キー ストアとして Microsoft Active Directory を設定する
目次
casso1283
個別のキー ストアとして Microsoft Active Directory を設定できます。
キーストアの前提条件
- キー ストアとして機能するディレクトリ サーバ インスタンスを作成します。キーを格納するルート サフィックスおよびルート オブジェクトを必ず作成します。
- スキーマの作成、およびキー ストア ルート オブジェクト下の LDAP ツリー内のオブジェクトの読み取り、変更および削除を行う権限を有する LDAP ユーザを作成します。
ディレクトリ サーバ情報の収集
casso1283
個別のキー ストアを設定するには具体的情報が必要です。以下の情報を確認しておきます。
- Hostディレクトリ サーバ ホスト システムの完全修飾名または IP アドレス
- [Port]ディレクトリ サーバ インスタンスがリスンするポートこの値は、インスタンスが標準でないポートでリスンする場合にのみ必要です。デフォルト値:636(SSL)および 389(SSL 以外)
- 管理 DN以下を行う権限を有するユーザの LDAP ユーザ名を指定します。
- スキーマの作成
この権限はキー ストア スキーマをインポートする場合にのみ必要です。キー ストアを展開した後、許可がないユーザとポリシー サーバを設定できます。- read
- write
- modify
- delete
- 管理パスワード管理 DN のパスワードを指定します。
- キー ストア ルート DNキー ストア オブジェクトをインポートする、LDAP ツリー内のノードの識別名を指定します。
- SSL クライアント証明書SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。制限:SSL のみ
キー ストアの登録
casso1283
キー ストアを登録すると、キー ストアとポリシー サーバの間の接続が設定されます。ポリシー サーバは、キー ストアを管理するためにユーザが提供する認証情報を使用します。
重要:
登録により、個別のキー ストアを使用するためのポリシー サーバは設定されません。ポリシー サーバが再起動されるまで、設定は有効になりません。キー ストアが設定され、それを展開する準備ができるまで、ポリシー サーバを再起動しないでください。以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行して、接続を設定します。smldapsetup reg -hhost -pport -dadmin_user -wadmin_password -rroot -k1casso1283Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。例:smldapsetup reg -host172.16.0.0 -p389 -d"cn=directory manager" -wpassword -r"dc=test" -k1
- ポリシー サーバ管理コンソールを起動し、[データ]タブを開きます。
- 以下の手順のいずれかを完了します。
- ポリシー サーバがデータ リレーショナル データベースを使用するように設定される場合:
- [データベース]リストから[キー ストア]を選択します。
- [ストレージ]リストから LDAP を選択し、接続設定および管理認証情報を表示します。
- 接続設定および管理ユーザ設定が表示されていることを確認します。
- [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
- ポリシー サーバがディレクトリ サーバを使用するように設定される場合:a. [データベース]リストから[キー ストア]を選択します。b. 接続設定および管理ユーザ設定が表示されていることを確認します。c. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
[ポリシー ストアを使用]データベース設定がクリアされます。クリアされた設定は予期された正常な動作です。ポリシー サーバは、ポリシー ストアと連結させたキー ストアを引き続き使用します。 - ポリシー サーバ管理コンソールを終了します。個別のキーがポリシー サーバに登録されます。
キー ストア スキーマの作成
casso1283
キー ストア インスタンスは、
SiteMinder
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルを作成します。以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行して、キー ストア スキーマ ファイルを作成します。smldapsetup ldgen -ffile_name -k1casso1283Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。例: smldapsetup ldgen -fkeystoreschema -k1キー ストア スキーマ ファイルが作成されます。
キー ストア スキーマのインポート
casso1283
キー ストア インスタンスは、
SiteMinder
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルをインポートします。以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- キー ストア スキーマをインポートするために以下のコマンドを実行します。smldapsetup ldmod -ffile_name -k1casso1283Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
: 標準出力は、インポートされているポリシー ストア スキーマをすべて表示します。その動作は正常で予期されるものです。ユーティリティは単にキー ストアに固有のスキーマをインポートします。
例:
smldapsetup ldmod -fkeystoreschema -k1キー ストアに固有のスキーマがインポートされます。
ポリシー サーバの再起動
casso1283
ポリシー サーバは、再起動されるまで連結されたキー ストアを引き続き使用します。個別のキー ストアの使用を開始するにはポリシー サーバを再起動します。