CA Directory ポリシー ストアの設定

ここでは、ポリシー データと暗号化キーを格納するために単一の CA Directory サーバ インスタンスを設定する方法について説明します。実装に必要な場合は、別のキー ストアを設定できます。単一のディレクトリ サーバを使用すると管理タスクが簡略化されます。
casso127jpjp
ここでは、ポリシー データと暗号化キーを格納するために単一の CA Directory サーバ インスタンスを設定する方法について説明します。実装に必要な場合は、別のキー ストアを設定できます。単一のディレクトリ サーバを使用すると管理タスクが簡略化されます。
ディレクトリ サーバ情報の収集
CA Directory をポリシー ストアとして設定するには、特定のディレクトリ サーバ情報が必要です。ポリシー ストアを設定する前に、以下の情報を収集します。値を記録するためにポリシー ストアのワークシートを使用できます。
  • ホスト情報
    - CA Directory が実行されているシステムの完全修飾ホスト名または IP アドレスを決定します
  • DSA ポート番号
    - DSA がリスニングするポートを決定します。
  • ベース DN
    - ポリシー ストア オブジェクトが定義される LDAP ツリーのノードの識別名を決定します。
  • 管理 DN
    - DSA 内のオブジェクトを管理するために
    Single Sign-On
    が使用するアカウントの LDAP ユーザ名を決定します。
  • 管理者パスワード
    - InfoView 管理ユーザのパスワードを決定します。
ポリシー ストア用の DSA の作成
以下のコマンドを実行して DSA を作成します。
dxnewdsa DSA_Name port "o=DSA_Name,c=country_code"
  • DSA_Name
    DSA の名前を指定します。
  • ポート
    DSA がリスンするポートを指定します。
  • o=DSA_Name,c=country_code
    DSA プレフィクスを指定します。
    例:
    "o=psdsa,c=US"
dxnewdsa ユーティリティが新しい DSA を起動します。
注:
DSA が自動的に起動しない場合は、以下を実行します。
dxserver start DSA_Name
ポリシー ストア スキーマの作成
ディレクトリ サーバがポリシー ストアとして機能できるように、ポリシー ストア スキーマを作成します。
重要:
デフォルトでは、CA Directory 設定ファイルは読み取り専用です。変更が必要なすべての CA Directory ファイルは書き込み権限で更新される必要があります。ファイルが一度更新されたら、読み取り専用の権限に戻すことができます。また、CA Directory によって提供された default.xxx ファイルはすべて、CA Directory のアップグレード中に上書きされます。読み取り専用ファイルを変更するときは注意が必要です。
以下の手順に従います。
  1. CA Directory
    DXHOME\
    config\schema ディレクトリに以下のファイルをコピーします。
    • netegrity.dxc
    • etrust.dxc
    • DXHOME
      ディレクトリ サーバのインストール パスを示します。
    注:
    netegrity.dxc ファイルは、ポリシー サーバと共に
    siteminder_home
    \eTrust にインストールされます。注: etrust.dxc ファイルは、ポリシー サーバとともに
    siteminder_home
    \xps\db にインストールされます。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
      • Windows %
        DXHOME
        %
      • Unix/Linux: $
        DXHOME
  2. default.dxg スキーマ ファイルをコピーしてその名前を変更することにより、
    Single Sign-On
    スキーマ ファイルを作成します。
    注:
    default.dxg スキーマ ファイルは、
    DXHOME
    \config\schema\default.dxg にあります。
    例:
    default.dxg スキーマ ファイルをコピーし、そのコピーの名前を smdsa.dxg に変更します。
  3. 新しい
    Single Sign-On
    スキーマ ファイルの下部へ以下の行を追加します。
    #CA Schema
    source "netegrity.dxc";
    source "etrust.dxc";
  4. スキーマを default.dxg から新しい 
    Single Sign-On
    スキーマ ファイルに変更することにより、DSA の DXI ファイル(
    DSA_Name
    .dxi)を編集します。
    • DSA_Name
      ポリシーストア用に作成した DSA の名前を表します。
    注:
    DXI ファイルは
    DXHOME
    \config\servers にあります。
  5. DSA の DXI ファイルの終わりに、以下の行を追加します。
    # cache configuration
    set ignore-name-bindings = true;
  6. DSA のデフォルト制限 DXC ファイル(default.dxc)をコピーして、
    Single Sign-On
    DXC ファイルを作成します。
    例:
    デフォルト DXC ファイルをコピーし、そのコピーの名前を smdsa.dxc に変更します。
    注:
    デフォルト DXC ファイルは、
    DXHOME
    \dxserver\config\limits にあります。
