SQL Server ポリシー ストアの設定
目次
sm1252sp1jjp
目次
2
1 つの SQL Server データベースは以下として機能させることができます。
- ポリシー ストア
- キー ストア
- ログ データベース
注:
個別のデータベースに セッション情報を格納します。ポリシー ストアを使用してセッション情報を格納することはできません。単一のデータベースを使用すると管理タスクが簡略化されます。後続のセクションでは、データを格納するように 1 つのデータベース サーバを設定する方法について説明します。
以下の点を考慮します。
- SQL Server ポリシー ストアを手動で設定するか、またはポリシー サーバ インストーラを使用してポリシー ストアを自動的に設定することができます。
- データベースは Windows システムにインストールされている必要があります。さらに、Single Sign-Onスキーマ ファイルがポリシー サーバとともにインストールされています。ポリシー サーバが UNIX システムにインストールされている場合、policy_server_home/db/SQL ディレクトリにあるスキーマ ファイルを、Windows システム上の一時ディレクトリにコピーします。
データベース インスタンスの作成
SQL Server エンタープライズ マネージャを使用して、
Single Sign-On
データ ストア用のデータベース インスタンスを作成します。例:
smdatastore
データベース情報の収集
sm1252sp1jjp
ポリシー ストアまたは他のタイプの データ ストアとして機能するように単一の SQL Server データベースを設定するには、特定のデータベース情報が必要です。
注:
(W)が前に付いた情報は、ポリシー サーバが Windows システムにインストールされる場合にのみ必要です。(U)が付いた情報は、ポリシー サーバが UNIX システムにインストールされる場合にのみ必要です。SQL Server データ ソースを設定する場合には、別の情報が必要です。- データベース インスタンス名ポリシー ストアまたはデータ ストアとして機能するデータベース インスタンスの名前を決定します。
- 管理アカウントの名前とパスワードデータベース内のオブジェクトに対して作成、読み取り、変更、削除の権限があるアカウントのユーザ名とパスワードを決定します。
- (W)データソース名データ ソースの識別に使用する名前を決定します。例:SM SQL Server Wire DS.
- (W)SQL Server 名ポリシー ストアとして機能するインスタンスを含む SQL Server データベースの名前を決定します。
- (U)ポリシー サーバ ルートポリシー サーバがインストールされる場所への明確なパスを指定します。
- (U)IP アドレスSQL Server データベースの IP アドレスを指定します。
Single Sign-On
スキーマの作成SQL Server データベースにポリシー、キー、および監査ログ情報を格納できるように、
Single Sign-On
スキーマを作成します。ポリシー ストアおよび監査ログ スキーマ ファイルを実行すると、以下の警告が表示されます。この警告はポリシー ストア設定に影響しません。
- 警告: テーブル 'smvariable5' が作成されましたが、その最大行サイズ(8746)が 1 行あたりの最大バイト数(8060)を超えています。このテーブルで INSERT または UPDATE を実行しても、行が 8060 バイトを超える場合は失敗します。
- 警告: テーブル 'smodbcquery4' が作成されましたが、その最大行サイズ(64635)が 1 行あたりの最大バイト数(8060)を超えています。このテーブルで INSERT または UPDATE を実行しても、行が 8060 バイトを超える場合は失敗します。
- 警告: テーブル 'smaccesslog4' が作成されましたが、その最大行サイズ(9668)が 1 行あたりの最大バイト数(8060)を超えています。このテーブルで INSERT または UPDATE を実行しても、行が 8060 バイトを超える場合は失敗します。
以下の手順に従います。
- クエリ アナライザを起動し、ポリシー サーバ データベースの管理者としてログインします。
- [データベース]リストからデータベース インスタンスを選択します。
- テキスト エディタで sm_mssql_ps.sql を開き、ファイル全体の内容をコピーします。
- sm_mssql_ps.sql からスキーマをクエリに貼り付け、クエリを実行します。ポリシーおよびキー ストア スキーマがデータベースに追加されます。
- テキスト エディタで SQLServer.sql を開き、ファイル全体の内容をコピーします。
- SQLServer.sql からクエリにスキーマを貼り付け、クエリを実行します。ポリシー ストア スキーマが拡張されます。
- ポリシー ストアを監査ログ データベースとして使用するため手順 3 と 4 を繰り返します。以下のスキーマ ファイルを使用します。sm_mssql_logs.sql注:ほかのSingle Sign-Onデータを格納するためにポリシー ストアを設定する必要はありません。別の監査ログ データベース、キー ストア、セッション ストアとして機能するよう個別のデータベースを設定することができます。データベースにSingle Sign-Onデータを格納できます。
Single Sign-On
用の SQL Server データ ソースの設定SQL Server 認証モードの考慮事項
sm1252sp1jjp
Single Sign-On
データ ソースは Windows 認証をサポートしません。データベースに格納されるユーザの認証情報で Single Sign-On
データ ソースを設定します。注:
SQL 認証モードの詳細については、ベンダー固有のドキュメントを参照してください。Windows システムでの SQL Server データ ソースの作成
sm1252sp1jjp
ODBC は、SQL Server ワイヤ プロトコル用にデータ ソースを設定することが必要です。
注
: この手順は、ポリシー サーバを Windows システムにインストールする場合のみを対象としています。以下の手順に従います。
- 以下のいずれかの操作を実行します。
- サポートされた 32 ビットの Windows オペレーティング システムを使用している場合は、[スタート]をクリックし、[プログラム]-[管理ツール]-[ODBC データ ソース]を選択します。
