Active Directory をポリシー ストアとして設定する

目次
sm1252sp1jjp
目次
Active Directory はポリシー ストアとして機能できます。1 つのディレクトリ サーバ インスタンスは以下として機能させることができます。
  • ポリシー ストア
  • キーストア
単一のディレクトリ サーバを使用すると管理タスクが簡略化されます。以下のセクションでは、ポリシー データと暗号化キーを格納するよう 1 つのディレクトリ サーバ インスタンスを設定する方法について説明します。実装に必要な場合は、別のキー ストアを設定できます。
注:
ポリシー サーバが SSL を使用して Active Directory と通信する予定である場合は、Active Directory の RootCA 証明書が cert8.db ファイル内のポリシー サーバ マシンで利用可能であることを確認します。
ディレクトリ サーバ情報の収集
sm1252sp1jjp
LDAP ディレクトリ サーバをポリシー ストアとして設定するか、または既存のポリシー ストアをアップグレードするには、特定のディレクトリ サーバ情報が必要です。作業を始める前に、以下の情報を収集してください。
  • ホスト情報
    ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。
  • ポート情報
    (任意)標準以外のポートを指定します。
    デフォルト値:
    636(SSL)および 389(SSL 以外)
  • 管理 DN
    LDAP ツリー内のポリシー ストア ルート オブジェクトの下でオブジェクトの作成、読み取り、変更、および削除を行う権限を持つユーザの LDAP ユーザ名を指定します。
  • 管理パスワード
    管理 DN のパスワードを指定します。
  • ポリシー サーバのルート DN
    ポリシー ストア オブジェクトを定義する、LDAP ツリー内のノードの識別名を指定します。
  • SSL クライアント証明書
    SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。
    制限:
    SSL のみ
ポリシー サーバからポリシー ストアへの参照の設定
sm1252sp1jjp
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリシー ストアにアクセスできるようにします。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
    sm1252sp1jjp
    重要:
    Windows サーバ上で、ユーザ アカウント制御 (UAC) が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いの コンポーネントの「リリース ノート」を参照してください。
  2. [データ]タブをクリックします。
  3. データベース リストから以下の値を選択します。
    Policy Store
  4. ストレージ リストから以下の値を選択します。
    LDAP
  5. [LDAP ポリシー ストア]グループ ボックスで、以下を設定します。
    • LDAP IP アドレス
    • Admin Username
    • Password
    • パスワードの確認入力
    • ルート DN
    : フィールド、コントロール、およびそれぞれの要件については、[ヘルプ]をクリックしてください。
  6. [適用]をクリックします。
  7. [LDAP 接続のテスト]をクリックして、ポリシー サーバがポリシー ストアにアクセスできることを確認します。
  8. データベース リストから以下の値を選択します。
    Key Store
  9. ストレージ リストから以下の値を選択します。
    LDAP
  10. 以下のオプションを選択します。
    Use Policy Store database
  11. [OK]をクリックします。
ポリシー ストア スキーマの作成
ポリシー ストアおよびストア
Single Sign-On
オブジェクトとしてディレクトリ サーバが機能できるように、ポリシー ストア スキーマを作成します。
重要:
Active Directory スキーマはルート ドメインによって所有されます。スキーマ変更はすべて、SchemaAdmins 権限を持つアカウントを使用して、スキーマ マスタを保持するルート ドメイン コントローラ上で行われる必要があります。スキーマ変更は、子ドメイン(レプリカ)からは実行できません。
以下の手順に従います。
  1. ポリシー サーバ ホスト システム上で以下のコマンドを実行します。
    smldapsetup ldgen -f<file_name>
    • file_name
      作成する LDIF ファイルの名前を指定します。
    Single Sign-On
    スキーマと共に LDIF ファイルが作成されます。
  2. 以下のコマンドを実行します。
    smldapsetup ldmod -f<file_name>
    • file_name
      作成した LDIF の名前を指定します。
    ユーティリティがポリシー ストア スキーマをインポートします。
  3. policy_server_home
    \xps\db に移動し、以下のファイルを開きます。
    ActiveDirectory.ldif
  4. <RootDN> の各インスタンスを、ポリシー ストア スキーマの場所(ポリシー ストア オブジェクトの場所ではなく)を表す DN に手動で置換します。
    例:
    以下のルート DN がポリシー ストア オブジェクトを表す場合、
    ou=policystore,dc=domain,dc=com
    <RootDN> の各インスタンスを以下の DN で置き換えます。
    dc=domain,dc=com
  5. 以下のコマンドを実行します。
    smldapsetup ldmod -fpolicy_server_home\xps\db\ActiveDirectory.ldif
    • policy_server_home
      ポリシー サーバのインストール パスを指定します。
    ポリシー ストア スキーマが拡張されます。ポリシー ストア スキーマを作成しました。
Single Sign-On
スーパーユーザ パスワードの設定
デフォルトの
Single Sign-On
 管理者アカウントの名前は
siteminder
です。 このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
  • 管理 UI に初めてアクセスするとき。
  • Single Sign-On
    ユーティリティの管理を初めて行うとき。
  • スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
  1. smreg ユーティリティを
    siteminder_home
    \bin にコピーします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
    注:
    このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。
  2. 以下のコマンドを実行します。
    smreg -su 
    password
    • パスワード
      デフォルトの管理者のパスワードを指定します。 
    パスワードには、以下の要件があります。
    • パスワードは 6 文字以上、24 文字以下である必要があります。
    • パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
    • パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
  3. siteminder_home
    \bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
sm1252sp1jjp
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \xps\dd に移動します。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  2. 以下のコマンドを実行します。
    XPSDDInstall SmMaster.xdd
    • XPSDDInstall
      必要なデータ定義をインポートします。
デフォルトのポリシー ストア オブジェクトのインポート
sm1252sp1jjp
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
  • 必ず
    siteminder_home
    \bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  • Windows Server 2008 上で
    Single Sign-On
    ユーティリティまたは実行可能ファイルを実行する前に、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いの コンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \db に移動します。
