IBM DB2 ポリシー ストアを設定する方法

目次
casso1283
目次
2
1 つの IBM DB2 データベースは以下として機能させることができます。
  • ポリシー ストア
  • キー ストア
  • ログ データベース
個別のデータベースにセッション情報を格納します。ポリシー ストアを使用してセッション情報を格納することはできません。
単一のデータベースを使用すると管理タスクが簡略化されます。後続のセクションでは、
SiteMinder
データを格納するように 1 つのデータベース サーバを設定する方法について説明します。
単一の IBM DB2 データベースを、ポリシー ストア、キー ストア、ログ データベースとして設定するには、以下の手順に従います。
開始する前に、必要なデータベース情報が収集されていることを確認してください。以下の手順のうちの一部でこの情報が必要となります。
データベース インスタンス設定の確認
前提条件となるデータベースの設定
以下のデータベース インスタンスを設定します。
  • ポリシー ストアのみを設定している場合、テーブルスペース ページ サイズ(page_size)およびバッファプール ページ サイズ設定を 16K 以上に設定します。各設定に対するデフォルト DB2 値は、ポリシー ストア スキーマでは十分ではありません。
    16K のページ サイズでインスタンスを作成するには、DB2 管理コマンド プロンプトから以下のコマンドを実行します。
    db2 create database <
    database
    > using codeset UTF-8 territory en PAGESIZE 16384
  • ポリシー ストアと監査ストアを設定している場合、テーブルスペース ページ サイズ(page_size)およびバッファ プール ページ サイズ設定を 32K 以上に設定します。各設定に対するデフォルトの DB2 値は、ポリシーおよび監査ストア スキーマでは十分ではありません。
データベース情報の収集
ポリシー ストアまたは他のタイプの
SiteMinder
データ ストアとして機能するよう単一の IBM DB2 データベースを設定するには、特定のデータベース情報が必要です。
以下の点を考慮します。
  • W から始まる情報は Windows の要件を表します。
  • U から始まる情報は UNIX の要件を表します。
ポリシー ストアまたは他のタイプの
SiteMinder
データ ストアを設定する前に、以下の情報を収集します。IBM DB2 情報のワークシートを使用して値を記録できます。
  • データベース インスタンス名
    - ポリシー ストアまたはデータ ストアとして機能するデータベース インスタンスの名前を決定します。
  • 管理アカウント
    - データベース内のオブジェクトを作成、読み取り、変更、および削除する権限があるアカウントのユーザ名を決定します。
  • 管理パスワード
    - 管理アカウントのパスワードを決定します。
  • IP アドレス
    - データベース ホスト システムの IP アドレスを決定します。
  • TCP ポート
    - データベースがリスンするポートを決定します。
  • (W)
    データ ソース名
    - データ ソースを識別する名前を決定します。
  • (U)
    ポリシー サーバ ルート
    - ポリシー サーバがインストールされている場所への明示的なパスを決定します。
  • (U)
    パッケージ
    --動的な SQL を処理するパッケージの名前を決定します。
  • (U)
    パッケージ所有者
    -- パッケージに割り当てられた AuthID を決定します。この AuthID には、パッケージ内のすべての SQL を実行するための権限が必要です。
  • (U)
    付与 AuthID
    - パッケージに対する実行権限を制限する場合は、パッケージに対する実行権限に付与される AuthID を決定します。
    デフォルト ワイヤ プロトコル設定:
    パブリック
  • (U)
    分離レベル
    - システムがロックを取得しリリースする方法を決定します。
    デフォルト ワイヤ プロトコル設定:
    CURSOR_STABILTY
  • (U)
    ダイナミック セクション
    - ワイヤ プロトコル ドライバ パッケージが 1 人のユーザに用意できるセッションの数を決定します。
    デフォルト ワイヤ プロトコル設定:
    100
スキーマの作成
以下の手順に従います。
  1. siteminder_home
    \db\tier2\DB2 に移動します。
    siteminder_home
    はポリシー サーバのインストール パスです。
  2. テキスト エディタで
    sm_db2_ps.sql
    ファイルを開き、ファイル全体の内容をコピーします。
    このファイルは、DB2 データベース内のポリシー ストアまたはキー ストア用のスキーマを指定します。
  3. クエリにファイルの内容を貼り付けて、クエリを実行します。
    ポリシー ストアおよびキー ストアのスキーマが、DB2 データベースに作成されます。
  4. (任意)ステップ 2 と 3 を繰り返して、監査ログまたはサンプル ユーザ スキーマを DB2 データベースに作成します。
    • sm_db2_logs.sql
