Oracle Directory Server をポリシー ストアとして設定する
Oracle Directory Server (以前の Sun Java System ディレクトリ サーバ)はポリシー ストアとして機能できます。ポリシー サーバ設定ウィザードでは、自動的にこのディレクトリをポリシー ストアとして設定できます。ただし、設定にウィザードを使用しなかった場合は、以下の手順に従ってポリシー ストアを手動で設定します。
casso11jp
Oracle Directory Server (以前の Sun Java System ディレクトリ サーバ)はポリシー ストアとして機能できます。ポリシー サーバ設定ウィザードでは、自動的にこのディレクトリをポリシー ストアとして設定できます。ただし、設定にウィザードを使用しなかった場合は、以下の手順に従ってポリシー ストアを手動で設定します。
単一のディレクトリ インスタンスをポリシー ストアおよびキー ストアとして使用することができます。単一のディレクトリ サーバを使用すると管理タスクが簡略化されます。このトピックには、ポリシー ストアをキー ストアとして使用する手順が含まれます。実装に必要な場合は、別のキー ストアを設定できます。
2
該当する場合、ベンダー固有のソフトウェアを使用して、以下の権限を持つ管理者ユーザを作成します。
- create
- read
- modify
- 削除
LDAP ツリー内のポリシー ストア ルート オブジェクトの下にこのユーザを作成します。
ディレクトリ サーバ情報の収集
casso11jp
LDAP ディレクトリ サーバをポリシー ストアとして設定するか、または既存のポリシー ストアをアップグレードするには、特定のディレクトリ サーバ情報が必要です。作業を始める前に、以下の情報を収集してください。
- ホスト情報ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。
- ポート情報(任意)標準以外のポートを指定します。デフォルト値:636(SSL)および 389(SSL 以外)
- 管理 DNLDAP ツリー内のポリシー ストア ルート オブジェクトの下でオブジェクトの作成、読み取り、変更、および削除を行う権限を持つユーザの LDAP ユーザ名を指定します。
- 管理パスワード管理 DN のパスワードを指定します。
- ポリシー サーバのルート DNポリシー ストア オブジェクトを定義する、LDAP ツリー内のノードの識別名を指定します。
- SSL クライアント証明書SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。制限:SSL のみ
Oracle Directory Server Enterprise Edition の考慮事項
Oracle Directory Server Enterprise Edition をポリシー ストアとして使用している場合、以下の点を考慮します。
smldapsetup および Oracle Directory Enterprise Edition
smldapsetup ユーティリティは ou=Netegrity、
root
サブ サフィックス、PolicySvr4 データベースを作成します。- rootポリシー サーバ管理コンソールの[データ]タブ上の[ルート DN]フィールドに指定したディレクトリ ルート。この変数は、既存のルート サフィックスまたはサブ サフィックスのいずれかである必要があります。
例:
ルート サフィックスが dc=netegrity,dc=com である場合、smldapsetup を実行すると、ディレクトリ サーバに以下が生成されます。- ルート サフィックス、dc=netegrity,dc=com、対応する userRoot データベース。
- サブ サフィックス、ou=Netegrity,dc=netegrity,dc=com、対応する PolicySvr4 データベース。
例:
ポリシー ストアを ou=apps,dc=netegrity,dc=com の下に置く場合、ou=apps,dc=netegrity,dc=com は、ルート サフィックス dc=netegrity,dc=com のルートまたはサブ サフィックスのいずれかである必要があります。サブ サフィックスである場合、smldapsetup を実行すると以下が作成されます。
- ルート サフィックス、dc=netegrity,dc=com、対応する userRoot データベース。
- サブ サフィックス、ou=apps,dc=netegrity,dc=com、対応する Apps データベース。
- サブ サフィックス、ou=Netegrity,ou=apps,dc=netegrity,dc=com、対応する PolicySvr4 データベース。
注:
ルートおよびサブ サフィックスの詳細については、Oracle のドキュメントを参照してください。Oracle Directory Server Enterprise Edition ポリシー ストアのレプリケート
UserRoot および PolicySvr4 データベースが作成されます。PolicySvr4 データベースにはそれを指すサフィックス マッピングがあります。このポリシー ストアをレプリケートするには、PolicySvr4 データベース ディレクトリ用のレプリケーション アグリーメントをセットアップする必要があります。
注:
レプリケーション アグリーメントに関する詳細については、Oracle のドキュメントを参照してください。レプリケーション アグリーメントを作成した後、
Single Sign-On
インデックスをレプリケートします。以下の手順に従います。
- 以下のようにSingle Sign-Onインデックスを生成します。smldapsetup ldgen -x -findexes.ldifcasso11jp重要:Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
- レプリカ サーバ上で以下のようにインデックスをセットアップします。smldapsetup ldmod -x -findexes.ldif -hhost -preplicaport-dAdminDN-wAdminPW
- ホストレプリカ ホストを指定します。
- replicaportレプリカ ポート番号を指定します。
- AdminDNレプリカ管理者 DN を指定します。例:cn=directory manager
- AdminPWレプリカ管理者パスワードを指定します。
