SQL Server ポリシー ストアを設定する方法

casso126jjp
目次
2
1 つの SQL Server データベースは以下として機能させることができます。
  • ポリシー ストア
  • キー ストア
  • ログ データベース
注:
個別のデータベースにセッション情報を格納します。ポリシー ストアを使用してセッション情報を格納することはできません。
単一のデータベースを使用すると管理タスクが簡略化されます。後続のセクションでは、データを格納するように 1 つのデータベース サーバを設定する方法について説明します。
以下の点を考慮します。
  • SQL Server ポリシー ストアを手動で設定するか、またはポリシー サーバ インストーラを使用してポリシー ストアを自動的に設定することができます。
  • データベースは Windows システムにインストールされている必要があります。また、スキーマ ファイルはポリシー サーバと共にインストールされます。ポリシー サーバが UNIX システムにインストールされている場合、
    policy_server_home
    /db/SQL ディレクトリにあるスキーマ ファイルを、Windows システム上の一時ディレクトリにコピーします。
データベース インスタンスの作成
SQL Server エンタープライズ マネージャを使用して、
Single Sign-On
データ ストア用のデータベース インスタンスを作成します。
例:
smdatastore
データベース インスタンスでは、大文字小文字を区別する必要があります。
データベース情報の収集
ポリシー ストアまたは他のタイプの
Single Sign-On
データ ストアとして機能するように単一の SQL Server データベースを設定するには、特定のデータベース情報が必要です。
注:
(W)が前に付いた情報は、ポリシー サーバが Windows システムにインストールされる場合にのみ必要です。(U)が付いた情報は、ポリシー サーバが UNIX システムにインストールされる場合にのみ必要です。SQL Server データ ソースを設定する場合には、別の情報が必要です。 
  • データベース インスタンス名
    ポリシー ストアまたはデータ ストアとして機能するデータベース インスタンスの名前を決定します。
  • 管理アカウントの名前とパスワード
    データベース内のオブジェクトに対して作成、読み取り、変更、削除の権限があるアカウントのユーザ名とパスワードを決定します。
  • (W)データソース名
    データ ソースの識別に使用する名前を決定します。
    例:
    SM SQL Server Wire DS
  • (W)SQL Server 名
    ポリシー ストアとして機能するインスタンスを含む SQL Server データベースの名前を決定します。
  • (U)ポリシー サーバ ルート
    ポリシー サーバがインストールされる場所への明確なパスを指定します。
  • (U)IP アドレス
    SQL Server データベースの IP アドレスを指定します。
Single Sign-On
スキーマの作成
SQL Server データベースにポリシー、キー、および監査ログ情報を格納できるように、
Single Sign-On
スキーマを作成します。
ポリシー ストアおよび監査ログ スキーマ ファイルを実行すると、以下の警告が表示されます。この警告はポリシー ストア設定に影響しません。
  • 警告: テーブル 'smvariable5' が作成されましたが、その最大行サイズ(8746)が 1 行あたりの最大バイト数(8060)を超えています。このテーブルで INSERT または UPDATE を実行しても、行が 8060 バイトを超える場合は失敗します。
  • 警告: テーブル 'smodbcquery4' が作成されましたが、その最大行サイズ(64635)が 1 行あたりの最大バイト数(8060)を超えています。このテーブルで INSERT または UPDATE を実行しても、行が 8060 バイトを超える場合は失敗します。
  • 警告: テーブル 'smaccesslog4' が作成されましたが、その最大行サイズ(9668)が 1 行あたりの最大バイト数(8060)を超えています。このテーブルで INSERT または UPDATE を実行しても、行が 8060 バイトを超える場合は失敗します。
以下の手順に従います。
  1. クエリ アナライザを起動し、ポリシー サーバ データベースの管理者としてログインします。
  2. [データベース]リストからデータベース インスタンスを選択します。
  3. テキスト エディタで sm_mssql_ps.sql を開き、ファイル全体の内容をコピーします。
    デフォルトの場所
    :
    installation_path
    /db/SQL
  4. sm_mssql_ps.sql からスキーマをクエリに貼り付け、クエリを実行します。
    ポリシーおよびキー ストア スキーマがデータベースに追加されます。
  5. テキスト エディタで SQLServer.sql を開き、ファイル全体の内容をコピーします。
    デフォルトの場所
    :
    installation_path
    /xps/db
  6. SQLServer.sql からクエリにスキーマを貼り付け、クエリを実行します。
    ポリシー ストア スキーマが拡張されます。
  7. ポリシー ストアを監査ログ データベースとして使用するため手順 3 と 4 を繰り返します。スキーマ ファイル
    sm_mssql_logs.sql
    を使用します。
    注:
    ほかのデータを格納するためにポリシー ストアを設定する必要はありません。 別の監査ログ データベース、キー ストア、セッション ストアとして機能するよう個別のデータベースを設定することができます。
    データベースにデータを格納できるようになります。
Single Sign-On
用の SQL Server データ ソースの設定
ODBC を使用している場合、
Single Sign-On
がデータ ストアと通信できるようデータ ソースを設定する必要があります。
SQL Server 認証モードの考慮事項
Single Sign-On
データ ソースは Windows 認証をサポートしません。データベースに格納されるユーザの認証情報でデータ ソースを設定します。
注:
SQL 認証モードの詳細については、ベンダー固有のドキュメントを参照してください。
Windows システムでの SQL Server データ ソースの作成
ODBC は、SQL Server ワイヤ プロトコル用にデータ ソースを設定することが必要です。
注:
この手順は、ポリシー サーバを Windows システムにインストールする場合のみを対象としています。
以下の手順に従います。
  1. [スタート]をクリックし、[プログラム]-[管理ツール]に移動します。
  2. [ODBC Data Sources (64-bit)]を選択します。
