キー ストアとして Oracle Directory Server Enterprise Edition を設定する

目次
casso1283
目次
3
別のキー ストアとして Oracle Directory Server Enterprise Edition を設定できます。
キーストアの前提条件
  1. キー ストアとして機能するディレクトリ サーバ インスタンスを作成します。キーを格納するルート サフィックスおよびルート オブジェクトを必ず作成します。
  2. スキーマの作成、およびキー ストア ルート オブジェクト下の LDAP ツリー内のオブジェクトの読み取り、変更および削除を行う権限を有する LDAP ユーザを作成します。
キー ストアの考慮事項
smldapsetup ユーティリティは ou=Netegrity、
root
サブ サフィックス、PolicySvr4 データベースを作成します。
  • root
    キー ストアを登録するときに指定するディレクトリ ルートこの変数は、既存のルート サフィックスまたはサブ サフィックスのいずれかである必要があります。
例:
ルート サフィックスが dc=netegrity,dc=com である場合、smldapsetup を実行すると、ディレクトリ サーバに以下のエントリが生成されます。
  • ルート サフィックス、dc=netegrity,dc=com、対応する userRoot データベース。
  • サブ サフィックス、ou=Netegrity,dc=netegrity,dc=com、対応する PolicySvr4 データベース。
例: キー ストアを ou=apps,dc=netegrity,dc=com の下に置く場合、ou=apps,dc=netegrity,dc=com は、ルート サフィックス dc=netegrity,dc=com のルートまたはサブ サフィックスのいずれかである必要があります。
サブ サフィックスである場合、smldapsetup を実行すると以下のエントリが作成されます。
  • ルート サフィックス、dc=netegrity,dc=com、対応する userRoot データベース。
  • サブ サフィックス、ou=apps,dc=netegrity,dc=com、対応する Apps データベース。
  • サブ サフィックス、ou=Netegrity,ou=apps,dc=netegrity,dc=com、対応する PolicySvr4 データベース。
ルートおよびサブ サフィックスの詳細については、各ベンダーのドキュメントを参照してください。
ディレクトリ サーバ情報の収集
casso1283
個別のキー ストアを設定するには具体的情報が必要です。以下の情報を確認しておきます。
  • Host
    ディレクトリ サーバ ホスト システムの完全修飾名または IP アドレス
  • [Port]
    ディレクトリ サーバ インスタンスがリスンするポートこの値は、インスタンスが標準でないポートでリスンする場合にのみ必要です。
    デフォルト値:
    636(SSL)および 389(SSL 以外)
  • 管理 DN
    以下を行う権限を有するユーザの LDAP ユーザ名を指定します。
    • スキーマの作成
    この権限はキー ストア スキーマをインポートする場合にのみ必要です。キー ストアを展開した後、許可がないユーザとポリシー サーバを設定できます。
    • read
    • write
    • modify
    • delete
  • 管理パスワード
    管理 DN のパスワードを指定します。
  • キー ストア ルート DN
    キー ストア オブジェクトをインポートする、LDAP ツリー内のノードの識別名を指定します。
  • SSL クライアント証明書
    SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。
    制限:
    SSL のみ
キー ストアの登録
casso1283
キー ストアを登録すると、キー ストアとポリシー サーバの間の接続が設定されます。ポリシー サーバは、キー ストアを管理するためにユーザが提供する認証情報を使用します。
重要:
登録により、個別のキー ストアを使用するためのポリシー サーバは設定されません。ポリシー サーバが再起動されるまで、設定は有効になりません。キー ストアが設定され、それを展開する準備ができるまで、ポリシー サーバを再起動しないでください。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行して、接続を設定します。
    smldapsetup reg -hhost -pport -dadmin_user -wadmin_password -rroot -k1
    casso1283
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
    smldapsetup reg -host172.16.0.0 -p389 -d"cn=directory manager" -wpassword -r"dc=test" -k1
  3. ポリシー サーバ管理コンソールを起動し、[データ]タブを開きます。
  4. 以下の手順のいずれかを完了します。
    • ポリシー サーバがデータ リレーショナル データベースを使用するように設定される場合:
      1. [データベース]リストから[キー ストア]を選択します。
      2. [ストレージ]リストから LDAP を選択し、接続設定および管理認証情報を表示します。
      3. 接続設定および管理ユーザ設定が表示されていることを確認します。
      4. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
    • ポリシー サーバがディレクトリ サーバを使用するように設定される場合:
      a. [データベース]リストから[キー ストア]を選択します。
      b. 接続設定および管理ユーザ設定が表示されていることを確認します。
      c. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
    [ポリシー ストアを使用]データベース設定がクリアされます。クリアされた設定は予期された正常な動作です。ポリシー サーバは、ポリシー ストアと連結させたキー ストアを引き続き使用します。
  5. ポリシー サーバ管理コンソールを終了します。
    個別のキーがポリシー サーバに登録されます。
キー ストア スキーマの作成
casso1283
キー ストア インスタンスは、
SiteMinder
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルを作成します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行して、キー ストア スキーマ ファイルを作成します。
    smldapsetup ldgen -ffile_name -k1
    casso1283
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
    : smldapsetup ldgen -fkeystoreschema -k1
    キー ストア スキーマ ファイルが作成されます。
キー ストア スキーマのインポート
casso1283
キー ストア インスタンスは、
SiteMinder
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルをインポートします。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. キー ストア スキーマをインポートするために以下のコマンドを実行します。
    smldapsetup ldmod -ffile_name -k1
    casso1283
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
: 標準出力は、インポートされているポリシー ストア スキーマをすべて表示します。その動作は正常で予期されるものです。ユーティリティは単にキー ストアに固有のスキーマをインポートします。
例:
smldapsetup ldmod -fkeystoreschema -k1
キー ストアに固有のスキーマがインポートされます。
ポリシー サーバの再起動
casso1283
ポリシー サーバは、再起動されるまで連結されたキー ストアを引き続き使用します。個別のキー ストアの使用を開始するにはポリシー サーバを再起動します。
Oracle Directory Server キー ストアのレプリケート
SiteMinder
では、UserRoot および PolicySvr4 データベースを作成します。サフィックス マッピングは PolicySvr4 データベースを参照しています。キー ストアのレプリケートには、PolicySvr4 データベース ディレクトリのレプリケーション アグリーメントのセットアップが必要です。
以下の手順に従います。
  1. 各ベンダーのドキュメントで詳述されるとおりレプリケーション アグリーメントを設定します。
  2. ポリシー サーバ ホスト システムにログインします。
  3. 以下のコマンドを実行して、
    SiteMinder
    インデックスを生成します。
    smldapsetup ldgen -x -findexes.ldif
    casso1283
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
  4. レプリカ サーバ上で以下のようにインデックスをセットアップします。
    smldapsetup ldmod -x -findexes.ldif -hhost -preplicaport
    -dAdminDN-wAdminPW
    • ホスト
      レプリカ ホストを指定します。
    • replicaport
      レプリカ ポート番号を指定します。
    • AdminDN
      レプリカ管理者 DN を指定します。
      例:
      cn=directory manager
    • AdminPW
      レプリカ管理者パスワードを指定します。
    SiteMinder
    インデックスがレプリケートされます。