インストーラのための情報の収集
ポリシー サーバ インストーラには以下の情報が必要です。
casso126jjp
ポリシー サーバ インストーラには以下の情報が必要です。
- FIPS モード
- インストールする機能とその関連設定情報
- JRE の場所
- ポリシー サーバのインストール場所
- ポリシー サーバとポリシー ストアの間で情報を保護する暗号化キー値
インストーラの実行に必要な情報を収集するには、以下の手順に従います。
FIPS モードの決定
ポリシー サーバは、FIPS (Federal Information Processing Standard)140-2 準拠の認定暗号ライブラリを使用します。FIPS は、AES (Advanced Encryption Standard: 高度暗号化標準)に適合する暗号モジュールを信用するために使用される米国政府のコンピュータ セキュリティ標準です。
Single Sign-On
環境が機密データを暗号化するために FIPS 準拠のアルゴリズムのみを使用する場合、ライブラリは FIPS 動作モードを提供します。以下の FIPS 操作モードのうちのいずれかで、ポリシー サーバをインストールすることができます。
注
: ポリシー サーバが動作する FIPS モードは、システム固有のものです。詳細については、「 プラットフォーム サポート マトリックス」を参照してください。- FIPS 互換モード - インストール中のデフォルト FIPS 操作モードは、FIPS 互換モードです。FIPS 互換モードでは、この環境は機密データを暗号化するために既存のアルゴリズムを使用し、旧バージョンのSingle Sign-Onと互換性があります。注:
- 環境内での FIPS 準拠のアルゴリズムの使用はオプションです。
- 組織が FIPS 準拠のアルゴリズムの使用を必要としない場合は、FIPS 互換モードでポリシー サーバをインストールします。追加設定は必要ありません。
- FIPS 移行モード -- FIPS 互換モードで実行されている環境を FIPS 専用モードに移行できます。 FIPS 準拠アルゴリズムのみを使用する環境に移行するときに、このモードではポリシー サーバは既存の暗号化アルゴリズムを引き続き使用します。FIPS 準拠のアルゴリズムのみを使用ように既存の環境を設定するときには、このモードを使用します。
- FIPS 専用モード - FIPS 専用モードでは、環境は機密データを暗号化するために FIPS 準拠のアルゴリズムをのみ使用します。 既存の環境が新しいバージョンにアップグレードされ、FIPS 準拠のアルゴリズムのみを使用するように設定される場合は、このモードを使用します。
重要:
FIPS 専用モードで実行されている環境は、FIPS を完全にサポートしない Single Sign-On
のバージョン(r12.0 よりも前のバージョン)では動作できません。この制限は、すべてのエージェント、エージェント API の旧バージョンを使用するカスタム ソフトウェア、および PM API またはポリシー サーバが公開するその他の API を使用するカスタム ソフトウェアに適用されます。そのようなソフトウェアをすべて対応する SDK のバージョンと再リンクして、必要な FIPS サポートを実現します。インストールおよび設定されている機能の決定
ポリシー サーバに加えて、インストーラで以下のコンポーネントをインストールおよび設定できます。
- OneView モニタSingle Sign-Onコンポーネントの監視を有効にします。OneView モニタを使用するためには、サポートされている Java SDK および Apache Tomcat サーバがシステムにインストールされている必要があります。以下の情報を確認しておきます。
- JDK パス必要な JDK バージョンへのパスを定義します。
- Apache Tomcat インストール ディレクトリApache Tomcat のインストール ディレクトリへのパスを定義します。Tomcat インスタンスが複数ある場合は、どのインスタンスに対して OneView モニタ GUI を設定するかを決定してください。
- Tomcat コンテナ ポート番号Tomcat インスタンスのポート番号を定義します。管理 UI と同じシステム上に OneView モニタをインストールする場合は、競合を避けるために Tomcat ポート番号をデフォルトの 8080 から別の番号に変更してください。
- Sun Java System 管理者ディレクトリSun Java System および Sun Java System Web サーバのインストール場所を定義します。
