Oracle ポリシー ストアの設定

目次
sm1252sp1jjp
目次
2
1 つのOracle のデータベースは以下として機能させることができます。
  • ポリシー ストア
  • キー ストア
  • ログ データベース
単一のデータベースを使用すると管理タスクが簡略化されます。後続のセクションでは、
Single Sign-On
データを格納するように 1 つのデータベース サーバを設定する方法について説明します。
Oracle ポリシー ストアを手動で設定するか、またはポリシー サーバ インストーラを使用してポリシー ストアを自動的に設定することができます。
単一の Oracle データベースを、ポリシー ストア、キー ストア、ログ データベースとして設定するには、以下の手順に従います。
Oracle 10 g データベースに対する前提条件
Oracle 10g データベースをインストールした後、以下の前提条件を完了します。
  • ポリシー ストア用のテーブルスペースを作成します。
  • データベース内のこの表領域を管理するための適切な権限を持ったユーザの作成
ポリシー ストア用の Oracle 10 g 表領域の作成
ポリシー ストア用の表領域の作成は、Oracle 10 g データベースのみの前提条件です。
以下の手順に従います。
  1. Oracle Enterprise Manager 10g Database Control で、Oracle データベースを管理するための適切な権限を持つ SYSDBA ユーザとしてログインします。
  2. Oracle のグローバル データベースの設定画面で、[Administration]-[Tablespaces]を選択します。
  3. [Tablespaces]画面で、[Create]をクリックします。
  4. [Create Tablespaces]画面で、表領域名を入力し、[ADD]をクリックします。
    例:
    /NETE_TB
  5. [Create Tablespaces: Add Datafile]画面で、次の操作を実行します。
    1. ファイル名を入力します。
      例: /NETE_TB
    2. ファイル サイズを指定します。
      例: 100 MB
    3. [Continue]をクリックします。
    表領域が作成され、[Tablespaces]画面に表示されます。
ポリシー ストア用の表領域を管理するユーザを作成することにより、前提条件を完了します。
ポリシー ストアの表領域を管理する Oracle 10 g ユーザの作成
ポリシー ストア用の表領域を管理するユーザを作成することは、Oracle 10 g データベースのみの前提条件です。
以下の手順に従います。
  1. Oracle のグローバル データベースの設定画面で、[Administration]-[Users]を選択します。
  2. [Create Tablespaces]画面で、[Create]をクリックします。
  3. [Create User]画面で、以下を入力します。
    • ユーザの名前。
      例: NETE
    • ユーザのパスワード。
    • 作成したデフォルトの表領域
    • 一時表領域。
      例:
      TEMP
  4. [Roles]をクリックします。
  5. [Modify]を選択します。
  6. [Modify Roles]画面で、以下の操作を実行します。
    1. CONNECT と RESOURCE をこのユーザのロールとして選択します。
    2. [適用]をクリックします。
  7. 以下を入力することで、コマンド ウィンドウで sqlplus を起動します。
    1. sqlplus
    2. [Create User]画面上で作成されたポリシー ストア ユーザのクレデンシャル。
    Oracle 10 g データベース用の前提条件を完了しました。データベース用の
    Single Sign-On
    データ ストアを設定できるようになりました。
Oracle 12c データベースに対する前提条件
Oracle 12c データベースをインストールした後に、以下の手順を実行します。
  1. ポリシー ストア用のテーブルスペースを作成します。
  2. データベース内のテーブルスペースを管理するための以下の権限を持つユーザを作成します。
    • Connect
    • リソース
    • Unlimited Tablespace
データベース情報の収集
ポリシー ストアまたは他のタイプの
Single Sign-On
データ ストアとして機能するように単一の Oracle データベースを設定するには、特定のデータベース情報が必要です。
(U)が前に付いた情報は、ポリシー サーバが UNIX システムにインストールされる場合にのみ必要な情報です。この情報は、UNIX に対して Oracle データ ソースを設定する場合に必要です。
必要な情報
サポートされている Oracle または Oracle RAC データベースをポリシー ストアまたは他のタイプの
Single Sign-On
データ ストアとして設定する前に、以下の特定の必須情報を収集します。
  • (U)
    ポリシー サーバのインストール パス
    - ポリシー サーバがインストールされている場所への明示的なパスを指定します。
  • データ ソース
    - Oracle データ ソースの識別に使用する名前を決定します。
    例:
    SM Oracle Server Wire DS
  • データベース管理アカウント
    - データベース内のオブジェクトを作成、読み取り、変更、および削除する権限があるアカウントのユーザ名を決定します。
    注:
    管理アカウントに DB ロールがないことを確認します。管理アカウントに DB ロールがある場合、監査を基にしたレポートで正しい結果が返されません。
  • データベース管理パスワード
    - 管理アカウントのパスワードを決定します。
Oracle データベースの情報
以下の情報は、ポリシー ストアまたは他のタイプの
Single Sign-On
データ ストアとしてサポートされている Oracle データベースを設定する場合にのみ、収集します。
  • Oracle マシン名
    - Oracle データベースがインストールされているマシンの名前を決定します。
  • Oracle インスタンスサービス名
    - 接続するデータベース インスタンスのサービス名を決定します。tnsnames.ora ファイルはサービス名を指定します。
  • Oracle ポート番号
    - Oracle データベースがリスニングするポート番号を決定します。
Oracle RAC データベース(SCAN なし)情報
サポートされている Oracle RAC データベース(SCAN 機能の設定なし)をポリシー ストアまたは他の
Single Sign-On
データ ストアとして設定する場合は、以下の情報を収集します。
  • Oracle RAC システム サービス名
    - システム全体のサービス名を決定します。
    例:
    以下の tnsnames.ora ファイルでは、SMDB がシステム全体用のサービス名です。
    SMDB=
    (Description =
    (ADDRESS = PROTOCOL = TCP)(HOST = nete_servername1)(PORT=1521
    (ADDRESS = PROTOCOL = TCP)(HOST = nete_servername2)(PORT=1521)
    (ADDRESS = PROTOCOL = TCP)(HOST = nete_servername3)(PORT=1521))
    (LOAD_BALANCE = yes)
    (CONNECT_DATA=
    (SERVER = DEDICATED)
    (SERVER_NAME = SMDB))
    )
  • Oracle RAC ノード サービス名
    - システム内の各ノードのサービス名を決定します。
  • Oracle RAC ノード IP アドレス
    - Oracle RAC システム内の各ノードの IP アドレスを決定します。
    注:
    Oracle RAC 10g を使用している場合は、システム内の各ノードの仮想 IP アドレスを決定します。
  • Oracle RAC ノード ポート番号
    - Oracle RAC システム内の各ノードのポート番号を決定します。
Oracle RAC データベース(SCAN あり)情報
Oracle RAC Single Client Access Name (SCAN)機能は、クラスタで実行されるあらゆる Oracle データベースにクライアントがアクセスするための単一の名前を指定します。
Oracle RAC データベースを SCAN 機能と共にポリシー ストアまたは他の
Single Sign-On
データ ストアとして設定する場合は、以下の情報を収集します。
  • Oracle RAC システム サービス名
    - システム全体のサービス名を決定します。
    例:
    以下の tnsnames.ora ファイルでは、SMDB がシステム全体用のサービス名です。
    SMDB=
      (DESCRIPTION =
        (ADDRESS = (PROTOCOL = TCP)(HOST = clus-scan.example.com)(PORT = 1521))
        (CONNECT_DATA =
          (SERVER = DEDICATED)
          (SERVICE_NAME = SMDB)
        )
      )
  • Oracle RAC SCAN アドレス
    -- Oracle RAC システム SCAN の FQDN を確定します。
  • Oracle RAC SCAN ポート番号
    -- Oracle RAC システム SCAN 用のポート番号を確定します。
Single Sign-On
スキーマの作成
スキーマを作成して、1 つの Oracle データベースにポリシー、キー、監査ログ情報を格納できるようにします。
以下の手順に従います。
  1. sqlplus または他の Oracle ユーティリティを使用して、ポリシー サーバ データベース情報を管理するユーザとして Oracle にログインします。
    注:
    SYS ユーザや SYSTEM ユーザでスキーマを作成しないことをお勧めします。必要な場合は、SMOWNER などの Oracle ユーザを作成し、そのユーザでスキーマを作成します。
  2. 以下のスクリプトをインポートします。
    $NETE_PS_ROOT/db/sql/sm_oracle_ps.sql
    注:
    環境変数は Oracle の SQL ユーティリティ内では機能しない場合があります。ユーティリティを使用して、スクリプトをインポートしようとすると問題が発生する場合は、明示的なパスを指定します。
    ポリシー ストアとキーのストア スキーマがデータベースに追加されます。
  3. 以下のスクリプトを実行します。
    $NETE_PS_ROOT/xps/db/Oracle.sql
    ポリシー ストア スキーマが拡張されます。
  4. ポリシー ストアを監査ログ データベースとして使用するため、以下のスクリプトをインポートします。
    sm_oracle_logs.sql.
