外部管理者ストアの設定
ポリシー サーバをインストールすると、インストーラはデフォルトのスーパーユーザー アカウントを使用し、ユーザはポリシー ストアを設定できます。ポリシー ストアは、管理者 ID のデフォルトのソースです。ポリシー ストアおよびデフォルトのスーパーユーザ アカウントを使用する代わりに、管理者 ID 用に外部管理者ストアの設定をお勧めします。
casso127jpjp
ポリシー サーバをインストールすると、インストーラはデフォルトのスーパーユーザー アカウントを使用し、ユーザはポリシー ストアを設定できます。ポリシー ストアは、管理者 ID のデフォルトのソースです。ポリシー ストアおよびデフォルトのスーパーユーザ アカウントを使用する代わりに、管理者 ID 用に外部管理者ストアの設定をお勧めします。
重要:
外部管理者ストアに変換した後は、管理 UI へのログインにデフォルトのスーパーユーザ アカウントを使用できません。設定した新しいスーパー ユーザ アカウントを使用します。外部管理者ストアへの接続を設定するには、以下の手順を完了します。
2
外部管理者ストアに関するガイドラインの確認
重要:
ポリシー ストアを管理者 ID のソースとして使用することをいったん中止すると、元に戻すことはできません。外部管理者ストアの設定は、外部ストアを使用するように設定されている 管理 UI にのみ影響します。外部ストアを使用するように設定されていない他の管理 UI は、そのままポリシー ストアを使用して管理者を識別します。外部管理者ストア接続を設定する前に、以下の点を確認してください。
レガシー管理者に関するガイドライン
デフォルトのスーパーユーザ アカウントなどのレガシー管理者は、継続して以下のアクションを実行できます。
- ポリシー管理 API の管理
- トラステッド ホスト管理者としての機能
- ポリシー サーバ ツールの使用
デフォルトのスーパーユーザ アカウントなどのレガシー管理者は、管理 UI でオブジェクトを管理できなくなりました。レガシー管理者が引き続き管理 UI を使用する必要がある場合は、各ベンダーが提供するツールを使用してこれらのユーザを外部ストアに追加してください。ユーザを外部ストアに追加したら、ポリシー ストアから外部ストアに既存のユーザ パスをマップして、これらの権限を回復させることができます。
重要:
外部管理者認証の場合、同じレガシー管理者アカウントが 、管理 UI 、ポリシー管理 API、およびトラステッド ホストの権限を同時に保持することはできません。レガシー管理者がこれらのロールで機能を継続する必要がある場合、レガシー管理者を変更しないでください。ユーザが外部ストアに存在していることを確認し、その外部ユーザの身元を使用して新しい管理者を別に設定します。すべての管理者に関するガイドライン
- 外部ストアへの接続を設定する場合、指定したスーパー ユーザが、デフォルトのスーパー ユーザ アカウントに取って代わります。新しいスーパーユーザは、管理 UI で最大限の権限を持ち、すべてのポリシー サーバ ツールにアクセスできます。スーパーユーザは、新しい管理者に権限を委任できます。
- 複数の管理 UI インスタンスが同じ管理者認証ストアを使用する場合は、同じ IP アドレスまたはドメイン名を使用して各接続を設定します。異なるネットワーク識別子を使用しないでください。
- 外部管理者アカウントは、管理 UI でのみ使用します。外部管理者アカウントは、Web エージェント設定ウィザードまたは smreghost ホスト登録ツールの実行には使用しないでください。
SSL ガイドラインの確認
SSL を使用して外部管理者ストア接続を設定する場合は、以下について考慮してください。
- ディレクトリ サーバは、SSL で通信するように設定する必要があります。ディレクトリ サーバを SSL 接続用に設定する方法の詳細については、ベンダー固有のマニュアルを参照してください。
- スタンドアロン オプションを使用して管理 UI をインストールした場合、組み込みの証明書データベースもインストールされています。
- 既存のアプリケーション サーバ インフラストラクチャに管理 UI をインストールした場合は、アプリケーション サーバによって、必要に応じて証明書データベースが実装されます。証明書データベースの実装の詳細については、各ベンダーのドキュメントを参照してください。
- ディレクトリ接続情報を入力する際には、必ず SSL 対応ポートを入力してください。SSL 対応ポートを入力しないと、管理認証ウィザードは応答しなくなります。
ディレクトリ サーバ情報の収集
Active Directory または LDAP ディレクトリ サーバへの接続を設定している場合は、以下の情報を収集します。
- ホスト名-- ディレクトリ サーバ ホスト システムの IP アドレスまたは完全修飾ドメイン名。
- ポート- ディレクトリ サーバがリスニングするポート。
