MySQL ポリシー ストアを設定する方法

目次
casso1283
単一の MySQL サーバ データベースは、ポリシー ストア、キー ストア、ログ データベースとして機能できます。個別のデータベースにセッション情報を格納します。MySQL ポリシー ストアおよびデータ ストアは手動で設定します。

前提条件の確認

  1. MySQL が Latin1 または UTF8 文字セットを使用していることを確認します。Unicode 文字をサポートするために、UTF8 文字セットを使用します。
  2. ポリシー ストアとして動作している MySQL データベースがポリシー サーバ ホスト システムからアクセス可能であることを確認します。
  3. ベンダー固有のユーザ インターフェースを使用して、データ ストア用のデータベース インスタンスを作成します。
    • Unicode 文字用のデータベース インスタンスを作成するには、UTF8 に対して文字セットおよび照合を使用します。
    • Unicode 文字用のデータベース インスタンスを作成するには、Latin1 に対して文字セットおよび照合を使用します。
    • データベース インスタンスでは、大文字小文字を区別する必要があります。
  4. Windows でのエージェントの場合、すべてのログの ACO パラメータのパスに円記号 (\) が含まれていないことを確認します。MySQL での特殊文字のエスケープ シーケンスについては、MySQL のドキュメントを参照してください。

データベース情報の収集

ポリシー ストアまたは他のタイプの
SiteMinder
データ ストアを設定する前に以下の情報を収集します。
  • データベース ホスト
    -- データベース ホスト システムの名前。
  • データベース インスタンス名
    -- ポリシー ストアまたはデータ ストアとして機能するデータベース インスタンスの名前。
  • データベース ポート
    -- データベースがリスンするポートを特定します。
  • 管理者アカウント
    -- データベース内でオブジェクトを管理する権限を持つ管理者アカウントのログイン ID。
  • 管理者パスワード
    -- 管理者アカウントのパスワード。

SiteMinder スキーマの作成

SiteMinder
スキーマを作成することによって、MySQL データベースにポリシー、キー、監査ログ情報を格納できるようにします。
以下の手順に従います。
  1. クエリ ブラウザを起動し、ポリシー サーバ データベースの管理者としてログインします。
  2. [データベース]リストからデータベース インスタンスを選択します。
  3. 以下の場所に移動します。
    siteminder_home
    \db\tier2\MySQL.
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  4. テキスト エディタで以下のファイルの
    いずれか
    を開きます。
    • ポリシー ストアに Unicode 文字を格納するには、sm_mysql_ps.sql.unicode を開きます。
    • ポリシー ストアに非 Unicode 文字を格納するには、使用されている MySQL エディションに応じて、sm_mysql_ps.sql または sm_mysql_community_ps.sql (リリース 12.8.08 以降、ネイティブ ドライバ用) を開きます。
  5. sm_mysql_ps または sm_mysql_community_ps.sql ファイルで以下の行を見つけます。
    DROP FUNCTION IF EXISTS `databaseName`.`getdate` $$
    CREATE FUNCTION `databaseName`.`getdate` () RETURNS DATE
  6. 'databaseName' の各インスタンスをポリシー ストアとして機能するデータベースの名前に置換します。
  7. databaseName インスタンスを置換した後、ファイル全体の内容をコピーします。
  8. クエリにファイルの内容を貼り付けて、クエリを実行します。
    ポリシーおよびキー ストア スキーマがデータベースに追加されます。
  9. 以下の場所に移動します。
    siteminder_home
    \xps\db\Tier2DirSupport\MySQL
  10. テキスト エディタで以下のファイルの
    いずれか
    を開き、ファイル全体の内容をコピーします。
    • ポリシー ストアに Unicode 文字を格納するには、MySQL.sql.unicode を開きます。
    • ポリシー ストアに Unicode 以外の文字を格納するには、MySQL.sql を開きます。
  11. 適切な MySQL ファイルからスキーマをクエリに貼り付けて、クエリを実行します。
    ポリシー ストア スキーマが拡張されます。
  12. 監査ログ データベースとしてポリシー ストアを使用するには、手順 3 および 4 を繰り返しますが、以下のログ記録スキーマ ファイルを使用します。
    sm_mysql_logs.sql
    データベースに
    SiteMinder
    データを格納できます。
    注:
    ほかの
    SiteMinder
    データを格納するためにポリシー ストアを設定する必要はありません。別の監査ログ データベース、キー ストア、セッション ストアとして機能するよう個別のデータベースを設定することができます。