    注:
    ほかの
    Single Sign-On
    データを格納するためにポリシー ストアを設定する必要はありません。別の監査ログ データベース、キー ストア、セッション ストアとして機能するよう個別のデータベースを設定することができます。
    データベースに
    Single Sign-On
    データを格納できます。
Single Sign-On
用の Oracle データ ソースの設定
ODBC を使用している場合、Oracle ワイヤ プロトコル ドライバ用のデータ ソースを設定する必要があります。
Windows での Oracle データ ソースの作成
Oracle データベース用の ODBC データ ソースを作成します。
以下の手順に従います。
  1. 以下のいずれかを実行します。
    • サポートされた 32 ビットの Windows オペレーティング システムを使用している場合は、[スタート]をクリックし、[プログラム]-[管理ツール]-[ODBC データ ソース]を選択します。
    • サポートされる 64 ビットの Windows オペレーティング システムを使用している場合:
      1. install_home
        \Windows\SysWOW64 に移動します。
      2. odbcad32.exe をダブルクリックします
    [ODBC データ ソース アドミニストレータ]が表示されます。
  2. システム[システム DSN]タブをクリックし、次に[追加]をクリックします。
    [データ ソースの新規作成]ダイアログ ボックスが表示されます。
  3. Single Sign-On
    Oracle Wire Protocol を選択し、[完了]をクリックします。
    ODBC Oracle Wire Protocol ドライバのセットアップ ダイアログ ボックスが表示されます。[一般]タブが前面に移動します。
  4. [データ ソース名]フィールドにデータ ソースを識別する名前を入力します。
    : この名前を記録しておいてください。このデータ ソース名は、ポリシー サーバに参照データベースを指定するときに必要です。
  5. [ホスト名]フィールドに、Oracle データベースがインストールされているマシンの名前を入力します。
  6. [ポート番号]フィールドに、マシン上で Oracle データベースがリスニングするポートの番号を入力します。
  7. [SID]フィールドに、接続する Oracle インスタンスの名前を入力します。
    : サービス名は tnsnames.ora ファイル内で指定されます。SID はデータベース インスタンス用のシステム識別子です。tnsnames.ora ファイルは、Oracle インスタンスを識別し、接続するために Oracle が使用するサービス名と詳細が含まれています。
    例:
    tnsnames.ora ファイルが Oracle インスタンスの以下のエントリを含んでいる場合、[SID]フィールドに instance1 を入力します。
    instance1 =
        (Description=
        (Address = (PROTOCOL = TCP)(Host = myhost)(Port=1521))
        (Connect_DATA_ = (SID = SIDofinstance1))
        )
  8. [テスト接続]をクリックします。
    接続設定がテストされ、接続に成功したことを示すメッセージが表示されます。
  9. [OK]をクリックします。
    Oracle のデータ ソースがワイヤ プロトコル ドライバに対して設定されます。
Windows での Oracle RAC (SCAN なし)データ ソースの作成
SCAN 機能を使用しない Oracle RAC データベース用の ODBC データ ソースを作成します。
以下の手順に従います。
  1. 以下のいずれかを実行します。
    • サポートされた 32 ビットの Windows オペレーティング システムを使用している場合は、[スタート]をクリックし、[プログラム]-[管理ツール]-[ODBC データ ソース]を選択します。
    • サポートされる 64 ビットの Windows オペレーティング システムを使用している場合:
      1. C:\Windows\SysWOW64 に移動します。
      2. odbcad32.exe をダブルクリックします
    [ODBC データ ソース アドミニストレータ]が表示されます。
  2. システム[システム DSN]タブをクリックし、次に[追加]をクリックします。
    [データ ソースの新規作成]ダイアログ ボックスが表示されます。
  3. Single Sign-On
    Oracle Wire Protocol を選択し、[完了]をクリックします。
    ODBC Oracle Wire Protocol ドライバのセットアップ ダイアログ ボックスが表示されます。[一般]タブが前面に移動します。
  4. [データ ソース名]フィールドにデータ ソースを識別する名前を入力します。
    : この名前を記録しておいてください。このデータ ソース名は、ポリシー サーバに参照データベースを指定するときに必要です。
  5. [ホスト]フィールドに Oracle RAC システム内の最初のノードの IP アドレスを入力します。
    Oracle RAC 10g: 仮想 IP アドレスを入力します。
