Novell eDirectory をポリシー ストアとして設定する
目次
casso1283
Novell eDirectory はポリシー ストアとして機能できます。1 つのディレクトリ サーバ インスタンスは以下として機能させることができます。
- ポリシー ストア
- キーストア
単一のディレクトリ サーバを使用すると管理タスクが簡略化されます。以下のセクションでは、ポリシー データと暗号化キーを格納するよう 1 つのディレクトリ サーバ インスタンスを設定する方法について説明します。実装に必要な場合は、別のキー ストアを設定できます。
開始する前に、以下がインストールされていることを確認してください。
- Novell Windows Login Client
- Novell ConsoleOne for Windows、UNIX、および Netware システム
Novell eDirectory でのポリシー ストア オブジェクトの制限
Novell eDirectory でポリシー ストア オブジェクトを使用する場合は、以下の点を考慮してください。
- 15 文字以内のポリシー ストア ルート DN を使用してください。Novell eDirectory DN は 256 文字を超えてはいけません。241 文字以上のSiteMinderオブジェクトもあります。ルート DN が 15 文字より長いと、オブジェクトによっては 256 バイト制限を超える場合があります。
- ポリシー ストアが Novell eDirectory にある場合、eDirectory では属性を 64 文字を超える値に設定できないため、ポリシー ストア オブジェクトに 64 文字より長い名前を付けることはできません。この制限は、特に証明書マップに影響します。通常、証明書マップには意図的に長い名前が付けられているためです。
- 管理ポリシー サーバは、Novell eDirectory にあるポリシー ストアの LDAP リフェラルをサポートしていません。
ディレクトリ サーバ情報の収集
LDAP ディレクトリ サーバをポリシー ストアとして設定するか、または既存のポリシー ストアをアップグレードするには、特定のディレクトリ サーバ情報が必要です。作業を始める前に、以下の情報を収集してください。
- ホスト情報ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。
- ポート情報(任意)標準以外のポートを指定します。デフォルト値:636(SSL)および 389(SSL 以外)
- 管理 DNLDAP ツリー内のポリシー ストア ルート オブジェクトの下でオブジェクトの作成、読み取り、変更、および削除を行う権限を持つユーザの LDAP ユーザ名を指定します。
- 管理パスワード管理 DN のパスワードを指定します。
- ポリシー サーバのルート DNポリシー ストア オブジェクトを定義する、LDAP ツリー内のノードの識別名を指定します。
- SSL クライアント証明書SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。制限:SSL のみ
ポリシー ストア スキーマ ファイルの編集
Novell サーバ DN 情報を格納するように、Novell ポリシー ストア スキーマ ファイルを編集します。Novell Client から、Novell ポリシー ストア スキーマ ファイルを編集します。
以下の手順に従います。
- ポリシー サーバ ホスト システム上のpolicy_server_home\bin に移動します。
- policy_server_homeポリシー サーバのインストール パスを指定します。
- 以下のコマンドを実行します。ldapsearch -hhost -pport -bbasedn -ssub -Dadmin_DN -wAdminPWdobjectclass=ncpServer dn
- -hhostディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。
- -pportLDAP ディレクトリ サーバがリスンするポートを指定します。
- -bbasedn検索のためのベース DN を指定します。
- -Dadmin_dnディレクトリ サーバにバインドできる管理者アカウントの DN を指定します。
- -wadmin_pw管理者アカウントのパスワードを指定します。
例:ldapsearch -h192.168.1.47 -p389 -bo=nwqa47container -ssub-Dcn=admin,o=nwqa47container -wpassword objectclass=ncpServer dnNovell サーバ DN が表示されます。 - policy_server_home\novell に移動します。
- Novell ポリシー ストア スキーマ ファイルを開きます。
- 各 <ncpserver> 変数を、Novell サーバ DN の手順 2 で発見した値に置き換えることで、ポリシー ストア スキーマ ファイルを手動で編集します。例:Novell サーバ DN の値が「cn=servername,o=servercontainer」の場合は、<ncpserver> の各インスタンスを「cn=servername,o=servercontainer」に置き換えます。
- ポリシー ストア スキーマ ファイルを保存し閉じます。
- policy_server_home\xps\db に移動します。
- 以下の Novell ポリシー ストア スキーマ ファイルを開きます。Novell.ldif
- 各 <ncpserver> 変数を、Novell サーバ DN の手順 2 で発見した値に置き換えることで、ポリシー ストア スキーマ ファイルを手動で編集します。例:Novell サーバ DN の値が「cn=servername,o=servercontainer」の場合は、<ncpserver> の各インスタンスを「cn=servername,o=servercontainer」に置き換えます。
Novell ポリシー ストア スキーマ ファイルに、Novell サーバ DN 情報が格納されます。
