Microsoft Active Directory LDS をポリシー ストアとして設定する

Microsoft Active Directory LDS はポリシー ストアとして機能できます。ポリシー サーバ設定ウィザードでは、自動的にこのディレクトリをポリシー ストアとして設定できます。ただし、設定にウィザードを使用しなかった場合は、以下の手順に従ってポリシー ストアを手動で設定します。
casso1283
Microsoft Active Directory LDS はポリシー ストアとして機能できます。ポリシー サーバ設定ウィザードでは、自動的にこのディレクトリをポリシー ストアとして設定できます。ただし、設定にウィザードを使用しなかった場合は、以下の手順に従ってポリシー ストアを手動で設定します。
単一のディレクトリ インスタンスをポリシー ストアおよびキー ストアとして使用することができます。単一のディレクトリ サーバを使用すると管理タスクが簡略化されます。このトピックには、ポリシー ストアをキー ストアとして使用する手順が含まれます。実装に必要な場合は、別のキー ストアを設定できます。
このトピックには、以下の手順が含まれます。

Active Directory LDS の前提条件

設定パーティション内の管理ユーザのみが、ポリシー ストア スキーマをインポートできます。このユーザは、ポリシー ストア パーティションを含む設定パーティションおよびすべてのアプリケーション パーティションにおける管理者権限を持っている必要があります。
以下の手順に従います。
  1. 設定パーティション内に管理者ユーザを作成します。
  2. ADSI 編集コンソールを開きます。
  3. 設定パーティション内の以下の場所に移動します。
    cn=directory service, cn=windows nt,
    cn=services, cn=configuration, cn={guid}
  4. msDS-Other-Settings 属性を検索します。
  5. msDS-Other-Settings 属性に以下の新しい値を追加します。
    ADAMAllowADAMSecurityPrincipalsInConfigPartition=1
  6. 設定およびポリシー ストア アプリケーション パーティション内では、以下を実行します。
    1. CN=Administrators, CN=Role に移動します。
    2. CN=Administrators のプロパティを開きます。
    3. メンバ属性を編集します。
    4. [DN の追加]をクリックして、手順 1 で設定パーティション内に作成したユーザのフル DN を貼り付けます。
    5. 作成したユーザのプロパティに移動し、以下のオブジェクトの値を確認します。
      msDS-UserAccountDisabled
      値は必ず false に設定してください。
    管理ユーザには、ポリシー ストア パーティションを含む設定パーティションおよびすべてのアプリケーション パーティションにおける権限があります。

ディレクトリ サーバ情報の収集

ポリシー ストアとして Active Directory LDS を設定するには、特定のディレクトリ サーバ情報が必要です。ポリシー ストアを設定する前に、以下の情報を収集します。
  • ホスト情報
    - ディレクトリ サーバ ホスト システムの完全修飾名または IP アドレスを決定します。
  • ポート情報
    - ディレクトリ サーバが標準でないポートでリスンするかどうかを決定します。ポート情報を提供しない場合には、ポリシー ストアの設定に使用される
    SiteMinder
    ユーティリティが、ポート 389 (非 SSL)および 636 (SSL)をデフォルトに設定します。
  • 管理者 DN
    - guid 値を含む、ディレクトリ サーバ管理者ユーザのフル ドメイン名を決定します。
    : CN=user1,CN=People,CN=Configuration,CN={guid}
  • 管理者パスワード
    - ディレクトリ サーバ管理者ユーザのパスワードを決定します。
  • アプリケーション パーティションのルート DN
    - ポリシー ストア スキーマ データがインストールされるべきディレクトリ サーバ内の、アプリケーション パーティションのルート DN の場所を識別します。
  • (オプション)
    SSL クライアント証明書
    - ディレクトリ接続が SSL で行われる場合には、SSL クライアント証明書データベースを含んでいるディレクトリのパスを決定します。

