NetIQ Identity Manager セットアップガイド 2014 年 12 月 www.netiq.com/documentation 保証と著作権 本書および本書に記載されているソフトウェアには、使用許諾契約または守秘契約が適用され、これらの条項の下に提供さ れます。上記ライセンス契約または守秘契約に明示されている場合を除き、NetIQ 社は、本書および本書に記載されている ソフトウェアを「現状のまま」提供するものとし、明示的、黙示的を問わず、商品性または特定目的への適合性に対する黙 示的な保証を含め、いかなる保証も行いません。州によっては、明示的、黙示的を問わず、特定の取引に関する保証の否認 が認められていないため、この記述が適用されない場合もあります。 わかりやすくするため、すべてのモジュール、アダプタ、またはそれに類する要素 (「モジュール」) は、そのモジュールが 関連または相互作用する NetIQ 製品またはソフトウェアの当該バージョンのエンドユーザ使用許諾契約の条項と条件に基づ いてライセンスが供与されます。モジュールを接続、複製、または使用することは、これらの条項に従うことに同意したこ とになります。エンドユーザ使用許諾契約の条項に同意しない場合、モジュールを使用、接続または複製する権利はなく、 モジュールのすべての複製を破棄して頂く必要があります。詳細については NetIQ にお問い合わせください。 本書および本書に記載されているソフトウェアは、法律によって認められた場合を除き、NetIQ 社が書面をもって事前に許 可しない限り、貸出、販売、譲渡することはできません。上記の使用許諾契約または守秘契約に明示されていない限り、 NetIQ 社の書面による事前の同意がない場合は、本書および本書に記載されているソフトウェアのいかなる部分も、電子的、 物理的、またはその他の方式を問わず、いかなる形式や手段においても再現したり、情報取得システムに保存または転送す ることは禁じられています。本書に記載されている会社名、個人名、データは引用を目的として使用されており、実際の会 社、個人、およびデータを示していないことがあります。 本書は技術的な誤りおよび誤植を含むことがあります。本書の情報は定期的に変更されます。定期的な変更は、本書の新版 に組み込まれることがあります。NetIQ 社は、本書に記載されているソフトウェアに対して、随時改良または変更を行うこ とがあります。 米国政府の制限付き権利 : ソフトウェアおよび文書が、米国政府または米国政府の元請人または下請人 ( 階層を問わず ) に よって直接または間接的に取得される場合は、48 C.F.R. 227.7202-4 (for Department of Defense (DOD) acquisitions) および 48 C.F.R. 2.101 および 12.212 (for non-DOD acquisitions) に基づき、ソフトウェアまたは文書の使用、修正、再生、リリー ス、実行、表示、開示などに関する政府の権利は、このライセンス契約に記載されている商用ライセンスの権利および制限 に全面的に従うものとします。 © 2014 NetIQ Corporation. All Rights Reserved. NetIQ の商標については、https://www.netiq.com/company/legal/ を参照してください。 目次 本書およびライブラリについて NetIQ 社について 17 19 ページのパート I はじめに 21 1 Identity Manager のコンポーネントと通信の概要 23 1.1 1.2 1.3 Identity Manager コンポーネントの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Identity Manager のセキュア通信の理解 . . . . . . . . . . . . . . . . . . . . . . . . . 25 相互認証の理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 2 Identity Manager 環境の構築と維持 27 2.1 2.2 Designer for Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Analyzer for Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 2.3 2.4 役割管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3 Identity Manager 環境でのデータ管理 3.1 3.2 3.3 29 データ同期の理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 監査、レポーティング、およびコンプライアンスの理解 . . . . . . . . . . . . . . . . . . 29 識別情報データを同期するためのコンポーネントの理解 . . . . . . . . . . . . . . . . . . 30 3.3.1 識別ボールト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.3.2 Identity Manager エンジン . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.3.3 リモートローダ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3.3.4 Identity Reporting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4 セキュアなアクセスのためのユーザプロビジョニング 4.1 4.2 4.3 4.4 4.5 33 Identity Manager の検証プロセスの理解 . . . . . . . . . . . . . . . . . . . . . . . . . 33 Identity Manager のセルフサービスプロセスの理解 . . . . . . . . . . . . . . . . . . . . 34 ユーザプロビジョニングを管理するためのコンポーネントの理解 . . . . . . . . . . . . . . 35 4.3.1 ユーザアプリケーションおよび Roles Based Provisioning Module . . . . . . . . . . . . . . . . . . 35 4.3.2 Identity Manager ホームおよびプロビジョニングダッシュボード . . . . . . . . . . 37 Identity Manager でのセルフサービスパスワード管理の使用 . . . . . . . . . . . . . . . . 38 4.4.1 デフォルトのセルフサービスプロセスの理解 . . . . . . . . . . . . . . . . . . . 38 4.4.2 レガシパスワード管理プロバイダの理解 . . . . . . . . . . . . . . . . . . . . . 39 Identity Manager でのシングルサインオンアクセスの使用 . . . . . . . . . . . . . . . . . 40 4.5.1 One SSO Provider による認証の理解 . . . . . . . . . . . . . . . . . . . . . . 40 4.5.2 One SSO Provider のキーストアの理解 . . . . . . . . . . . . . . . . . . . . . 41 4.5.3 One SSO Provider の監査イベントの理解 . . . . . . . . . . . . . . . . . . . . 41 ページのパート II Identity Manager のインストールの計画 43 5 計画の概要 45 5.1 5.2 計画チェックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 統合およびスタンドアロンインストールプロセスの理解 . . . . . . . . . . . . . . . . . . 47 目次 3 5.3 5.4 5.5 5.6 5.7 5.2.1 統合インストールプロセスの理解 . . . . . . . . . . . . . . . . . . . . . . . . 5.2.2 スタンドアロンインストールプロセスの理解 . . . . . . . . . . . . . . . . . . . 推奨されるインストールシナリオとサーバセットアップ . . . . . . . . . . . . . . . . . . 5.3.1 Identity Manager におけるレポーティングなしの、外部監査サービスへのイベントの送 信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.2 Identity Manager へのイベントの送信およびレポートの生成 . . . . . . . . . . . . 5.3.3 Identity Manager にイベントをプッシュする前に外部サービスにイベントを送信 . . . 5.3.4 推奨されるサーバセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.5 Identity Manager のオペレーティングシステムプラットフォームの選択 . . . . . . . ライセンスおよびアクティベーションの理解 . . . . . . . . . . . . . . . . . . . . . . . Identity Manager の通信の理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 言語サポートの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6.1 翻訳されているコンポーネントおよびインストールプログラム . . . . . . . . . . . 5.6.2 言語サポートに関する特別な考慮事項 . . . . . . . . . . . . . . . . . . . . . . インストールファイルのダウンロード . . . . . . . . . . . . . . . . . . . . . . . . . . 6 インストールに関する考慮事項および前提条件 6.1 6.2 クラスタ環境での Identity Manager のインストール . . . . . . . . RHEL 6.x サーバへの Identity Manager のインストール. . . . . . . 6.2.1 RHEL 6.x にインストールするための前提条件 . . . . . . 6.2.2 RHEL 6.x での前提条件チェックの実行 . . . . . . . . . 6.2.3 RHEL 6.x サーバに必要な依存ライブラリがあることの確認 6.2.4 インストールメディア用のリポジトリの作成 . . . . . . . 48 49 49 50 51 53 53 55 55 56 56 59 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 60 60 60 60 61 ページのパート III 識別ボールトのインストール 63 7 識別ボールトのインストールの計画 65 7.1 7.2 7.3 7.4 7.5 7.6 7.7 識別ボールトのインストールに関するチェックリスト . . . . . . . . . . . . . . . . . . . 65 識別ボールトのインストールに関する前提条件と考慮事項 . . . . . . . . . . . . . . . . . 66 7.2.1 識別ボールトのインストールに関する前提条件 . . . . . . . . . . . . . . . . . . 67 7.2.2 非 root ユーザとしての識別ボールトのインストールに関する前提条件 . . . . . . . . 68 7.2.3 Windows サーバに識別ボールトをインストールする場合の前提条件 . . . . . . . . . 69 7.2.4 クラスタ環境への識別ボールトのインストールに関する前提条件 . . . . . . . . . . 70 eDirectory の Identity Manager オブジェクトの理解 . . . . . . . . . . . . . . . . . . . . 70 Identity Manager がサーバで必要とするオブジェクトの複製 . . . . . . . . . . . . . . . . 71 スコープフィルタリングを使用した異なるサーバ上のユーザの管理 . . . . . . . . . . . . . . . . . . . . . . . 72 識別ボールトインストールキットの Linux パッケージの理解 . . . . . . . . . . . . . . . . 74 識別ボールトのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 8 識別ボールトのインストールの準備 8.1 8.2 8.3 8.4 8.5 8.6 4 47 47 48 79 コンテナ名にピリオド (「.」) が含まれている場合のエスケープ文字の使用. . . . . . . . . . 79 ツリー名を解決するための OpenSLP または hosts.nds の使用 . . . . . . . . . . . . . . . 80 8.2.1 hosts.nds ファイルを使用したツリー名の解決 . . . . . . . . . . . . . . . . . . 80 8.2.2 OpenSLP の理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 8.2.3 識別ボールト用の SLP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 84 識別ボールトのパフォーマンスの向上 . . . . . . . . . . . . . . . . . . . . . . . . . . 85 識別ボールトサーバでの IPv6 アドレスの使用. . . . . . . . . . . . . . . . . . . . . . . 85 8.4.1 Linux サーバでの IPv6 アドレスの使用 . . . . . . . . . . . . . . . . . . . . . . 86 8.4.2 Windows サーバでの IPv6 アドレスの使用 . . . . . . . . . . . . . . . . . . . . 87 識別ボールトと通信するための LDAP の使用 . . . . . . . . . . . . . . . . . . . . . . . 87 管理ユーティリティがインストールされているワークステーションへの NICI の手動インスト ール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 8.6.1 Linux サーバへの NICI のインストール . . . . . . . . . . . . . . . . . . . . . . 89 NetIQ Identity Manager セットアップガイド 8.7 8.6.2 Windows サーバへの NICI のインストール . . . . . . . . . . . . . . NMAS クライアントソフトウェアのインストール . . . . . . . . . . . . . . . 8.7.1 Linux サーバへの NMAS クライアントソフトウェアのインストールと設定 8.7.2 Windows サーバへの NMAS クライアントソフトウェアのインストール . . . . . . . . . . . . . . . . . . . . . 9 Linux サーバへの識別ボールトのインストール 9.1 9.2 root としての識別ボールトのインストール . . . . . . . . . . . . . . . . . . . . . . . . 93 非 root ユーザとしての識別ボールトのインストール . . . . . . . . . . . . . . . . . . . . 95 97 ウィザードを使用した、Windows サーバへの識別ボールトのインストール . Windows サーバへの識別ボールトのサイレントインストールと設定 . . . . 10.2.1 response.ni ファイルの編集. . . . . . . . . . . . . . . . . . 10.2.2 サイレントまたは無人インストールの実行 . . . . . . . . . . . 10.2.3 サイレント設定の実行 . . . . . . . . . . . . . . . . . . . . 10.2.4 サイレントインストールと設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 クラスタ環境への識別ボールトのインストール 11.1 11.2 Linux 上のクラスタへの識別ボールトのインストール . . . . 11.1.1 Linux サーバへの識別ボールトのインストールと設定 11.1.2 Linux のクラスタ環境での SNMP サーバの設定 . . . Windows 上のクラスタへの識別ボールトのインストール . . . 11.2.1 Windows への識別ボールトのインストールと設定 . . 11.2.2 Windows のクラスタ環境での SNMP サーバの設定 . 12.2 . 97 . 98 . 99 105 105 106 107 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 インストール後の識別ボールトの設定 12.1 90 90 91 92 93 10 Windows サーバへの識別ボールトのインストール 10.1 10.2 . . . . ndsconfig ユーティリティを使用した、eDirectory ツリーとレプリカサーバの変更 . . 12.1.1 ndsconfig ユーティリティのパラメータの理解 . . . . . . . . . . . . . 12.1.2 特定のロケールでの識別ボールトの設定 . . . . . . . . . . . . . . . . 12.1.3 識別ボールトへの新しいツリーの追加 . . . . . . . . . . . . . . . . . 12.1.4 既存のツリーへのサーバの追加 . . . . . . . . . . . . . . . . . . . . 12.1.5 サーバからの識別ボールトおよびそのデータベースの削除 . . . . . . . . 12.1.6 ツリーからの eDirectory サーバオブジェクトとディレクトリサービスの削除 12.1.7 識別ボールトの複数のインスタンスの設定 . . . . . . . . . . . . . . . ndsmanage ユーティリティによるインスタンスの管理. . . . . . . . . . . . . . 12.2.1 識別ボールトインスタンスの表示 . . . . . . . . . . . . . . . . . . . 12.2.2 識別ボールトにおける新規インスタンスの作成 . . . . . . . . . . . . . 12.2.3 識別ボールトにおけるインスタンスの設定と設定解除 . . . . . . . . . . 12.2.4 識別ボールトにおけるインスタンスに対するユーティリティの呼び出し . . 12.2.5 識別ボールトにおけるインスタンスの起動と停止 . . . . . . . . . . . . 107 108 110 110 110 112 113 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 114 117 118 118 118 119 119 119 119 120 120 120 121 ページのパート IV Identity Manager エンジン、ドライバ、およびプラグインのインストール 123 13 エンジン、ドライバ、およびプラグインのインストールの計画 125 13.1 13.2 13.3 13.4 Identity Manager エンジン、ドライバ、およびプラグインのインストールチェックリスト インストールプログラムの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . Identity Manager エンジンのインストールに関する前提条件と考慮事項 . . . . . . . . 13.3.1 Identity Manager エンジンのインストールに関する考慮事項 . . . . . . . . . 13.3.2 ドライバと Identity Manager エンジンのインストールに関する考慮事項 . . . . Identity Manager エンジンのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目次 125 126 127 127 128 128 5 14 エンジン、ドライバ、およびプラグインのインストールの準備 14.1 14.2 131 Identity Manager をインストールするための環境変数 (UNIX/Linux) の確認 Identity Manager ドライバの停止と起動 . . . . . . . . . . . . . . . 14.2.1 ドライバの停止 . . . . . . . . . . . . . . . . . . . . . . 14.2.2 ドライバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 エンジン、ドライバ、および iManager プラグインのインストール 15.1 15.2 15.3 ウィザードを使用したコンポーネントのインストール . . . . 15.1.1 Root または管理ユーザとしてのインストール . . . . 15.1.2 非 root ユーザとしてのインストール . . . . . . . . サイレントインストールの実行 . . . . . . . . . . . . . . Java リモートローダを UNIX または Linux にインストールする . . . . . . . . . . . . . . . 135 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 135 137 138 140 ページのパート V リモートローダのインストールと管理 143 16 リモートローダのインストールの計画 145 16.1 16.2 16.3 16.4 16.5 16.6 リモートローダのインストールチェックリスト . . . . . . . . . . . . . . . . . . . . . 145 リモートローダの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 16.2.1 シムの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 16.2.2 リモートローダを使用すべき条件の判断 . . . . . . . . . . . . . . . . . . . . 147 16.2.3 Java リモートローダの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 インストールプログラムの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 同じコンピュータでの 32 ビットリモートローダと 64 ビットリモートローダの使用 . . . . . 148 リモートローダのインストールに関する前提条件と考慮事項 . . . . . . . . . . . . . . . 148 リモートローダのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 16.6.1 リモートローダ (32 ビットおよび 64 ビット ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 16.6.2 .NET リモートローダ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 16.6.3 Java リモートローダ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 17 リモートローダのインストール 17.1 17.2 17.3 18.1 18.2 18.3 18.4 18.5 18.6 18.7 153 ウィザードを使用したコンポーネントのインストール . . . . . . . . . . . . . . . . . . 153 サイレントインストールの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Java リモートローダを UNIX または Linux にインストールする . . . . . . . . . . . . . . 155 18 リモートローダとドライバの設定 6 . . . . . 131 131 132 133 157 Identity Manager エンジンへのセキュア接続の作成 . . . . . . . . . . . . . . . . . . . 157 18.1.1 通信プロセスの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 18.1.2 自己署名サーバ証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . 158 18.1.3 SSL 接続使用時のキーストアファイルの作成 . . . . . . . . . . . . . . . . . . 159 リモートローダの環境設定パラメータの理解 . . . . . . . . . . . . . . . . . . . . . . 160 18.2.1 リモートローダのドライバインスタンスの環境設定パラメータ . . . . . . . . . . 160 18.2.2 Java -class パラメータの名前の理解 . . . . . . . . . . . . . . . . . . . . . . 168 ドライバインスタンスのリモートローダの設定 (UNIX または Linux) . . . . . . . . . . . . . . . . . . . . . . 169 ドライバインスタンスのリモートローダの設定 (Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 18.4.1 リモートローダの新しいドライバインスタンスの作成 (Windows). . . . . . . . . . . . . . . . . . 171 18.4.2 リモートローダの既存のドライバインスタンスの変更 (Windows). . . . . . . . . . . . . . . . . . 172 ドライバインスタンスの Java リモートローダの設定 . . . . . . . . . . . . . . . . . . 173 リモートローダと連携するための Identity Manager ドライバの設定 . . . . . . . . . . . . 174 設定の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 NetIQ Identity Manager セットアップガイド 19 リモートローダの起動と停止 19.1 19.2 177 リモートローダのドライバインスタンスの起動 . . . . . . . . . . . . . . . . . . . . . 177 19.1.1 ドライバインスタンスの起動 (UNIX または Linux) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 19.1.2 ドライバインスタンスの起動 (Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 リモートローダのドライバインスタンスの停止 . . . . . . . . . . . . . . . . . . . . . 179 ページのパート VI iManager のインストール 181 20 iManager のインストールの計画 183 20.1 20.2 20.3 20.4 20.5 20.6 iManager のインストールチェックリスト. . . . . . . . . . . . . . . . . . . . . . . . 183 iManager のサーババージョンとクライアントバージョンの理解. . . . . . . . . . . . . . 185 iManager プラグインのインストールの理解. . . . . . . . . . . . . . . . . . . . . . . 185 iManager のインストールに関する前提条件と考慮事項. . . . . . . . . . . . . . . . . . 186 20.4.1 iManager のインストールに関する考慮事項. . . . . . . . . . . . . . . . . . . 186 20.4.2 Linux プラットフォームへの iManager のインストールに関する考慮事項 . . . . . . 187 20.4.3 Windows プラットフォームへの iManager のインストールに関する考慮事項 . . . . 188 20.4.4 Linux クライアントへの iManager ワークステーションのインストールに関する考慮 事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 20.4.5 Windows クライアントへの iManager ワークステーションのインストールに関する考 慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 iManager サーバのシステム要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 iManager ワークステーション ( クライアントバージョン ) のシステム要件 . . . . . . . . . 191 21 iManager サーバとワークステーションのインストール 21.1 21.2 21.3 193 Linux への iManager と iManager ワークステーションのインストール . . . . . . . . . . . 193 21.1.1 iManager の Linux へのインストール . . . . . . . . . . . . . . . . . . . . . . 193 21.1.2 Linux クライアントへの iManager ワークステーションのインストール . . . . . . . 196 Windows への iManager と iManager ワークステーションのインストール . . . . . . . . . . . . . . . . . . 197 21.2.1 iManager の Windows へのインストール . . . . . . . . . . . . . . . . . . . . 197 21.2.2 iManager ワークステーションの Windows へのインストール . . . . . . . . . . . 200 iManager のサイレントインストール. . . . . . . . . . . . . . . . . . . . . . . . . . 201 21.3.1 プロパティファイルの編集によるサイレントインストールのカスタマイズ . . . . . 201 21.3.2 iManager のサイレントインストールの実行. . . . . . . . . . . . . . . . . . . 203 22 iManager のインストール後のタスク 22.1 22.2 22.3 iManager 用の一時的な自己署名証明書の置き換え. . . . . . 22.1.1 Linux での iManager 自己署名証明書の置き換え . . . 22.1.2 Windows での iManager 自己署名証明書の置き換え . インストール後における iManager の IPv6 アドレス対応の設定 eDirectory 用の許可されたユーザの指定 . . . . . . . . . . 205 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 205 207 209 209 ページのパート VII Designer for Identity Manager のインストール 211 23 Designer のインストールの計画 213 23.1 23.2 23.3 Designer のインストールチェックリスト . . . . . . . . . . . . . . . . . . . . . . . . 213 Designer のインストールの前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Designer のシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 24 Designer のインストール 24.1 217 Linux でのインストールコマンドの使用 . . . . . . . . . . . . . . . . . . . . . . . . 217 目次 7 24.2 24.3 24.4 Windows の実行可能ファイルの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . 217 サイレントインストールプロセスの使用 . . . . . . . . . . . . . . . . . . . . . . . . 218 スペース文字が含まれるインストールパスの変更 . . . . . . . . . . . . . . . . . . . . 219 ページのパート VIII Identity Manager 用の PostgreSQL および Tomcat のインストール 221 25 PostgreSQL および Tomcat のインストールの計画 223 25.1 25.2 25.3 25.4 25.5 25.6 Tomcat および PostgreSQL のインストールチェックリスト. PostgreSQL および Tomcat のインストールプロセスの理解. PostgreSQL のインストールの前提条件 . . . . . . . . . Tomcat のインストールの前提条件. . . . . . . . . . . . PostgreSQL のシステム要件 . . . . . . . . . . . . . . Tomcat のシステム要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 PostgreSQL と Tomcat のインストール 26.1 26.2 ウィザードを使用した PostgreSQL と Tomcat のインストール . . . . . . . Identity Manager 用の PostgreSQL および Tomcat のサイレントインストール . 26.2.1 サイレントインストールでのパスワードの保護 . . . . . . . . . . 26.2.2 Tomcat および PostgreSQL のサイレントインストール. . . . . . . 227 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 229 230 230 ページのパート IX シングルサインオンおよびパスワード管理コンポーネントのインストール 233 27 Identity Manager 用のシングルサインオンおよびパスワード管理のインストールの計画 235 27.1 27.2 27.3 27.4 27.5 27.6 シングルサインオンおよびパスワード管理コンポーネントのインストールチェックリスト One SSO Provider のインストールの前提条件 . . . . . . . . . . . . . . . . . . . Self Service Password Reset のインストールの前提条件 . . . . . . . . . . . . . . . One SSO Provider のシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . Self Service Password Reset のシステム要件 . . . . . . . . . . . . . . . . . . . . Apache Log4j サービスを使用したサインオンイベントとパスワードイベントの記録 . . . 28 Identity Manager 用のシングルサインオンおよびパスワード管理のインストール 28.1 28.2 28.3 . . . . . . . . . . . . 235 236 237 237 237 237 239 ウィザードを使用したシングルサインオンおよびパスワード管理コンポーネントのインスト ール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 シングルサインオンおよびパスワード管理コンポーネントのサイレントインストール . . . . 243 シングルサインオンアクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 243 ページのパート X 識別情報アプリケーションのインストール 245 29 識別情報アプリケーションのインストールのプラニング 247 29.1 29.2 29.3 8 223 224 225 225 226 226 識別情報アプリケーションのインストールのチェックリスト . . . . . . . . . . . . . . . 247 識別情報アプリケーションのインストールファイルの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 識別情報アプリケーションのインストールの前提条件と検討事項 . . . . . . . . . . . . . 250 29.3.1 識別情報アプリケーションのインストールの検討事項 . . . . . . . . . . . . . . 250 29.3.2 識別情報アプリケーションの設定と使用方法の検討事項 . . . . . . . . . . . . . 252 29.3.3 アプリケーションサーバの前提条件と検討事項 . . . . . . . . . . . . . . . . . 253 NetIQ Identity Manager セットアップガイド 29.4 29.3.4 クラスタ環境で識別情報アプリケーションをインストールする場合の前提条件 . . . 254 29.3.5 識別情報アプリケーションのデータベースをインストールする場合の前提条件 . . . 255 識別情報アプリケーションのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . 256 30 識別情報アプリケーションで使用する識別ボールトの準備 30.1 30.2 259 ユーザアプリケーションスキーマをログアプリケーションとして Audit サーバに追加する . . 259 ユーザアプリケーション管理者アカウントの作成 . . . . . . . . . . . . . . . . . . . . 260 31 識別情報アプリケーションのデータベースの設定 31.1 31.2 31.3 Oracle データベースの設定 . . . . . . 31.1.1 文字セットの設定 . . . . . . 31.1.2 管理者ユーザアカウントの設定 PostgreSQL データベースの設定 . . . SQL Server データベースの設定. . . . 31.3.1 文字セットの設定 . . . . . . 31.3.2 管理者ユーザアカウントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 識別情報アプリケーションを実行する環境の準備 32.1 32.2 32.3 パーミッションインデックスの場所の指定 . . . . . . . . . . . . . . . 識別情報アプリケーションを実行するアプリケーションサーバの準備 . . . 32.2.1 JBoss 環境の準備 . . . . . . . . . . . . . . . . . . . . . . 32.2.2 Tomcat 環境の準備. . . . . . . . . . . . . . . . . . . . . . 32.2.3 WebSphere 環境の準備. . . . . . . . . . . . . . . . . . . . ユーザアプリケーションを実行するクラスタの準備 . . . . . . . . . . . 32.3.1 JBoss 環境と WebSphere 環境のクラスタグループの理解 . . . . 32.3.2 ワークフローエンジン ID のシステムプロパティの設定 . . . . . 32.3.3 クラスタ内の各ユーザアプリケーションでの同じマスタキーの使用 263 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 識別情報アプリケーションのインストール 33.1 33.2 33.3 33.4 33.5 33.6 33.7 33.8 263 264 264 264 266 267 267 268 269 271 識別情報アプリケーションのインストールのチェックリスト . . . . . . . . . . . . . . . 271 ガイドによる識別情報アプリケーションインストールプロセス . . . . . . . . . . . . . . 272 識別情報アプリケーションのサイレントインストール . . . . . . . . . . . . . . . . . . 280 33.3.1 サイレントインストールを行う環境でのパスワードの設定 . . . . . . . . . . . . 280 33.3.2 .properties ファイルの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . 280 33.3.3 識別情報アプリケーションのサイレントインストールの実行 . . . . . . . . . . . 290 JBoss のインストール後の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Tomcat のインストール後の手順. . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 WebSphere のインストール後の手順. . . . . . . . . . . . . . . . . . . . . . . . . . 295 33.6.1 識別情報アプリケーションのインストール後の WebSphere クラスタの設定 . . . . 295 33.6.2 ユーザアプリケーション環境設定ファイルと JVM システムプロパティの追加 . . . 296 33.6.3 共有ライブラリの作成と適用 . . . . . . . . . . . . . . . . . . . . . . . . . 297 33.6.4 WebSphere キーストアへの eDirectory ルート認証局のインポート . . . . . . . . 298 33.6.5 IBM JDK への無制限ポリシーファイルの適用 . . . . . . . . . . . . . . . . . . 299 33.6.6 preferIPv4Stack プロパティを JVM に渡す . . . . . . . . . . . . . . . . . . . 299 33.6.7 WebSphere での JMS の設定 . . . . . . . . . . . . . . . . . . . . . . . . . 300 Identity Manager を SSPR と統合するための HTML フレーム化抑制設定の無効化 . . . . . . 303 識別情報アプリケーションの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 33.8.1 JBoss サーバまたは Tomcat サーバでのユーザアプリケーションの起動 . . . . . . 303 33.8.2 WebSphere サーバ上でのユーザアプリケーションの起動. . . . . . . . . . . . . 305 34 識別情報アプリケーション用のドライバの作成と展開 34.1 261 261 262 262 262 262 262 307 ユーザアプリケーションドライバの作成 . . . . . . . . . . . . . . . . . . . . . . . . 307 目次 9 34.2 34.3 役割とリソースサービスドライバの作成 . . . . . . . . . . . . . . . . . . . . . . . . 308 ユーザアプリケーションのドライバの展開 . . . . . . . . . . . . . . . . . . . . . . . 309 35 識別情報アプリケーションのインストールの完了 35.1 35.2 35.3 35.4 35.5 35.6 手動によるデータベーススキーマの作成 . . . . . . . . . . . . . . . . . . . . . . . . 311 35.1.1 SQL ファイルによるデータベーススキーマの生成 . . . . . . . . . . . . . . . . 311 35.1.2 データベーススキーマを生成する SQL ファイルの手動による作成 . . . . . . . . 312 マスタキーの記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 ローカライズされたユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 313 識別情報アプリケーションで使用する識別ボールトの設定 . . . . . . . . . . . . . . . . 314 35.4.1 eDirectory でのインデックスの作成 . . . . . . . . . . . . . . . . . . . . . . 314 35.4.2 SAML 認証メソッドのインストールおよび環境設定 . . . . . . . . . . . . . . . 314 識別情報アプリケーションの WAR ファイルの再設定 . . . . . . . . . . . . . . . . . . 316 パスワードを忘れた場合の管理の設定 . . . . . . . . . . . . . . . . . . . . . . . . . 316 35.6.1 セルフサービスパスワードリセットによるパスワードを忘れた場合の管理 . . . . . 317 35.6.2 レガシプロバイダによるパスワードを忘れた場合の管理 . . . . . . . . . . . . . 319 35.6.3 外部システムによるパスワードを忘れた場合の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 35.6.4 分散環境またはクラスタ化環境のホームページの SSPR リンクの更新 . . . . . . . 322 36 識別情報アプリケーションの設定の管理 36.1 36.2 36.3 36.4 36.5 10 311 323 識別情報アプリケーション設定ユーティリティの実行 . . . . . . . . . . . . . . . . . . 323 User Application Parameters ( ユーザアプリケーションのパラメータ ) . . . . . . . . . . . . . . . . . . . . . 324 36.2.1 識別ボールト設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 36.2.2 識別ボールト DN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 36.2.3 識別ボールトユーザ ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 36.2.4 識別ボールトユーザグループ . . . . . . . . . . . . . . . . . . . . . . . . . 329 36.2.5 識別ボールト証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 36.2.6 電子メールサーバ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 36.2.7 トラステッドキーストア . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 36.2.8 NetIQ Sentinel デジタル署名証明書 & キー . . . . . . . . . . . . . . . . . . . 332 36.2.9 その他 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 36.2.10 コンテナオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 認証パラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 36.3.1 Authentication Server( 認証サーバ ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 36.3.2 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 36.3.3 認証方式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 36.3.4 パスワード管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 36.3.5 Novell Audit Digital Signature Certificate and Key (Novell Audit デジタル署名証明書 & キー ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 SSO Clients Parameters (SSO クライアントパラメータ ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 36.4.1 ランディング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 36.4.2 ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 36.4.3 RBPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 36.4.4 レポーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 36.4.5 DCS Driver (DCS ドライバ ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 36.4.6 Catalog Administrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 36.4.7 セルフサービスパスワードリセット . . . . . . . . . . . . . . . . . . . . . . 344 Reporting Parameters (Reporting パラメータ ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 36.5.1 電子メール配信設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 36.5.2 レポート保持の値 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 36.5.3 Identity Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 36.5.4 ロケールの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 36.5.5 役割の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 NetIQ Identity Manager セットアップガイド ページのパート XI Identity Reporting コンポーネントのインストール 347 37 Identity Reporting のインストールの計画 349 37.1 37.2 37.3 37.4 Identity Reporting のインストールチェックリスト . . . . . . . Identity Reporting コンポーネントのインストールプロセスの理解 37.2.1 イベント監査サービスのインストールプロセスの理解 . 37.2.2 Identity Reporting のインストールプロセスの理解 . . . 37.2.3 インストールプロセスで作成されるユーザの理解 . . . Identity Reporting コンポーネントのインストールの前提条件 . . 37.3.1 イベント監査サービスの前提条件 . . . . . . . . . . 37.3.2 Identity Reporting の前提条件 . . . . . . . . . . . . Identity Reporting のシステム要件 . . . . . . . . . . . . . . 37.4.1 イベント監査サービスのシステム要件 . . . . . . . . 37.4.2 Identity Reporting のシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 イベント監査サービスのインストール 38.1 38.2 38.3 357 イベント監査サービス用の環境の準備 . . . . . . . . . . . . . . . . . . . . . . . . . 357 ウィザードを使用したイベント監査サービスのインストール . . . . . . . . . . . . . . . 358 イベント監査サービスのサイレントインストール . . . . . . . . . . . . . . . . . . . . 359 39 Identity Reporting のインストール 39.1 39.2 39.3 361 ガイド付きプロセスを使用した Identity Reporting のインストール . . . . . . . . . . . . . 361 Identity Reporting のサイレントインストール . . . . . . . . . . . . . . . . . . . . . . 367 データベーススキーマの手動生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 40 Identity Reporting の設定 40.1 40.2 40.3 371 Identity Reporting の WebSphere 用の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 40.1.1 WebSphere 環境の準備. . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 40.1.2 WebSphere 環境を Windows サービスとして実行するための設定 . . . . . . . . . 372 40.1.3 WebSphere の SSL 接続の設定 . . . . . . . . . . . . . . . . . . . . . . . . 372 40.1.4 レポーティング環境設定ファイルと JVM システムプロパティの追加 . . . . . . . 373 40.1.5 共有ライブラリの作成と適用 . . . . . . . . . . . . . . . . . . . . . . . . . 374 Oracle データベースでのレポートの実行 . . . . . . . . . . . . . . . . . . . . . . . . 376 Identity Reporting 用の REST API の展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 41 Reporting 用ドライバの管理 41.1 41.2 41.3 41.4 349 351 351 351 352 352 352 353 354 354 354 377 Identity Reporting 用のドライバの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 377 41.1.1 Identity Reporting 用のドライバパッケージのインストール . . . . . . . . . . . . 377 41.1.2 管理対象システムのゲートウェイドライバの設定 . . . . . . . . . . . . . . . . 378 41.1.3 データ収集サービス用ドライバの設定 . . . . . . . . . . . . . . . . . . . . . 380 41.1.4 識別情報アプリケーションからのデータ収集に関する Identity Reporting の設定 . . . 382 Identity Reporting 用ドライバの展開と起動 . . . . . . . . . . . . . . . . . . . . . . . 383 41.2.1 ドライバの展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 41.2.2 管理対象システムの動作の確認 . . . . . . . . . . . . . . . . . . . . . . . . 384 41.2.3 Identity Reporting 用ドライバの起動 . . . . . . . . . . . . . . . . . . . . . . 387 ドライバのスキーマのバックアップ . . . . . . . . . . . . . . . . . . . . . . . . . . 388 41.3.1 idm_rpt_data および idm_rpt_cfg スキーマのバックアップと復元 . . . . . . . . . 389 41.3.2 public スキーマのバックアップと復元 . . . . . . . . . . . . . . . . . . . . . 389 ランタイム環境の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 41.4.1 識別情報アプリケーションからのデータ収集に関するデータ収集サービスドライバの 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 41.4.2 データ収集サービスドライバの移行 . . . . . . . . . . . . . . . . . . . . . . 391 目次 11 41.5 41.4.3 カスタム属性とカスタムオブジェクトのサポートの追加 41.4.4 複数のドライバセットのサポートの追加 . . . . . . . 41.4.5 SSL を使用したリモートモードでのドライバ実行設定 . ドライバの監査フラグの設定 . . . . . . . . . . . . . . . . 41.5.1 Identity Manager での監査フラグの設定 . . . . . . . 