    [ODBC データ ソース管理者]ダイアログ ボックスを開きます。
  3. [システム DSN]タブをクリックして、[追加]をクリックします。 
    [データ ソースの新規作成]ダイアログ ボックスが開きます。
  4. Single Sign-On
    SQL Server Wire Protocol を選択し、[完了]をクリックします。
    ODBC SQL Server Wire Protocol ドライバのセットアップ ダイアログ ボックスが表示されます。
  5. [データ ソース名]フィールドにデータ ソース名を入力します。
    例:
    Single Sign-On
    Data Source
    注:
    指定したデータ ソース名を書き留めます。この情報は、ポリシー ストアとしてデータベースを設定するときに必要です。
  6. [サーバ]フィールドに SQL Server ホスト システムの名前を入力します。
  7. [データベース名]フィールドにデータベース名を入力します。
  8. [テスト]をクリックします。
    接続設定がテストされ、接続に成功したことを示すメッセージが表示されます。
  9. [OK]をクリックします。
    SQL Server データ ソースが設定され、[システム データ ソース]リストに表示されます。
UNIX システムでの SQL Server データ ソースの作成
Single Sign-On
ODBC データ ソースは、system_odbc.ini ファイルを使用して設定します。このファイルは
、policy_server_installation
/db にある sqlserverwire.ini の名前を system_odbc.ini に変更することによって作成できます。この system_odbc.ini ファイルには、使用可能な ODBC データ ソースの名前すべてと、それらのデータ ソースと関連付けられた属性が含まれています。このファイルは、サイトごとに機能するようカスタマイズする必要があります。また、
Single Sign-On
用の他の ODBC ユーザ ディレクトリを定義するなど、このファイルに別のデータ ソースを追加することもできます。
system_odbc.ini ファイルの最初のセクション [ODBC Data Sources] には、現在使用可能なデータ ソースすべてのリストが含まれています。「=」の前の名前は、個別のデータ ソースそれぞれを説明する、ファイルの後続のセクションを示しています。「=」の後には、コメント フィールドがあります。
注:
データ ソース エントリの最初の行である [SiteMinder Data Source] を変更する場合、変更内容を書き留めておきます。この値は、ODBC データベースをポリシー ストアとして設定するときに必要になります。
system_odbc.ini ファイル内には、各データ ソースの属性を記述するセクションがあります。最初の属性は、このデータ ソースが
Single Sign-On
で使用されるときにロードされる ODBC ドライバです。残りの属性は、そのドライバに固有です。
MS SQL Server データ ソースを追加する場合は、ファイルの [ODBC Data Sources] セクションに新しいデータ ソース名を追加し、データ ソースと同じ名前を使用してデータ ソースを記述するセクションを追加する必要があります。新しいサービス名を作成したり、別のドライバを使用する場合は、system_odbc.ini ファイルを変更する必要があります。[SiteMinder Data Source] の下に Oracle または SQL ドライバのエントリがあります。
MS SQL Server データ ソースを設定するには、最初に
policy_server_installation
/db ディレクトリに system_odbc.ini ファイルを作成する必要があります。このためには、
policy_server_installation
/db にある sqlserverwire.ini の名前を system_odbc.ini に変更する必要があります。
SQL Server ワイヤ プロトコル ドライバの設定
UNIX で該当
ワイヤ プロトコル ドライバを設定して、データベースに接続するためにポリシー サーバが使用する設定を指定します。
siteminder_home
/db
から以下のファイルのいずれかをコピーし、名前を「
system_odbc.ini
」に変更します。
  • sqlserverwire.ini
  • oraclewire.ini
  • mysqlwire.ini
  • postgresqlwire.ini
  • db2wire.ini
system_odbc.ini ファイルは、以下のセクションで構成されています。設定しているデータ ソースにより、編集するセクションが決定されます。
  • [SiteMinder Data Source]
    ポリシー ストアとして機能するデータベースに接続するために CA Single Sign-On が使用する設定を指定します。
  • [SiteMinder Logs Data Source]
    監査ログ データベースとして機能するデータベースに接続するために CA Single Sign-On が使用する設定を指定します。
  • [SiteMinder Keys Data Source]
    キー ストアとして機能するデータベースに接続するために CA Single Sign-On が使用する設定を指定します。
  • [SiteMinder Session Data Source]
    セッション ストアとして機能するデータベースに接続するために CA Single Sign-On が使用する設定を指定します。
  • [SmSampleUsers Data Source]
    サンプル ユーザ データ ストアとして機能するデータベースに接続するために CA Single Sign-On が使用する設定を指定します。
以下の手順に従います。
  1. system_odbc.ini ファイルを開きます。
  2. [ODBC Data Sources] の下に、以下を入力します。
    SiteMinder Data Source=DataDirect 8.0 SQL Server Wire Protocol
  3. 設定するデータ ソースに応じて、以下の情報を使用して、1 つ以上のデータ ソース セクションを編集します。 データ ソース情報を編集する場合は、ポンド記号(#)を使用しないでください。ポンド記号(#)を入力すると、その情報はコメント化され、値が切り捨てられます。値が切り捨てられると、ODBC 接続に失敗する場合があります。
    Driver=
    nete_ps_root
    /odbc/lib/NSsqls28.so
    Description=DataDirect 8.0 SQL Server Wire Protocol
    Database=
    SiteMinder Data