  6. [サービス名]フィールドに Oracle RAC システム全体用のサービス名を入力します。
    例:
    以下の tnsnames.ora ファイルでは、SMDB 値が Oracle RAC システム全体用のサービス名であり、Oracle RAC システムには 3 つのノードが含まれています。
    SMDB=
        (Description =
    (ADDRESS = (Protocol = TCP)(HOST = nete_servername1)(PORT = 1521))
    (ADDRESS = (Protocol = TCP)(HOST = nete_servername2)(PORT = 1521))
    (ADDRESS = (Protocol = TCP)(HOST = nete_servername3)(PORT = 1521))
    (LOAD_BALANCE = yes)
    (CONNECT_DATA =
    (SERVER = DEDICATED)
    (SERVICE_NAME = SMDB)
    )
  7. [フェールオーバ]タブをクリックします。
    フェールオーバ設定が表示されます。
  8. その環境の残りの Oracle RAC ノードに対するホスト名または仮想 IP アドレス、ポート番号、およびサービス名を代替サーバ フィールドに指定します。
    : ServiceName は Oracle RAC システム全体用のサービス名です。
  9. プライマリ サーバが接続を受け付けない場合に、他の Oracle ノードに接続フェールオーバを提供する代替サーバを指定します。エントリは次のような形式で指定する必要があります。
    (HostName=nete_servername2:PortNumber=1521:ServiceName=nete_servicename[,...])
  10. LoadBalancing を選択します。
  11. [OK]ボタンをクリックします。
    Oracle RAC データ ソースが、Wire Protocol ドライバに対して設定されます。
Windows での Oracle RAC (SCAN あり)データ ソースの作成
SCAN 機能を使用する Oracle RAC データベース用の ODBC データ ソースを作成します。
以下の手順に従います。
  1. 以下のいずれかを実行します。
    • サポートされた 32 ビットの Windows オペレーティング システムを使用している場合は、[スタート]をクリックし、[プログラム]-[管理ツール]-[ODBC データ ソース]を選択します。
    • サポートされる 64 ビットの Windows オペレーティング システムを使用している場合:
      1. C:\Windows\SysWOW64 に移動します。
      2. odbcad32.exe をダブルクリックします
    [ODBC データ ソース アドミニストレータ]が表示されます。
  2. システム[システム DSN]タブをクリックし、次に[追加]をクリックします。
    [データ ソースの新規作成]ダイアログ ボックスが表示されます。
  3. CA
    CA Single Sign-on
    Oracle Wire Protocol を選択し、[完了]をクリックします。
    ODBC Oracle Wire Protocol ドライバのセットアップ ダイアログ ボックスが表示されます。[一般]タブが前面に移動します。
  4. [データ ソース名]フィールドにデータ ソースを識別する名前を入力します。
    : この名前を記録しておいてください。このデータ ソース名は、ポリシー サーバに参照データベースを指定するときに必要です。
  5. [ホスト]フィールドに SCAN の FQDN または IP アドレスを入力します。
  6. [ポート番号]フィールドに SCAN のポート番号を入力します。
  7. [サービス名]フィールドに Oracle RAC システム全体用のサービス名を入力します。
    例:
    以下の tnsnames.ora ファイルでは、SMDB 値が SCAN を含む Oracle RAC システム全体用のサービス名です。
    SMDB =
      (DESCRIPTION =
        (ADDRESS = (PROTOCOL = TCP)(HOST = clus-scan.rac.com)(PORT = 1521))
        (CONNECT_DATA =
          (SERVER = DEDICATED)
          (SERVICE_NAME = ORCL)
        )
      )
  8. [OK]ボタンをクリックします。
    Oracle RAC データ ソースが、Wire Protocol ドライバに対して設定されます。
UNIX システムでの Oracle データ ソースの作成
使用可能な ODBC データ ソースの名前と、system_odbc.ini ファイルでこれらのデータ ソースと関連付けられる属性を設定します。
system_odbc.ini ファイルを作成する方法
  1. policy_server_installation
    /db に移動します
  2. oraclewire.ini という名前を "system_odbc.ini" に変更します。
各サイトの system_odbc.ini ファイルをカスタマイズします。このファイルにはさらにデータ ソースを追加できます。たとえば、
