Symantec Directory キー ストアの設定方法

コンテンツ
casso1283
コンテンツ
キー ストアとして機能するように Symantec Directory を設定できます。

ディレクトリ サーバ情報の収集

キー ストアを設定する前に、以下の情報を収集します。
  • ホスト情報
    - Symantec Directory が実行されているシステムの完全修飾ホスト名または IP アドレスを決定します
  • DSA ポート番号
    - DSA がリスニングするポートを決定します。
  • ベース DN
    - キー ストア オブジェクトが定義される LDAP ツリーのノードの識別名を決定します。
  • 管理 DN
    - DSA 内のオブジェクトを管理するために
    SiteMinder
    が使用するアカウントの LDAP ユーザ名を決定します。
  • 管理者パスワード
    - InfoView 管理ユーザのパスワードを決定します。

キー ストア用の DSA を作成します。

以下の手順に従います。
  1. 以下のコマンドを実行して DSA を作成します。
dxnewdsa 
DSA_Name
port
 "o=
DSA_Name
,c=
country_code
"
  • DSA_Name
    DSA の名前を指定します。
  • port
    DSA がリスンするポートを指定します。
  • o=
    DSA_Name,c=country_code
    DSA プレフィクスを指定します。
    例:
    "o=psdsa,c=US"
dxnewdsa ユーティリティが新しい DSA を起動します。
DSA が自動的に起動しない場合は、以下のコマンドを実行します。
dxserver start DSA_Name

キー ストア スキーマの作成

ディレクトリ サーバがキー ストアとして機能できるように、キー ストア スキーマを作成します。
デフォルトでは、Symantec Directory 設定ファイルは読み取り専用です。変更が必要なすべての Symantec Directory ファイルは書き込み権限で更新される必要があります。ファイルが一度更新されたら、読み取り専用の権限に戻すことができます。また、Symantec Directory によって提供された default.xxx ファイルはすべて、Symantec Directory のアップグレード中に上書きされます。読み取り専用ファイルを変更するときは注意が必要です。
以下の手順に従います。
  1. Symantec Directory
    DXHOME\
    config\schema ディレクトリに以下のファイルをコピーします。
    • netegrity.dxc
    • etrust.dxc
      DXHOME
      ディレクトリ サーバのインストール パスを示します。
    netegrity.dxc ファイルは、ポリシー サーバと共に
    siteminder_home
    \eTrust にインストールされます。注: etrust.dxc ファイルは、ポリシー サーバとともに
    siteminder_home
    \xps\db にインストールされます。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
      • Windows %
        DXHOME
        %
      • Unix/Linux: $
        DXHOME
  2. default.dxg スキーマ ファイルをコピーしてその名前を変更することにより、
    SiteMinder
    スキーマ ファイルを作成します。
    注:
    default.dxg スキーマ ファイルは、
    DXHOME
    \config\schema\default.dxg にあります。
    例:
    default.dxg スキーマ ファイルをコピーし、そのコピーの名前を smdsa.dxg に変更します。
  3. 新しい
    SiteMinder
    スキーマ ファイルの末尾に、以下の行を追加します。
    #CA Schema
    source "netegrity.dxc";
    source "etrust.dxc";
  4. スキーマを default.dxg から新しいスキーマ ファイルに変更することにより、DSA の DXI ファイル(
    DSA_Name
    SiteMinder
    .dxi)を編集します。
    • DSA_Name
      キー ストア用に作成した DSA の名前を表します。
    DXI ファイルは
    DXHOME
    \config\servers にあります。
  5. DSA の DXI ファイルの終わりに、以下の行を追加します。
    • Release 12
      # cache configuration
      set max-cache-size = 100;
      set cache-attrs = all-attributes;
      set cache-load-all = true;
      set ignore-name-bindings = true;
      最大キャッシュ サイズのエントリは、合計キャッシュ サイズ(MB 単位)です。Symantec Directory サーバで使用可能な合計メモリとキー ストアの全体的なサイズに基づいて、この値を調整します。
    • リリース 12 SP 1 以降
      # cache configuration
      set ignore-name-bindings = true;
  6. DSA のデフォルト制限 DXC ファイル(default.dxc)をコピーして、
    SiteMinder
    DXC ファイルを作成します。
    例:
    デフォルト DXC ファイルをコピーし、そのコピーの名前を smdsa.dxc に変更します。
    デフォルト DXC ファイルは、
    DXHOME
    \dxserver\config\limits にあります。
  7. 新しい DXC ファイル内の設定を以下の値に合わせて編集します。
    警告
    : 複数の書き込みキュー設定は、テキスト ベースの設定でのみ使用できます。DSA が DXmanager でセットアップされる場合は、この設定を省略します。
    # size limits
    set max-users = 1000;
    set credits = 5;
    set max-local-ops = 1000;
    set max-op-size = 4000;
    set multi-write-queue = 20000;
    サイズ制限設定を編集すると、キャッシュ サイズ エラーが Symantec Directory ログ ファイルに表示されなくなります。
  8. DXC ファイルを保存します。
  9. default.dxc から新しい
    SiteMinder
    制限ファイルに制限設定を変更することにより、DSA の DXI ファイル(
    DSA_Name
    .dxi)を編集します。
    例:
    default.dxc から smdsa.dxc に制限設定を変更します。
    • DSA_Name
      キー ストア用に作成した DSA の名前を表します。
      DSA の DXI ファイルは
      DXHOME
      \config\servers にあります。DXmanager を使用して DSA を作成した場合、既存の制限ファイルの名前は dxmanager.dxc になります。
  10. DSA ユーザとして、以下のコマンドを使用して DSA を停止して再起動します。
    dxserver stop 
    DSA_Name
    dxserver start 
    DSA_Name
    • DSA_Name
      DSA の名前を指定します。
    キー ストア スキーマが作成されます。