    Address=
    host_ip
    , 1433
    QuotedId=No
    AnsiNPW=No
    DMCleanup=2
      • nete_ps_root
        環境変数を持ったパスではなく、ポリシー サーバ インストールの明確なパスを指定します。
        例:
         export/smuser/siteminder
      • SiteMinder データ
        SQL Server データベースのインスタンス名を指定します。
      • host_ip
        SQL Server データベースの IP アドレスを指定します。
      • 1433
        SQL Server用のデフォルトのリスン ポートを表します。
  4. 任意の
    Single Sign-On
    ストアとして機能するために Microsoft SQL Server 2008 を使用している場合は、以下のように[ODBC]セクションを編集します。
    TraceFile=
    nete_ps_root
    /db/odbctrace.out
    TraceDll=
    nete_ps_root
    /odbc/lib/NStrc28.so
    InstallDir=
    nete_ps_root
    /odbc
    • nete_ps_root
      ポリシー サーバ インストール ディレクトリに明確なパスを指定します。このパスには環境変数を含めることができません。
  5. ファイルを保存します。
    ワイヤ プロトコル ドライバが設定されます。
ポリシー サーバに対する参照データベースの指定
ポリシー サーバがポリシー ストア内の
Single Sign-On
データにアクセスできるように、ポリシー サーバがデータベースを参照するようにします。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開き、[データ]タブをクリックします。
  2. ストレージ リストから以下の値を選択します。
    ODBC
  3. データベース リストから以下の値を選択します。
    Policy Store
  4. [データ ソース情報]フィールドにデータ ソースの名前を入力します。
    • (Windows)このエントリは、データ ソースを作成したときに[データ ソース名]フィールドに入力した名前と一致する必要があります。
    • (UNIX)このエントリは、system_odbc.ini ファイルのデータ ソース エントリの最初の行と一致している必要があります。デフォルトでは、このファイルの最初の行は[
      Single Sign-On
      データ ソース]です。最初のエントリを変更した場合は、正しい値を入力していることを確認します。
  5. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権限を持つデータベース アカウントのユーザ名およびパスワードを入力し確認します。
  6. Single Sign-On
    に割り当てるデータベース接続の最大数を指定します。
    注:
    最適なパフォーマンスを得るためにデフォルトの 25 の接続を保持することをお勧めします。
  7. [適用]をクリックして設定を保存します。
  8. データベース リストから以下の値を選択します。
    Key Store
  9. ストレージ リストから以下の値を選択します。
    ODBC
  10. 以下のオプションを選択します。
    Use the Policy Store database
  11. データベース リストから以下の値を選択します。
    Audit Logs
  12. ストレージ リストから以下の値を選択します。
    ODBC
  13. 以下のオプションを選択します。
    Use the Policy Store database
  14. [適用]をクリックして設定を保存します。
  15. [テスト接続]をクリックしてポリシー サーバがポリシー ストアにアクセスできることを確認します。
  16. [OK]をクリックします。
    ポリシー サーバは、ポリシー ストア、キー ストア、およびログ データベースとしてそのデータベースを使用するように設定されます。
Single Sign-On
スーパーユーザ パスワードの設定
デフォルトの管理者アカウントの名前は
siteminder
です。 このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
  • 管理 UI に初めてアクセスするとき。
  • Single Sign-On
    ユーティリティの管理を初めて行うとき。
  • スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
  1. smreg ユーティリティを
    siteminder_home
    \bin にコピーします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
    注:
    このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。
  2. 以下のコマンドを実行します。
    smreg -su 
    password
    • パスワード
      デフォルトの管理者のパスワードを指定します。
    パスワードには、以下の要件があります。
    • パスワードは 6 文字以上、24 文字以下である必要があります。
    • パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
    • パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
    注:
    Oracle ポリシー ストアを設定している場合、パスワードは大文字と小文字を区別します。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。
  3. siteminder_home
    \bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \xps\dd に移動します。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  2. 以下のコマンドを実行します。
    XPSDDInstall SmMaster.xdd
    • XPSDDInstall 
      必要なデータ定義をインポートします。
デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
  • 必ず
    siteminder_home
