Linux での PIM または PAM SC から PAM へのデータの移行
Linux で PIM または PAM SC から PAM にデータを移行する方法を説明します。
以下の手順では、Linux で PIM または PAM SC から PAM にデータを移行する方法について説明します。
移行ユーティリティをインストールするための準備
PIM SC/PIM サーバで以下の手順に従って、移行の準備を完了します。
- シェル ウィンドウを開きます。
- Access Control Server の場所に移動します。たとえば、/opt/CA/AccessControlServer/APMS/AccessControl/bin/または/opt/CA/PAMSCServer/APMS/PAMSC/bin/です。
- 次のコマンドを入力して、アクセス制御 PAM SC/PIM サーバをオフにします:./secons -sk
PAM サーバで以下の手順に従って、移行の準備を完了します。
- PAM UI にログインします。
- 以下の手順に従って、ユーザの API キーを設定します。
- バージョン 4.0 以降を実行していることを確認します。
- [ユーザ]-[ユーザ管理]を選択します。
- API キーを有効にするユーザを選択し、[更新]を選択します。
- [API キー]タブに移動し、API キー名を追加します。
- 以下の手順に従って、ユーザの API キー(パスワード)を設定します。
- PAM UI で、[認証情報] - [ターゲット管理] - [アカウント]をクリックします。
- 前の手順で作成した API キー名を選択し、[更新]をクリックします。
- API キーのパスワードを設定し、[OK]を選択します。
- ユーティリティ サーバが PAM にインストールされて設定されていることを確認します。
- PIM または PAM SC 環境に UNAB ポリシー データが含まれている場合は、以下の手順に従って LDAP サーバからグループおよびユーザを設定してインポートします。
- LDAP サーバのデバイスおよびターゲット アプリケーションを設定するには、以下の手順に従います。
- [デバイス]-[デバイス管理]に移動し、[追加]ボタンをクリックします。
- LDAP サーバの詳細を指定し、[パスワード管理]デバイス タイプ オプションが設定されていることを確認します。
- [ターゲット アプリケーションの保存と追加]ボタンをクリックします。
- [アプリケーション名]を入力し、[アプリケーション タイプ]ドロップダウン メニューから[Active Directory]を選択します。
- 表示された[Active Directory]タブを選択し、[ドメイン名]を指定し、[OK]ボタンをクリックして変更を保存します。
- 作成した Active Directory ターゲット アプリケーションを管理するターゲット アカウントを作成するには、以下の手順に従います。
- [認証情報]-[ターゲット管理]-[アカウント]に移動します。
- [追加]ボタンを選択します。
- 管理者の[アカウント名]と[パスワード]を入力します。
- 作成したターゲット アプリケーションの[アプリケーション名]を入力または選択します。[ホスト名]および[デバイス名]フィールドに値が入力され、[Active Directory]タブが表示されます。
- [Active Directory]タブを選択し、適切な[識別名]を入力します。例:CN=Administrator,CN=Users,DC=warriors,DC=com
- [構成]-[サードパーティ]- [LDAP]に移動し、[追加]ボタンをクリックして LDAP ドメイン情報を入力します。
- PAM クライアントを使用して PAM に接続し、グループとユーザをインポートします(UNAB ログイン ポリシーに必要)。
移行ユーティリティのインストール
以下の手順に従って、移行ユーティリティをインストールします。
- シェル ウィンドウを開きます。
- MigrationUtility.binファイルをダウンロードした場所に移動します。
- 以下のコマンドを入力して、移行ユーティリティを実行します。./MigrationUtility.bin移行ユーティリティのインストーラが起動します。
- プロンプトに従って、以下の情報を入力します。
- 使用許諾契約に同意するには、「Y」と入力します。
- 移行ユーティリティをインストールするフォルダを指定し、同じフォルダを再入力して確定します。
- Access Control Server のインストール場所を指定します。
- 「2」を入力して、移行モードでユーティリティをインストールします。
移行ユーティリティがインストールされます。
