ポリシー ストアとして Oracle Unified Directory を設定する
目次
casso1283
目次
2
Oracle Unified Directory (OUD)はポリシー ストアとして機能できます。1 つのディレクトリ サーバ インスタンスは以下として機能させることができます。
- ポリシー ストア
- キーストア
単一のディレクトリ サーバを使用すると管理タスクが簡略化されます。このシナリオでは、ポリシー データと暗号化キーを格納するために 1 つのディレクトリ サーバ インスタンスを設定する方法について説明します。
実装に必要な場合は、別のキー ストアを設定できます。
ディレクトリ サーバ情報の収集
casso1283
LDAP ディレクトリ サーバをポリシー ストアとして設定するか、または既存のポリシー ストアをアップグレードするには、特定のディレクトリ サーバ情報が必要です。作業を始める前に、以下の情報を収集してください。
- ホスト情報ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。
- ポート情報(任意)標準以外のポートを指定します。デフォルト値:636(SSL)および 389(SSL 以外)
- 管理 DNLDAP ツリー内のポリシー ストア ルート オブジェクトの下でオブジェクトの作成、読み取り、変更、および削除を行う権限を持つユーザの LDAP ユーザ名を指定します。
- 管理パスワード管理 DN のパスワードを指定します。
- ポリシー サーバのルート DNポリシー ストア オブジェクトを定義する、LDAP ツリー内のノードの識別名を指定します。
- SSL クライアント証明書SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。制限:SSL のみ
Oracle Unified Directory インスタンスを設定する方法
ポリシー ストアとして Oracle Unified Directory を使用できるようにするには、さらに設定が必要です。設定手順は以下のとおりです。
Windows で
SiteMinder
スキーマ ファイルを指定します。スキーマ ファイルを指定します。
以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- ps_home\db\tier2\OUD に移動し、以下のファイルを Oracle Unified Directory インストール ディレクトリ内のスキーマ フォルダ(oud_instance\config\schema)にコピーします。oud_sm_schema.ldif
- ps_homeポリシー サーバのインストール パスを指定します。
- oud_instanceOracle Unified Directory インスタンスの名前を指定します。
- ps_home\xps\db\schema_extension\db\OUD に移動し、以下のファイルを Oracle Unified Directory インストール ディレクトリ内のスキーマ フォルダ(oud_instance\config\schema)にコピーします。oud_XPS_schema.ldif
SiteMinder
スキーマ ファイルが指定されます。UNIX で
SiteMinder
スキーマ ファイルを指定します。スキーマ ファイルを指定します。
以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- ps_home/db/tier2/OUD に移動し、以下のファイルを Oracle Unified Directory インストール ディレクトリのスキーマ フォルダ(oud_instance\config\schema)にコピーします。oud_sm_schema.ldif
- ps_homeポリシー サーバのインストール パスを指定します。
- oud_instanceOracle Unified Directory インスタンスの名前を指定します。
- ps_home/xps/db/schema_extension/db/OUD に移動し、以下のファイルを Oracle Unified Directory インストール ディレクトリ内のスキーマ フォルダ(oud_instance\config\schema)にコピーします。oud_XPS_schema.ldif
SiteMinder
スキーマ ファイルが指定されます。Windows でのポリシー ストア インデックスの設定
ポリシー ストアとして Oracle Unified Directory を使用するには、Oracle Unified Directory インスタンス構成ファイル(
oud_instance
\config\config.ldif)でインデックスを指定します。以下の手順に従います。
- Oracle Unified Directory インスタンスを停止します。
- テキスト エディタでoud_instance\config\config.ldif ファイルを開きます。
- oud_instanceOracle Unified Directory インスタンスの名前を指定します。
- 以下の行を確認します。dn: cn=Index,cn=userRoot,cn=Workflow Elements,cn=configobjectClass: topobjectClass: ds-cfg-branchcn: Index
- ファイルに新しい行を挿入し、次に以下のファイルからコンテンツを追加します。
- ps_home\db/tier2\OUD\oud_sm_indexes.ldif
- ps_home\xps\db\ schema_extension\db\OUD\oud_xps_index.ldif
- ファイルを保存し、テキスト エディタを閉じます。
- インデックスを再構築するには、oud_instance\bat に移動し以下のコマンドを実行します。rebuild-index.bat -b base_dn --rebuildAll -h hostname -p OUD_administration_port -D "cn=Directory Manager" -j <bindpasswordfile> -X -t 0 --completionNotify emailAddress
- casso1283base_dnインデックスをサポートするバック エンドのベース DN を指定します。インデックスは任意のベース DN の適用範囲内で再構築されます。ホスト名ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。指定しない場合は、デフォルトで localhost になります。OUD_administration_portディレクトリ サーバの管理ポートを指定します。指定しない場合、デフォルトの管理ポート(44444)が使用されます。bindpasswordfileディレクトリ サーバに対して認証するときに使用するバインド パスワードが含まれるファイルを指定します。completionNotifyタスクが完了すると通知を受ける受信者の電子メール アドレスを指定します。このオプションは、単一コマンドで 2 回以上指定できます。
- 再構築タスクが完了した後、Oracle Unified Directory インスタンスを再起動します。
Oracle Unified Directory 用のポリシー ストア インデックスが指定されます。
UNIX でのポリシー ストア インデックスの指定
ポリシー ストアとして Oracle Unified Directory を使用するには、Oracle Unified Directory インスタンス構成ファイル(