41.5.2 eDirectory での監査フラグの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ページのパート XII Analyzer for Identity Manager のインストール 403 42 Analyzer のインストールの計画 405 42.1 42.2 42.3 Analyzer のインストールチェックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 Analyzer のインストールの前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . 406 Analyzer のインストールのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . 406 43 Analyzer のインストール 43.1 43.2 43.3 43.4 ウィザードを使用した Analyzer のインストール . . . . . . Analyzer のサイレントインストール . . . . . . . . . . . Linux プラットフォームで Analyzer.ini に XULrunner を追加 Analyzer の監査クライアントのインストール . . . . . . . 407 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 408 408 409 ページのパート XIII Identity Manager のシングルサインオンアクセスの設定 411 44 シングルサインオンアクセスの準備 413 45 One SSO Provider による Identity Manager でのシングルサインオンアクセス 415 45.1 45.2 45.3 シングルサインオンアクセスで使用する eDirectory の準備 . . . . . . . . . . . . . . . . 416 シングルサインオンアクセスの基本設定の変更 . . . . . . . . . . . . . . . . . . . . . 416 OSP を信頼するためのセルフサービスパスワードリセットの設定 . . . . . . . . . . . . . 417 46 NetIQ Access Manager での SAML 認証によるシングルサインオン 46.1 46.2 46.3 46.4 46.5 サードパーティ認証とシングルサインオンの理解 . . . . . . . . . . . . . . . . . . SSL 証明書の作成とインストール . . . . . . . . . . . . . . . . . . . . . . . . . 46.2.1 Access Manager の SSL 証明書の作成 . . . . . . . . . . . . . . . . . . . 46.2.2 Access Manager の証明書の Identity Manager トラストストアへのインストール 46.2.3 SSL サーバの証明書の Access Manager トラストストアへのインストール . . . Access Manager を信頼するための Identity Manager の設定 . . . . . . . . . . . . . Identity Manager と連携するための Access Manager の設定 . . . . . . . . . . . . . 46.4.1 Identity Manager のメタデータのコピー . . . . . . . . . . . . . . . . . . 46.4.2 SAML の属性セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . 46.4.3 Identity Manager をトラステッドサービスプロバイダとして追加 . . . . . . . Access Manager のログインページの更新 . . . . . . . . . . . . . . . . . . . . . 47 Kerberos によるシングルサインオン 47.1 47.2 47.3 12 393 395 397 398 399 400 419 . . . . . . . . . . . . . . . . . . . . . . 419 419 420 420 421 421 422 422 423 423 424 427 Active Directory での Kerberos ユーザの設定 . . . . . . . . . . . . . . . . . . . . . . 427 識別情報アプリケーションサーバ環境の設定 . . . . . . . . . . . . . . . . . . . . . . 428 統合 Windows 認証を使用するためのエンドユーザのブラウザの設定 . . . . . . . . . . . 431 NetIQ Identity Manager セットアップガイド 48 識別情報アプリケーションへのシングルサインオンアクセスの検証 433 49 SSL によるセキュア通信 435 49.1 49.2 49.3 49.4 49.5 49.6 SSL 接続を確認するためのチェックリスト . . . . . . . . . . キーストアと証明書署名要求の作成 . . . . . . . . . . . . . 自己署名証明書による SSL の有効化 . . . . . . . . . . . . . 49.3.1 認証局のエクスポート . . . . . . . . . . . . . . . 49.3.2 自己署名証明書の生成 . . . . . . . . . . . . . . . 署名入り証明書による SSL の有効化 . . . . . . . . . . . . . 識別情報アプリケーションの SSL 設定の変更 . . . . . . . . . 49.5.1 設定ユーティリティによる SSL 設定の更新 . . . . . . 49.5.2 セルフサービスパスワードリセットの SSL 設定の更新 . クライアントワークステーションの証明書の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Identity Manager のアクティベート 50.1 50.2 50.3 50.4 プロダクトアクティベーションキーのインストール . . . . . . . . . . . . Identity Manager およびドライバのプロダクトアクティベーションのレビュー Identity Manager のドライバの有効化 . . . . . . . . . . . . . . . . . . Identity Manager の特定のコンポーネントのアクティベーション . . . . . . 50.4.1 Designer と Catalog Administrator のアクティベーション . . . . . . 50.4.2 Analyzer のアクティベート . . . . . . . . . . . . . . . . . . . 435 435 436 437 437 438 439 439 440 441 443 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 444 444 445 445 445 ページのパート XIV Identity Manager のアップグレード 447 51 Identity Manager のアップグレードの準備 449 51.1 51.2 51.3 51.4 Identity Manager のアップグレードのチェックリスト . . . . . . . . . . . . . . . . . . 449 アップグレードとマイグレーションの理解 . . . . . . . . . . . . . . . . . . . . . . . 451 現在の設定のバックアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452 51.3.1 Designer のプロジェクトのエクスポート . . . . . . . . . . . . . . . . . . . . 453 51.3.2 ドライバの環境設定のエクスポート . . . . . . . . . . . . . . . . . . . . . . 454 遠隔測定ジョブの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 52 Identity Manager コンポーネントのアップグレード 52.1 52.2 52.3 52.4 52.5 52.6 457 Designer のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . iManager のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2.1 Linux での iManager のアップグレード . . . . . . . . . . . . . . . . . . . 52.2.2 Windows での iManager のアップグレード . . . . . . . . . . . . . . . . . 52.2.3 iManager のサイレントアップグレード. . . . . . . . . . . . . . . . . . . 52.2.4 役割ベースサービスの更新 . . . . . . . . . . . . . . . . . . . . . . . . 52.2.5 Plug-in Studio でのプラグインの再インストールまたはマイグレート. . . . . . 52.2.6 iManager プラグインのアップグレードまたは再インストール後のアップデート. リモートローダのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . Identity Manager エンジンのアップグレード . . . . . . . . . . . . . . . . . . . . 52.4.1 ガイドによるアップグレードの実行 . . . . . . . . . . . . . . . . . . . . 52.4.2 サイレントアップグレードの実行 . . . . . . . . . . . . . . . . . . . . . Identity Reporting のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . 52.5.1 Identity Reporting のドライバパッケージのアップグレード . . . . . . . . . . 52.5.2 イベント監査サービスのアップグレード . . . . . . . . . . . . . . . . . . 52.5.3 Windows サーバから EAS への XDAS イベントの送信 . . . . . . . . . . . . 52.5.4 Identity Reporting のアップグレード . . . . . . . . . . . . . . . . . . . . 52.5.5 Identity Reporting のアップグレードの検証 . . . . . . . . . . . . . . . . . Analyzer のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目次 457 458 459 460 462 462 463 463 464 465 465 466 466 466 467 467 468 468 468 13 Identity Manager ドライバのアップグレード . . . . . . . . . . . . . . . . . . . . . . 469 52.7.1 新しいドライバの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 52.7.2 既存のコンテンツをパッケージのコンテンツと交換 . . . . . . . . . . . . . . . 469 52.7.3 現在のコンテンツを維持しつつパッケージを使用する新しいコンテンツを追加 . . . 470 52.8 新しいサーバをドライバセットに追加する . . . . . . . . . . . . . . . . . . . . . . . 470 52.8.1 新しいサーバをドライバセットに追加する . . . . . . . . . . . . . . . . . . . 471 52.8.2 ドライバセットのサーバ固有情報のコピー . . . . . . . . . . . . . . . . . . . 471 52.8.3 ドライバセットから古いサーバを削除する . . . . . . . . . . . . . . . . . . . 473 52.9 ドライバへのカスタムポリシーとルールの復元 . . . . . . . . . . . . . . . . . . . . . 474 52.9.1 Designer を使用したドライバへのカスタムポリシーとルールの復元 . . . . . . . . 474 52.9.2 iManager を使用したドライバへのカスタムポリシーおよびルールの復元. . . . . . 475 52.10 Identity Manager 4.5 のパッチの適用 . . . . . . . . . . . . . . . . . . . . . . . . . . 475 52.10.1 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475 52.10.2 ガイドによるパッチのインストールプロセス . . . . . . . . . . . . . . . . . . 476 52.10.3 サイレントインストールの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 52.7 ページのパート XV Identity Manager のデータの新しいインストールへのマイグレート 479 53 Identity Manager をマイグレートする準備 481 53.1 53.2 マイグレーションを実行するためのチェックリスト . . . . . . . . . . . . . . . . . . . 481 マイグレーション実行時の Identity Manager ドライバの停止と起動 . . . . . . . . . . . . 482 54 Identity Manager の新しいサーバへのマイグレート 54.1 54.2 54.3 54.4 54.5 54.6 483 Identity Manager のマイグレーションのチェックリスト . . . . . . . . . . . . . . . . . 483 Designer プロジェクトのマイグレーションの準備 . . . . . . . . . . . . . . . . . . . . 484 Identity Manager エンジンの新しいサーバへのマイグレート . . . . . . . . . . . . . . . 485 ユーザアプリケーションドライバのマイグレート . . . . . . . . . . . . . . . . . . . . 485 54.4.1 新しいベースパッケージのインポート . . . . . . . . . . . . . . . . . . . . . 486 54.4.2 既存のベースパッケージのアップグレード . . . . . . . . . . . . . . . . . . . 486 54.4.3 マイグレートしたドライバの展開 . . . . . . . . . . . . . . . . . . . . . . . 486 識別情報アプリケーションのアップグレード . . . . . . . . . . . . . . . . . . . . . . 487 識別情報アプリケーションのマイグレーションの完了 . . . . . . . . . . . . . . . . . . 487 54.6.1 SQL ファイルを実行する Oracle データベースの準備 . . . . . . . . . . . . . . 487 54.6.2 ブラウザのキャッシュのフラッシュ . . . . . . . . . . . . . . . . . . . . . . 488 54.6.3 レガシプロバイダまたは外部プロバイダによるパスワード管理 . . . . . . . . . . 488 54.6.4 SharedPagePortlet の最大タイムアウト設定の更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489 54.6.5 グループの自動クエリ設定の無効化 . . . . . . . . . . . . . . . . . . . . . . 489 55 Identity Manager のコンポーネントのアンインストール 55.1 55.2 55.3 55.4 55.5 14 識別ボールトからのオブジェクトの削除 . . . . . . . . . . . . . . . . . Identity Manager エンジンのアンインストール . . . . . . . . . . . . . . 55.2.1 Linux/UNIX での Identity Manager エンジンのアンインストール . . . 55.2.2 non-root ユーザによる Identity Manager エンジンのアンインストール 55.2.3 Windows での Identity Manager エンジンのアンインストール . . . . リモートローダのアンインストール . . . . . . . . . . . . . . . . . . . 55.3.1 Linux/Unix でのリモートローダのアンインストール . . . . . . . . 55.3.2 non-root ユーザによるリモートローダのアンインストール . . . . . 55.3.3 Windows でのリモートローダのアンインストール . . . . . . . . . Roles Based Provisioning Module のアンインストール . . . . . . . . . . . 55.4.1 Roles Based Provisioning Module のドライバの削除 . . . . . . . . 55.4.2 Linux/UNIX でのユーザアプリケーションのアンインストール . . . . 55.4.3 Windows でのユーザアプリケーションのアンインストール . . . . . Identity Reporting のアンインストール . . . . . . . . . . . . . . . . . . NetIQ Identity Manager セットアップガイド 491 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491 491 492 492 492 492 493 493 493 493 494 494 494 495 55.5.1 レポーティングドライバの削除 . . . . . . . . . . . . . . . . . . . . . . . . 495 55.5.2 Identity Reporting のアンインストール . . . . . . . . . . . . . . . . . . . . . 496 55.5.3 イベント監査サービスのアンインストール . . . . . . . . . . . . . . . . . . . 496 55.6 ロールマッピング管理者のアンインストール . . . . . . . . . . . . . . . . . . . . . . 497 55.7 Catalog Administrator のアンインストール . . . . . . . . . . . . . . . . . . . . . . . 497 55.8 eDirectory のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497 55.9 Analyzer のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 55.10 iManager のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 55.10.1 Linux での iManager のアンインストール . . . . . . . . . . . . . . . . . . . . 499 55.10.2 Windows での iManager のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500 55.10.3 iManager ワークステーションのアンインストール. . . . . . . . . . . . . . . . 500 55.11 Designer のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500 56 トラブルシューティング 56.1 56.2 501 ユーザアプリケーションと RBPM のインストールのトラブルシューティング. . . . . . . . 501 アンインストールのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502 A Identity Manager のクラスタ展開ソリューションのサンプル A.1 A.2 503 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 インストール手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 A.2.1 iSCSI サーバの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 A.2.2 すべてのノード上の iSCSI Initiator の設定 . . . . . . . . . . . . . . . . . . . 505 A.2.3 共有ストレージのパーティション化 . . . . . . . . . . . . . . . . . . . . . . 505 A.2.4 HA Extension のインストール . . . . . . . . . . . . . . . . . . . . . . . . . 506 A.2.5 HA クラスタの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506 A.2.6 グローバルクラスタオプションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508 A.2.7 OCFS リソースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508 A.2.8 IP リソースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512 A.2.9 クラスタノードでの eDirectory と Identity Manager のインストールと設定 . . . . . 512 A.2.10 eDirectory リソースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 目次 15 16 NetIQ Identity Manager セットアップガイド 本書およびライブラリについて このセットアップガイドには、NetIQ Identity Manager (Identity Manager) 製品のインストール手順 が記載されています。このガイドでは、分散環境に個々のアプリケーションをインストールするプ ロセスについて説明します。 本書の読者 本書は、組織の識別情報管理ソリューションの構築に必要なコンポーネントのインストールを行う 識別情報アーキテクトおよび識別情報管理者向けの情報を提供します。 ライブラリに含まれているその他の情報 Identity Manager のライブラリの詳細については、Identity Manager マニュアルの Web サイト (https://www.netiq.com/documentation/idm45/) を参照してください。 本書およびライブラリについて 17 18 NetIQ Identity Manager セットアップガイド NetIQ 社について 当社はグローバルなエンタープライズソフトウェア企業であり、お客様の環境において絶えず挑戦 となる変化、複雑さ、リスクという 3 つの要素に焦点を当て、それらをお客様が制御するためにど のようにサポートできるかを常に検討しています。 当社の観点 変化に適応すること、複雑さとリスクを管理することは普遍の課題 実際、直面するあらゆる課題の中で、これらは、物理環境、仮想環境、およびクラウドコン ピューティング環境の安全な評価、監視、および管理を行うために必要な制御を脅かす最大の 要因かもしれません。 重要なビジネスサービスの改善と高速化を可能にする 当社は、IT 組織に可能な限りの制御能力を付与することが、よりタイムリーでコスト効率の高 いサービス提供を実現する唯一の方法だと信じています。組織が継続的な変化を遂げ、組織を 管理するために必要なテクノロジが実質的に複雑さを増していくにつれ、変化と複雑さという 圧力はこれからも増え続けていくことでしょう。 当社の理念 単なるソフトウェアではなく、インテリジェントなソリューションを販売する 確かな制御手段を提供するために、まずお客様の IT 組織が日々従事している現実のシナリオを 把握することに努めます。そのようにしてのみ、実証済みで測定可能な結果を成功裏に生み出 す、現実的でインテリジェントな IT ソリューションを開発することができます。これは単にソ フトウェアを販売するよりもはるかにやりがいのあることです。 当社の情熱はお客様の成功を推し進めること お客様が成功するためにわたしたちには何ができるかということが、わたしたちのビジネスの 核心にあります。製品の着想から展開まで、当社は次のことを念頭に置いています。お客様は 既存資産とシームレスに連動して動作する IT ソリューションを必要としており、展開後も継続 的なサポートとトレーニングを必要とし、変化を遂げるときにも共に働きやすいパートナーを 必要としています。究極的に、お客様の成功こそがわたしたちの成功なのです。 当社のソリューション ID およびアクセスのガバナンス アクセス管理 セキュリティ管理 システムおよびアプリケーション管理 NetIQ 社について 19 ワークロード管理 サービス管理 セールスサポートへのお問い合わせ 製品、価格、および機能についてのご質問は、地域のパートナーへお問い合わせください。パート ナーに連絡できない場合は、弊社のセールスサポートチームへお問い合わせください。 各国共通 : www.netiq.com/about_netiq/officelocations.asp 米国およびカナダ : 1-888-323-6768 電子メール : [email protected] Web サイト : www.netiq.com テクニカルサポートへのお問い合わせ 特定の製品に関する問題については、弊社のテクニカルサポートチームへお問い合わせください。 各国共通 : www.netiq.com/support/contactinfo.asp 北米および南米 : 1-713-418-5555 ヨーロッパ、中東、アフリカ : +353 (0) 91-782 677 電子メール : [email protected] Web サイト : www.netiq.com/support マニュアルサポートへのお問い合わせ 弊社の目標は、お客様のニーズを満たすマニュアルの提供です。本製品のマニュアルは、NetIQ Web サイトから HTML 形式および PDF 形式で入手することができます。ログインしなくてもマ ニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、 www.netiq.com/documentation に掲載されている本マニュアルの HTML 版で、各ページの下にあ る[comment on this topic]をクリックしてください。[email protected] 宛て に電子メールを送信することもできます。貴重なご意見をぜひお寄せください。 オンラインユーザコミュニティへのお問い合わせ NetIQ のオンラインコミュニティである NetIQ Communities は、他のユーザや NetIQ のエキスパー トとやり取りできるコラボレーションネットワークです。より迅速な情報、有益なリソースへの役 立つリンク、NetIQ エキスパートとのやり取りを提供する NetIQ Communities は、信頼のおける IT 投資が持つ可能性を完全に実現するために必要な知識を習得するために役立ちます。詳細につい ては、community.netiq.com を参照してください。 20 NetIQ Identity Manager セットアップガイド I I はじめに NetIQ Identity Manager は、ファイアウォールの内側であってもクラウド内であっても、エンター プライズにサービスを提供するインテリジェントな識別情報管理フレームワークを構築する場合に 役立ちます。Identity Manager は、物理ネットワークや仮想ネットワークからクラウドに至るまで、 ユーザアクセスの管理を一元化し、ユーザごとに 1 つの識別情報が存在するようにします。 一般的に、Identity Manager を構成する各コンポーネントは次の機能に分類できます。 Identity Manager 環境の構築と維持。詳細については、27 ページの第 2 章「Identity Manager 環 境の構築と維持」を参照してください。 Identity Manager 環境の監視 ( ユーザプロビジョニングアクティビティの監査およびレポート機 能を含む )。これにより、ビジネスポリシー、IT ポリシー、および企業ポリシーへのコンプラ イアンスを証明できます。詳細については、29 ページの第 3 章「Identity Manager 環境での データ管理」を参照してください。 ユーザプロビジョニングアクティビティ ( 役割、検証、個々のユーザのセルフサービスなど ) の 管理。詳細については、33 ページの第 4 章「セキュアなアクセスのためのユーザプロビジョ ニング」を参照してください。 このセクションでは、これらのアクティビティを実行する際に役立つ Identity Manager の各コン ポーネントの概要について説明します。この知識を身に付けることで、製品のインストール計画を 開始できます。これらのコンポーネントの相互関係の概要については、23 ページの第 1 章 「Identity Manager のコンポーネントと通信の概要」を参照してください。 はじめに 21 22 NetIQ Identity Manager セットアップガイド 1 Identity Manager のコンポーネントと通信 の概要 1 このセクションでは、Identity Manager コンポーネントの構成について説明します。また、Identity Manager で使用される通信および認証モデルについても概説します。 1.1 Identity Manager コンポーネントの概要 Identity Manager は、物理ネットワークや仮想ネットワークからクラウドに至るまで、ユーザごと に 1 つの識別情報が存在するようにします。完全な Identity Manager ソリューションには、次のコ ンポーネントが含まれています。 識別ボールト 識別情報管理ソリューションのすべての情報を格納します。 NetIQ eDirectory を使用します。 Identity Manager エンジン 識別ボールトまたは管理対象システムで発生するすべてのデータ変更を処理します。 管理対象システム 管理する識別情報が格納されているシステム、ディレクトリ、データベース、またはオペレー ティングシステム。たとえば、接続システムとして PeopleSoft アプリケーションや LDAP ディレクトリを使用できます。接続システムまたはアプリケーションとも呼ばれます。 ドライバ 管理対象システムと識別ボールトを接続します。たとえば、データ収集サービスドライバで す。ドライバは、システム間でのデータの同期や共有も可能にします。Identity Manager は、 ドライバおよびライブラリオブジェクトをドライバセットという名前のコンテナに保管しま す。 リモートローダ ドライバをロードし、リモートサーバにインストールされているドライバの代わりに Identity Manager エンジンと通信します。 識別情報アプリケーション 識別情報管理ソリューションの役割およびリソース管理機能を提供します。 アプリケーションサーバ上に展開します。 データベースが必要です。 認証サーバが必要です。 ユーザアプリケーション、Catalog Administrator、ホーム、およびプロビジョニングダッ シュボードが含まれます。 Identity Manager のコンポーネントと通信の概要 23 Identity Reporting 識別情報管理ソリューションに関するリアルタイムの履歴情報を提供します。 アプリケーションサーバ上に展開します。 データベースが必要です。 認証サーバが必要です。 識別情報アプリケーションと Identity Reporting のアクティビティを記録する場合は、イベ ント監査サービスが必要です。 Designer テスト環境または運用環境における識別情報管理ソリューションの設計、テスト、ドキュメン ト化、および展開を支援します。 iManager 識別情報管理ソリューションのヘルス監視を支援します。 Analyzer 社内のデータ品質ポリシーへの準拠に役立つデータ分析、クレンジング、調整、およびレポー ティングの各機能を提供します。 24 NetIQ Identity Manager セットアップガイド 識別情報管理ソリューションのサイズによっては、これらのコンポーネントの一部を同じサーバに インストールできます。Identity Reporting などの他のコンポーネントは、ユーザがワークステー ションやモバイルプラットフォームからアクセスできるブラウザベースのインタフェースを備えて います。次の図は、コンポーネントの概念図です。 1.2 Identity Manager のセキュア通信の理解 サンドボックステスト中、HTTP を使って識別情報アプリケーションと認証サーバを接続すること ができます。また、ドライバとアプリケーションサーバ間の通信に、自己署名証明書 ( 一時的な手 段として ) を使用することもできます。ただし、運用環境では、会社の Verisign * ( または他の信頼 できるプロバイダ ) の証明書に基づいたサーバ認証による安全な接続を使用する必要があります。 一般的に、Identity Manager 環境では X.509 証明書を使用します。次の図に、証明書ベースのセッ トアップの例を示します。 デフォルトでは、識別情報アプリケーションと識別ボールト間の通信はすべて、TLS (Transport Layer Security) により保護されます。識別ボールト (eDirectory) をインストールする際に、Tomcat または JBoss アプリケーションサーバのキーストアに証明書が追加されます。また、特に指定しな い限り、識別情報アプリケーションのインストール中に、eDirectory 証明書のコピーが JRE のデ フォルト cacerts ストアに保存されます。ただし、IBM のツールを使用して、WebSphere アプリ ケーションサーバに手動で証明書をインストールする必要があります。 Identity Manager のコンポーネントと通信の概要 25 安全に通信するには、図のようにサーバ証明書を複数の場所に配置する必要があります。次のよう な考慮事項に該当する場合は、証明書を正しく配置するために複数の手順を実行しなければならな いことがあります。 図中の「アプリケーションサーバ証明書」ボックスで示されている複数の箇所で、自己署名証 明書を使用する予定の場合。 VeriSign などの信頼する認証局 (CA) が発行した証明書を使用する予定の場合。 アプリケーションサーバと他の Identity Manager コンポーネントが安全に通信できるようにするに は、https プロトコルを使用します。詳細については、435 ページの第 49 章「SSL によるセキュア 通信」を参照してください。 1.3 相互認証の理解 識別情報アプリケーションと Identity Reporting は、即時利用可能なクライアント証明書ベースの認 証をサポートしていません。クライアント認証を組み込む場合、NetIQ Access Manager を使用で きます。詳細については、419 ページの第 46 章「NetIQ Access Manager での SAML 認証によるシ ングルサインオン」を参照してください。 26 NetIQ Identity Manager セットアップガイド 2 Identity Manager 環境の構築と維持 2 ほとんどの組織では、独立した環境を使用して Identity Manager を開発およびステージングしてか ら、運用環境に展開します。Identity Manager 環境を構築および維持するには、次の Identity Manager コンポーネントを使用できます。 27 ページのセクション 2.1「Designer for Identity Manager」 27 ページのセクション 2.2「Analyzer for Identity Manager」 28 ページのセクション 2.3「役割管理」 28 ページのセクション 2.4「iManager」 これらのコンポーネントは、Identity Manager をビジネスニーズの変化に対応させて、全社的なビ ジネス継続性確保とユーザ生産性向上を実現する場合にも役立ちます。 2.1 Designer for Identity Manager Designer for Identity Manager (Designer) は、ネットワーク環境またはテスト環境における Identity Manager ソリューションの設計、テスト、ドキュメント化、および展開を支援します。 Identity Manager プロジェクトをオフライン環境で設定してからライブシステムに展開できます。 設計上の観点から、Designer は次のことに役立ちます。 Identity Manager ソリューションを構成するすべてのコンポーネントをグラフィカルに表示し、 それらがどのように相互作用しているかを確認する。 テストソリューションの一部または全体を運用環境に展開する前に、Identity Manager 環境を 変更およびテストして、想定どおりに動作しているかを確認します。 Designer は、設計情報とレイアウト情報を維持します。ボタンをクリックするだけで、好みの フォーマットで情報を印刷できます。さらに、エンタープライズレベルのプロジェクト作業を複数 のチームで共有することもできます。 Designer の使用の詳細については、『NetIQ Designer for Identity Manager Administration Guide』を 参照してください。 2.2 Analyzer for Identity Manager Analyzer for Identity Manager (Analyzer) は、内部データ品質ポリシーへの準拠を支援するデータ 分析、クレンジング、調整、およびレポーティングの各機能を提供します。Analyzer を使用する と、企業内に保存されているすべてのデータを分析、拡張、および制御できます。Analyzer には、 次の機能があります。 Analyzer のスキーママップにより、アプリケーションのスキーマ属性を、Analyzer の基本ス キーマの対応するスキーマ属性に関連付けます。これにより、データ分析およびクリーニング 操作によって異種システム間の類似する値を適切に関連付けることができます。このために、 Analyzer は Designer のスキーママッピング機能を利用します。 Identity Manager 環境の構築と維持 27 Analysis Profile エディタを使用すると、1 つ以上のデータセットインスタンスを分析するための プロファイルを設定できます。各分析プロファイルには 1 つ以上のメトリクスが含まれてお り、これらを基準にして属性値を評価することで、データが定義済みのデータフォーマット標 準にどの程度準拠しているかを確認できます。 Matching Profile エディタを使用して、1 つ以上のデータセットの値を比較できます。指定した データセット内に重複する値がないかどうか、または 2 つのデータセット間で一致する値がな いかどうかを確認できます。 Analyzer の使用の詳細については、『NetIQ Analyzer for Identity Manager Administration Guide』を 参照してください。 2.3 役割管理 Identity Manager では、役割は、1 つ以上の接続システムに関連する一連の許可を定義します。この 許可モデルを維持するため、Identity Manager ドライバは接続システムからアカウント ID と許可割 り当てを収集します。Identity Manager では、これらの許可をエンタイトルメントと呼びます。 Identity Manager はこれらのエンタイトルメントを使用して、接続システムのリソースに対するア クセス権をユーザに提供します。Identity Manager の役割システムには、役割ベースプロビジョニ ングシステムに対するさまざまなレベルのアクセス権を提供する多くの役割が組み込まれています。 たとえば、Roles Module の管理に割り当てるユーザには役割システム内で無制限のスコープを与え ながら、役割管理のみを担当するユーザの権限は、別途指定したユーザ、グループ、および役割に 制限できます。 ビジネスアナリストは、NetIQ Identity Manager Catalog Administrator (Catalog Administrator) を 使用することで、IT インフラストラクチャの全体像を理解していなくても権限を管理できます。こ れらのコンポーネントにより、役割、複合役割、およびプロファイル ( まとめて許可と呼びます ) を検出して、これらを 1 箇所から、複数のシステムにある Identity Manager の役割にマップできま す。権限とは、ビジネス役割、複合役割、およびプロファイルのことです。たとえば、Roles Based Provisioning Module のユーザに Identity Manager の役割を割り当てた場合、そのユーザは、 対象の役割にマップされたすべての権限を得ることになります。 Catalog Administrator はユーザアプリケーションドライバから役割情報を取得します。また、識別 ボールトと、NetIQ Identity Manager ホームおよびプロビジョニングダッシュボード (Identity Manager ホーム ) へのアクセスが必要です。詳細については、『NetIQ Identity Manager Catalog Administrator User Guide』を参照してください。 2.4 iManager Novell iManager はブラウザベースのツールで、Identity Manager など、数多くの Novell および NetIQ 製品を単一点で管理できます。iManager 用の Identity Manager プラグインをインストールし た後は、Identity Manager を管理できるだけでなく、Identity Manager システムに関するリアルタイ ムのヘルスおよびステータス情報を受信できます。 iManager では Designer と同様のタスクを実行できるほか、システムのヘルスも監視できます。 NetIQ では、管理タスクに iManager を使用することをお勧めします。Designer はパッケージへの 変更、モデリング、および展開前のテストを必要とする設定タスクに使用してください。 iManager の詳細については、『NetIQ iManager 管理ガイド』を参照してください。 28 NetIQ Identity Manager セットアップガイド 3 Identity Manager 環境でのデータ管理 3 Identity Manager は、物理ネットワーク、仮想ネットワーク、およびクラウドネットワークにわ たって一貫したアクセス制御を適用し、コンプライアンスを証明できる動的レポートを使用します。 基本的に Identity Manager は、接続アプリケーションまたは識別ボールト内に格納されているあら ゆる種類のデータを同期します。パスワード同期などのデータ同期機能を提供する Identity Manager ソリューションのコンポーネントは、次のとおりです。 識別ボールト Identity Manager エンジン Identity Manager リモートローダ Identity Reporting Identity Manager ドライバ 接続システム 3.1 データ同期の理解 Identity Manager を使用すると、SAP、PeopleSoft、Microsoft SharePoint、Lotus Notes、Microsoft Exchange、Microsoft Active Directory、NetIQ eDirectory、LDAP ディレクトリなど、さまざまな接 続システムで情報を同期、変換、および配信することができます。Identity Manager では、次のア クティビティを実行できます。 接続システム間でデータフローを制御します。 他のシステム間で、どのデータを共有するか、あるデータに関してどのシステムが権限のある ソースであるか、どのようにしてデータを解釈および変換して他のシステムの要件を満たすの かを決定します。 システム間でパスワードを同期します。たとえば、ユーザが Active Directory 内の自分のパス ワードを変更する場合、Identity Manager によってパスワードを Lotus Notes および Linux に同 期することができます。 Active Directory などのディレクトリ、PeopleSoft や Lotus Notes などのシステム、および UNIX や Linux などのオペレーティングシステムで、ユーザアカウントを新規作成したり、既存のア カウントを削除したりします。たとえば、新しい従業員を SAP HR システムに追加する場合、 Identity Manager システムでは、Active Directory 内に新しいユーザアカウント、Lotus Notes 内に新しいアカウント、Linux NIS アカウント管理システム内に新しいアカウントを自 動的に作成できます。 3.2 監査、レポーティング、およびコンプライアンスの 理解 Identity Manager を使用しないと、ユーザのプロビジョニングは冗長で時間と費用のかかる作業に なる可能性があります。さらにその後に、プロビジョニングアクティビティが組織のポリシー、要 件、および規制に準拠しているかどうかの検証も必要です。適切なユーザが適切なリソースへのア Identity Manager 環境でのデータ管理 29 クセス権を持っていますか。その同じリソースに対して権限のないユーザがアクセスできないよう になっていますか。昨日働き始めた従業員は仕事に必要なネットワーク、電子メール、および他の システムに対するアクセス権を持っていますか。先週退職した従業員については、アクセス権を キャンセルしましたか。 Identity Manager を使用すると、過去または現在を問わずユーザのプロビジョニングアクティビ ティが監査のためにすべて追跡され、ログが記録されることが分かっているので、作業が楽になり ます。識別情報ウェアハウスに問い合わせることで、お客様の組織に関連するビジネスの法律およ び規則を完全に遵守するのに必要なあらゆる情報を取得できます。 Identity Manager には事前定義されたレポートが含まれています。このレポートを使用すると、識 別情報ウェアハウスに対して問い合わせを実行し、ビジネス、IT、および会社の方針を遵守してい ることを明らかにできます。事前定義されたレポートがニーズを満たさない場合は、カスタムレ ポートを作成することもできます。 3.3 識別情報データを同期するためのコンポーネントの 理解 30 ページのセクション 3.3.1「識別ボールト」 30 ページのセクション 3.3.2「Identity Manager エンジン」 31 ページのセクション 3.3.3「リモートローダ」 31 ページのセクション 3.3.4「Identity Reporting」 3.3.1 識別ボールト 識別ボールトには、Identity Manager が必要とするすべての情報が格納されます。識別ボールトは、 接続システム間で同期するデータのメタディレクトリの役割を果たしています。たとえば、 PeopleSoft システムから Lotus Notes に同期されたデータが最初に識別ボールトに追加され、Lotus Notes システムに送信されます。識別ボールトには、ドライバ環境設定、パラメータ、ポリシーな どの Identity Manager に固有の情報も格納されます。 識別ボールトは、NetIQ eDirectory データベースを使用します。eDirectory の使用の詳細について は、『NetIQ eDirectory 8.8 管理ガイド』を参照してください。 3.3.2 Identity Manager エンジン Identity Manager エンジンは、識別ボールトまたは接続アプリケーションで発生するすべてのデー タ変更を処理します。識別ボールトで発生するイベントでは、エンジンによって変更が処理され、 ドライバを通じてアプリケーションにコマンドが発行されます。アプリケーションで発生するイベ ントでは、エンジンによってドライバからの変更が受信され、その変更が処理され、識別ボールト にコマンドが発行されます。ドライバは、Identity Manager エンジンをアプリケーションに接続し ます。ドライバには 2 つの役割があります。アプリケーション内のデータ変更 ( イベント ) を Identity Manager エンジンにレポートすること、および Identity Manager エンジンによって送信さ れたデータ変更 ( コマンド ) をアプリケーションに対して実行することです。ドライバは、接続ア プリケーションと同じサーバにインストールする必要があります。 Identity Manager エンジンは、メタディレクトリエンジンとも呼ばれています。Identity Manager エ ンジンが実行されているサーバを Identity Manager サーバと呼びます。サーバのワークロードに よっては、ご使用の環境で複数の Identity Manager サーバを使用できます。 30 NetIQ Identity Manager セットアップガイド 3.3.3 リモートローダ Identity Manager リモートローダはドライバをロードし、リモートサーバにインストールされてい るドライバの代わりに Identity Manager エンジンと通信します。アプリケーションを Identity Manager エンジンと同じサーバで実行する場合、そのサーバにドライバをインストールできます。 一方、アプリケーションを Identity Manager エンジンと同じサーバで実行しない場合は、ドライバ をアプリケーションサーバにインストールする必要があります。ご使用の環境のワークロードを軽 減したり設定を容易にしたりする場合、リモートローダをアプリケーションサーバおよび Identity Manager サーバとは別のサーバにインストールできます。 リモートローダの詳細については、146 ページのセクション 16.2「リモートローダの理解」を参照 してください。 3.3.4 Identity Reporting Identity Manager には識別情報ウェアハウスが含まれています。これは、お客様の組織内部の識別 ボールトと接続システムの現状と望ましい状態に関する情報のインテリジェントリポジトリです。 識別情報ウェアハウスでは、お客様のビジネスエンタイトルメントに関する 360° のビューが提供 され、組織内で識別情報に対して付与された権限や許可の過去および現在の状況を確認するのに必 要な知識が得られます。 識別情報ウェアハウスに問い合わせを行うと、お客様の組織に関連するビジネスの法律および規則 を完全に遵守するのに必要なあらゆる情報を取得できます。この知識をもとに、最も高度な GRC (Governance Risk and Compliance) に関する問い合わせであっても答えることができます。 識別情報ウェアハウスのインフラストラクチャには、次のコンポーネントが必要です。 31 ページの 「Identity Reporting for Identity Manager」 32 ページの 「データ収集サービス」 32 ページの 「Managed System Gateway Driver」 32 ページの 「イベント監査サービス」 Identity Reporting for Identity Manager 識別情報ウェアハウスは、その情報をイベント監査サービスの SIEM データベースに保存します。 Identity Reporting コンポーネントを使用すると、Identity Manager ソリューションを監査してその ソリューションに関するレポートを作成できます。レポートを使用すると、ビジネスのコンプライ アンス規制に従うのに役立ちます。定義済みレポートを実行して、ビジネスポリシー、IT ポリ シー、および企業ポリシーへのコンプライアンスを証明できます。事前定義されたレポートがニー ズを満たさない場合は、カスタムレポートを作成することもできます。Identity Reporting を使用し て、Identity Manager の設定のさまざまな側面に関する重要なビジネス情報を表示するレポートを 生成してください。これには、識別ボールトと接続システムから収集された情報も含まれます。 Identity Reporting のユーザインタフェースを使用すると、パフォーマンスを最適化するために、レ ポートを混雑していない時間帯に実行するようスケジュールするのが楽になります。Identity Reporting の詳細については、『NetIQ Identity Reporting Module Guide』を参照してください。 Identity Manager 環境でのデータ管理 31 データ収集サービス データ収集サービスは、データ収集サービスドライバを使用して、識別ボールトに保存されている オブジェクト ( アカウント、役割、リソース、グループ、チームメンバーシップなど ) の変更を キャプチャします。このドライバは、自身をサービスに登録し、変更イベント ( データの同期、追 加、変更、および削除イベント ) をサービスにプッシュします。 このサービスには、次の 3 つのサブサービスが含まれます。 レポートデータコレクタ : プルデザインモデルを使用して、1 つ以上の識別ボールトデータ ソースからデータを取得します。収集は、一連の環境設定パラメータによって決定され、定期 的に実行されます。データを収集するために、コレクタが Managed System Gateway Driver を 呼び出します。 イベント駆動型データコレクタ : プッシュデザインモデルを使用して、データ収集サービスド ライバが取得したイベントデータを収集します。 非管理対象アプリケーションデータコレクタ : それぞれのアプリケーション専用に記述された REST エンドポイントを呼び出すことによって、1 つ以上の非管理対象アプリケーションから データを取得します。非管理対象アプリケーションとは、識別ボールトに接続されていない企 業内のアプリケーションのことです。 Managed System Gateway Driver Managed System Gateway Driver は、識別ボールトに問い合わせて管理対象システムから次のタ イプの情報を収集します。 すべての管理対象システムのリスト 管理対象システムのすべてのアカウントのリスト エンタイトルメントの種類、値、割り当て、および管理対象システムのユーザアカウントプロ ファイル イベント監査サービス 監査およびレポーティングを Identity Manager ソリューションの一部として組み込むには、 NetIQ イベント監査サービスや NetIQ Sentinel などのセキュリティ情報およびイベント管理サービ スが必要です。Identity Reporting のインストールパッケージには、イベント監査サービス (EAS) が 付属しています。EAS は、次のアクションタイプに関連付けられたログイベントをキャプチャしま す。 RBPM および役割管理コンポーネント内で実行されたアクション Identity Reporting で実行されたアクション ( レポートのインポート、変更、削除、スケジューリ ングなど ) 32 NetIQ Identity Manager セットアップガイド 4 セキュアなアクセスのためのユーザプロビ ジョニング 4 Identity Manager は、物理ネットワークや仮想ネットワークからクラウドに至るまで、アクセス管 理を一元化し、ユーザごとに 1 つの識別情報が存在するようにします。ユーザが組織内の役割に基 づいてリソースにアクセスを要求することもよくあります。たとえば、法律事務所の弁護士は事務 所の弁護士補助員とは異なるリソースのセットにアクセスする必要がある場合があります。 Identity Manager を使用すると、組織の役割に基づいてユーザをプロビジョニングすることができ ます。役割を定義し、組織のニーズに従って割り当てを行います。ユーザに役割を割り当てると、 Identity Manager はその役割に関連付けられているリソースへのアクセス権を持つユーザをプロビ ジョニングします。複数の役割を持つユーザは、それらの役割すべてに関連付けられたリソースに 対するアクセス権を受け取ります。 組織で発生したイベントの結果に応じて自動的にユーザを役割に追加できます。たとえば、弁護士 の役職を持つ新しいユーザを SAP HR データベースに追加できます。ユーザを役割に追加するため の承認が必要な場合、ワークフローを構築して、役割の要求を適切な承認者にルーティングするこ とができます。手動でユーザを役割に割り当てることもできます。 場合によっては、役割が競合するため、同じユーザに割り当ててはいけない特定の役割があります。 Identity Manager には義務の分離機能があります。この機能を使用すると、組織のユーザが競合を 例外にしない限り、競合する役割にユーザが割り当てられることがなくなります。 Identity Manager ソリューションでは、ユーザプロビジョニング用の次のコンポーネントが提供さ れています。 NetIQ Identity Manager Roles Based Provisioning Module およびユーザアプリケーション NetIQ Identity Manager ホームおよびプロビジョニングダッシュボード Identity Manager ホームおよびプロビジョニングダッシュボードは、Identity Manager のすべての ユーザおよび管理者の一元的なアクセスポイントです。Roles Based Provisioning Module および ユーザアプリケーションの既存の機能をすべて利用できます。 4.1 Identity Manager の検証プロセスの理解 Identity Manager を使用すると、検証プロセスを通じて役割の割り当てが適切であるかどうかを検 証することができます。不適切な役割を割り当てると、会社および組織の規制の遵守が脅かされる 可能性があります。検証プロセスで、組織内の担当ユーザが次の役割に関連付けられているデータ を認証します。 ユーザプロファイルの検証 : 選択されたユーザは自分のプロファイル情報が正しいかどうかを 検証し、間違った情報を変更します。役割の割り当てを変更するには、正しいプロファイル情 報が必要です。 義務の分離違反検証 : 担当ユーザが義務の分離違反に関するレポートをレビューし、レポート の正確さを検証します。レポートには、ユーザを競合する役割に割り当てることができる例外 のリストが示されています。 セキュアなアクセスのためのユーザプロビジョニング 33 役割の割り当ての検証 : 担当ユーザがレポートリストで選択された役割、および各役割に割り 当てられたユーザ、グループ、および役割をレビューします。さらに、担当ユーザは情報の正 確さを検証する必要があります。 ユーザの割り当ての検証 : 担当ユーザはレポートリストで選択されたユーザ、およびユーザに 割り当てられた役割をレビューします。