Oracle Virtual Directory をポリシー ストアとして設定する
目次
casso1283
Oracle Virtual Directory (OVD)はポリシー ストアとして機能できます。1 つのディレクトリ サーバ インスタンスは以下として機能させることができます。
- ポリシー ストア
- キーストア
単一のディレクトリ サーバを使用すると管理タスクが簡略化されます。このシナリオでは、ポリシー データと暗号化キーを格納するために 1 つのディレクトリ サーバ インスタンスを設定する方法について説明します。
実装に必要な場合は、別のキー ストアを設定できます。
ディレクトリ サーバ情報の収集
casso1283
LDAP ディレクトリ サーバをポリシー ストアとして設定するか、または既存のポリシー ストアをアップグレードするには、特定のディレクトリ サーバ情報が必要です。作業を始める前に、以下の情報を収集してください。
- ホスト情報ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。
- ポート情報(任意)標準以外のポートを指定します。デフォルト値:636(SSL)および 389(SSL 以外)
- 管理 DNLDAP ツリー内のポリシー ストア ルート オブジェクトの下でオブジェクトの作成、読み取り、変更、および削除を行う権限を持つユーザの LDAP ユーザ名を指定します。
- 管理パスワード管理 DN のパスワードを指定します。
- ポリシー サーバのルート DNポリシー ストア オブジェクトを定義する、LDAP ツリー内のノードの識別名を指定します。
- SSL クライアント証明書SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指定します。制限:SSL のみ
SiteMinder スキーマ ファイルで OVD ローカル スキーマを拡張する
SiteMinder
スキーマ ファイルで OVD ローカル スキーマを拡張する以下の
SiteMinder
スキーマ ファイルで Oracle Virtual Directory を拡張します。- ovd_sm_schema.ldif
- ovd_xps_schema.ldif
以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- siteminder_home/db/tier2/Oracle Virtual Directory に移動し、OVD ホスト システムに以下のファイルをコピーします。ovd_sm_schema.ldif
- siteminder_home/xps/db/schema_extension/db/Oracle Virtual Directory に移動し、OVD ホスト システムに以下のファイルをコピーします。ovd_xps_schema.ldif
- Oracle Virtual Directory システムにログインします。
- お使いのディレクトリ サーバの管理者として以下のコマンドを実行し、SiteMinderスキーマ ファイルでローカル スキーマを拡張します。ldapmodify -h OVD_Host -p OVD_Port -D cn=Admin -w Admin_Password -v -a -f ovd_sm_schema.ldifldapmodify -h OVD_Host -p OVD_Port -D cn=Admin -w Admin_Password -v -a -f ovd_xps_schema.ldifdsconf reindex -h localhost -p OVD_Port -e "ou=Netegrity,root_database"
- OVD_HostOVD システム IP アドレスまたは完全修飾ドメイン名を指定します。
- OVD_PortOVD インスタンスが実行されているポートを指定します。
- cn=Adminスキーマを変更する権限を持つ OVD サーバの管理者を指定します。
- Admin_Passwordサーバの管理者のパスワードを指定します。
既存のポリシー ストアに接続するための Oracle Virtual Directory アダプタを作成する
既存のポリシー ストアに接続するための Oracle Virtual Directory LDAP アダプタを作成するには、Oracle Directory Services Manager を使用します。
以下の手順に従います。
- Oracle Directory Services Manager にログインします。
- タスク選択バーから[Adapter]を選択します。[Adapter]ナビゲーション ツリーが表示されます。
- [Create Adapter]ボタンをクリックします。新規アダプタ ウィザードが表示されます。
- [Type]画面で以下の値を指定します。
- アダプタ タイプ[LDAP]を選択します。
- アダプタ名LDAP アダプタの一意の名前を入力します。
- アダプタ テンプレート既存のポリシー ストアのディレクトリ タイプに対応するアダプタ テンプレートを選択します。
- [Next]をクリックします。
- [Connection]画面で以下の値を入力します(他のすべての設定はデフォルトにします)。
- Use DNS for Auto Discovery[No]を選択します。
- Hostリモート ホストのホスト名または IP アドレスを入力します。
- [Port]リモート ホスト インスタンスが実行されているポートを入力します。
- Server proxy Bind DNディレクトリ コンテンツを変更する権限があるディレクトリ ユーザの認証情報を入力します。
- プロキシ パスワード[Secure proxy Bind DN]フィールドで指定したユーザのパスワード。
- [Next]をクリックします。
- [Connection Test]画面の接続ステータスが OK の場合、[Next]をクリックします。それ以外の場合は、[Back]をクリックして接続設定のトラブルシューティングを行います。
- [Namespace]画面で以下の値を入力します(他のすべての設定はデフォルトにします)。
- Remote Base[Browse]をクリックし、ポリシー データが保存される DN を選択します。
- Mapped Namespaceポリシー データをマップするローカル DN を入力します。
- [Summary]ページを確認して[Finish]をクリックします。
ポリシー サーバからポリシー ストアへの参照の設定