- ディレクトリ サーバ ユーザのクレデンシャル- ディレクトリ サーバに読み取り/書き込み権限を持つアカウントのユーザ名とパスワード。
- 検索ルート- ディレクトリ サーバのベース DN。
- SSL 証明書- ディレクトリ サーバが SSL 接続を使用して通信するように設定されている場合、SSL 証明書を取得する。
データベース接続情報の収集
データベースへの接続を設定している場合は、以下の情報を収集します。
- ホスト名- データベース ホスト システムの名前。
- ポート- データベースがリスニングするポート。
- データベース名(Microsoft SQL Server 用)- データベースの名前を識別します。
- サービス名(Oracle 用)- データベースのサービス名を識別します。
- データベース ユーザのクレデンシャル- データベースに読み取り/書き込み権限を持つユーザ アカウントのクレデンシャル。重要:Oracle データベースへの接続を設定するには、このユーザに対するデフォルト スキーマを設定してください。デフォルト スキーマは、管理ユーザを含むテーブルに対するスキーマです。このユーザにデフォルト スキーマを設定しないと、管理認証ウィザードはデータベースでユーザを見つけられません。
IPv6 管理者ストア接続を設定します。
IPv6 管理者ストアを設定するには、
standalone.conf.bat
ファイルを設定します。以下の手順に従います。
- 以下の場所に移動します。install-path\SiteMinder\adminui\bin
- standalone.conf.bat ファイルを開き、以下の行に移動します。JAVA_OPTS=%JAVA_OPTS% -Djava.net.preferIPv4Stack=true
- この行を以下の行に置き換えます。JAVA_OPTS=%JAVA_OPTS% -Djava.net.preferIPv4Stack=false -Djava.net.preferIPv6Addresses=true
- 変更を保存します。
外部管理者ストアへの接続の設定
以下のいずれかの種類の外部管理者ストアを設定できます。
- Active Directory
- LDAP ディレクトリ サーバ
- Oracle や MS SQL などのリレーショナル データベース(RDB)
環境内のストアに対する手順に従います。
Active Directory または LDAP 管理者ストア接続の設定
接続を設定することにより、ポリシー ストアから外部の LDAP ストアまたは Active Directory に管理者 ID のリポジトリを変更します。
ヒント:
SSL 接続を介して、管理 UI と LDAP ディレクトリ サーバの間の通信を設定します。SSL は必須ではありませんが、推奨されます。ディレクトリ サーバを SSL 接続用に設定する方法の詳細については、ベンダー固有のマニュアルを参照してください。以下の手順に従います。
- 管理 UI にアクセスします。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">http://hostname:port/iam/siteminder/adminuihostnameには、管理 UI がインストールされている Web サーバの名前を指定します。CA Access Gatewayまたは Apache リバース プロキシ サーバで管理 UI を保護している場合は、これらのサーバのいずれかの名前を使用します。portは製品が動作しているポートを指定します。
- [管理]-[管理 UI]-[管理認証の設定]を選択します。初めて外部管理者ストアを設定する場合は、管理認証の設定ウィザードが表示されます。外部管理者ストアをすでに設定した場合、接続詳細が表示されます。[OK]をクリックしてウィザードを開始します。
- (オプション)Single Sign-Onで管理 UI を保護している場合は、CA Access Gatewayをエージェントとして選択するか、または Apache リバース プロキシ サーバを保護している Apache エージェントを選択します。[Next]をクリックします。詳細については、「CA Single Sign-On による管理 UI の保護」を参照してください。
- 以下の手順のいずれかを実行します。
- AD ネームスペースを使用して外部管理者を設定するには、[ディレクトリ タイプ]ドロップダウン リストの[Active Directory]一覧でディレクトリ サーバを選択し、[次へ]をクリックします。
- LDAP ネームスペースを使用して外部管理者を設定するには、[ディレクトリ タイプ]ドロップダウン リストの[LDAP ディレクトリ]一覧でディレクトリ サーバを選択し、[次へ]をクリックします。