移行ユーティリティの実行
PAM SC/PIM サーバで以下の手順に従って、移行ユーティリティを実行し、移行を完了します。
- シェル ウィンドウを開きます。
- 実行するデータ処理および検証用にステージング ディレクトリを作成します。インストールごとに異なるステージング ディレクトリを作成します。以下に例を示します。
- /opt/CA/AccessControlServer/APMS/AccessControl/policies/DMS__
- /opt/CA/PAMSCServer/APMS/PAMSC/policies/DMS__
- migration_utility_installation_dir/binに移動します。
- 次のコマンドを入力して、移行ユーティリティを起動します:./Migration.sh移行ユーティリティが起動します。このユーティリティでは、移行プロセスの各段階で詳細なメトリックが表示されます。
- 「start」と入力して、移行プロセスを初期化します。
- 表示されたデプロイメント マップ サーバ(DMS)ディレクトリの場所を確認し、必要に応じて変更します。
- これらの手順で先に作成したステージング ディレクトリの場所を指定します。
- Enterキーを押します。このユーティリティは、ステージング ディレクトリをセットアップし、データ移行の準備を行います。
- 「extract」と入力して、PAM SC/PIM データとデプロイメント レコードを PAM SC/PIM Access Control Server からこれらの手順で先に作成したステージング ディレクトリに抽出します。抽出されているレコードのライブ ステータスおよび実行時間が表示されます。進捗バーは、抽出が完了したレコードの割合を示します。抽出中にエラーが発生した場合は、「孤立データ、レコード、検証エラーのトラブルシューティング」を参照してください。
- 抽出フェーズが正常に完了したら、「validate」と入力して移行プロセスの検証フェーズを開始します。検証フェーズでは、ユーティリティは PAM SC/PIM レコードをスキャンして検証し、PAM と互換性のあるエンティティのリレーショナル マッピングを作成します。進捗バーは、検証中のレコードの割合を示します。検証中にエラーが発生した場合は、「孤立データ、レコード、検証エラーのトラブルシューティング」の「検証エラー」を参照してください。
- 移行ユーティリティのインストール中に[移行の事前確認]を選択した場合は、抽出と検証のみが実行されて、移行対象の PAMSC/PIM データの健全性および適合性がチェックされます。データは移行されません。検証後、「データはすべて PAM への移行用に設定されています」という成功メッセージが表示されます。移行ユーティリティを終了できます。
- インストール中に[移行]を選択した場合は、以下の手順に進みます。
- 検証が完了したら、[バックアップ]を選択して PAM サーバのバックアップを作成します。表示された[PAM サーバ詳細]ダイアログ ボックスで以下のフィールドに入力し、[OK]を選択します。
- PAM サーバ IP: データの移行先の PAM サーバの IP アドレス。
- API キー: これらの手順で以前に設定した完全な API キー名。
- API パスワード: これらの手順で以前に設定した API キーのパスワード。
入力が完了したら、後で使用できるようにバックアップ ファイル名をメモしておきます。移行ユーティリティは、PAM にアクセスできないか、または正しくない API キー認証情報が指定された場合、ユーザに通知します。 - [移行]を選択して、PAM サーバへのデータ移行を開始します。移行が始まり、移行されたレコードの割合が進捗バーに表示されます。移行中に、以下の手順を実行して、移行が正しく行われていることを確認できます。
- [一時停止]を選択して、PAM サーバで移行されたデータを確認します。移行を続行するには[再開]を選択し、PAM データベースを移行前の状態に復元するには[ロールバック]を選択します。
- 並行して PAM 環境をチェックして、データ(デバイス、デバイス グループ、ポリシー、およびデプロイメント)が正しくロードされていることを確認します。
エラーがある場合は、コンソールに表示されます。エラーの詳細については、「孤立データ、レコード、検証エラーのトラブルシューティング」を参照してください。 - PAM へのデータ移行が完了したら、[ファイナライズ]を選択して移行をコミットします。
- [終了]を選択して、移行ユーティリティを閉じます。
移行後の手順
この手順では、既存の PIM/PAM SC 配布サーバから PAM で設定された新しいユーティリティ アプライアンスにカットオーバーする方法について説明します。
