ポリシー サーバのインストールの準備

以下の手順に従ってポリシー サーバをインストールするシステムを準備します。
casso127jpjp
以下の手順に従ってポリシー サーバをインストールするシステムを準備します。
2
インストールに関する考慮事項の確認
インストールのためにシステムを実行する前に、以下の考慮事項を確認します。
  • CPU
    Red Hat
    - x64
  • メモリ
    - 2 GB のシステム RAM
    ヒント:
    ポリシー サーバの処理には 2 GB の RAM を使用し、ポリシー サーバのホスト システムが少なくとも 4 GB の RAM を使用できるようにしてください。
  • 使用可能なディスク領域
    • 4 GB の空きディスク領域
    • /tmp のポリシー サーバ用空きディスク容量 3 GB、およびポリシー サーバ設定ウィザード用 150 MB
    一般的に、ポリシー サーバの日常の運用には /tmp の空きディスク領域が 10 MB 必要です。ポリシー サーバは、/tmp の下にファイルおよび名前付きパイプを作成します。パスは変更できません。
  • JRE
    - JDK で配布される必須 JRE がポリシー サーバ ホスト システムにインストールされていることを確認します。
  • JCE
    — JRE が、JCE (Java Cryptography Extension)パッケージで無制限のキー強度をサポートしていることを確認します。
    JDK 1.8_151 以降の場合、以下の手順を実行します。
    1. jdk_home
      /jre/lib/security ディレクトリに移動し、
      java.security
      ファイルを開きます。
    2. 以下の行のコメント行を解除します。
      crypto.policy=unlimited
    3. ファイルを保存します。
    その他の以前のバージョンの JDK の場合は、以下の手順を実行します。
    1. Oracle Web サイトから、ご利用のオペレーティング システム用の JCE パッケージを見つけます。
    2. Single Sign-On
      でサポートされている Java バージョン用の unlimited JCE パッケージをダウンロードします。
    3. システム上の
      jdk_home
      \jre\lib\security ディレクトリに移動し、以下のファイルにパッチを適用します。
      • local_policy.jar
      • US_export_policy.jar
    jdk_home
    は Java がインストールされている場所を指定します。
  • 権限
    - ポリシー サーバをインストールするユーザが、インストール ディレクトリに対する書き込み権限を持っていることを確認します。ポリシー サーバのインストール先のフォルダに十分な権限(755)が設定されている必要があります。
  • LDAP ディレクトリ サーバまたはリレーショナル データベース
    - ポリシー ストアとして、サポートされている LDAP ディレクトリ サーバまたはリレーショナル データベースを使用していることを確認します。サポートされている CA およびサードパーティ コンポーネントのリストについては、CA Single Sign-On プラットフォーム サポート マトリクスを参照してください。
  • Exceed の X Window アプリケーション
    - Exceed の X Window アプリケーションを使用してインストーラまたは設定ウィザードを実行すると、Exceed で利用できないフォントが原因でウィンドウ内のテキストが切り捨てられることがあります。この制約は、インストールまたは設定には影響しません。
  • 環境変数
    -- ポリシー サーバ インストールによって環境変数が変更されます。
必要な KornShell パッケージのインストール
Linux プラットフォームでのポリシー サーバのインストールおよびアップグレードに、Korn シェル(ksh)が必要です。ksh-20100621-16.el6.x86_64.rpm ライブラリがあることを確認します。
UNIX アカウントの作成
特定のアカウントでポリシー サーバをインストールするための非特権(root 以外)ユーザ アカウントを作成することをお勧めします。名前 smuser でユーザ アカウントを作成するには、デフォルトの KornShell を使用します。
root ユーザとしてポリシー サーバをインストールしてから、smuser としてポリシー サーバを実行するには、ポリシー サーバ バイナリの所有権を smuser に変更して、smuser アカウントからバイナリを起動します。
エントロピーの増加