      DB2 データベース内の監査ログ ストア用のスキーマを指定します。このスクリプトを編集してから、監査ストアを作成します。
    • smsampleusers_db2.sql
      DB2 データベース内のサンプル ユーザ用のスキーマを指定し、データベースにサンプル ユーザを読み込みます。
    対応するスキーマが DB2 データベースに作成されます。
    ポリシー ストアを使用してキー、監査、サンプル ユーザを格納することは任意です。これらのタイプのデータ ストアとして個別に機能するように、別々のデータベースを使用することができます。
  5. DB2 ホスト システムに、以下の場所のいずれかから DB2.sql スキーマ ファイルをコピーします。
    場所:
    新規インストールの場合、スキーマ ファイルは次のディレクトリにあります。
    siteminder_home
    \xps\db\Tier2DirSupport
    アップグレード シナリオの場合、スキーマ ファイルは次のディレクトリにあります。
    siteminder_home
    \xps\db\schema_extension\db\IBM DB2
    siteminder_home
    はポリシー サーバのインストール パスです。
  6. コマンド プロンプトを開き、以下のコマンドを実行します。
    db2 -td@ [-v] -f path\DB2.sql
    path
    は、DB2 スキーマ ファイルのパスを指定します。
  7. ポリシー ストア スキーマが作成されます。
SiteMinder
用の IBM DB2 データ ソースの設定
Windows システムでの DB2 データ ソースの作成
ODBC を使用している場合は、DB2 ワイヤ プロトコル ドライバ用の DB2 データ ソースを作成できます。
以下の手順に従います。
  1. [スタート]をクリックし、[プログラム]-[管理ツール]に移動します。
  2. [ODBC Data Sources (64-bit)]を選択します。
    [ODBC データ ソース管理者]ダイアログ ボックスを開きます。
  3. [システム DSN]タブをクリックして、[追加]をクリックします。
  4. 下にスクロールして
    SiteMinder
    DB2 Wire Protocol を選択し、[完了]をクリックします。
  5. [ODBC DB2 Wire Protocol ドライバのセットアップ]ダイアログ ボックスの[全般]タブで、以下の操作を行います。
    1. [データ ソース名]フィールドに、任意の名前を入力します。
      SiteMinder DB2 Wire Data Source
    2. (オプション)[説明]フィールドに、DB2 ワイヤ プロトコル データ ソースの説明を入力します。
    3. [IP アドレス]フィールドに、DB2 データベースがインストールされている場所の IP アドレスを入力します。
    4. [Tcp ポート]フィールドに、DB2 がシステムでリスンするポート番号を入力します。
    5. [接続のテスト]をクリックします。
      接続がテストされます。
  6. [OK]をクリックします。
    [ODBC DB2 Wire Protocol ドライバのセットアップ]ダイアログ ボックスが閉じて、選択内容が保存されます。DB2 データ ソースが Windows システム上に作成されます。
作成したデータ ソースを使用するように
SiteMinder
を設定できます。
UNIX システムでの DB2 データ ソースの作成
SiteMinder
ODBC データ ソースは、system_odbc.ini ファイルを使用して設定します。このファイルは、policy_server_home/db にある db2wire.ini の名前を変更して作成できます。この system_odbc.ini ファイルには、使用可能な ODBC データ ソースの名前すべてと、それらのデータ ソースと関連付けられた属性が含まれています。このファイルは、サイトごとに機能するようカスタマイズする必要があります。また、
SiteMinder
用の他の ODBC ユーザ ディレクトリを定義するなど、このファイルに別のデータ ソースを追加することもできます。
system_odbc.ini ファイルの最初のセクション [ODBC Data Sources] には、現在使用可能なデータ ソースすべてのリストが含まれています。「=」の前の名前は、個別のデータ ソースそれぞれを説明する、ファイルの後続のセクションを示しています。「=」の後には、コメント フィールドがあります。
system_odbc.ini ファイル内には、各データ ソースの属性を記述するセクションがあります。最初の属性は、このデータ ソースが
SiteMinder
で使用されるときにロードされる ODBC ドライバです。残りの属性は、そのドライバに固有です。
DB2 データ ソースを追加するには、ファイルの[ODBC Data Sources]セクションに新規データ ソース名を追加し、データ ソースと同じ名前を使用してデータ ソースを表すセクションを追加します。新しいサービス名を作成したり、別のドライバを使用する場合は、system_odbc.ini ファイルを変更する必要があります。[SiteMinder Data Source]の下に、DB2 ドライバのエントリが必要です。
すでに説明したように、DB2 データ ソースを設定するには、まず、
policy_server_home