- [ホスト]フィールドに、ディレクトリ サーバ ホスト システムの IP アドレスまたは完全修飾ドメイン名を入力します。重要:複数の管理 UI インスタンスで同じ管理者認証ストアを使用する場合は、すべての接続に対して同じ IP アドレスまたはドメイン名を使用します。例:最初の接続で IP アドレス 123.16.0.0 またはドメイン名 [email protected] を設定した場合は、後続の接続を作成するときも 123.16.0.0 または [email protected] を使用します。
- [ポート]フィールドに、ディレクトリ サーバがリスニングするポートを入力します。SSL 接続を設定するには、SSL 対応ポートを入力します。誤った SSL ポート番号を入力すると、管理認証ウィザードは続行されません。
- (オプション)プライマリ サーバが使用できなくなった場合は、他のサーバへのフェールオーバを設定します。[フェールオーバ]フィールドに 1 つ以上のサーバの IP アドレスまたはホスト名を指定します。構文:IP_address:portまたはhostname:port複数のサーバを指定するには、スペースで各エントリを区切ります。
- (SSL 通信の場合のみ) SSL 接続を設定している場合は、[SSL を使用]を選択し、ディレクトリ サーバに関連付けられた証明機関(CA)の証明書をアップロードします。
- それぞれのフィールドに、ディレクトリ サーバ ユーザの共通名とパスワードを入力します。このユーザにはディレクトリ サーバに対する読み取り/書き込み権限が必要です。[Next]をクリックします。
- 以下のタスクを実行します。
- [検索ルート]フィールドに、ディレクトリ サーバの検索ルートを入力します。
- シャトル コントロールを使用して、管理者に適用するオブジェクト クラスを追加および削除します。
- [Next]をクリックします。
- 必要な各属性にマップするニーモニック属性文字列を選択し、[次へ]をクリックします。ウィザードはユーザを検索するように指示します。重要:LDAP または他のアプリケーションによって使用されるか、または書き込まれるどの属性も指定しないでください。この状況が発生した場合は、/logout.jsp ページにリダイレクトされ、管理 UI にログインできなくなります。
- キーワードフィールドにユーザ名のすべて、または一部を入力します。
- 1 人のユーザを選択し、[次へ]をクリックします。注:選択できるユーザは 1 人だけです。接続が設定されると、このユーザはスーパーユーザになります。
- 接続詳細を確認し、[完了]をクリックします。
- 管理者の新しい認証情報でログインする前に、JBoss サーバを手動で再起動してください。
RDB 管理者ストア接続の設定
接続を設定することにより、ポリシー ストアから外部 RDB ストアに管理者 ID のリポジトリを変更します。
以下のタスクを実行します。
- JDBC データ ソースの展開
- 接続の設定
RDB 用 JDBC データ ソースの展開
リレーショナル データベースへの接続の場合、管理者ストアと通信できるように JDBC データ ソースを設定する必要があります。Java Database Connectivity (JDBC)データ ソースをアプリケーション サーバに展開します。
smjdbcsetup
ユーティリティは、データ ソースを作成します。以下の手順に従います。
- 管理 UI がインストールされているマシンにログインします。
- administrative_ui_home\CA\siteminder\adminui\bin に移動します。administrative_ui_homeには管理 UI のインストール パスを指定します。
- 以下のコマンドを実行します。smjdbcsetup.bat
- セットアップ プロンプトに従います。プロンプトごとに、値を指定して Enter キーを押します。次のデータの入力が求められます。
- 一意の識別子。ユーティリティはデータ ソースにその識別子を追加します。
- データベース ドライバのタイプ
- データベース ホスト システム。
- データベースがリスンするポート。
- Microsoft SQL Server への接続を設定している場合、ユーティリティはデータベース名を入力するようにユーザに指示します。
- Oracle への接続を設定している場合、ユーティリティはサービス名を入力するようにユーザに指示します。データベースまたはサービス名を指定します。
- データベース ユーザ アカウント名。このユーザ アカウントにはデータベースに対する読み取り/書き込み権限が必要です。
- データベース ユーザのパスワード。
- 接続の詳細を確認し、「y」を入力します。このユーティリティは、smadministratorsという名前のデータ ソースを展開します。
- 要求されたら、管理 UI サービスを再起動します。データ ソースを使用して接続を作成できるようにするには、先に UI サービスを再起動する必要があります。