さらに、担当ユーザは情報の正確さを検証する必要が あります。 検証レポートは元来、役割の割り当てが正確であること、および競合する役割の例外を許可するの に有効な理由が存在することを保証するのに役立つように設計されています。 4.2 Identity Manager のセルフサービスプロセスの理解 Identity Manager では、システム、アプリケーション、およびデータベースへのユーザアクセスを 認証する基盤として、識別情報が使用されています。各ユーザ固有の ID、および各ユーザの役割に は、識別情報データに対する特定のアクセス権が付与されています。たとえば、マネージャの ID を 持つユーザは、直属の部下の給与情報にアクセスできますが、社内の他の従業員の給与情報にはア クセスできません。Identity Manager では、責任を負う必要のあるユーザに管理業務を委任できま す。たとえば、各ユーザが次の目標を達成できるようにすることができます。 会社のディレクトリ内にある各自データの管理。あなたが電話番号を変更するのではなく、各 自が 1 つの場所で電話番号を変更し、Identity Manager によって同期されたすべてのシステム でその番号を変更することもできます。 パスワードの変更、パスワードを忘れた場合のヒントの設定、パスワードを忘れた場合の秘密 の質問と答えの設定。ユーザがパスワードを忘れているので、あなたがパスワードをリセット するのではなく、ヒントまたは問題に対する答えを受信した後に、ユーザが自分でパスワード をリセットすることができます。 データベース、システム、ディレクトリなどのリソースに対するアクセスの要求。あなたにア プリケーションに対するアクセスを要求するように呼びかけるのではなく、ユーザが使用可能 なリソースのリストからアプリケーションを選択することができます。 各ユーザのセルフサービスだけでなく、Identity Manager にはユーザの要求のサポート、監視、お よび承認を担当する機能についてセルフサービス管理が用意されています。たとえば、John が Identity Manager のセルフサービス機能を使用して、必要なドキュメントへのアクセスを要求した とします。John のマネージャと CFO がセルフサービス経由でその要求を受け取り、要求を承認で きます。承認ワークフローを確立すると、John は自分の要求の進行状況を開始および監視でき、 John のマネージャと CFO は John の要求に応答することができます。John のマネージャと CFO の承認によって、財務ドキュメントにアクセスして表示するために John が必要とする Active Directory 権限のプロビジョニングがトリガされます。 Identity Manager には、プロビジョニングプロセスで適切なリソース承認者を要求するワークフ ロー機能も備わっています。たとえば、Active Directory アカウントですでに設定されている John が Active Directory を使用して一部の財務レポートにアクセスする必要があるとします。ここでは、 John の直接のマネージャと CFO の両方からの承認が必要です。幸いにも、John の要求をマネー ジャに転送し、マネージャからの承認後に CFO に転送する承認ワークフローがセットアップされ ています。CFO による承認で、John が経理ドキュメントのアクセスおよび表示を行うのに必要な Active Directory 権限の自動プロビジョニングがトリガされます。 特定のイベントが発生するか ( 新規ユーザが HR システムに追加される場合など )、ユーザの要求に よって手動で開始されたときにワークフローを自動的に開始することができます。承認がタイミン グよく行われるように、プロキシ承認者および承認チームをセットアップすることができます。 34 NetIQ Identity Manager セットアップガイド 4.3 ユーザプロビジョニングを管理するためのコンポー ネントの理解 このセクションでは、次のコンポーネントの目的について説明します。 35 ページのセクション 4.3.1「ユーザアプリケーションおよび Roles Based Provisioning Module」 37 ページのセクション 4.3.2 「Identity Manager ホームおよびプロビジョニングダッシュボード」 4.3.1 ユーザアプリケーションおよび Roles Based Provisioning Module Identity Manager ユーザアプリケーションは、Identity Manager の情報、リソース、および機能を利 用するためのビューをユーザとビジネス管理者に提供します。ユーザアプリケーションはブラウザ ベースの Web アプリケーションで、さまざまな識別情報セルフサービスタスクと役割プロビジョ セキュアなアクセスのためのユーザプロビジョニング 35 ニングタスクを実行できます。ユーザは、パスワードと識別情報データを管理したり、プロビジョ ニング要求と役割割り当て要求を開始および監視したり、プロビジョニング要求の承認プロセスを 管理したり、検証レポートを確認したりできます。 ユーザアプリケーションでは、独立した複数のコンポーネントが連携して動作しています。 ユーザアプリケーションは、RBPM (Roles Based Provisioning Module) フレームワーク上で動作 します。このフレームワークには、要求のルーティングを適切な承認プロセスを介して制御する ワークフローエンジンが含まれています。これらのコンポーネントには、次のドライバが必要です。 ユーザアプリケーションドライバ 設定情報を格納し、識別ボールトで変更が行われた場合にユーザアプリケーションに通知しま す。識別ボールト内のイベントでワークフローをトリガできるようドライバを設定できます。 このドライバから、ワークフローのプロビジョニングアクティビティの成否をユーザアプリ ケーションに通知することもできます。これにより、ユーザは要求の最終的なステータスを参 照することができます。 36 NetIQ Identity Manager セットアップガイド 役割およびリソースサービスドライバ すべての役割およびリソース割り当てを管理します。このドライバは、承認を必要とする役割 およびリソース割り当て要求のワークフローを開始し、グループおよびコンテナのメンバー シップに従って間接的な役割割り当てを維持します。さらに、ユーザの役割のメンバーシップ に基づいて、ユーザエンタイトルメントの許可および取り消しを行います。完了した要求に対 してはクリーンアップ手順を実行します。 ユーザは、サポートされている任意の Web ブラウザからユーザアプリケーションにアクセスでき ます。ユーザアプリケーションと RBPM の詳細については、『NetIQ Identity Manager User Application: Administration Guide』を参照してください。 4.3.2 Identity Manager ホームおよびプロビジョニングダッシュボー ド NetIQ Identity Manager ホーム ( ホームページ ) は、Identity Manager のすべてのユーザおよび管理 者の一元的なアクセスポイントです。RBPM およびユーザアプリケーションの既存の機能すべてに アクセスできるほか、ユーザ指向の追加機能が提供されます。管理者は、次の方法でホームページ の内容を作成できます。 各ユーザに関連する項目やリンクのみを表示するようにホームページをカスタマイズする。 リンクや項目をカテゴリに分類して、わかりやすく編成する。たとえば、会社固有のリンクや REST エンドポイントを追加します。 バッジを含むようにホームページの項目を設定する。たとえば、ユーザがアクセスできる特定 の種類の項目数をバッジで表示することができます。 ホームページには、コンピュータまたはタブレットから、サポートされている Web ブラウザを使 用してアクセスできます。詳細については、『NetIQ Identity Manager Home and Provisioning Dashboard User Guide』を参照してください。 Identity Manager プロビジョニングダッシュボード ( ダッシュボード ) には、各ユーザの許可、タ スク、および要求をパーソナライズして表示できます。Identity Manager ホームは、各ユーザの ダッシュボードの適切な場所にリンクしています。 ダッシュボードは、次の基本分野に絞って機能を提供しています。 何かが必要な場合の機能 あるアイテムが必要な場合、そのアイテムがラップトップなどの機器類であっても、特定の サーバやアプリケーションなど形のないものであっても、ユーザは[要求する]オプションを 使用してアイテムを要求できます。アイテムを検索するには、[権限]フィールドに検索条件 のすべてまたは一部を入力します。 何かを実行する必要がある場合の機能 管理する必要があるタスクを把握したい場合、[タスク]ページに、Identity Manager システム でユーザが保留中の承認またはプロビジョニングタスクがすべて表示されます。 所有している項目を確認する場合の機能 現在アクセス可能なすべての情報を確認したい場合、[許可]ページに、自身がアクセス可能 な役割とリソースのリストが表示されます。 セキュアなアクセスのためのユーザプロビジョニング 37 取得した項目の経緯を確認する場合の機能 過去の要求のリストを参照したい場合、[履歴]ページに、最近要求したすべての項目と、す べての保留中の要求のステータスが表示されます。 ダッシュボードには、コンピュータまたはタブレットから、サポートされている Web ブラウザを 使用してアクセスできます。詳細については、『NetIQ Identity Manager Home and Provisioning Dashboard User Guide』を参照してください。 4.4 Identity Manager でのセルフサービスパスワード管 理の使用 Identity Manager の NetIQ SSPR (Self Service Password Reset) は、識別情報アプリケーションにア クセスできるユーザが、管理者の助けを借りずに自分でパスワードをリセットできる機能です。 Identity Manager の最新バージョンをインストールすると、または最新バージョンにアップグレー ドすると、インストールプロセスによって SSPR がデフォルトで有効になります。新規インストー ルの場合、SSPR は独自のプロトコルで認証方法を管理します。ただし、アップグレード後に、 NMAS (NetIQ Modular Authentication Services) を使用するように SSPR に指示できます。NMAS は、Identity Manager が従来使用していたパスワード管理プログラムです。 複雑なパスワードの管理を使用するかどうかに応じて、次のいずれかのプロバイダを設定できます。 SSPR NetIQ Self Service Password Reset は、Identity Manager をインストールまたはアップグレー ドする際のデフォルトのオプションです。詳細については、38 ページのセクション 4.4.1「デ フォルトのセルフサービスプロセスの理解」を参照してください。 パスワード管理用のレガシプロバイダ 複数のパスワードポリシーの使用をサポートする、Identity Manager 4.0.2 のパスワード管理プ ロセスを使用します。詳細については、39 ページのセクション 4.4.2「レガシパスワード管理 プロバイダの理解」を参照してください。 サードパーティプロバイダのパスワード管理 パスワードを忘れた場合のプロセスを管理するサードパーティプログラムを使用できます。 Identity Manger の一部の設定は変更する必要があります。詳細については、320 ページのセク ション 35.6.3「外部システムによるパスワードを忘れた場合の管理」を参照してください。 4.4.1 デフォルトのセルフサービスプロセスの理解 SSPR は、アイデンティティアプリケーションおよび Identity Reporting のシングルサインオンプロ セスと自動的に統合されます。SSPR をインストールしていない場合でも、これが Identity Manager のデフォルトのパスワード管理プログラムです。ユーザがパスワードのリセットを要求す ると、本人確認の質問に回答するよう求められます。回答が正しければ、SSPR は次のいずれかの 方法で応答します。 ユーザに新しいパスワードの作成を許可する 新しいパスワードを作成してユーザに送信する 新しいパスワードを作成してユーザに送信し、古いパスワードを期限切れとしてマークする 38 NetIQ Identity Manager セットアップガイド SSPR Configuration Editor でこの回答を設定します。新しいバージョンの Identity Manager にアッ プグレードした後は、Identity Manager がパスワード管理に従来使用していた NMAS を使用するよ うに SSPR を設定することができます。ただし、SSPR は、パスワードを忘れた場合のプロセスを 管理する際に既存のパスワードポリシーを認識しません。既存のポリシーを引き続き使用する場合 は、39 ページのセクション 4.4.2「レガシパスワード管理プロバイダの理解」を参照してください。 NMAS の代わりに、独自のプロトコルを使用するように SSPR を設定することもできます。このよ うに変更した場合、パスワードポリシーをリセットせずに NMAS を使用する設定に戻すことはでき ません。 参照する情報 ... 参照先 ... SSPR のインストール 239 ページの第 28 章「Identity Manager 用のシング ルサインオンおよびパスワード管理のインストール」 識別情報アプリケーションのパスワード管理の設定 317 ページのセクション 35.6.1「セルフサービスパス ワードリセットによるパスワードを忘れた場合の管 理」 SSPR の管理と設定 『NetIQ Self Service Password Reset Administration Guide』 SSPR のインストールプログラムは、Identity Manager および Identity Manager 統合インストーラ アプリケーションの .iso イメージにあります。 4.4.2 レガシパスワード管理プロバイダの理解 旧バージョンの Identity Manager からアップグレードした場合、識別情報アプリケーションのパス ワード管理プログラムはデフォルトで SSPR に設定されます。SSPR は、従来 Identity Manager で パスワード管理に使われていた NMAS による方法を使用できます。ただし、SSPR は、パスワード を忘れた場合のプロセスを管理する際に既存のパスワードポリシーを認識しません。SSPR をバイ パスして、レガシパスワード管理プロバイダを使用できます。 ユーザがパスワードリセットを要求すると、レガシプロバイダはユーザの資格情報を、設定されて いるパスワードポリシーと比較します。たとえば、秘密の質問の答えに回答するようユーザに要求 できます。そのユーザに適用されるポリシーに基づいて、次のいずれかの方法で応答が返されます。 パスワードをリセットする パスワードのヒントを表示する パスワードのヒントをユーザに電子メールで送信する 新しいパスワードをユーザに電子メールで送信する 自社で複数のパスワードポリシーまたは複雑なパスワードポリシーが使用されている場合は、レガ シプロバイダを使用してください。たとえば、パスワードポリシーがユーザの役割に基づいている とします。インターンの場合、秘密の質問の答えが設定されていない自動生成パスワードで十分で す。一方、セキュアデータにアクセスできるマネージャに対しては、より厳しい要件を設定できま す。このユーザは、定期的にパスワードをリセットする必要があります。どちらの場合も、ユーザ がパスワード要求のセルフサービスを利用できるようにします。 レガシプロバイダを使用するには、Identity Manager のインストールまたはアップグレード後に識 別情報アプリケーションの設定を変更します。アップグレード後にパスワードポリシーを再設定す る必要はありません。 セキュアなアクセスのためのユーザプロビジョニング 39 参照する情報 ... 参照先 ... レガシプロバイダを使用するように Identity Manager を設定する 319 ページのセクション 35.6.2「レガシプロバイダに よるパスワードを忘れた場合の管理」 パスワード管理にレガシプロバイダを使用する 4.5 『NetIQ Identity Manager Password Management Guide』 Identity Manager でのシングルサインオンアクセス の使用 シングルサインオン (SSO) アクセスを提供するため、Identity Manager は認証サービス NetIQ One SSO Provider (OSP) を使用します。OSP は、次のコンポーネントで使用する必要があります。 Catalog Administrator Home and Provisioning Dashboard Identity Reporting Self-Service Password Reset ユーザアプリケーション Identity Manager の .iso イメージおよび Identity Manager 統合インストーラプログラムの両方に、 OSP のインストール方法が記述されています。OSP のインストールの詳細については、239 ペー ジの第 28 章「Identity Manager 用のシングルサインオンおよびパスワード管理のインストール」を 参照してください。 4.5.1 One SSO Provider による認証の理解 OSP は OAuth2 仕様をサポートしており、認証に OAuth プロトコルを使用する LDAP 認証サーバ を必要とします。デフォルトでは、Identity Manager は識別ボールト (eDirectory) を使用します。認 証要求を処理するように 1 つ以上の認証ソース、つまり識別ボールトを設定できます。ただし、 ソースが OAuth プロトコルを使用していることが条件です。OSP は Kerberos と連携できます。 OSP および SSO の動作の仕組み 識別ボールト内の指定コンテナにユーザの CN とパスワードが設定されていれば、ユーザはイ ンストール後すぐに Identity Manager にログインできます。このログインアカウントがない場 合、すぐにログイン可能なユーザはインストール中に指定した管理者だけです。 ユーザがブラウザベースのコンポーネントの 1 つにログインすると、ユーザの名前とパスワー ドのペアが OSP サービスにリダイレクトされ、OSP サービスが認証サーバに問い合わせま す。認証サーバは、ユーザ資格情報を検証します。その後、OSP はコンポーネントとブラウザ に対して OAuth2 アクセストークンを発行します。ブラウザは、ユーザのセッション中にこの トークンを使用して、すべてのブラウザベースのコンポーネントに対する SSO アクセスを提 供します。 ログインシーケンス中に、OSP は Kerberos または SAML のどちらが Identity Manager 環境に 設定されているかを検出できます。この際に、OSP は Kerberos チケットサーバまたは SAML IDP からの認証を受け入れ、ユーザがログインしたコンポーネントに対して OAuth2 アクセス トークンを発行します。ただし、OSP は MIT 方式の Kerberos または SAP ログインチケット はサポートしません。 40 NetIQ Identity Manager セットアップガイド OSP と Kerberos の連携の仕組み OSP と Kerberos を使用することで、いったんログインしたユーザは、識別情報アプリケー ションの 1 つおよび Identity Reporting とのセッションを作成できるようになります。ユーザの セッションがタイムアウトした場合は自動的に認証が実行され、ユーザによる操作は必要はあ りません。ログアウト後、ユーザは必ずブラウザを終了してセッションを確実に終了する必要 があります。そうしないと、ユーザはログインウィンドウにリダイレクトされ、OSP によって ユーザセッションが再認証されます。 認証とシングルサインオンアクセスのセットアップ方法 OSP と SSO を機能させるには、OSP をインストールする必要があります。その後、各コン ポーネントに対するクライアントアクセスの URL、検証要求を OSP にリダイレクトする URL、および認証サーバの設定を指定します。この情報は、インストール中に指定すること も、RBPM 設定ユーティリティを使用して後で指定することもできます。Kerberos チケット サーバまたは SAML IDP の設定も指定できます。 認証およびシングルサインオンアクセスの設定の詳細については、411 ページのパート XIII 「Identity Manager のシングルサインオンアクセスの設定」を参照してください。クラスタで は、そのすべてのメンバーの環境設定は同一です。 4.5.2 One SSO Provider のキーストアの理解 Identity Manager では、OSP サービスと認証サーバ間での http および https 通信をサポートするキー ストアを使用します。キーストアは OSP のインストール時に作成します。また、OSP サービスが 認証サーバと許可された方法で対話する場合に使用するパスワードも作成します。詳細については、 239 ページの第 28 章「Identity Manager 用のシングルサインオンおよびパスワード管理のインス トール」を参照してください。 4.5.3 One SSO Provider の監査イベントの理解 OSP は、ユーザがユーザアプリケーションまたは Identity Reporting にログインしたとき、または これらからログアウトしたときを表すイベントを 1 つずつ生成します。 003E0204 - ログイン 003E0201 - ログアウト これらの OSP イベントは、XDAS 分類により、ログイン / ログアウトの成功、ユーザアプリケー ションに対する SOAP コールの成功、または「成功以外」のいずれかとして解釈されます。 注 : OSP によって監査イベントがどのように変更されるかの詳細については、本バージョンのリ リースノートを参照してください。 セキュアなアクセスのためのユーザプロビジョニング 41 42 NetIQ Identity Manager セットアップガイド II Identity Manager のインストールの計 画 I このセクションでは、Identity Manager 環境をプランニングするための役に立つ情報を提供します。 各 Identity Manager コンポーネントのインストール先となるコンピュータの前提条件とシステム要 件を確認するには、該当するコンポーネントのインストールに関するセクションを参照してくださ い。 Identity Manager をインストールまたは初めて実行するために、アクティベーションコードは必要 はありません。ただし、アクティベーションコードがない場合、インストールから 90 日を経過す ると Identity Manager は機能しなくなります。Identity Manager は、その 90 日間またはその後いつ でもアクティベートできます。 45 ページの第 5 章「計画の概要」 59 ページの第 6 章「インストールに関する考慮事項および前提条件」 Identity Manager のインストールの計画 43 44 NetIQ Identity Manager セットアップガイド 5 5 計画の概要 このセクションは、Identity Manager のインストールプロセスを計画するために役立ちます。イン ストールプロセスでは、その前にインストールされているコンポーネントにアクセスする必要があ るため、一部のコンポーネントは特定の順番でインストールする必要があります。たとえば、識別 ボールトは、Identity Manager エンジンをインストールする前に、インストールおよび設定する必 要があります。 45 ページのセクション 5.1「計画チェックリスト」 47 ページのセクション 5.2「統合およびスタンドアロンインストールプロセスの理解」 48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」 53 ページのセクション 5.4「ライセンスおよびアクティベーションの理解」 53 ページのセクション 5.5「Identity Manager の通信の理解」 55 ページのセクション 5.6「言語サポートの理解」 56 ページのセクション 5.7「インストールファイルのダウンロード」 5.1 計画チェックリスト 次のチェックリストは、ご使用の環境で Identity Manager のインストールを計画するための大まか なステップを示します。Identity Manager コンポーネントのインストールに関する各セクションに は、より詳細なチェックリストがあります。 チェックリストの項目 1. 製品のアーキテクチャ情報を確認して Identity Manager コンポーネントについて学習しま す。詳細については、21 ページのパート I「はじめに」を参照してください。 2. どのタイプのインストールプログラムを使用するかを判断します。詳細については、 47 ページのセクション 5.2「統合およびスタンドアロンインストールプロセスの理解」を参 照してください。 3. どのオペレーティングシステムのプラットフォームがこの製品をインストールするのに最適 かを判断します。詳細については、51 ページのセクション 5.3.5「Identity Manager のオペ レーティングシステムプラットフォームの選択」を参照してください。 注 : Identity Reporting の NetIQ Event Auditing Service コンポーネントは、Linux サーバにの みインストールできます。ただし、識別情報ソリューションが Windows のみである場合は、 別の監査サービスを使用できます。 4. ( 状況によって実行 ) Red Hat Enterprise Linux 6.x 環境にコンポーネントをインストールす る場合は、サーバに正しいライブラリがあることを確認します。詳細については、60 ペー ジのセクション 6.2「RHEL 6.x サーバへの Identity Manager のインストール」を参照してく ださい。 5. コンポーネントのインストールの順番および各コンポーネントのインストール先を特定しま す。詳細については、48 ページのセクション 5.3「推奨されるインストールシナリオとサー バセットアップ」を参照してください。 計画の概要 45 チェックリストの項目 6. Identity Manager を実行するためのライセンスがあることを確認します。詳細については、 53 ページのセクション 5.4「ライセンスおよびアクティベーションの理解」を参照してくだ さい。 7. 各 Identity Manager コンポーネントのデフォルトポートを確認して、インストール設定をカ スタマイズする必要があるかどうかを判断します。詳細については、53 ページのセクショ ン 5.5「Identity Manager の通信の理解」を参照してください。 8. 優先言語でインストールプログラムを実行できるかどうかを判断します。詳細については、 55 ページのセクション 5.6「言語サポートの理解」を参照してください。 9. Identity Manager をインストールするためのファイルがあることを確認します。詳細につい ては、56 ページのセクション 5.7「インストールファイルのダウンロード」を参照してくだ さい。 10. ( 状況によって実行 ) クラスタに Identity Manager をインストールするには、ご使用の環境 が要件を満たしていることを確認します。詳細については、59 ページのセクション 6.1「ク ラスタ環境での Identity Manager のインストール」を参照してください。 11. ご使用のサーバに Identity Manager コンポーネントをインストールするために必要とされる 適切な資格情報、およびインストール時に作成するアカウントを確認します。 12. Identity Manager コンポーネントをインストールするコンピュータが指定の要件を満たして いることを確認します。詳細については、次の各セクションを参照してください。 Analyzer: ( オプション ) 405 ページの 「Analyzer のインストールの計画」 Designer: 213 ページの 「Designer のインストールの計画」 Event Auditing: 349 ページの 「Identity Reporting のインストールの計画」 役割およびリソース管理のための識別情報アプリケーション : 247 ページの 「識別情報 アプリケーションのインストールのプラニング」 Identity Manager エンジン : 125 ページの 「エンジン、ドライバ、およびプラグインの インストールの計画」 Identity Reporting: 349 ページの 「Identity Reporting のインストールの計画」 識別ボールト : 63 ページの 「識別ボールトのインストール」 iManager: ( オプション ) 183 ページの 「iManager のインストールの計画」 パスワードリセット (SSPR): 235 ページの「Identity Manager 用のシングルサインオン およびパスワード管理のインストールの計画」 PostgreSQL: 223 ページの 「PostgreSQL および Tomcat のインストールの計画」 リモートローダ : 125 ページの 「エンジン、ドライバ、およびプラグインのインストー ルの計画」 Tomcat: 223 ページの 「PostgreSQL および Tomcat のインストールの計画」 シングルサインオンアクセス (OSP): 235 ページの 「Identity Manager 用のシングルサ インオンおよびパスワード管理のインストールの計画」 注 : NetIQ では、インストールプロセスで作成する各アカウントを書き留めておくことをお 勧めします。 46 13. デフォルトの設定で Identity Manager をインストールするには、『NetIQ Identity Manager Integrated Installation Guide』を参照してください。 NetIQ Identity Manager セットアップガイド チェックリストの項目 5.2 14. Identity Manager コンポーネントをアクティベートします。詳細については、443 ページの 第 50 章「Identity Manager のアクティベート」を参照してください。 統合およびスタンドアロンインストールプロセスの 理解 NetIQ には、ご使用の環境において Identity Manager をインストールおよび設定するための 2 つの 方法、統合インストールプログラムとスタンドアロンインストールプログラムがあります。このセ クションは、ご使用の環境でどちらのプロセスを使用するかを判断するために役立ちます。 47 ページのセクション 5.2.1「統合インストールプロセスの理解」 47 ページのセクション 5.2.2「スタンドアロンインストールプロセスの理解」 5.2.1 統合インストールプロセスの理解 NetIQ では、Identity Manager を評価する場合、またはテスト環境を作成する場合は、このプロセ スを使用することをお勧めします。統合インストールプログラムでは、必要なすべてのコンポーネ ントが 1 つのインストールプロセスにバンドルされています。このプロセスでは、次のようなこと が可能です。 識別ボールトの事前定義ツリー構造など、ほとんどの設定のデフォルト値を適用する すべてのコンポーネントを 1 台のコンピュータまたは小規模な分散環境にインストールする すべてのドライバをインストールし、Identity Manager エンジンの設定を指定するときにドラ イバセットを別のパーティションとして作成する すべての iManager プラグインをインストールする すべてのデータベースに PostgreSQL を使用する すべてのアプリケーションサーバに Apache Tomcat を使用する サーバのプラットフォームをチェックして、サポートされているバージョンであることを確認 する クラスタ環境では使用できません。 運用環境では使用できません。 以前のバージョンの Identity Manager をアップグレードするためには使用できません。 詳細については、『NetIQ Identity Manager Integrated Installation Guide』を参照してください。 5.2.2 スタンドアロンインストールプロセスの理解 このオプションは、識別情報管理ソリューションのステージング環境または運用環境で使用するこ とをお勧めします。スタンドアロンインストールプログラムでは、より柔軟に使用環境を設定でき ます。たとえば、識別ボールトなど、多くの Identity Manager コンポーネントは、データ集約型で あり、別々のサーバにインストールする必要があります。 スタンドアロンインストールプロセスでは、次のようなことが可能です。 識別ボールトのツリー構造など、コンポーネント設定をカスタマイズできる 計画の概要 47 分散環境およびクラスタ環境にインストールできるにする ドライバを選択し、識別情報管理ソリューションに追加するドライバセットを作成できる 識別情報管理ソリューションに追加する iManager プラグインを選択できる 非 root アカウントを使用して一部のコンポーネントをインストールできる 複数のデータベースプラットフォームをサポートする 複数のアプリケーションサーバをサポートする サポートされる運用環境を構築する 以前のバージョンの Identity Manager をアップグレードするために使用できます。 最適な結果を得るために、識別情報管理ソリューションで指定されている順番でスタンドアロンイ ンストールプログラムを実行します。詳細については、48 ページのセクション 5.3「推奨されるイ ンストールシナリオとサーバセットアップ」を参照してください。 5.3 推奨されるインストールシナリオとサーバセット アップ スタンドアロンインストールを実行する場合は、コンポーネントを、特定の順番で特定のサーバに インストールする必要があります。順番は、使用するイベント監査サービスのタイプ、および Identity Reporting を含めるかどうかによって異なります。一部のコンポーネントのインストールプ ログラムでは、その前にインストールされたコンポーネントに関する情報が必要です。たとえば、 Identity Reporting では、イベント監査サービスおよび識別情報アプリケーションへのアクセスが必 要となります。 このセクションは、監査およびレポーティングの特定のシナリオに応じて、インストールの順番お よびサーバタイプを判断するために役立ちます。 48 ページのセクション 5.3.1「Identity Manager におけるレポーティングなしの、外部監査サー ビスへのイベントの送信」 49 ページのセクション 5.3.2「Identity Manager へのイベントの送信およびレポートの生成」 49 ページのセクション 5.3.3「Identity Manager にイベントをプッシュする前に外部サービスに イベントを送信」 50 ページのセクション 5.3.4「推奨されるサーバセットアップ」 51 ページのセクション 5.3.5「Identity Manager のオペレーティングシステムプラットフォーム の選択」 5.3.1 Identity Manager におけるレポーティングなしの、外部監査 サービスへのイベントの送信 このシナリオでは、NetIQ Sentinel などのサービスを使用して、Identity Manager で発生するイベン トを監査することを計画します。Identity Manager でレポートを生成することは計画していません。 次の順番でコンポーネントをインストールします。 1. 外部監査サービス (Sentinel など ) 2. 識別ボールト 3. Identity Manager エンジン、ドライバ、および iManager プラグイン 4. ( オプション ) iManager 48 NetIQ Identity Manager セットアップガイド 5. Designer 6. Tomcat および PostgreSQL 7. OSP および SSPR 8. 識別情報アプリケーション 9. ( オプション ) Analyzer 5.3.2 Identity Manager へのイベントの送信およびレポートの生成 このシナリオでは、Identity Manager に標準装備されている NetIQ イベント監査サービスを使用し て Identity Manager を監査することを計画します。それらのイベントのレポートを生成することも 可能です。次の順番でコンポーネントをインストールします。 1. 識別ボールト 2. Identity Manager エンジン、ドライバ、および iManager プラグイン 3. ( オプション ) iManager 4. Designer 5. イベント監査サービス 6. Tomcat および PostgreSQL 7. OSP および SSPR 8. 識別情報アプリケーション 9. Identity Reporting 10. ( オプション ) Analyzer 5.3.3 Identity Manager にイベントをプッシュする前に外部サービス にイベントを送信 このシナリオでは、Sentinel などのサービスを使用して、Identity Manager を監査することを計画 します。ただし、レポーティングのために、Identity Manager のイベント監査サービスにいくつか のイベントをプッシュすることも可能です。次の順番でコンポーネントをインストールします。 1. 外部監査サービス (Sentinel など ) 2. 識別ボールト 3. Identity Manager エンジン、ドライバ、および iManager プラグイン 4. ( オプション ) iManager 5. Designer 6. Tomcat および PostgreSQL 7. OSP および SSPR 8. 識別情報アプリケーション 9. NetIQ イベント監査サービス 10. Identity Reporting 11. ( オプション ) Analyzer 計画の概要 49 5.3.4 推奨されるサーバセットアップ 一般的な運用環境では、Identity Manager を 7 台以上のサーバと、クライアントワークステーショ ンにインストールすることが考えられます。次に例を示します。 コンピュータのセットアップ コンポーネントのセットアップ サーバ 1 および 2 (2 サーバのディレクトリレプリカ ) 識別ボールト サーバ 3 および 4 (2 サーバのクラスタ ) 識別情報アプリケーション Identity Manager エンジン iManager One SSO Provider リモートローダ セルフサービスパスワードリセット サーバ 5 ( またはサーバのクラスタ ) Identity Manager データベース : 識別情報アプリケーション Identity Reporting サーバ 6 ( クラスタ外 ) Identity Reporting Server 7 イベント監査サービス クライアントワークステーション (1 台以上 ) Designer iManager ワークステーション 識別情報アプリケーションおよびレポーティン グにアクセスするインターネットブラウザ 50 NetIQ Identity Manager セットアップガイド 5.3.5 Identity Manager のオペレーティングシステムプラットフォー ムの選択 Identity Manager コンポーネントは、さまざまなオペレーティングシステムプラットフォームにイ ンストールできます。次の表は、識別情報管理ソリューションで使用するサーバの決定に役立ちま す。 Platform コンポーネント Open Enterprise Server (OES) イベント監査サービス 識別情報アプリケーション Identity Manager エンジン Identity Reporting 識別ボールト iManager ( サーバ ) One SSO Provider PostgreSQL リモートローダ セルフサービスパスワードリセット Tomcat openSUSE Analyzer Designer iManager ワークステーション ( クライアント ) Red Hat Linux Server (RHEL) イベント監査サービス 識別情報アプリケーション Identity Manager エンジン Identity Reporting 識別ボールト iManager ( サーバ ) One SSO Provider PostgreSQL リモートローダ セルフサービスパスワードリセット Tomcat 計画の概要 51 Platform コンポーネント SUSE Linux Enterprise Server (SLES) Analyzer イベント監査サービス Designer 識別情報アプリケーション Identity Manager エンジン Identity Reporting 識別ボールト iManager ( サーバ ) One SSO Provider リモートローダ セルフサービスパスワードリセット PostgreSQL Tomcat Windows デスクトップ Analyzer Designer iManager ワークステーション ( クライアント ) 識別情報アプリケーションおよび Identity Reporting へのブラウザアクセス Windows Server Analyzer Designer 識別情報アプリケーション Identity Manager エンジン Identity Reporting 識別ボールト iManager ( サーバ ) One SSO Provider PostgreSQL リモートローダ セルフサービスパスワードリセット Tomcat システム要件および前提条件の詳細については、次のセクションを参照してください。 405 ページの 「Analyzer のインストールの計画」 213 ページの 「Designer のインストールの計画」 52 NetIQ Identity Manager セットアップガイド 349 ページの 「Identity Reporting のインストールの計画」 247 ページの 「識別情報アプリケーションのインストールのプラニング」 125 ページの 「エンジン、ドライバ、およびプラグインのインストールの計画」 349 ページの 「Identity Reporting のインストールの計画」 63 ページの 「識別ボールトのインストール」 183 ページの 「iManager のインストールの計画」 235 ページの 「Identity Manager 用のシングルサインオンおよびパスワード管理のインストー ルの計画」 125 ページの 「エンジン、ドライバ、およびプラグインのインストールの計画」 223 ページの 「PostgreSQL および Tomcat のインストールの計画」 235 ページの 「Identity Manager 用のシングルサインオンおよびパスワード管理のインストー ルの計画」 5.4 ライセンスおよびアクティベーションの理解 Identity Manager の評価版をインストールし、90 日間無料で使用できます。ただし、インストール してから 90 日以内に Identity Manager コンポーネントをアクティベートする必要があります。そ うしないと、それらのコンポーネントは機能しなくなります。90 日間の評価期間内またはその後に 製品ライセンスを購入し、Identity Manager をアクティベートできます。詳細については、 443 ページの第 50 章「Identity Manager のアクティベート」を参照してください。 Identity Manager の製品ライセンスを購入するには、NetIQ Identity Manager の購入方法に関する Web サイトを参照してください。製品のライセンスをご購入になると、NetIQ よりカスタマ ID が 送信されます。電子メールには、プロダクトアクティベーションキーを入手可能な NetIQ Web サイ トの URL も含まれています。ご自分のカスタマ ID を思い出せない場合、またはカスタマ ID を受け 取っていない場合は、担当者までお問い合わせください。 5.5 Identity Manager の通信の理解 Identity Manager コンポーネント間で正しい通信が行われるようにするために、NetIQ では、次の 表に記載されているデフォルトポートを開くことをお勧めします。 注 : デフォルトポートがすでに使用されている場合は、Identity Manager コンポーネント用に別の ポートを指定してください。 ポート番号 コンポーネントコ ンピュータ ポートの使用 389 識別ボールト Identity Manager コンポーネントとの平文での LDAP 通信に使用され ます。 435 Identity Reporting SMTP メールサーバとの通信に使用されます。 524 識別ボールト NetWare Core Protocol (NCP) 通信に使用されます。 636 識別ボールト Identity Manager コンポーネントとの TLS/SSL による LDAP 通信に使 用されます。 計画の概要 53 ポート番号 コンポーネントコ ンピュータ ポートの使用 5432 識別情報アプリ ケーション 識別情報アプリケーションデータベースとの通信に使用されます。 7707 Identity Reporting Managed System Gateway ドライバによって、識別ボールトとの通信 に使用されます。 8000 リモートローダ TCP/IP 通信のためにドライバインスタンスによって使用されます。 注 : リモートローダの各インスタンスには一意のポートが割り当てら れる必要があります。 8005 識別情報アプリ ケーション Tomcat によって、シャットダウンコマンドのリスンに使用されます。 8009 識別情報アプリ ケーション アプリケーションサーバによって、HTTP ではなく AJP プロトコルを 使用した Web コネクタとの通信に使用されます。 8028 識別ボールト NCP 通信との平文での HTTP 通信に使用されます。 8030 識別ボールト NCP 通信との HTTPS 通信に使用されます。 8080 識別情報アプリ ケーション アプリケーションサーバによって、平文での HTTP 通信に使用されま す。 iManager 8090 リモートローダ リモートローダによって、リモートインタフェースシムからの TCP/ IP 接続のリスンに使用されます。 注 : リモートローダの各インスタンスには一意のポートが割り当てら れる必要があります。 識別情報アプリ ケーション 統合インストールプロセスの使用時にのみ適用されます。 8180 識別情報アプリ ケーション 識別情報アプリケーションが実行されているアプリケーションサーバ (JBoss など ) によって、HTTP 通信に使用されます。 8443 識別情報アプリ ケーション アプリケーションサーバによって、HTTPS (SSL) 通信、または SSL 通 信に対する要求のリダイレクトに使用されます。 8109 アプリケーションサーバによって、HTTP ではなく AJP プロトコルを 使用した Web コネクタとの通信に使用されます。 iManager 識別情報アプリ ケーション デフォルトではリスンしません。 9009 iManager Tomcat によって MOD_JK に使用されます。 15432 Identity Reporting イベント監査サービスの PostgreSQL データベースで使用されます。 45654 ユーザアプリケー ション JBoss または WebSphere がクラスタグループとともに実行されている 場合、識別情報アプリケーションのデータベースがインストールされ ているサーバによって、通信のリスンに使用されます。 8543 54 TLS/SSL プロトコルを使用していないときに、アプリケーションサー バによって、SSL 転送を求める要求のリダイレクトに使用されます。 NetIQ Identity Manager セットアップガイド 5.6 言語サポートの理解 NetIQ では、Identity Manager およびそのインストールプログラムのインタフェースは翻訳 ( ローカ ライズ ) されており、ご使用のローカルコンピュータのオペレーティングシステム言語をサポート します。ただし、すべての言語をサポートすることはできません。インストール時、一部のインス トールプログラムは、コンピュータのロケールをチェックして、インストールプロセスの言語を判 断します。 特定の言語でインストールプログラムを実行するには、Windows で[地域の設定]オプションを使 用してロケールを変更します。Linux では、プロファイルまたはコマンドラインで LANG 変数を設 定します。 5.6.1 翻訳されているコンポーネントおよびインストールプログラム 次の表に、コンポーネントのインストールごとに使用可能な翻訳を示します。この表に記載されて いないコンポーネントは、英語版のみ使用可能です。コンポーネントがオペレーティングシステム の言語に翻訳されていない場合、プログラムはデフォルトで英語になります。また、インストール プログラムのエンドユーザ使用許諾契約が、サポートされているすべての言語では使用できない場 合もあります。 ロケール Designer Identity Manager エン ジン iManager iManager プラ グイン 識別情報アプ リケーション 簡体字中国語 ○ ○ ○ ○ ○ 繁体字中国語 ○ ○ ○ ○ ○ デンマーク語 – – – – ○ オランダ語 ○ – – – ○ 英語 ○ ○ ○ ○ ○ フランス語 ○ ○ ○ ○ ○ ドイツ語 ○ ○ ○ ○ ○ イタリア語 ○ – ○ – ○ 日本語 ○ ○ ○ ○ ○ ポルトガル語 ( ブ ラジル ○ – ○ – ○ ロシア語 – – ○ – ○ スペイン語 ○ – ○ – ○ スウェーデン語 – – – – ○ 計画の概要 55 識別情報アプリケーションは、RBPM、Home and Provisioning Dashboard、Catalog Administrator、 Identity Reporting、および Identity Approvals の総称です。 5.6.2 言語サポートに関する特別な考慮事項 NetIQ では、Identity Manager の翻訳バージョンを使用するかどうかを判断する際に、次の考慮事 項を確認することをお勧めします。 一般に、Identity Manager コンポーネントがオペレーティングシステムの言語をサポートして いない場合、コンポーネントのインタフェースはデフォルトで英語になります。たとえば、 Identity Manager ドライバは、Identity Manager エンジンと同じ言語で使用可能です。Identity Manager がドライバの言語をサポートしていない場合、ドライバ設定はデフォルトで英語にな ります。 次の iManager プラグインは、前記の表に記載されている言語に加えて、スペイン語、ロシア 語、イタリア語、およびポルトガル語でも使用できます。 Linuxオペレーティングシステムを実行しているコンピュータにDesignerをインストールする場 合は、gettext ユーティリティをインストールする必要があります。GNU gettext ユーティリ ティにより、国際化および多言語のメッセージに対応するためのフレームワークが提供されて います。 Identity Manager コンポーネントのインストールプログラムを起動する場合、次の条件が適用 されます。 オペレーティングシステムが、インストールプログラムでサポートされている言語である 場合、プログラムはデフォルトでその言語になります。ただし、インストールプロセス用 に別の言語を指定することができます。 インストールプログラムがオペレーティングシステムの言語をサポートしていない場合、 インストールプログラムはデフォルトで英語になります。 オペレーティングシステムがラテン語由来の言語を使用している場合、インストールプロ グラムでは、ラテン語由来の言語をどれでも指定できます。 オペレーティングシステムがサポートされているアジア由来の言語またはロシア語を使用 している場合、インストールプログラムでは、オペレーティングシステムに一致する言語 または英語のみを指定できます。 5.7 インストールファイルのダウンロード NetIQ では、完全な Identity Manager インストールのためのすべてのコンポーネントを含む ISO ファイルを提供しています。各ファイルには、製品のバージョンが含まれています。ISO ファ イルの名前により、プラットフォームが識別されます。たとえば、Identity_Manager_version_Linux.iso のようになります。 注 : ISO イメージは大きなファイルです。それらのファイルは、そのサイズに対応しているボ リュームまたは DVD にダウンロードするようにしてください。 Identity Manager インストールファイルをダウンロードするには : 1 NetIQ のダウンロードの Web サイトに移動します。 2 [製品または技術]メニューで、 [ Identity Manager]を選択し、[検索]をクリックします。 56 NetIQ Identity Manager セットアップガイド 3 NetIQ Identity Manager のダウンロードページで、ダウンロードする ISO ファイルの横の[ダ ウンロード]ボタンをクリックします。 4 画面の指示に従って、ファイルをコンピュータ上のディレクトリにダウンロードします。 5 ダウンロードされた .iso ファイルをボリュームとしてマウントするか、.iso ファイルを使用し てソフトウェアの DVD を作成します。 計画の概要 57 58 NetIQ Identity Manager セットアップガイド 6 インストールに関する考慮事項および前提 条件 6 このセクションでは、Identity Manager コンポーネントをホストするコンピュータの一般的な前提 条件について説明します。一般に、ご使用の環境で完全な識別情報管理を実現できるようにするた めに、コンポーネントをすべてインストールする必要があります。ただし、Analyzer や iManager など、すべてのコンポーネントが必要というわけではありません。 59 ページのセクション 6.1「クラスタ環境での Identity Manager のインストール」 60 ページのセクション 6.2「RHEL 6.x サーバへの Identity Manager のインストール」 6.1 クラスタ環境での Identity Manager のインストール 一部の Identity Manager コンポーネントは、SUSE Linux Enterprise Server (SLES) 11 SP3 以降 ( 最 新のパッチが適用済み ) を実行しているサーバ上のクラスタ環境に展開できます。Identity Manager は、デフォルトで eDirectory プロセススペース内で実行される、ほぼ Java ベースのアプリケー ションです。eDirectory をクラスタ環境で実行する場合、Identity Manager エンジンもクラスタ化さ れます。 Identity Manager コンポーネントをクラスタ環境にインストールできるかどうかを判断するには、 59 ページの第 6 章「インストールに関する考慮事項および前提条件」で該当するコンポーネントの システム要件を参照してください。たとえば、ユーザアプリケーションは、クラスタ環境のアプリ ケーションサーバで実行できます。リモートローダもクラスタ環境に展開できます。Identity Reporting は、クラスタ環境のサーバにインストールすることはできません。 Identity Manager 環境のネットワークリソースの可用性を管理するには、SUSE Linux Enterprise High Availability Extension を使用します。High Availability により、データ、アプリケーション、 サービスなどの重要なネットワークリソースを効率的に管理できます。さらに、指定の任意の時点 で 1 つのノードのみがアクティブであることを確実にすることができます。High Availability Extension には、Corosync/Pacemaker メッセージングおよびメンバーシップ層が標準装備されてお り、クラスタリソースマネージャ (CRM) として Pacemaker が使用されます。Pacemaker は、 eDirectory の仮想 IP アドレスを管理し、それらをクラスタの最適なノードに動的に割り当てます。 それらの IP アドレスを使用するように eDirectory を設定する必要があります。 High Availability サービスを設定および有効化するには、NetIQ のダウンロード Web サイトから SUSE Linux Enterprise High Availability Extension ISO ファイルをダウンロードします。ノードでの High Availability の設定および有効化の詳細については、『SUSE Linux Enterprise High Availability Extension 11 SP2 High Availability Guide』を参照してください。 インストールに関する考慮事項および前提条件 59 6.2 RHEL 6.x サーバへの Identity Manager のインス トール Identity Manager を、Red Hat Enterprise Linux 6.x オペレーティングシステムを実行しているサー バにインストールするには、サーバが特定の前提条件セットを満たしていることを確認します。 60 ページのセクション 6.2.1「RHEL 6.x にインストールするための前提条件」 60 ページのセクション 6.2.2「RHEL 6.x での前提条件チェックの実行」 60 ページのセクション 6.2.3「RHEL 6.x サーバに必要な依存ライブラリがあることの確認」 61 ページのセクション 6.2.4「インストールメディア用のリポジトリの作成」 6.2.1 RHEL 6.x にインストールするための前提条件 NetIQ では、次の前提条件を確認することをお勧めします。 /etc/hosts ファイルに、127.0.0.1 ループバックアドレスおよび実際の IP アドレスのエントリが含 まれている必要があります。ファイル内のループバックアドレスをコメント化してください。 次の形式を使用してください。 127.0.0.1 localhost.localdomain localhost IP_address hostname #loopback 次に例を示します。 127.0.0.1 localhost.localdomain localhost 123.45.678.9 server1 #loopback エントリをコメント化しないと、プロセスによって 127.0.0.2 ループバックアドレスのデフォ ルト IP 証明書が作成されるため、設定は失敗します。 サーバに適切なライブラリをインストールします。詳細については、60 ページのセクション 6.2.3「RHEL 6.x サーバに必要な依存ライブラリがあることの確認」を参照してください。 6.2.2 RHEL 6.x での前提条件チェックの実行 各 Identity Manager コンポーネントで満たされていない前提条件のレポートを生成できます。II-rhelPrerequisite.sh スクリプトを実行します。このスクリプトは、デフォルトでインストールキットの install\utilities ディレクトリにあります。 6.2.3 RHEL 6.x サーバに必要な依存ライブラリがあることの確認 32 ビット RHEL プラットフォームで、compat-libstdc++-33-3.2.3-69.el6.i686.rpm をインストールしま す。64 ビットプラットフォームでは、RHEL の必須ライブラリは、選択したインストール方法に よって異なります。記載されている順番で依存ライブラリをインストールします。 