Single Sign-Onインデックスがレプリケートされます。
ポリシー サーバからポリシー ストアへの参照の設定
casso11jp
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリシー ストアにアクセスできるようにします。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。
ポリシー ストア スキーマの作成
ポリシー ストアおよびストア
Single Sign-On
オブジェクトとしてディレクトリ サーバが機能できるように、ポリシー ストア スキーマを作成します。以下のディレクトリ サーバ製品にはこの手順を使用します。- Oracle 10g、11g (32ビット)
- Sun Java System 6.1、7.0
以下の前提条件を実行します。
- LDAP インスタンスを作成します。
- ポリシー サーバ管理コンソールを開き、[データ]タブをクリックし、LDAP インスタンスのポリシー ストアとキー ストアに関する情報を入力します。
以下の手順に従います。
- ポリシー サーバ ホスト システムから以下のコマンドを実行します。smldapsetup ldgen -ffile_name
- file_name作成する LDIF ファイルの名前を指定します。
Single Sign-Onスキーマと共に LDIF ファイルが作成されます。 - 以下のコマンドを実行します。smldapsetup ldmod -ffile_name
- file_name作成した LDIF の名前を指定します。
- 以下のコマンドを実行します。smldapsetup ldmod -fpolicy_server_home\xps\db\OracleDirectoryServer.ldif
- policy_server_homeポリシー サーバのインストール パスを指定します。
- お使いのディレクトリ サーバの管理者として以下のコマンドを実行します。dsconf reindex -h localhost -p port_number -e "ou=Netegrity,root_dn"
- 以下の ldif ファイルを編集します。policy_server_home/xps/db/OracleDirectoryServerBrowse.ldif
- 次に進む前に LDAP ディレクトリ に以下のパスが含まれていることを確認します(Root DN をお使いの PC のルート DN と置き換えます)。ou=xps,ou=PolicySvr4,ou=siteminder,ou=netegrity<Root_DN>ファイルに <root dn> の値がある 2 箇所に前の手順からの <root dn> 値を入力し、以下の LDIF ファイルを編集します。v policy_server_home/xps/db/OracleDirectoryServerBrowser.ldif
- 以下のコマンドを実行します。smldapsetup ldmod -fOracleDirectoryServerBrowse.ldif -v
- データベースを停止し、以下のコマンドを使用して VLV のインデックスを再作成します。dsadm stop Instance_Pathdsadm reindex -bl -t "Sort xpsSortKey" Instance_Path policysvr4dsadm reindex -bl -t "Sort modifyTimestamp" Instance_Path policysvr4dsadm reindex -b -t xpsNumber -t xpsValue -t xpsSortKey -t xpsCategory –t xpsParameter -t xpsIndexedObject -t xpsTombstone instance_path policysvr4
- 以下のコマンドを入力してインストールを開始します。dsadm start Instance_Pathポリシー ストア スキーマが拡張されます。ポリシー ストア スキーマを作成しました。
Single Sign-On
スーパーユーザ パスワードの設定casso11jp
デフォルトの管理者アカウントの名前は
siteminder
です。このアカウントは最大の権限を持っています。デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
- 管理 UI に初めてアクセスするとき。
- Single Sign-Onユーティリティの管理を初めて行うとき。
- スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
- smreg ユーティリティをsiteminder_home\binにコピーします。
- siteminder_homeポリシー サーバのインストール パスを指定します。
注:このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。 - 以下のコマンドを実行します。smreg -supassword
- パスワードデフォルトの管理者のパスワードを指定します。
- パスワードは 6 文字以上、24 文字以下である必要があります。
- パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
- パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
注:Oracle ポリシー ストアを設定している場合、パスワードは大文字と小文字を区別します。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。 - siteminder_home\bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
casso11jp
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
- コマンド ウィンドウを開き、siteminder_home\xps\dd に移動します。
- siteminder_homeポリシー サーバのインストール パスを指定します。
- 以下のコマンドを実行します。XPSDDInstall SmMaster.xdd
- XPSDDInstall必要なデータ定義をインポートします。
デフォルトのポリシー ストア オブジェクトのインポート
casso11jp
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
