します。たとえば、
    /opt/CA/AccessControlServer/APMS/AccessControl/bin/
    または
    /opt/CA/PAMSCServer/APMS/PAMSC/bin/
    です。
  2. 以下の手順に従って、PAM SC/PIM サーバ上でアクセス制御を開始します。
    1. root(スーパーユーザ)権限でログインし、2 つのウィンドウを開きます。
    2. いずれかのウィンドウで以下のコマンドを入力します。
      seload
      seload コマンドが次の 3 つの PIM または PAM SC デーモンを起動するまで待機します: Engine、Agent、Watchdog
    3. 3 つのデーモンを起動した後、もう一方のウィンドウに移動して以下のコマンドを入力します。
      secons -t+ -tv
      PIM または PAM SC によって、オペレーティング システムのイベントを報告するメッセージがファイルに記録されます。
      secons -tv
      コマンドを入力すると、メッセージが画面上にも表示されます。
    4. seload コマンドを指定した最初のウィンドウで、以下のコマンドを入力します。
      who
      PIM または PAM SC のトレース メッセージが書き込まれる 2 番目のウィンドウに注目して、who コマンドの実行をインターセプトし、それに関してレポートしているかどうかを確認します。who コマンドのインターセプトがレポートされていれば、PIM または PAM SC はシステムに正しくインストールされています。
    5. 必要であれば別のコマンドを入力して、それに対する PIM または PAM SC の動作を確認します。
      データベースには、アクセスの試行を禁止するためのルールがまだ準備されていません。ただし、PIM または PAM SC がシステムを監視しているため、PIM または PAM SC をインストールし稼働しているシステムがどのように動作し、どのイベントをインターセプトするかを確認できます。
    6. 以下のコマンドを入力して、seosd デーモンを停止します。
      secons -s
      以下のメッセージが画面に表示されます。
      CA ControlMinder is now DOWN !
  3. 以下の手順に従って、PIM/PAM SC ポリシーを作成します。
    1. PIM/PAM SC ENTM ユーザ インターフェースを開きます。
    2. [ポリシー管理] - [
      ポリシー] - [
      ポリシーの作成]
      に移動します。
    3. 以下のコマンドを入力して、Server Control ポリシーを作成するデプロイメント スクリプトを実行します。
      so dh- so dh+(DH__@<UtilityServer>)
  4. 新しい PAM ユーティリティ アプライアンスと通信するように設定する PIM/PAMSC デバイスで、以前に作成したポリシーを割り当てます。
  5. 各エンドポイントで policyfetcher プロセスを再起動するか(ポリシーのデプロイを即座に行う場合)、またはスケジュール設定されたジョブが policyfetcher を再起動するまで待機します。
  6. 以下の手順に従って、新しい PAM ユーティリティ アプライアンスと通信するように PIM/PAM SC UNAB エージェントを再設定します。
    1. PIM/PAM SC ENTM ユーザ インターフェースを開きます。
    2. [ポリシー管理]
      -
      [UNIX 認証ブローカ]
      -
      [ホスト]
      -
      [UNAB ホストの設定]
      に移動します。
    3. 設定する UNAB デバイスを選択します。
    4. [通信]
      セクションを選択し、トークン「Distribution_Server」を選択し、以下のように値を設定します。
      • ssl://<ユーティリティのサーバ名または IP アドレス>:61616 (ActiveMQ ベースのデバイスの場合(たとえば、pamsc141))
      • ssl://<ユーティリティのサーバ名または IP アドレス>:7243 (Tibco ベースのデバイスの場合(たとえば、PIM128))
    5. 設定ポリシーをサブミットします。
    6. 新しいユーティリティ サーバで動作するように UNAB デバイスのグループを設定するには、[Unix 認証ブローカ]の下で[UNAB ホスト グループの設定]を選択します。
    7. UNAB デバイスに移動し、メッセージ キューのパスワードを設定します。
      <UNAB install dir>/bin/acuxchkey -t -pwd <Communication password of Utility Server>
移行したすべての PIM/PAM SC デバイスが PAM ユーティリティ アプライアンスで参照されるようになります。これで、PAM UI を使用して、ポリシー管理アクティビティを実行できます。