- サポートされる 64 ビットの Windows オペレーティング システムを使用している場合:
- C:\Windows\SysWOW64 に移動します。
- odbcad32.exe をダブルクリックします。
- [システム DSN]タブをクリックします。システム データ ソース設定が表示されます。
- [追加]をクリックします。[データ ソースの新規作成]ダイアログ ボックスが表示されます。
- SQL Server Wire Protocol を選択し、[完了]をクリックします。ODBC SQL Server Wire Protocol ドライバのセットアップ ダイアログ ボックスが表示されます。
- [データ ソース名]フィールドにデータ ソース名を入力します。例: Data Source注:指定したデータ ソース名を書き留めます。この情報は、ポリシー ストアとしてデータベースを設定するときに必要です。
- [サーバ]フィールドに SQL Server ホスト システムの名前を入力します。
- [データベース名]フィールドにデータベース名を入力します。
- [テスト]をクリックします。接続設定がテストされ、接続に成功したことを示すメッセージが表示されます。
- [OK]をクリックします。SQL Server データ ソースが設定され、[システム データ ソース]リストに表示されます。
UNIX システムでの SQL Server データ ソースの作成
sm1252sp1jjp
ODBC データ ソースは、system_odbc.ini ファイルを使用して設定します。このファイルは、policy_server_installation/db にある sqlserverwire.ini の名前を system_odbc.ini に変更することによって作成できます。この system_odbc.ini ファイルには、使用可能な ODBC データ ソースの名前すべてと、それらのデータ ソースと関連付けられた属性が含まれています。このファイルは、サイトごとに機能するようカスタマイズする必要があります。また、用の他の ODBC ユーザ ディレクトリを定義するなど、このファイルに別のデータ ソースを追加することもできます。
system_odbc.ini ファイルの最初のセクション [ODBC Data Sources] には、現在使用可能なデータ ソースすべてのリストが含まれています。「=」の前の名前は、個別のデータ ソースそれぞれを説明する、ファイルの後続のセクションを示しています。「=」の後には、コメント フィールドがあります。
注: データ ソース エントリの最初の行である [ Data Source] を変更する場合、変更内容を書き留めておきます。この値は、ODBC データベースをポリシー ストアとして設定するときに必要になります。
system_odbc.ini ファイル内には、各データ ソースの属性を記述するセクションがあります。最初の属性は、このデータ ソースが で使用されるときにロードされる ODBC ドライバです。残りの属性は、そのドライバに固有です。
MS SQL Server データ ソースを追加する場合は、ファイルの [ODBC Data Sources] セクションに新しいデータ ソース名を追加し、データ ソースと同じ名前を使用してデータ ソースを記述するセクションを追加する必要があります。新しいサービス名を作成したり、別のドライバを使用する場合は、system_odbc.ini ファイルを変更する必要があります。[ Data Source] の下に Oracle または SQL ドライバのエントリがあります。
MS SQL Server データ ソースを設定するには、最初に
policy_server_installation
/db ディレクトリに system_odbc.ini ファイルを作成する必要があります。このためには、policy_server_installation
/db にある sqlserverwire.ini の名前を system_odbc.ini に変更する必要があります。SQL Server ワイヤ プロトコル ドライバの設定
sm1252sp1jjp
sm1252sp1jjp
ワイヤ プロトコル ドライバを設定して、データベースに接続するためにポリシー サーバが使用する設定を指定します。
この手順は、ポリシー サーバが UNIX システムにインストールされる場合にのみ、適用されます。以下のファイルのいずれかをコピーし、名前を「
system_odbc.ini
」に変更します(まだ行っていない場合)。- sqlserverwire.ini
- oraclewire.ini
- mysqlwire.ini
- postgresqlwire.ini
これらのファイルは
siteminder_home
/db にあります。system_odbc.ini ファイルは、以下のセクションで構成されています。設定しているデータ ソースにより、編集するセクションが決定されます。
- [SiteMinder Data Source]ポリシー ストアとして機能するデータベースに接続するために、Single Sign-Onが使用する設定を指定します。
- [SiteMinder Logs Data Source]監査ログ データベースとして機能するデータベースに接続するために、Single Sign-Onが使用する設定を指定します。
- [SiteMinder Keys Data Source]キー ストアとして機能するデータベースに接続するために、Single Sign-Onが使用する設定を指定します。
- [SiteMinder Session Data Source]セッション ストアとして機能するデータベースに接続するために、Single Sign-Onが使用する設定を指定します。
- [SmSampleUsers Data Source]サンプル ユーザ データ ストアとして機能するデータベースに接続するために、Single Sign-Onが使用する設定を指定します。
以下の手順に従います。
- system_odbc.ini ファイルを開きます。
- [ODBC Data Sources] の下に、以下を入力します。SiteMinder Data Source=DataDirect 7.1 SQL Server Wire Protocol