- サービスを起動します。「y」 を入力します。
データ ソースが設定されて、ユーティリティが終了します。
RDB ストアへの接続の設定
以下の手順に従います。
- [管理]-[管理 UI]をクリックします。
- [管理認証の設定]をクリックします。
- 初めて外部管理者ストアを設定する場合は、管理認証の設定ウィザードが表示されます。
- 管理 UI に外部管理者ストアが設定されている場合、接続詳細が表示されます。[OK]をクリックし、管理認証の設定ウィザードを開始します。
- (オプション)Single Sign-Onで管理 UI を保護している場合は、CA Access Gatewayまたは Apache リバース プロキシ サーバを保護している Apache エージェントをエージェントとして選択します。[Next]をクリックします。詳細については、「CA Single Sign-On による管理 UI の保護」を参照してください。
- ディレクトリ タイプ リストから以下のいずれかの項目を選択します。
- ユーザ スキーマにユーザのフル ネームを識別する列が含まれている場合は、リレーショナル データベース([フル ネーム]列あり)テンプレートを選択します。
- ユーザのフル ネームを計算する必要がある場合は、リレーショナル データベース([フル ネーム]列なし)テンプレートを選択します。
- [Next]をクリックします。データ ソースが表示されない場合は、[キャンセル]をクリックし、アプリケーション サーバに JDBC データ ソースを展開します。データ ソースを展開せずに接続を作成することはできません。
- データ ソースを選択し、[次へ]をクリックします。
- ユーザ テーブルを選択し、[次へ]をクリックします。
- 以下のタスクのいずれかを実行します。
- リレーショナル データベース([フル ネーム]列あり)テンプレートを選択した場合は、必要なユーザ属性のそれぞれにマップする列名を選択します。[Next]をクリックします。
- リレーショナル データベース(フル ネームなし)テンプレートを選択した場合は、以下のようにします。
- 必要なユーザ属性のそれぞれにマップする列名を選択します。
- フル ネームの取得クエリを構築します。##FIRST_NAME、##LAST_NAME、および ##PRIMARY_KEY をかユーザ属性にマップする列名で置き換えます。クエリの最後には疑問符(?)を残します。例: select SmUser.FirstName + ' ' + SmUser.LastName from SmUser where SmUser.UserID = ?
- [次へ]をクリックします。
- [ユーザ キーワード]フィールドにユーザ名のすべて、または一部を入力します。
- ユーザを選択し、[次へ]をクリックします。このユーザはスーパーユーザになります。
- 接続詳細を確認し、[完了]をクリックします。
- 管理者の新しい認証情報でログインする前に、アプリケーション サーバを手動で再起動してください。
(オプション)レガシー管理者の権限の移行
外部管理者ストアへの接続を設定した後も、レガシー管理者が管理 UI またはポリシー サーバ ツールを継続して使用する必要がある場合は、権限を移行します。
外部管理者認証の場合、1 つのレガシー管理者アカウントが以下の項目に対する権限を同時に保持することはできません。
- 管理 UI
- ポリシー サーバ ツールとポリシー管理 API
- トラステッド ホストの権限
レガシー管理者がこれらの 1 つ以上のロールで機能を継続する必要がある場合、レガシー管理者は変更しないでください。ユーザが外部ストアに存在していることを確認し、その外部ユーザ ID 使用して新しい管理者を別個に設定します。
以下の手順に従います。
- 管理者が外部ストアに存在していることを確認します。外部スーパーユーザを使用して、管理 UI にログインします。
- [管理]-[管理者]をクリックします。
- [管理者]をクリックします。
- ユーザのフル ネームを使用して検索条件を指定し、[検索]をクリックします。
- 変更する管理者の名前をクリックします。
- [変更]をクリックします。
- [一般]内の[検索]をクリックします。
- 検索条件を指定し、[検索]をクリックします。
- 目的のユーザを選択し、[選択]をクリックします。
- [サブミット]をクリックします。管理 UI は外部ストアを使用して管理者を認証します。ポリシー ストアが管理者 ID の格納に使用されていた場合、管理者のアクセス レベルは管理 UI に対するレベルと同じになります。
外部管理者ストア認証情報の更新
外部管理者ストア用の管理 UI 認証情報が変更される場合は、新しい認証情報を管理 UI に送信します。このようにしない場合、管理者はアクセスできなくなります。
スタンドアロン オプションを使用して(つまり、組み込みの JBoss サーバと一緒に)管理 UI をインストールした場合、以下のユーティリティを使用できます。
