ポリシー サーバのインストールの準備
以下の手順に従ってポリシー サーバをインストールするシステムを準備します。
casso126jjp
以下の手順に従ってポリシー サーバをインストールするシステムを準備します。
2
インストールに関する考慮事項の確認
インストールのためにシステムを実行する前に、以下の考慮事項を確認します。
- CPURed Hat- x64
- メモリ- 2 GB のシステム RAMヒント:ポリシー サーバの処理には 2 GB の RAM を使用し、ポリシー サーバのホスト システムが少なくとも 4 GB の RAM を使用できるようにしてください。
- 使用可能なディスク領域
- 4 GB の空きディスク領域
- /tmp のポリシー サーバ用空きディスク容量 3 GB、およびポリシー サーバ設定ウィザード用 150 MB
- JRE- JDK で配布される必須 JRE がポリシー サーバ ホスト システムにインストールされていることを確認します。
- JCE- 現在の Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction パッチは Java の暗号化アルゴリズムを使用するのに必要です。オペレーティング システム用の JCE パッケージを特定するには、Oracle Web サイトに移動し、ポリシー サーバでサポートされている Java バージョン用の JCE パッケージをダウンロードします。システム上のディレクトリjre_home\lib\security に移動し、以下のファイルにパッチを適用します。
- local_policy.jar
- US_export_policy.jar
- LDAP ディレクトリ サーバまたはリレーショナル データベース- ポリシー ストアとして、サポートされている LDAP ディレクトリ サーバまたはリレーショナル データベースを使用していることを確認します。 サポートされている CA およびサードパーティ コンポーネントのリストについては、CA Single Sign-On プラットフォーム サポート マトリクスを参照してください。
- Exceed の X Window アプリケーション- Exceed の X Window アプリケーションを使用してインストーラまたは設定ウィザードを実行すると、Exceed で利用できないフォントが原因でウィンドウ内のテキストが切り捨てられることがあります。この制約は、インストールまたは設定には影響しません。
- 環境変数-- ポリシー サーバ インストールによって環境変数が変更されます。
必要な KornShell パッケージのインストール
Linux プラットフォームでのポリシー サーバのインストールおよびアップグレードに、Korn シェル(ksh)が必要です。ksh-20100621-16.el6.x86_64.rpm ライブラリがあることを確認します。
UNIX アカウントの作成
特定のアカウントでポリシー サーバをインストールするための非特権(root 以外)ユーザ アカウントを作成することをお勧めします。名前 smuser でユーザ アカウントを作成するには、デフォルトの KornShell を使用します。
root ユーザとしてポリシー サーバをインストールしてから、smuser としてポリシー サーバを実行するには、ポリシー サーバ バイナリの所有権を smuser に変更して、smuser アカウントからバイナリを起動します。
エントロピーの増加
デフォルトでは、Red Hat はランダムな番号を生成するために一般的なコンピューティング操作から取得されるエントロピーを使用します。Red Hat のデフォルトのランダム番号生成プログラムで生成されるランダム番号を以下の文字デバイスで使用できます。
- /dev/random。これは、エントロピー量が適切なランダム出力を生成するのに十分でない場合に番号の提供を停止するため、最も安全性の高いデバイスです。
- /dev/urandom。これは、カーネルのエントロピー プールを再利用して、低エントロピーで無制限の擬似ランダム番号を提供します。
ポリシー サーバは、キー生成のために /dev/random 文字デバイスを使用します。ただし、/dev/random は、エントロピーが十分でない場合に番号の提供を停止するため、ポリシー サーバの実行時パフォーマンスに影響が及ぶ可能性があります。
エントロピー プールの乱雑さの度合いを増やすためには、以下のオプションのいずれかを使用します。
- 安全性が最も高く FIPS 準拠: ハードウェア エントロピー ジェネレータをインストールし、/dev/random への入力に使用するように rngd デーモンを設定します。例: rngd -r /dev/device_name-o /dev/random -bは、使用中の文字デバイスです。デバイス名は、/dev/hwrng など、使用しているハードウェア乱数ジェネレータに応じて異なります。device_namerngd デーモンの詳細については、Red Hat のドキュメントを参照してください。
- 適切なセキュリティで FIPS 準拠: /dev/random に入力するように rngd デーモンを設定します。以下のコマンドを実行します。rngd -r /dev/urandom -o /dev/random -bサードパーティの rngd エントロピー デーモンも使用できます。
- 安全性が最も低く FIPS 準拠: /dev/urandom と /dev/random の間のシンボリック リンクを設定します。以下のコマンドを実行します。mv /dev/random /dev/random.org ln -s /dev/urandom /dev/random重要:システム クラッシュまたは再起動の後に十分なエントロピーがポリシーサーバで利用可能であることを確認するには、適切なスタートアップまたはサービス スクリプトに、選択したオプションを追加します。
システム上のエントロピーを監視するには、以下のコマンドを実行します。
watch -n 1 cat /proc/sys/kernel/random/entropy_avail
必要な Linux ライブラリの確認
RedHat 環境で X11 をサポートする場合、ポリシー サーバに追加ライブラリ ファイルは必要ありません。RedHat 環境が X11 をサポートしていない場合(たとえば、ヘッドレス環境)は、X11 をサポートするのに必要なライブラリをインストールします。
デフォルト制限パラメータを変更します。
ポリシー サーバは、負荷がかかると、複数のソケットおよびファイルを開きます。デフォルト制限パラメータが負荷を処理できるようにするには、デフォルトの上限パラメータを変更して
リソースの問題を回避します。
デフォルト制限パラメータを表示するには、シェル ウィンドウで以下のコマンドを入力します。
ulimit -a
パラメータのリストが表示されます。
例:
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
たとえば、ポリシー サーバが smuser アカウントに許可するオープン接続の数は nofiles パラメータで定義されます。デフォルト値は 256 です。
このパラメータが十分に高い値に設定されていないと、ポリシー サーバは多くのソケット エラーを返します。そのために、smuser アカウントのプロファイル ファイルに以下のコマンドを配置することにより、
この値を変更します。
ulimit -nvalue
例:
ulimit -n 1024
ローカライズ変数の設定解除
LC_* 環境変数の使用は許可されません。ユーザ アカウント、smuser または root のプロファイルでそれらの設定を解除してから、ポリシー サーバをインストールします。
LANG 環境変数の設定解除または英語(米国)への設定
以下の
いずれか
のアクションを実行します。- $LANG 環境変数の設定を解除します。 unset LANG コマンドを smuser アカウントのプロファイルに追加します。
- $LANG 環境変数をen_USに設定します。