デフォルトでは、Red Hat はランダムな番号を生成するために一般的なコンピューティング操作から取得されるエントロピーを使用します。Red Hat のデフォルトのランダム番号生成プログラムで生成されるランダム番号を以下の文字デバイスで使用できます。
  • /dev/random。これは、エントロピー量が適切なランダム出力を生成するのに十分でない場合に番号の提供を停止するため、最も安全性の高いデバイスです。
  • /dev/urandom。これは、カーネルのエントロピー プールを再利用して、低エントロピーで無制限の擬似ランダム番号を提供します。
ポリシー サーバは、キー生成のために /dev/random 文字デバイスを使用します。ただし、/dev/random は、エントロピーが十分でない場合に番号の提供を停止するため、ポリシー サーバの実行時パフォーマンスに影響が及ぶ可能性があります。
エントロピー プールの乱雑さの度合いを増やすためには、以下のオプションのいずれかを使用します。
  • 安全性が最も高く FIPS 準拠: ハードウェア エントロピー ジェネレータをインストールし、/dev/random への入力に使用するように rngd デーモンを設定します。
    例: rngd -r /dev/
    device_name
     -o /dev/random -b
    device_name
    は、使用中の文字デバイスです。デバイス名は、/dev/hwrng など、使用しているハードウェア乱数ジェネレータに応じて異なります。
    rngd デーモンの詳細については、Red Hat のドキュメントを参照してください。
  • 適切なセキュリティで FIPS 準拠: /dev/random に入力するように rngd デーモンを設定します。以下のコマンドを実行します。
    rngd -r /dev/urandom -o /dev/random -b
    サードパーティの rngd エントロピー デーモンも使用できます。
  • 安全性が最も低く FIPS 準拠: /dev/urandom と /dev/random の間のシンボリック リンクを設定します。以下のコマンドを実行します。
    mv /dev/random /dev/random.org
    ln -s /dev/urandom /dev/random
    重要:
    システム クラッシュまたは再起動の後に十分なエントロピーがポリシーサーバで利用可能であることを確認するには、適切なスタートアップまたはサービス スクリプトに、選択したオプションを追加します。
システム上のエントロピーを監視するには、以下のコマンドを実行します。
watch -n 1 cat /proc/sys/kernel/random/entropy_avail
必要な Linux ライブラリの確認
RedHat 環境で X11 をサポートする場合、ポリシー サーバに追加ライブラリ ファイルは必要ありません。RedHat 環境が X11 をサポートしていない場合(たとえば、ヘッドレス環境)は、X11 をサポートするのに必要なライブラリをインストールします。
デフォルト制限パラメータを変更します。
ポリシー サーバは、負荷がかかると、複数のソケットおよびファイルを開きます。デフォルト制限パラメータが負荷を処理できるようにするには、デフォルトの上限パラメータを変更して 
リソースの問題を回避します。
デフォルト制限パラメータを表示するには、シェル ウィンドウで以下のコマンドを入力します。
ulimit -a
パラメータのリストが表示されます。
例:
$ ulimit -a
 
time(seconds)
unlimited
file(blocks)
unlimited
data(kbytes
2097148
stack(kbytes)
8192
coredump(blocks)
unlimited
nofiles(descriptors)
256
vmemory(kbytes)
unlimited
たとえば、ポリシー サーバが smuser アカウントに許可するオープン接続の数は nofiles パラメータで定義されます。デフォルト値は 256 です。
このパラメータが十分に高い値に設定されていないと、ポリシー サーバは多くのソケット エラーを返します。そのために、smuser アカウントのプロファイル ファイルに以下のコマンドを配置することにより、
この値を変更します。
ulimit -n 
value
例: 
ulimit -n 1024
ローカライズ変数の設定解除
LC_* 環境変数の使用は許可されません。ユーザ アカウント、smuser または root のプロファイルでそれらの設定を解除してから、ポリシー サーバをインストールします。
LANG 環境変数の設定解除または英語(米国)への設定
以下の
いずれか
のアクションを実行します。
  • $LANG 環境変数の設定を解除します。unset LANG コマンドを smuser アカウントのプロファイルに追加します。
  • $LANG 環境変数を
    en_US
    に設定します。