- 設定するデータ ソースに応じて、以下の情報を使用して、1 つ以上のデータ ソース セクションを編集します。 データ ソース情報を編集する場合は、ポンド記号(#)を使用しないでください。ポンド記号(#)を入力すると、その情報はコメント化され、値が切り捨てられます。値が切り捨てられると、ODBC 接続に失敗する場合があります。Driver=nete_ps_root/odbc/lib/NSsqls27.soDescription=DataDirect 7.1 SQL Server Wire ProtocolDatabase=SiteMinder DataAddress=host_ip, 1433QuotedId=NoAnsiNPW=No
- nete_ps_root環境変数を持ったパスではなく、ポリシー サーバ インストールの明確なパスを指定します。例:export/smuser/siteminder
- SiteMinder データSQL Server データベースのインスタンス名を指定します。
- host_ipSQL Server データベースの IP アドレスを指定します。
- 1433SQL Server用のデフォルトのリスン ポートを表します。
- 任意のSingle Sign-Onストアとして機能するために Microsoft SQL Server 2008 を使用している場合は、以下のように[ODBC]セクションを編集します。TraceFile=nete_ps_root/db/odbctrace.outTraceDll=nete_ps_root/odbc/lib/NStrc27.soInstallDir=nete_ps_root/odbc
- nete_ps_rootポリシー サーバ インストール ディレクトリに明確なパスを指定します。このパスには環境変数を含めることができません。
- ファイルを保存します。ワイヤ プロトコル ドライバが設定されます。
ポリシー サーバに対する参照データベースの指定
sm1252sp1jjp
ポリシー サーバがポリシー ストア内の データにアクセスできるように、ポリシー サーバがデータベースを参照するようにします。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開き、[データ]タブをクリックします。
- ストレージ リストから以下の値を選択します。ODBC
- データベース リストから以下の値を選択します。Policy Store
- [データ ソース情報]フィールドにデータ ソースの名前を入力します。
- (Windows)このエントリは、データ ソースを作成したときに[データ ソース名]フィールドに入力した名前と一致する必要があります。
- (UNIX)このエントリは、system_odbc.ini ファイルのデータ ソース エントリの最初の行と一致している必要があります。デフォルトでは、このファイルの最初の行は[ データ ソース]です。最初のエントリを変更した場合は、正しい値を入力していることを確認します。
- それぞれのフィールド内にデータベース インスタンスへのフル アクセス権限を持つデータベース アカウントのユーザ名およびパスワードを入力し確認します。
- に割り当てるデータベース接続の最大数を指定します。注:最適なパフォーマンスを得るためにデフォルトの 25 の接続を保持することをお勧めします。
- [適用]をクリックして設定を保存します。
- データベース リストから以下の値を選択します。Key Store
- ストレージ リストから以下の値を選択します。ODBC
- 以下のオプションを選択します。Use the Policy Store database
- データベース リストから以下の値を選択します。Audit Logs
- ストレージ リストから以下の値を選択します。ODBC
- 以下のオプションを選択します。Use the Policy Store database
- [適用]をクリックして設定を保存します。
- [テスト接続]をクリックしてポリシー サーバがポリシー ストアにアクセスできることを確認します。
- [OK]をクリックします。ポリシー サーバは、ポリシー ストア、キー ストア、およびログ データベースとしてそのデータベースを使用するように設定されます。
Single Sign-On
スーパーユーザ パスワードの設定sm1252sp1jjp
デフォルトの 管理者アカウントの名前は「siteminder」です。 このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
- 管理 UI に初めてアクセスするとき。
- ユーティリティの管理を初めて行うとき。
- スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
- smreg ユーティリティをsiteminder_home\binにコピーします。
- siteminder_homeポリシー サーバのインストール パスを指定します。
注:このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。 - 以下のコマンドを実行します。smreg -supassword
- パスワードデフォルトの管理者のパスワードを指定します。
- パスワードは 6 文字以上、24 文字以下である必要があります。
- パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
- パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
注:Oracle ポリシー ストアを設定している場合、パスワードの大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。 - siteminder_home\bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
sm1252sp1jjp
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
- コマンド ウィンドウを開き、siteminder_home\xps\dd に移動します。
- siteminder_homeポリシー サーバのインストール パスを指定します。
- 以下のコマンドを実行します。XPSDDInstall SmMaster.xdd
- XPSDDInstall必要なデータ定義をインポートします。
デフォルトのポリシー ストア オブジェクトのインポート
sm1252sp1jjp
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
- 必ずsiteminder_home\bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