oud_instance/
config/config.ldif)でインデックスを指定します。以下の手順に従います。
- Oracle Unified Directory インスタンスを停止します。
- テキスト エディタでoud_instance/config/config.ldif ファイルを開きます。
- oud_instanceOracle Unified Directory インスタンスの名前を指定します。
- 以下の行を確認します。dn: cn=Index,cn=userRoot,cn=Workflow Elements,cn=configobjectClass: topobjectClass: ds-cfg-branchcn: Index
- ファイルに新しい行を挿入し、次に以下のファイルからコンテンツを追加します。
- ps_home/db/tier2/OUD/oud_sm_indexes.ldif
- ps_home/xps/db/ schema_extension/db/OUD/oud_xps_index.ldif
- ps_homeポリシー サーバのインストール パスを指定します。
- ファイルを保存し、テキスト エディタを閉じます。
- oud_instance/bin に移動し、インデックスを再構築するために以下のコマンドを実行します。rebuild-index -b base_dn --rebuildAll -h hostname -p OUD_administration_port -D "cn=Directory Manager" -j bindpasswordfile -X -t 0 --completionNotify emailAddress
- casso1283base_dnインデックスをサポートするバック エンドのベース DN を指定します。インデックスは任意のベース DN の適用範囲内で再構築されます。ホスト名ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。指定しない場合は、デフォルトで localhost になります。OUD_administration_portディレクトリ サーバの管理ポートを指定します。指定しない場合、デフォルトの管理ポート(44444)が使用されます。bindpasswordfileディレクトリ サーバに対して認証するときに使用するバインド パスワードが含まれるファイルを指定します。completionNotifyタスクが完了すると通知を受ける受信者の電子メール アドレスを指定します。このオプションは、単一コマンドで 2 回以上指定できます。
- 再構築タスクが完了した後、Oracle Unified Directory インスタンスを起動します。
Oracle Unified Directory 用のポリシー ストア インデックスが指定されます。
データベースを作成する方法
以下のプロセスに、ポリシー ストア用のディレクトリ サーバ データベースを作成するための手順を示します。
- ベース ツリー構造を作成します。
- エントリを追加します。
ベース ツリー構造の作成
ポリシー ストア オブジェクトを格納するためにベース ツリー構造を作成するには、ルート DN の下に以下のエントリを指定します。
ou=Netegrity,ou=SiteMinder,ou=PolicySvr4
データベースへのエントリの追加
SiteMinder
が必要な組織情報および組織ロール情報を保持するように、ディレクトリ サーバにエントリを追加します。以下の手順に従います。
- LDIF ファイルを作成します。例:以下の例には、entries.ldif の組織エントリおよび組織ロール エントリが含まれます。# Netegrity, example.com dn: ou=Netegrity,dc=example,dc=com ou: Netegrity objectClass: organizationalUnit objectClass: top # SiteMinder, Netegrity, example.com dn: ou=SiteMinder,ou=Netegrity,dc=example,dc=com ou: SiteMinder objectClass: organizationalUnit objectClass: top # PolicySvr4, SiteMinder, Netegrity, example.com dn: ou=PolicySvr4,ou=SiteMinder,ou=Netegrity,dc=example,dc=com ou: PolicySvr4 objectClass: organizationalUnit objectClass: top
- 以下のコマンドを実行して、エントリを追加します。ldapmodify -h hostname -p port -D bindDN -j pwd_file -a -f LDIF_file_name
- ホスト名ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。デフォルト:localhost
- ポートディレクトリ サーバにアクセスするポートを指定します。デフォルト:389
- BindDNディレクトリ サーバを認証するバインド DN を指定します。デフォルト:cn=Directory Manager
- pwd_fileディレクトリ サーバの認証に使用するバインド パスワードが含まれるファイルを指定します。
- LDIF_file_name手順 1 で作成した LDIF ファイルを指定します。
ポリシー サーバからポリシー ストアへの参照の設定
casso1283
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリシー ストアにアクセスできるようにします。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。casso1283Windows サーバ上で、ユーザ アカウント制御(UAC)が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いのSiteMinderコンポーネントの「リリース ノート」を参照してください。
- [データ]タブをクリックします。
- データベース リストから以下の値を選択します。Policy Store
- ストレージ リストから以下の値を選択します。LDAP
- [LDAP ポリシー ストア]グループ ボックスで、以下を設定します。
- LDAP IP アドレス
- Admin Username
- Password
- パスワードの確認入力
- ルート DN
フィールド、コントロール、およびそれぞれの要件については、[ヘルプ]をクリックしてください。 - [適用]をクリックします。
- [LDAP 接続のテスト]をクリックして、ポリシー サーバがポリシー ストアにアクセスできることを確認します。
- データベース リストから以下の値を選択します。Key Store
- ストレージ リストから以下の値を選択します。LDAP
- 以下のオプションを選択します。Use Policy Store database
- [OK]をクリックします。
SiteMinder
スーパーユーザ パスワードの設定casso1283
デフォルトの管理者アカウントの名前は
siteminder
です。 このアカウントは最大の権限を持っています。デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
- 管理 UI に初めてアクセスするとき。
