ポリシー サーバのインストールの準備

以下の手順に従ってポリシー サーバをインストールするシステムを準備します。
sm1252sp1jjp
以下の手順に従ってポリシー サーバをインストールするシステムを準備します。
2
インストールに関する考慮事項の確認
インストールのためにシステムを実行する前に、以下の考慮事項を確認します。
  • CPU
    Solaris
     - UltraSparc 440MHz 以上
    Red Hat
     - x86 または x64
  • メモリ
    - 2 GB のシステム RAM
    ヒント:
     ポリシー サーバの処理には 2 GB の RAM を使用し、ポリシー サーバのホスト システムが少なくとも 4 GB の RAM を使用できるようにしてください。
  • 使用可能なディスク領域
    • 4 GB の空きディスク領域
    • /tmp のポリシー サーバ用空きディスク容量 3 GB、およびポリシー サーバ設定ウィザード用 150 MB
    一般的に、ポリシー サーバの日常の運用には /tmp の空きディスク領域が 10 MB 必要です。ポリシー サーバは、/tmp の下にファイルおよび名前付きパイプを作成します。パスは変更できません。 
  • JRE
    - JDK で配布される必須 JRE がポリシー サーバ ホスト システムにインストールされていることを確認します。
  • JCE
    - 現在の Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction パッチは Java の暗号化アルゴリズムを使用するのに必要です。オペレーティング システム用の JCE パッケージを特定するには、Oracle Web サイトに移動し、ポリシー サーバでサポートされている Java バージョン用の JCE パッケージをダウンロードします。システム上のディレクトリ
    jre_home
    \lib\security に移動し、以下のファイルにパッチを適用します。
    • local_policy.jar
    • US_export_policy.jar
  • 権限
    — ポリシー サーバをインストールするユーザが、インストール ディレクトリに対する書き込み権限を持っていることを確認します。 ポリシー サーバのインストール先のフォルダに十分な権限(755)が設定されている必要があります。
  • LDAP ディレクトリ サーバまたはリレーショナル データベース
    - ポリシー ストアとして、サポートされている LDAP ディレクトリ サーバまたはリレーショナル データベースを使用していることを確認します。 サポートされている CA およびサードパーティ コンポーネントのリストについては、CA Single Sign-On プラットフォーム サポート マトリクスを参照してください。
  • Exceed の X Window アプリケーション
    - Exceed の X Window アプリケーションを使用してインストーラまたは設定ウィザードを実行すると、Exceed で利用できないフォントが原因でウィンドウ内のテキストが切り捨てられることがあります。この制約は、インストールまたは設定には影響しません。
  • 環境変数
    -- ポリシー サーバ インストールによって環境変数が変更されます。
Solaris でのグローバル ゾーン サポートの確認
(Solaris)
Solaris 10 環境で 1 つ以上のポリシー サーバの実行を予定する場合は、以下のシナリオを考慮します。グローバル ゾーン設定は、すべてのゾーンにわたって、実装を単一のポリシー サーバ インスタンスに限定します。具体的な内容は次のとおりです。
  • 単一のポリシー サーバ インスタンスのみが、グローバル ゾーンでサポートされています。
  • グローバル ゾーンに別のポリシー サーバ インスタンスがある場合、ポリシー サーバ インスタンスは疎ルート ゾーンでサポートされません。
  • グローバル ゾーンに別のポリシー サーバ インスタンスがある場合、ポリシー サーバ インスタンスは完全ルート ゾーンでサポートされません。
注:
Web エージェントは任意のゾーンで同時に実行される場合があります。
疎ルート ゾーン サポート
疎ルート ゾーン設定は、複数の疎ルート ゾーンで実行されている複数のポリシー サーバ インスタンスをサポートします。具体的な内容は次のとおりです。
  • 1 つのポリシー サーバ インスタンスのみが、各疎ルート ゾーンでサポートされています。
  • 各疎ルート または完全ルート ゾーンに 1 つのポリシー サーバ インスタンスがあれば、同時ポリシー サーバ インスタンスは疎ルート ゾーンおよび完全ルート ゾーンでサポートされます。
  • グローバル ゾーンおよび疎ルート ゾーンでのポリシー サーバ インスタンスの同時実行はサポートされません。
注:
Web エージェントは任意のゾーンで同時に実行される場合があります。
完全ルート ゾーン サポート
完全ルート ゾーンの設定は、複数の完全ルート ゾーンで実行されている複数のポリシー サーバ インスタンスをサポートします。具体的な内容は次のとおりです。
  • 1 つのポリシー サーバ インスタンスのみが、各完全ルート ゾーンでサポートされています。
  • 各完全ルート ゾーンまたは疎ルート ゾーンに 1 つのポリシー サーバ インスタンスがあれば、同時ポリシー サーバ インスタンスは完全ルート ゾーンおよび疎ルート ゾーンでサポートされます。
  • グローバル ゾーンおよび完全ルート ゾーンでのポリシー サーバ インスタンスの同時実行はサポートされません。
注:
Web エージェントは任意のゾーンで同時に実行される場合があります。
必要な KornShell パッケージのインストール
ご使用のシステムで必要なライブラリを使用できることを確認します。
  • Red Hat 5.x 32-bit—ksh-20100621-12.el5.i386.rpm
