Symantec Directory キー ストアの設定方法
コンテンツ
casso1283
コンテンツ
キー ストアとして機能するように Symantec Directory を設定できます。
ディレクトリ サーバ情報の収集
キー ストアを設定する前に、以下の情報を収集します。
- ホスト情報- Symantec Directory が実行されているシステムの完全修飾ホスト名または IP アドレスを決定します
- DSA ポート番号- DSA がリスニングするポートを決定します。
- ベース DN- キー ストア オブジェクトが定義される LDAP ツリーのノードの識別名を決定します。
- 管理 DN- DSA 内のオブジェクトを管理するためにSiteMinderが使用するアカウントの LDAP ユーザ名を決定します。
- 管理者パスワード- InfoView 管理ユーザのパスワードを決定します。
キー ストア用の DSA を作成します。
以下の手順に従います。
- 以下のコマンドを実行して DSA を作成します。
dxnewdsaDSA_Nameport"o=DSA_Name,c=country_code"
- DSA_NameDSA の名前を指定します。
- portDSA がリスンするポートを指定します。
- o=DSA_Name,c=country_codeDSA プレフィクスを指定します。例:"o=psdsa,c=US"
dxnewdsa ユーティリティが新しい DSA を起動します。
DSA が自動的に起動しない場合は、以下のコマンドを実行します。
dxserver start DSA_Name
キー ストア スキーマの作成
ディレクトリ サーバがキー ストアとして機能できるように、キー ストア スキーマを作成します。
デフォルトでは、Symantec Directory 設定ファイルは読み取り専用です。変更が必要なすべての Symantec Directory ファイルは書き込み権限で更新される必要があります。ファイルが一度更新されたら、読み取り専用の権限に戻すことができます。また、Symantec Directory によって提供された default.xxx ファイルはすべて、Symantec Directory のアップグレード中に上書きされます。読み取り専用ファイルを変更するときは注意が必要です。
以下の手順に従います。
- Symantec DirectoryDXHOME\config\schema ディレクトリに以下のファイルをコピーします。
- netegrity.dxc
- etrust.dxcDXHOMEディレクトリ サーバのインストール パスを示します。
netegrity.dxc ファイルは、ポリシー サーバと共にsiteminder_home\eTrust にインストールされます。注: etrust.dxc ファイルは、ポリシー サーバとともにsiteminder_home\xps\db にインストールされます。- siteminder_homeポリシー サーバのインストール パスを指定します。
- Windows %DXHOME%
- Unix/Linux: $DXHOME
- default.dxg スキーマ ファイルをコピーしてその名前を変更することにより、SiteMinderスキーマ ファイルを作成します。注:default.dxg スキーマ ファイルは、DXHOME\config\schema\default.dxg にあります。例:default.dxg スキーマ ファイルをコピーし、そのコピーの名前を smdsa.dxg に変更します。
- 新しいSiteMinderスキーマ ファイルの末尾に、以下の行を追加します。#CA Schemasource "netegrity.dxc";source "etrust.dxc";
- スキーマを default.dxg から新しいスキーマ ファイルに変更することにより、DSA の DXI ファイル(DSA_NameSiteMinder.dxi)を編集します。
- DSA_Nameキー ストア用に作成した DSA の名前を表します。
DXI ファイルはDXHOME\config\servers にあります。 - DSA の DXI ファイルの終わりに、以下の行を追加します。
- Release 12# cache configurationset max-cache-size = 100;set cache-attrs = all-attributes;set cache-load-all = true;set ignore-name-bindings = true;最大キャッシュ サイズのエントリは、合計キャッシュ サイズ(MB 単位)です。Symantec Directory サーバで使用可能な合計メモリとキー ストアの全体的なサイズに基づいて、この値を調整します。
- リリース 12 SP 1 以降# cache configurationset ignore-name-bindings = true;
- DSA のデフォルト制限 DXC ファイル(default.dxc)をコピーして、SiteMinderDXC ファイルを作成します。例:デフォルト DXC ファイルをコピーし、そのコピーの名前を smdsa.dxc に変更します。デフォルト DXC ファイルは、DXHOME\dxserver\config\limits にあります。