/db ディレクトリに system_odbc.ini ファイルを作成する必要があります。これを行うには、
policy_server_home
/db にある db2wire.ini の名前を system_odbc.ini に変更する必要があります。
policy_server_home
にはポリシー サーバのインストール パスを指定します。
DB2 ワイヤ プロトコル ドライバの設定
以下の表に、DB2 データ ソースの設定パラメータを示します。これらのパラメータを編集することで、キー、監査ログ、セッション、およびサンプル ユーザ データベース別にデータ ソースを設定することができます。
パラメータ
説明
編集方法
データ ソース名
データ ソースの名前。
データ ソース名を角かっこで囲んで入力します。
Driver
SiteMinder DB2 ワイヤ プロトコル ドライバの完全パス。
「nete_ps_root」を、ポリシー サーバのインストール ディレクトリに置き換えます。
説明
データ ソースの説明。
任意の希望する説明を入力します。
データベース
DB2 UDB データベースの名前。
「nete_database」を、DB2 UDB サーバ上に設定されたデータベースの名前に置き換えます。
IP アドレス
DB2 UDB サーバの IP アドレスまたはホスト名。
「nete_server_ip」を、DB2 UDB サーバの IP アドレスまたはホスト名に置き換えます。
TCP ポート
DB2 UDB サーバの TCP ポート番号。
デフォルト値の 50000 を、DB2 UDB サーバの実際の TCP ポート番号に置き換えます。
パッケージ
動的 SQL を処理するパッケージの名前。
「nete_package」を、作成するパッケージの名前に置き換えます。
PackageOwner
(任意)パッケージに割り当てられた AuthID。
デフォルトは空です。この DB2 AuthID には、パッケージ内のすべての SQL を実行するための権限が必要です。
GrantAuthid
パッケージの実行権限が付与される AuthID。
デフォルトは「PUBLIC」です。パッケージの実行権限を制限したい場合は、必要な AuthID を指定します。
GrantExecute
GrantAuthid にリストされている AuthID に実行権限を付与するかどうかを指定します。
1 または 0 のどちらかを指定できます。デフォルトでは 0 に設定されます。
IsolationLevel
システムがロックを獲得および解放する方法。
デフォルトは CURSOR_STABILITY です。
DynamicSections
DB2 Wire Protocol ドライバ パッケージが 1 人のユーザに用意できるステートメントの数。
デフォルトは 100 です。必要なステートメント数を入力します。
ポリシー サーバに対する参照データベースの指定
ポリシー サーバがポリシー ストア内の
SiteMinder
データにアクセスできるように、ポリシー サーバがデータベースを参照するようにします。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開き、[データ]タブをクリックします。
  2. ストレージ リストから以下の値を選択します。
    ODBC
  3. データベース リストから以下の値を選択します。
    Policy Store
  4. [データ ソース情報]フィールドにデータ ソースの名前を入力します。
    • (Windows)このエントリは、データ ソースを作成したときに[データ ソース名]フィールドに入力した名前と一致する必要があります。
    • (UNIX)このエントリは、system_odbc.ini ファイルのデータ ソース エントリの最初の行と一致している必要があります。デフォルトでは、このファイルの最初の行は[
      SiteMinder
      データ ソース]です。最初のエントリを変更した場合は、正しい値を入力していることを確認します。
  5. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権限を持つデータベース アカウントのユーザ名およびパスワードを入力し確認します。
  6. SiteMinder
    に割り当てるデータベース接続の最大数を指定します。
    最適なパフォーマンスを得るためにデフォルトの 25 の接続を保持することをお勧めします。
  7. [適用]をクリックして設定を保存します。
  8. データベース リストから以下の値を選択します。
    Key Store
  9. ストレージ リストから以下の値を選択します。
    ODBC
  10. 以下のオプションを選択します。
    Use the Policy Store database
  11. データベース リストから以下の値を選択します。
    Audit Logs
  12. ストレージ リストから以下の値を選択します。
    ODBC
  13. 以下のオプションを選択します。
    Use the Policy Store database
  14. [適用]をクリックして設定を保存します。
  15. [テスト接続]をクリックしてポリシー サーバがポリシー ストアにアクセスできることを確認します。
  16. [OK]をクリックします。
    ポリシー サーバは、ポリシー ストア、キー ストア、およびログ データベースとしてそのデータベースを使用するように設定されます。