    \bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  • Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いの
    Single Sign-On
    コンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \db に移動します。
  2. 以下のいずれかのファイルをインポートします。
    • smpolicy.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy-secure.xml -npass
      • npass
        パスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
      両方のファイルに、デフォルトのポリシー ストア オブジェクトが含まれています。これらのオブジェクトにはデフォルトのエージェント設定オブジェクト(ACO)テンプレート内のデフォルト セキュリティ設定が含まれます。smpolicy–secure ファイルはより制限の厳しいセキュリティ設定を提供します。
    • Option Pack 機能をインポートするには、以下のコマンドを実行します。
      XPSImport ampolicy.xml -npass
    • フェデレーション機能をインポートするには、以下のコマンドを実行します。
      XPSImport fedpolicy-12.5.xml -npass
      ベース ポリシー ストア オブジェクトがインポートされます。
注:
smpolicy.xml をインポートすると、
Single Sign-On
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービスの変数機能が使用可能になります。eTelligent ルール機能を使用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問い合わせてください。
ポリシー サーバの再起動
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
  2. [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。
    赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
  3. [開始]をクリックします。
    緑色の信号アイコンが表示されて、ポリシー サーバが起動します。
    : UNIX または Linux オペレーティング環境では、stop-all コマンドの後に start-all コマンドを使用することで、ポリシー サーバを再起動することもできます。これらのコマンドは、ポリシー サーバ管理コンソールの代わりとなります。 
管理 UI 登録の準備
管理 UI に初めてログインするときは、デフォルトの
Single Sign-On
スーパーユーザ アカウント(siteminder)を使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
  • 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
  • (UNIX) XPSRegClient を使用する前に、
    Single Sign-On
    環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行します。
    XPSRegClient siteminder[:
    passphrase
    ] -adminui-setup -t 
    timeout 
    -r 
    retries 
    -c 
    comment 
    -cp -l 
    log_path 
    -e 
    error_path 
    -vT -vI -vW -vE -vF
    • passphrase
      デフォルトの
      Single Sign-On
      スーパーユーザ アカウント(siteminder)のパスワードを指定します。
      注:
      パスフレーズを指定しないと、XPSRegClient により、パスフレーズの入力とその確認を求めるプロンプトが表示されます。
    • -adminui–setup
      管理 UI がポリシー サーバに初めて登録されることを指定します。
    • -t
      timeout
      (任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。
      測定単位
      : 分
      デフォルト:
      240 (4 時間) 
      最小制限:
      15 
      最大制限:
      1440 (24 時間)
    • -r
      retries
      (任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する
      Single Sign-On
      管理者の認証情報の誤りが考えられます。
      デフォルト
      : 1 
      最大制限
      : 5
    • -c
      comment
      (任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。
      注:
      コメントは引用符で囲んでください。
    • -cp
      (任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。
      注:
      コメントは引用符で囲んでください。
    • -l
      log_path
      (任意)登録ログ ファイルをエクスポートする場所を指定します。
      デフォルト:
      siteminder_home
      \log
      siteminder_home
      ポリシー サーバのインストール パスを指定します。
    • -e
      error_path
      (任意)例外を指定されたパスに送信します。
      デフォルト
      : stderr
    • -vT
      (任意)詳細レベルを TRACE に設定します。
    • -vI
      (任意)詳細レベルを INFO に設定します。
    • -vW
      (任意)詳細レベルを WARNING に設定します。
    • -vE
      (任意)詳細レベルを ERROR に設定します。
    • -vF
      (任意)詳細レベルを FATAL に設定します。
  3. Enter キーを押します。
    XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。