Windows での DataDirect ドライバを使用した MySQL データ ソースの作成

ポリシー サーバが
SiteMinder
データ ストアと通信できるようデータ ソースを設定します。
MySQL 5.1.x を使用している場合は、DSN を作成するために使用されるユーザ名にトリガ権限が割り当てられていることを確認します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. [スタート]をクリックし、[プログラム]-[管理ツール]に移動します。
  3. [ODBC Data Sources (64-bit)]を選択します。
    [ODBC データ ソース管理者]ダイアログ ボックスを開きます。
  4. [システム DSN]タブをクリックして、[追加]をクリックします。
  5. 下にスクロールして SiteMinder MySQL Wire Protocol を選択し、[完了]をクリックします。
  6. [全般]タブで以下の手順を行います。
    1. [データ ソース名]フィールドにデータ ソース名を入力します。
      SiteMinder MySQL Wire Data Source
    2. [ホスト名]フィールドに MySQL データベース ホスト システムの名前を入力します。
    3. [ポート番号]フィールドに MySQL データベースがリスンするポートを入力します。
    4. [データベース名]フィールドに MySQL データベースの名前を入力します。
  7. [接続のテスト]をクリックします。
  8. [OK]をクリックします。
    データ ソースが作成され、システム データ ソースのリストに表示されます。
これで、ポリシー サーバが
SiteMinder
データ ストアを参照するようになります。

Linux での DataDirect ドライバを使用した MySQL データ ソースの作成

SiteMinder
ODBC データ ソースは、「ポリシー、キー、セッションおよび監査ストアとしての ODBC データベースの設定」の説明に従って、system_odbc.ini ファイルを使用して設定します。ワイヤ プロトコル ドライバを設定して、データベースに接続するためにポリシー サーバが使用する設定を指定します。
以下の手順に従います。
  1. system_odbc.ini という名前のファイルを
    <siteminder-installation-path>
    /db に作成します。
  2. system_odbc.ini ファイルを開きます。
  3. 以下のコードの行を入力します。
    [ODBC Data Sources] <store-data-source>=
    <description>
    [ODBC Data Sources] SiteMinder Data Source=DataDirect 8.0 SQL Server Wire Protocol
  4. [ODBC Data Sources] で定義されている名前と同じものを使用してストアの新しいセクションを追加し、この新しいセクションの下に
    <siteminder-installation-path>
    /db から mysqlwire.ini の内容をコピーします。
    [SiteMinder Data Source] Driver=
    <siteminder-installation-path>
    /odbc/lib/NSmysql28.so Description=DataDirect 8.0 MySQL Wire Protocol AlternateServers= ApplicationUsingThreads=1 ConnectionReset=0 ConnectionRetryCount=0 ConnectionRetryDelay=3 Database=<
    database_name>
    DefaultLongDataBuffLen=1024 EnableDescribeParam=0 EncryptionMethod=0 FailoverGranularity=0 FailoverMode=0 FailoverPreconnect=0 HostName=<
    host_name>
    HostNameInCertificate= InteractiveClient=0 KeyPassword= KeyStore= KeyStorePassword= LicenseNotice=You must purchase commercially licensed MySQL database software or a MySQL Enterprise subscription in order to use the DataDirect Connect for ODBC for MySQL Enterprise driver with MySQL software. LoadBalanceTimeout=0 LoadBalancing=0 LoginTimeout=15 LogonID=<
    root_user>
    Password=<
    root_user_password>
    MaxPoolSize=100 MinPoolSize=0 Pooling=0 PortNumber=<
    mysql_port>
    QueryTimeout=0 ReportCodepageConversionErrors=0 TreatBinaryAsChar=0 TrustStore= TrustStorePassword= ValidateServerCertificate=1
    • Driver
      MySQL ワイヤ プロトコル ドライバへのフル パスを定義します。
    • データベース
      データ ストアとして機能する MySQL データベースの名前を定義します。
    • HostName
      MySQL データベース ホスト システムの名前を定義します。
    • ログオン ID
      MySQL root ユーザのログイン ID を定義します。
    • Password
      MySQL root ユーザのパスワードを定義します。
    • PortNumber
      MySQL データベースがリスンするポートを定義します。
  5. ポリシー ストアをキー ストアおよび監査ストアとして使用するには、[ODBC Data Sources] の下にデータ ソース名を追加し、新しいストアごとに定義されたデータ ソース名を指定して手順 4 を繰り返します。
  6. ファイルを保存します。
    ワイヤ プロトコル ドライバが設定されます。