ポリシー サーバからポリシー ストアへの参照の設定

ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリシー ストアにアクセスできるようにします。
注:
ポリシー サーバはプロキシ オブジェクトを使用して、AD LDS ポリシー ストアにバインドできます。プロキシ オブジェクトは AD LDS 上で作成され、アカウントのセキュリティ識別子によって Active Directory アカウントと関連付けられます。プロキシ オブジェクトを使用して AD LDS インスタンスにバインドする詳細については、Microsoft のドキュメントを参照してください。プロキシ オブジェクトを使用してポリシー サーバ接続を設定し、パスワード ポリシーを使用する予定の場合は、SSL に対し AD LDS を設定します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
    casso1283
    Windows サーバ上で、ユーザ アカウント制御(UAC)が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いの
    SiteMinder
    コンポーネントの「リリース ノート」を参照してください。
  2. [データ]タブをクリックします。
  3. データベース リストから以下の値を選択します。
    Policy Store
  4. ストレージ リストから以下の値を選択します。
    LDAP
  5. [LDAP ポリシー ストア]グループ ボックスで、以下を設定します。
    • LDAP IP アドレス
    • Admin Username
      guid 値を含む、ディレクトリ サーバ管理者のフル ドメイン名を指定します。
    • Password
    • パスワードの確認入力
    • ルート DN
      AD LDS サーバでアプリケーション パーティションの既存のルート DN の場所を指定します。既存のルート DN の場所はポリシー ストア スキーマがインポートされる場所です。
    フィールド、コントロール、およびそれぞれの要件については、[ヘルプ]をクリックしてください。
  6. [適用]をクリックします。
  7. [LDAP 接続のテスト]をクリックして、ポリシー サーバがポリシー ストアにアクセスできることを確認します。
  8. ポリシー ストア データベースをキー ストアとして使用するには、[データベース]リストから以下の値を選択します。
    Key Store
  9. 以下のオプションを選択します。
    Use Policy Store database
  10. [OK]をクリックします。

ポリシー ストア スキーマの作成

ポリシー ストアおよびストア
SiteMinder
オブジェクトとしてディレクトリ サーバが機能できるように、ポリシー ストア スキーマを作成します。
以下の手順に従います。
  1. 以下のコマンドを実行します。
    smldapsetup ldgen -f
    file_name
    • file_name
      作成する LDIF ファイルの名前を指定します。
    SiteMinder
    スキーマと共に LDIF ファイルが作成されます。
  2. 以下のコマンドを実行します。
    smldapsetup ldmod -f
    file_name
    • file_name
      作成した LDIF の名前を指定します。
    smldapsetup はポリシー ストア スキーマをインポートします。
  3. siteminder_home
    \xps\db に移動し、以下のファイルを開きます。
    ADLDS.ldif
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  4. {guid} の各インスタンスを、中かっこ内の実際の guid の値に置換し、ファイルを保存します。
    例:
    {CF151EA3-53A0-44A4-B4AC-DA0EBB1FF200}
  5. 以下のコマンドを実行します。
    smldapsetup ldmod -f
    siteminder_home
    \xps\db\ADLDS.ldif
    ポリシー ストア スキーマが拡張されます。ポリシー ストア スキーマを作成しました。

スーパーユーザ パスワードの設定

デフォルトの
SiteMinder
管理者アカウントの名前は「
siteminder
」です。 このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
  • 管理 UI に初めてアクセスするとき。
  • SiteMinder
    ユーティリティの管理を初めて行うとき。
  • スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
  1. smreg ユーティリティを
    siteminder_home
    \bin にコピーします。
    • siteminder_home
      管理ポリシー サーバのインストール パスを指定します。
    このユーティリティは、管理ポリシー サーバ インストール キットの最上位レベルにあります。
  2. 以下のコマンドを実行します。
    smreg -su
    password
    • パスワード
      デフォルトの管理者のパスワードを指定します。
    パスワードには、以下の要件があります。
    • パスワードは 6 文字以上、24 文字以下である必要があります。
    • パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
    • パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
    Oracle ポリシー ストアを設定する場合、パスワードは大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。
  3. siteminder_home
    \bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。

ポリシー ストア データ定義のインポート

ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \xps\dd に移動します。
    • siteminder_home
      管理ポリシー サーバのインストール パスを指定します。
  2. 以下のコマンドを実行します。
    XPSDDInstall SmMaster.xdd
    • XPSDDInstall
      必要なデータ定義をインポートします。すべてのポリシー サーバがご使用の環境の同じポリシー ストアまたはレプリケートされたポリシー ストアを参照している場合、環境内の 1 つのポリシー サーバでのみ XPSDDInstall を一度実行します。レプリケーション プロセスが完了してから、次のステップに進みます。整合性エラーを防ぐために、すべてのポリシー サーバで XPSDDInstall を実行しないようにしてください。