- 新しい DXC ファイル内の設定を以下の値に合わせて編集します。警告: 複数の書き込みキュー設定は、テキスト ベースの設定でのみ使用できます。DSA が DXmanager でセットアップされる場合は、この設定を省略します。# size limitsset max-users = 1000;set credits = 5;set max-local-ops = 1000;set max-op-size = 4000;set multi-write-queue = 20000;サイズ制限設定を編集すると、キャッシュ サイズ エラーが Symantec Directory ログ ファイルに表示されなくなります。
- DXC ファイルを保存します。
- default.dxc から新しいSiteMinder制限ファイルに制限設定を変更することにより、DSA の DXI ファイル(DSA_Name.dxi)を編集します。例:default.dxc から smdsa.dxc に制限設定を変更します。
- DSA_Nameキー ストア用に作成した DSA の名前を表します。DSA の DXI ファイルはDXHOME\config\servers にあります。DXmanager を使用して DSA を作成した場合、既存の制限ファイルの名前は dxmanager.dxc になります。
- DSA ユーザとして、以下のコマンドを使用して DSA を停止して再起動します。dxserver stopDSA_Namedxserver startDSA_Name
- DSA_NameDSA の名前を指定します。
キー ストア スキーマが作成されます。
DSA を開く
ディレクトリ サーバのビューを作成し、オブジェクトを管理します。
以下の手順に従います。
- データベースが匿名のログインに対して設定されていることを確認します。
- JXplorer GUI を起動します。
- 接続アイコンをクリックします。
- [ホスト名]フィールドにhost_name_or_IP_addressを入力します。
- host_name_or_IP_addressSymantec Directory が実行されているシステムのホスト名または IP アドレスを指定します。
- [ポート番号]フィールドにport_numberを入力します。
- port_numberDSA がリスニングするポートを指定します。
- [ベース DN]フィールドに「o=DSA_Name,c=country_code」と入力します。例:o=psdsa,c=US
- レベル リストから[匿名]を選択して、[接続]をクリックします。
キー ストア データ用のベース ツリー構造の作成
キー ストア データを保持するためのベース ツリー構造を作成します。JXplorer GUI を使用して組織単位を作成します。
以下の手順に従います。
- DSA のルート要素を選択します。
- ルート要素の下にNetegrityという名前の組織単位を作成します。
- Netegrity の下にSiteMinderという名前の組織単位を作成します。
- SiteMinder の下にPolicySvr4という名前の組織単位を作成します。
- PolicySvr4 の下にXPSという名前の組織単位を作成します。
DSA のスーパーユーザ管理者の作成
SiteMinder
が DSA にアクセスするために使用できる管理者アカウントがない場合にのみ、スーパーユーザ管理者を作成する必要があります。ポリシー サーバは、キー ストアに接続するためにこの情報を必要とします。以下の手順に従います。
- JXplorer GUI を使用して DSA にアクセスします。
- SiteMinderがキー ストアに接続するために使用できる以下のオブジェクト タイプの管理者を作成します。inetOrgPerson
- 管理者 DN とパスワードを書き留めておきます。ポリシー サーバからキー ストアを参照する場合に、認証情報を使用します。
例
: dn:cn=admin,o=yourcompany,c=in
ポリシー サーバからキー ストアへの参照
ポリシー サーバからキー ストアへの参照を設定し、ポリシー サーバがキー ストアにアクセスできるようにします。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。Windows Server 上でこのグラフィカル ユーザ インターフェースにアクセスしている場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いのSiteMinderコンポーネントの「リリース ノート」を参照してください。
- [データ]タブをクリックします。
- データベース リストから以下の値を選択します。Key Store
- ストレージ リストから以下の値を選択します。LDAP
- [LDAP キー ストア]グループ ボックスで、以下を設定します。
- LDAP IP アドレス
- Admin Username
- Password
- パスワードの確認入力
- ルート DN
- [適用]をクリックします。
- [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストアにアクセスできることを確認します。
- [OK]をクリックします。
- ポリシー サーバを再起動します。