キー ストアとして Oracle Directory Server Enterprise Edition を設定する方法

目次
casso11jp
目次
3
別のキー ストアとして Oracle Directory Server Enterprise Edition を設定できます。
キーストアの前提条件
  1. キー ストアとして機能するディレクトリ サーバ インスタンスを作成します。キーを格納するルート サフィックスおよびルート オブジェクトを必ず作成します。
  2. スキーマの作成、およびキー ストア ルート オブジェクト下の LDAP ツリー内のオブジェクトの読み取り、変更および削除を行う権限を有する LDAP ユーザを作成します。
キー ストアの考慮事項
smldapsetup ユーティリティは ou=Netegrity、
root
サブ サフィックス、PolicySvr4 データベースを作成します。
  • root
    キー ストアを登録するときに指定するディレクトリ ルート この変数は、既存のルート サフィックスまたはサブ サフィックスのいずれかである必要があります。
例:
ルート サフィックスが dc=netegrity,dc=com である場合、smldapsetup を実行すると、ディレクトリ サーバに以下のエントリが生成されます。
  • ルート サフィックス、dc=netegrity,dc=com、対応する userRoot データベース。
  • サブ サフィックス、ou=Netegrity,dc=netegrity,dc=com、対応する PolicySvr4 データベース。
例: キー ストアを ou=apps,dc=netegrity,dc=com の下に置く場合、ou=apps,dc=netegrity,dc=com は、ルート サフィックス dc=netegrity,dc=com のルートまたはサブ サフィックスのいずれかである必要があります。
サブ サフィックスである場合、smldapsetup を実行すると以下のエントリが作成されます。
  • ルート サフィックス、dc=netegrity,dc=com、対応する userRoot データベース。
  • サブ サフィックス、ou=apps,dc=netegrity,dc=com、対応する Apps データベース。
  • サブ サフィックス、ou=Netegrity,ou=apps,dc=netegrity,dc=com、対応する PolicySvr4 データベース。
注:
ルートおよびサブ サフィックスの詳細については、各ベンダーのドキュメントを参照してください。
ディレクトリ サーバ情報の収集
casso11jp
個別のキー ストアを設定するには具体的情報が必要です。以下の情報を確認しておきます。
  • Host
    ディレクトリ サーバ ホスト システムの完全修飾名または IP アドレス
  • [Port]
    ディレクトリ サーバ インスタンスがリスンするポート この値は、インスタンスが標準でないポートでリスンする場合にのみ必要です。
    デフォルト値:
    636(SSL)および 389(SSL 以外)
  • 管理 DN
    以下を行う権限を有するユーザの LDAP ユーザ名を指定します。
    • スキーマの作成
    注:
    この許可はキー ストア スキーマをインポートする場合にのみ必要です。キー ストアを展開した後、許可がないユーザとポリシー サーバを設定できます。
    • read
    • write
    • modify
    • 削除
  • 管理パスワード
    管理 DN のパスワードを指定します。
  • キー ストア ルート DN
    キー ストア オブジェクトをインポートする、LDAP ツリー内のノードの識別名を指定します。
  • SSL クライアント証明書
    SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。
    制限:
    SSL のみ
キー ストアの登録
casso11jp
キー ストアを登録すると、キー ストアとポリシー サーバの間の接続が設定されます。ポリシー サーバは、キー ストアを管理するためにユーザが提供する認証情報を使用します。
重要:
登録により、個別のキー ストアを使用するためのポリシー サーバは設定されません。ポリシー サーバが再起動されるまで、設定は有効になりません。キー ストアが設定され、それを展開する準備ができるまで、ポリシー サーバを再起動しないでください。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行して、接続を設定します。
    smldapsetup reg -hhost -pport -dadmin_user -wadmin_password -rroot -k1
    casso11jp
    重要:
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
    例:
    smldapsetup reg -host172.16.0.0 -p389 -d"cn=directory manager" -wpassword -r"dc=test" -k1
  3. ポリシー サーバ管理コンソールを起動し、[データ]タブを開きます。
  4. 以下の手順のいずれかを完了します。
    • ポリシー サーバがデータ リレーショナル データベースを使用するように設定される場合:
      1. [データベース]リストから[キー ストア]を選択します。
      2. [ストレージ]リストから LDAP を選択し、接続設定および管理認証情報を表示します。
      3. 接続設定および管理ユーザ設定が表示されていることを確認します。
      4. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
    • ポリシー サーバがディレクトリ サーバを使用するように設定される場合:
      a. [データベース]リストから[キー ストア]を選択します。
      b. 接続設定および管理ユーザ設定が表示されていることを確認します。
      c. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
    注:
    [ポリシー ストアを使用]データベース設定がクリアされます。クリアされた設定は予期された正常な動作です。ポリシー サーバは、ポリシー ストアと連結させたキー ストアを引き続き使用します。
  5. ポリシー サーバ管理コンソールを終了します。
    個別のキーがポリシー サーバに登録されます。
キー ストア スキーマの作成
casso11jp
キー ストア インスタンスは、
Single Sign-On
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルを作成します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行して、キー ストア スキーマ ファイルを作成します。
    smldapsetup ldgen -ffile_name -k1
    casso11jp
    重要:
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
    : smldapsetup ldgen -fkeystoreschema -k1
    キー ストア スキーマ ファイルが作成されます。
キー ストア スキーマのインポート
casso11jp
キー ストア インスタンスは、
Single Sign-On
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルをインポートします。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. キー ストア スキーマをインポートするために以下のコマンドを実行します。
    smldapsetup ldmod -ffile_name -k1
    casso11jp
    重要:
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
注:
標準出力は、インポートされているポリシー ストア スキーマをすべて表示します。その動作は正常で予期されるものです。ユーティリティは単にキー ストアに固有のスキーマをインポートします。
例:
smldapsetup ldmod -fkeystoreschema -k1
キー ストアに固有のスキーマがインポートされます。
ポリシー サーバの再起動
casso11jp
ポリシー サーバは、再起動されるまで連結されたキー ストアを引き続き使用します。個別のキー ストアの使用を開始するにはポリシー サーバを再起動します。
Oracle Directory Server キー ストアのレプリケート
Single Sign-On
では、UserRoot および PolicySvr4 データベースを作成します。サフィックス マッピングは PolicySvr4 データベースを参照しています。キー ストアのレプリケートには、PolicySvr4 データベース ディレクトリのレプリケーション アグリーメントのセットアップが必要です。
以下の手順に従います。
  1. 各ベンダーのドキュメントで詳述されるとおりレプリケーション アグリーメントを設定します。
  2. ポリシー サーバ ホスト システムにログインします。
  3. 以下のコマンドを実行して、
    Single Sign-On
    インデックスを生成します。
    smldapsetup ldgen -x -findexes.ldif
    casso11jp
    重要:
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
  4. レプリカ サーバ上で以下のようにインデックスをセットアップします。
    smldapsetup ldmod -x -findexes.ldif -hhost -preplicaport
    -dAdminDN-wAdminPW
    • ホスト
      レプリカ ホストを指定します。
    • replicaport
      レプリカ ポート番号を指定します。
    • AdminDN
      レプリカ管理者 DN を指定します。
      例:
      cn=directory manager
    • AdminPW
      レプリカ管理者パスワードを指定します。
    Single Sign-On
    インデックスがレプリケートされます。