- PIM/PAM SC Access Control Server の場所に移動します。たとえば、/opt/CA/AccessControlServer/APMS/AccessControl/bin/または/opt/CA/PAMSCServer/APMS/PAMSC/bin/です。
- 以下の手順に従って、PAM SC/PIM サーバ上でアクセス制御を開始します。
- root(スーパーユーザ)権限でログインし、2 つのウィンドウを開きます。
- いずれかのウィンドウで以下のコマンドを入力します。seloadseload コマンドが次の 3 つの PIM または PAM SC デーモンを起動するまで待機します: Engine、Agent、Watchdog
- 3 つのデーモンを起動した後、もう一方のウィンドウに移動して以下のコマンドを入力します。secons -t+ -tvPIM または PAM SC によって、オペレーティング システムのイベントを報告するメッセージがファイルに記録されます。secons -tvコマンドを入力すると、メッセージが画面上にも表示されます。
- seload コマンドを指定した最初のウィンドウで、以下のコマンドを入力します。whoPIM または PAM SC のトレース メッセージが書き込まれる 2 番目のウィンドウに注目して、who コマンドの実行をインターセプトし、それに関してレポートしているかどうかを確認します。who コマンドのインターセプトがレポートされていれば、PIM または PAM SC はシステムに正しくインストールされています。
- 必要であれば別のコマンドを入力して、それに対する PIM または PAM SC の動作を確認します。データベースには、アクセスの試行を禁止するためのルールがまだ準備されていません。ただし、PIM または PAM SC がシステムを監視しているため、PIM または PAM SC をインストールし稼働しているシステムがどのように動作し、どのイベントをインターセプトするかを確認できます。
- 以下のコマンドを入力して、seosd デーモンを停止します。secons -s以下のメッセージが画面に表示されます。CA ControlMinder is now DOWN !
- 以下の手順に従って、PIM/PAM SC ポリシーを作成します。
- PIM/PAM SC ENTM ユーザ インターフェースを開きます。
- [ポリシー管理] - [ポリシー] - [ポリシーの作成]に移動します。
- 以下のコマンドを入力して、Server Control ポリシーを作成するデプロイメント スクリプトを実行します。so dh- so dh+(DH__@<UtilityServer>)
- 新しい PAM ユーティリティ アプライアンスと通信するように設定する PIM/PAMSC デバイスで、以前に作成したポリシーを割り当てます。
- 各エンドポイントで policyfetcher プロセスを再起動するか(ポリシーのデプロイを即座に行う場合)、またはスケジュール設定されたジョブが policyfetcher を再起動するまで待機します。
- 以下の手順に従って、新しい PAM ユーティリティ アプライアンスと通信するように PIM/PAM SC UNAB エージェントを再設定します。
- PIM/PAM SC ENTM ユーザ インターフェースを開きます。
- [ポリシー管理]-[UNIX 認証ブローカ]-[ホスト]-[UNAB ホストの設定]に移動します。
- 設定する UNAB デバイスを選択します。
- [通信]セクションを選択し、トークン「Distribution_Server」を選択し、以下のように値を設定します。
- ssl://<ユーティリティのサーバ名または IP アドレス>:61616 (ActiveMQ ベースのデバイスの場合(たとえば、pamsc141))
- ssl://<ユーティリティのサーバ名または IP アドレス>:7243 (Tibco ベースのデバイスの場合(たとえば、PIM128))
- 設定ポリシーをサブミットします。
- 新しいユーティリティ サーバで動作するように UNAB デバイスのグループを設定するには、[UNIX 認証ブローカ]の下で[UNAB ホスト グループの設定]を選択します。
- UNAB デバイスに移動し、メッセージ キューのパスワードを設定します。<UNAB install dir>/bin/acuxchkey -t -pwd <Communication password of Utility Server>
移行したすべての PIM/PAM SC デバイスが PAM ユーティリティ アプライアンスで参照されるようになります。これで、PAM UI を使用して、ポリシー管理アクティビティを実行できます。