管理ポリシー サーバからポリシー ストアへの参照の設定
管理ポリシー サーバからポリシー ストアへの参照を設定し、管理ポリシー サーバがポリシー ストアにアクセスできるようにします。
以下の手順に従います。
- 管理ポリシー サーバ管理コンソールを開きます。Windows サーバ上で、ユーザ アカウント制御(UAC)が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いのSiteMinderコンポーネントの「リリース ノート」を参照してください。
- [データ]タブをクリックします。
- データベース リストから以下の値を選択します。Policy Store
- ストレージ リストから以下の値を選択します。LDAP
- [LDAP ポリシー ストア]グループ ボックスで、以下を設定します。
- LDAP IP アドレス
- Admin Username
- Password
- パスワードの確認入力
- ルート DN
フィールド、コントロール、およびそれぞれの要件については、[ヘルプ]をクリックしてください。 - [適用]をクリックします。
- [LDAP 接続のテスト]をクリックして、管理ポリシー サーバがポリシー ストアにアクセスできることを確認します。
- データベース リストから以下の値を選択します。Key Store
- ストレージ リストから以下の値を選択します。LDAP
- 以下のオプションを選択します。Use Policy Store database
- [OK]をクリックします。
ポリシー ストア スキーマの作成
ポリシー ストアおよびストア
SiteMinder
オブジェクトとしてディレクトリ サーバが機能できるように、ポリシー ストア スキーマを作成します。smldapsetup ツールを使用して、ポリシー ストア スキーマを追加します。以下の手順に従います。
- 以下のコマンドを実行します。smldapsetup ldmod -v -f policy_server_home\novell\Novell_Add_release.ldif
- -fpolicy_server_home管理ポリシー サーバのインストール パスを指定します。
- -vトレースをオンにして、エラー メッセージ、警告メッセージ、およびコメント メッセージを出力します。
- releaseSiteMinderリリースを指定します。
- 以下のコマンドを実行します。smldapsetup ldmod -v -f policy_server_home\xps\db\Novell.ldifポリシー ストア スキーマが作成されます。
スーパーユーザ パスワードの設定
デフォルトの
SiteMinder
管理者アカウントの名前は「siteminder
」です。 このアカウントは最大の権限を持っています。デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
- 管理 UI に初めてアクセスするとき。
- SiteMinderユーティリティの管理を初めて行うとき。
- スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
- smreg ユーティリティをsiteminder_home\bin にコピーします。
- siteminder_home管理ポリシー サーバのインストール パスを指定します。
このユーティリティは、管理ポリシー サーバ インストール キットの最上位レベルにあります。 - 以下のコマンドを実行します。smreg -supassword
- パスワードデフォルトの管理者のパスワードを指定します。
- パスワードは 6 文字以上、24 文字以下である必要があります。
- パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
- パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
Oracle ポリシー ストアを設定する場合、パスワードは大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。 - siteminder_home\bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
- コマンド ウィンドウを開き、siteminder_home\xps\dd に移動します。
- siteminder_home管理ポリシー サーバのインストール パスを指定します。
- 以下のコマンドを実行します。XPSDDInstall SmMaster.xdd
- XPSDDInstall必要なデータ定義をインポートします。すべてのポリシー サーバがご使用の環境の同じポリシー ストアまたはレプリケートされたポリシー ストアを参照している場合、環境内の 1 つのポリシー サーバでのみ XPSDDInstall を一度実行します。レプリケーション プロセスが完了してから、次のステップに進みます。整合性エラーを防ぐために、すべてのポリシー サーバで XPSDDInstall を実行しないようにしてください。
デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI と管理ポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
- 必ずsiteminder_home\bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
- siteminder_home管理ポリシー サーバのインストール パスを指定します。
- Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いのSiteMinderコンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
- コマンド ウィンドウを開き、siteminder_home\db に移動します。
- 以下のいずれかのファイルをインポートします。
- smpolicy.xml をインポートするには、以下のコマンドを実行します。XPSImport smpolicy.xml -npass
- smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。XPSImport smpolicy-secure.xml -npass
- npassパスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
- Option Pack 機能をインポートするには、以下のコマンドを実行します。XPSImport ampolicy.xml -npass
- フェデレーション機能をインポートするには、以下のコマンドを実行します。XPSImport fedpolicy-12.5.xml -npass
- OAuth または OpenID 接続を使用するには、以下のコマンドを実行して、デフォルト OAuth エンティティおよび OpenID 接続用のデフォルトのクレームおよびスコープ オブジェクトをインポートします。XPSImport default-fedobjects-config.xml -npass-npassは、パスフレーズが必要ではないことを指定します。
ampolicy.xml をインポートすると、
SiteMinder
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービス変数機能が使用可能になります。Web サービスの変数機能を使用する予定の場合は、ライセンス情報について Broadcom アカウント担当者に問い合わせてください。LDAP サーバのリフレッシュ
変更が Novell eDirectory で有効になるように、LDAP サーバをリフレッシュします。LDAP サーバをリフレッシュするには、Novell Client を使用します。
以下の手順に従います。
- ConsoleOne を開きます。
- ディレクトリ ツリーで LDAP サーバをダブルクリックします。
- [LDAP サーバを今すぐリフレッシュ]をクリックします。LDAP サーバがリフレッシュされます。
管理ポリシー サーバの再起動
特定の設定を有効にするために、管理ポリシー サーバを再起動します。
以下の手順に従います。
- 管理ポリシー サーバ管理コンソールを開きます。
- [ステータス]タブをクリックし、[Administrative Policy Server (管理ポリシー サーバ)]グループ ボックスで[停止]をクリックします。赤色の信号アイコンが表示されて、管理ポリシー サーバが停止します。
- [開始]をクリックします。緑色の信号アイコンが表示されて、管理ポリシー サーバが起動します。注: UNIX 上で管理ポリシー サーバを再起動するには、stop-psコマンドとstart-psコマンドやstop-allコマンドとstart-allコマンドを実行します。
管理 UI 登録の準備
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI を管理ポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。管理ポリシー サーバは、これらの認証情報を使用して、登録リクエストが有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
- 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
- (UNIX) XPSRegClient を使用する前に、SiteMinder環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
- 管理ポリシー サーバのホスト システムにログインします。
- 以下のコマンドを実行します。XPSRegClient super_user_account_name[:passphrase] -adminui-setup -ttimeout-rretries-ccomment-cp -llog_path-eerror_path-vT -vI -vW -vE -vF
- passphraseデフォルトのスーパーユーザ アカウントのパスワードを指定します。パスフレーズを指定しない場合、XPSRegClient でパスフレーズの入力と確認が求められます。
- -adminui–setup管理 UI が管理ポリシー サーバに初めて登録されることを指定します。
- -ttimeout(任意)管理 UI をインストールしてから、ログインして管理ポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、管理ポリシー サーバは登録リクエストを拒否します。測定単位: 分デフォルト:240(4 時間)最小:15最大値:1440 (24 時間)
- -rretries(任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。デフォルト:1最大:5
- -ccomment(任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。コメントは引用符で囲んでください。
- -cp(任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。コメントは引用符で囲んでください。
- -llog_path(任意)登録ログ ファイルをエクスポートする場所を指定します。デフォルト:siteminder_home\logsiteminder_home管理ポリシー サーバのインストール パスを指定します。
- -eerror_path(任意)例外を指定されたパスに送信します。デフォルト: stderr
- -vT(任意)詳細レベルを TRACE に設定します。
- -vI(任意)詳細レベルを INFO に設定します。
- -vW(任意)詳細レベルを WARNING に設定します。
- -vE(任意)詳細レベルを ERROR に設定します。
- -vF(任意)詳細レベルを FATAL に設定します。
- Enter キーを押します。XPSRegClient は、管理ポリシー サーバに管理者認証情報を提供します。管理ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。