Single Sign-On
用の追加の ODBC ユーザ ディレクトリを定義できます。
system_odbc.ini ファイルの最初のセクション [ODBC Data Sources] には、現在使用可能なデータ ソースすべてのリストが含まれています。「=」の前の名前は、個別のデータ ソースそれぞれを説明する、ファイルの後続のセクションを示しています。「=」の後には、コメント フィールドがあります。
注:
データ ソース エントリの最初の行([
Single Sign-On
Data Source])を変更する場合、変更を記録しておいてください。この値は、ODBC データベースをポリシー ストアとして設定するのに必要です。
system_odbc.ini ファイル内には、各データ ソースの属性を記述するセクションがあります。最初の属性は、
Single Sign-On
でこのデータ ソースを使用する場合にロードされる ODBC ドライバです。残りの属性は、そのドライバに固有です。
Oracle データ ソースを追加する方法
  1. ファイルの [ODBC Data Sources] セクションに新しいデータ ソース名を定義します。
  2. データ ソースと同じ名前を使用してデータ ソースについて説明するセクションを追加します。
サービス名を作成するか、別のドライバを使用するには、system_odbc.ini ファイルを編集します。SQL Server または Oracle ドライバのエントリは、[
Single Sign-On
Data Source] の下にあります。
Oracle ワイヤ プロトコル ドライバの設定
ワイヤ プロトコル ドライバを設定して、データベースに接続するためにポリシー サーバが使用する設定を指定します。
この手順は、ポリシー サーバが UNIX システムにインストールされる場合にのみ、適用されます。以下のファイルのいずれかをコピーし、名前を「
system_odbc.ini
」に変更します(まだ行っていない場合)。
  • sqlserverwire.ini
  • oraclewire.ini
  • mysqlwire.ini
  • postgresqlwire.ini
これらのファイルは
siteminder_home
/db にあります。
system_odbc.ini ファイルは、以下のセクションで構成されています。設定しているデータ ソースにより、編集するセクションが決定されます。
  • [SiteMinder Data Source]
    ポリシー ストアとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
  • [SiteMinder Logs Data Source]
    監査ログ データベースとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
  • [SiteMinder Keys Data Source]
    キー ストアとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
  • [SiteMinder Session Data Source]
    セッション ストアとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
  • [SmSampleUsers Data Source]
    サンプル ユーザ データ ストアとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
以下の手順に従います。
  1. system_odbc.ini ファイルを開きます。
  2. 設定するデータ ソースに応じて、以下の情報を使用して、適用可能なデータ ソース セクションを編集します。 データ ソース情報を編集する場合は、ポンド記号(#)を使用しないでください。ポンド記号(#)を入力すると、その情報はコメント化され、値が切り捨てられます。値が切り捨てられると、ODBC 接続が失敗する場合があります。
    Driver=
    nete_ps_root
    /odbc/lib/NSora27.so
    Description=DataDirect 7.1 Oracle Wire Protocol
    LoginID=
    uid
    Password=
    pwd
    HostName=
    host_name
    PortNumber=1521
    SID=
    server_id
    CatalogOptions=0
    ProcedureResults=0
    EnableDisableParam=0
    EnableStaticCursorsForLongData=0
    ApplicationUsingThreads=1
    • nete_ps_root
      ポリシー サーバ インストールの明確なパスを指定します。
    • uid
      データベースへのフル アクセス権限があるデータベース アカウントのユーザ名を指定します。
    • pwd
      データベースへのフル アクセス権限があるデータベース アカウント用のパスワードを指定します。
    • host_name
      Oracle データベース ホスト システムの名前を指定します。
      server_id
      Oracle インスタンス サービス名(SID)を指定します。SID はデータベース インスタンス用のシステム識別子です。
    例:
    以下のサンプル tnsnames.ora ファイルでは、値 instance1 は SID です。
    instance1 =
    (Description =
    (ADDRESS = (Protocol = TCP)(Host = myhost)(Port = 1521)
    (CONNECT_DATA = (SID = instance1))
    )
  3. ファイルを保存します。
Oracle ワイヤ プロトコル ドライバが設定されます。
Oracle RAC (SCAN なし)の Oracle ワイヤ プロトコル ドライバの設定
ワイヤ プロトコル ドライバを設定して、データベースに接続するためにポリシー サーバが使用する設定を指定します。
この手順は、ポリシー サーバが UNIX システムにインストールされる場合にのみ、適用されます。以下のファイルのいずれかをコピーし、名前を「
system_odbc.ini
」に変更します(まだ行っていない場合)。
  • sqlserverwire.ini
  • oraclewire.ini
  • mysqlwire.ini
  • postgresqlwire.ini
これらのファイルは
siteminder_home
/db にあります。
system_odbc.ini ファイルは、以下のセクションで構成されています。設定しているデータ ソースにより、編集するセクションが決定されます。
  • [SiteMinder Data Source]
    ポリシー ストアとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
  • [SiteMinder Logs Data Source]
    監査ログ データベースとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
  • [SiteMinder Keys Data Source]
    キー ストアとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
  • [SiteMinder Session Data Source]
    セッション ストアとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
  • [SmSampleUsers Data Source]
    サンプル ユーザ データ ストアとして機能するデータベースに接続するために、
    Single Sign-On
    が使用する設定を指定します。
以下の手順に従います。
  1. system_odbc.ini ファイルを開きます。
  2. 設定するデータ ソースに応じて、以下の情報を使用して、適用可能なデータ ソース セクションを編集します。データ ソース情報を編集する場合は、ポンド記号(#)を使用しないでください。ポンド記号(#)を入力すると、その情報はコメント化され、値が切り捨てられます。値が切り捨てられると、ODBC 接続が失敗する場合があります。
    • ServiceName=
      nete_servicename
      を追加
    • AlternateServers= を追加
    • Loadbalancing=1 を追加
    • SID=nete_serverid を削除またはコメント化
    変更したデータ ソースは、以下のように表記されている必要があります。
    Driver=
    nete_ps_root
    /odbc/lib/NSora27.so
    Description=DataDirect 7.1 Oracle Wire Protocol
    Logon=
    uid
    Password=
    pwd
    HostName=
    server_name1
    PortNumber=1521
    ServiceName=
    service_name
    CatalogOptions=0
    ProcedureRetResults=0
    EnableDescribeParam=0
    EnableStaticCursorsForLongData=0
    ApplicationUsingThreads=1
    AlternateServers=
    LoadBalancing=1
    • nete_ps_root
      ポリシー サーバがインストールされているディレクトリへの明確なパスを指定します。
    • uid
      データベースへのフル アクセス権限があるデータベース アカウントのユーザ名を指定します。
    • pwd
      データベースへのフル アクセス権限があるデータベース アカウント用のパスワードを指定します。
    • server_name1
      最初の Oracle RAC ノードの IP アドレスを指定します。
      (Oracle 10g)最初の Oracle RAC ノードの IP アドレスを指定します。
    • service_name
      Oracle RAC システム全体に対する RAC システムサービス名を指定します。
    • AlternateServers=
      プライマリ サーバが接続を受理していない場合、他の Oracle ノードに接続フェールオーバを指定します。
      例:
      (HostName=nete_servername2:PortNumber=1521:ServiceName=nete_servicename[,...])