デフォルトのポリシー ストア オブジェクトのインポート

デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI と管理ポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
  • 必ず
    siteminder_home
    \bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
    • siteminder_home
      管理ポリシー サーバのインストール パスを指定します。
  • Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いの
    SiteMinder
    コンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \db に移動します。
  2. 以下のいずれかのファイルをインポートします。
    • smpolicy.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy-secure.xml -npass
      • npass
        パスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
      両方のファイルに、デフォルトのポリシー ストア オブジェクトが含まれています。これらのオブジェクトにはデフォルトのエージェント設定オブジェクト(ACO)テンプレート内のデフォルト セキュリティ設定が含まれます。smpolicy–secure ファイルはより制限の厳しいセキュリティ設定を提供します。
    • Option Pack 機能をインポートするには、以下のコマンドを実行します。
      XPSImport ampolicy.xml -npass
    • フェデレーション機能をインポートするには、以下のコマンドを実行します。
      XPSImport fedpolicy-12.5.xml -npass
    • OAuth または OpenID 接続を使用するには、以下のコマンドを実行して、デフォルト OAuth エンティティおよび OpenID 接続用のデフォルトのクレームおよびスコープ オブジェクトをインポートします。
      XPSImport default-fedobjects-config.xml -npass
      -npass
      は、パスフレーズが必要ではないことを指定します。
    ベース ポリシー ストア オブジェクトがインポートされます。
ampolicy.xml をインポートすると、
SiteMinder
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービス変数機能が使用可能になります。Web サービスの変数機能を使用する予定の場合は、ライセンス情報について Broadcom アカウント担当者に問い合わせてください。

管理ポリシー サーバの再起動

特定の設定を有効にするために、管理ポリシー サーバを再起動します。
以下の手順に従います。
  1. 管理ポリシー サーバ管理コンソールを開きます。
  2. [ステータス]タブをクリックし、[Administrative Policy Server (管理ポリシー サーバ)]グループ ボックスで[停止]をクリックします。
    赤色の信号アイコンが表示されて、管理ポリシー サーバが停止します。
  3. [開始]をクリックします。
    緑色の信号アイコンが表示されて、管理ポリシー サーバが起動します。
    : UNIX 上で管理ポリシー サーバを再起動するには、
    stop-ps
    コマンドと
    start-ps
    コマンドや
    stop-all
    コマンドと
    start-all
    コマンドを実行します。

管理 UI 登録の準備

管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI を管理ポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。管理ポリシー サーバは、これらの認証情報を使用して、登録リクエストが有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
  • 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
  • (UNIX) XPSRegClient を使用する前に、
    SiteMinder
    環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
  1. 管理ポリシー サーバのホスト システムにログインします。
  2. 以下のコマンドを実行します。
    XPSRegClient super_user_account_name[:
    passphrase
    ] -adminui-setup -t
    timeout
    -r
    retries
    -c
    comment
    -cp -l
    log_path
    -e
    error_path
    -vT -vI -vW -vE -vF
    • passphrase
      デフォルトのスーパーユーザ アカウントのパスワードを指定します。
      パスフレーズを指定しない場合、XPSRegClient でパスフレーズの入力と確認が求められます。
    • -adminui–setup
      管理 UI が管理ポリシー サーバに初めて登録されることを指定します。
    • -t
      timeout
      (任意)管理 UI をインストールしてから、ログインして管理ポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、管理ポリシー サーバは登録リクエストを拒否します。
      測定単位
      : 分
      デフォルト:
      240(4 時間)
      最小:
      15
      最大値:
      1440 (24 時間)
    • -r
      retries
      (任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。
      デフォルト:
      1
      最大:
      5
    • -c
      comment
      (任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。
      コメントは引用符で囲んでください。
    • -cp
      (任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。
      コメントは引用符で囲んでください。
    • -l
      log_path
      (任意)登録ログ ファイルをエクスポートする場所を指定します。
      デフォルト:
      siteminder_home
      \log
      siteminder_home
      管理ポリシー サーバのインストール パスを指定します。
    • -e
      error_path
      (任意)例外を指定されたパスに送信します。
      デフォルト
      : stderr
    • -vT
      (任意)詳細レベルを TRACE に設定します。
    • -vI
      (任意)詳細レベルを INFO に設定します。
    • -vW
      (任意)詳細レベルを WARNING に設定します。
    • -vE
      (任意)詳細レベルを ERROR に設定します。
    • -vF
      (任意)詳細レベルを FATAL に設定します。
  3. Enter キーを押します。
    XPSRegClient は、管理ポリシー サーバに管理者認証情報を提供します。管理ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。