  2. 以下のいずれかのファイルをインポートします。
    • smpolicy.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy-secure.xml -npass
      • npass
        パスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
      両方のファイルに、デフォルトのポリシー ストア オブジェクトが含まれています。これらのオブジェクトにはデフォルトのエージェント設定オブジェクト(ACO)テンプレート内のデフォルト セキュリティ設定が含まれます。smpolicy–secure ファイルはより制限の厳しいセキュリティ設定を提供します。詳細については、「デフォルトのポリシー ストア オブジェクトの考慮事項」を参照してください。
    • Option Pack 機能をインポートするには、以下のコマンドを実行します。
      XPSImport ampolicy.xml -npass
    • フェデレーション機能をインポートするには、以下のコマンドを実行します。
      XPSImport fedpolicy-12.5.xml -npass
    ベース ポリシー ストア オブジェクトがインポートされます。
注:
ampolicy.xml をインポートすると、
Single Sign-On
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービスの変数機能が使用可能になります。eTelligent ルール機能を使用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問い合わせてください。
Advanced Authentication Server の有効化
sm1252sp1jjp
ユーザのポリシー サーバの設定の一部として、Advanced Authentication Server を有効にします。
以下の手順に従います。
  1. ポリシー サーバ設定ウィザードを実行します。
  2. 以下の手順のいずれかを実行します。
    Windows の場合
    ウィザードの最初の画面にあるチェックボックスをすべて
    オフ
    のままにして、[次へ]をクリックします。
    Linux の場合
    「5」と入力して Enter キーを押します。
  3. Advanced Authentication Server 用のマスタ暗号化キーを作成します。
    sm1252sp1jjp
    注:
    別の(n 番目の)ポリシー サーバをインストールしている場合は、以前使用した Advanced Authentication Server に対して同じ暗号化キーを使用します。
  4. ポリシー サーバ設定ウィザードの残りの手順を完了します。
    Advanced Authentication Server が有効になります。
ポリシー サーバの再起動
sm1252sp1jjp
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
  2. [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。
    赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
  3. [開始]をクリックします。
    緑色の信号アイコンが表示されて、ポリシー サーバが起動します。
    注:
    UNIX では、ポリシー サーバを再起動する stop-ps および start-ps コマンドを実行します。ポリシー サーバと CA Risk Authentication を再起動するには、stop-all および start-all コマンドを実行します。
管理 UI 登録の準備
sm1252sp1jjp
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウント(siteminder)を使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
  • 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
  • (UNIX) XPSRegClient を使用する前に、環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行します。
    XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
    • passphrase
      デフォルトの スーパーユーザ アカウント(siteminder)のパスワードを指定します。
      注:
      パスフレーズを指定しないと、XPSRegClient により、パスフレーズの入力とその確認を求めるプロンプトが表示されます。
    • -adminui–setup
      管理 UI がポリシー サーバに初めて登録されることを指定します。
    • -t timeout
      (任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。
      測定単位
      : 分
      デフォルト
      : 240(4 時間)
      最小:
      15
      最大:
      1440 (24 時間)
    • -r retries
      (任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する 管理者の認証情報の誤りが考えられます。
      デフォルト
      : 1
      最大:
      5
    • -c comment
      (任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。
      注:
      コメントは引用符で囲んでください。
    • -cp
      (任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。
      注:
      コメントは引用符で囲んでください。
    • -l log path
      (任意)登録ログ ファイルをエクスポートする場所を指定します。
      デフォルト:
      siteminder_home
      \log
      siteminder_home
      ポリシー サーバのインストール パスを指定します。
    • -e error_path
      (任意)例外を指定されたパスに送信します。
      デフォルト
      : stderr
    • -vT
      (任意)詳細レベルを TRACE に設定します。
    • -vI
      (任意)詳細レベルを INFO に設定します。
    • -vW
      (任意)詳細レベルを WARNING に設定します。
    • -vE
      (任意)詳細レベルを ERROR に設定します。
    • -vF
      (任意)詳細レベルを FATAL に設定します。
  3. Enter キーを押します。
    XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。
Active Directory ObjectCategory インデックス属性のサポート
他の LDAP 互換のディレクトリとは異なり、Active Directory は、デフォルトでは、ポリシー ストア オブジェクトのインデックス付けに objectClass 属性を使用しません。代わりに、オブジェクトには objectCategory 属性によってインデックスが付けられます。検索機能を強化するために、インデックスを付けることができる属性(Active Directory ドキュメントを参照)として objectClass を設定するか、またはポリシー サーバ内の objectCategory サポートを有効にすることができます。
ObjectCategory 属性サポートの有効化または無効化
Windows の場合
以下の手順に従います。
  1. Windows レジストリ エディタを起動します。
  2. キー HKLM\SOFTWARE\Wow6432Node\Netegrity\SiteMinder\CurrentVersion\DS\LDAPProvider を見つけます。
    1. サポートを有効にするには、EnableObjectCategory 値を 1 に設定します。
    2. サポートを無効にするには、EnableObjectCategory 値を 0 に設定します。
      デフォルト値は 0 です。 
UNIX の場合
以下の手順に従います。
  1. テキスト エディタで、
    <siteminder_installation>
    /registry にある
    Single Sign-On
    sm.registry ファイルを開きます。
  2. 以下のキーを見つけます。
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
    1. サポートを有効にするには、EnableObjectCategory 値を 1 に設定します。
    2. サポートを無効にするには、EnableObjectCategory 値を 0 に設定します。
      デフォルト値は 0 です。