ガイド付きインストール (GUI): libXau-1.0.6-4.el6.i686.rpm libxcb-1.8.1-1.el6.i686.rpm libX11-1.5.0-4.el6.i686.rpm libXext-1.3.1-2.el6.i686.rpm 60 NetIQ Identity Manager セットアップガイド libXi-1.6.1-3.el6.i686.rpm libXtst-1.2.1-2.el6.i686.rpm glibc-2.12-1.132.el6.i686.rpm libstdc++-4.4.7-4.el6.i686.rpm libgcc-4.4.7-4.el6.i686.rpm compat-libstdc++-33-3.2.3-69.el6.x86_64.rpm compat-libstdc++-33-3.2.3-69.el6.i686.rpm libXrender-0.9.7-2.el6.i686.rpm ksh-20120801-4mgc30.x86_64.rpm Designer および Analyzer のみ gettext-0.18.3.2-1.x86_64.rpm gettext-0.18.3.111.ram0.98.i686.rpm コマンドラインインストール ( コンソールまたはサイレント ): glibc-2.12-1.7.el6.i686.rpm libstdc++-4.4.4-13.el6.i686.rpm libgcc-4.4.4-13.el6.i686.rpm compat-libstdc++-33-3.2.3-69.el6.x86_64.rpm compat-libstdc++-33-3.2.3-69.el6.i686.rpm libXrender-0.9.7-2.el6.i686.rpm ksh-20120801-4mgc30.x86_64.rpm 6.2.4 インストールメディア用のリポジトリの作成 RHEL 6.x サーバでインストールメディア用のリポジトリが必要な場合、手動で作成できます。 注 RHEL サーバに、適切なライブラリがインストールされていることも必要です。詳細について は、60 ページのセクション 6.2「RHEL 6.x サーバへの Identity Manager のインストール」を 参照してください。 unzip rpm は、Identity Manager のインストール前にインストールしてください。これは、すべ ての Linux プラットフォームに該当します。 インストールのためのリポジトリを設定するには : 1 ( オプション ) ISO をサーバにコピーする場合、次のコマンドを実行します。 #mount-o loop <path to iso>/mnt/rhes65 2 ( オプション ) CD または DVD、およびサーバにコピーする場合、次のコマンドを実行します。 #mount /dev/cdrom/mnt/rhes65 3 ( オプション ) ISO をマウントしてある場合、/etc/yum.repos.d という場所にリポジトリファイル を作成し、次の設定手順を実行します : インストールに関する考慮事項および前提条件 61 #vi/etc/yum.repos.d/rhes.repo [redhat-enterprise] name=RedHat Enterprise $releasever - $basearch baseurl=file:///mnt/rhes65/ enabled=1 4 ( オプション ) インストールサーバを使用している場合、vi /etc/yum.repos.d/rhes.repo に次のテキ ストを入力します。 [redhat-enterprise] name=RedHat Enterprise $releasever - $basearch baseurl=url_to_the_installation source enabled=1 5 リポジトリの設定が終わったら、次のコマンドを実行します。 # yum clean all # yum repolist # yum makecache 6 32 ビットパッケージをインストールするには、/etc/yum.conf ファイルの「exactarch=1」を 「exactarch=0」に変更します。 7 GPG キーをインストールするには、次のコマンドのいずれかを入力します。 # rpm --import /mnt/rhes65/RPM-GPG-KEY-redhat-release または # rpm --import http://url/RPM-GPG-KEY-redhat-release 8 ( オプション ) Identity Manager の必須パッケージをインストールするには、次のスクリプトを 実行します。 #!/bin/bash PKGS="ksh gettext.i686 gettext.x86_64 libXrender.i686 libXau.i686 libxcb.i686 libX11.i686 libXext.i686 libXi.i686 libXtst.i686 glibc.i686 libstdc++.i686 libgcc.i686 compat-libstdc++-33.i686 compat-libstdc++-33.x86_64" for PKG in $PKGS ; do yum -y install "$PKG" done 注 : 64 ビットリポジトリを変更して、RPM を別個にインストールしていない限り、このスク リプトは、32 ビットリポジトリで compat-libstdc++-33.x86_64 ライブラリを見つけることはでき ません。 62 NetIQ Identity Manager セットアップガイド III I 識別ボールトのインストール このセクションでは、識別ボールトの必須コンポーネントのインストールプロセスについて説明し ます。識別ボールトには、ドライバ設定、パラメータ、ポリシーなど、Identity Manager 固有の情 報が格納されます。 インストールファイルは、Identity Manager インストールパッケージの .iso イメージファイル内の products/eDirectory/processor_type/ ディレクトリにあります。デフォルトでは、インストールプログ ラムにより、識別ボールトが次の場所にインストールされます。 Linux: /opt/novell/eDirectory Windows: C:\Novell\Directory インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細について は、65 ページの第 7 章「識別ボールトのインストールの計画」を参照してください。 識別ボールトのインストール 63 64 NetIQ Identity Manager セットアップガイド 7 7 識別ボールトのインストールの計画 このセクションでは、識別ボールトのインストールに必要な前提条件、考慮事項、およびシステム 設定について説明します。まず、次のチェックリストを参照してインストールプロセスを理解しま す。 65 ページのセクション 7.1「識別ボールトのインストールに関するチェックリスト」 66 ページのセクション 7.2「識別ボールトのインストールに関する前提条件と考慮事項」 70 ページのセクション 7.3「eDirectory の Identity Manager オブジェクトの理解」 71 ページのセクション 7.4「Identity Manager がサーバで必要とするオブジェクトの複製」 72 ページのセクション 7.5「スコープフィルタリングを使用した異なるサーバ上のユーザの管 理」 74 ページのセクション 7.6「識別ボールトインストールキットの Linux パッケージの理解」 77 ページのセクション 7.7「識別ボールトのシステム要件」 7.1 識別ボールトのインストールに関するチェックリス ト NetIQ では、次のチェックリストの手順を実行することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、30 ページの セクション 3.3.1「識別ボールト」を参照してください。 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 50 ページのセクション 5.3.4「推奨されるサーバセットアップ」を参照してください。 3. 識別ボールトをインストールする前に、イベント監査サービスをインストールする必要があ るかどうかを判断します。詳細については、48 ページのセクション 5.3「推奨されるインス トールシナリオとサーバセットアップ」を参照してください。 4. 識別ボールトのインストールに関する考慮事項を検討して、コンピュータが前提条件を満た していることを確認します。詳細については、66 ページのセクション 7.2「識別ボールトの インストールに関する前提条件と考慮事項」を参照してください。 5. 識別ボールトをホストするコンピュータのハードウェアおよびソフトウェア要件を確認しま す。詳細については、77 ページのセクション 7.7「識別ボールトのシステム要件」を参照し てください。 6. 識別ボールトのコンテナ名にピリオド (「.」) が含まれている場合は、エスケープ文字の使 用方法について理解します。詳細については、79 ページのセクション 8.1「コンテナ名にピ リオド (「.」) が含まれている場合のエスケープ文字の使用」を参照してください。 7. IPv6 アドレスを使用する環境における識別ボールトの使用方法について理解します。詳細 については、85 ページのセクション 8.4「識別ボールトサーバでの IPv6 アドレスの使用」 を参照してください。 識別ボールトのインストールの計画 65 チェックリストの項目 8. LDAP 通信に必要なポートについて理解します。詳細については、87 ページのセクション 8.5「識別ボールトと通信するための LDAP の使用」を参照してください。 9. サービスロケーションプロトコル (SLP) サービスがインストール済みであり、かつ SLPDA が安定しているか、hosts.nds ファイルが設定済みであることを確認します。詳細について は、80 ページのセクション 8.2「ツリー名を解決するための OpenSLP または hosts.nds の 使用」を参照してください。 10. ( 状況によって実行 ) 識別ボールトを非 root ユーザとしてインストールするには、ご使用の 環境がインストール条件を満たしていることを確認します。詳細については、68 ページの セクション 7.2.2「非 root ユーザとしての識別ボールトのインストールに関する前提条件」 を参照してください。 11. ( 状況によって実行 ) Linux サーバにインストールするには、次のセクションのいずれかを参 照してください。 root としてインストールするには、93 ページのセクション 9.1「root としての識別ボー ルトのインストール」を参照してください。 非 root ユーザとしてインストールするには、95 ページのセクション 9.2「非 root ユーザ としての識別ボールトのインストール」を参照してください。 12. ( 状況によって実行 ) Windows サーバにインストールするには、次のセクションのいずれか を参照してください。 ガイド付きインストール ( ウィザード ) については、97 ページのセクション 10.1「ウィ ザードを使用した、Windows サーバへの識別ボールトのインストール」を参照してく ださい。 サイレントインストール ( 無人インストール ) については、98 ページのセクション 10.2 「Windows サーバへの識別ボールトのサイレントインストールと設定」を参照してくだ さい。 7.2 13. ( オプション ) ウイルス対策またはバックアップソフトウェアプロセスから、 eDirectory サーバ上の DIB ディレクトリを除外します。 14. ( オプション ) DIB ディレクトリをバックアップします。詳細については、『NetIQ eDirectory 8.8 SP8 管理ガイド』の「Backing Up and Restoring NetIQ eDirectory」を参照し てください。 15. Identity Manager エンジンをインストールします。詳細については、131 ページの第 14 章 「エンジン、ドライバ、およびプラグインのインストールの準備」を参照してください。 識別ボールトのインストールに関する前提条件と考 慮事項 識別ボールトでは、ディレクトリを使用して、Identity Manager ソリューションを通じて同期され たオブジェクトを格納します。次のセクションでは、識別ボールトのフレームワークとして使用す る NetIQ eDirectory の展開の計画に役立つガイドラインを示します。 67 ページのセクション 7.2.1「識別ボールトのインストールに関する前提条件」 68 ページのセクション 7.2.2 「非 root ユーザとしての識別ボールトのインストールに関する前提 条件」 66 NetIQ Identity Manager セットアップガイド 69 ページのセクション 7.2.3 「Windows サーバに識別ボールトをインストールする場合の前提条 件」 70 ページのセクション 7.2.4「クラスタ環境への識別ボールトのインストールに関する前提条 件」 7.2.1 識別ボールトのインストールに関する前提条件 NetIQ では、識別ボールトのフレームワークとして eDirectory をインストールする前に、次の考慮 事項を確認することをお勧めします。 eDirectory をインストールする前に、ツリー名をサーバ参照に解決する方法を用意する必要が あります。NetIQ では、SLP ( サービスロケーションプロトコル ) サービスを使用することを お勧めします。NetIQ eDirectory のバージョン 8.8 より前のリリースでは SLP もインストール されていました。ただし、バージョン 8.8 以上では、SLP は別途インストールする必要があり ます。フラットファイル hosts.nds を使用してツリー名を解決することもできます。詳細につい ては、80 ページのセクション 8.2「ツリー名を解決するための OpenSLP または hosts.nds の 使用」を参照してください。 ( 状況によって実行 ) Linux サーバにインストールする場合は、マルチキャストルーティング用の ホストを有効にする必要があります ( ルーティングテーブルの 224.0.0.0)。たとえば、次のコ マンドを入力します。 route add -net 224.0.0.0 netmask 240.0.0.0 dev interface ここで、interface は、ネットワークインタフェースカードに応じて、eth0、hme0、hme1、 hme2 などの値に置き換えます。 効率的なパフォーマンスが得られるよう、eDirectory インフラストラクチャ用のサーバには静 的 IP アドレスを設定する必要があります。サーバで DHCP アドレスを使用すると、eDirectory で予測不可能な結果が発生する可能性があります。 すべてのネットワークサーバ間で時刻を同期します。NetIQ では、Network Time Protocol (NTP) の ntp オプションを使用することをお勧めします。 ( 状況によって実行 ) セカンダリサーバをインストールするには、製品をインストールするパー ティション内のレプリカがすべて、オンの状態になっている必要があります。 ( 状況によって実行 ) 管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストー ルするには、コンテナを作成し、そのコンテナをパーティションで分割します。次の権限を 持っていることを確認します。 サーバを追加するパーティションに対するスーパバイザ権。 (Windows) サーバを追加するコンテナに対するスーパバイザ権。 すべての属性権 : W0.KAP.Security オブジェクトに対する読み込み権、比較権、および書き 込み権。 属性権 : Security コンテナオブジェクトに対する読み込み権および比較権。 エントリ権 : Security コンテナオブジェクトに対するブラウズ権。 これらの権限は、レプリカ数が 3 未満の場合にレプリカを追加するために必要です。 ( 状況によって実行 ) 管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストー ルするには、ツリー内の少なくとも 1 台のサーバの eDirectory バージョンが、コンテナ管理者 として追加されるセカンダリの eDirectory バージョンと同じかそれ以上である必要がありま す。追加されるセカンダリのバージョンのほうが新しい場合、ツリーの管理者は、コンテナ管 理者を使用してセカンダリを追加する前に、スキーマを拡張する必要があります。 識別ボールトのインストールの計画 67 セカンダリサーバを追加できるように、eDirectory の設定中に、ファイアウォールの NetWare Core Protocol (NCP) ポート ( デフォルトは 524) を有効にする必要があります。さらに、必要 に応じて、次のデフォルトサービスポートも有効にできます。 LDAP ( 平文 ) - 389 LDAP ( 平文 ) - 636 HTTP ( 平文 ) - 8028 HTTP ( 平文 ) - 8030 iManager など、eDirectory の管理ユーティリティを使用して、すべてのワークステーションに Novell International Cryptographic Infrastructure (NICI) をインストールする必要があります。 NICI および eDirectory でサポートされているキーサイズは、最大 4,096 ビットです。 Linux では、識別ボールトのインストールプログラム nds-install により、自動的に NICI がイン ストールされます。ただし、NICI を手動でインストールすることもできます。詳細について は、『NetIQ eDirectory Installation Guide』の「Installing NICI」を参照してください。 ( 状況によって実行 ) NICI 2.7 および eDirectory 8.8.x でサポートされているキーサイズは、最大 4,096 ビットです。4KB のキーサイズを使用するには、すべてのサーバを、サポートされてい る eDirectory のバージョンにアップグレードする必要があります。また、iManager や ConsoleOne などの管理ユーティリティを使用して、すべてのワークステーションに NICI 2.7 をインストールすることも必要です。 認証局 (CA) サーバを、サポートされている eDirectory のバージョンにアップグレードする場 合、キーサイズは変わらず 2KB になります。4KB のキーサイズを作成するには、アップグ レードされた eDirectory サーバで CA を再作成する必要があります。加えて、CA 作成時に、 キーサイズのデフォルトを 2KB から 4KB に変更する必要があります。 ( 状況によって実行 ) eDirectory ツリー内のコンテナの名前にピリオドが含まれている場合は、 インストール時、および既存のツリーにサーバを追加するときに、エスケープ文字を使用し て、管理者名、管理者コンテキスト、およびサーバコンテキストパラメータを指定する必要が あります。詳細については、79 ページのセクション 8.1「コンテナ名にピリオド (「.」) が含 まれている場合のエスケープ文字の使用」を参照してください。 7.2.2 非 root ユーザとしての識別ボールトのインストールに関する前 提条件 非 root ユーザとして識別ボールトをインストールするには、ご使用の環境が次の条件を満たしてい る必要があります。 クラスタ環境では、非 root ユーザとして識別ボールトをインストールすることはできません。 NICI は、root ユーザによってサーバにインストールされる必要があります。詳細については、 89 ページのセクション 8.6「管理ユーティリティがインストールされているワークステーショ ンへの NICI の手動インストール」を参照してください。 SNMP サブエージェント (NOVsubag) は、root ユーザによってサーバにインストールされ、設定 される必要があります。 Novsubag をインストールするには : コマンド「rpm -ivh --nodeps NOVLsubag_rpm_file_name_with_path」を入力します。 SNMP を設定するには : 次のコマンドを使用して、環境変数のパスを手動でエクスポートします。 68 NetIQ Identity Manager セットアップガイド export LD_LIBRARY_PATH=custom_location/opt/novell/eDirectory/lib64:/opt/ novell/eDirectory/lib64/nds-modules:/opt/novell/lib64:$LD_LIBRARY_PATH export PATH=/opt/novell/eDirectory/bin:$PATH export MANPATH=/opt/novell/man:$MANPATH 次に例を示します。 rpm -ivh --nodeps novell-NOVLsubag-8.8.1-5.i386.rpm ( 状況によって実行 ) 識別ボールトサーバ上で SLP および SNMP を使用するには、root としてサー ビスをインストールする必要があります。 識別ボールトをインストールする非 root ユーザアカウントは、インストール先のディレクトリ に対する書き込み権を持っている必要があります。 7.2.3 Windows サーバに識別ボールトをインストールする場合の前 提条件 NetIQ では、Windows サーバに識別ボールトをインストールする前に、次の考慮事項を確認するこ とをお勧めします。 Windows サーバ、およびドメイン対応ユーザオブジェクトを含む eDirectory ツリーのすべての 部分に対する管理権が必要です。既存のツリー内にインストールする場合は、スキーマを拡張 しオブジェクトを作成するために、その Tree オブジェクトに対する管理権が必要です。 ( 状況によって実行 ) サイレントインストール ( 無人インストール ) を実行する前に、ターゲット サーバに次のソフトウェアをインストールする必要があります。 Microsoft Visual C++ 2005 および Microsoft Visual C++ 2012 再頒布可能パッケージ。デフォ ルトでは、インストールファイル vcredist_x86.exe および vcredist_x64.exe は、 eDirectory\Windows\x64\redist_pkg フォルダにあります。 Novell International Cryptographic Infrastructure (NICI) (32 ビットおよび 64 ビットの両方 )。 デフォルトでは、インストールファイルは、eDirectory/Windows/processor_type/nici フォルダ にあります。 FAT ファイルシステムの場合、NTFS に比べてトランザクション処理の安全性が低いため、 eDirectory は NTFS パーティションにのみインストールできます。FAT ファイルシステムしか ない場合は、次のいずれかを実行します。 この作業には、Windows の「ディスクの管理」を使用します。詳細については、 Windows サーバのマニュアルを参照してください。 新しいパーティションを作成し、NTFS としてフォーマットする。 CONVERT コマンドを使って、既存の FAT ファイルシステムを NTFS に変換する。 詳細については、Windows サーバのマニュアルを参照してください。 サーバに FAT ファイルシステムしか存在しないときに上記の措置をとらなかった場合は、イン ストールプログラムによって NTFS パーティションを作成するよう指示されます。 最新バージョンの Windows SNMP サービスを実行している必要があります。 インストールプロセスを開始する前に、Windows オペレーティングシステムが最新のサービス パックを実行していることを確認します。 DHCP アドレスが設定されている仮想マシン、または SLP がブロードキャストでない物理マシ ンまたは仮想マシンにインストールするには、ディレクトリエージェントがネットワークで設 定されていることを確認します。詳細については、81 ページのセクション 8.2.2「OpenSLP の理解」を参照してください。 識別ボールトのインストールの計画 69 7.2.4 クラスタ環境への識別ボールトのインストールに関する前提条 件 NetIQ では、クラスタ環境に識別ボールトをインストールする前に、次の考慮事項を確認すること をお勧めします。 クラスタリングソフトウェアがインストールされている 2 つ以上の Windows サーバまたは Linux サーバが必要です。 すべての識別ボールトおよび NICI データを格納するための十分なディスク容量を持つ、クラス タソフトウェアがサポートしている外部共有ストレージが必要です。 識別ボールト DIB は、クラスタ共有ストレージに存在している必要があります。識別ボー ルトの状態データは、サービスを現在実行しているクラスタノードで使用できるように、 共有ストレージに配置する必要があります。 各クラスタノード上のルート識別ボールトインスタンスは、共有ストレージの DIB を使用 するよう設定する必要があります。 さらに、共有 NICI (NetIQ International Cryptographic Infrastructure) データを共有して、 サーバ固有のキーがクラスタノード間で複製されるようにすることも必要です。すべての クラスタノードが使用する NICI のデータは、クラスタ共有ストレージに配置する必要が あります。 NetIQ では、他のすべての eDirectory 設定およびログデータを共有ストレージに格納するこ とをお勧めします。 仮想 IP アドレスが必要です。 ( 状況によって実行 ) 識別ボールトのサポート構造として eDirectory を使用している場合、ndscluster-config ユーティリティでは、ルート eDirectory インスタンスの設定のみがサポートされ ます。クラスタ環境内での eDirectory の複数インスタンスの環境設定と、eDirectory の非ルー トインストールはサポートされていません。 詳細については、107 ページの第 11 章「クラスタ環境への識別ボールトのインストール」を参照し てください。 7.3 eDirectory の Identity Manager オブジェクトの理解 次のリストは、eDirectory に保存されている主要な Identity Manager オブジェクト、およびそれら が互いにどのように関係しているのかを示しています。インストールプロセスでは、オブジェクト は作成されません。その代わり、Identity Manager ソリューションの設定時に Identity Manager オ ブジェクトを作成します。 ドライバセット : ドライバセットは Identity Manager ドライバおよびライブラリオブジェクト を格納するコンテナです。1 つのサーバで一度にアクティブにできるドライバセットは 1 つだ けです。ただし、複数のサーバを 1 つのドライバセットに関連付ける場合があります。また、 1 つのドライバは同時に複数のサーバと関連付けることができます。ただし、ドライバは一度 に 1 つのサーバでしか実行できません。そのドライバは他のサーバで無効化しておく必要があ ります。ドライバセットに関連付けられているすべてのサーバには、Identity Manager サーバ がインストールされている必要があります。 ライブラリ : ライブラリオブジェクトは共通に使用するポリシーのリポジトリで、複数の場所 から参照できます。ライブラリはドライバセットに保存されます。ドライバセットのすべての ドライバが参照できるようにライブラリにポリシーを配置できます。 70 NetIQ Identity Manager セットアップガイド ドライバ : ドライバは、アプリケーションと識別ボールト間の接続を提供します。また、シス テム間でデータの同期や共有も可能にします。ドライバはドライバセットに保存されます。 ジョブ : ジョブは繰り返して実行されるタスクを自動化します。たとえば、ジョブを使用する ことで、特定の日にアカウントを無効にしたり、ワークフローを開始して会社のリソースに対 するユーザのアクセス権の拡張を要求したりするようにシステムを設定できます。ジョブはド ライバセットに保存されます。 7.4 Identity Manager がサーバで必要とするオブジェク トの複製 Identity Manager 環境で、複数の Identity Manager ドライバを実行するために複数のサーバを呼び 出す場合は、計画において、それらの Identity Manager ドライバを実行するサーバ上で特定の eDirectory オブジェクトが複製されていることを確認してください。 読み込み、または同期を行うためにドライバで必要なオブジェクト、および属性のすべてがフィル タされたレプリカに含まれているのであれば、フィルタされたレプリカを使用することもできます。 Identity Manager のドライバオブジェクトに、同期対象のすべてのオブジェクトに対する十分な eDirectory 権限を付与する必要がある点に注意してください。これは、権限を明示的に付与するか、 必要な権限を持つオブジェクトと同等のドライバオブジェクトセキュリティを作成することにより 行います。 Identity Manager ドライバを実行中の eDirectory サーバ ( または、リモートローダを使用している 場合はドライバが参照している eDirectory サーバ ) はマスタレプリカまたは読み書き可能レプリカ を保持している必要があります。 そのサーバのドライバセットオブジェクト。 Identity Manager が実行されている各サーバには、1 つのドライバセットオブジェクトが必要 です。特定の必要がない限り、複数のサーバを同じドライバセットオブジェクトに関連付けな いでください。 注 : ドライバセットオブジェクトを作成すると、デフォルト設定を使用して独立したパーティ ションが作成されます。NetIQ では、ドライバセットオブジェクトに、独立したパーティショ ンを作成することをお勧めします。Identity Manager を機能させるには、ドライバセットオブ ジェクトの完全なレプリカをサーバが格納している必要があります。ドライバセットオブジェ クトがインストールされている場所の完全なレプリカがサーバにある場合、パーティションは 不要です。 そのサーバのサーバオブジェクト。 サーバオブジェクトは、ドライバがオブジェクトの鍵のペアを生成できるようにするために必 要です。さらに、リモートローダの認証にも必要です。 ドライバのこのインスタンスを同期するオブジェクト。 ドライバは、オブジェクトのレプリカがドライバと同じサーバにない場合は、それらのオブ ジェクトを同期できません。実際に、スコープフィルタリングのルールを作成して別途指定し ない限り、Identity Manager ドライバはサーバで複製されるすべてのコンテナ内のオブジェク トを同期します。 たとえば、ドライバですべてのユーザオブジェクトを同期したい場合、最も簡単なのは、すべ てのユーザのマスタレプリカまたは読み書き可能レプリカを格納するサーバにあるドライバの インスタンスを 1 つ使用する方法です。 識別ボールトのインストールの計画 71 ただし、多くの環境にはすべてのユーザのレプリカが含まれる 1 つのサーバがありません。む しろ、ユーザの完全なセットは複数のサーバに分散しています。この場合、次の 3 つから選択 します。 ユーザを 1 つのサーバに集約します。既存のサーバにレプリカを追加することにより、す べてのユーザを保持する 1 つのサーバを作成できます。必要なユーザオブジェクトおよび 属性がフィルタされたレプリカに含まれている限り、必要に応じてフィルタされたレプリ カを使用し、eDirectory データベースのサイズを小さくできます。 スコープフィルタリングを行って、複数のサーバ上にあるドライバの複数のインスタンス を使用します。ユーザを 1 つサーバに集約したくない場合は、どのサーバセットにすべて のユーザを保持するかを判別し、それらの各サーバに Identity Manager ドライバの 1 つの インスタンスを設定する必要があります。 ドライバの別々のインスタンスが同じユーザを同期しないようにするには、「スコープ フィルタリング」を使用して、ドライバの各インスタンスが同期するユーザを定義する必 要があります。スコープフィルタリングは、特定のコンテナに対するドライバの管理範囲 を制限するルールを各ドライバに追加することを意味しています。詳細については、72 ページの 「スコープフィルタリングを使用した異なるサーバ上のユーザの管理」を参照し てください。 スコープフィルタリングを行わずに、複数のサーバにあるドライバの複数のインスタンス を使用します。フィルタされたレプリカを使用せずに、複数のサーバでドライバの複数の インスタンスを実行する場合は、ドライバが同じ識別ボールト内でさまざまなオブジェク トセットを処理できるようにするポリシーを、複数のドライバインスタンスで定義する必 要があります。 テンプレートの使用を選択した場合は、ユーザの作成時にドライバで使用されるテンプレート オブジェクト。 Identity Manager ドライバが、ユーザの作成時に eDirectory テンプレートオブジェクトを指定 するよう求めることはありません。ただし、eDirectory でユーザを作成する際にドライバがテ ンプレートを使用するように指定した場合は、ドライバが実行されているサーバでテンプレー トオブジェクトを複製する必要があります。 Identity Manager ドライバがユーザの管理に使用するすべてのコンテナ。 たとえば、無効になったユーザアカウントを保持する Inactive Users という名前のコンテナを 作成した場合、ドライバが実行されているサーバ上にそのコンテナのマスタレプリカまたは読 み書き可能レプリカ ( 可能であればマスタレプリカ ) が必要です。 ドライバが参照する必要のある他のすべてのオブジェクト ( たとえば、ドライバ用の作業順序オ ブジェクト )。 他のオブジェクトがドライバによって読み込まれるだけで変更はされない場合、サーバ上にあ るそれらのオブジェクトのレプリカは読み込み専用レプリカにすることができます。 7.5 スコープフィルタリングを使用した異なるサーバ上 のユーザの管理 スコープフィルタリングは、特定のコンテナに対するドライバのアクション範囲を制限するルール を各ドライバに追加することを意味しています。スコープフィルタリングを使用する必要のある 2 つの状況を次に示します。 ドライバにより、特定のコンテナ内のユーザだけを同期する。 72 NetIQ Identity Manager セットアップガイド Identity Manager ドライバは、デフォルトでは、実行されているサーバで複製されるすべての コンテナ内にあるオブジェクトを同期します。範囲を絞り込むには、スコープフィルタリング ルールを作成する必要があります。 Identity Manager ドライバによりすべてのユーザを同期するが、一部のユーザは同じサーバ上 で複製しない。 すべてのユーザを 1 つのサーバ上で複製せずに同期する場合は、どのサーバセットですべての ユーザを保持するかを決定し、それらの各サーバで Identity Manager ドライバのインスタンス を作成する必要があります。ドライバの 2 つのインスタンスが同じユーザを同期しないように するには、スコープフィルタリングを使用して、ドライバの各インスタンスが同期するユーザ を定義する必要があります。 注 : スコープフィルタリングは、サーバのレプリカが今のところ重複していない場合でも使用 してください。今後、レプリカがサーバに追加され、意図せずに重複が発生する可能性があり ます。スコープフィルタリングを適切な場所に設定すると、今後レプリカがサーバに追加され た場合でも、Identity Manager ドライバは同じサーバを同期しなくなります。 73 ページの 図 7-1 は、ユーザを保持する 3 つのコンテナ (Marketing、Finance、および Development) が存在する識別ボールトの例を示しています。また、ドライバセットを保持する Identity Management コンテナも示しています。これらの各コンテナは、独立したパーティション です。この例では、Identity Manager 管理者は、2 つの識別ボールトサーバ (Server A と Server B) を持ち、いずれのサーバにもすべてのユーザのコピーが含まれているわけではありません。各サー バには、3 つのパーティションのうち 2 つが含まれているため、サーバが保持している対象の範囲 が重複しています。 図 7-1 スコープフィルタリングによる、各コンテナを同期するドライバの定義 管理者にとっては、ツリー内のすべてのユーザを GroupWise ドライバにより同期することが望まし いのですが、すべてのユーザのレプリカを 1 つのサーバに集約することは望ましくありません。代 わりに、GroupWise ドライバの 2 つのインスタンスを使用する ( 各サーバに 1 つのインスタンスを 使用 ) よう指定します。Identity Manager をインストールして、各 Identity Manager サーバで GroupWise ドライバを設定します。 Server A は、Marketing コンテナおよび Finance コンテナのレプリカを保持しています。このサー バには Identity Management コンテナのレプリカもあり、Server A のドライバセットおよび Server A の GroupWise Driver オブジェクトを保持しています。 識別ボールトのインストールの計画 73 Server B は Development および Finance コンテナのレプリカを保持し、Identity Management コン テナは Server B のドライバセットおよび Server B の GroupWise Driver オブジェクトを保持してい ます。 Server A と Server B はどちらも Finance コンテナのレプリカを保持しているため、どちらのサー バも Finance コンテナにあるユーザ JBassad を保持しています。スコープフィルタリングを設定し ないと、GroupWise Driver A および GroupWise Driver B の両方により JBassad が同期されます。 スコープフィルタリングで各コンテナを同期するドライバを定義することにより、ドライバの両方 のインスタンスで同じユーザを管理するのを回避できます。 Identity Manager には、定義済みルールが付属しています。スコープフィルタリングに役立つ 2 つ のルールがあります。Event Transformation - Scope Filtering - Include Subtrees と Event Transformation - Scope Filtering - Exclude Subtrees です。詳細については、『NetIQ Identity Manager Understanding Policies Guide』を参照してください。 この例では、Server A および Server B には定義済みルール Include Subtrees を使用します。指定さ れたコンテナのユーザだけを同期するように、各ドライバには異なる範囲を定義します。Server A は、Marketing および Finance を同期します。Server B は、Development を同期します。 7.6 識別ボールトインストールキットの Linux パッケー ジの理解 NetIQ eDirectory には、Linux パッケージシステムが含まれています。このパッケージは、さまざま な eDirectory コンポーネントのインストールとアンインストールを容易にするツールをまとめたも のです。パッケージには、特定の eDirectory コンポーネントの構築に必要な条件を示した makefile が含まれています。パッケージには、OS と一緒にインストールされた標準の Linux ツールで使用 される環境設定ファイル、ユーティリティ、ライブラリ、デーモン、およびマニュアルページも含 まれています。 一部のパッケージは、他のパッケージまたは NICI などの Identity Manager コンポーネントに依存し ています。正しく機能させるためには、依存するパッケージすべてをインストールする必要があり ます。 下の表に、eDirectory に含まれている Linux パッケージに関する情報を示します。すべてのパッケー ジには、novell- というプリフィックスが付けられています。たとえば、NDSserv は novell-NDSserv となります。 74 パッケージ 説明 NOVLice NetIQ インポート / エクスポート変換ユーティリティ が含まれています。このパッケージは、NOVLmgnt、 NOVLxis、および NLDAPbase パッケージに依存して います。 NetIQ Identity Manager セットアップガイド パッケージ 説明 NOVbase ディレクトリユーザエージェントを表します。この パッケージは、NICI パッケージに依存しています。 このパッケージには次の項目が含まれています。 eDirectoryに必要なRSA認証を格納する認証ツー ルボックス。 プラットフォーム独立システム抽象ライブラリ、 すべての定義済みディレクトリユーザエージェ ント機能を格納するライブラリ、およびスキー マ拡張ライブラリ。 統合設定ユーティリティおよびディレクトリ ユーザエージェントテストユーティリティ。 eDirectory 環境設定ファイルおよびマニュアル ページ。 NDScommon eDirectory 環境設定ファイルのマニュアルページと、 インストールおよびアンインストールユーティリティ が含まれています。このパッケージは、 NDSbase パッケージに依存しています。 NDSmasv 必須アクセスコントロールサービス (MASV) に必要な ライブラリが含まれています。 NDSserv eDirectory サーバが必要とするすべてのバイナリとラ イブラリが含まれています。また、システム上の eDirectory サーバを管理するユーティリティも含まれ ています。このパッケージは、NDSbase、 NDScommon、NDSmasv、NLDAPsdk、NOVLpkia、 および NOVLpkit パッケージに依存しています。ま た、次の項目も含まれています。 NDS インストールライブラリ、FLAIM ライブラ リ、トレースライブラリ、NDS ライブラリ、 LDAP サーバライブラリ、LDAP インストールラ イブラリ、インデックスエディタライブラリ、 DNS ライブラリ、マージライブラリ、および LDAP SDK 用 LDAP 拡張ライブラリ。 eDirectory サーバデーモン。 DNS 用バイナリ、および LDAP のロード / アン ロード用バイナリ。 MAC アドレスの作成に必要なユーティリティ、 サーバの追跡およびサーバの一部のグローバル 変数の変更用ユーティリティ、eDirectory の バックアップと復元用ユーティリティ、および eDirectory ツリーのマージユーティリティ。 DNS、NDSD、および NLDAP の起動スクリプ ト。 マニュアルページ。 識別ボールトのインストールの計画 75 パッケージ 説明 NDSrepair eDirectory データベースの問題を修正する、ランタイ ムライブラリおよびユーティリティが含まれていま す。このパッケージは、NDSbase パッケージに依存 しています。 NLDAPbase LDAP ライブラリ、LDAP ライブラリの拡張、および 次の LDAP ツールが含まれています。 ldapdelete ldapmodify ldapmodrdn ldapsearch このパッケージは NLDAPsdk パッケージに依存して います。 76 NOVLnmas NMAS サーバが必要とする、すべての NMAS ライブ ラリと nmasinst バイナリが含まれています。この パッケージは、NICI および NDSmasv パッケージに 依存しています。 NLDAPsdk LDAP ランタイムとセキュリティライブラリ (Client NICI) に対する NetIQ 拡張が含まれています。 NOVLsubag eDirectory SNMP サブエージェント用のランタイムラ イブラリおよびユーティリティが含まれています。こ のパッケージは、NICI、NDSbase、および NLDAPbase パッケージに依存しています。 NOVLpkit eDirectory を必要としない PKI サービスを提供しま す。このパッケージは、NICI および NLDAPsdk パッ ケージに依存しています。 NOVLpkis PKI サーバサービスを提供します。このパッケージ は、NICI、NDSbase、および NLDAPsdk パッケージ に依存しています。 NOVLsnmp SNMP 用のランタイムライブラリおよびユーティリ ティです。このパッケージは、NICI パッケージに依 存しています。 NDSdexvnt NetIQ eDirectory で生成された、他のデータベースに 対するイベントを管理するライブラリが含まれていま す。 NOVLpkia PKI サービスを提供します。このパッケージは、 NICI、NDSbase、および NLDAPsdk パッケージに依 存しています。 NOVLembox eMBox インフラストラクチャおよび eMTool を提供 します。 NOVLlmgnt NetIQ Language Management のランタイムライブラ リが含まれています。 NetIQ Identity Manager セットアップガイド 7.7 パッケージ 説明 NOVLxis NetIQ XIS 用ランタイムライブラリが含まれていま す。 NOVLsas NetIQ SAS ライブラリが含まれています。 NOVLntls NetIQ TLS ライブラリが含まれています。このパッ ケージは、ntls としても識別されます。 NOVLldif2 NetIQ Offline Bulkload ユーティリティが含まれてお り、NDSbase、NDSserv、NOVLntls、NOVLlmgnt、 および NICI パッケージに依存しています。 NOVLncp NetIQ Encrypted NCP Services for Linux が含まれて います。このパッケージは、NDScommon パッケー ジに依存しています。 識別ボールトのシステム要件 このセクションでは、識別ボールトをホストするサーバの設定に役立つ要件について説明します。 カテゴリ 最小要件 プロセッサ 1GHz ディスク容量 識別ボールト用に 300MB 50,000 ユーザごとに 150MB の追加のディスク容量 メモリ 識別ボールト用に 1GB オペレーティングシス テム 次のいずれかのオペレーティングシステムが必要です。 Open Enterprise Server 11 SP2 (64 ビット ) Red Hat 6.5 (64 ビット ) SUSE Linux Enterprise Server 11 SP3 (64 ビット ) Windows Server 2012 R2 (64 ビット ) 注 : 識別ボールトを RHEL で使用するには、glibc ライブラリが最低でもバージョ ン 2.4 である必要があります。 ディレクトリサービス NetIQ eDirectory 8.8.8 Patch 3 ( 最低要件 ) 仮想化システム 次の仮想化プラットフォームのいずれか : Hyper-V Server 2012 R2 VMWare ESX 5.5 重要 : NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ ポートするエンタープライズクラスの仮想化システムで Identity Manager をサ ポートします。仮想化システムのベンダーが該当のオペレーティングシステムを 正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。 識別ボールトのインストールの計画 77 78 NetIQ Identity Manager セットアップガイド 8 8 識別ボールトのインストールの準備 識別ボールトの環境を適切に設定する必要があります。たとえば、サーバには、識別ボールトのツ リー名をサーバ参照に解決するために使用できる方法 ( サービスまたは指定のファイル ) が存在し ている必要があります。このセクションは、識別ボールトをインストールする前に、ご使用の環境 を準備するために役立ちます。 8.1 コンテナ名にピリオド (「.」) が含まれている場合の エスケープ文字の使用 サーバ名にピリオドが使用されている Windows または Linux サーバをディレクトリツリーに追加で きます。たとえば、O=netiq.com、C=u.s.a などです。ただし、ツリー内のコンテナの名前にピリオド (「.」) が含まれている場合は、エスケープ文字を使用する必要があります。次の考慮事項を確認し てください。 Linux: 管理者名、管理者コンテキスト、およびサーバコンテキストパラメータを指定している場 合は、パラメータを引用符で囲みます。 コンテナ名のピリオドは、円記号 (「\」) でエスケープします。 たとえば、識別ボールトをインストールする際、インストールコマンドを次のように入力 します。 ndsconfig new -a 'admin.netiq.com' -t netiq_tree -n 'OU=servers.O=netiq\.com' Windows: サーバ名の先頭にピリオドを使用しないでください。たとえば、.netiq などです。 コンテナ名のピリオドは、円記号 (「\」) でエスケープします。次に例を示します。 O=novell\.com または C=a\.b\.c iMonitor、iManager、DHost iConsole、DSRepair、Backup、DSMerge、DSLogin、および ldapconfig などのユーティリティの、ドットが含まれている管理者名およびコンテキストを入力す る場合も、エスケープ文字を使用してください。たとえば、iMonitor にログインする場合、ツリー 内の O の名前が netiq.com である場合、「'admin.netiq\.com'」または「admin.netiq\.com」と入力しま す。 識別ボールトのインストールの準備 79 8.2 ツリー名を解決するための OpenSLP または hosts.nds の使用 識別ボールトインフラストラクチャをインストールする前に、サーバには、識別ボールトのツリー 名をサーバ参照に解決するために使用できる方法 ( サービスまたは指定のファイル ) が存在してい る必要があります。NetIQ では、サービスロケーションプロトコル (SLP) サービスを使用してツ リー名を解決することをお勧めします。eDirectory の以前のバージョンには、OpenSLP が含まれて いました。しかし、eDirectory 8.8 以降、OpenSLP は含まれなくなりました。SLP サービスを別途 インストールするか、hosts.nds ファイルを使用する必要があります。SLP サービスを使用する場合 は、サービスのディレクトリエージェント (SLPDA) が安定している必要があります。 この節では、次のトピックについて説明します。 80 ページのセクション 8.2.1「hosts.nds ファイルを使用したツリー名の解決」 81 ページのセクション 8.2.2「OpenSLP の理解」 84 ページのセクション 8.2.3「識別ボールト用の SLP の設定」 8.2.1 hosts.nds ファイルを使用したツリー名の解決 hosts.nds ファイルは、識別ボールトアプリケーションが識別ボールトパーティションおよびサーバ を検索するために使用するスタティックなルックアップテーブルです。SLP DA がネットワークに 存在しない場合、このファイルは、SLP マルチキャストによる遅延を回避するために役立ちます。 各ツリーまたはサーバについて、次の情報を hosts.nds ファイルに 1 行で指定する必要があります。 サーバ名またはツリー名 : ツリー名は後続ドット (.) で終了します。 インターネットアドレス : DNS 名の場合もあれば IP アドレスの場合もあります。localhost は使用 しないでください。 サーバポート : オプションです。インターネットアドレスにコロン (:) が付加されます。 サーバがデフォルト以外の NCP ポートをリスンする場合を除き、ファイル内のローカルサーバの エントリを含める必要はありません。 hosts.nds ファイルを設定するには : 1 新しいファイルを作成するか、既存の hosts.nds ファイルを開きます。 2 次の情報を追加します。 partition_name.tree_name. host_name/ip-addr:port server_name dns-addr/ipaddr:port 次に例を示します。 # This is an example of a hosts.nds file: # Tree name Internet address/DNS Resolvable Name CORPORATE. myserver.mycompany.com novell.CORPORATE. 1.2.3.4:524 # Server name Internet address CORPSERVER myserver.mycompany.com:524 3 ( オプション ) 後で、SLP を使用してツリー名を解決し、識別ボールトツリーをネットワーク で使用できるようにすることを決めた場合は、hosts.nds ファイルに次のテキストを追加しま す。 80 NetIQ Identity Manager セットアップガイド /usr/bin/slptool findattrs services:ndap.novell///(svcname-ws==[treename or *])" たとえば、svcname-ws 属性が値 SAMPLE_TREE と一致するサービスを検索するには、次のコマ ンドを入力します。 /usr/bin/slptool findattrs services:ndap.novell///(svcname-ws==SAMPLE_TREE)" 注 : SLP および識別ボールトをインストールした後、この操作を実行します。 svcname-ws 属性が SAMPLE_TREE として登録されたサービスがある場合、出力は service:ndap.novell:///SAMPLE_TREE のようになります。それ以外の場合、出力応答はありませ ん。 8.2.2 OpenSLP の理解 OpenSLP は、IETF Service Location Protocol Version 2.0 規格のオープンソースによる実装です。 この規格は、IETF Request-For-Comments (RFC) 2608 で文書化されました。 OpenSLP ソースコードが提供するインタフェースは、SLP 機能にプログラム的にアクセスするた めの別の IETF 規格を実装したもので、RFC 2614 で文書化されています。 SLP の動作を完全に理解するため、前述の文書を読んで修得することをお勧めします。読みやすい 文書ではありませんが、インターネットでの SLP の正しい設定を行うためには重要なドキュメント です。 OpenSLP プロジェクトの詳細については、OpenSLP および SourceForge の Web サイトを参照し てください。OpenSLP の Web サイトには、環境設定に関する貴重なヒントを含んださまざまな文 書があります。ただし、このガイドの公開時点では、これらのドキュメントの多くは未完成です。 このセクションでは、SLP の使用、および SLP が識別ボールトとどのように関連するかについて 説明します。このセクションには、次のトピックがあります。 81 ページの 「NetIQ Service Location Providers」 82 ページの 「ユーザエージェント」 82 ページの 「サービスエージェント」 83 ページの 「ディレクトリエージェント」 NetIQ Service Location Providers Novell のバージョンの SLP では、強力なサービスアドバータイズ環境を提供するため、SLP 標準 が一部変更されます。しかし、このために一部の拡張性を犠牲にしています。 たとえば、サービスアドバータイズのフレームワークの拡張性を改善するために、サブネット上で のブロードキャストまたはマルチキャストのパケット数が制限されます。SLP の仕様では、これを 管理するために、ディレクトリエージェントのクエリに関してサービスエージェントおよびユーザ エージェントに制限を加えています。必要なスコープに対応するための最初に検出されたディレク トリエージェントは、サービスエージェント ( つまり結果的にローカルユーザエージェント ) がそ のスコープ上の将来の要求すべてに使用するエージェントとなります。 NetIQ SLP を実装すると、クエリ情報の検索について既知のディレクトリエージェントをすべてス キャンします。スキャンの所要時間は 300 ミリ秒とかなり長く、したがって、約 3 ~ 5 秒以内で 10 台のサーバしかスキャンできません。SLP がネットワーク上で正しく設定されている場合には 識別ボールトのインストールの準備 81 このような検索の必要はありません。OpenSLP では、ネットワークが実際に SLP トラフィック用 に設定されていると見なされます。OpenSLP の応答タイムアウト値は NetIQ の SLP サービスプロ バイダの応答タイムアウト値よりも大きい値です。ディレクトリエージェント数は、エージェント の情報が正確で完全であるかどうかに関係なく、最初に応答するディレクトリエージェントに制限 されます。 ユーザエージェント ユーザエージェント (UA) の物理形式は、アプリケーションにリンクされたスタティックライブラ リまたはダイナミックライブラリです。ユーザエージェントにより、アプリケーションは SLP サー ビスに対して問い合わせることができます。ユーザエージェントは、クライアントがサービスを問 い合わせたり、サービスがそれ自体を通知するためのプログラムインタフェースを提供します。 ユーザエージェントはディレクトリエージェントに接続し、指定したスコープ内の指定したサービ スクラスに登録されたサービスを問い合わせます。 ユーザエージェントは、アルゴリズムに従って、クエリの送信先になるディレクトリエージェント のアドレスを取得します。指定したスコープのディレクトリエージェントの (DA) アドレスを取得 すると、ユーザエージェントはそのスコープから応答がなくなるまで同じアドレスを使用し続けま す。応答がなくなると、ユーザエージェントはそのスコープに対する別の DA アドレスを取得しま す。ユーザエージェントは、指定されたスコープのディレクトリエージェントのアドレスを次の方 法で検索します。 1 現在の要求のソケットハンドルが、指定したスコープの DA に接続されているかどうかを確認 する。複数の要求の場合は、すでにキャッシュ化された接続がある可能性がある。 2 指定したスコープと一致している DA の、既知のローカル DA キャッシュをチェックする。 3 指定したスコープでローカルサービスエージェント (SA) に対して DA を確認する ( その後 キャッシュに新しいアドレスを追加します )。 4 指定したスコープに一致する DA のネットワーク設定済みのアドレスを DHCP に問い合わせる ( その後キャッシュに新しいアドレスを追加します )。 5 既知のポートで DA の検出要求をマルチキャストする ( その後キャッシュに新しいアドレスを 追加します )。 スコープを指定しない場合、指定スコープは「デフォルト」になります。つまり、SLP 設定ファイ ルで静的に定義されたスコープがなく、クエリでスコープを指定していない場合は、使用されるス コープは「デフォルト」という単語になります。また、識別ボールトの登録では、スコープを指定 しないことに注意してください。スコープが静的に設定されている場合、そのスコープが、すべて のローカル UA 要求および SA 登録に対して、指定したスコープがない場合のデフォルトのスコー プになります。 サービスエージェント サービスエージェントの物理形式は、ホストマシン上での個別のプロセスです。