Linux でのネイティブ ドライバを使用した MySQL データ ソースの作成

SiteMinder
ODBC データ ソースは、「ポリシー、キー、セッションおよび監査ストアとしての ODBC データベースの設定」の説明に従って、system_odbc.ini ファイルを使用して設定します。
以下の手順に従います。
  1. <siteminder-installation-path>
    /native/odbc/etc で system_odbc.ini ファイルを開きます。
  2. [
    <store-data-source>
    ] 形式で新しいセクションを追加し、この新しいセクションの下に
    <siteminder-installation-path>
    /native/odbc/etc から mysql.ini の内容をコピーします。
    SiteMinder Data Source] Driver=
    <siteminder-installation-path>
    /native/odbc/lib/libmaodbc.so Description= Connector ODBC MariaDB for MySQL SERVER=nete_servername PORT=nete_port Database=Siteminder Data DMEnvAttr=SQL_ATTR_UNIXODBC_ENVATTR={MARIADB_PLUGIN_DIR=
    <siteminder-installation-path>
    /native/odbc/lib/plugin} OPTION=2
    • Driver
      SiteMinder の MySQL ネイティブ ドライバへのフル パスを定義します。
    • SERVER
      MySQL データベース ホスト システムの名前を定義します。
    • PORT
      MySQL データベースがリスンするポートを定義します。
    • データベース
      データ ストアとして機能する MySQL データベースの名前を定義します。
    • MARIADB_PLUGIN_DIR
      MariaDB プラグイン ディレクトリへのフル パスを定義します。
  3. ポリシー ストアをキー ストアおよび監査ストアとして使用するには、新しいストアごとに手順 2 を繰り返します。
  4. <siteminder-installation-path>
    /native/odbc/etc にある odbcinst.ini ファイルを開き、
    [ODBC]
    セクションに以下のコードの行を追加します。
    Trace=yes TraceFile=
    <siteminder-installation-path>
    /odbctrace.log
  5. ファイルを保存します。
  6. <siteminder-installation-path>
    /native/odbc/bin で以下のコマンドを実行して、データベース接続を検証します。
    isql
    <policy-store-data-source-name>
    <database-username>
    <database-pwd>
  7. ポリシー サーバを再起動します。

ポリシー サーバに対する参照データベースの指定

ポリシー サーバがポリシー ストア内の
SiteMinder
データにアクセスできるように、ポリシー サーバがデータベースを参照するようにします。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開き、[データ]タブをクリックします。
  2. ストレージ リストから以下の値を選択します。
    ODBC
  3. データベース リストから以下の値を選択します。
    Policy Store
  4. [データ ソース情報]フィールドにデータ ソースの名前を入力します。
    • (Windows)このエントリは、データ ソースを作成したときに[データ ソース名]フィールドに入力した名前と一致する必要があります。
    • (UNIX)このエントリは、system_odbc.ini ファイルのデータ ソース エントリの最初の行と一致している必要があります。デフォルトでは、このファイルの最初の行は[
      SiteMinder
      データ ソース]です。最初のエントリを変更した場合は、正しい値を入力していることを確認します。
  5. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権限を持つデータベース アカウントのユーザ名およびパスワードを入力し確認します。
  6. SiteMinder
    に割り当てるデータベース接続の最大数を指定します。
    最適なパフォーマンスを得るためにデフォルトの 25 の接続を保持することをお勧めします。
  7. [適用]をクリックして設定を保存します。
  8. データベース リストから以下の値を選択します。
    Key Store
  9. ストレージ リストから以下の値を選択します。
    ODBC
  10. 以下のオプションを選択します。
    Use the Policy Store database
  11. データベース リストから以下の値を選択します。
    Audit Logs
  12. ストレージ リストから以下の値を選択します。
    ODBC
  13. 以下のオプションを選択します。
    Use the Policy Store database
  14. [適用]をクリックして設定を保存します。
  15. [テスト接続]をクリックしてポリシー サーバがポリシー ストアにアクセスできることを確認します。
  16. [OK]をクリックします。
    ポリシー サーバは、ポリシー ストア、キー ストア、およびログ データベースとしてそのデータベースを使用するように設定されます。

SiteMinder
スーパーユーザ パスワードの設定

デフォルトの管理者アカウントの名前は
siteminder
です。 このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
  • 管理 UI に初めてアクセスするとき。
  • SiteMinder
    ユーティリティの管理を初めて行うとき。
  • スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
  1. smreg ユーティリティを
    siteminder_home
    \bin にコピーします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
    このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。
  2. 以下のコマンドを実行します。
    smreg -su
    password
    • パスワード
      デフォルトの管理者のパスワードを指定します。
    パスワードには、以下の要件があります。
    • パスワードは 6 文字以上、24 文字以下である必要があります。
    • パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
    • パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
    Oracle ポリシー ストアを設定している場合、パスワードの大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。
  3. siteminder_home
    \bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。