SiteMinder
スーパーユーザ パスワードの設定
デフォルトの管理者アカウントの名前は
siteminder
です。 このアカウントは最大の権限を持っています。
デフォルトのスーパーユーザを日常的な作業に使用しないでください。デフォルトのスーパーユーザは、以下の場合に使用してください。
  • 管理 UI に初めてアクセスするとき。
  • SiteMinder
    ユーティリティの管理を初めて行うとき。
  • スーパーユーザ権限を持つ別の管理者を作成するとき。
以下の手順に従います。
  1. smreg ユーティリティを
    siteminder_home
    \bin にコピーします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
    このユーティリティは、ポリシー サーバ インストール キットの最上位レベルにあります。
  2. 以下のコマンドを実行します。
    smreg -su
    password
    • パスワード
      デフォルトの管理者のパスワードを指定します。
    パスワードには、以下の要件があります。
    • パスワードは 6 文字以上、24 文字以下である必要があります。
    • パスワードには、アンパサンド(&)またはアスタリスク(*)を含むことはできません。
    • パスワードにスペースが含まれている場合は、引用符でパスフレーズを囲みます。
    Oracle ポリシー ストアを設定している場合、パスワードの大文字と小文字が区別されます。他のすべてのポリシー ストアの場合は、パスワードの大文字と小文字を区別しません。
  3. siteminder_home
    \bin から smreg を削除します。smreg を削除すると、既存のパスワードを把握していない限り、パスワードを変更することはできなくなります。
デフォルトの管理者アカウントのパスワードが設定されます。
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義をインポートすると、ポリシー ストアで作成および格納できるオブジェクトのタイプが定義されます。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \xps\dd に移動します。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  2. 以下のコマンドを実行します。
    XPSDDInstall SmMaster.xdd
    • XPSDDInstall
      必要なデータ定義をインポートします。すべてのポリシー サーバがご使用の環境の同じポリシー ストアまたはレプリケートされたポリシー ストアを参照している場合、環境内の 1 つのポリシー サーバでのみ XPSDDInstall を一度実行します。レプリケーション プロセスが完了してから、次のステップに進みます。整合性エラーを防ぐために、すべてのポリシー サーバで XPSDDInstall を実行しないようにしてください。
デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI とポリシー サーバで使用するポリシー ストアが設定されます。
以下の点を考慮します。
  • 必ず
    siteminder_home
    \bin への書き込みアクセス権があることを確認してください。インポート ユーティリティは、ポリシー ストア オブジェクトをインポートするためにこの権限を必要とします。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  • Windows ユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。詳細については、お使いの
    SiteMinder
    コンポーネントの「リリース ノート」を参照してください。
以下の手順に従います。
  1. コマンド ウィンドウを開き、
    siteminder_home
    \db に移動します。
  2. 以下のいずれかのファイルをインポートします。
    • smpolicy.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml をインポートするには、以下のコマンドを実行します。
      XPSImport smpolicy-secure.xml -npass
      • npass
        パスフレーズが必要ではないことを指定します。デフォルト ポリシー ストア オブジェクトには暗号化されたデータが含まれていません。
      両方のファイルに、デフォルトのポリシー ストア オブジェクトが含まれています。これらのオブジェクトにはデフォルトのエージェント設定オブジェクト(ACO)テンプレート内のデフォルト セキュリティ設定が含まれます。smpolicy–secure ファイルはより制限の厳しいセキュリティ設定を提供します。
    • Option Pack 機能をインポートするには、以下のコマンドを実行します。
      XPSImport ampolicy.xml -npass
    • フェデレーション機能をインポートするには、以下のコマンドを実行します。
      XPSImport fedpolicy-12.5.xml -npass