Windows の場合 は、slpd.exe がローカルマシン上のサービスとして実行されます。ユーザエージェントは、既知の ポート上のループバックアドレスにメッセージを送信することによって、ローカルサービスエー ジェントを問い合わせます。 サービスエージェントは、SLP で登録されたローカルサービスを持続的に格納し、維持する場所を 提供します。サービスエージェントは主として、登録済みのローカルサービスをメモリ内データ ベースとして維持します。この場合、サービスはローカル SA がない限り SLP で登録できません。 82 NetIQ Identity Manager セットアップガイド クライアントがサービスを検出するのは UA ライブラリ内のみですが、登録するには SA が必要で す。これは主に、ディレクトリエージェントを受信して登録を維持するためには、登録済みサービ スの存在を SA が定期的に表明する必要があるためです。 サービスエージェントは、潜在 DA アドレスに DA 検出要求を直接送信することにより、ディレク トリエージェントおよびそれがサポートするスコープリストを検出してキャッシュします。DA 検 出要求は、次の方法で送信されます。 1 静的に設定された DA アドレスをすべてチェックする ( その後 SA の既知の DA キャッシュに新 しい DA アドレスを追加します )。 2 DHCP から DA とスコープのリストを要求する ( その後 SA の既知の DA キャッシュに新しい リストを追加します )。 3 既知のポートで DA の検出要求をマルチキャストする ( その後 SA の既知の DA キャッシュに新 しいポートを追加します )。 4 DA によって定期的にブロードキャストされた DA のアドバータイズパケットを受信する ( その 後 SA の既知の DA キャッシュに新しいアドバータイズパケットを追加します )。 ユーザエージェントは常に、最初にローカルサービスエージェントに対して問い合わせます。ロー カルサービスエージェントの応答によってユーザエージェントが次の検出段階を続行するかどうか が決定されるため、このことは重要な点です (DHCP のこのケースについては、82 ページの 「ユー ザエージェント」のステップ 3 およびステップ 4 を参照してください )。 ディレクトリエージェント ディレクトリエージェントは、通知されたサービスに対して長期間持続的にキャッシュを提供し、 ユーザエージェントがサービスを検索するためのアクセスポイントとなります。キャッシュ機能を 提供する DA は、SA が新しいサービスを通知するのを受信し、これらの通知をキャッシュします。 DA のキャッシュは、短時間でいっぱいになるか、完了します。ディレクトリエージェントは、期 限切れのアルゴリズムを使用してエントリキャッシュを有効期限切れにします。ディレクトリエー ジェントが起動すると、持続的な格納領域 ( 通常はハードドライブ ) からキャッシュを読み込み、 アルゴリズムに従ってエントリを有効期限切れにします。新しい DA が起動したり、キャッシュが 削除されると、DA はこの条件を検出して受信中のすべての SA に特別な通知を送信します。SA は、DA が直ちにキャッシュを作成できるようにローカルデータベースをダンプします。 ディレクトリエージェントが存在しない場合、UA は SA が応答できる一般的なマルチキャスト方式 のクエリを使用し、DA がキャッシュを作成するのとほぼ同じ方法で、要求されたサービスのリス トを作成します。このクエリによって返されるサービスのリストは、DA が提供するリストと比較 すると不完全かつ局所的です。特に、多くのネットワーク管理者が使用するマルチキャスト方式で のフィルタ処理では、ブロードキャストおよびマルチキャストの対象がローカルサブネットのみに 制限されるためです。 つまり、指定されたスコープに対してユーザエージェントが検索するものは、すべてディレクトリ エージェントに依存します。 識別ボールトのインストールの準備 83 8.2.3 識別ボールト用の SLP の設定 %systemroot%/slp.conf ファイル内の次のパラメータによって、ディレクトリエージェントの検出が 制御されます。 net.slp.useScopes = comma-delimited scope list net.slp.DAAddresses = comma-delimited address list net.slp.passiveDADetection = <"true" or "false"> net.slp.activeDADetection = <"true" or "false"> net.slp.DAActiveDiscoveryInterval = <0, 1, or a number of seconds> useScopes SA の通知先のスコープ、およびサービスまたはクライアントアプリケーションで作成された 登録またはクエリに指定したスコープが存在しない場合にクエリが作成されるスコープを示し ます。識別ボールトは常にデフォルトのスコープに通知し、問い合わせを行うため、このリス トが識別ボールトのすべての登録およびクエリに対するデフォルトのスコープリストになりま す。 DAAddresses コンマで区切られた IP アドレスのリストで、アドレスは 10 進数とドットで表記されます。こ のアドレスが他のすべてに対して優先されます。設定された DA のこのリストが登録またはク エリのスコープをサポートしない場合、検出を無効にしていない限りは、SA および UA はマ ルチキャスト方式で DA を検出します。 passiveDADetection デフォルトでは True です。ディレクトリエージェントは、設定に応じて定期的にそれ自体の存 在をサブネットの既知のポート上にブロードキャストします。これらのパケットは DAAdvert パケットと名付けられます。このオプションに「FALSE」を設定した場合、ブロー ドキャスト方式のすべての DAAdvert パケットは SA に無視されます。 activeDADetection デフォルトでは True です。この設定により、SA はすべての DA に対して、指示された DAAdvert パケットで応答するように、定期的にブロードキャスト方式で要求できます。指示 されたパケットはブロードキャストではありませんが、この要求に対する応答では SA に直接 送信されます。このオプションに「FALSE」を設定した場合、SA は定期的な DA の検出要求 をブロードキャストしません。 DAActiveDirectoryInterval tri-state パラメータを表します。デフォルト値は 1 です。これは、初期化の際に、SA が DA の 検出要求を 1 回送る設定であることを意味する特別な値です。このオプションに 0 を設定する と、activeDADetection オプションに「FALSE」を設定した場合と結果は同じです。その他の 値は、検出をブロードキャストする間隔を秒数で表します。 このオプションを正しく使用すると、サービスアドバータイズに使用するネットワーク帯域幅を適 切に設定できます。ただし、デフォルト設定は平均的なネットワークで拡張性を最適化するように 設計されています。 84 NetIQ Identity Manager セットアップガイド 8.3 識別ボールトのパフォーマンスの向上 識別ボールトの基盤となるインフラストラクチャである eDirectory は、プロセッサ集約というより は I/O 集約アプリケーションです。識別ボールトのパフォーマンスを向上させる 2 つの要因は、 キャッシュメモリの量を増やすことと、プロセッサの処理速度を上げることです。最適な結果を得 るためには、ハードウェアで可能な限り多くの DIB (Directory Information Base) セットをキャッ シュに入れるようにします。 eDirectory は単一のプロセッサで適切にスケーリングされますが、複数のプロセッサの使用を検討 することも考えられます。プロセッサを追加すると、ユーザログインなどの領域でパフォーマンス が向上します。さらに、複数のプロセッサ上で複数のスレッドをアクティブにすることによっても パフォーマンスが向上します。 次の表は、eDirectory 内で想定されるオブジェクトの数に基づく、サーバ設定の一般的なガイドラ インを示しています。 オブジェクト メモリ ハードディスク 100.000 2GB 以上 (Linux) 300MB (Linux) 384MB (Windows) 144MB (Windows) 4GB (Linux) 1.5GB 100 万 4GB (Windows) 1,000 万 4GB 以上 (Linux) 15GB 2GB 以上 (Windows) たとえば、標準スキーマを使用する基本的な eDirectory のインストールでは、50,000 ユーザごとに 約 74MB の空きディスク容量が必要です。ただし、新しい属性のセットを追加したり、既存の属性 をすべて使用すると、オブジェクトのサイズは拡大します。それに対応して、必要な空きディスク 容量、プロセッサ、およびメモリが変わります。また、プロセッサの要件は、コンピュータで利用 できる追加サービス、およびコンピュータが処理している認証と読み書きの数によっても決まりま す。暗号化や索引付けなどの処理では、プロセッサが集中して使用されることがあります。 8.4 識別ボールトサーバでの IPv6 アドレスの使用 識別ボールトでは、IPv4 アドレスと IPv6 アドレスの両方がサポートされています。識別ボールト のインストール時に、IPv6 アドレスを有効にできます。以前のバージョンからアップグレードする 場合、IPv6 アドレスを手動で有効にする必要があります。 識別ボールトでは、デュアル IP スタック方式、トンネル方式、およびピュア IPv6 移行方式をサ ポートしています。グローバルの IP アドレスのみがサポートされます。次に例を示します。 [::] [::1] [2015::12] [2015::12]:524 識別ボールトのインストールの準備 85 IPv6 アドレスは、角かっこ [ ] で囲んで指定する必要があります。IP アドレスではなく、ホスト名 を用いる場合、etc\hosts ファイルで名前を指定し、それを IPv6 アドレスに関連付ける必要がありま す。 8.4.1 Linux サーバでの IPv6 アドレスの使用 ndsconfig ユーティリティを使用して、IPv6 アドレスを持つツリーを作成したり、IPv6 アドレスを 持つサーバを既存のツリーに追加したり、IPv6 用の LDAP URL を指定したりすることができます。 ユーティリティの使用方法の詳細については、113 ページのセクション 12.1「ndsconfig ユーティ リティを使用した、eDirectory ツリーとレプリカサーバの変更」を参照してください。 ndsconfig ユーティリティに加えて、すでに IPv6 アドレスをサポートしている Linux コンピュータ で識別ボールトを設定するための他の手順を実行できます。 86 ページの 「既存のもしくはアップグレードした eDirectory サーバでの IPv6 アドレスの有効 化」 86 ページの 「IPV6 の LDAP URL の LDAP サーバオブジェクトへの追加」 既存のもしくはアップグレードした eDirectory サーバでの IPv6 アドレ スの有効化 注 : コンピュータに複数のインスタンスが設定されている場合は、それぞれの環境設定ファイルに IPv6 アドレスを追加する必要があります。 1 nds.conf ファイルを開きます。このファイルは、デフォルトでは /etc/opt/novell/eDirectory/ conf/ ディレクトリにあります。 2 このファイルに、ポート番号を含む IPv6 インタフェースアドレスを追加します。次に例を示 します。 n4u.server.interfaces=164.99.90.148@524,[2015::4]@524,[2015:1234:2345:3456:abc d:bcde:cdef:aaaa]@524 http.server.interfaces=164.99.90.148@8028,[2015::4]@8028,[2015:1234:2345:3456: abcd:bcde:cdef:aaaa]@8028 https.server.interfaces=164.99.90.148@8030,[2015::4]@8030,[2015:1234:2345:3456 :abcd:bcde:cdef:aaaa]@8030 3 次のコマンドを使用して、ndsd を再起動します。 ndsmanage stopall ndsmanage startall IPV6 の LDAP URL の LDAP サーバオブジェクトへの追加 最初に識別ボールトを設定する際に LDAP URL を指定しない場合は、ldapconfig コマンドまたは iManager を使用して、それらを ldapInterfaces 属性に追加できます。 コマンドラインから LDAP URL を追加するには : ldapconfig set コマンドまたは ldapconfig -s コマンドを使用できます。次の例のようなテキストを入力 します。 ldapconfig set "ldapInterfaces=ldap://[2015::3]:389,ldaps://[2015::3]:636" 86 NetIQ Identity Manager セットアップガイド ldapconfig -s "ldapInterfaces=ldap://[2015::3]:389,ldapInterfaces=ldaps://[2015::3]:636" iManager で LDAP URL を追加する: 1 iManager の[役割およびタスク]をクリックします。 2 [LDAP]> [LDAP オプション]をクリックする。 3 [LDAP サーバの表示]をクリックし、設定する LDAP サーバオブジェクトの名前をクリック します。 4 [LDAP Interfaces (LDAP インタフェース )]で、 [Connections ( 接続 )]、 [add LDAP URLS (LDAP URL の追加 )]をクリックします。 5 [適用]をクリックして、 [OK]をクリックします。 8.4.2 Windows サーバでの IPv6 アドレスの使用 Windows サーバで IPv6 アドレスを使用するには、インストール時に[IPV6 の初期設定]の下の [IPV6 を有効にする]チェックボックスを選択する必要があります。このオプションにより、 IPv6 アドレスに対して、NCP、HTTP、および HTTPS プロトコルが有効になります。インストー ルプロセス中に IPv6 アドレスを有効にせず、後から使用することにした場合は、セットアッププロ グラムを再度実行する必要があります。詳細については、97 ページの第 10 章「Windows サーバへ の識別ボールトのインストール」を参照してください。 リンク http://[2015::3]:8028/nds を使用して、IPv6 アドレスを介して iMontior にアクセスできます。 8.5 識別ボールトと通信するための LDAP の使用 識別ボールトをインストールする場合、LDAP サーバが監視するポートを指定して、LDAP 要求を 処理できるようにする必要があります。デフォルトの設定では、平文と SSL/TLS のポート番号とし て 389 と 636 が設定されます。 LDAP 単純バインドでは、DN およびパスワードのみが要求されます。パスワードは平文形式です。 ポート 389 を使用する場合、すべてのパケットは平文形式です。ポート 389 では平文が使用できる ため、LDAP サーバサービスではこのポートを通じて eDirectory への読み込みおよび書き込みを処 理します。このポートの使用は開放性が高く、通信に妨害を受けることがなく、パケットが不正受 信されない信頼性の高い環境に適しています。デフォルトでは、インストールの実行中にこのオプ ションは使用できません。 ポート 636 を通じた接続は暗号化されます。TLS( 以前の SSL) によって暗号化が管理されます。 ポート 636 への接続では、自動的にハンドシェークをインスタンス生成します。ハンドシェークが 失敗した場合、接続は拒否されます。 注 : インストールプログラムにより、TLS/SSL 通信用にデフォルトでポート 636 が選択されます。 この設定をデフォルトで選択することで、ローカル LDAP サーバに問題が発生する場合がありま す。eDirectory がインストールされる前にホストサーバにロードされているサービスがポート 636 を使用している場合は、別のポートを指定する必要があります。eDirectory 8.7 以前のインストール では、この競合は致命的なエラーとみなされ、nldap はアンロードされます。eDirectory 8.7.3 以降、 インストールプログラムによって nldap がロードされ、dstrace.log ファイルにエラーメッセージが記 録されて、セキュリティ保護されたポートを使用せずに実行されます。 識別ボールトのインストールの準備 87 インストールプロセスで、平文パスワードおよび他のデータの使用を禁止するように識別ボールト を設定できます。[パスワードとの単純バインドに TLS を必要とする]オプションによって、閲覧 可能なパスワードの送信ができないようになっています。この設定を選択しない場合、ユーザは別 の人がパスワードを閲覧しても気が付きません。このオプションは接続を許可しないように設定す るもので、平文ポートにのみ適用できます。ポート 636 に対してセキュリティ保護された接続を行 い、単純バインドを実行する場合は、接続はその時点ですでに暗号化されています。このため、パ スワード、データパケット、またはバインド要求を閲覧することはできません。 次のシナリオを検討します。 [パスワードとの単純バインドに TLS を必要とする]オプションが有効の場合 ユーザはパスワードを要求するクライアントを使用しています。パスワードを入力した後、ク ライアントはサーバに接続します。ただし、LDAP サーバでは平文ポートからサーバにバイン ドする接続は許可されていません。誰でもユーザのパスワードを見ることができますが、ユー ザはバインド接続できません。 ポート 636 がすでに使用されている場合 ローカルサーバで Active Directory を実行しています。Active Directory では、ポート 636 を使 用して LDAP プログラムを実行しています。eDirectory をインストールします。インストール プログラムによってポート 636 がすでに使用されていることが検出されるため、NetIQ LDAP サーバにポート番号は割り当てられません。LDAP サーバはロードを開始し、実行され ているように見えますが、。LDAP サーバではすでに開いているポートを複製または使用できな いため、複製されたポートでの要求は LDAP サーバで処理されません。 ポート 389 またはポート 636 が NetIQ LDAP サーバに割り当てられているかどうかを確認する には、ICE ユーティリティを実行します。[ベンダバージョン]フィールドに NetIQ が指定さ れていない場合は、eDirectory の LDAP Server を再設定し、別のポートを選択する必要があり ます。詳細については、『NetIQ eDirectory 8.8 SP8 管理ガイド』の「LDAP サーバが実行され ているか確認する」を参照してください。 Active Directory が実行中の場合 Active Directory が実行中であり、平文ポート 389 が開いている場合、ポート 389 に ICE コマ ンドを実行し、ベンダーバージョンを問い合わせることができます。レポートに Microsoft* が 表示されます。次に、別のポートを選択して NetIQ LDAP サーバを再設定します。eDirectory LDAP サーバが LDAP の要求を処理できるようになります。 また、iMonitor では、ポート 389 または 636 がすでに開かれているかどうかもレポートされま す。LDAP サーバが動作していない場合、iMonitor を使用して、詳細を特定します。詳細につ いては、『NetIQ eDirectory 8.8 SP8 管理ガイド』の「LDAP サーバが実行されているか確認す る」を参照してください。 88 NetIQ Identity Manager セットアップガイド 8.6 管理ユーティリティがインストールされているワー クステーションへの NICI の手動インストール iManager などの管理ユーティリティを使用するすべてのワークステーションに NICI をインストー ルする必要があります。NICI を識別ボールトとともに使用する方法の詳細については、67 ページ のセクション 7.2.1「識別ボールトのインストールに関する前提条件」を参照してください。 8.6.1 Linux サーバへの NICI のインストール nds-install を使用し、NICI オプションを選択します。デフォルトでは、インストールファイルは products\eDirectory\processor_type\setup\ ディレクトリにあります。必要な NICI パッケージはシステ ム全体で使用されるため、NetIQ では、NICI を root としてインストールすることをお勧めします。 ただし、必要であれば、sudo を使用して別のアカウントにアクセス権限を委任し、そのアカウント を使用して NICI パッケージをインストールすることができます。 注 : eDirectory 8.8 サービスパック 3 以降、NetIQ では、eDirectory の 32 ビットバージョンと 64 ビットバージョンを単一のシステムにインストールできるようにしました。サーバに両方のバー ジョンをインストールした場合は、NICI の 32 ビットバージョンと 64 ビットバージョンもインス トールする必要があります。 このセクションでは、次のアクティビティについて説明します。 89 ページの 「root ユーザとしての NICI のインストール」 90 ページの 「非 root ユーザとしての NICI のインストール」 root ユーザとしての NICI のインストール NICI をインストールするには、次の両方のコマンドを入力します。 32-bit: rpm -ivh NICI_rpm_absolute_path/nici-2.7.7-0.02.i586.rpm 64-bit: rpm -ivh NICI_rpm_absolute_path/nici64-2.7.7-0.02.x86_64.rpm 注 : eDirectory 8.8 サービスパック 3 以降、NetIQ では、eDirectory の 32 ビットバージョンと 64 ビットバージョンを単一のシステムにインストールできるようにしました。サーバに両方のバー ジョンをインストールした場合は、NICI の 32 ビットバージョンと 64 ビットバージョンもインス トールする必要があります。 識別ボールトのインストールの準備 89 非 root ユーザとしての NICI のインストール 非 root ユーザは、sudo ユーティリティを使用して NICI をインストールできます。root ユーザは、 sudo (superuser do) を使用して、特定のユーザに root として一部のコマンドを実行する権限を付与 することができます。root ユーザは、/etc/sudoers 環境設定ファイルを編集し、適切なエントリを追 加することによって、これを行うことができます。 警告 : sudo を使用すると、非 root ユーザに制限付きの root 権限を付与することが可能になります。 1 NICI をインストールするサーバに sudo アカウントでログインします。 2 次のコマンドを実行します : sudo rpm -ivh nici_rpm_file_name_with_path 3 次のコマンドで NICI を初期化します。 ln -sf /var/opt/novell/nici /var/novell/nici 4 ( オプション ) NICI がサーバモードに設定されていることを確認するには、次のコマンドを入 力します。 /var/opt/novell/nici/set_server_mode 8.6.2 Windows サーバへの NICI のインストール Windows サーバに NICI をインストールするには、NICI_wx64.msi ファイルを使用します。このファ イルは、デフォルトでは products\eDirectory\processor_type\windows\processor_type\nici フォルダにあり ます。ガイド付きプロセス ( ウィザード ) として、またはサイレントインストールとしてファイル を実行できます。 8.7 NMAS クライアントソフトウェアのインストール NMAS ログインメソッドを使用する各クライアントワークステーションに、NetIQ Modular Authentication Service (NMAS) クライアントソフトウェアをインストールする必要があります。識 別ボールトをインストールするときにログインメソッドを指定します。 90 NetIQ Identity Manager セットアップガイド 8.7.1 Linux サーバへの NMAS クライアントソフトウェアのインス トールと設定 識別ボールトインストールユーティリティ (nds-install) には、インストールプロセスのコンポーネ ントとして NMAS が含まれています。NetIQ では、NMAS の設定に使用できる 2 つのユーティリ ティを用意しています。 ndsconfig ユーティリティ 識別ボールトのインストール後、このユーティリティを使用して、識別ボールトと NMAS の両 方を設定します。このユーティリティは、NMAS ログインメソッドをインストールしません。 nmasinst ユーティリティ 識別ボールトが設定済みであり、NMAS のみを設定する場合は、このユーティリティを使用し ます。このユーティリティは、NMAS ログインメソッドをインストールします。 注 : NMAS ログインメソッドをインストールする前に、ndsconfig ユーティリティを使用して識別 ボールトを設定する必要があります。また、ツリーに対する管理権も必要です。 NMAS の設定 このプロセスでは、NMAS に必要なセキュリティコンテナ内にオブジェクトが作成され、 eDirectory 内の LDAP サーバオブジェクトの NMAS に対する LDAP 拡張がインストールされます。 ツリー内に NMAS を初めてインストールする場合は、セキュリティコンテナ内にオブジェクトを作 成できる十分な権利でログインする必要があります。ただし、それ以降のインストールは、セキュ リティコンテナに対して読み込み専用の権限のみを持つコンテナ管理者も実行できます。nmasinst は、NMAS オブジェクトを作成しようとする前に、セキュリティコンテナ内に NMAS オブジェク トが存在していることを確認します。 nmasinst ユーティリティは、スキーマを拡張しません。代わりに、識別ボールトイントールには、 eDirectory のベーススキーマの一部として NMAS スキーマが含まれます。 NMAS を設定して eDirectory 内に NMAS オブジェクトを作成するには : 1 サーバコンソールのコマンドラインで、次のように入力します。 nmasinst -i admin.context tree_name 2 パスワードの入力。 NMAS ログインメソッドのインストール NMAS ログインメソッドをインストールするには、nmasinst ユーティリティを使用します。インス トールするログインメソッドの config.txt ファイルを指定する必要があります。各ログインメソッド には config.txt ファイルがあります。 サーバコンソールのコマンドラインに、次のコマンドを入力します。 nmasinst -addmethod admin.context tree_name config.txt_path たとえば、-addmethod コマンドを使用するには、次のように入力します。 識別ボールトのインストールの準備 91 nmasinst -addmethod admin.netiq MY_TREE ./nmas-methods/novell/Simple Password/ config.txt ログインメソッドがすでに存在する場合は、nmasinst ユーティリティによって更新されます。 詳細については、『NetIQ Modular Authentication Services Administration Guide』の「Managing Login and Post-Login Methods and Sequences」を参照してください。 8.7.2 Windows サーバへの NMAS クライアントソフトウェアのイン ストール 1 管理者アカウントを使用して、Windows クライアントワークステーションにログインします。 2 インストールディレクトリから nmasinstall.exe プログラムを実行します。デフォルトでは、 IDM4.5_Win:\products\eDirectory\processor_type\nmas\ にあります。 3 [NMAS クライアントコンポーネント]をクリックします。 4 ( オプション ) NICI コンポーネントをインストールする NICI オプションを選択します。 5 [OK]をクリックします。 6 インストールプロセスが完了したら、クライアントワークステーションを再起動します。 92 NetIQ Identity Manager セットアップガイド 9 Linux サーバへの識別ボールトのインス トール 9 インストールユーティリティは、ユーザによる識別ボールトの環境設定を支援します。root ユーザ としてインストールを実行するか、非 root ユーザとしてインストールを実行するかの選択は、 Identity Manager エンジンのインストールに使用する予定の方法に合わせる必要があります。 Linux サーバで eDirectory をサポートするために使用できる追加のパッケージの詳細については、 『NetIQ eDirectory 8.8 SP8 管理ガイド』の「Linux Packages for NetIQ eDirectory」を参照してくだ さい。 警告 : install_location/etc/opt/novell/eDirectory/conf ディレクトリには、サーバ上で実行されている eDirectory インスタンスの追跡と管理に使用する重要な環境設定情報が含まれています。このディ レクトリからは、コンテンツを削除しないでください。 9.1 root としての識別ボールトのインストール このセクションでは、nds-install ユーティリティを使用して root ユーザとして識別ボールトをイン ストールするためのプロセスについて説明します。このユーティリティでは、インストール対象と して選択したコンポーネントに基づいて、必要なパッケージが追加されます。 注 : root ユーザとしてインストールし、カスタムインストールパスを指定するには、インストール で tarball 形式を使用することが考えられます。詳細については、95 ページのセクション 9.2「非 root ユーザとしての識別ボールトのインストール」を参照してください。 root として識別ボールトをインストールするには : 1 識別ボールトをインストールするコンピュータに root としてログインします。 2 nds-install ユーティリティを含むディレクトリから次のコマンドを実行します。デフォルトで は、products/eDirectory/processor_type/setup ディレクトリにあります。 ./nds-install parameters コマンドラインで次のパラメータを使用します。 -h または --help nds-install のヘルプを表示します。 -i アップグレード時に DIB が検出された場合、nds-install スクリプトが ndsconfig upgrade コ マンドを呼び出さないようにします。 -j eDirectory インストール前のヘルスチェックオプションをジャンプまたは無効化します。 ヘルスチェックの詳細については、『NetIQ eDirectory 8.8 SP8 管理ガイド』の 「eDirectory の正常な動作の維持」を参照してください。 Linux サーバへの識別ボールトのインストール 93 -m module_name インストールおよび設定対象のモジュールの名前を指定します。新しいツリーを設定する ときは、DS モジュールのみを設定できます。DS モジュールを設定した後、add コマンド を使用して、NMAS、LDAP、SAS、SNMP、HTTP の各サービス、および NetIQ SecretStore (ss) を追加することができます。モジュール名を指定しない場合は、すべて のモジュールがインストールされます。 -u 無人 ( サイレント ) インストールモードで実行することを指定します。 3 ( オプション ) ライセンスファイルがデフォルトディレクトリにない場合は、プロンプトでライ センスファイルへの完全なパスを指定します。 4 インストールプロセスが完了するまで、すべてのプロンプトに応答します。 5 ( 状況によって実行 ) 次の環境変数を手動で更新し、エクスポートするには、次のコマンドを入 力します。 export LD_LIBRARY_PATH=/opt/novell/eDirectory/lib64:/opt/novell/ eDirectory/lib64/nds-modules:/opt/novell/lib64:$LD_LIBRARY_PATH export MANPATH=/opt/novell/man:/opt/novell/eDirectory/man:$MANPATH export TEXTDOMAINDIR=/opt/novell/eDirectory/share/locale:$TEXTDOMAINDIR 6 ( 状況によって実行 ) ndspath スクリプトを使用して、次の環境変数を更新し、パスをエクス ポートするには、ユーティリティの前に ndspath スクリプトを指定する必要があります。次の 手順に従います。 6a custom_location/eDirectory/ ディレクトリから、次のコマンドを使用してユーティリティを 実行します。 eDirectory installation/bin/ndspath utility_name_with_parameters 6b 次のコマンドを使用して、現在のシェルのパスをエクスポートします。 . custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath 注 : 引数を使用するコマンドの前に ndspath スクリプトを指定する場合、引数を二重引用 符で囲んで指定します。 たとえば、 /opt/novell/eDirectory/bin/ndspath ldapconfig "-s ldapTLSRequired=yes" 6c 次のコマンドを使用して、現在のシェルのパスをエクスポートします。 . /opt/novell/eDirectory/bin/ndspath 6d ユーティリティを通常どおり実行します。 6e パスのエクスポート指示は、/etc/profile や ~/bashrc などのスクリプトの最後に追加します。 この手順により、ログイン時または新しいシェルのオープン時には常に、ユーティリティ を直接起動できます。 94 NetIQ Identity Manager セットアップガイド 9.2 非 root ユーザとしての識別ボールトのインストール このセクションでは、nds-install ユーティリティではなく、tarball を使用して識別ボールトをイン ストールする方法について説明します。tar ファイルを解凍 (untar) すると、システムにより etc、 opt、および var ディレクトリが作成されます。 非 root インストールの前提条件の詳細については、68 ページのセクション 7.2.2「非 root ユーザと しての識別ボールトのインストールに関する前提条件」を参照してください。 注 : また、root ユーザとしてインストールするときに、カスタムパスを指定する場合は、このプロ セスを使用することができます。 非 root ユーザとして識別ボールトをインストールするには : 1 識別ボールトをインストールするコンピュータに対する適切な権利を持つ sudo ユーザとして ログインします。 注 : カスタムインストールパスを指定する場合は、root ユーザとしてログインすることもでき ます。 2 識別ボールトのインストール先ディレクトリで、次のコマンドを使用して tar ファイルを解凍 します。 tar xvf /tar_file_name 3 ( 状況によって実行 ) 環境変数のパスを手動でエクスポートするには、次のコマンドを入力しま す。 export LD_LIBRARY_PATH=custom_location/eDirectory/opt/novell/eDirectory/ lib64:custom_location/eDirectory/opt/novell/eDirectory/lib64/ndsmodules: custom_location/eDirectory/opt/novell/lib64:$LD_LIBRARY_PATH export PATH=custom_location/eDirectory/opt/novell/eDirectory/ bin:custom_location/eDirectory/opt/novell/eDirectory/sbin:/opt/novell/ eDirectory/bin:$PATH export MANPATH=custom_location/eDirectory/opt/novell/man:custom_location/ eDirectory/opt/novell/eDirectory/man:$MANPATH export TEXTDOMAINDIR=custom_location/eDirectory/opt/novell/eDirectory/ share/locale:$TEXTDOMAINDIR 4 ( 状況によって実行 ) ndspath スクリプトを使用して、環境変数のパスをエクスポートするに は、ユーティリティの前に ndspath スクリプトを指定する必要があります。次の手順に従いま す。 4a custom_location/eDirectory/opt ディレクトリから、次のコマンドを使用してユーティリティ を実行します。 custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath utility_name_with_parameters 4b 次のコマンドを使用して、現在のシェルのパスをエクスポートします。 . custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath 4c ユーティリティを通常どおり実行します。 Linux サーバへの識別ボールトのインストール 95 4d パスのエクスポート指示は、/etc/profile や ~/bashrc などのスクリプトの最後に追加します。 この手順により、ログイン時または新しいシェルのオープン時には常に、ユーティリティ を直接起動できます。 5 識別ボールトを設定するには、次の手順のいずれかを実行します。 5a ndsconfig ユーティリティを実行するには、コマンドラインに次のテキストを入力します。 ndsconfig new [-t treename] [-n server_context] [-a admin_FDN] [-w admin password] [-i] [-S server_name] [-d path_for_dib] [-m module] [e] [-L ldap_port] [-l SSL_port] [-o http_port] -O https_port] [-p IP address:[port]] [-c] [-b port_to_bind] [-B interface1@port1, interface2@port2,..] [-D custom_location] [--config-file configuration_file] 次に例を示します。 ndsconfig new -t mary-tree -n novell -a admin.novell -S linux1 -d /home/ mary/inst1/data -b 1025 -L 1026 -l 1027 -o 1028 -O 1029 -D /home/mary/ inst1/var --config-file /home/mary/inst1/nds.conf 注 ndsconfig ユーティリティで指定できるパラメータの詳細については、114 ページのセ クション 12.1.1「ndsconfig ユーティリティのパラメータの理解」を参照してくださ い。 1024 ~ 65535 の範囲内のポート番号を指定する必要があります。どの eDirectory アプ リケーションでも、デフォルトポート 524 は使用できません。 ポートの指定に関するこの制限は、次のタイプのアプリケーションに悪影響を及ぼす 可能性があります。 ターゲットサーバポートを指定するオプションがないアプリケーション。 NCP を使用し、ポート 524 でルートとして動作する古いアプリケーション。 -B および -P オプションで IPv6 アドレスを指定できます。IPv6 アドレスを指定するに は、アドレスを角かっこ [ ] で囲む必要があります。たとえば、-B [2015::4]@636 のよ うに指定します。 5b ndsmanage ユーティリティを使用して、新しいインスタンスを設定します。詳細につい ては、120 ページのセクション 12.2.2「識別ボールトにおける新規インスタンスの作成」 を参照してください。 96 NetIQ Identity Manager セットアップガイド 10 Windows サーバへの識別ボールトのイン ストール 10 インストールプログラム ( ウィザード ) は、ユーザによる識別ボールトの環境設定を支援します。 インストールプログラムは、デフォルトで自動的にウィザードモードになります。ただし、サイレ ントインストールを実行することも可能です。 このセクションは、識別ボールトのベース構造として eDirectory を使用することを前提としていま す。 インストールプログラムを起動すると、インストールプログラムは、Novell International Cryptographic Infrastructure (NICI) および Novell Client for Windows についてチェックします。必要 に応じて、インストールプログラムによって、それらのコンポーネントがインストールまたは更新 されます。すでに Novell Client があるコンピュータに識別ボールトをインストールすると、 eDirectory は既存の Novell Client を使用します。Novell Client がなくても、Windows 用の識別ボー ルトをインストールできます。 NICI の詳細については、『Novell International Cryptographic Infrastructure 2.7 Administration Guide』を参照してください。Client の詳細については、Novell Client for Windows のマニュアルを 参照してください。 インストールプログラムにより、NetIQ Module Authentication Service (NMAS) のサーバコンポーネ ントをインストールできます。インストール時に、NMAS で使用するログインメソッドを指定する 必要があります。また、NMAS ログインメソッドを使用する各クライアントワークステーション に、NMAS クライアントソフトウェアをインストールすることも必要です。 注 eDirectory 8.8 から、すべてのユーティリティで大文字 / 小文字を区別したパスワードを使用で きるようになりました。 コンテナ名にはピリオド ( ドット ) を使用することができます。コンテナ名にドットを使用する 場合の詳細については、69 ページのセクション 7.2.3「Windows サーバに識別ボールトをイン ストールする場合の前提条件」を参照してください。 10.1 ウィザードを使用した、Windows サーバへの識別 ボールトのインストール 1 eDirectory をインストールするコンピュータに管理者ユーザとしてログインします。 2 インストールディレクトリの Setup.exe プログラムに移動します。デフォルトでは、 IDMversion_Win:\products\eDirectory\processor_type\windows\ にあります。 3 Setup.exe プログラムを実行します。 4 インストールウィザードに表示される手順に従います。 Windows サーバへの識別ボールトのインストール 97 5 ( 状況によって実行 ) NICI または Novell Client for Windows がまだコンピュータにインストー ルされていない場合、インストールプログラムによって、それらのコンポーネントをインス トールするように求めるプロンプトが表示されます。 NICI のインストール後、コンピュータは再起動します。コンピュータの再起動後、識別ボール トのインストールウィザードが開きます。開かない場合は、Setup.exe プログラムを実行しま す。 6 識別ボールトのインストールプログラムで、次の考慮事項を確認しながら、ウィザードの手順 を完了します。 ( オプション ) 識別ボールトサーバで IPv6 アドレスを使用するには、 [IPV6 の初期設定]の 下の[IPV6 を有効にする]をクリックします。 注 : NetIQ では、このオプションを有効にすることをお勧めします。インストール後に IPv6 アドレス指定を有効にするには、セットアッププログラムを再度実行する必要があり ます。 HTTP スタックのポートは、NetIQ iManager で使用しているか、使用予定の HTTP スタック のポートとは別のポートを指定してください。詳細については、 『iManager Administration Guide』を参照してください。 ( 状況によって実行 ) eDirectory がインストールされる前にホストサーバにロードされてい るサービスがポート 636 を使用している場合は、SSL/TLS に別のポートを指定する必要 があります。 ( オプション ) 平文パスワードおよびその他のデータの使用を禁止するには、LDAP ポートの 指定時に[パスワードとの単純バインドに TLS を必要とする]を選択します。詳細につ いては、87 ページのセクション 8.5「識別ボールトと通信するための LDAP の使用」を参 照してください。 NetIQ Module Authentication Service (NMAS) 用にインストールするログインメソッドを指 定します。詳細については、『NetIQ Modular Authentication Services 3.3 Administration Guide』の「Managing Login and Post-Login Methods and Sequences」を参照してくださ い。 7 ウィザードの指示に従って、識別ボールトのインストールを完了します。 8 NMAS ログインメソッドを使用するには、各クライアントワークステーションに NMAS クラ イアントソフトウェアをインストールします。詳細については、『NetIQ eDirectory 管理ガイド 』の「NMAS Considerations」を参照してください。 9 ( オプション ) ウイルス対策またはバックアップソフトウェアプロセスから、eDirectory サーバ 上の DIB ディレクトリを除外します。DIB ディレクトリのバックアップは、eDirectory バック アップツールを使って行えます。eDirectory のバックアップの詳細については、『NetIQ eDirectory 管理ガイド』の「NetIQ eDirectory のバックアップと復元」を参照してください。 10.2 Windows サーバへの識別ボールトのサイレントイン ストールと設定 識別ボールトのサイレント ( 無人 ) インストールまたは設定をサポートするために、(Windows. ni ファイルに類似した ) セクションとキーを含む response.ni ファイルを使用できます。 98 NetIQ Identity Manager セットアップガイド 10.2.1 response.ni ファイルの編集 ASCII テキストエディタを使用して、response.ni ファイルを作成および編集できます。レスポンス ファイルは、次の操作に役立ちます。 必要なすべてのユーザ入力が用意された完全無人インストールの実行。 コンポーネントのデフォルト設定の定義。 インストール中のすべてのプロンプトのバイパス。 NetIQ では、インストールキットの products\eDirectory\x64\windows\x64\NDSonNT フォルダに response.ni ファイルが用意されています。このファイルには、必須パラメータのデフォルト設定が 含まれています。NWI:NDS セクションの eDirectory インスタンスの値を編集する必要があります。 注 : response.ni ファイルを編集する場合、キーと値のペアを結ぶ等号記号 (「=」) の前後にスペー スが入らないようにしてください。 警告 : 無人インストールで使用する response.ni ファイルで、管理者ユーザ資格情報を指定します。 管理者資格情報が危険にさらされることを防ぐには、インストールまたは設定後にこのファイルを 永久に削除する必要があります。 次のセクションでは、response.ni ファイルで必要なセクションおよびキーについて説明します。 99 ページの 「NWI:NDS」 102 ページの 「NWI:NMAS (NMAS メソッド )」 102 ページの 「eDir:HTTP ( ポート )」 103 ページの 「Novell:Languages:1.0.0 ( 言語設定 )」 103 ページの 「Initialization」 103 ページの 「NWI:SNMP」 104 ページの 「EDIR:SLP」 104 ページの 「Novell:ExistingTree:1.0.0」 104 ページの 「Selected Nodes」 105 ページの 「Novell:NOVELL_ROOT:1.0.0」 NWI:NDS Upgrade Mode インストールプログラムをアップグレードとして実行するかどうかを指定します。有効な値 は、False、True、および Copy です。 モード 実行するインストールのタイプを指定します。 full では、識別ボールトのインストールと設定の両方を実行できます。識別ボールトの新 規インストールと設定、または必須ファイルのアップグレードと設定のみを実行する場合 は、この値を指定します。 Windows サーバへの識別ボールトのインストール 99 install では、識別ボールトの新規バージョンのインストールまたは必要なファイルのアッ プグレードを実行できます。 configure では、識別ボールト設定の変更を実行できます。必須ファイルのアップグレー ドのみを実行する場合、インストールプログラムはアップグレードしたファイルだけを設 定します。 注 configure を指定した場合、[Initialization] セクション内の ConfigurationMode キーの RestrictNodeRemove 値を変更しないようにしてください。 full を指定した場合は、識別ボールトのアンインストール時に、個別の設定解除およびアン インストールオプションを選択することはできません。 新しいツリー このインストールが新しいツリー向けのものであるか、セカンダリサーバ向けのものであるか を指定します。有効な値は、Yes および No です。たとえば、新しいツリーをインストールす る場合は、Yes を指定します。既存のツリー向けの値の指定の詳細については、104 ページの 「Novell:ExistingTree:1.0.0」を参照してください。 ツリー名 これが新規のインストールである場合は、インストールするツリーの名前を指定します。セカ ンダリサーバをインストールするには、サーバの追加先のツリーを指定します。 サーバ名 識別ボールトにインストールするサーバの名前を指定します。 サーバコンテナ サーバオブジェクトの追加先となるツリー内のコンテナオブジェクトを指定します。サーバオ ブジェクトには、識別ボールトサーバに固有の設定の詳細がすべて含まれています。識別ボー ルトの新規バージョンをインストールする場合、インストールプログラムにより、サーバオブ ジェクトとともにこのコンテナが作成されます。 サーバコンテキスト サーバオブジェクトの完全な識別名 (DN) と、コンテナオブジェクトを指定します。たとえば、 識別ボールトサーバが EDIR-TEST-SERVER で、コンテナが Netiq である場合、EDIR-TESTSERVER.Netiq と指定します。 管理者コンテキスト 管理者オブジェクトの追加先となるツリー内のコンテナオブジェクトを指定します。たとえ ば、Netiq などです。ツリーに追加されたユーザにはユーザオブジェクトがあり、そこにユーザ 固有の詳細情報がすべて入っています。識別ボールトの新規バージョンをインストールする場 合、インストールプログラムにより、サーバオブジェクトとともにこのコンテナが作成されま す。 管理者ログイン名 少なくともこのサーバの追加先のコンテキストに対してフル権限を持つ、ツリー内の管理者オ ブジェクトの相対識別名 (RDN) を指定します。たとえば、Admin などです。インストールプロ グラムは、ツリー内でのすべての操作にこの名前を使用します。 100 NetIQ Identity Manager セットアップガイド 管理者パスワード 管理者オブジェクトのパスワードを指定します。たとえば、netiq123 です。識別ボールトの新 規バージョンをインストールする場合、インストールプログラムにより、管理者オブジェクト のこのパスワードが設定されます。 NDS ロケーション 識別ボールトライブラリおよびバイナリのインストール先となるローカルシステムのパスを指 定します。識別ボールトコンポーネントを設定する際、関連するファイルのこのインストール 場所が参照されます。デフォルトでは、インストールプログラムは C:\Novell\NDS にファイルを 配置します。 DataDir DIB ファイルのインストール先となるローカルシステムのパスを指定します。デフォルトで は、インストールプログラムは C:\Novell\NDS\DIBFiles にファイルを配置します。 ご使用の環境の DIB データファイルが、デフォルトの場所で使用可能な容量を超える容量を必 要としている場合は、別のパスを指定することもできます。 インストレーションロケーション ( オプション ) NDS の場所にファイルをコピーするときにインストールプログラムによって使 用されるパスを指定します。たとえば、[Novell:DST:1.0.0_Location]、Path=file://C:\Novell\NDS な どです。デフォルト値は C:\Novell\NDS です。これは、NDS の場所のデフォルトと同じです。 インストールプログラムは、指定された NDS および DataDir の場所にファイルをコピーする とき、このパスを使用します。 システムロケーション ( オプション ) 識別ボールトサーバのインストール先コンピュータのシステムフォルダへのパ スを指定します。たとえば、[Novell:SYS32_DST:1.0.0_Location]、Path=file:/C:\Windows\system32 などです。インストールプログラムは、インストール中に DLL をコピーしてシステム固有の ファイルにアクセスする際に、システムフォルダへのアクセス権を必要とします。 TLS 要求 ( オプション ) LDAP 要求を平文で受信するとき、識別ボールトで Transport Layer Security (TLS) プロトコルを必要とするかどうかを指定します。 LDAP TLS ポート ( オプション ) 識別ボールトが平文の LDAP 要求をリスンするポートを指定します。 LDAP SSL ポート ( オプション ) 識別ボールトが Secure Sockets Layer (SSL) プロトコルを使用して LDAP 要求 をリスンするポートを指定します。 Install as Service ( サービスとしてインストール ) Windows で、eDirectory をサービスとしてインストールするよう、インストールプログラムに 指示します。Yes を指定する必要があります。 プロンプト インストールプログラムによって、ツリー名やサーバ名などの決定を求めるプロンプトを表示 するかどうかを指定します。たとえば、サイレントまたは無人インストールの場合は、False を指定します。 Windows サーバへの識別ボールトのインストール 101 NWI:NMAS (NMAS メソッド ) 識別ボールトでは、インストール時とアップグレード時の両方で、複数の NMAS メソッドがサポー トされています。response.ni ファイルで NDS NMAS メソッドを指定する必要があります。 NMAS メソッドを何も指定しないと、インストールプログラムにより、デフォルトで NDS メソッ ドがインストールされます。ただし、明示的リストを作成している場合は、NDS を含める必要があ ります。 Choices インストールする NMAS メソッドの数を指定します。たとえば、5 と入力します。 Methods インストールする NMAS メソッドのタイプを指定します。複数のタイプを指定するには、カン マで区切ります。たとえば、CertMutual,Challenge Response,DIGEST-MD5,NDS などです。 インストールプログラムは、インストールする NMAS メソッドを選択するため、文字列の正確 な比較 ( 大文字 / 小文字を区別 ) を行います。そのため、記載されているとおり正確に値を指 定する必要があります。 CertMutual Challenge Response - NetIQ チャレンジ / レスポンス方式 NMAS メソッド。 DIGEST-MD5 高度なパスワード Entrust GSSAPI - eDirectory 用 SASL GSSAPI メカニズム。Kerberos チケットを使用して、LDAP を 介して行われる識別ボールトの認証。 NDS - デフォルトのログインメソッド。REQUIRED. NDS パスワード変更 単純パスワード Universal Smart Card X509 拡張証明書 X509 Certificate レスポンスファイルで NMAS メソッドを指定する際、識別ボールトは、ユーザ入力のプロンプトを 出さずに、インストール中にステータスメッセージを表示します。 eDir:HTTP ( ポート ) 識別ボールトは、Web を介したアクセスのために事前設定された HTTP ポートをリスンします。た とえば、iMonitor は、Web インタフェースを介して識別ボールトにアクセスします。適切なアプリ ケーションにアクセスするには、特定のポートを指定する必要があります。次のオプションを使用 して、特定のポートに対して識別ボールトを設定できます。 平文 HTTP ポート 平文での HTTP 操作のためのポート番号を指定します。 SSL HTTP ポート SSL プロトコルを使用した HTTP 操作のためのポート番号を指定します。 102 NetIQ Identity Manager セットアップガイド Novell:Languages:1.0.0 ( 言語設定 ) インストール時、識別ボールトのロケールおよび表示言語 ( 英語、フランス語、日本語 ) を指定で きます。これらの値は相互排他的です。 LangID4 英語を表します。たとえば、LangID4=true などです。 LangID6 フランス語を表します。 LangID9 日本語を表します。 注 複数の言語に true を指定しないでください。 インストールプロセス全体でメッセージの表示に使用される言語を指定することもできます。 詳細については、103 ページの 「Initialization」を参照してください。 Initialization response.ni ファイルの [Initialization] セクションでは、インストールプロセスの設定を指定します。 