- LDAP:ディレクトリ サーバのユーザ アカウントの認証情報を更新する smjndisetup ユーティリティ。ディレクトリ サーバ ホストのシステム名またはポート情報を更新する場合は、管理 UI を使用して外部管理者ストアへの接続を作成し直します。smjndisetup ユーティリティでは、ホストやポート情報を更新できません。
- RDB:データベース ユーザ アカウントの認証情報を更新する smjdbcsetup ユーティリティ。データベース ホストのシステム名またはポート情報を更新する場合は、smjdbcsetup ユーティリティを使用して JNDI データ ソースを展開し直します。
既存のアプリケーション サーバ インフラストラクチャに管理 UI をインストールした場合は、以下のことを確認します。
- LDAP:管理認証ウィザードを使用して、管理 UI がディレクトリ サーバへのアクセスに使用する認証情報を更新します。認証情報を更新するためにウィザードを使用した後、ディレクトリ サーバ上の認証情報をできるだけ早く更新してください。ディレクトリ サーバの認証情報がウィザードを使用して提供した認証情報に一致するよう更新されるまで、管理者は管理 UI にログインできません。
- RDB:データベース固有のツールを使用して、データ ソースを更新します。
ディレクトリ サーバの認証情報の更新
ディレクトリ管理者認証情報を更新するには、smjndisetup ユーティリティを使用します。
注:
smjndisetup ユーティリティは、管理 UI を使用して設定された接続詳細のみを更新できます。smjndisetup ユーティリティを使用して接続認証情報を作成することはできません。以下の手順に従います。
- 管理 UI ホスト システムにログインします。
- administrative_ui_home\CA\siteminder\adminui\bin に移動します。administrative_ui_homeには管理 UI のインストール パスを指定します。
- 以下のコマンドを実行します。smjndisetup.bat --reset-password
- 以下のタスクのいずれかを実行します。
- 新しいディレクトリ ユーザを入力して Enter キーを押します。
- Enter キーを押してデフォルト ユーザ名を受け入れます。
- 新しいパスワードを入力して Enter キーを押します。
- 「y」を入力し、Enter キーを押します。ユーティリティは、管理 UI サービスを再起動します。また、このユーティリティは新しいディレクトリ接続詳細も更新します。
データベース認証情報の更新
JNDI データ ソースのデータベース ユーザ認証情報を更新するには、smjdbcsetup ユーティリティを使用します。
データベース認証情報を更新する方法
- 管理 UI ホスト システムにログインします。
- administrative_ui_home\CA\siteminder\adminui\bin に移動します。administrative_ui_homeには管理 UI のインストール パスを指定します。
- 以下のコマンドを実行します。smjdbcsetup.bat --reset-passwordユーティリティは、一意の識別子を入力するように指示します。
- 展開されているデータソースの名前を入力します。注:データ ソース名がわからない場合、展開されているすべてのデータ ソースをstandalone-full.xmlファイル内で見つけることができます。このファイルのパスは、administrative_ui_home\siteminder\adminui\standalone\configuration です。administrative_ui_homeには管理 UI のインストール パスを指定します。ユーティリティはデータベース ユーザ名を入力するように指示します。
- ユーザ名を入力して Enter キーを押します。ユーティリティはユーザ パスワードを入力するように指示します。
- パスワードを入力し、Enter キーを押します。ユーティリティは、新しいデータ ソース認証情報を確認し、それらが更新できることを確かめるように指示します。
- 「y」を入力し、Enter キーを押して新しいデータ ソース認証情報を確認します。ユーティリティはデータ ソースを更新します。ユーティリティは、管理 UI サービスの再起動を要求します。
- 「y」を入力して Enter キーを押し、ユーティリティを使用して管理 UI サービスを再起動し、更新されたデータ ソースを展開します。代わりに、「n」を入力して Enter キーを押し、管理 UI サービスを手動で開始します。サービスが開始されると、データ ソースが展開されます。
外部管理者ストア接続の変更
管理認証ウィザードを再度実行し、管理 UI が管理者認証のために接続する外部ストアを変更します。