- 必ずsiteminder_home\bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
- siteminder_homeポリシー サーバのインストール パスを指定します。
- Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いのSingle Sign-Onコンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
- コマンド ウィンドウを開き、siteminder_home\db に移動します。
- 以下のいずれかのファイルをインポートします。
- smpolicy.xml をインポートするには、以下のコマンドを実行します。XPSImport smpolicy.xml -npass
- smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。XPSImport smpolicy-secure.xml -npass
- npassパスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
- Option Pack 機能をインポートするには、以下のコマンドを実行します。XPSImport ampolicy.xml -npass
- フェデレーション機能をインポートするには、以下のコマンドを実行します。XPSImport fedpolicy-12.5.xml -npass
注:
ampolicy.xml をインポートすると、Single Sign-On
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービスの変数機能が使用可能になります。eTelligent ルール機能を使用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問い合わせてください。Advanced Authentication Server の有効化
casso11jp
ユーザのポリシー サーバの設定の一部として、Advanced Authentication Server を有効にします。
以下の手順に従います。
- ポリシー サーバ設定ウィザードを実行します。
- ウィザードの最初の画面にあるチェックボックスをすべてオフのままにします。
- [Next]をクリックします。
- Advanced Authentication Server 用のマスタ暗号化キーを作成します。casso11jp注:別の(n 番目の)ポリシー サーバをインストールしている場合は、以前使用した Advanced Authentication Server に対して同じ暗号化キーを使用します。
- ポリシー サーバ設定ウィザードの残りの手順を完了します。Advanced Authentication Server が有効になります。
ポリシー サーバの再起動
casso11jp
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。
- [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
- [開始]をクリックします。緑色の信号アイコンが表示されて、ポリシー サーバが起動します。注:UNIX では、ポリシー サーバを再起動する stop-ps および start-ps コマンドを実行します。ポリシー サーバと CA Risk Authentication を再起動するには、stop-all および start-all コマンドを実行します。
管理 UI 登録の準備
casso11jp
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
- 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
- (UNIX) XPSRegClient を使用する前に、Single Sign-On環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行します。XPSRegClient super_user_account_name[:passphrase] -adminui-setup -ttimeout-rretries-ccomment-cp -llog_path-eerror_path-vT -vI -vW -vE -vF
- passphraseデフォルトのスーパーユーザ アカウントのパスワードを指定します。注:パスフレーズを指定しないと、XPSRegClient により、パスフレーズの入力とその確認を求めるプロンプトが表示されます。
- -adminui–setup管理 UI がポリシー サーバに初めて登録されることを指定します。
- -ttimeout(任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。測定単位: 分デフォルト: 240 (4 時間)最小値:15最大値:1440 (24 時間)
- -rretries(任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。デフォルト: 1最大値:5
- -ccomment(任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。注:コメントは引用符で囲んでください。
- -cp(任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。注:コメントは引用符で囲んでください。
- -llog_path(任意)登録ログ ファイルをエクスポートする場所を指定します。デフォルト:siteminder_home\logsiteminder_homeポリシー サーバのインストール パスを指定します。
- -eerror_path(任意)例外を指定されたパスに送信します。デフォルト: stderr
- -vT(任意)詳細レベルを TRACE に設定します。
- -vI(任意)詳細レベルを INFO に設定します。
- -vW(任意)詳細レベルを WARNING に設定します。
- -vE(任意)詳細レベルを ERROR に設定します。
- -vF(任意)詳細レベルを FATAL に設定します。
- Enter キーを押します。XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。