キー ストアとして Oracle Directory Server Enterprise Edition を設定する方法
目次
casso11jp
目次
3
別のキー ストアとして Oracle Directory Server Enterprise Edition を設定できます。
キーストアの前提条件
- キー ストアとして機能するディレクトリ サーバ インスタンスを作成します。キーを格納するルート サフィックスおよびルート オブジェクトを必ず作成します。
- スキーマの作成、およびキー ストア ルート オブジェクト下の LDAP ツリー内のオブジェクトの読み取り、変更および削除を行う権限を有する LDAP ユーザを作成します。
キー ストアの考慮事項
smldapsetup ユーティリティは ou=Netegrity、
root
サブ サフィックス、PolicySvr4 データベースを作成します。- rootキー ストアを登録するときに指定するディレクトリ ルート この変数は、既存のルート サフィックスまたはサブ サフィックスのいずれかである必要があります。
例:
ルート サフィックスが dc=netegrity,dc=com である場合、smldapsetup を実行すると、ディレクトリ サーバに以下のエントリが生成されます。- ルート サフィックス、dc=netegrity,dc=com、対応する userRoot データベース。
- サブ サフィックス、ou=Netegrity,dc=netegrity,dc=com、対応する PolicySvr4 データベース。
例: キー ストアを ou=apps,dc=netegrity,dc=com の下に置く場合、ou=apps,dc=netegrity,dc=com は、ルート サフィックス dc=netegrity,dc=com のルートまたはサブ サフィックスのいずれかである必要があります。
サブ サフィックスである場合、smldapsetup を実行すると以下のエントリが作成されます。
- ルート サフィックス、dc=netegrity,dc=com、対応する userRoot データベース。
- サブ サフィックス、ou=apps,dc=netegrity,dc=com、対応する Apps データベース。
- サブ サフィックス、ou=Netegrity,ou=apps,dc=netegrity,dc=com、対応する PolicySvr4 データベース。
注:
ルートおよびサブ サフィックスの詳細については、各ベンダーのドキュメントを参照してください。ディレクトリ サーバ情報の収集
casso11jp
個別のキー ストアを設定するには具体的情報が必要です。以下の情報を確認しておきます。
- Hostディレクトリ サーバ ホスト システムの完全修飾名または IP アドレス
- [Port]ディレクトリ サーバ インスタンスがリスンするポート この値は、インスタンスが標準でないポートでリスンする場合にのみ必要です。デフォルト値:636(SSL)および 389(SSL 以外)
- 管理 DN以下を行う権限を有するユーザの LDAP ユーザ名を指定します。
- スキーマの作成
注:この許可はキー ストア スキーマをインポートする場合にのみ必要です。キー ストアを展開した後、許可がないユーザとポリシー サーバを設定できます。- read
- write
- modify
- 削除
- 管理パスワード管理 DN のパスワードを指定します。
- キー ストア ルート DNキー ストア オブジェクトをインポートする、LDAP ツリー内のノードの識別名を指定します。
- SSL クライアント証明書SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。制限:SSL のみ
キー ストアの登録
casso11jp
キー ストアを登録すると、キー ストアとポリシー サーバの間の接続が設定されます。ポリシー サーバは、キー ストアを管理するためにユーザが提供する認証情報を使用します。
重要:
登録により、個別のキー ストアを使用するためのポリシー サーバは設定されません。ポリシー サーバが再起動されるまで、設定は有効になりません。キー ストアが設定され、それを展開する準備ができるまで、ポリシー サーバを再起動しないでください。以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行して、接続を設定します。smldapsetup reg -hhost -pport -dadmin_user -wadmin_password -rroot -k1casso11jp重要:Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。例:smldapsetup reg -host172.16.0.0 -p389 -d"cn=directory manager" -wpassword -r"dc=test" -k1
- ポリシー サーバ管理コンソールを起動し、[データ]タブを開きます。
- 以下の手順のいずれかを完了します。
- ポリシー サーバがデータ リレーショナル データベースを使用するように設定される場合:
- [データベース]リストから[キー ストア]を選択します。
- [ストレージ]リストから LDAP を選択し、接続設定および管理認証情報を表示します。
- 接続設定および管理ユーザ設定が表示されていることを確認します。
- [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
- ポリシー サーバがディレクトリ サーバを使用するように設定される場合:a. [データベース]リストから[キー ストア]を選択します。b. 接続設定および管理ユーザ設定が表示されていることを確認します。c. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
注:[ポリシー ストアを使用]データベース設定がクリアされます。クリアされた設定は予期された正常な動作です。ポリシー サーバは、ポリシー ストアと連結させたキー ストアを引き続き使用します。 - ポリシー サーバ管理コンソールを終了します。個別のキーがポリシー サーバに登録されます。
キー ストア スキーマの作成
casso11jp
キー ストア インスタンスは、
Single Sign-On
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルを作成します。以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行して、キー ストア スキーマ ファイルを作成します。smldapsetup ldgen -ffile_name -k1casso11jp重要:Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。例: smldapsetup ldgen -fkeystoreschema -k1キー ストア スキーマ ファイルが作成されます。
キー ストア スキーマのインポート
casso11jp
キー ストア インスタンスは、
Single Sign-On
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルをインポートします。以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- キー ストア スキーマをインポートするために以下のコマンドを実行します。smldapsetup ldmod -ffile_name -k1casso11jp重要:Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
注:
標準出力は、インポートされているポリシー ストア スキーマをすべて表示します。その動作は正常で予期されるものです。ユーティリティは単にキー ストアに固有のスキーマをインポートします。例:
smldapsetup ldmod -fkeystoreschema -k1キー ストアに固有のスキーマがインポートされます。
ポリシー サーバの再起動
casso11jp
ポリシー サーバは、再起動されるまで連結されたキー ストアを引き続き使用します。個別のキー ストアの使用を開始するにはポリシー サーバを再起動します。
Oracle Directory Server キー ストアのレプリケート
Single Sign-On
では、UserRoot および PolicySvr4 データベースを作成します。サフィックス マッピングは PolicySvr4 データベースを参照しています。キー ストアのレプリケートには、PolicySvr4 データベース ディレクトリのレプリケーション アグリーメントのセットアップが必要です。以下の手順に従います。
- 各ベンダーのドキュメントで詳述されるとおりレプリケーション アグリーメントを設定します。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行して、Single Sign-Onインデックスを生成します。smldapsetup ldgen -x -findexes.ldifcasso11jp重要:Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
- レプリカ サーバ上で以下のようにインデックスをセットアップします。smldapsetup ldmod -x -findexes.ldif -hhost -preplicaport-dAdminDN-wAdminPW
- ホストレプリカ ホストを指定します。
- replicaportレプリカ ポート番号を指定します。
- AdminDNレプリカ管理者 DN を指定します。例:cn=directory manager
- AdminPWレプリカ管理者パスワードを指定します。
Single Sign-Onインデックスがレプリケートされます。