  7. 以下のように新しい DXC ファイル内の設定を編集します。
    # size limits
    set max-users = 1000;
    set credits = 5;
    set max-local-ops = 1000;
    set max-op-size = 4000;
    set multi-write-queue = 20000;
    注:
    CA Directory r12 SP7 以降を使用している場合は、「max-local-ops」設定を設定する必要はありません。
    重要:
    複数の書き込みキュー設定は、テキスト ベースの設定でのみ使用できます。DSA が DXmanager でセットアップされる場合は、この設定を省略します。
    注:
    サイズ制限設定を編集すると、キャッシュ サイズ エラーが CA Directory ログ ファイルに表示されなくなります。
  8. DXC ファイルを保存します。
  9. default.dxc から新しい
    Single Sign-On
    制限ファイルに制限設定を変更することにより、DSA の DXI ファイル(
    DSA_Name
    .dxi)を編集します。
    例:
    default.dxc から smdsa.dxc に制限設定を変更します。
    • DSA_Name
      ポリシーストア用に作成した DSA の名前を表します。
      注:
      DSA の DXI ファイルは DXHOME\config\servers にあります。DXmanager を使用して DSA を作成した場合、既存の制限ファイルの名前は dxmanager.dxc になります。
  10. DSA ユーザとして、以下のコマンドを使用して DSA を停止して再起動します。
    dxserver stop DSA_Name
    dxserver start DSA_Name
    • DSA_Name
      DSA の名前を指定します。
    ポリシー ストア スキーマが作成されます。
DSA を開く
ディレクトリ サーバのビューを作成し、オブジェクトを管理します。
以下の手順に従います。
  1. データベースは、必ず匿名のログインに対して設定します。
  2. JXplorer GUI を起動します。
  3. 接続アイコンをクリックします。
    接続設定が表示されます。
  4. [ホスト名]フィールドに
    host_name_or_IP_address
    を入力します。
    • host_name_or_IP_address
      CA Directory が実行されているシステムのホスト名または IP アドレスを指定します。
  5. [ポート番号]フィールドに
    port_number
    を入力します。
    • port_number
      DSA がリスニングするポートを指定します。
  6. [ベース DN]フィールドに「
    o=DSA_Name
    ,c=
    country_code
    」と入力します。
    例:
    o=psdsa,c=US
  7. レベル リストから[匿名]を選択して、[接続]をクリックします。
    DSA のビューが表示されます。
ポリシー ストア データ用のベース ツリー構造の作成
ポリシー ストア データを保持するためのベース ツリー構造を作成します。JXplorer GUI を使用し、組織単位を作成します。
以下の手順に従います。
  1. DSA のルート要素を選択します。
  2. ルート要素の下に、以下の名前を持つ組織単位を作成します。
    Netegrity
  3. Netegrity の下に、以下の名前を持つ組織単位(ルート要素)を作成します。
    SiteMinder
  4. SiteMinder の下に、以下の名前を持つ組織単位(ルート要素)を作成します。
    PolicySvr4
  5. PolicySvr4 の下に以下の名前の組織単位(ルート エレメント)を作成します。
    XPS
    ベース ツリー構造が作成されます。
DSA のスーパーユーザ管理者の作成
Single Sign-On
 が DSA にアクセスするために使用できる管理者アカウントがない場合にのみ、スーパーユーザ管理者を作成する必要があります。ポリシー サーバは、ポリシー ストアに接続するためにこの情報を必要とします。
以下の手順に従います。
  1. JXplorer GUI を使用して DSA にアクセスします。
  2. ポリシー ストアに接続するために
    Single Sign-On
    が使用できる管理者を作成します。
    注:
    以下のオブジェクト タイプでユーザを作成します。
    inetOrgPerson
  3. 管理者 DN とパスワードを書き留めておきます。ポリシー サーバからポリシー ストアを参照する場合に、認証情報を使用します。
例:
dn:cn=admin,o=yourcompany,c=in
ポリシー サーバからポリシー ストアへの参照の設定
casso127jpjp
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリシー ストアにアクセスできるようにします。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
    casso127jpjp
    重要:
    Windows サーバ上で、ユーザ アカウント制御 (UAC) が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いの
    Single Sign-On
    コンポーネントの「リリース ノート」を参照してください。
  2. [データ]タブをクリックします。
  3. データベース リストから以下の値を選択します。
    Policy Store
  4. ストレージ リストから以下の値を選択します。
    LDAP
  5. [LDAP ポリシー ストア]グループ ボックスで、以下を設定します。