DSA を開く

ディレクトリ サーバのビューを作成し、オブジェクトを管理します。
以下の手順に従います。
  1. データベースが匿名のログインに対して設定されていることを確認します。
  2. JXplorer GUI を起動します。
  3. 接続アイコンをクリックします。
  4. [ホスト名]フィールドに
    host_name_or_IP_address
    を入力します。
    • host_name_or_IP_address
      Symantec Directory が実行されているシステムのホスト名または IP アドレスを指定します。
  5. [ポート番号]フィールドに
    port_number
    を入力します。
    • port_number
      DSA がリスニングするポートを指定します。
  6. [ベース DN]フィールドに「o=
    DSA_Name
    ,c=
    country_code
    」と入力します。
    例:
    o=psdsa,c=US
  7. レベル リストから[匿名]を選択して、[接続]をクリックします。

キー ストア データ用のベース ツリー構造の作成

キー ストア データを保持するためのベース ツリー構造を作成します。JXplorer GUI を使用して組織単位を作成します。
以下の手順に従います。
  1. DSA のルート要素を選択します。
  2. ルート要素の下に
    Netegrity
    という名前の組織単位を作成します。
  3. Netegrity の下に
    SiteMinder
    という名前の組織単位を作成します。 
  4. SiteMinder の下に
    PolicySvr4
    という名前の組織単位を作成します。
  5. PolicySvr4 の下に
    XPS
    という名前の組織単位を作成します。

DSA のスーパーユーザ管理者の作成

SiteMinder
が DSA にアクセスするために使用できる管理者アカウントがない場合にのみ、スーパーユーザ管理者を作成する必要があります。ポリシー サーバは、キー ストアに接続するためにこの情報を必要とします。
以下の手順に従います。
  1. JXplorer GUI を使用して DSA にアクセスします。
  2. SiteMinder
    がキー ストアに接続するために使用できる以下のオブジェクト タイプの管理者を作成します。
     
    inetOrgPerson
  3. 管理者 DN とパスワードを書き留めておきます。ポリシー サーバからキー ストアを参照する場合に、認証情報を使用します。
dn:cn=admin,o=yourcompany,c=in

ポリシー サーバからキー ストアへの参照

ポリシー サーバからキー ストアへの参照を設定し、ポリシー サーバがキー ストアにアクセスできるようにします。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
    Windows Server 上でこのグラフィカル ユーザ インターフェースにアクセスしている場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いの
    SiteMinder
    コンポーネントの「リリース ノート」を参照してください。
  2. [データ]タブをクリックします。
  3. データベース リストから以下の値を選択します。
    Key Store
  4. ストレージ リストから以下の値を選択します。
    LDAP
  5. [LDAP キー ストア]グループ ボックスで、以下を設定します。
    • LDAP IP アドレス
    • Admin Username
    • Password
    • パスワードの確認入力
    • ルート DN
  6. [適用]をクリックします。
  7. [LDAP 接続のテスト]をクリックして、ポリシー サーバがキー ストアにアクセスできることを確認します。
  8. [OK]をクリックします。
  9. ポリシー サーバを再起動します。