    • LoadBalancing=1
      クライアント負荷分散を有効にして、RAC ノードが接続リクエストに対応できなくなる事態を避けるために、新規接続を分散します。有効な場合は、プライマリおよび代替データベース サーバにアクセスする順番はランダムです。
  3. ファイルを保存します。
    Oracle ワイヤ プロトコル ドライバが設定されます。
ポリシー サーバに対する参照データベースの指定
ポリシー サーバが、監査ログを読み取りおよび保存できるように、ポリシー サーバに、参照するデータベースを指定します。
ポリシー サーバがデータ ストアを参照するようにする方法
  1. ポリシー サーバ管理コンソールを開き、[データ]タブをクリックします。
    データベース設定が表示されます。
  2. [ストレージ]リストから[ODBC]を選択します。
    ODBC 設定が表示されます。
  3. [データベース]リストから[監査ログ]を選択します。
  4. [ストレージ]リストから[ODBC]を選択します。
    データ ソース設定がアクティブになります。
  5. [データ ソース情報]フィールドにデータ ソースの名前を入力します。
    • (Windows)このエントリは、データ ソースを作成したときに[データ ソース名]フィールドに入力した名前と一致する必要があります。
    • (UNIX)このエントリは、system_odbc.ini ファイルのデータ ソース エントリの最初の行と一致している必要があります。デフォルトでは、このファイルの最初の行は [SiteMinder Data Sources] です。最初のエントリを変更した場合は、正しい値を入力していることを確認します。
  6. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権限を持つデータベース アカウントのユーザ名およびパスワードを入力し確認します。
  7. Single Sign-On
    に割り当てるデータベース接続の最大数を指定します。
    注:
    最適なパフォーマンスを得るためにデフォルトの設定を保持することを推奨します。
  8. [適用]をクリックします。
    設定が保存されます。
  9. [テスト接続]をクリックします。
    ポリシー サーバがデータ ストアにアクセスできるという確認が
    CA Single Sign-on
    から返されます。
  10. [OK]をクリックします。
    ポリシー サーバは監査ログ データベースとしてそのデータベースを使用するように設定されます。
Single Sign-On
スーパーユーザ パスワードの設定
デフォルトの
Single Sign-On
 管理者アカウントの名前は
siteminder
です。 このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
  • 管理 UI に初めてアクセスするとき。
  • Single Sign-On
    ユーティリティの管理を初めて行うとき。
  • スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
  1. smreg ユーティリティを
    siteminder_home
    \bin にコピーします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
    注:
    このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。
  2. 以下のコマンドを実行します。
    smreg -su 
    password
    • パスワード
      デフォルトの管理者のパスワードを指定します。 
    パスワードには、以下の要件があります。
    • パスワードは 6 文字以上、24 文字以下である必要があります。
    • パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
    • パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
    注:
    Oracle ポリシー ストアを設定している場合、パスワードの大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。
  3. siteminder_home
    \bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \xps\dd に移動します。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  2. 以下のコマンドを実行します。
    XPSDDInstall SmMaster.xdd
    • XPSDDInstall 
      必要なデータ定義をインポートします。
デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
  • 必ず
    siteminder_home
    \bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  • Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いの
    Single Sign-On
    コンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \db に移動します。
  2. 以下のいずれかのファイルをインポートします。
    • smpolicy.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy-secure.xml -npass
      • npass
        パスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
      両方のファイルに、デフォルトのポリシー ストア オブジェクトが含まれています。これらのオブジェクトにはデフォルトのエージェント設定オブジェクト(ACO)テンプレート内のデフォルト セキュリティ設定が含まれます。smpolicy–secure ファイルはより制限の厳しいセキュリティ設定を提供します。詳細については、「デフォルトのポリシー ストア オブジェクトおよびスキーマ ファイル」を参照してください。
    • Option Pack 機能をインポートするには、以下のコマンドを実行します。