    • LDAP IP アドレス
    • Admin Username
    • Password
    • パスワードの確認入力
    • ルート DN
    : フィールド、コントロール、およびそれぞれの要件については、[ヘルプ]をクリックしてください。
  6. [適用]をクリックします。
  7. [LDAP 接続のテスト]をクリックして、ポリシー サーバがポリシー ストアにアクセスできることを確認します。
  8. データベース リストから以下の値を選択します。
    Key Store
  9. ストレージ リストから以下の値を選択します。
    LDAP
  10. 以下のオプションを選択します。
    Use Policy Store database
  11. [OK]をクリックします。
Single Sign-On
スーパーユーザ パスワードの設定
casso127jpjp
デフォルトの管理者アカウントの名前は
siteminder
です。このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
  • 管理 UI に初めてアクセスするとき。
  • Single Sign-On
    ユーティリティの管理を初めて行うとき。
  • スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
  1. smreg ユーティリティを
    siteminder_home
    \bin にコピーします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
    注:
    このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。
  2. 以下のコマンドを実行します。
    smreg -su 
    password
    • password
      デフォルトの管理者のパスワードを指定します。
    パスワードには、以下の要件があります。
    • パスワードは 6 文字以上、24 文字以下である必要があります。
    • パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
    • パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
    注:
    Oracle ポリシー ストアを設定している場合、パスワードは大文字と小文字を区別します。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。
  3. siteminder_home
    \bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
CA ディレクトリ キャッシュ設定の確認
DXconsole を使用して、DXcache の設定が有効であることを確認することができます。
注:
デフォルトでは、DxConsole はローカル ホストからのみアクセス可能です。DxConsole にリモート システムからの接続を承諾させる set dsa コマンドの使用の詳細については、「
ディレクトリ設定ガイド
」を参照してください。
以下の手順に従います。
  1. DSA DXConsole ポートに Telnet を実行するために、コマンド プロンプトから以下のコマンドを入力します。
    telnet DSA_HostDXconsole_Port
    • DSA_Host
      DSA をホストしているシステムのホスト名または IP アドレスを指定します。
      注:
      ローカル ホスト上にいる場合は、「
      localhost
      」 を入力します。ホスト名または IP アドレスを入力すると接続できません。
    • DXConsole_Port
      DXconsole がリスニングするポートを指定します。この値が以下のファイルの console-port パラメータに表示されます。
      DXHOME
      \config\knowledge\DSA_Name.dxc
      デフォルト:
      DXconsole ポートは、DSA ポート + 1 の値に設定します。
      例:
      DSA がポート 19389 で実行されている場合、DXconsole ポートは 19390 です。
    DSA 管理コンソールが表示されます。
  2. 以下のコマンドを入力します。
    get cache;
    DSA 管理コンソールは現在の DSA DXcache の設定を表示し、ディレクトリ キャッシング状態を指定します。
  3. 以下のコマンドを入力します。
    logout;
    DXconsole を閉じて、システム プロンプトに戻ります。
ポリシー ストア データ定義のインポート
casso127jpjp
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \xps\dd に移動します。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  2. 以下のコマンドを実行します。
    XPSDDInstall SmMaster.xdd
    • XPSDDInstall
      必要なデータ定義をインポートします。
デフォルトのポリシー ストア オブジェクトのインポート
casso127jpjp
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
  • 必ず
    siteminder_home
    \bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  • Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いの
    Single Sign-On
    コンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \db に移動します。