    • OAuth または OpenID 接続を使用するには、以下のコマンドを実行して、デフォルト OAuth エンティティおよび OpenID 接続用のデフォルトのクレームおよびスコープ オブジェクトをインポートします。
      XPSImport default-fedobjects-config.xml -npass
      -npass
      は、パスフレーズが必要ではないことを指定します。
    ベース ポリシー ストア オブジェクトがインポートされます。
ampolicy.xml をインポートすると、
SiteMinder
から別個にライセンスが付与されるレガシー フェデレーションおよび Web サービス変数機能が使用可能になります。Web サービスの変数機能を使用する予定の場合は、ライセンス情報について Broadcom アカウント担当者に問い合わせてください。
管理 UI 登録の準備
管理 UI に初めてログインするときは、デフォルトのスーパーユーザ アカウントを使用します。初めてログインするときは、管理 UI をポリシー サーバに登録する必要があります。これで、両方のコンポーネントの間に信頼関係が作成されます。
XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパスワードを指定して、登録の準備をします。ポリシー サーバは、これらの認証情報を使用して、登録要求が有効であること、および信頼関係を確立できることを検証します。
以下の点を考慮します。
  • 認証情報を指定してから最初の管理 UI ログインまでの時間は、24 時間に制限されています。24 時間以内に管理 UI をインストールする予定がない場合は、管理 UI をインストールする前に以下の手順を実行します。
  • (UNIX) XPSRegClient を使用する前に、
    SiteMinder
    環境変数が設定されていることを確認してください。環境変数が設定されていない場合は、手動で設定します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行します。
    XPSRegClient super_user_account_name[:
    passphrase
    ] -adminui-setup -t
    timeout
    -r
    retries
    -c
    comment
    -cp -l
    log_path
    -e
    error_path
    -vT -vI -vW -vE -vF
    • passphrase
      デフォルトのスーパーユーザ アカウントのパスワードを指定します。
      パスフレーズを指定しない場合、XPSRegClient でパスフレーズの入力と確認が求められます。
    • -adminui–setup
      管理 UI がポリシー サーバに初めて登録されることを指定します。
    • -t
      timeout
      (任意)管理 UI をインストールしてから、ログインしてポリシー サーバとの信頼関係を作成するまでの割り当て時間を指定します。タイムアウト値を超過すると、ポリシー サーバは登録リクエストを拒否します。
      測定単位
      : 分
      デフォルト:
      240(4 時間)
      最小:
      15
      最大値:
      1440 (24 時間)
    • -r
      retries
      (任意)管理 UI の登録時に許容される試行の失敗回数を指定します。試行が失敗する原因としては、管理 UI への最初のログイン時に指定する管理者の認証情報の誤りが考えられます。
      デフォルト:
      1
      最大:
      5
    • -c
      comment
      (任意)指定されたコメントを情報目的で登録ログ ファイルに挿入します。
      コメントは引用符で囲んでください。
    • -cp
      (任意)登録ログ ファイルに複数行のコメントが含まれることを指定します。ユーティリティにより複数行のコメントが求められ、指定されたコメントが情報目的で登録ログ ファイルに挿入されます。
      コメントは引用符で囲んでください。
    • -l
      log_path
      (任意)登録ログ ファイルをエクスポートする場所を指定します。
      デフォルト:
      siteminder_home
      \log
      siteminder_home
      ポリシー サーバのインストール パスを指定します。
    • -e
      error_path
      (任意)例外を指定されたパスに送信します。
      デフォルト
      : stderr
    • -vT
      (任意)詳細レベルを TRACE に設定します。
    • -vI
      (任意)詳細レベルを INFO に設定します。
    • -vW
      (任意)詳細レベルを WARNING に設定します。
    • -vE
      (任意)詳細レベルを ERROR に設定します。
    • -vF
      (任意)詳細レベルを FATAL に設定します。
  3. Enter キーを押します。
    XPSRegClient は、ポリシー サーバに管理者認証情報を提供します。ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認するためにこれらの認証情報を使用します。