      XPSImport ampolicy.xml -npass
    • フェデレーション機能をインポートするには、以下のコマンドを実行します。
      XPSImport fedpolicy-12.5.xml -npass
    ベース ポリシー ストア オブジェクトがインポートされます。
注:
ampolicy.xml をインポートすると、
Single Sign-On
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービスの変数機能が使用可能になります。eTelligent ルール機能を使用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問い合わせてください。
Advanced Authentication Server の有効化
ユーザのポリシー サーバの設定の一部として、Advanced Authentication Server を有効にします。
以下の手順に従います。
  1. ポリシー サーバ設定ウィザードを実行します。
  2. 以下の手順のいずれかを実行します。
    Windows の場合
    ウィザードの最初の画面にあるチェックボックスをすべて
    オフ
    のままにして、[次へ]をクリックします。
    Linux の場合
    「5」と入力して Enter キーを押します。
  3. Advanced Authentication Server 用のマスタ暗号化キーを作成します。
    注:
    別の(n 番目の)ポリシー サーバをインストールしている場合は、以前使用した Advanced Authentication Server に対して同じ暗号化キーを使用します。
  4. ポリシー サーバ設定ウィザードの残りの手順を完了します。
    Advanced Authentication Server が有効になります。
ポリシー サーバの再起動
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
  2. [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。
    赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
  3. [開始]をクリックします。
    緑色の信号アイコンが表示されて、ポリシー サーバが起動します。
    注:
    UNIX では、ポリシー サーバを再起動する stop-ps および start-ps コマンドを実行します。ポリシー サーバと CA Risk Authentication を再起動するには、stop-all および start-all コマンドを実行します。
管理 UI 登録の準備
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
  • 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
  • (UNIX) XPSRegClient を使用する前に、
    Single Sign-On
    環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行します。
    XPSRegClient super_user_account_name[:
    passphrase
    ] -adminui-setup -t 
    timeout 
    -r 
    retries 
    -c 
    comment 
    -cp -l 
    log_path 
    -e 
    error_path 
    -vT -vI -vW -vE -vF
    • passphrase
      デフォルトのスーパーユーザ アカウントのパスワードを指定します。
      注:
      パスフレーズを指定しないと、XPSRegClient により、パスフレーズの入力とその確認を求めるプロンプトが表示されます。
    • -adminui–setup
      管理 UI がポリシー サーバに初めて登録されることを指定します。
    • -t
      timeout
      (任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。
      測定単位
      : 分
      デフォルト:
      240 (4 時間) 
      最小
      : 15 
      最大:
      1440 (24 時間)
    • -r
      retries
      (任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する 管理者の認証情報の誤りが考えられます。
      デフォルト
      : 1 
      最大:
      5
    • -c
      comment
      (任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。
      注:
      コメントは引用符で囲んでください。
    • -cp
      (任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。
      注:
      コメントは引用符で囲んでください。
    • -l
      log_path
      (任意)登録ログ ファイルをエクスポートする場所を指定します。
      デフォルト:
      siteminder_home
      \log
      siteminder_home
      ポリシー サーバのインストール パスを指定します。
    • -e
      error_path
      (任意)例外を指定されたパスに送信します。
      デフォルト
      : stderr
    • -vT
      (任意)詳細レベルを TRACE に設定します。
    • -vI
      (任意)詳細レベルを INFO に設定します。
    • -vW
      (任意)詳細レベルを WARNING に設定します。
    • -vE
      (任意)詳細レベルを ERROR に設定します。
    • -vF
      (任意)詳細レベルを FATAL に設定します。
  3. Enter キーを押します。
    XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。