DisplayLanguage インストールプロセスで表示されるメッセージで使用される言語を指定します。たとえば、 DisplayLanguage=en_US などです。 InstallationMode インストールプロセスの実行方法を指定します。たとえば、サイレントまたは無人インストー ルを実行するには、silent を指定します。 SummaryPrompt インストール設定の概要を確認することを求めるプロンプトを表示するかどうかを指定しま す。たとえば、サイレントまたは無人インストールの場合は、false を指定します。 確認メッセージ 決定を求めるプロンプトを表示するかどうかを指定します。たとえば、サイレントまたは無人 インストールの場合は、false を指定します。 NWI:SNMP ほとんどの Windows サーバでは、SNMP が設定され、動作しています。識別ボールトをインス トールするときは、SNMP サービスを停止し、プロセスの完了後に再起動する必要があります。手 動インストールでは、インストールを続行する前に SNMP サービスを停止するよう求めるプロンプ トが表示されます。 サイレントまたは無人インストールでプロンプトを表示しないで SNMP サービスを停止するには、 response.ni ファイルの [NWI:SNMP] セクションで、Stop Service=yes と指定します。 Windows サーバへの識別ボールトのインストール 103 EDIR:SLP 識別ボールトは、インストール時やアップグレード時、Service Location Protocol (SLP) サービスを 使用して、サブネット内の他のサーバやツリーを特定します。SLP サービスがすでにサーバにイン ストールされている場合、識別ボールトの現在のバージョンに付属しているバージョンに置き換え るか、独自の SLP サービスを使用することができます。 Need to uninstall service ( サービスのアンインストールが必要 ) サーバにインストールされている SLP サービスをアンインストールするかどうかを指定しま す。デフォルト値は、true です。 Need to remove files ( ファイルの削除が必要 ) サーバにインストールされている SLP サービスのファイルを削除するかどうかを指定します。 デフォルト値は、true です。 Novell:ExistingTree:1.0.0 インストールプログラムには、プライマリサーバまたはセカンダリサーバをネットワークに無人イ ンストールする際に使用できるオプションがあります。インストールプログラムは、3 つの異なる キーを使用して、新しいツリーをインストールするのか、既存のツリーにセカンダリサーバをイン ストールするのかを判断します。 注 : New Tree キーは、NWI:NDS セクションにあります。詳細については、99 ページの 「NWI:NDS」を参照してください。 ExistingTreeYes 有効な値は、True および False です。たとえば、新しいツリーをインストールする場合は、 False を指定します。 ExistingTreeNo 有効な値は、True および False です。たとえば、新しいツリーをインストールする場合は、 True を指定します。 プライマリサーバまたはセカンダリサーバのインストールに関する決定を求めるプロンプトを表示 しないでサイレントまたは無人インストールを実行するには、response.ni ファイルの Existing Tree セクションで、prompt=false と指定します。 Selected Nodes response.ni ファイルのこのセクションには、識別ボールトにインストールされたコンポーネントと、 コンポーネントに関する詳細情報 ( ソースの場所、コピー先の場所、コンポーネントのバージョン など ) が格納されたプロファイルデータベースの情報が一覧表示されます。プロファイルデータ ベース内の詳細情報は、識別ボールトのリリースで提供される .db ファイルに蓄積されます。 コピー先の場所やバージョンに関する詳細など、決定を求めるプロンプトを表示しないでサイレン トまたは無人インストールを実行するには、response.ni ファイルの [Selected Nodes] セクションで、 prompt=false と指定します。 レスポンスファイルには、このセクションが含まれている必要があります。サンプルの response.ni ファイルに記載されているとおりのキーと値を使用します。 104 NetIQ Identity Manager セットアップガイド Novell:NOVELL_ROOT:1.0.0 response.ni ファイルのこのセクションには、インストールプロセスにおける画像とステータスの表 示の設定が含まれています。たとえば、ファイルの書き込みの競合やファイルのコピーの判断など でインストールプログラムがどのように対応するかを指定できます。画像を表示するかどうかを指 定することもできます。ほとんどの画像には、インストールされている識別ボールトのバージョン、 インストールされているコンポーネント、初期画面、ライセンスファイル、カスタマイズオプショ ン、現在インストール中のコンポーネントや完了パーセントを示すステータスメッセージなどに関 する情報が含まれています。eDirectory を埋め込む一部のアプリケーションでは、このような画像 を表示しないことが望ましい場合があります。 コピー先の場所やバージョンに関する詳細など、決定を求めるプロンプトを表示しないでサイレン トまたは無人インストールを実行するには、response.ni ファイルのこのセクションで、prompt=false と指定します。 レスポンスファイルには、このセクションが含まれている必要があります。サンプルの response.ni ファイルに記載されているキーと値を使用します。 10.2.2 サイレントまたは無人インストールの実行 始める前に、Windows サーバでサイレントまたは無人インストールを実行するための前提条件を確 認します。詳細については、69 ページのセクション 7.2.3「Windows サーバに識別ボールトをイン ストールする場合の前提条件」を参照してください。さらに、インストールのテンプレートとして 使用する response.ni ファイルを作成します。詳細については、99 ページのセクション 10.2.1 「response.ni ファイルの編集」を参照してください。 注 : インストール、アップグレード、または設定に関するステータスウィンドウがオペレーティン グシステムによって表示されないようにするには、コマンドで nopleasewait オプションを使用しま す。 1 新しい response.ni ファイルを作成するか、既存のレスポンスファイルを編集します。レスポン スファイルの値の詳細については、99 ページのセクション 10.2.1「response.ni ファイルの編 集」を参照してください。 2 識別ボールトをインストールするコンピュータに管理者アカウントでログインします。 3 [管理者として実行]オプションを有効にしてコマンドプロンプトを開きます。 4 コマンドラインに、次のコマンドを入力します。 path_to_installation_files\windows\eDirectory\x64\NDSonNT>install.exe /silent /nopleasewait /template=Response file 次に例を示します。 D:\builds\eDirectory\windows\eDirectory\x64\NDSonNT>install.exe /silent / nopleasewait /template=D:\builds\eDirectory\windows\x64\NDSonNT\response.ni 10.2.3 サイレント設定の実行 1 新しい response.ni ファイルを作成するか、既存のレスポンスファイルを編集します。レスポン スファイルの値の詳細については、99 ページのセクション 10.2.1「response.ni ファイルの編 集」を参照してください。 2 識別ボールトをインストールするコンピュータに管理者アカウントでログインします。 3 [管理者として実行]オプションを有効にしてコマンドプロンプトを開きます。 Windows サーバへの識別ボールトのインストール 105 4 コマンドラインに、次のコマンドを入力します。 Windows Drive\Program Files\Common Files\novell>install.exe /silent / restrictnoderemove /nopleasewait /template=Response file 次に例を示します。 c:\Program Files\Common Files\novell>install.exe /silent /restrictnoderemove / nopleasewait /template=D:\builds\eDirectory\windows\x64\NDSonNT\response.ni 10.2.4 サイレントインストールと設定の実行 始める前に、Windows サーバでサイレントまたは無人インストールを実行するための前提条件を確 認します。詳細については、69 ページのセクション 7.2.3「Windows サーバに識別ボールトをイン ストールする場合の前提条件」を参照してください。さらに、インストールのテンプレートとして 使用する response.ni ファイルを作成します。 1 新しい response.ni ファイルを作成するか、既存のレスポンスファイルを編集します。レスポン スファイルの値の詳細については、99 ページのセクション 10.2.1「response.ni ファイルの編 集」を参照してください。 2 識別ボールトをインストールするコンピュータに管理者アカウントでログインします。 3 [管理者として実行]オプションを有効にしてコマンドプロンプトを開きます。 4 コマンドラインに、次のコマンドを入力します。 Unzipped Location\windows\eDirectory\x64\NDSonNT>install.exe /silent / nopleasewait /template=Response file 次に例を示します。 D:\builds\eDirectory\windows\eDirectory\x64\NDSonNT>install.exe /silent / nopleasewait /template=D:\builds\eDirectory\windows\x64\NDSonNT\response.ni 106 NetIQ Identity Manager セットアップガイド 11 クラスタ環境への識別ボールトのインス トール 1 一部の環境で高可用性を実現するためには、識別ボールトをクラスタ環境にインストールすること が実行可能な代替案となる場合があります。 このセクションでは、共有ストレージを使用して、高可用性クラスタ上で識別ボールトを環境設定 するためのガイドラインについて説明します。このセクションの情報は、サポート対象の Windows または Linux プラットフォームにおける一般的な高可用性クラスタの共有ストレージに関するもの であり、特定のクラスタマネージャに特化したものではありません。 NetIQ では、始める前にクラスタ環境に関する考慮事項を確認することをお勧めします。詳細につ いては、70 ページのセクション 7.2.4「クラスタ環境への識別ボールトのインストールに関する前 提条件」を参照してください。 このセクションの手順は、次の前提条件に基づいています。 識別ボールトの基盤となる構造として eDirectory を使用している。 ユーザが eDirectory のインストール手順に精通している。 2 ノードクラスタを使用している。 注 : 2 ノードクラスタは、高可用を実現するために使われる最小環境設定です。ただし、この セクションのコンセプトは、ノードを追加することで、簡単にクラスタに拡張することができ ます。eDirectory は複数のクラスタノードを使用する負荷分散をサポートしていないことに注 意してください。 11.1 Linux 上のクラスタへの識別ボールトのインストール この手順は、Linux 環境で識別ボールトの基盤となる構造として eDirectory を使用することを前提 としています。NetIQ では、次の考慮事項を確認することをお勧めします。 eDirectory を環境設定する場合、デフォルトの NCP サーバ名は、eDirectory をインストールした コンピュータのホストサーバ名になります。eDirectory はクラスタ環境内の複数のホスト上で ホストされているため、デフォルト名を使用する代わりに、クラスタに対して一意となる NCP サーバ名を指定します。たとえば、プライマリクラスタノード上に eDirectory を設定し た場合、NCP サーバに clusterserver という名前を指定できます。 環境設定処理中、eDirectory のインストールで必ず仮想 IP アドレスを設定してください。クラ スタ環境では、eDirectory はシステムの IP アドレスではなく、仮想 IP アドレスだけをリスン します。 重要 : 理想的には、クラスタマネージャは、2 台以上のノードが同じ DIB に同時にアクセスしない ことを確認します。ただし、ユーザが、2 台以上のクラスタノードから同時に ndsd が実行されない ことを確認する必要があります。これは、2 台以上のノードを介して同じ DIB にアクセスすると、 DIB の破損につながるからです。 クラスタ環境への識別ボールトのインストール 107 11.1.1 Linux サーバへの識別ボールトのインストールと設定 1 プライマリクラスタノードとして使用する Linux サーバに識別ボールトをインストールして設 定します。 インストールの詳細については、93 ページの第 9 章「Linux サーバへの識別ボールトのインス トール」を参照してください。 2 テキストエディタで、nds.conf ファイルを開きます。このファイルは、デフォルトで /etc/opt/ novell/eDirectory/conf ディレクトリにあります。 3 n4u.nds.preferred-server 設定をクラスタイントールの仮想 IP アドレスに変更します。 4 nds.conf ファイルを保存して閉じます。 5 ( オプション ) eDirectory のインストールを確認するには、ndsstat コマンドを使用します。 eDirectory はプライマリクラスタノードで稼働している必要があります。 6 クラスタマネージャを使用して共有ファイルシステムをマウントします。 7 次のディレクトリ内のすべてのデータをバックアップします。 /var/opt/novell/nici /var/opt/novell/eDirectory/data (n4u.server.vardir) /var/opt/novell/eDirectory/data/ (n4u.nds.dir) /etc/opt/novell/eDirectory/conf (n4u.server.configdir) /var/opt/novell/eDirectory /log 注 : デフォルト以外の場所に eDirectory をインストールする場合、ndsconfig get コマンドを 使って、インストールで使われた vardir や dir パスを検索できます。 8 プライマリクラスタノードサーバで eDirectory サービスを停止するには、端末を開き、次のコ マンドを実行します。 ndsmanage stopall 9 端末で、nds-cluster-config 環境設定ユーティリティに移動します。デフォルトでは、/opt/novell/ eDirectory/bin ディレクトリにあります。 10 次のコマンドを実行します。 nds-cluster-config -s /sharedfilesystem ここで、sharedfilesystem は、eDirectory 共有クラスタデータ用に使用する場所を表します。 注 : -u オプションを使って、ユーティリティを無人モードで実行することもできます。このオ プションを使用すると、クラスタの eDirectory を設定するときに、ユーティリティによる確認 は行われなくなります。 無人オプションを使用する場合、-s オプションを併せて使用し、共有クラスタファイルシステ ムを指定する必要があります。 108 NetIQ Identity Manager セットアップガイド 11 クラスタ共有ストレージが有効であることを、nds クラスタ環境設定ユーティリティが確認し た後、 [y]をクリックして、クラスタの環境設定を続行します。 環境設定ユーティリティは、先に示したディレクトリ内のデータを、共有ファイルシステムの 次の場所に移動します。 sharedfilesystem/nici sharedfilesystem/data sharedfilesystem/data/ sharedfilesystem/conf sharedfilesystem/log 12 eDirectory サービスを再起動するには、次のコマンドを実行します。 ndsmanage startall 13 ( オプション ) eDirectory のステータスをチェックするには、ndsstat コマンドを使用します。 14 クラスタのセカンダリノードを準備するには、次の手順を実行します。 14a eDirectory サービスを停止するには、次のコマンドを実行します。 ndsmanage stopall 14b クラスタのセカンダリノードとして使用するサーバにログインします。 14c クラスタマネージャを使って、共有ストレージをセカンダリノードに移動します。 14d プライマリクラスタノードにインストールしたバージョンと同じ eDirectory のバージョン を、セカンダリクラスタノードにインストールします。ただし、eDirectory は設定しない でください。 14e 端末で、セカンダリノードの nds-cluster-config 環境設定ユーティリティに移動します。デ フォルトでは、/opt/novell/eDirectory/bin ディレクトリにあります。 14f 端末で次のコマンドを実行します。 nds-cluster-config -s /sharedfilesystem ここで、sharedfilesystem は、クラスタ共有ストレージを表します。sharedfilesystem のパス は、108 ページのステップ 10 でプライマリノードに対して設定したものと同じパスであ る必要があります。 nds-cluster-config ユーティリティは、セカンダリクラスタノードを、共有クラスタファイ ルシステム上に格納されている共有 eDirectory データにリンクします。 14g セカンダリクラスタノードサーバで eDirectory サービスを起動するには、次のコマンドを 実行します。 ndsmanage startall 14h ( オプション ) eDirectory のステータスをチェックするには、ndsstat コマンドを使用しま す。 14i セカンダリクラスタノードサーバで eDirectory サービスを停止するには、次のコマンドを 実行します。 ndsmanage stopall 15 クラスタの両方のノード上で eDirectory を正常に環境設定した後、次のコマンドを使用して、 各ノード上の ndsd サービスのスタートアップモードを変更する必要があります。 クラスタ環境への識別ボールトのインストール 109 chkconfig -d ndsd 16 環境設定ユーティリティで 2 番目のノードの環境設定が終了した後、クラスタマネージャを 使って、eDirectory サービスをクラスタに追加できます。 11.1.2 Linux のクラスタ環境での SNMP サーバの設定 1 クラスタ内の各ノードで、snmpd.conf ファイルを変更します。 詳細については、『NetIQ eDirectory 8.8 SP8 管理ガイド』の「eDirectory の SNMP サービスの インストールと設定」を参照してください。 2 ndssnmpsa を起動します。 3 [Remember password ( パスワー を保存する )]で、 [はい]を選択します。 4 snmp サービスを起動するには、次のいずれかを実行します。 /etc/init.d/ndssnmpsa start を post_ndsd_start スクリプトに追加し、/etc/init.d/ndssnmpsa stop を pre_ndsd_stop スクリプトに追加します。 eDirectory リソースに依存するクラスタリソースとして ndssnmpsa を追加します。 注 : eDirectory は仮想 IP アドレスをリスンするため、トラップにはホストの IP アドレスが設定さ れます。これはエージェントの IP アドレスになります。 11.2 Windows 上のクラスタへの識別ボールトのインス トール このセクションでは、Windows の高可用性クラスタリングを使用して、eDirectory を環境設定する 方法について説明します。 11.2.1 Windows への識別ボールトのインストールと設定 1 プライマリクラスタノードとして使用する Windows サーバに識別ボールトをインストールし て設定します。 インストールの詳細については、97 ページの第 10 章「Windows サーバへの識別ボールトのイ ンストール」を参照してください。 2 クラスタマネージャを使用して共有ファイルシステムをマウントします。 3 すべての DIB ファイルと NICI データをバックアップします。 4 プライマリクラスタノードサーバで端末を開きます。 5 端末で、NDSCons.exe 環境設定ユーティリティに移動します。デフォルトでは、eDirectory イ ンストールフォルダにあります。 6 端末で次のコマンドを実行します。 NDSCons.exe 7 NDS 環境設定ユーティリティで[シャットダウン]をクリックして、すべての eDirectory サー ビスを停止します。 8 [Yes ( はい )]をクリックして確認します。 110 NetIQ Identity Manager セットアップガイド 9 端末で、eDirectory 共有クラスタ環境設定ユーティリティ dsclusterconfig.exe に移動します。デ フォルトでは、eDirectory インストールディレクトリにあります。 10 次のコマンドを実行します。 dsclusterconfig.exe -s /sharedfilesystem ここで、sharedfilesystem は、eDirectory 共有クラスタデータ用に使用する場所を表します。 注 -s と -u オプションを使って、無人モードでユーティリティを実行することもできます。 プライマリクラスタノードにマウントされている共有ドライブ内のフォルダを指定する必 要があります。ドライブ名だけを指定することはできません。たとえば、E: を指定するの ではなく、E:\Novell を指定する必要があります。 11 クラスタ共有ストレージが有効であることを、クラスタ環境設定ユーティリティが確認した 後、[y]をクリックして、クラスタの環境設定を続行します。 12 クラスタ環境設定ユーティリティは、先に示したディレクトリ内のデータを、共有ファイルシ ステムの次の場所に移動します。 sharedfilesystem/nici sharedfilesystem/Files 共有ファイルシステムへの eDirectory データの移動に加え、ユーティリティは eDirectory サー ビスのレジストリキーを共有ボリュームにコピーし、キーを ndsConfigKey ファイルとして保存 します。 また、プライマリノードコンピュータの NDS Server サービスの[起動のタイプ]を、[自動] から[手動]に変更します。 13 NDS 環境設定ユーティリティ ndsconfig で、 [起動]をクリックして、すべての eDirectory サービスを起動します。 14 すべての eDirectory サービスが実行されていることを確認し、NDS 環境設定ユーティリティを 使用してサービスを再度停止します。 15 NDS 環境設定ユーティリティを終了します。 16 クラスタのセカンダリノードを準備するには、次の手順を実行します。 16a クラスタのセカンダリノードとして使用するサーバにログインします。 16b クラスタマネージャを使って、共有ストレージをセカンダリノードに移動します。 16c サイレント ( 無人 ) インストールで、セカンダリノードに eDirectory をインストールしま す。インストールのモードが「Install」であることを確認します。詳細については、 98 ページのセクション 10.2「Windows サーバへの識別ボールトのサイレントインストー ルと設定」を参照してください。 16d セカンダリクラスタノードサーバで端末を開きます。 16e 端末で、NDSCons.exe 環境設定ユーティリティに移動します。デフォルトでは、 eDirectory インストールフォルダにあります。 16f 端末で次のコマンドを実行します。 dsclusterconfig.exe -s /sharedfilesystem ここで、sharedfilesystem は、クラスタ共有ストレージを表します。sharedfilesystem のパス は、プライマリノードの設定時に指定したパスの場所と同じである必要があります。 クラスタ環境への識別ボールトのインストール 111 クラスタ環境設定ユーティリティは、セカンダリクラスタノードのレジストリを、共有ク ラスタファイルシステム上に格納されている共有 eDirectory データに更新します。 16g 環境設定ユーティリティによるセカンダリノードの環境設定が終了したら、NDS 環境設 定ユーティリティを実行します。 16h NDS 環境設定ユーティリティで、 [起動]をクリックします。 16i [Yes ( はい )]をクリックして確認します。 16j NDS 環境設定ユーティリティがすべての eDirectory サービスを起動したら、eDirectory を 確認し、[シャットダウン]をクリックします。 16k [Yes ( はい )]をクリックして確認します。 17 クラスタリソースグループで eDirectory を設定するには、次の手順を実行します。 17a eDirectory に使用するリソースグループに新しいリソースを作成します。 17b 次の詳細を指定します。 リソースタイプ - 汎用サービス 依存先 - リソースグループの IP アドレスと共有ディスク サービス名 - NDS Server0 起動パラメータなし レジストリキー -SYSTEM\CurrentControlSet\Services\NDS Server0 11.2.2 Windows のクラスタ環境での SNMP サーバの設定 1 プライマリクラスタノードで、マスタエージェントを設定し、自動化する起動タイプを設定し ます。詳細については、『NetIQ eDirectory 管理ガイド』の「eDirectory の SNMP サービスのイ ンストールと設定」を参照してください。 2 パスワードの入力を求めるプロンプトが表示されたら、eDirectory パスワードを保存します。 3 サブエージェントを起動します。 4 クラスタのノードごとにこの手順を繰り返します。 112 NetIQ Identity Manager セットアップガイド 12 12 インストール後の識別ボールトの設定 識別ボールトのインストール後、ndsconfig ユーティリティを使用してディレクトリを設定し、 ndsmanage ユーティリティを使用してサーバインスタンスを作成、起動、および停止できます。ご 使用のサーバが IPv6 アドレス指定をサポートしている場合は、IPv6 アドレスと連携するように識 別ボールトを設定することもできます。 12.1 ndsconfig ユーティリティを使用した、 eDirectory ツリーとレプリカサーバの変更 識別ボールトのインストール後、ndsconfig ユーティリティを使用して識別ボールトを設定できま す。ndsconfig ユーティリティを使用するには、管理者の権利を持っている必要があります。引数 付きでこのユーティリティを使用した場合は、すべての引数が検証され、管理者の権利を持つユー ザのパスワード入力を要求するプロンプトが表示されます。引数なしで ndsconfig ユーティリティ を使用した場合は、このユーティリティに関する説明と利用可能なオプションが表示されます。 このユーティリティを使用して、eDirectory レプリカサーバを削除したり、eDirectory サーバの現 在の設定を変更したりすることもできます。詳細については、113 ページの第 12 章「インストール 後の識別ボールトの設定」を参照してください。 ndsconfig ユーティリティを使用する場合、次の条件が適用されます。 treename、admin_FDN、および server_FDN 変数で使用できる最大文字数次のとおりです。 treename: 32 文字 admin_FDN: 255 文字 server_FDN: 255 文字 既存のツリーにサーバを追加する場合、指定したコンテキストがサーバオブジェクトに存在し ていないと、ndsconfig ユーティリティは、サーバを追加する際にそのコンテキストを作成し ます。 識別ボールトのインストール後、LDAP およびセキュリティサービスを既存のツリーに追加で きます。 サーバで暗号化レプリケーションを有効にするには、既存のツリーにサーバを追加するための コマンドに -E オプションを含めます。暗号化レプリケーションの詳細については、『NetIQ eDirectory 8.8 SP8 管理ガイド』の「暗号化レプリケーション」を参照してください。 ndsconfig ユーティリティを使用して eDirectory を変更する方法については、『NetIQ eDirectory 8.8 SP8 管理ガイド』を参照してください。 インストール後の識別ボールトの設定 113 12.1.1 ndsconfig ユーティリティのパラメータの理解 ndsconfig ユーティリティでは、次のパラメータがサポートされています。 new 新しいツリーを作成します。コマンドラインにパラメータが指定されてない場合、ユーティリ ティによって、指定されていない各パラメータに値を入力するよう求めるプロンプトが表示さ れます。 def 新しいツリーを作成します。コマンドラインにパラメータが指定されていない場合、ndsconfig によって、指定されていない各パラメータにデフォルト値が適用されます。 追加 既存のツリーにサーバを追加します。また、既存のツリーで識別ボールトを設定した後、 LDAP および SAS サービスを追加します。 rm サーバオブジェクトとディレクトリサービスをツリーから削除します。 注 : このオプションを指定しても、キーマテリアルオブジェクトは削除されません。これらの オブジェクトは手動で削除する必要があります。 upgrade eDirectory を使用中のバージョンよりも新しいバージョンにアップグレードします。 -i 新しいツリーの設定時に、同じ名前のツリーが存在しているかどうかのチェックを行わないよ うにユーティリティに指示します。複数の同じ名前を持つツリーが存在できます。 -S server_name サーバ名を指定します。サーバ名にはピリオドを使用できます (netiq.com など )。ただし、ピ リオドに対するエスケープ文字を含める必要があります。エスケープ文字の使用の詳細につい ては、79 ページのセクション 8.1「コンテナ名にピリオド (「.」) が含まれている場合のエス ケープ文字の使用」を参照してください。 -t treename サーバの追加先ツリーの名前を指定します。最大で 32 文字の名前を付けることができます。 指定しない場合、ndsconfig は、/etc/opt/novell/eDirectory/conf/nds.conf ファイルで指定されている n4u.nds.treename パラメータのツリー名を採用します。デフォルトのツリー名は $LOGNAME$HOSTNAME-NDStree です。 -n server_context サーバオブジェクトを追加するサーバのコンテキストを指定します。最大で 64 文字の名前を 付けることができます。このコンテキストが指定されていない場合、ndsconfig は /etc/opt/ novell/eDirectory/conf/nds.conf ファイルの n4u.nds.server-context 環境設定パラメータに指定されて いるコンテキストを採用します。サーバコンテキストはタイプつきの形式で指定する必要があ ります。デフォルトのコンテキストは org です。 -d path_for_DIB データベースファイルの保管先とする位置のディレクトリパスを指定します。 114 NetIQ Identity Manager セットアップガイド -r サーバにすでに追加されているサーバの数にかかわらず、サーバのレプリカが強制的に追加さ れます。 -L ldap_port LDAP サーバの TCP ポート番号を指定します。デフォルトのポートである 389 が使用中の場 合は、新しいポート番号を指定するように求めるプロンプトが表示されます。 -l ssl_port LDAP サーバの SSL ポート番号を指定します。デフォルトのポートである 636 が使用中の場 合は、新しいポート番号を指定するように求めるプロンプトが表示されます。 -a admin_FDN サーバオブジェクトとディレクトリサービスの作成先のコンテキストに対するスーパバイザ権 を持つ、ユーザオブジェクトの完全識別名を指定します。admin 名はタイプつきの形式で指定 する必要があります。最大で 64 文字の名前を付けることができます。デフォルト値は admin.org です。 -e LDAP オブジェクトの平文パスワードを有効にします。 -m module_name インストールまたは設定対象のモジュールの名前を指定します。新しいツリーを設定する場合 は、ds モジュールのみを指定できます。DS モジュールを設定してから、add コマンドを使用 して、NMAS、LDAP、SAS、SNMP、HTTP の各サービス、および SecretStore (ss) を追加す ることができます。モジュール名が指定されていない場合は、すべてのモジュールがインス トールされます。 注 : nds-install コマンドを使用して eDirectory をアップグレードしているときに、SecretStore を設定しない場合は、このオプションに no_ss という値を渡します。たとえば、「ndsinstall '-m no_ss'」と入力します。 -o HTTP クリアポート番号を指定します。 -O HTTP セキュアポート番号を指定します。 -p IP_address:[port] このサーバの追加先パーティションのレプリカを保持するリモートホストの IP アドレスを指 定します。セカンダリサーバをツリーに追加する場合 (add コマンド ) は、このオプションを使 用します。デフォルトのポート番号は 524 です。これにより、SLP ルックアップが回避される ため、ツリーのルックアップが高速化されます。 -R サーバの追加先パーティションをローカルサーバに複製します。このオプションを使用する と、レプリカをローカルサーバに追加することは許可されません。 インストール後の識別ボールトの設定 115 -c ndsconfig 操作中のプロンプト ( 操作を続行するための yes/no の選択など ) や、競合が発生し たときにポート番号の再入力を求めるプロンプトなどが表示されないようにします。ただし、 コマンドラインで必須パラメータを渡さなかった場合のみ、必須パラメータの入力を求めるプ ロンプトが表示されます。 -w admin_password このオプションを使用すると、管理ユーザパスワードを平文で渡すことができます。 注 : NetIQ では、パスワードセキュリティに懸念がある環境ではこのオプションを使用するこ とはお勧めしません。 -E 追加するサーバに対して暗号化レプリケーションを有効にします。 -j 識別ボールトをインストールする前に、ヘルスチェックオプションを回避するか、無効にする ようにユーティリティに指示します。 -b port_to_bind 特定のインスタンスが監視に使用するデフォルトのポート番号を指定します。これにより、 n4u.server.tcp-port と n4u.server.udp-port にデフォルトのポート番号が設定されます。-b オプショ ンを使用して NCP ポートを指定する場合、ユーティリティは、ポートがデフォルトポートで あることを想定し、それに応じて TCP および UDP パラメータを更新します。 注 : -b および -B オプションは、相互排他的パラメータです。 -B interface1@port1, interface2@port2,... ポート番号を IP アドレスまたはインタフェースとともに指定します。たとえば、-B eth0@524、 -B 100.1.1.2@524、-B[2015::3]@524 などです。 注 -b および -B オプションは、相互排他的パラメータです。 IPv6 アドレスを指定するには、アドレスを角かっこ ([ ]) で囲む必要があります。 --config-file configuration_file nds.conf 環境設定ファイルを格納するための絶対パスとファイル名を指定します。たとえば、 環境設定ファイルを /etc/opt/novell/eDirectory/directory に格納するには、次のコマンドを入力しま す。 --config-file /etc/opt/novell/eDirectory/nds.conf -P LDAP_URL(s) LDAP URL で、LDAP サーバオブジェクト上の LDAP インタフェースを設定できるようにしま す。複数の URL を指定するには、カンマで区切ります。次に例を示します。 -P ldap://1.2.3.4:1389,ldaps://1.2.3.4:1636,ldap://[2015::3]:389 116 NetIQ Identity Manager セットアップガイド 注 IPv6 アドレスを指定するには、アドレスを角かっこ ([ ]) で囲む必要があります。たとえば、 ldap://[2015::3]:389 などです。 LDAP URL を初期設定の段階で指定しない場合は、後から ldapconfig コマンドまたは iManager を使用して ldapInterfaces 属性に追加できます。詳細については、86 ページの 「IPV6 の LDAP URL の LDAP サーバオブジェクトへの追加」を参照してください。 -D path_for_data 指定したパスに data、dib、および log ディレクトリを作成します。 set valuelist 識別ボールト用に指定した設定可能パラメータの値を設定します。このオプションを使用し て、ツリーを設定する前に、ブートストラップパラメータを設定します。 環境設定パラメータを変更した場合、新しい値を有効にするには、ndsd を再起動する必要が あります。次の環境設定パラメータの場合は、ndsd を再起動する必要はありません。 n4u.nds.inactivity-synchronization-interval n4u.nds.synchronization-restrictions n4u.nds.janitor-interval n4u.nds.backlink-interval n4u.nds.drl-interval n4u.nds.flatcleaning-interval n4u.nds.server-state-up-threshold n4u.nds.heartbeat-schema n4u.nds.heartbeat-data get help paramlist 識別ボールト用に指定した設定可能パラメータのヘルプ文字列を表示します。パラメータリス トを指定しない場合、ユーティリティにより、すべての設定可能パラメータのヘルプ文字列が 表示されます。 12.1.2 特定のロケールでの識別ボールトの設定 識別ボールトを特定のロケールで設定するには、設定を行う前に、その特定のロケールに LC_ALL および LANG をエクスポートする必要があります。たとえば、ndsconfig ユーティリティで次のコ マンドを入力します。 export LC_ALL=ja export LANG=ja インストール後の識別ボールトの設定 117 12.1.3 識別ボールトへの新しいツリーの追加 識別ボールトに新しいツリーを作成する場合、ndsconfig ユーティリティが設定を支援します。ま たは、単一のコマンドを入力してすべてのパラメータ値を指定することができます。識別ボールト サーバが IPv6 アドレスをサポートしている場合は、新しいツリーの IPv6 アドレスを指定できます。 1 ( 状況によって実行 ) ndsconfig ユーティリティが識別ボールトにおける新しいツリーのパラ メータについてプロンプトを表示するようにするには、次のコマンドを入力します。 ndsconfig new [-t tree_name] [-n server_context] [-a admin_FDN] 次に例を示します。 ndsconfig new -t corp-tree -n o=company -a cn=admin.o=company 2 ( 状況によって実行 ) コマンドラインにすべてのパラメータを指定することで識別ボールトに新 しいツリーを作成するには、次のテキストを入力します。 ndsconfig new [-t treename] [-n server_context] [-a admin_FDN] [-i] [-S server_name] [-d path_for_dib] [-m module] [e] [-L ldap_port] [-l SSL_port] [-o http_port] [-O https_port] [-p IP_address:[port]] [-R] [-c] [-w admin_password] [-b port_to_bind] [-B interface1@port1,interface2@port2,..] [-D custom_location] [-config-file configuration_file] または ndsconfig def [-t treename] [-n server_context] [-a admin_FDN] [-w admin_password] [-c] [-i] [-S server_name] [-d path_for_dib] [-m module] [-e] [-L ldap_port] [-l SSL_port] [-o http_port] [-O https_port] [-D custom_location] [--config-file configuration_file] 12.1.4 既存のツリーへのサーバの追加 既存のツリーにサーバを追加するには、次のコマンドを入力します。 ndsconfig add [-t treename] [-n server context] [-a admin_FDN] [-i] [-S server_name] [-d path_for_dib] [-m module] [e] [-L ldap_port] [-l SSL_port] [-o http_port] [-O https_port] [-p IP_address:[port]] [-R] [-c] [-w admin_password] [b port_to_bind] [-B interface1@port1,interface2@port2,..] [-D custom_location] [-config-file configuration_file] 次に例を示します。 ndsconfig add -t corp-tree -n o=company -a cn=admin.o=company -S srv1 12.1.5 サーバからの識別ボールトおよびそのデータベースの削除 1 dsreports ディレクトリに移動します。デフォルトでは、/var/opt/novell/eDirectory/data/ にありま す。 2 iMonitor を使用して以前に作成した HTML ファイルを削除します。 3 ndsconfig ユーティリティを使用して、次のコマンドを入力します。 ndsconfig rm [-a admin_FDN] [-w admin_password] [-p IP_address:[port]] [-c] 118 NetIQ Identity Manager セットアップガイド 12.1.6 ツリーからの eDirectory サーバオブジェクトとディレクトリ サービスの削除 サーバオブジェクトとディレクトリサービスをツリーから削除するには、次のコマンドを入力しま す。 ndsconfig rm -a Admin_FDN 12.1.7 識別ボールトの複数のインスタンスの設定 単一のホスト上で識別ボールトの複数のインスタンスを設定できます。ndsconfig ユーティリティ での複数インスタンスの設定方法は、1 つのインスタンスを複数回設定する場合と同様です。各イ ンスタンスは、次のように固有のインスタンス識別子を持つ必要があります。 異なるデータとログファイルの場所 . --config-file、-d、および -D オプションを使用します。 リスン対象インスタンスの一意なポート番号 . -b および -B オプションを使用します。 インスタンスの一意なサーバ名 . -S server name オプションを使用します。 詳細については、『NetIQ eDirectory Installation Guide』の「Using ndsconfig to Configure Multiple Instances of eDirectory」を参照してください。 注: 識別ボールトの設定時、デフォルトの NCP サーバ名がホストサーバ名として設定されます。複 数のインスタンスを設定する場合、NCP サーバ名を変更する必要があります。ndsconfig コマ ンドラインオプション -S server_name を使用して、別のサーバ名を指定します。同じツリーま たは複数の異なるツリーのどちらであっても、複数インスタンスを設定する場合は、NCP サー バ名が一意でなければなりません。 すべてのインスタンスは同じサーバキー (NICI) を共有します。 12.2 ndsmanage ユーティリティによるインスタンスの管 理 ndsmanage ユーティリティにより、識別ボールトにおいてサーバインスタンスを作成、起動、およ び停止することができます。設定済みのインスタンスのリストを表示することもできます。 12.2.1 識別ボールトインスタンスの表示 ndsmanage ユーティリティを使用して、環境設定ファイルのパス、サーバインスタンスの完全識別 名とポート、および指定したユーザのインスタンスのステータス ( アクティブか、非アクティブか ) を表示できます。ユーティリティでは、次のパラメータがサポートされています。 ndsmanage 設定したすべてのインスタンスを表示します。 ndsmanage -a|--all 識別ボールトの特定のインストールを使用しているすべてのユーザのインスタンスを表示しま す。 インストール後の識別ボールトの設定 119 ndsmanage ユーザ名 指定したユーザが設定したインスタンスを表示します。 12.2.2 識別ボールトにおける新規インスタンスの作成 1 コマンドラインで、 「ndsmanage」と入力します。 2 「c」と入力します。 3 コマンドプロンプトの指示に従って、新しいインスタンスを作成します。 12.2.3 識別ボールトにおけるインスタンスの設定と設定解除 インスタンスを設定するには、次のコマンドを入力します。 ndsconfig new -t treename -n server_context -a admin_FDN -b port_to_bind -D path_for_data 次に例を示します。 ndsconfig new -t mytree -n o=netiq -a cn=admin.o=company -b 1524 -D /home/mary/inst1/var --config-file /home/mary/inst1/nds.conf 注 : Linux オペレーティングシステムでは、マウントされたファイルシステム上でのソケット作成が 制限されています。eDirectory では、var ディレクトリはローカルファイルシステムに作成し (ndsconfig で -D オプションを指定 )、DIB ディレクトリは任意のファイルシステムとする (ndsconfig で -d オプションを指定 ) ことをお勧めします。 インスタンスの設定を解除するには : 1 コマンドラインで、 「ndsmanage」と入力します。 2 設定解除するインスタンスを選択します。 3 「d」と入力します。 12.2.4 識別ボールトにおけるインスタンスに対するユーティリティの 呼び出し インスタンスに対して、DSTrace などのユーティリティを実行できます。たとえば、/home/mary/ inst1/nds.conf ディレクトリにある環境設定ファイルおよび /home/mary/inst1/var ディレクトリにある その DIB ファイルを使用して、ポート 1524 でリスンしているインスタンス 1 に対して DSTrace ユーティリティを実行するとします。この場合、次のいずれかのコマンドを入力できま す。 ndstrace --config-file /home/mary/inst1/nds.conf または ndstrace -h 164.99.146.109:1524 インスタンス識別子を指定しない場合、ユーティリティによりすべてのインスタンスが表示されま す。そこから、インスタンスを選択できます。 120 NetIQ Identity Manager セットアップガイド 12.2.5 識別ボールトにおけるインスタンスの起動と停止 設定した 1 つ以上のインスタンスを起動または停止できます。 1 ( 状況によって実行 ) 単一のインスタンスの起動または停止のガイド付きプロセスで、次の手順 を実行します。 1a コマンドラインで、 「ndsmanage」と入力します。 1b 起動または停止するインスタンスを選択します。 1c インスタンスを起動するには「s」 、インスタンスを停止するには「k」を入力します。 2 ( 状況によって実行 ) 単一のインスタンスを起動または停止するには、次のように入力します。 ndsmanage start --config-file configuration_file_of_the_instance または ndsmanage stop --config-file configuration_file_of_the_instance 3 ( 状況によって実行 ) すべてのインスタンスを起動または停止するには、次のように入力しま す。 ndsmanage startall または ndsmanage stopall インストール後の識別ボールトの設定 121 122 NetIQ Identity Manager セットアップガイド IV Identity Manager エンジン、ドライ バ、およびプラグインのインストール IV このセクションでは、Identity Manager サーバの基本フレームワークのインストールについて説明 します。このインストールプログラムでインストールできるコンポーネントは、次のとおりです。 Identity Manager ドライバ Identity Manager エンジン Identity Manager 用 iManager プラグイン 利便性のため、NetIQ ではこれらのコンポーネントを同じインストールプログラムにバンドルして います。各コンポーネントを同じサーバにインストールすることも、個別のサーバにインストール することもできます。インストールファイルは、Identity Manager インストールパッケージの products/IDM/ ディレクトリにあります。デフォルトでは、各コンポーネントは次の場所にインス トールされます。 Linux: /opt/netiq Windows: C:\netiq インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細について は、125 ページのセクション 13.1「Identity Manager エンジン、ドライバ、およびプラグインのイ ンストールチェックリスト」を参照してください。 注 : このインストールプログラムでリモートローダもインストールできます。詳細については、 143 ページのパート V「リモートローダのインストールと管理」を参照してください。 Identity Manager エンジン、ドライバ、およびプラグインのインストール 123 124 NetIQ Identity Manager セットアップガイド 13 エンジン、ドライバ、およびプラグインの インストールの計画 13 このセクションでは、識別ボールトのインストールに必要な前提条件、考慮事項、およびシステム セットアップについて説明します。まず、次のチェックリストを参照してインストールプロセスを 理解します。 125 ページのセクション 13.1「Identity Manager エンジン、ドライバ、およびプラグインのイン ストールチェックリスト」 126 ページのセクション 13.2「インストールプログラムの理解」 127 ページのセクション 13.3「Identity Manager エンジンのインストールに関する前提条件と考 慮事項」 128 ページのセクション 13.4「Identity Manager エンジンのシステム要件」 注 : このインストールプログラムでリモートローダもインストールできます。詳細については、 143 ページのパート V「リモートローダのインストールと管理」を参照してください。 13.1 Identity Manager エンジン、ドライバ、およびプラ グインのインストールチェックリスト インストールプロセスを開始する前に、次の手順を確認することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、30 ページの セクション 3.3.2「Identity Manager エンジン」を参照してください。 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参 照してください。 3. 識別ボールトがインストールされていることと、1 つ以上の部門、1 人以上のユーザ、およ び 1 台以上の iManager サーバが存在するツリーがその識別ボールトに含まれていることを 確認します。詳細については、93 ページの第 9 章「Linux サーバへの識別ボールトのインス トール」を参照してください。 4. Identity Manager エンジンのインストールに関する考慮事項を検討し、コンピュータが前提 条件を満たしていることを確認します。詳細については、127 ページのセクション 13.3 「Identity Manager エンジンのインストールに関する前提条件と考慮事項」を参照してくださ い。 5. Identity Manager エンジンをホストするコンピュータのハードウェアおよびソフトウェアの 要件を確認します。詳細については、190 ページのセクション 20.5「iManager サーバのシ ステム要件」および 191 ページのセクション 20.6「iManager ワークステーション ( クライ アントバージョン ) のシステム要件」を参照してください。 エンジン、ドライバ、およびプラグインのインストールの計画 125 チェックリストの項目 6. Identity Manager エンジンのインストール後にどのドライバが自動的に有効になるかを理解 します。詳細については、128 ページのセクション 13.3.2「ドライバと Identity Manager エ ンジンのインストールに関する考慮事項」を参照してください。 7. ( 状況によって実行 ) RHEL 6.x オペレーティングシステムが稼働しているコンピュータの場 合、適切なライブラリセットがインストールされていることを確認します。詳細について は、60 ページのセクション 6.2「RHEL 6.x サーバへの Identity Manager のインストール」 を参照してください。 8. インストールプログラムのオプションを理解します。詳細については、126 ページのセク ション 13.2「インストールプログラムの理解」を参照してください。 9. 使用している UNIX/Linux 環境が Identity Manager エンジンの要件を満たしていることを確 認します。詳細については、131 ページのセクション 14.1「Identity Manager をインストー ルするための環境変数 (UNIX/Linux) の確認」を参照してください。 10. ( 状況によって実行 ) Identity Manager エンジンのガイド付きインストールプロセス ( ウィ ザード ) について、次のいずれかのセクションを参照します。 135 ページのセクション 15.1.1「Root または管理ユーザとしてのインストール」 137 ページのセクション 15.1.2「非 root ユーザとしてのインストール」 13.2 11. ( 状況によって実行 ) 1 つのコマンドでコンポーネントをインストールするには、138 ページ のセクション 15.2「サイレントインストールの実行」を参照します。 12. ( 状況によって実行 ) リモートローダをインストールするには、143 ページのパート V「リ モートローダのインストールと管理」を参照します。 13. リモートローダのドライバインスタンスを起動します。詳細については、157 ページの第 18 章「リモートローダとドライバの設定」を参照してください。 14. 識別情報アプリケーションや Identity Reporting など、残りの Identity Manager コンポーネ ントをインストールします。 インストールプログラムの理解 利便性のため、このインストールプログラムには、Identity Manager ソリューションの基礎となる フレームワークを提供する複数のコンポーネントがバンドルされています。すべてのコンポーネン トを同じサーバにインストールすることも、個別のサーバにインストールすることもできます。 サーバの要件の詳細については、各コンポーネントの「エンジン、ドライバ、およびプラグインの インストールの計画」 、個々のドライバのガイド、および最新のリリースノートを参照してくださ い。 このインストールプログラムでは、コンポーネントのインストール時に次のオプションを使用でき ます。 Identity Manager サーバ Identity Manager エンジン、スキーマ、NetIQ Audit Agent、および XDAS (Distributed Audit Services) をインストールします。 126 NetIQ Identity Manager セットアップガイド 接続システムサーバ リモートローダサービスとドライバインスタンスをローダにインストールします。リモート ローダを使用すると、識別ボールトおよび Identity Manager エンジンをホストしない接続シス テムで Identity Manager ドライバを実行できます。 インストールプログラムで、接続システム上のリモートローダと共にインストールするドライ バを選択します。Linux サーバでは、32 ビットバージョンまたは 64 ビットバージョンのサー ビスの一方をインストールするか、それとも両方をインストールするかを選択できます。 Windows サーバでは、.NET リモートローダをインストールできます。 Identity Manager 用 iManager プラグイン iManager プラグインをインストールします。これにより、iManager を使用して、構造化され たグローバル構成値 (GCV) を持つ Identity Manager ドライバを iManager で管理できるように なります。このオプションは、サーバに iManager がインストールされている場合に選択しま す。 ドライバ Identity Manager ドライバは、さまざまなタイプのディレクトリ、データベース、およびビジ ネスアプリケーションと識別ボールトとの間で識別情報を同期します。ドライバの設定によ り、データを一方向または双方向で同期可能です。 インストールプログラムで、その他のコンポーネントと共にインストールするドライバを選択 できます。