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリシー ストアにアクセスできるようにします。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。casso1283Windows サーバ上で、ユーザ アカウント制御(UAC)が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いのSiteMinderコンポーネントの「リリース ノート」を参照してください。
- [データ]タブをクリックします。
- データベース リストから以下の値を選択します。Policy Store
- ストレージ リストから以下の値を選択します。LDAP
- [LDAP ポリシー ストア]グループ ボックスで、以下を設定します。
- LDAP IP アドレス
- Admin Username
- Password
- パスワードの確認入力
- DN
フィールド、コントロール、およびそれぞれの要件については、[ヘルプ]をクリックしてください。 - [適用]をクリックします。
- [LDAP 接続のテスト]をクリックして、ポリシー サーバがポリシー ストアにアクセスできることを確認します。
- [OK]をクリックします。
SiteMinder スーパーユーザ パスワードの設定
SiteMinder
スーパーユーザ パスワードの設定casso1283
デフォルトの管理者アカウントの名前は
siteminder
です。 このアカウントは最大の権限を持っています。デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
- 管理 UI に初めてアクセスするとき。
- SiteMinderユーティリティの管理を初めて行うとき。
- スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
- smreg ユーティリティをsiteminder_home\bin にコピーします。
- siteminder_homeポリシー サーバのインストール パスを指定します。
このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。 - 以下のコマンドを実行します。smreg -supassword
- パスワードデフォルトの管理者のパスワードを指定します。
- パスワードは 6 文字以上、24 文字以下である必要があります。
- パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
- パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
Oracle ポリシー ストアを設定している場合、パスワードの大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。 - siteminder_home\bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー サーバの再起動
casso1283
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。
- [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
- [開始]をクリックします。緑色の信号アイコンが表示されて、ポリシー サーバが起動します。注: UNIX 上でポリシー サーバを再起動するには、stop-psコマンドとstart-psコマンドやstop-allコマンドとstart-allコマンドを実行します。
管理 UI 登録の準備
casso1283
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
- 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
- (UNIX) XPSRegClient を使用する前に、SiteMinder環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
- ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行します。XPSRegClient super_user_account_name[:passphrase] -adminui-setup -ttimeout-rretries-ccomment-cp -llog_path-eerror_path-vT -vI -vW -vE -vF
- passphraseデフォルトのスーパーユーザ アカウントのパスワードを指定します。パスフレーズを指定しない場合、XPSRegClient でパスフレーズの入力と確認が求められます。
- -adminui–setup管理 UI がポリシー サーバに初めて登録されることを指定します。
- -ttimeout(任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。測定単位: 分デフォルト:240(4 時間)最小:15最大値:1440 (24 時間)
- -rretries(任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。デフォルト:1最大:5
- -ccomment(任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。コメントは引用符で囲んでください。
- -cp(任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。コメントは引用符で囲んでください。
- -llog_path(任意)登録ログ ファイルをエクスポートする場所を指定します。デフォルト:siteminder_home\logsiteminder_homeポリシー サーバのインストール パスを指定します。
- -eerror_path(任意)例外を指定されたパスに送信します。デフォルト: stderr
- -vT(任意)詳細レベルを TRACE に設定します。
- -vI(任意)詳細レベルを INFO に設定します。
- -vW(任意)詳細レベルを WARNING に設定します。
- -vE(任意)詳細レベルを ERROR に設定します。
- -vF(任意)詳細レベルを FATAL に設定します。
- Enter キーを押します。XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。