- siteminder_homeポリシー サーバのインストール パスを指定します。
- Windows Server 2008 上でSingle Sign-Onユーティリティまたは実行可能ファイルを実行する前に、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いの コンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
- コマンド ウィンドウを開き、siteminder_home\db に移動します。
- 以下のいずれかのファイルをインポートします。
- smpolicy.xml をインポートするには、以下のコマンドを実行します。XPSImport smpolicy.xml -npass
- smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。XPSImport smpolicy-secure.xml -npass
- npassパスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
- Option Pack 機能をインポートするには、以下のコマンドを実行します。XPSImport ampolicy.xml -npass
- フェデレーション機能をインポートするには、以下のコマンドを実行します。XPSImport fedpolicy-12.5.xml -npass
注:
ampolicy.xml をインポートすると、Single Sign-On
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービスの変数機能が使用可能になります。eTelligent ルール機能を使用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問い合わせてください。Advanced Authentication Server の有効化
sm1252sp1jjp
ユーザのポリシー サーバの設定の一部として、Advanced Authentication Server を有効にします。
以下の手順に従います。
- ポリシー サーバ設定ウィザードを実行します。
- 以下の手順のいずれかを実行します。Windows の場合ウィザードの最初の画面にあるチェックボックスをすべてオフのままにして、[次へ]をクリックします。Linux の場合「5」と入力して Enter キーを押します。
- Advanced Authentication Server 用のマスタ暗号化キーを作成します。sm1252sp1jjp注:別の(n 番目の)ポリシー サーバをインストールしている場合は、以前使用した Advanced Authentication Server に対して同じ暗号化キーを使用します。
- ポリシー サーバ設定ウィザードの残りの手順を完了します。Advanced Authentication Server が有効になります。
ポリシー サーバの再起動
sm1252sp1jjp
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。
- [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
- [開始]をクリックします。緑色の信号アイコンが表示されて、ポリシー サーバが起動します。注:UNIX では、ポリシー サーバを再起動する stop-ps および start-ps コマンドを実行します。ポリシー サーバと CA Risk Authentication を再起動するには、stop-all および start-all コマンドを実行します。
管理 UI 登録の準備
sm1252sp1jjp
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウント(siteminder)を使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
- 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
- (UNIX) XPSRegClient を使用する前に、環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行します。XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
- passphraseデフォルトの スーパーユーザ アカウント(siteminder)のパスワードを指定します。注:パスフレーズを指定しないと、XPSRegClient により、パスフレーズの入力とその確認を求めるプロンプトが表示されます。
- -adminui–setup管理 UI がポリシー サーバに初めて登録されることを指定します。
- -t timeout(任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。測定単位: 分デフォルト: 240(4 時間)最小:15最大:1440 (24 時間)
- -r retries(任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する 管理者の認証情報の誤りが考えられます。デフォルト: 1最大:5
- -c comment(任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。注:コメントは引用符で囲んでください。
- -cp(任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。注:コメントは引用符で囲んでください。
- -l log path(任意)登録ログ ファイルをエクスポートする場所を指定します。デフォルト:siteminder_home\logsiteminder_homeポリシー サーバのインストール パスを指定します。
- -e error_path(任意)例外を指定されたパスに送信します。デフォルト: stderr
- -vT(任意)詳細レベルを TRACE に設定します。
- -vI(任意)詳細レベルを INFO に設定します。
- -vW(任意)詳細レベルを WARNING に設定します。
- -vE(任意)詳細レベルを ERROR に設定します。
- -vF(任意)詳細レベルを FATAL に設定します。
- Enter キーを押します。XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。