ドライバによっては、Identity Manager エンジンをホストしないサーバにインス トールできます。この場合、そのサーバにリモートローダサービスもインストールする必要が あります。 13.3 Identity Manager エンジンのインストールに関する 前提条件と考慮事項 このセクションでは、Identity Manager エンジンとドライバのインストールについて説明します。 127 ページのセクション 13.3.1「Identity Manager エンジンのインストールに関する考慮事項」 128 ページのセクション 13.3.2「ドライバと Identity Manager エンジンのインストールに関する 考慮事項」 13.3.1 Identity Manager エンジンのインストールに関する考慮事項 Identity Manager エンジンをインストールする前に、次の考慮事項を確認します。 Identity Manager エンジンをインストールする前に、識別ボールトをインストールする必要が あります。識別ボールトには、1 つ以上の部門、1 人以上のユーザ、および 1 台以上の iManager サーバが存在するツリーが含まれている必要があります。 Identity Manager エンジンは、識別ボールトをホストするサーバと同じサーバにインストール します。インストールプログラムは、識別ボールトのバージョンに応じて 32 ビットまたは 64 ビットの Identity Manager をインストールします。 ( 状況によって実行 ) Identity Manager エンジンと同じコンピュータにリモートローダをインス トールするには、両方のコンポーネントをサポートするオペレーティングシステムを選択する ようにします。リモートローダのシステム要件の詳細については、148 ページのセクション エンジン、ドライバ、およびプラグインのインストールの計画 127 16.5「リモートローダのインストールに関する前提条件と考慮事項」を参照してください。 ( 状況によって実行 ) Identity Manager エンジンを非 root ユーザとしてインストールした場合、 NetIQ Sentinel プラットフォームエージェント、UNIX/Linux アカウントドライバ、またはリ モートローダはインストールされません。これらのコンポーネントは別途インストールする必 要があります。 13.3.2 ドライバと Identity Manager エンジンのインストールに関する 考慮事項 Identity Manager エンジンをインストールするサーバのパフォーマンスは、そのサーバで実行され るドライバの数など、さまざまな要因の影響を受けます。ドライバのインストール先を計画する際 は、以下をお勧めします。 一般的に、サーバで動作するドライバの数は、それらのドライバによってサーバにかかる負荷 に応じて決まります。ドライバの中には大量のオブジェクトを処理するものもあれば、そうで ないものもあります。 各ドライバで数百万個のオブジェクトを同期する計画の場合は、サーバのドライバの数を制限 してください。たとえば、このようなドライバを展開する場合は 10 個未満にします。 各ドライバで同期する計画のオブジェクトの数が 100 個以下の場合は、10 個より多くのドライ バをサーバで実行できます。 最適なドライバ数を判断するのに役立つサーバパフォーマンスのベースラインを作成するに は、iManager のヘルスモニタリングツールを使用します。ヘルスモニタリングツールの詳細 については、『NetIQ Identity Manager Driver Administration Guide』の「ドライバヘルスのモニ タリング」を参照してください。 インストール後に Identity Manager ドライバをアクティベートする方法の詳細については、 443 ページの第 50 章「Identity Manager のアクティベート」を参照してください。 13.4 Identity Manager エンジンのシステム要件 このセクションでは、Identity Manager エンジンをホストするサーバを設定するのに役立つ要件に ついて説明します。 カテゴリ 要件 プロセッサ Red Hat、SUSE Linux Enterprise、および Windows の各オペレーティングシステ ムが実行されているサーバの場合 : AMD Anthlon64 AMD Opteron Intel EM64T メモリ Identity Manager エンジン用に 2048MB Identity Manager ドライバ用に 200MB 128 NetIQ Identity Manager セットアップガイド カテゴリ 要件 オペレーティングシス テム 次のオペレーティングシステム以上のいずれか : Open Enterprise Server 11 SP2 (64 ビット ) Red Hat 6.5 (64 ビット ) SUSE Linux Enterprise Server 11 SP3 (64 ビット ) Windows Server 2012 R2 (64 ビット ) 注 : Open Enterprise Server 11 SP2 (64 ビット ) が実行されているシステムでは 統合インストールプロセスを使用できません。 仮想化システム 次の仮想化プラットフォームのいずれか : Hyper-V Server 2012 R2 VMWare ESX 5.5 重要 : NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ ポートするエンタープライズクラスの仮想化システムで Identity Manager をサ ポートします。仮想化システムのベンダーが該当のオペレーティングシステムを 正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。 オペレーティングシス テムのホットフィック ス Identity Manager をインストールする前に、製造元の自動アップデート機能に 従ってオペレーティングシステムの最新パッチを適用することをお勧めします。 ソフトウェア 次の製品すべて : NetIQ eDirectory 8.8.8 Patch 3 以上 iManager 2.7.7 Patch 1 以上 エンジン、ドライバ、およびプラグインのインストールの計画 129 130 NetIQ Identity Manager セットアップガイド 14 エンジン、ドライバ、およびプラグインの インストールの準備 14 Identity Manager エンジンは、識別ボールトおよび接続アプリケーションで発生したデータ変更を 処理します。このエンジンはメタディレクトリエンジンとも呼ばれていました。ドライバは Identity Manager エンジンを接続アプリケーションに接続します。リモートローダはドライバをロードし、 リモートサーバにインストールされているドライバの代わりに Identity Manager エンジンと通信し ます。 131 ページのセクション 14.1「Identity Manager をインストールするための環境変数 (UNIX/ Linux) の確認」 131 ページのセクション 14.2「Identity Manager ドライバの停止と起動」 14.1 Identity Manager をインストールするための環境変 数 (UNIX/Linux) の確認 Identity Manager エンジンを Linux および UNIX サーバにインストールする場合、システムの環境変 数で識別ボールトのインストールパスが設定されていることを確認します。eDirectory の環境変数 がエクスポートされていることを確認するには、コマンドプロンプトで次のコマンドを入力します。 set | grep PATH 環境変数が設定されている場合、システムからの応答に識別ボールトのインストールパスが表示さ れます。環境変数がまだ設定されていない場合は、現在のシェルに次のコマンドを入力します。 . /opt/novell/eDirectory/bin/ndspath コマンドを実行するには、ピリオド (.) とスラッシュ (/) の間にスペースが必要です。詳細について は、 『NetIQ eDirectory インストールガイド』の「NDS インストールユーティリティを使用した eDirectory コンポーネントのインストール」を参照してください。 14.2 Identity Manager ドライバの停止と起動 インストールプロセスやアップグレードプロセスで正しいファイルを変更または置換できるように するには、Identity Manager ドライバを起動または停止しなければならない場合があります。この セクションでは、次の操作について説明します。 132 ページのセクション 14.2.1「ドライバの停止」 133 ページのセクション 14.2.2「ドライバの起動」 エンジン、ドライバ、およびプラグインのインストールの準備 131 14.2.1 ドライバの停止 ドライバのファイルを変更する場合、あらかじめドライバを停止しておくことが重要です。 132 ページの 「Designer を使用したドライバの停止」 132 ページの 「iManager を使用したドライバの停止」 Designer を使用したドライバの停止 1 Designer で、識別ボールトの オブジェクトを[アウトライン]タブで選択します。 2 モデラーツールバーで、 [すべてのドライバを停止]アイコン をクリックします。 これにより、プロジェクトの一部であるすべてのドライバが停止します。 3 ドライバを手動開始に設定すると、アップグレードプロセスを完了しない限りドライバは開始 されません。 3a [アウトライン]タブの[ドライバ]アイコン をダブルクリックします。 3b [ドライバ環境設定]>[起動時のオプション]の順に選択します。 3c [手動]を選択し、 [OK]をクリックします。 3d 各ドライバに対して、ステップ 3a ~ステップ 3c を繰り返します。 iManager を使用したドライバの停止 1 iManager で、 [Identity Manager]>[Identity Manager の概要]の順に選択します。 2 ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、 [検索] アイコン をクリックします。 3 ドライバセットオブジェクトをクリックします。 4 [ドライバ]>[すべてのドライバを停止]の順にクリックします。 5 各ドライバセットオブジェクトに対して、ステップ 2 ~ステップ 4 を繰り返します。 6 ドライバを手動開始に設定すると、アップグレードプロセスを完了しない限りドライバは開始 されません。 6a iManager で、 [Identity Manager]>[Identity Manager の概要]の順に選択します。 6b ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、 [検 索]アイコン をクリックします。 6c ドライバセットオブジェクトをクリックします。 6d ドライバアイコンの右上隅をクリックし、 [プロパティの編集]をクリックします。 6e [ドライバ環境設定]ページの[起動時のオプション]で[手動]を選択し、 [OK]をク リックします。 6f ツリーの各ドライバに対して、ステップ 6a ~ステップ 6e を繰り返します。 132 NetIQ Identity Manager セットアップガイド 14.2.2 ドライバの起動 Identity Manager コンポーネントがすべてアップデートされたら、ドライバを再起動します。ドラ イバが実行状態になったら、ドライバをテストして、すべてのポリシーが依然と同様に機能してい ることを確認することをお勧めします。 133 ページの 「Designer を使用したドライバの起動」 133 ページの 「iManager を使用したドライバの起動」 Designer を使用したドライバの起動 1 Designer で、識別ボールトの オブジェクトを[アウトライン]タブで選択します。 2 モデラーツールバーの[すべてのドライバを起動]アイコン をクリックします。これにより、 プロジェクト内のすべてのドライバが起動されます。 3 ドライバ起動オプションを設定します。 3a [アウトライン]タブの[ドライバ]アイコン をダブルクリックします。 3b [ドライバ環境設定]>[起動時のオプション]を選択します。 3c [自動開始]を選択するか、ドライバの起動方法を選択し、 [OK]をクリックします。 3d 各ドライバに対して、ステップ 3a ~ステップ 3c を繰り返します。 4 ドライバをテストして、ポリシーが設計どおりに機能していることを確認します。ポリシーの テスト方法の詳細については、『NetIQ Identity Manager Policies in Designer』の「ポリシーシ ミュレータを使用したポリシーのテスト」を参照してください。 iManager を使用したドライバの起動 1 iManager で、 [Identity Manager]>[Identity Manager の概要]の順に選択します。 2 ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、 [検索] アイコン をクリックします。 3 ドライバセットオブジェクトをクリックします。 4 [ドライバ]>[すべてのドライバを起動]の順にクリックして、すべてのドライバを同時に起 動します。 または [ドライバ]アイコンの右上部分で、[ドライバの起動]をクリックして、各ドライバを別々に 起動します。 5 ドライバが複数ある場合、ステップ 2 ~ステップ 4 の手順を繰り返します。 6 ドライバ起動オプションを設定します。 6a iManager で、 [Identity Manager]>[Identity Manager の概要]の順に選択します。 6b ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、 [検 索]アイコン をクリックします。 6c ドライバセットオブジェクトをクリックします。 6d ドライバアイコンの右上隅をクリックし、 [プロパティの編集]をクリックします。 6e [ドライバ設定]ページの[起動オプション]で、 [自動開始]またはドライバの起動方法 を選択し、[OK]をクリックします。 6f 各ドライバに対して、ステップ 6b ~ステップ 6e を繰り返します。 エンジン、ドライバ、およびプラグインのインストールの準備 133 7 ドライバをテストして、ポリシーが設計どおりに機能していることを確認します。 iManager にはポリシーシミュレータはありません。ポリシーをテストするには、ポリシーを 実行するイベントを発生させます。たとえば、ユーザの作成、ユーザの変更、またはユーザの 削除などです。 134 NetIQ Identity Manager セットアップガイド 15 エンジン、ドライバ、および iManager プ ラグインのインストール 15 このセクションでは、Identity Manager エンジン、ドライバ、iManager プラグイン、およびリモー トローダのインストールプロセスについて説明します。これらのプログラムは、同じサーバにイン ストールすることも、別々のサーバにインストールすることもできます。たとえば、ドライバを、 Identity Manager エンジンと同じサーバではなく接続システムにインストールできます。この場合、 接続システムにリモートローダもインストールする必要があります。 ガイド付きインストールプロセスとサイレントインストールの両方が用意されています。 135 ページのセクション 15.1「ウィザードを使用したコンポーネントのインストール」 138 ページのセクション 15.2「サイレントインストールの実行」 140 ページのセクション 15.3「Java リモートローダを UNIX または Linux にインストールする」 15.1 ウィザードを使用したコンポーネントのインストー ル インストールプログラムに従って Identity Manager エンジンの設定を進めることができます。コン ソールまたは GUI でインストールを実行できます。UNIX および Windows コンピュータでは、イン ストールプログラムはデフォルトで自動的にウィザードモードになります。 インストールの準備を行うには、125 ページのセクション 13.1「Identity Manager エンジン、ドラ イバ、およびプラグインのインストールチェックリスト」を参照してください。リリースに付属す るリリースノートも参照してください。無人インストールを実行するには、138 ページのセクショ ン 15.2「サイレントインストールの実行」を参照してください。 注 : インストールを root ユーザまたは非 root ユーザのどちらとして実行するかは、識別ボールトの インストールに使用した方法に合わせて選択してください。 15.1.1 Root または管理ユーザとしてのインストール このセクションでは、インストールウィザードまたはコンソールを使用して Identity Manager エン ジンを root ユーザまたは管理ユーザとして Windows コンピュータにインストールするガイド付き プロセスについて説明します。使用するプラットフォームに合わせて次のインストールプログラム を使用します。 Linux: /products/IDM/install.bin Windows: \products\IDM\windows\setup\idm_install.exe エンジン、ドライバ、および iManager プラグインのインストール 135 Identity Manager エンジンを root または管理ユーザとしてインストールする 1 Identity Manager エンジンをインストールするコンピュータに root または管理者としてログイ ンします。 2 インストールファイルが保存されているディレクトリから、次のいずれかの操作を実行しま す。 Linux ( コンソール ): 「./install.bin -i console」と入力します。 Linux (GUI): 「./install.bin」と入力します。 Windows: idm_install.exe を実行します。 3 ライセンス契約に同意して、 [Next]をクリックします。 4 [コンポーネントの選択]ウィンドウで、インストールするコンポーネントを指定します。 オプションの詳細については、126 ページのセクション 13.2「インストールプログラムの理 解」を参照してください。 5 ( オプション ) 個々のコンポーネント用の特定のドライバを選択するには、次の手順を実行しま す。 5a [Customize the selected components ( 選択したコンポーネントのカスタマイズ )]をク リックし、[次へ]をクリックします。 5b インストールするコンポーネントの下にある[ドライバ]を展開します。 5c インストールするドライバを選択します。 6 [次へ]をクリックします。 7 [Activation Notice ( アクティベーションの通知 )]ウィンドウで、 [OK]をクリックします。詳 細については、443 ページの第 50 章「Identity Manager のアクティベート」を参照してくださ い。 8 [認証]で、eDirectory でスキーマを拡張するのに十分な権限を持つユーザアカウントとそのパ スワードを指定します。ユーザ名は LDAP 形式で指定します。たとえば、cn=admin,o=company と指定します。 9 [インストール前の概要]で、設定を確認します。 10 [インストール]をクリックします。 11 Identity Manager をアクティベートします。詳細については、443 ページの第 50 章「Identity Manager のアクティベート」を参照してください。 12 ドライバオブジェクトを作成および設定するため、そのドライバ専用のガイドを参照します。 詳細については、Identity Manager ドライバマニュアルの Web サイトを参照してください。 13 ( オプション ) デフォルトのインストール場所については、/tmp/idmInstall.log を参照してくださ い。 136 NetIQ Identity Manager セットアップガイド 15.1.2 非 root ユーザとしてのインストール Identity Manager を非 root ユーザとしてインストールすると、UNIX または Linux サーバのセキュリ ティを向上できます。識別ボールトを root としてインストールした場合、Identity Manager を非 root ユーザとしてインストールすることはできません。 この方法を使用する場合、次のコンポーネントはインストールできません。 リモートローダ : 非 root ユーザとしてリモートローダをインストールするには、Java リモー トローダを使用します。詳細については、140 ページのセクション 15.3「Java リモートロー ダを UNIX または Linux にインストールする」を参照してください。 UNIX/Linux アカウントドライバ : 機能させるには root 権限が必要です。 Novell Audit プラットフォームエージェント : Novell Audit プラットフォームエージェントは root を使用してインストールします。プラットフォームエージェントは、監査サーバ (Novell Audit または NetIQ Sentinel) にイベントをレポートします。プラットフォームエージェントは、 /etc/logevent.conf にある環境設定ファイル logevent で設定できます。 logevent ファイルには、プラットフォームエージェントが監査サーバと通信するために必要な 設定情報が含まれています。デフォルトでは、イベントは /var/opt/novell/idm/audit の場所に記録 されます。この場所に非 root ユーザの書き込み許可が設定されている必要があります。イベン トを別の場所に記録するには、logevent ファイルでその場所を指定します。logevent 環境設定 ファイルの構造の詳細については、『Novell Audit Installation Guide』の「Configuring the Platform Agent」を参照してください。 Identity Manager エンジンを非 root ユーザとしてインストールする 1 識別ボールトのインストールに使用した非 root ユーザとしてログインします。 このユーザアカウントには、非 root でインストールした識別ボールト (eDirectory) のディレク トリおよびファイルに対する書き込みアクセス権が必要です。 2 インストールプログラムを実行します。 IDMversion_Lin/products/IDM/linux/setup/idm-nonroot-install 3 次の情報を使用して、インストールを完了します。 root 以外でインストールした eDirectory の基本ディレクトリ root 以外でインストールした eDirectory があるディレクトリを指定します。たとえば、/ home/user/install/eDirectory です。 eDirectory スキーマの拡張 これが eDirectory のこのインスタンスにインストールされている最初の Identity Manager サーバである場合、「Y」と入力してスキーマを拡張します。スキーマを拡張しな いと、Identity Manager は機能しません。 root 以外でインストールした eDirectory によってホストされていて、root 以外のユーザが 所有している eDirectory の各インスタンスのスキーマを拡張するようメッセージが表示さ れます。 エンジン、ドライバ、および iManager プラグインのインストール 137 スキーマを拡張するよう選択した場合、スキーマを拡張する権限を持つ eDirectory ユーザ の完全識別名 (DN) を指定します。スキーマを拡張するには、ユーザにツリー全体に対す るスーパバイザ権限が必要です。root 以外のユーザとしてスキーマを拡張する場合の詳細 については、schema.log ファイルを参照してください。このファイルは、eDirectory の各 インスタンスの data ディレクトリにあります。 インストール完了後、/opt/novell/eDirectory/bin/idm-install-schema プログラムを実行して、追 加の eDirectory インスタンスのスキーマを拡張します。 ユーティリティ ( オプション ) Windows サーバ用の Identity Manager ドライバユーティリティが必要な場 合、Identity Manager のインストールメディアから Identity Manager サーバにコピーする 必要があります。ユーティリティはすべて IDMversion_platform/product/IDM/platform/setup/ utilities ディレクトリにあります。 4 Identity Manager をアクティベートします。詳細については、443 ページの第 50 章「Identity Manager のアクティベート」を参照してください。 5 ドライバオブジェクトを作成および設定するため、そのドライバ専用のガイドを参照します。 詳細については、Identity Manager ドライバマニュアルの Web サイトを参照してください。 15.2 サイレントインストールの実行 Identity Manager のサイレントインストールを実行するには、インストールを完了するのに必要な パラメータを含むプロパティファイルを作成します。Identity Manager のメディアの次の場所に、 サンプルのプロパティファイルが収録されています。 Linux: /products/IDM/linux/setup/silent.properties Windows: \products\IDM\windows\setup\silent.properties サイレントインストールを実行する 1 インストールディレクトリで、プロパティファイルを作成するか、サンプルの silent.properties ファイルを編集します。 2 テキストエディタで、ファイルに次のパラメータを指定します。 EDIR_USER_NAME 識別ボールトの管理者アカウントの LDAP 識別名を指定します。たとえば、 c=admin,o=netiq と指定します。インストールプログラムは、このアカウントを使用して Identity Manager エンジンを識別ボールトに接続します。 このパラメータは、サンプルの silent.properties ファイルに追加しなければならない場合が あります。 EDIR_USER_PASSWORD 識別ボールトの管理者アカウントのパスワードを指定します。たとえば、netiq123 と指定 します。このパラメータは、サンプルの silent.properties ファイルに追加しなければならな い場合があります。 パスワード値をファイルに記述しない場合は、このフィールドを空のままにします。その 場合、インストールプログラムは EDIR_USER_PASSWORD 環境変数からパスワード値を 読み込みます。EDIR_USER_PASSWORD に対して環境変数が設定されていることを確認し てください。 138 NetIQ Identity Manager セットアップガイド METADIRECTORY_SERVER_SELECTED Identity Manager サーバとドライバをインストールするかどうかを指定します。 CONNECTED_SYSTEM_SELECTED 32 ビットのリモートローダサービスとドライバをインストールするかどうかを指定しま す。同じサーバに 32 ビットバージョンと 64 ビットバージョンの両方をインストールでき ます。 X64_CONNECTED_SYSTEM_SELECTED 64 ビットのリモートローダサービスとドライバをインストールするかどうかを指定しま す。同じサーバに 32 ビットバージョンと 64 ビットバージョンの両方をインストールでき ます。 WEB_ADMIN_SELECTED iManager をすでにインストール済みの場合に適用されます。 iManager プラグインをインストールするかどうかを指定します。 UTLITIES_SELECTED リモートローダ用のユーティリティとシステムコンポーネントをインストールするかどう かを指定します。 DOT_NET_REMOTELOADER_SELECTED Windows サーバに .NET リモートローダサービスとドライバをインストールするかどうか を指定します。 EDIR_NDS_CONF 識別ボールトの環境設定ファイルである nds.conf ファイルのパスを指定します。たとえ ば、/etc/opt/novell/eDirectory/nds.conf と指定します。 識別ボールトのインスタンスが複数ある場合は、各インスタンスに適切な値を指定しま す。 EDIR_IP_ADDRESS 識別ボールトの IP アドレスを指定します。 識別ボールトのインスタンスが複数ある場合は、各インスタンスのアドレスを指定しま す。 EDIR_NCP_PORT 識別ボールトのポート番号を指定します。 識別ボールトのインスタンスが複数ある場合は、各インスタンスのポートを指定します。 3 サイレントインストールを実行するため、プロパティファイルのディレクトリから次のいずれ かのコマンドを発行します。 Linux: install.bin -i silent -f filename.properties Windows: install.exe -i silent -f filename.properties 4 ( オプション ) デフォルトのインストール場所については、/tmp/idmInstall.log を参照してくださ い。 エンジン、ドライバ、および iManager プラグインのインストール 139 15.3 Java リモートローダを UNIX または Linux にインス トールする dirxml_jremote は、純粋な Java リモートローダです。Identity Manager は、このプログラムを使用し て、1 つのサーバで実行されている Identity Manager エンジンと、rdxml が動作しない別の場所で実 行されている Identity Manager ドライバとの間でデータを交換します。dirxml_jremote は、互換性の ある JRE (1.5.0 以上 ) と Java Sockets がインストールされた、サポート対象の任意の UNIX または Linux コンピュータにインストールできます。 1 リモートローダコンポーネントをインストールするコンピュータに root または管理者としてロ グインします。 2 ホストシステムに、サポートされているバージョンの Java JDK または JRE がインストールさ れていることを確認します。 3 インストールプログラムにアクセスするため、次のいずれかの手順を実行します。 3a ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルが ある場合は、Java リモートローダのインストールファイルが保存されているディレクト リへナビゲートします。デフォルトの場所は products/IDM/java_remoteloader です。 3b ( 状況によって実行 ) Java リモートローダのインストールファイルを NetIQ Downloads の Web サイトからダウンロードした場合は、次の手順を実行します。 3b1 ダウンロードしたイメージの .tgz ファイルへナビゲートします。 3b2 ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 4 dirxml_jremote_dev.tar.gz ファイルをリモートサーバの目的の場所にコピーします。たとえば、/ usr/idm にファイルをコピーします。 5 次のいずれかのファイルをリモートサーバ上の目的の場所にコピーします。 dirxml_jremote.tar.gz dirxml_jremote_mvs.tar mvs の詳細については、dirxml_jremote_mvs.tar ファイルを untar し、ドキュメント usage.html を参照してください。 6 リモートサーバで、.tar.gz ファイルを圧縮解除して展開します。 たとえば、「gunzip dirxml_jremote.tar.gz」または「tar -xvf dirxml_jremote_dev.tar」と入力します。 7 アプリケーションシムの .jar ファイルを Identity Manager エンジンサーバから、 dirxml_jremote.tar ファイルの展開時に作成された lib サブディレクトリにコピーします。 デフォルトでは、.jar ファイルは Identity Manager エンジンサーバ上の /opt/novell/eDirectory/lib/ dirxml/classes ディレクトリにあります。 140 NetIQ Identity Manager セットアップガイド 8 RDXML_PATH 環境変数によって Java 実行可能ファイルにアクセスできるように dirxml_jremote スクリプトをカスタマイズするため、次の手順を実行します。 8a 次のいずれかのコマンドを入力して、環境変数 RDXML_PATH を設定します。 set RDXML_PATH=path export RDXML_PATH 8b dirxml_jremote スクリプトを編集して、Java 実行可能ファイルへのパスを Java を実行する スクリプトラインに追加します。 9 アプリケーションシムで使用するサンプルの config8000.txt ファイルを設定します。このファイ ルは、デフォルトでは /opt/novell/dirxml/doc ディレクトリにあります。詳細については、 157 ページの第 18 章「リモートローダとドライバの設定」を参照してください。 エンジン、ドライバ、および iManager プラグインのインストール 141 142 NetIQ Identity Manager セットアップガイド V V リモートローダのインストールと管理 このセクションでは、リモートローダ、.NET リモートローダ、または Java リモートローダをイン ストールし、ローダのドライバインスタンスを設定します。 リモートローダのインストールプログラムは Identity Manager エンジンにバンドルされています。 これらのファイルは、Identity Manager インストールパッケージの products/IDM/ ディレクトリにあ ります。デフォルトでは、各コンポーネントは次の場所にインストールされます。 Linux: /opt/netiq Windows: C:\netiq インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細について は、145 ページのセクション 16.1「リモートローダのインストールチェックリスト」を参照してく ださい。 リモートローダのインストールと管理 143 144 NetIQ Identity Manager セットアップガイド 16 16 リモートローダのインストールの計画 このセクションには、リモートローダおよび Java リモートローダのインストールの準備に役立つ 情報が記載されています。 145 ページのセクション 16.1「リモートローダのインストールチェックリスト」 146 ページのセクション 16.2「リモートローダの理解」 148 ページのセクション 16.3「インストールプログラムの理解」 148 ページのセクション 16.4「同じコンピュータでの 32 ビットリモートローダと 64 ビットリ モートローダの使用」 148 ページのセクション 16.5「リモートローダのインストールに関する前提条件と考慮事項」 150 ページのセクション 16.6「リモートローダのシステム要件」 16.1 リモートローダのインストールチェックリスト 次のチェックリストの手順を完了することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、31 ページの セクション 3.3.3「リモートローダ」を参照してください。 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参 照してください。 3. Identity Manager エンジンがインストールされていることを確認します。詳細については、 123 ページのパート IV「Identity Manager エンジン、ドライバ、およびプラグインのインス トール」を参照してください。 4. リモートローダのインストールに関する考慮事項を検討し、コンピュータが前提条件を満た していることを確認します。詳細については、148 ページのセクション 16.5「リモートロー ダのインストールに関する前提条件と考慮事項」を参照してください。 5. リモートローダをホストするコンピュータのハードウェアおよびソフトウェアの要件を確認 します。詳細については、150 ページのセクション 16.6「リモートローダのシステム要件」 を参照してください。 6. ( 状況によって実行 ) Identity Manager エンジンをホストしないサーバにリモートローダをイ ンストールするには、エンジンとのセキュア接続を確立できることを確認します。詳細につ いては、157 ページのセクション 18.1「Identity Manager エンジンへのセキュア接続の作 成」を参照してください。 7. 32 ビットバージョンまたは 64 ビットバージョンのどちらのリモートローダをインストール するかを決定します。詳細については、148 ページのセクション 16.4「同じコンピュータで の 32 ビットリモートローダと 64 ビットリモートローダの使用」を参照してください。 リモートローダのインストールの計画 145 チェックリストの項目 8. リモートローダまたは Java リモートローダのどちらを使用するかを決定します。詳細につ いては、148 ページのセクション 16.2.3「Java リモートローダの理解」を参照してくださ い。 9. リモートローダをインストールします。 ガイド付きインストールについては、153 ページのセクション 17.1「ウィザードを使用 したコンポーネントのインストール」を参照してください。 サイレントインストールについては、154 ページのセクション 17.2「サイレントインス トールの実行」を参照してください。 10. ( 状況によって実行 ) Java リモートローダをインストールするには、155 ページのセクショ ン 17.3「Java リモートローダを UNIX または Linux にインストールする」を参照します。 11. ドライバインスタンスを設定するためのパラメータを検討します。詳細については、 160 ページのセクション 18.2「リモートローダの環境設定パラメータの理解」を参照してく ださい。 12. リモートローダのドライバインスタンスを設定するには、次のいずれかのセクションを参照 します。 169 ページのセクション 18.3「ドライバインスタンスのリモートローダの設定 (UNIX ま たは Linux)」 170 ページのセクション 18.4「ドライバインスタンスのリモートローダの設定 (Windows)」 173 ページのセクション 18.5「ドライバインスタンスの Java リモートローダの設定」 16.2 13. リモートローダ用のドライバを準備します。詳細については、174 ページのセクション 18.6 「リモートローダと連携するための Identity Manager ドライバの設定」を参照してください。 14. リモートローダのドライバインスタンスを起動します。詳細については、177 ページのセク ション 19.1「リモートローダのドライバインスタンスの起動」を参照してください。 15. リモートローダとドライバが Identity Manager エンジンおよび接続システムと通信している ことを確認します。詳細については、175 ページのセクション 18.7「設定の検証」を参照し てください。 16. 識別情報アプリケーションや Identity Reporting など、残りの Identity Manager コンポーネ ントをインストールします。 リモートローダの理解 リモートローダを使用すると、識別ボールトおよび Identity Manager エンジンをホストしない接続 システムで Identity Manager ドライバを実行できます。.NET リモートローダは Windows ベースの システムでのみ動作します。 リモートローダは、プラットフォーム固有のファイルに含まれる Identity Manager アプリケーショ ンシムを JNI 経由でホストできます。さらに、プラットフォーム非依存の JAR ファイルに含まれる より一般的な Identity Manager アプリケーションシムをホストすることもできます。リモートロー ダはすべてのプラットフォームで実行可能です。ただし、プラットフォーム固有のシムはそのネイ ティブプラットフォームで実行する必要があります ( たとえば、.so ファイルは Linux/Unix で実行し ます )。 146 NetIQ Identity Manager セットアップガイド 16.2.1 シムの理解 リモートローダはシムを使用して管理対象システム上のアプリケーションと通信します。 「シム」と は、識別ボールトとアプリケーションとの間で同期するイベントを処理するコードが記述された 1 つまたは複数のファイルです。リモートローダを使用する前に、Identity Manager エンジンに安全 に接続するようにアプリケーションシムを設定する必要があります。さらに、リモートローダと Identity Manager ドライバ両方の設定も必要です。 詳細については、157 ページの第 18 章「リモートローダとドライバの設定」を参照してください。 16.2.2 リモートローダを使用すべき条件の判断 Identity Manager エンジン、識別ボールト、およびドライバシムを同じサーバにインストールでき ます。Identity Manager エンジンは、eDirectory プロセスの一部として実行されます。Identity Manager ドライバは、Identity Manager がインストールされているサーバで実行できます。また、 Identity Manager エンジンと同じプロセスの一部として実行することもできます。ただし、次のよ うな目的がある場合、Identity Manager エンジンをホストするサーバ上で Identity Manager ドライ バを別のプロセスとして実行できます。 ドライバシムで発生する例外から識別ボールトを保護する ドライバコマンドをリモートアプリケーションまたはデータベースにオフロードすることで、 Identity Manager エンジンを実行しているサーバのパフォーマンスを向上させる Identity Manager エンジンをホストしないサーバで他のドライバを実行する このような場合、リモートローダは Identity Manager エンジンとドライバ間の通信チャネルを提供 します。たとえば、LDAP ドライバを Identity Manager エンジンおよび識別ボールトと同じサーバ にインストールします。続いて、リモートローダとともに Active Directory (AD) ドライバを別の サーバにインストールします。ドライバがアプリケーションにアクセスして識別ボールトと通信で きるようにするため、次の図に示すように両方のサーバにリモートローダをインストールします。 NetIQ では、可能な場合、リモートローダを使用するドライバに使用できるよう設定することをお 勧めします。アプリケーションが Identity Manager エンジンと同じサーバにある場合でも、リモー トローダを使用してください。 リモートローダのインストールの計画 147 16.2.3 Java リモートローダの理解 Java リモートローダを使用すると、ネイティブリモートローダでサポートされていないプラット フォームにドライバシムをロードでき、自由度が増します。Java リモートローダは Java アプリ ケーションであるため、互換性がありサポートされている JRE および Java Sockets がインストー ルされたすべてのシステムで動作します。 アプリケーションを開くには、dirxml_jremote という名前のシェルスクリプトを実行します。詳細に ついては、173 ページのセクション 18.5「ドライバインスタンスの Java リモートローダの設定」 を参照してください。 16.3 インストールプログラムの理解 利便性のため、このインストールプログラムには、Identity Manager ソリューションの基礎となる フレームワークを提供する複数のコンポーネントがバンドルされています。すべてのコンポーネン トを同じサーバにインストールすることも、個別のサーバにインストールすることもできます。リ モートローダに加え、接続システムにインストールするドライバも選択できます。Linux サーバで は、32 ビットバージョンまたは 64 ビットバージョンのサービスの一方をインストールするか、そ れとも両方をインストールするかを選択できます。Windows サーバでは、.NET リモートローダを インストールできます。 16.4 同じコンピュータでの 32 ビットリモートローダと 64 ビットリモートローダの使用 デフォルトの設定では、インストールプログラムによってオペレーティングシステムのバージョン が検出され、該当するバージョンのリモートローダがインストールされます。1 つの 64 ビットオペ レーティングシステムに 32 ビットのリモートローダと 64 ビットのリモートローダの両方をインス トールできます。 64ビットオペレーティングシステム上にインストールされている32ビットのリモートローダを アップグレードする場合、32 ビットのリモートローダが最新バージョンにアップグレードされ ると同時に、64 ビットのリモートローダもインストールされます。 32 ビットおよび 64 ビットの両方のリモートローダを同じコンピュータ上に置くことにした場 合、監査イベントは 64 ビットのリモートローダでのみ生成されます。32 ビットのリモート ローダをインストールする前に 64 ビットのリモートローダをインストールすると、イベント は 32 ビットのキャッシュに記録されます。 16.5 リモートローダのインストールに関する前提条件と 考慮事項 リモートローダをインストールする前に、次の考慮事項を確認することをお勧めします。 管理対象システムと通信可能なサーバにリモートローダをインストールします。各管理対象シ ステム用のドライバが関連 API によって利用できる必要があります。 Identity Manager エンジンをインストールしたコンピュータと同じコンピュータにリモート ローダをインストールできます。 148 NetIQ Identity Manager セットアップガイド 同じコンピュータに 32 ビットのリモートローダと 64 ビットのリモートローダの両方をインス トールできます。 ネイティブのリモートローダをサポートしないプラットフォームには Java リモートローダをイ ンストールできます。サポートされているプラットフォームの詳細については、151 ページの 「オペレーティングシステム」を参照してください。 .NET リモートローダは、.NET Framework 3.5 以上が動作する、サポートされている Windows オペレーティングシステムにインストールできます。 ( 状況によって実行 ) Identity Manager を Active Directory に接続するには、リモートローダと Active Directory 用ドライバをメンバーサーバまたはドメインコントローラであるサーバにイン ストールする必要があります。eDirectory と Identity Manager を接続システムと同じサーバに インストールする必要はありません。リモートローダはすべてのイベントを Active Directory から Identity Manager サーバへ送信します。その後、リモートローダが Identity Manager サー バから情報を受信し、その情報を接続アプリケーションに渡します。 NetIQ では、可能な場合、ドライバでリモートローダの設定を使用することをお勧めします。 接続システムが Identity Manager サーバエンジンと同じサーバにある場合でも、リモートロー ダを使用してください。 ドライバシムをリモートローダ設定で実行すると、次のような利点が得られます。 各ドライバシム間のメモリと処理が分離されるため、Identity Manager ソリューションの パフォーマンスとモニタリングを向上できます。 ドライバシムにパッチを適用したり、ドライバシムをアップグレードしたりしても、 eDirectory や他のドライバに影響しません。 ドライバシムで発生する可能性がある致命的な問題から eDirectory が保護されます。 ドライバシムによる負荷が他のサーバに分散されます。 リモートローダの機能をサポートするドライバは次のとおりです。 Active Directory Access Review ACF 2 バナー 黒板 データ収集サービス 区切りテキスト GoogleApps GroupWise (32 ビットのリモートローダ用 ) JDBC JMS LDAP Linux/UNIX の設定 Lotus Notes Managed System Gateway 手動タスクサービス Null およびループバック Office 365 リモートローダのインストールの計画 149 Oracle EBS HRMS Oracle EBS TCA Oracle EBS User Management PeopleSoft 5.2 特権ユーザ管理 Remedy SalesForce.com SAP Business Logic SAP GRC (CMP のみ ) SAP HR SAP Portal SAP User Management Sentinel 用統合モジュール V2.0 SharePoint SOAP 極秘 WorkOrder リモートローダをサポートしないドライバは次のとおりです。 双方向 eDirectory eDirectory エンタイトルメントサービス 役割サービス ユーザアプリケーション Identity Manager リモートローダの詳細については、「The Many Faces of Remote Loader in IDM」 を参照してください。 16.6 リモートローダのシステム要件 このセクションでは、リモートローダ、.NET リモートローダ、および Java リモートローダをホス トするサーバの設定に役立つ要件について説明します。 16.6.1 150 リモートローダ (32 ビットおよび 64 ビット ) カテゴリ 要件 プロセッサ Pentium* III 600MHz 以上 メモリ リモートローダ用に 512MB NetIQ Identity Manager セットアップガイド カテゴリ 要件 オペレーティングシス テム 次のオペレーティングシステム以上のいずれか : OES 11 SP2 (64 ビット ) Red Hat Enterprise Linux Server 6.5 (32 ビットまたは 64 ビット ) SUSE Linux Enterprise Server 11 SP3 (32 ビットまたは 64 ビット ) Windows Server 2012 R2 (64 ビット ) Windows Server 2012 (64 ビット ) Windows Server 2008 R2 (64 ビット ) Windows Server 2008 SP2 (32 ビットまたは 64 ビット ) 仮想化システム 次の仮想化プラットフォームのいずれか : Hyper-V Server 2012 R2 VMWare ESX 5.5 重要 : NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ ポートするエンタープライズクラスの仮想化システムで Identity Manager をサ ポートします。仮想化システムのベンダーが該当のオペレーティングシステムを 正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。 16.6.2 .NET リモートローダ .NET Remote Loader は Windows ベースのサーバ用に設計されています。 カテゴリ 要件 プロセッサ Pentium* III 600MHz 以上 メモリ .NET リモートローダ用に 512MB オペレーティングシス テム 次のオペレーティングシステム以上のいずれか : Windows Server 2012 R2 (64 ビット ) Windows Server 2012 (64 ビット ) Windows Server 2008 R2 (64 ビット ) Windows Server 2008 SP2 (32 ビットまたは 64 ビット ) .NET Framework 次のプラットフォームのいずれか : 4.x 3.5.1 リモートローダのインストールの計画 151 カテゴリ 要件 仮想化システム 次の仮想化プラットフォームのいずれか : Hyper-V Server 2012 R2 VMWare ESX 5.5 重要 : NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ ポートするエンタープライズクラスの仮想化システムで Identity Manager をサ ポートします。仮想化システムのベンダーが該当のオペレーティングシステムを 正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。 16.6.3 Java リモートローダ Java リモートローダは、互換性がある JRE および Java Sockets がインストールされたすべての接 続システムで動作します。 152 カテゴリ 要件 プロセッサ Pentium* III 600MHz 以上 メモリ リモートローダ用に 512MB JRE 7u51 以上 プラットフォームエー ジェント PA v2011.1r2 NetIQ Identity Manager セットアップガイド 17 17 リモートローダのインストール リモートローダは、次のプログラムを使用して、Identity Manager エンジンをホストするサーバと 通信します。 Linux および UNIX: rdxml 実行可能ファイルにより、Identity Manager エンジンが、Solaris または Linux 環境で実行されている Identity Manager ドライバと通信できるようにします。 Windows: リモートローダコンソールは、rlconsole.exe を使用して dirxml_remote.exe を操作しま す。これは実行可能ファイルで、Identity Manager エンジンサーバが、Windows で実行されて いる Identity Manager ドライバと通信できるようにします。 153 ページのセクション 17.1「ウィザードを使用したコンポーネントのインストール」 154 ページのセクション 17.2「サイレントインストールの実行」 155 ページのセクション 17.3「Java リモートローダを UNIX または Linux にインストールする」 17.1 ウィザードを使用したコンポーネントのインストー ル インストールプログラムに従ってリモートローダの設定を進めることができます。コンソールまた は GUI でインストールを実行できます。UNIX および Windows コンピュータでは、インストールプ ログラムはデフォルトで自動的にウィザードモードになります。 インストールの準備を行うには、145 ページのセクション 16.1「リモートローダのインストール チェックリスト」を参照してください。リリースに付属するリリースノートも参照してください。 無人インストールを実行するには、138 ページのセクション 15.2「サイレントインストールの実 行」を参照してください。 注 : インストールを root ユーザまたは非 root ユーザのどちらとして実行するかは、識別ボールトの インストールに使用した方法に合わせて選択してください。 Linux: /products/IDM/install.bin Windows: \products\IDM\windows\setup\idm_install.exe リモートローダを root または管理ユーザとしてインストールする 1 Identity Manager エンジンをインストールするコンピュータに root または管理者としてログイ ンします。 注 : Java リモートローダを非 root ユーザとしてインストールできます。 2 インストールファイルが保存されているディレクトリから、次のいずれかの操作を実行しま す。 Linux ( コンソール ): 「./install.bin -i console」と入力します。 Linux (GUI): 「./install.bin」と入力します。 Windows: idm_install.exe を実行します。 リモートローダのインストール 153 3 ライセンス契約に同意して、 [Next]をクリックします。 4 [コンポーネントの選択]ウィンドウで、インストールするリモートローダコンポーネントを 指定します。 オプションの詳細については、126 ページのセクション 13.2「インストールプログラムの理 解」を参照してください。 5 ( オプション ) 個々のコンポーネント用の特定のドライバを選択するには、次の手順を実行しま す。 5a [Customize the selected components ( 選択したコンポーネントのカスタマイズ )]をク リックし、[次へ]をクリックします。 5b インストールするコンポーネントの下にある[ドライバ]を展開します。 5c インストールするドライバを選択します。 6 [次へ]をクリックします。 7 [Activation Notice ( アクティベーションの通知 )]ウィンドウで、 [OK]をクリックします。詳 細については、443 ページの第 50 章「Identity Manager のアクティベート」を参照してくださ い。 8 [認証]で、eDirectory でスキーマを拡張するのに十分な権限を持つユーザアカウントとそのパ スワードを指定します。ユーザ名は LDAP 形式で指定します。たとえば、cn=admin,o=company と指定します。 9 [インストール前の概要]で、設定を確認します。 10 [インストール]をクリックします。 11 Identity Manager をアクティベートします。詳細については、443 ページの第 50 章「Identity Manager のアクティベート」を参照してください。 12 ドライバおよび Identity Manager に接続するようにリモートローダを設定します。詳細につい ては、157 ページの第 18 章「リモートローダとドライバの設定」を参照してください。 13 ドライバオブジェクトを作成および設定するため、そのドライバ専用のガイドを参照します。 詳細については、Identity Manager ドライバマニュアルの Web サイトを参照してください。 14 ( オプション ) デフォルトのインストール場所については、/tmp/idmInstall.log を参照してくださ い。 17.2 サイレントインストールの実行 Identity Manager のサイレントインストールを実行するには、インストールを完了するのに必要な パラメータを含むプロパティファイルを作成します。Identity Manager のメディアの次の場所に、 サンプルのプロパティファイルが収録されています。 Linux: /products/IDM/linux/setup/silent.properties Windows: \products\IDM\windows\setup\silent.properties サイレントインストールを実行する 1 インストールディレクトリで、プロパティファイルを作成するか、サンプルの silent.properties ファイルを編集します。 2 テキストエディタで、ファイルに次のパラメータを指定します。 154 NetIQ Identity Manager セットアップガイド CONNECTED_SYSTEM_SELECTED 32 ビットのリモートローダサービスとドライバをインストールするかどうかを指定しま す。同じサーバに 32 ビットバージョンと 64 ビットバージョンの両方をインストールでき ます。 