  • Red Hat 5.x 64-bit—ksh-20100621-12.el5.x86_64.rpm
  • Red Hat 6.x 32-bit—ksh-20100621-16.el6.i686.rpm
  • Red Hat 6.x 64-bit—ksh-20100621-16.el6.x86_64.rpm
UNIX アカウントの作成
特定のアカウントでポリシー サーバをインストールするための非特権(root 以外)ユーザ アカウントを作成することをお勧めします。名前 smuser でユーザ アカウントを作成するには、デフォルトの KornShell を使用します。
root ユーザとしてポリシー サーバをインストールしてから、smuser としてポリシー サーバを実行するには、ポリシー サーバ バイナリの所有権を smuser に変更して、smuser アカウントからバイナリを起動します。
エントロピーの増加
デフォルトでは、Red Hat はランダムな番号を生成するために一般的なコンピューティング操作から取得されるエントロピーを使用します。Red Hat のデフォルトのランダム番号生成プログラムで生成されるランダム番号を以下の文字デバイスで使用できます。
  • /dev/random。これは、エントロピー量が適切なランダム出力を生成するのに十分でない場合に番号の提供を停止するため、最も安全性の高いデバイスです。
  • /dev/urandom。これは、カーネルのエントロピー プールを再利用して、低エントロピーで無制限の擬似ランダム番号を提供します。
ポリシー サーバは、キー生成に /dev/random 文字デバイスを使用します。ただし、/dev/random は、エントロピーが十分でない場合に番号の提供を停止するため、ポリシー サーバの実行時パフォーマンスに影響が及ぶ可能性があります。
エントロピー プールの乱雑さの度合いを増やすためには、以下のオプションのいずれかを使用します。
  • 安全性が最も高く FIPS 準拠: ハードウェア エントロピー ジェネレータをインストールし、/dev/random への入力に使用するように rngd デーモンを設定します。
    例: rngd -r /dev/
    device_name
    -o /dev/random -b
    device_name
    は、使用中の文字デバイスです。デバイス名は、/dev/hwrng など、使用しているハードウェア乱数ジェネレータに応じて異なります。
    rngd デーモンの詳細については、Red Hat のドキュメントを参照してください。
  • 適切なセキュリティで FIPS 準拠: /dev/random に入力するように rngd デーモンを設定します。以下のコマンドを実行します。
    rngd -r /dev/urandom -o /dev/random -b
    rngd エントロピー デーモンのサードパーティによる代替デーモンも使用できます。
  • 安全性が最も低く FIPS 準拠: /dev/urandom と /dev/random の間のシンボリック リンクを設定します。以下のコマンドを実行します。
    mv /dev/random /dev/random.org
    ln -s /dev/urandom /dev/random
    重要:
    システム クラッシュまたは再起動の後に十分なエントロピーがポリシーサーバで利用可能であることを確認するには、適切なスタートアップまたはサービス スクリプトに、選択したオプションを追加します。
システム上のエントロピーを監視するには、以下のコマンドを実行します。
watch -n 1 cat /proc/sys/kernel/random/entropy_avail
必要な Linux ライブラリの確認
RedHat 環境で X11 をサポートする場合、ポリシー サーバに追加ライブラリ ファイルは必要ありません。RedHat 環境が X11 をサポートしていない場合(たとえば、ヘッドレス環境)は、X11 をサポートするのに必要なライブラリをインストールします。
デフォルト制限パラメータを変更します。
ポリシー サーバは、負荷がかかると、複数のソケットおよびファイルを開きます。デフォルト制限パラメータが負荷を処理できるようにするには、デフォルトの上限パラメータを変更して
リソースの問題を回避します。
デフォルト制限パラメータを表示するには、シェル ウィンドウで以下のコマンドを入力します。
ulimit -a
パラメータのリストが表示されます。
例:
$ ulimit -a
 
time(seconds)
unlimited
file(blocks)
unlimited
data(kbytes
2097148
stack(kbytes)
8192
coredump(blocks)
unlimited
nofiles(descriptors)
256
vmemory(kbytes)
unlimited
たとえば、ポリシー サーバが smuser アカウントに許可するオープン接続の数は nofiles パラメータで定義されます。デフォルト値は 256 です。
このパラメータが十分に高い値に設定されていないと、ポリシー サーバは多くのソケット エラーを返します。そのために、smuser アカウントのプロファイル ファイルに以下のコマンドを配置することにより、
この値を変更します。
ulimit -n
value
例: 
ulimit -n 1024
ローカライズ変数の設定解除
LC_* 環境変数の使用は許可されません。ユーザ アカウント、smuser または root のプロファイルでそれらの設定を解除してから、ポリシー サーバをインストールします。 
LANG 環境変数の設定解除または英語(米国)への設定
以下の
いずれか
のアクションを実行します。
  • $LANG 環境変数の設定を解除します。 unset LANG コマンドを smuser アカウントのプロファイルに追加します。
  • $LANG 環境変数を
    en_US
    に設定します。