ポリシー ストア データ定義のインポート

ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \xps\dd に移動します。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  2. 以下のコマンドを実行します。
    XPSDDInstall SmMaster.xdd
    • XPSDDInstall
      必要なデータ定義をインポートします。すべてのポリシー サーバがご使用の環境の同じポリシー ストアまたはレプリケートされたポリシー ストアを参照している場合、環境内の 1 つのポリシー サーバでのみ XPSDDInstall を一度実行します。レプリケーション プロセスが完了してから、次のステップに進みます。整合性エラーを防ぐために、すべてのポリシー サーバで XPSDDInstall を実行しないようにしてください。

デフォルトのポリシー ストア オブジェクトのインポート

デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
  • 必ず
    siteminder_home
    \bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  • Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いの
    SiteMinder
    コンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \db に移動します。
  2. 以下のいずれかのファイルをインポートします。
    • smpolicy.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy-secure.xml -npass
      • npass
        パスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
      両方のファイルに、デフォルトのポリシー ストア オブジェクトが含まれています。これらのオブジェクトにはデフォルトのエージェント設定オブジェクト(ACO)テンプレート内のデフォルト セキュリティ設定が含まれます。smpolicy–secure ファイルはより制限の厳しいセキュリティ設定を提供します。
    • Option Pack 機能をインポートするには、以下のコマンドを実行します。
      XPSImport ampolicy.xml -npass
    • フェデレーション機能をインポートするには、以下のコマンドを実行します。
      XPSImport fedpolicy-12.5.xml -npass
    • OAuth または OpenID 接続を使用するには、以下のコマンドを実行して、デフォルト OAuth エンティティおよび OpenID 接続用のデフォルトのクレームおよびスコープ オブジェクトをインポートします。
      XPSImport default-fedobjects-config.xml -npass
      -npass
      は、パスフレーズが必要ではないことを指定します。
    ベース ポリシー ストア オブジェクトがインポートされます。
ampolicy.xml をインポートすると、
SiteMinder
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービス変数機能が使用可能になります。Web サービスの変数機能を使用する予定の場合は、ライセンス情報について Broadcom アカウント担当者に問い合わせてください。

ポリシー サーバの再起動

casso1283
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
  2. [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。
    赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
  3. [開始]をクリックします。
    緑色の信号アイコンが表示されて、ポリシー サーバが起動します。
    : UNIX 上でポリシー サーバを再起動するには、
    stop-ps
    コマンドと
    start-ps
    コマンドや
    stop-all
    コマンドと
    start-all
    コマンドを実行します。

管理 UI 登録の準備

管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
  • 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
  • (UNIX) XPSRegClient を使用する前に、
    SiteMinder
    環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行します。
    XPSRegClient super_user_account_name[:
    passphrase
    ] -adminui-setup -t
    timeout
    -r
    retries
    -c
    comment
    -cp -l
    log_path
    -e
    error_path
    -vT -vI -vW -vE -vF
    • passphrase
      デフォルトのスーパーユーザ アカウントのパスワードを指定します。
      パスフレーズを指定しない場合、XPSRegClient でパスフレーズの入力と確認が求められます。
    • -adminui–setup
      管理 UI がポリシー サーバに初めて登録されることを指定します。
    • -t
      timeout
      (任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。
      測定単位
      : 分
      デフォルト:
      240(4 時間)
      最小:
      15
      最大値:
      1440 (24 時間)
    • -r
      retries
      (任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。
      デフォルト:
      1
      最大:
      5
    • -c
      comment
      (任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。
      コメントは引用符で囲んでください。
    • -cp
      (任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。
      コメントは引用符で囲んでください。
    • -l
      log_path
      (任意)登録ログ ファイルをエクスポートする場所を指定します。
      デフォルト:
      siteminder_home
      \log
      siteminder_home
      ポリシー サーバのインストール パスを指定します。
    • -e
      error_path
      (任意)例外を指定されたパスに送信します。
      デフォルト
      : stderr
    • -vT
      (任意)詳細レベルを TRACE に設定します。
    • -vI
      (任意)詳細レベルを INFO に設定します。
    • -vW
      (任意)詳細レベルを WARNING に設定します。
    • -vE
      (任意)詳細レベルを ERROR に設定します。
    • -vF
      (任意)詳細レベルを FATAL に設定します。
  3. Enter キーを押します。
    XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。