  2. 以下のいずれかのファイルをインポートします。
    • smpolicy.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy-secure.xml -npass
      • npass
        パスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
      両方のファイルに、デフォルトのポリシー ストア オブジェクトが含まれています。これらのオブジェクトにはデフォルトのエージェント設定オブジェクト(ACO)テンプレート内のデフォルト セキュリティ設定が含まれます。smpolicy–secure ファイルはより制限の厳しいセキュリティ設定を提供します。詳細については、「デフォルトのポリシー ストア オブジェクトおよびスキーマ ファイル」を参照してください。
    • Option Pack 機能をインポートするには、以下のコマンドを実行します。
      XPSImport ampolicy.xml -npass
    • フェデレーション機能をインポートするには、以下のコマンドを実行します。
      XPSImport fedpolicy-12.5.xml -npass
    • OAuth または OpenID 接続を使用するには、以下のコマンドを実行して、デフォルト OAuth エンティティおよび OpenID 接続用のデフォルトのクレームおよびスコープ オブジェクトをインポートします。
      XPSImport default-fedobjects-config.xml -npass
      -npass
      は、パスフレーズが必要ではないことを指定します。
    ベース ポリシー ストア オブジェクトがインポートされます。
注:
ampolicy.xml をインポートすると、
Single Sign-On
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービスの変数機能が使用可能になります。eTelligent ルール機能を使用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問い合わせてください。
管理 UI 登録の準備
casso127jpjp
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
  • 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
  • (UNIX) XPSRegClient を使用する前に、
    Single Sign-On
    環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行します。
    XPSRegClient super_user_account_name[:
    passphrase
    ] -adminui-setup -t 
    timeout 
    -r 
    retries 
    -c 
    comment 
    -cp -l 
    log_path 
    -e 
    error_path 
    -vT -vI -vW -vE -vF
    • passphrase
      デフォルトのスーパーユーザ アカウントのパスワードを指定します。
      注:
      パスフレーズを指定しないと、XPSRegClient により、パスフレーズの入力とその確認を求めるプロンプトが表示されます。
    • -adminui–setup
      管理 UI がポリシー サーバに初めて登録されることを指定します。
    • -t
      timeout
      (任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。
      測定単位
      : 分
      デフォルト:
      240(4 時間)
      最小:
      15
      最大値:
      1440 (24 時間)
    • -r
      retries
      (任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。
      デフォルト:
      1
      最大:
      5
    • -c
      comment
      (任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。
      : コメントは引用符で囲んでください。
    • -cp
      (任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。
      : コメントは引用符で囲んでください。
    • -l
      log_path
      (任意)登録ログ ファイルをエクスポートする場所を指定します。
      デフォルト:
      siteminder_home
      \log
      siteminder_home
      ポリシー サーバのインストール パスを指定します。
    • -e
      error_path
      (任意)例外を指定されたパスに送信します。
      デフォルト
      : stderr
    • -vT
      (任意)詳細レベルを TRACE に設定します。
    • -vI
      (任意)詳細レベルを INFO に設定します。
    • -vW
      (任意)詳細レベルを WARNING に設定します。
    • -vE
      (任意)詳細レベルを ERROR に設定します。
    • -vF
      (任意)詳細レベルを FATAL に設定します。
  3. Enter キーを押します。
    XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。