- SiteMinderユーティリティの管理を初めて行うとき。
- スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
- smreg ユーティリティをsiteminder_home\bin にコピーします。
- siteminder_homeポリシー サーバのインストール パスを指定します。
このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。 - 以下のコマンドを実行します。smreg -supassword
- パスワードデフォルトの管理者のパスワードを指定します。
- パスワードは 6 文字以上、24 文字以下である必要があります。
- パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
- パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
Oracle ポリシー ストアを設定している場合、パスワードの大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。 - siteminder_home\bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
casso1283
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
- コマンド ウィンドウを開き、siteminder_home\xps\dd に移動します。
- siteminder_homeポリシー サーバのインストール パスを指定します。
- 以下のコマンドを実行します。XPSDDInstall SmMaster.xdd
- XPSDDInstall必要なデータ定義をインポートします。すべてのポリシー サーバがご使用の環境の同じポリシー ストアまたはレプリケートされたポリシー ストアを参照している場合、環境内の 1 つのポリシー サーバでのみ XPSDDInstall を一度実行します。レプリケーション プロセスが完了してから、次のステップに進みます。整合性エラーを防ぐために、すべてのポリシー サーバで XPSDDInstall を実行しないようにしてください。
デフォルトのポリシー ストア オブジェクトのインポート
casso1283
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
- 必ずsiteminder_home\bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
- siteminder_homeポリシー サーバのインストール パスを指定します。
- Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いのSiteMinderコンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
- コマンド ウィンドウを開き、siteminder_home\db に移動します。
- 以下のいずれかのファイルをインポートします。
- smpolicy.xml をインポートするには、以下のコマンドを実行します。XPSImport smpolicy.xml -npass
- smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。XPSImport smpolicy-secure.xml -npass
- npassパスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
- Option Pack 機能をインポートするには、以下のコマンドを実行します。XPSImport ampolicy.xml -npass
- フェデレーション機能をインポートするには、以下のコマンドを実行します。XPSImport fedpolicy-12.5.xml -npass
- OAuth または OpenID 接続を使用するには、以下のコマンドを実行して、デフォルト OAuth エンティティおよび OpenID 接続用のデフォルトのクレームおよびスコープ オブジェクトをインポートします。XPSImport default-fedobjects-config.xml -npass-npassは、パスフレーズが必要ではないことを指定します。
ampolicy.xml をインポートすると、
SiteMinder
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービス変数機能が使用可能になります。Web サービスの変数機能を使用する予定の場合は、ライセンス情報について Broadcom アカウント担当者に問い合わせてください。管理 UI 登録の準備
casso1283
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
- 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
- (UNIX) XPSRegClient を使用する前に、SiteMinder環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行します。XPSRegClient super_user_account_name[:passphrase] -adminui-setup -ttimeout-rretries-ccomment-cp -llog_path-eerror_path-vT -vI -vW -vE -vF
- passphraseデフォルトのスーパーユーザ アカウントのパスワードを指定します。パスフレーズを指定しない場合、XPSRegClient でパスフレーズの入力と確認が求められます。
- -adminui–setup管理 UI がポリシー サーバに初めて登録されることを指定します。
- -ttimeout(任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。測定単位: 分デフォルト:240(4 時間)最小:15最大値:1440 (24 時間)
- -rretries(任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。デフォルト:1最大:5
- -ccomment(任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。コメントは引用符で囲んでください。
- -cp(任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。コメントは引用符で囲んでください。
- -llog_path(任意)登録ログ ファイルをエクスポートする場所を指定します。デフォルト:siteminder_home\logsiteminder_homeポリシー サーバのインストール パスを指定します。
- -eerror_path(任意)例外を指定されたパスに送信します。デフォルト: stderr
- -vT(任意)詳細レベルを TRACE に設定します。
- -vI(任意)詳細レベルを INFO に設定します。
- -vW(任意)詳細レベルを WARNING に設定します。
- -vE(任意)詳細レベルを ERROR に設定します。
- -vF(任意)詳細レベルを FATAL に設定します。
- Enter キーを押します。XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。