キー ストアとして Microsoft AD LDS を設定する

目次
casso1283
個別のキー ストアとして Microsoft AD LDS を設定できます。

キーストアの前提条件

ポリシー ストアを設定する前に、以下の要件を満たすことを確認してください。
  1. キー ストアとして機能するディレクトリ サーバ インスタンスを作成します。キーを格納するルート サフィックスおよびルート オブジェクトを必ず作成します。
  2. スキーマの作成、およびキー ストア ルート オブジェクト下の LDAP ツリー内のオブジェクトの読み取り、変更および削除を行う権限を有する LDAP ユーザを作成します。
  3. キー ストア パーティションを作成します。
  4. 設定パーティション内にユーザを作成できることを確認してください。設定パーティション内の管理ユーザのみが、ポリシー ストア スキーマをインポートできます。

設定パーティション内でのユーザ作成を許可します。

設定パーティション内の管理ユーザのみが、ポリシー ストア スキーマをインポートできます。このユーザは、キー ストア パーティションを含む設定パーティションおよびすべてのアプリケーション パーティションにおける管理者権限を持っている必要があります。
以下の手順に従います。
  1. ADSI 編集コンソールを開きます。
  2. 設定パーティション内の以下の場所に移動します。
    cn=directory service, cn=windows nt,
    cn=services, cn=configuration, cn={guid}
  3. msDS-Other-Settings 属性を検索します。
  4. msDS-Other-Settings 属性に以下の新しい値を追加します。
    ADAMAllowADAMSecurityPrincipalsInConfigPartition=1
  5. 設定およびキー ストア アプリケーション パーティション内で、以下を実行します。
    1. CN=Administrators, CN=Role に移動します。
    2. CN=Administrators のプロパティを開きます。
    3. メンバ属性を編集します。
    4. [DN を追加する]をクリックして、設定パーティションで作成したユーザのフル DN をペーストします。
    5. 作成したユーザのプロパティに移動し、以下のオブジェクトの値を確認します。
      msDS-UserAccountDisabled
      値が false に設定されていることを確認します。
    管理ユーザには、キー ストア パーティションを含む設定パーティションおよびすべてのアプリケーション パーティションにおける権限があります。

ディレクトリ サーバ情報の収集

個別のキー ストアを設定するには具体的情報が必要です。以下の情報を確認しておきます。
  • Host
    ディレクトリ サーバ ホスト システムの完全修飾名または IP アドレス
  • [Port]
    ディレクトリ サーバ インスタンスがリスンするポートこの値は、インスタンスが標準でないポートでリスンする場合にのみ必要です。
    デフォルト値:
    636(SSL)および 389(SSL 以外)
  • 管理者 DN
    guid 値を含む、ディレクトリ サーバ管理者のフル ドメイン名
    例:
    CN=user1,CN=People,CN=Configuration,CN,{guid}
    このユーザは以下の権限を必要とします。
    • スキーマの作成
      この権限はキー ストア スキーマをインポートする場合にのみ必要です。キー ストアを展開した後、許可がないユーザとポリシー サーバを設定できます。
    • read
    • write
    • modify
    • delete
  • 管理者パスワード
    ディレクトリ サーバ管理者のパスワード
  • アプリケーション パーティションのルート DN
    キー ストア スキーマをインポートする必要がある場合アプリケーション パーティションのルート DN の場所
  • (オプション)SSL クライアント証明書
    ディレクトリ接続が SSL で行われる場合は、SSL クライアント証明書データベースを含むディレクトリのパス

キー ストアの登録

casso1283
キー ストアを登録すると、キー ストアとポリシー サーバの間の接続が設定されます。ポリシー サーバは、キー ストアを管理するためにユーザが提供する認証情報を使用します。
重要:
登録により、個別のキー ストアを使用するためのポリシー サーバは設定されません。ポリシー サーバが再起動されるまで、設定は有効になりません。キー ストアが設定され、それを展開する準備ができるまで、ポリシー サーバを再起動しないでください。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行して、接続を設定します。
    smldapsetup reg -hhost -pport -dadmin_user -wadmin_password -rroot -k1
    casso1283
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
    smldapsetup reg -host172.16.0.0 -p389 -d"cn=directory manager" -wpassword -r"dc=test" -k1
  3. ポリシー サーバ管理コンソールを起動し、[データ]タブを開きます。
  4. 以下の手順のいずれかを完了します。
    • ポリシー サーバがデータ リレーショナル データベースを使用するように設定される場合:
      1. [データベース]リストから[キー ストア]を選択します。
      2. [ストレージ]リストから LDAP を選択し、接続設定および管理認証情報を表示します。
      3. 接続設定および管理ユーザ設定が表示されていることを確認します。
      4. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
    • ポリシー サーバがディレクトリ サーバを使用するように設定される場合:
      a. [データベース]リストから[キー ストア]を選択します。
      b. 接続設定および管理ユーザ設定が表示されていることを確認します。
      c. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストア インスタンスと通信できることを確認します。
    [ポリシー ストアを使用]データベース設定がクリアされます。クリアされた設定は予期された正常な動作です。ポリシー サーバは、ポリシー ストアと連結させたキー ストアを引き続き使用します。
  5. ポリシー サーバ管理コンソールを終了します。
    個別のキーがポリシー サーバに登録されます。

キー ストア スキーマの作成

casso1283
キー ストア インスタンスは、
SiteMinder
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルを作成します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行して、キー ストア スキーマ ファイルを作成します。
    smldapsetup ldgen -ffile_name -k1
    casso1283
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
    : smldapsetup ldgen -fkeystoreschema -k1
    キー ストア スキーマ ファイルが作成されます。

キー ストア スキーマのインポート

casso1283
キー ストア インスタンスは、
SiteMinder
Web エージェント キーを格納および取得するようスキーマに要求します。smldapsetup ユーティリティを使用して、キー ストア スキーマ ファイルをインポートします。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. キー ストア スキーマをインポートするために以下のコマンドを実行します。
    smldapsetup ldmod -ffile_name -k1
    casso1283
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
: 標準出力は、インポートされているポリシー ストア スキーマをすべて表示します。その動作は正常で予期されるものです。ユーティリティは単にキー ストアに固有のスキーマをインポートします。
例:
smldapsetup ldmod -fkeystoreschema -k1
キー ストアに固有のスキーマがインポートされます。

ポリシー サーバの再起動

casso1283
ポリシー サーバは、再起動されるまで連結されたキー ストアを引き続き使用します。個別のキー ストアの使用を開始するにはポリシー サーバを再起動します。