ポリシー サーバのインストールの準備
ポリシー サーバをインストールできるように準備するには、以下の手順を実行します。
casso11jp
ポリシー サーバをインストールできるように準備するには、以下の手順を実行します。
2
新規 UNIX アカウントの作成
ポリシー サーバのインストール用に特定のアカウントを用意するには、特権アカウントではない(root 以外)ユーザ アカウントを作成することをお勧めします。セキュリティ上の理由で、インストールに特権アカウントではないユーザを使用することをお勧めします。デフォルトの Korn シェル(ksh)でこのユーザ アカウントを作成し、アカウントの名前を
smuser
にします。重要:
smuser としてインストールを実行する場合、OneView モニタをインストールに設定ウィザードを使用しないでください。ウィザードは、web サーバの設定ファイルを変更しますが、smuser アカウントには必要な権限がありません。root ユーザのみが、OneView モニタの設定に必要な権限を持ちます。ポリシー サーバをインストールした後、OneView モニタを設定するためにルートとしてポリシー サーバ設定ウィザードを使用します。root ユーザとしてポリシー サーバをインストールして smuser としてポリシー サーバを実行する場合は、ポリシー サーバ バイナリの所有権を smuser に、変更して、smuser アカウントからバイナリを起動します。
Red Hat Linux 用のエントロピーの増加
デフォルトでは、Red Hat はランダムな番号を生成するために一般的なコンピューティング操作から取得されるエントロピーを使用します。Red Hat のデフォルトのランダム番号生成プログラムでは、生成された番号が /dev/random および /dev/urandom 文字デバイスを通じて使用できるようになります。/dev/random デバイスは、エントロピー量が適切なランダム出力を生成するのに十分でないと判断した場合に番号の提供を停止するため、最も安全性の高いデバイスです。/dev/urandom デバイスでは、カーネルのエントロピー プールを再利用するため、疑似ランダム値を無制限に提供できますが、エントロピーは低くなります。
ポリシー サーバは /dev/random を使用します。これはキー生成の最も安全なオプションです。ただし、/dev/random は、エントロピーが十分でない場合に番号の提供を停止するため、その場合はポリシー サーバの実行時パフォーマンスに悪影響を及ぼす可能性があります。
エントロピー プールの乱雑さの度合いを増やすためには、以下のオプションのいずれかを使用します。
- (最も安全。FIPS 準拠)ハードウェア エントロピー ジェネレータをインストールし、/dev/random に入力するために使用する rngd デーモンを設定します。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">rngd -r /dev/device_name-o /dev/random -b -t 1device_nameは、使用中の文字デバイスです。デバイス名は、/dev/hwrng など、使用しているハードウェア乱数ジェネレータに応じて異なります。rngd デーモンの詳細については、RedHat のドキュメントを参照してください。
- (適度に安全。FIPS 準拠ではない)以下のコマンドを入力することで、/dev/random に入力するための rngd デーモンを設定します。rngd -r /dev/urandom -o /dev/random -b -t 1rngd エントロピー デーモンのサードパーティによる代替デーモンも使用できます。
- (安全性は低い。FIPS に準拠していない)以下のコマンドを入力して、/dev/urandom と /dev/random の間のシンボリック リンクを設定します。mv /dev/random /dev/random.orgln -s /dev/urandom /dev/random
システム上のエントロピーを監視するには、以下のコマンドを入力します。
watch -n 1 cat /proc/sys/kernel/random/entropy_avail
必要とされる Linux ライブラリのインストール
casso11jp
Linux 上で動作するコンポーネント用に、
Single Sign-On
には特定の Linux ライブラリが必要です。YUM はパッケージとそのバージョンの依存性を解決するため、YUM を使用して、必要なライブラリをインストールすることをお勧めします。以下のリストでは、ホスト システム上で必要なライブラリをインストールするコマンドについて説明します。
Red Hat 5.x
yum install -y compat-gcc-34-c++yum install -y libidn.i686yum install -y libstdc++.i686yum install -y ncurses-libs.i686
Red Hat 6.x
yum install -y libstdc++.i686yum install -y libidn.i686 yum install -y libXext.i686yum install -y ncurses-libs.i686yum install -y libXrender.i686yum install -y libXtst.i686
Red Hat 6.x 64 ビットの追加パッケージ
yum install -y libXau.i686yum install -y libXext.i686yum install -y libxcb.i686yum install -y compat-libstdc++-33.i686yum install -y compat-db42.i686yum install -y compat-db.i686yum install -y compat-db43.i686yum install -y libXi.i686yum install -y libX11.i686yum install -y libXtst.i686yum install -y libXrender.i686yum install -y libXft.i686yum install -y libXt.i686yum install -y libXp.i686yum install -y libstdc++.i686yum install -y libICE.i686yum install -y compat-libtermcap.i686yum install -y libidn.i686yum install -y libSM.i686yum install -y libuuid.i686