重要:初めてこのシステムにポリシー サーバをインストールする場合は、OneView モニタを設定しないでください。インストーラは、UI をホストする Web サーバの設定ファイルを変更します。smuser アカウントには必要なルート権限がありません。root ユーザとしてポリシー サーバ設定ウィザードを使用して、システムにポリシー サーバをインストールした後に OneView モニタ UI を設定します。 - Web サーバシングル サインオン オブジェクトを管理するために FSS UI でポリシー サーバの接続を設定できます。
- SNMPSNMP 対応ネットワーク管理アプリケーションによる環境のさまざまな動作状況の監視を可能にします。 SNMP サポートを有効にするために以下のアイテムが必要です。
- ルート ユーザのパスワード
- ネイティブ SunSolstice マスタ エージェント
- ポリシー ストアインストーラは以下のストアのいずれかをポリシー ストアとして自動的に設定できます。
- リレーショナル データベース
- ADAM/AD LDS (Microsoft Active Directory ライトウェイト ディレクトリ サービス)
- Oracle® Directory Server
ポリシー ストア タイプの決定
ポリシー ストアは、ポリシー サーバのインストール時にはインストーラを使用して設定し、ポリシー サーバのインストール後は手動で設定できます。インストーラは以下のストアのいずれかをポリシー ストアとして自動的に設定できます。
- リレーショナル データベース
- Microsoft SQL
- Oracle
- PostgreSQL
- ADAM/AD LDS (Microsoft Active Directory ライトウェイト ディレクトリ サービス)
- Oracle® Directory Server
重要: AD LDS および Oracle Directory Server の場合は、インストーラは SSL 接続を使用して接続されているポリシー ストアを自動的に設定できません。
以下の考慮事項を確認します。
- (リレーショナル データベース)インストーラは特定のデータベース情報を使用して、名前 CA SiteMinder DSN のポリシー ストア データ ソースを作成します。ポリシー サーバは、このデータ ソースを使用してポリシー ストアと通信します。インストーラは、siteminder_home/db にある system_odbc.ini ファイルにこのデータ ソースを保存します。
- (リレーショナル データベース)ポリシー ストアをホストするデータベース サーバが UTF-8 形式でオブジェクトを格納するように設定されていることを確認します。この設定によってポリシー ストア破損の可能性を回避します。
- (Oracle)多くの Oracle 文字セットでユニコードがサポートされます。UTF-8 形式でオブジェクトを格納するためのデータベースの設定の詳細については、ベンダー固有のドキュメントを参照してください。
- (SQL Server)データベースがデフォルトの照合(SQL_Latin1_General_CP1_CI_AS)を使用して設定されていることを確認してください。大文字/小文字を区別した照合を使用すると、予期しない動作をする場合があります。デフォルトの照合を使用してオブジェクトを格納するためのデータベース設定の詳細については、ベンダー固有のドキュメントを参照してください。
- キー ストアおよび証明書データ ストアは自動的に設定され、ポリシーと連結されます。
インストーラは、選択されたデータベースに応じて情報を要求します。各データベースに必要な情報については、「
データベース情報の収集
」セクションの以下のトピックを参照してください。JRE の場所の収集
JDK 付属のサポート対象 JRE がインストールされている場所を収集します。
インストールの場所の決定
インストーラがポリシー サーバをインストールする必要がある場所を決定します。
重要: 700 文字を超えないようにすることをお勧めします。システム パスの長さが 1024 文字を超えると、インストールが失敗します。この制限は、
Single Sign-On
によって追加されたディレクトリの有無にかかわらず適用されます。暗号化キー値の決定
ポリシー サーバとポリシー ストアの間で通信されるデータを保護する暗号化キーの値を決定します。1 つのポリシー ストアを共有するポリシー サーバはすべて同じ暗号化キーを使用する必要があります。セキュリティ保護を強化する場合には、長い暗号化キーを定義します。暗号化キーは、大文字と小文字を区別し、英数字のキー値を含むことができます。
制限:
6 ~ 24 文字。