適切なライブラリが利用できない場合は、
Single Sign-On
は以下のエラーを表示します。java.lang.UnsatisfiedLinkError
必要な Korn シェル(ksh)パッケージの Linux へのインストール
Linux プラットフォームでのポリシー サーバのインストールおよびアップグレードに、ksh Korn シェルが必要です。ユーザの Linux 環境に適したバージョンがインストールされていることを確認します。
Red Hat 5.x(32 ビット)
ksh-20100621-12.el5.i386.rpm
- Red Hat 5.x(64 ビット)ksh-20100621-12.el5.x86_64.rpm
- Red Hat 6.x(32 ビット)ksh-20100621-16.el6.i686.rpm
- Red Hat 6.x(64 ビット)ksh-20100621-16.el6.x86_64.rpm
OneView モニタの UNIX での ServletExec のインストール
OneView モニタを UNIX にインストールする場合は、最初に ServletExec をインストールしてください。
注:
ServletExec はサードパーティ製品です。ServletExec をインストールする前に、このコンポーネントのドキュメントを一読することをお勧めします。詳細については、New Atlanta の Web サイトを参照してください。以下の手順に従います。
- Sun Java System でのサーブレットの無効化
- ブラウザに http://yourserver.com:portnumberという URL を入力して Sun Java System Enterprise 管理サーバのホーム ページを開きます。
- yourserverEnterprise Administration Server のドメイン名を指定します。
- ポートポート番号を指定します。
- [Select a Server]ドロップダウン メニューでターゲット サーバを選択して[Manage]をクリックします。
- [Java]タブを選択します。
- [Enable Java for class defaultclass]および[Enable Java Globally]をオフにし、[OK]をクリックします。
- Web サーバを停止してから再起動します。これで設定が有効になります。
- ポリシー サーバをインストールする UNIX アカウントにログインします。注:Sun Java System Web Server をインストールしたユーザと同じユーザとしてログインしてください。
- ServletExec をインストールします。手順は New Atlanta のドキュメントを参照してください。次のことに注意してください。
- /tmp にファイルを新規作成する権限が付与されていることを確認します。New Atlanta は /usr/local/NewAtlanta 内に ServletExec をインストールすることをお勧めします。ServletExec を /usr/local/NewAtlanta 内にインストールすると、obj.conf ファイルおよび Sun Java System 起動スクリプトのアクセス許可が変更されることがあります。インストール後に、obj.conf および起動スクリプトの所有者が Web サーバを所有するユーザと同じであることを確認してください。
- 画面の指示に従って、Web サーバ アダプタおよび ServletExec のインスタンスをインストールします。
- Web サーバの設定ファイルをインストーラが変更してもよいかどうかをたずねる画面が表示されたら、変更しないことを選択してください。インストーラに Web サーバ設定ファイル obj.conf および magnus.conf の変更を許可すると、管理者がこのインスタンス上の OneView モニタ GUI を設定した後に Web サーバ インスタンスが実行できなくなります。
- インストール プログラムが完了したら、Web サーバを再起動します。
UNIX システム パラメータの変更
ポリシー サーバがロードの下に配置されると、多数のソケットおよびファイルを開きます。デフォルト制限パラメータがロードに適切でない場合、多くのソケットおよびファイルで問題が起きる場合があります。関連する問題を回避するためにデフォルト制限パラメータを変更します。
デフォルト制限パラメータを表示するには、シェル ウィンドウで以下のコマンドを入力します。
ulimit -a
以下の例のようなメッセージがシステムに表示されます。
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
例では、nofiles パラメータは 256 に設定されています。このパラメータは、このシェルと子シェルが割り当てられたファイル(ソケット + ファイル記述子)の総数です。このパラメータが十分に高い値に設定されていない場合、ポリシー サーバは多数のソケット エラーを返します。
ロードでポリシー サーバが適切に動作するように nofiles パラメータ値を増やします。この値は、以下のコマンドを実行すると変更できます。
ulimit -n
たとえば、値を 1024 に設定するには、smuser アカウントのプロファイル ファイルに以下のコマンドを配置します。
ulimit -n 1024
ポリシー サーバは、それへの接続数について、smuser アカウント ulimit 内の nofiles パラメータによってバインドされます。
ローカライズ変数の設定解除
LC_* 変数は、smuser アカウントのプロファイル ファイルにデフォルトで設定されることがあります。LC_* 環境変数の使用は許可されません。ポリシー サーバをインストールする前にこれらを設定解除します。
LC_* 環境変数を設定解除するには、smuser アカウントのプロファイル ファイルを開き、これらを設定解除します。
LANG 環境変数の設定解除または英語(米国)への設定
ポリシー サーバをインストールする前に、LANG 環境変数の要件に注意してください。
以下の
いずれか
のアクションを実行します。- $LANG 環境変数の設定を解除します。変数を設定解除するには、smuser アカウントのプロファイル ファイルに LANG の設定解除コマンドを追加します。
- $LANG 環境変数をen_USに設定します。