X64_CONNECTED_SYSTEM_SELECTED 64 ビットのリモートローダサービスとドライバをインストールするかどうかを指定しま す。同じサーバに 32 ビットバージョンと 64 ビットバージョンの両方をインストールでき ます。 UTLITIES_SELECTED リモートローダ用のユーティリティとシステムコンポーネントをインストールするかどう かを指定します。 DOT_NET_REMOTELOADER_SELECTED Windows サーバに .NET リモートローダサービスとドライバをインストールするかどうか を指定します。 3 サイレントインストールを実行するため、プロパティファイルのディレクトリから次のいずれ かのコマンドを発行します。 Linux: install.bin -i silent -f filename.properties Windows: install.exe -i silent -f filename.properties 4 ( オプション ) デフォルトのインストール場所については、/tmp/idmInstall.log を参照してくださ い。 17.3 Java リモートローダを UNIX または Linux にインス トールする dirxml_jremote は、純粋な Java リモートローダです。Identity Manager は、このプログラムを使用し て、1 つのサーバで実行されている Identity Manager エンジンと、rdxml が動作しない別の場所で実 行されている Identity Manager ドライバとの間でデータを交換します。dirxml_jremote は、互換性の ある JRE (1.5.0 以上 ) と Java Sockets がインストールされた、サポート対象の任意の UNIX または Linux コンピュータにインストールできます。 1 Identity Manager エンジンをホストするサーバで、アプリケーションシムの .so ファイルまたは .jar ファイルをコピーします。これらのファイルは、デフォルトでは /opt/novell/eDirectory/lib/ dirxml/classes ディレクトリにあります。 2 Java リモートローダをインストールするコンピュータ ( ターゲットコンピュータ ) にログイン します。 3 ターゲットコンピュータに、サポートされているバージョンの JRE がインストールされている ことを確認します。 リモートローダのインストール 155 4 インストールプログラムにアクセスするため、次のいずれかの手順を実行します。 4a ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルが ある場合は、Java リモートローダのインストールファイルが保存されているディレクト リへナビゲートします。デフォルトの場所は products/IDM/java_remoteloader です。 4b ( 状況によって実行 ) Java リモートローダのインストールファイルを NetIQ Downloads の Web サイトからダウンロードした場合は、次の手順を実行します。 4b1 ダウンロードしたイメージの .tgz ファイルへナビゲートします。 4b2 ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 5 dirxml_jremote_dev.tar.gz ファイルをターゲットコンピュータ上の目的の場所にコピーします。 たとえば、/usr/idm にファイルをコピーします。 6 次のいずれかのファイルをターゲットコンピュータ上の目的の場所にコピーします。 dirxml_jremote.tar.gz dirxml_jremote_mvs.tar mvs の詳細については、dirxml_jremote_mvs.tar ファイルを untar し、ドキュメント usage.html を参照してください。 7 ターゲットコンピュータで、.tar.gz ファイルを圧縮解除して展開します。 たとえば、「gunzip dirxml_jremote.tar.gz」または「tar -xvf dirxml_jremote_dev.tar」と入力します。 8 140 ページのステップ 7 でコピーしたアプリケーションシムの .so ファイルまたは .jar ファイル を、lib ディレクトリの下層にある dirxml/classes ディレクトリに保存します。 9 RDXML_PATH 環境変数によって Java 実行可能ファイルにアクセスできるように dirxml_jremote スクリプトをカスタマイズするため、次の手順を実行します。 9a 次のいずれかのコマンドを入力して、環境変数 RDXML_PATH を設定します。 set RDXML_PATH=path export RDXML_PATH 9b dirxml_jremote スクリプトを編集して、Java 実行可能ファイルへのパスを Java を実行する スクリプトラインに追加します。 10 サンプル環境設定ファイル config8000.txt をアプリケーションシム用に設定します。 このサンプルファイルは、デフォルトでは /opt/novell/dirxml/doc ディレクトリにあります。詳細 については、157 ページの第 18 章「リモートローダとドライバの設定」を参照してください。 156 NetIQ Identity Manager セットアップガイド 18 18 リモートローダとドライバの設定 リモートローダは、.dll、.so、または .jar ファイルに含まれる Identity Manager アプリケーションシ ムをホストできます。Java リモートローダは Java ドライバシムのみをホストします。ネイティブ (C++) ドライバシムはロードまたはホストしません。 リモートローダを使用する前に、Identity Manager エンジンに安全に接続するようにアプリケー ションシムを設定する必要があります。さらに、リモートローダと Identity Manager ドライバ両方 の設定も必要です。シムの詳細については、147 ページのセクション 16.2.1「シムの理解」を参照 してください。 157 ページのセクション 18.1「Identity Manager エンジンへのセキュア接続の作成」 160 ページのセクション 18.2「リモートローダの環境設定パラメータの理解」 169 ページのセクション 18.3「ドライバインスタンスのリモートローダの設定 (UNIX または Linux)」 170 ページのセクション 18.4「ドライバインスタンスのリモートローダの設定 (Windows)」 173 ページのセクション 18.5「ドライバインスタンスの Java リモートローダの設定」 174 ページのセクション 18.6 「リモートローダと連携するための Identity Manager ドライバの設 定」 175 ページのセクション 18.7「設定の検証」 18.1 Identity Manager エンジンへのセキュア接続の作成 リモートローダと Identity Manager エンジンとの間でデータが安全に転送されるようにする必要が あります。NetIQ では、通信に TLS/SSL (Transport Layer Security/Secure Socket Layer) プロトコ ルを使用することをお勧めします。TLS/SSL 接続をサポートするには、キーストアファイル内に適 切な自己署名証明書が必要です。このセクションでは、その証明書を作成、エクスポート、および 保管する方法について説明します。 注 : Identity Manager エンジンをホストするサーバとリモートローダで同じバージョンの SSL を使 用してください。サーバとリモートローダの SSL のバージョンが一致していないと、サーバから 「SSL3_GET_RECORD:wrong version number」というエラーメッセージが返されます。このメッセー ジは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが 表示されると混乱を招くおそれがあります。 18.1.1 通信プロセスの理解 リモートローダはサーバのソケットを開いて、リモートインタフェースシムからの接続をリスンし ます。リモートインタフェースシムとリモートローダは、SSL ハンドシェークを実行してセキュア なチャネルを確立します。続いて、リモートインタフェースシムはリモートローダへの認証を実行 リモートローダとドライバの設定 157 します。リモートインタフェースシムの認証が成功すると、リモートローダはリモートインタ フェースシムへの認証を実行します。正規の権限によって通信が確立されていることを両側から確 認できた場合にのみ、同期トラフィックが発生します。 ドライバと Identity Manager エンジンとの間で SSL 接続を確立するプロセスは、次のようにドライ バのタイプによって異なります。 ネイティブのドライバ (Active Directory ドライバなど ) の場合、Base64 エンコード証明書を指し ます。詳細については、158 ページのセクション 18.1.2「自己署名サーバ証明書の管理」を参 照してください。 Java ドライバの場合、キーストアを作成する必要があります。詳細については、159 ページの セクション 18.1.3「SSL 接続使用時のキーストアファイルの作成」を参照してください。 注 : リモートローダでは、リモートローダおよび Identity Manager サーバでホストされているリ モートインタフェースシムとの間の接続方法をカスタマイズできます。カスタム接続モジュールを 設定する場合、接続文字列で必要な項目と使用可能な項目に関する情報については、モジュールに 付属のマニュアルを参照してください。 18.1.2 自己署名サーバ証明書の管理 自己署名サーバ証明書を作成してエクスポートすることで、リモートローダと Identity Manager エ ンジン間のセキュアな通信を保証できます。新しい証明書を作成してエクスポートできます。 SSL サーバ証明書がすでに存在していて、SSL 証明書を使用した経験がある場合は、新しい証明書 を作成して使用するのではなく既存の証明書を使用することもできます。Active Directory ドライバ などのネイティブドライバを使用する場合は、このプロセスを使用する必要があります。 注 : サーバがツリーに参加すると、eDirectory によって次のデフォルトの証明書が作成されます。 SSL CertificateIP SSL CertificateDNS 1 NetIQ iManager にログインします。 2 新しい証明書を作成するには、次の手順を実行します。 2a [NetIQ Certificate Server]>[Create Server Certificate ( サーバ証明書の作成 )]の順に クリックします。 2b 証明書を所有するサーバを選択します。 2c 証明書のニックネームを指定します。たとえば、 「remotecert」と指定します。 注 : 証明書のニックネームにはスペースを使用しないことをお勧めします。たとえば、 「remote cert」ではなく「remotecert」を使用します。 また、証明書のニックネームは書き留めておいてください。このニックネームは、ドライ バのリモート接続パラメータの KMO 名に使用します。 2d [Creation method]は[Standard]のままにし、 [Next]をクリックします。 2e [Summary]の画面を確認し、 [Finish]をクリックして[Close]をクリックします。 158 NetIQ Identity Manager セットアップガイド 3 証明書をエクスポートするには、次の手順を実行します。 3a iManager で、 [eDirectory Administration]>[Modify Object]の順にクリックします。 3b [Security]コンテナの[Certificate Authority]を参照して選択し、 [OK]をクリックしま す。 認証局 (CA) にはツリー名に基づいた名前 (Treename-CA.Security) が付けられます。 3c [Certificates ( 証明書 )]タブで、証明書のリストから[Self-Signed Certificate ( 自己署名 証明書 )]を選択します。 3d [Export]をクリックします。 3e Export Certificate ( 証明書のエクスポート ) ウィザードで、 [Export private key ( 秘密鍵の エクスポート )]を選択解除します。 3f エクスポート形式で[BASE64]を選択して、 [次へ]をクリックします。 注 : Windows 2003 R2 SP1 32 ビットサーバでリモートローダを実行している場合、証明 書は Base64 形式にする必要があります。DER 形式を使用すると、リモートローダが Identity Manager エンジンに接続できません。 3g [Save the exported certificate ( エクスポートした証明書を保存 )]をクリックして、ロー カルファイルシステムの場所を指定します。 3h [保存] 、 [閉じる]の順にクリックします。 18.1.3 SSL 接続使用時のキーストアファイルの作成 Java ドライバと Identity Manager エンジンの間で SSL 接続を使用するには、キーストアを作成す る必要があります。キーストアは、暗号化キーおよび証明書 ( オプション ) を含む Java ファイルで す。リモートローダと Identity Manager エンジンの間で SSL を使用する必要があり、Java シムを 使用する場合は、キーストアファイルを作成する必要があります。次のセクションでは、キースト アファイルの作成方法について説明します。 159 ページの 「任意のプラットフォームでのキーストアの作成」 159 ページの 「Linux でのキーストアの作成」 160 ページの 「Windows でのキーストアの作成」 任意のプラットフォームでのキーストアの作成 任意のプラットフォームでキーストアを作成するには、コマンドラインで次のコマンドを入力しま す。 keytool -import -alias trustedroot -file self-signed_certificate_name -keystore filename -storepass keystorepass filename には任意の名前を指定できます (rdev_keystore など )。 Linux でのキーストアの作成 Linux 環境では、create_keystore ファイルを使用します。これは、Keytool ユーティリティを呼び出 すシェルスクリプトです。このファイルは rdxml とともにインストールされ、デフォルトでは install_directory/dirxml/bin ディレクトリにあります。create_keystore ファイルは、 \dirxml\java_remoteloader ディレクトリにある dirxml_jremote.tar.gz ファイルにも含まれています。 リモートローダとドライバの設定 159 注 : UNIX コンピュータでは、自己署名証明書を使用してキーストアが作成されると、Base64 また はバイナリの DER 形式で証明書をエクスポートできます。 コマンドラインで次のコマンドを入力します。 create_keystore self-signed_certificate_name keystorename たとえば、次のいずれかを入力します。 create_keystore tree-root.b64 mystore create_keystore tree-root.der mystore create_keystore スクリプトにより、キーストアパスワード用にハードコードされている “dirxml” のパ スワードが指定されます。キーストアに保存されるのはパブリック証明書と公開鍵のみなので、セ キュリティリスクはありません。 Windows でのキーストアの作成 Windows でコンピュータでは、Keytool ユーティリティを実行します。このユーティリティは、デ フォルトでは c:\novel\lremoteloader\jre\bin ディレクトリにあります。 18.2 リモートローダの環境設定パラメータの理解 Identity Manager アプリケーションシムをホストするドライバインスタンスとリモートローダを連 携するには、ドライバインスタンスを設定する必要があります。たとえば、インスタンスの接続お よびポートの設定を指定する必要があります。コマンドライン、環境設定ファイル (UNIX または Linux)、あるいはリモートローダコンソール (Windows) で設定を指定できます。インスタンスが実 行状態になったら、コマンドラインを使用して、環境設定パラメータを変更したり、特定の機能を 実行するようリモートローダに命令したりできます。たとえば、トレースウィンドウを開いたり、 リモートローダをアンロードしたりできます。 このセクションでは、環境設定パラメータについて説明します。ここでの説明では、インスタンス の実行中にコマンドラインからパラメータを送信してリモートローダを更新できるかどうかを指定 します。 新しいドライバインスタンスの設定の詳細については、以下のセクションを参照してください。 Linux および UNIX: 169 ページのセクション 18.3 「ドライバインスタンスのリモートローダの設 定 (UNIX または Linux)」 Windows: 170 ページのセクション 18.4「ドライバインスタンスのリモートローダの設定 (Windows)」. 18.2.1 リモートローダのドライバインスタンスの環境設定パラメータ ドライバインスタンスは、コマンドラインまたは環境設定ファイルで設定できます。リモートロー ダおよびドライバをアプリケーションシム用に設定するのに役立つサンプルファイル config8000.txt が用意されています。このサンプルファイルは、デフォルトでは /opt/novell/dirxml/doc ディレクトリ にあります。たとえば、環境設定ファイルに次の行を記述できます。 -commandport 8000 -connection "port=8090 rootfile=/dirxmlremote/root.pem" -module $DXML_HOME/dirxmlremote/libcskeldrv.so.0.0.0 -trace 3 160 NetIQ Identity Manager セットアップガイド 使用するパラメータは、以下のとおりです。 -description value (-desc value) ( オプション ) 文字列形式の短い説明を指定します (SAP など )。この説明は、アプリケーショ ンによってトレースウィンドウのタイトルや監査ログに使用されます。次に例を示します。 -description SAP -desc SAP -class name (-cl name) ( 状況によって実行 ) Java ドライバを使用する場合、ホストする Identity Manager アプリケー ションシムの Java クラス名を指定します。このオプションにより、Java キーストアを使用し て証明書を読み込むようアプリケーションに指示します。次に例を示します。 -class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim-cl com.novell.nds.dirxml.driver.ldap.LDAPDriverShim 注 -module オプションを指定した場合、このオプションは使用できません。 -class オプションで区切り文字としてタブを使用すると、リモートローダは自動的に起動 しません。代わりに、手動で起動する必要があります。リモートローダを適切に起動する には、タブではなくスペースを使用できます。 このオプションで指定できる名前の詳細については、168 ページの 「Java -class パラメー タの名前の理解」を参照してください。 -commandport port_number (-cp port_number) ドライバインスタンスが制御目的で使用する TCP/IP ポートを指定します。たとえば、commandport 8001 または -cp 8001 と指定します。デフォルトは 8000 です。 同じサーバ上のリモートローダで複数のドライバインスタンスを使用するには、インスタンス ごとに異なる接続ポートとコマンドポートを指定します。 ドライバインスタンスがアプリケーションシムをホストしている場合、コマンドポートは、別 のインスタンスが、シムをホストしているインスタンスと通信するポートになります。ドライ バインスタンスが、アプリケーションシムをホストしているインスタンスにコマンドを送信す る場合、コマンドポートはホストインスタンスがリスンしているポートになります。 このパラメータをコマンドラインから、アプリケーションシムをホストしているインスタンス に送信する場合、コマンドポートはホストインスタンスがリスンしているポートを表します。 このコマンドはリモートローダの実行中に送信できます。 -config filename ドライバインスタンスの環境設定ファイルを指定します。次に例を示します。 -config config.txt 環境設定ファイルには、-config 以外のあらゆるコマンドラインオプションを含めることができ ます。コマンドラインで指定したオプションは、環境設定ファイル内で指定されたオプション よりも優先されます。 このコマンドはリモートローダの実行中に送信できます。 リモートローダとドライバの設定 161 -connection “parameters” (-conn “parameters”) Identity Manager リモートインタフェースシムを実行する Identity Manager エンジンをホスト しているサーバに接続するための設定を指定します。デフォルトの接続方法は、SSL を使用し た TCP/IP です。 同じサーバ上のリモートローダで複数のドライバインスタンスを使用するには、インスタンス ごとに異なる接続ポートとコマンドポートを指定します。 次の構文で接続設定を入力します。 -connection "parameter parameter parameter" 次に例を示します。 -connection "port=8091 fromaddress=198.51.100.0 rootfile=server1.pem keystore=ca.pem localaddress=198.51.100.0 hostname=198.51.100.0 kmo=remote driver cert" TCP/IP 接続の設定を指定するには、次のパラメータを使用します。 address=IP_address ( オプション ) リモートローダが特定のローカル IP アドレスをリスンするかどうかを指定 します。これは、リモートローダをホストするサーバが複数の IP アドレスを持ち、リ モートローダが 1 つのアドレスのみをリスンしなければならない場合に便利です。有効な 値は次のとおりです。 address=address number address='localhost' 次に例を示します。 address=198.51.100.0 値を指定しない場合、リモートローダはすべてのローカル IP アドレスをリスンします。 fromaddress=IP_address リモートローダが接続を受け入れる元のサーバを指定します。アプリケーションは他のア ドレスからの接続を無視します。サーバの IP アドレスまたは DNS 名を指定します。次に 例を示します。 fromaddress=198.51.100.0 fromaddress=testserver1.company.com handshaketimeout=milliseconds ( 状況によって実行 ) Identity Manager エンジンからの有効な接続でハンドシェークのタイ ムアウトが発生した場合に適用されます。リモートローダと Identity Manager エンジン間 のハンドシェークのタイムアウト時間 ( ミリ秒単位 ) を指定します。次に例を示します。 handshaketimeout=1000 ゼロ以上の整数を指定できます。ゼロは、接続がタイムアウトしないことを意味します。 デフォルト値は 1000 ミリ秒です。 hostname=server リモートローダを実行するサーバの IP アドレスまたは名前を指定します。次に例を示し ます。 hostname=198.51.100.0 162 NetIQ Identity Manager セットアップガイド keystore=filename ( 状況によって実行 ) Identity Manager アプリケーションシムが .jar ファイルに含まれてい る場合に適用されます。リモートインタフェースシムが使用する証明書の発行者のルート 認証局証明書を含む Java キーストアのファイル名を指定します。次に例を示します。 keystore=ca.pem 通常は、リモートインタフェースシムをホストしているツリーの認証局を指定します。 kmo=name SSL 接続に使用するキーと証明書を含む暗号化キーオブジェクトのキー名を指定します。 次に例を示します。 kmo=remote driver cert localaddress=IP_address クライアント接続用ソケットのバインド先 IP アドレスを指定します。次に例を示します。 localaddress=198.51.100.0 port=port_number リモートローダがリモートインタフェースシムからの接続をリスンする TCP/IP ポートを 指定します。デフォルトポートを指定するには、「port=8090」と入力します。 rootfile=trusted certname ( 状況によって実行 ) SSL の使用時にリモートローダがネイティブドライバと通信する必 要がある場合にのみ適用されます。リモートインタフェースシムによって使用される証明 書の発行者のルート認証局証明書を含むファイルを指定します。この証明書は Base64 形 式 (PEM) である必要があります。次に例を示します。 rootfile=server1.pem 通常、このファイルはリモートインタフェースシムをホストしているツリーの認証局で す。 storepass=password ( 状況によって実行 ) Identity Manager アプリケーションシムが .jar ファイルに含まれてい る場合に、Java リモートローダにのみ適用されます。keystore パラメータに入力した Java キーストアのパスワードを指定します。次に例を示します。 storepass=mypassword 注 : SSL の使用時にリモートローダが Java ドライバと通信する必要がある場合、次の構 文を使用して鍵と値のペアを指定します。 keystore=keystorename storepass=password -datadir directory (-dd directory) リモートローダが使用するデータファイルのディレクトリを指定します。次に例を示します。 -datadir /var/opt/novell/dirxml/rdxml/data このコマンドを使用すると、rdxml プロセスにより、カレントディレクトリが指定のディレク トリに変更されます。明示的にパスが指定されていないトレースファイルなどのファイルは、 このデータディレクトリに作成されます。 リモートローダとドライバの設定 163 -help (-h) ヘルプを表示するようアプリケーションに命令します。 -java (-j) ( 状況によって実行 ) Java ドライバシムインスタンスのパスワードを設定するよう指定します。 注 : -class の値を同時に指定しない場合、このオプションは -setpasswords オプションとともに 使用します。 -javadebugport port_number (-jdp port_number) 指定されたポートで Java デバッグを有効にするようインスタンスに命令します。次に例を示 します。 -javadebugport 8080 このコマンドは Identity Manager アプリケーションシムの開発時に使用します。このコマンド はリモートローダの実行中に送信できます。 -javaparam parameters (-jp parameters) Java 環境の各種パラメータを指定します。次の構文で Java 環境パラメータを入力します。 -javaparam parameter -jp parameter -jp parameter 個々のパラメータに複数の値を指定するには、パラメータを引用符で囲みます。次に例を示し ます。 -javaparam DHOST_JVM_MAX_HEAP=512M -jp DHOST_JVM_MAX_HEAP=512M -jp "DHOST_JVM_OPTIONS=-Dfile.encoding=utf-8 -Duser.language=en" Java 環境を設定するには、次のパラメータを使用します。 DHOST_JVM_ADD_CLASSPATH JVM がパッケージ (.jar) ファイルおよびクラス (.class) ファイルを検索する追加のパスを指 定します。UNIX または Linux の 1 つの JVM に対して複数のクラスパスを指定するには、 各パスの間にコロンを挿入します。Windows JVM の場合はセミコロンを使用します。 DHOST_JVM_INITIAL_HEAP JVM の初期 ( 最小 ) ヒープサイズを 10 進数のバイト単位で指定します。数値を指定し、 その後に単位としてバイトタイプを表す G、M、または K を指定します。次に例を示しま す。 100M バイトタイプを指定しない場合、サイズはデフォルトでバイトに設定されます。このパラ メータを使用することは、java -Xms コマンドを使用することと同等です。 このパラメータは、ドライバセット属性オプションよりも優先されます。初期ヒープサイ ズを大きくすれば、起動時間とスループットのパフォーマンスが改善される場合がありま す。 DHOST_JVM_MAX_HEAP JVM の最大ヒープサイズを 10 進数のバイト単位で指定します。数値を指定し、その後に 単位としてバイトタイプを表す G、M、または K を指定します。次に例を示します。 100M 164 NetIQ Identity Manager セットアップガイド バイトタイプを指定しない場合、サイズはデフォルトでバイトに設定されます。 このパラメータは、ドライバセット属性オプションよりも優先されます。 DHOST_JVM_OPTION ドライバの JVM インスタンスの起動時に使用する引数を指定します。空白を使用して各 オプション文字列を区切ります。次に例を示します。 -Xnoagent -Xdebug -Xrunjdwp: transport=dt_socket,server=y, address=8000 このパラメータよりもドライバセット属性オプションが優先されます。この環境変数は、 ドライバセット属性オプションの末尾に付加されます。有効なオプションの詳細について は、JVM のマニュアルを参照してください。 -module “name” (-m “name”) ( 状況によって実行 ) ネイティブドライバを使用する場合、ホストする Identity Manager アプリ ケーションシムが含まれるモジュールを指定します。このオプションは、rootfile 証明書を使用 するようアプリケーションに命令します。たとえば、ネイティブドライバに対しては次のいず れかを入力します。 -module "c:\Novell\RemoteLoader\ADDriver.dll" -m "c:\Novell\RemoteLoader\ADDriver.dll" または -module "usr/lib/dirxml/NISDriverShim.so" -m "usr/lib/dirxml/NISDriverShim.so" 注 -class オプションを指定した場合、このオプションは使用できません。 -module オプションで区切り文字としてタブを使用すると、リモートローダは自動的に起動 しません。代わりに、手動で起動する必要があります。リモートローダを適切に起動する には、タブではなくスペースを使用できます。 -password value (-p value) 設定を変更するコマンドやインスタンスの操作に影響するコマンドを発行する場合は、ドライ バインスタンスのパスワードを指定する必要があります。コマンドを発行するインスタンスに 対して setpasswords で指定した最初のパスワードと同じパスワードを指定します。次に例を 示します。 -password netiq4 コマンドの発行時にパスワードを送信しない場合、ドライバインスタンスにより、パスワード を入力するようプロンプトが表示されます。 このコマンドはリモートローダの実行中に送信できます。 -piddir directory (-pd directory) リモートローダプロセスが使用するプロセス ID ファイル (pidfile) のディレクトリのパスを指定 します。次に例を示します。 -piddir /var/opt/novell/dirxml/rdxml/data pidfile は、主に SysV 方式の init スクリプトが使用します。デフォルト値は /var/run です。 pidfile を開いて /var/run の読み書きを行うための十分な権限を持たないユーザによってリモー トローダが実行されている場合、デフォルト値はカレントディレクトリになります。 このパラメータは -datadir と同様です。 リモートローダとドライバの設定 165 -service value (-serv value) (Windows のみ ) Windows コンピュータ上でインスタンスを Win32 サービスとして設定するか どうかを指定します。有効な値は install および uninstall と、アプリケーションシムをホストす るのに必要なその他のパラメータです。たとえば、-module を記述する必要がある場合に、commandport と接続設定も記述できます。 このコマンドは単にインスタンスをサービスとしてインストールか、アンインストールしま す。サービスを起動するものではありません。 このコマンドはリモートローダの実行中に送信できます。ただし、rdxml または Java リモート ローダではこのコマンドを使用できません。 -setpasswords Remote_Loader_pwd optional_pwd (-sp Remote_Loader_pwd optional_pwd) ドライバインスタンスのパスワード、およびリモートローダが通信するリモートインタフェー スシムの Identity Manager ドライバオブジェクトのパスワードを指定します。 パスワードを指定する必要はありません。その代わり、リモートローダによって、パスワード を入力するようプロンプトが表示されます。ただし、リモートローダのパスワードを指定した 場合、Identity Manager エンジンサーバでリモートインタフェースシムに関連付けられている Identity Manager ドライバオブジェクトのパスワードも指定する必要があります。パスワード を指定するには、次の構文を使用します。 -setpasswords Remote_Loader_password driver_object_password 次に例を示します。 -setpasswords netiq4 idmobject6 注 : このオプションを使用すると、指定したパスワードがドライバインスタンスに設定されま すが、Identity Manager アプリケーションシムはロードされず、別のインスタンスとも通信し ません。 トレースファイルの設定 ( 状況によって実行 ) Identity Manager アプリケーションシムをホストする場合、リモートロー ダとこのインスタンスのドライバの両方からの情報メッセージを記録するトレースファイルの 設定を指定します。 環境設定ファイルに次のパラメータを追加します。 -trace integer (-t integer) トレースウィンドウに表示するメッセージのレベルを指定します。次に例を示します。 -trace 3 リモートローダのトレースレベルは、Identity Manager エンジンをホストしているサーバ で使用されているトレースレベルに対応します。 -tracefile filepath (-tf filepath) トレースメッセージを記録するファイルのパスを指定します。特定のコンピュータで実行 されている各ドライバインスタンスに対して固有のトレースファイルを指定する必要があ ります。次に例を示します。 -tracefile c:\temp\trace.txt -trace パラメータがゼロより大きい場合、アプリケーションはメッセージをこのファイル に書き込みます。メッセージをファイルに書き込むためにトレースウィンドウが開いてい る必要はありません。 166 NetIQ Identity Manager セットアップガイド -tracefilemax size (-tf size) このインスタンスのトレースファイルのサイズの制限を指定します。キロバイト、メガバ イト、またはギガバイト単位の値を、バイトタイプを表す略語を使用して指定します。次 に例を示します。 -tracefilemax 1000K -tf 100M -tf 10G 注 リモートローダの起動時にトレースファイルのデータが指定した最大サイズよりも大 きい場合、10 ファイルすべてのロールオーバーが完了するまで、トレースファイル のデータは指定した最大値よりも大きいままとなります。 環境設定ファイルにこのオプションを追加した場合、アプリケーションは指定した名 前をトレースファイルに使用し、最大 9 個の「ロールオーバー」ファイルを含めま す。ロールオーバーファイルには、メインのトレースファイル名と「_n」に基づいた 名前が付けられます。「n」は 1 ~ 9 の値になります。 -tracechange integer (-tc integer) ( 状況によって実行 ) アプリケーションシムをホストしている既存のドライバインスタン スがある場合に、情報メッセージの新しいレベルを指定します。トレースレベルは Identity Manager サーバで使用されているレベルと同じです。次に例を示します。 -trace 3 このコマンドはリモートローダの実行中に送信できます。 -tracefilechange filepath (-tfc filepath) ( 状況によって実行 ) アプリケーションシムをホストしている既存のドライバインスタン スがある場合に、そのインスタンスに対し、特定のトレースファイルを使用するか、使用 中のファイルを閉じてこの新しいファイルに変更するよう命令します。次に例を示しま す。 -tracefilechange \temp\newtrace.txt このコマンドはリモートローダの実行中に送信できます。 -unload (-u) アンロードするようドライバインスタンスに命令します。リモートローダが Win32 サービスと して実行されている場合は、サービスを停止します。 このコマンドはリモートローダの実行中に送信できます。 -window value (-w) value (Windows のみ ) Windows コンピュータでドライバインスタンスのトレースウィンドウをオン またはオフにするようアプリケーションに命令します。有効な値は on および off です。次に例 を示します。 -window on このコマンドはリモートローダの実行中に送信できます。このコマンドは Java リモートロー ダでは使用できません。 リモートローダとドライバの設定 167 -wizard (-wiz) (Windows のみ ) Windows コンピュータでリモートローダの環境設定ウィザードを起動します。 コマンドラインパラメータを指定せずに dirxml_remote.exe を実行してもウィザードを起動でき ます。 このコマンドを実行する際に環境設定ファイルも指定した場合 (-config オプション )、ウィザー ドは環境設定ファイルの値で起動します。環境設定ファイルを直接編集せずに、ウィザードを 使用して設定を変更できます。次に例を示します。 -wizard -config config.txt このコマンドは Java リモートローダでは使用できません。 18.2.2 Java -class パラメータの名前の理解 -class パラメータを使用してリモートローダおよび Java リモートローダのドライバインスタンスを 設定する場合、ホストする Identity Manager アプリケーションシムの Java クラス名を指定する必 要があります。 168 Java クラス名 ドライバ com.novell.nds.dirxml.driver.dcsshim.DCSShim データ収集サービス用ドライバ com.novell.nds.dirxml.driver.delimitedtext.DelimitedTextDriver 区切り付きテキストドライバ be.opns.dirxml.driver.ars.arsremedydrivershim.ARSDriverShim Driver for Remedy ARS com.novell.nds.dirxml.driver.entitlement.EntitlementServiceDriver エンタイトルメントサービスドライ バ com.novell.gw.dirxml.driver.gw.GWdriverShim GroupWise ドライバ com.novell.idm.drivers.idprovider.IDProviderShim ID プロバイダドライバ com.novell.nds.dirxml.driver.jdbc.JDBCDriverShim JDBC ドライバ com.novell.nds.dirxml.driver.jms.JMSDriverShim JMS ドライバ com.novell.nds.dirxml.driver.ldap.LDAPDriverShim LDAP ドライバ com.novell.nds.dirxml.driver.loopback.LoopbackDriverShim Loopback Driver com.novell.nds.dirxml.driver.ebs.user.EBSUserDriver Oracle ユーザ管理ドライバ com.novell.nds.dirxml.driver.ebs.hr.EBSHRDriver Oracle HR ドライバ com.novell.nds.dirxml.driver.ebs.tca.EBSTCADriver Oracle TCA ドライバ com.novell.nds.dirxml.driver.msgateway.MSGatewayDriverShim Managed System Gateway Driver com.novell.nds.dirxml.driver.manualtask.driver.ManualTaskDriver Manual Task Driver com.novell.nds.dirxml.driver.nisdriver.NISDriverShim NIS Driver com.novell.nds.dirxml.driver.notes.NotesDriverShim Notes Driver com.novell.nds.dirxml.driver.psoftshim.PSOFTDriverShim PeopleSoft Driver com.netiq.nds.dirxml.driver.pum.PUMDriverShim 特権ユーザ管理ドライバ com.novell.nds.dirxml.driver.salesforce.SFDriverShim SalesForce ドライバ NetIQ Identity Manager セットアップガイド 18.3 Java クラス名 ドライバ com.novell.nds.dirxml.driver.SAPHRShim.SAPDriverShim SAP HR ドライバ com.novell.nds.dirxml.driver.sap.portal.SAPPortalShim SAP ポータルドライバ com.novell.nds.dirxml.driver.sapumshim.SAPDriverShim SAP User Management Driver com.novell.nds.dirxml.driver.soap.SOAPDriver SOAP ドライバ com.novell.idm.driver.ComposerDriverShim ユーザアプリケーション com.novell.nds.dirxml.driver.workorder.WorkOrderDriverShim ワークオーダードライバ ドライバインスタンスのリモートローダの設定 (UNIX または Linux) リモートローダは、.dll、.so、または .jar ファイルに含まれる Identity Manager アプリケーションシ ムをホストできます。UNIX または Linux コンピュータでリモートローダを実行するには、アプリ ケーションは各ドライバインスタンスに対して環境設定ファイル (LDAPShim.txt など ) を必要としま す。環境設定ファイルは、コマンドラインオプションを使用して作成または編集することもできま す。 デフォルトでは、リモートローダは TLS/SSL プロトコルを使用して TCP/IP 経由で Identity Manager エンジンに接続します。この接続におけるデフォルトの TCP/IP ポートは 8090 になりま す。同じサーバ上のリモートローダで複数のドライバインスタンスを実行できます。各インスタン スは別々の Identity Manager アプリケーションシムインスタンスをホストします。同じサーバ上で リモートローダの複数のインスタンスを使用するには、インスタンスごとに異なる接続ポートとコ マンドポートを指定します。 注 環境設定ファイルには、-config 以外のあらゆるコマンドラインオプションを含めることができ ます。 環境設定ファイルにパラメータを追加する場合、長い形式のパラメータか、短い形式のパラ メータを使用できます。たとえば、-description または -desc です。 次の手順では、長い形式を最初に示し、その後に丸かっこで囲んで短い形式を示します。たと えば、-description value (-desc value) のように示します。 このセクションで使用されているパラメータの詳細については、160 ページの 「リモートロー ダの環境設定パラメータの理解」を参照してください。 環境設定ファイルを作成する 1 テキストエディタで新しいファイルを作成します。 リモートローダおよびドライバをアプリケーションシム用に設定するのに役立つサンプルファ イル config8000.txt が用意されています。このサンプルファイルは、デフォルトでは /opt/novell/ dirxml/doc ディレクトリにあります。 2 次の環境設定パラメータをファイルに追加します。 -description ( オプション ) -commandport リモートローダとドライバの設定 169 接続パラメータ : port address fromaddress handshaketimeo rootfile keystore ( 条件付き ) storepass ( 条件付き ) localaddress hostname kmo トレースファイルパラメータ ( オプション ): -trace -tracefile -tracefilemax -javaparam -class または -module これらのパラメータに値を指定する方法の詳細については、160 ページのセクション 18.2「リ モートローダの環境設定パラメータの理解」を参照してください。 3 ファイルを保存します。 コンピュータの起動時にリモートローダを自動的に起動するには、ファイルを /etc/opt/novell/ dirxml/rdxml ディレクトリに保存します。 18.4 ドライバインスタンスのリモートローダの設定 (Windows) リモートローダは、.dll、.so、または .jar ファイルに含まれる Identity Manager アプリケーションシ ムをホストできます。リモートローダを実行するには、アプリケーションは環境設定ファイル (LDAPShim.txt など ) を必要とします。リモートローダコンソールユーティリティ ( コンソール ) は、 Windows サーバで実行されている Identity Manager ドライバのすべてのインスタンスを管理するの に役立ちます。リモートローダの各インスタンスを起動、停止、追加、削除、および編集できます。 リモートローダのインストールプログラムを実行すると、コンソールもインストールされます。 アップグレードを行う場合、コンソールは既存のドライバインスタンスを検出してインポートしま す。ドライバを自動的にインポートするには、その環境設定ファイルをリモートローダのディレク トリ ( デフォルトでは c:\novell\remoteloader) に保存する必要があります。その後、コンソールを使 用してリモートドライバを管理できます。 コマンドラインまたはリモートローダコンソールを使用して、Windows のドライバを認識するよう にリモートローダを設定できます。コマンドラインの使用の詳細については、160 ページのセク ション 18.2「リモートローダの環境設定パラメータの理解」を参照してください。 170 NetIQ Identity Manager セットアップガイド このセクションでは、次の操作の方法について説明します。 171 ページのセクション 18.4.1「リモートローダの新しいドライバインスタンスの作成 (Windows)」 172 ページのセクション 18.4.2「リモートローダの既存のドライバインスタンスの変更 (Windows)」 18.4.1 リモートローダの新しいドライバインスタンスの作成 (Windows) 1 リモートローダコンソールを開きます。 注 : インストールの際にコンソールのショートカットを作成するよう選択した場合は、デスク トップの[Identity Manager Remote Loader Console (Identity Manager リモートローダコンソール )] アイコンを使用します。そうでない場合は、rlconsole.exe を実行します。デフォルトの場所は C:\novell\remoteloader\nnbit です。 2 このサーバにドライバのインスタンスを追加するため、 [追加]をクリックします。 3 [説明]に、インスタンスを表す短い名前を入力します。 コンソールは、この情報を[Config File ( 環境設定ファイル )]のデフォルト値に使用します。 4 [ドライバ]で、Java クラス名を選択します。 注 : Active Directory ドライバを使用するには、[ADDriver.dll]を選択します。各ドライバのク ラス名の詳細については、168 ページの 「Java -class パラメータの名前の理解」を参照してく ださい。 5 [Config File ( 環境設定ファイル )]で、リモートローダが環境設定パラメータを保存するファ イルのパスを指定します。デフォルト値は C:\novell\remoteloader\nnbit\Description-config.txt です。 6 リモートローダおよびドライバオブジェクトのパスワードを指定します。 7 ( オプション ) リモートローダと Identity Manager エンジンサーバの間で TLS/SSL 接続を使用 するには、次の手順を実行します。 7a [SSL 接続の使用]を選択します。 注 : Identity Manager エンジンサーバとリモートローダの両方で同じバージョンの SSL を 使用することをお勧めします。サーバとリモートローダの SSL のバージョンが一致して いないと、サーバから「SSL3_GET_RECORD:wrong version number」というエラーメッセー ジが返されます。このメッセージは単なる警告で、サーバとリモートローダ間の通信が中 断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。 7b [Trusted Root File ( 信頼するルートファイル )]で、eDirectory ツリーの組織認証局から エクスポートされた自己署名証明書を指定します。詳細については、157 ページのセク ション 18.1「Identity Manager エンジンへのセキュア接続の作成」を参照してください。 8 ( オプション ) リモートローダのトレースファイルを設定するため、次の手順を実行します。 リモートローダとドライバの設定 171 注 : トレース機能は問題をトラブルシューティングする場合にのみ使用することをお勧めしま す。トレースを有効にすると、リモートローダのパフォーマンスが低下します。トレースを有 効にしたまま運用しないでください。 8a [Trace Level ( トレースレベル )]で、トレースウィンドウに表示する、リモートローダ とドライバの両方からの通知メッセージのレベルを定義するゼロより大きい値を指定しま す。1 ~ 4 の値はコンソールで事前定義されています。独自のメッセージタイプを作成す るには、5 以上の値を指定します。 最も一般的な設定はトレースレベル 3 で、処理全般、XML ドキュメント、およびリモー トローダのメッセージが表示されます。 8b [Trace File ( トレースファイル )]で、トレースメッセージを記録するファイルのパスを 指定します。たとえば、C:\novell\remoteloader\64bit\Test-Delimited-Trace.log です。 特定のコンピュータで実行されている各ドライバインスタンスに対して固有のトレース ファイルを指定する必要があります。トレースメッセージは、トレースレベルがゼロより も大きい場合にだけトレースファイルに書き込まれます。 8c [Maximum Disk Space Allowed for all Trace Logs (Mb) ( 全トレースログで使用できる 最大ディスク領域 (MB))]で、このインスタンスのトレースファイルに使用できる最大 ディスク領域のおおよその値を指定します。 9 ( オプション ) コンピュータの起動時にリモートローダが自動的に起動できるようにするには、 [Establish Remote Loader Service for this driver instance ( このドライバインスタンスのリ モートローダサービスを設定する )]を選択します。 10 ( 状況によって実行 ) Java 環境設定のパラメータを変更するには、次の手順を実行します。 10a [Advanced ( 詳細 )]を選択します。 10b [Classpath ( クラスパス )]で、JVM がパッケージ (.jar) ファイルおよびクラス (.class) ファイルを検索するパスを指定します。複数のパスを指定するには、コロン (UNIX または Linux JVM の場合 ) またはセミコロン (Windows JVM の場合 ) で各パスを区切りま す。 このパラメータの機能は java -classpath コマンドと同じです。 10c [JVM Options (JVM オプション )]で、ドライバの JVM インスタンスの起動時に使用す るオプションを指定します。 10d JVM インスタンスの初期ヒープサイズと最大ヒープサイズを MB 単位で指定します。 10e [OK]をクリックします。 11 [OK]をクリックします。 18.4.2 リモートローダの既存のドライバインスタンスの変更 (Windows) 1 リモートローダコンソールの[説明]カラムから、ドライバインスタンスを選択します。 2 [停止]をクリックします。 3 リモートローダのパスワードを入力して、 [OK]をクリックします。 4 [編集]をクリックします。 5 設定情報を変更します。各パラメータの詳細については、171 ページの 「リモートローダの新 しいドライバインスタンスの作成 (Windows)」を参照してください。 6 変更を保存するには、 [OK]をクリックします。 172 NetIQ Identity Manager セットアップガイド 18.5 ドライバインスタンスの Java リモートローダの設定 Java リモートローダは Java ドライバシムのみをホストします。ネイティブ (C++) ドライバシムは ロードまたはホストしません。 Linux プラットフォームで Java リモートローダの新しいインスタンスを設定するには、次の手順を 実行します。このセクションで使用されているパラメータの詳細については、160 ページの 「リ モートローダの環境設定パラメータの理解」を参照してください。 1 テキストエディタで新しいファイルを作成します。 リモートローダおよびドライバをアプリケーションシム用に設定するのに役立つサンプルファ イル config8000.txt が用意されています。このサンプルファイルは、デフォルトでは /opt/novell/ dirxml/doc ディレクトリにあります。 2 新しい環境設定ファイルに次のパラメータを追加します。 -description ( オプション ) -class または -module たとえば、-class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim です。 -commandport 接続パラメータ : port address fromaddress handshaketimeo rootfile keystore ( 条件付き ) storepass ( 条件付き ) localaddress hostname kmo -java ( 条件付き ) -javadebugport ( オプション ) -password -service ( 条件付き ) -setpasswords トレースファイルパラメータ ( オプション ): -trace -tracefile -tracefilemax 注 : パラメータの詳細については、160 ページのセクション 18.2「リモートローダの環境設定 パラメータの理解」を参照してください。 3 新しい環境設定ファイルを保存します。 リモートローダとドライバの設定 173 コンピュータの起動時にリモートローダを自動的に起動するには、ファイルを /etc/opt/novell/ dirxml/rdxml ディレクトリに保存します。 4 コマンドプロンプトを開きます。 5 プロンプトで「-config filename」と入力します。filename には新しい環境設定ファイルの名前を 指定します。次に例を示します。 -config config.txt 18.6 リモートローダと連携するための Identity Manager ドライバの設定 新しいドライバを設定するか、または既存のドライバを有効にして、リモートローダと通信できま す。Identity Manager アプリケーションシムをリモートローダで使用できるように設定する必要が あります。 注 : このセクションでは、リモートローダと通信できるようにするためのドライバの設定に関する 一般的な情報について説明します。ドライバ固有の情報については、Identity Manager ドライバマ ニュアルの Web サイトで、関連するドライバ実装ガイドを参照してください。 Designer または iManager で新しいドライバオブジェクトを追加したり、既存のドライバオブジェ クトを変更したりするには、リモートローダのドライバインスタンスを有効にするための設定が必 要です。このセクションで使用されているパラメータの詳細については、160 ページの 「リモート ローダの環境設定パラメータの理解」を参照してください。 1 [概要]から Identity Manager ドライバオブジェクトを選択します。 2 ドライバオブジェクトのプロパティで、次の手順を実行します。 2a [ドライバモジュール]から、 [リモートローダに接続]を選択します。 2b [ドライバオブジェクトパスワード]で、リモートローダが Identity Manager エンジン サーバに対して自身を認証するために使用するパスワードを指定します。 このパスワードは、リモートローダで定義したドライバオブジェクトのパスワードに一致 している必要があります。 2c [Remote Loader Connection Parameters ( リモートローダ接続パラメータ )]で、リ モートローダに接続するために必要な情報を指定します。使用する構文は次のとおりで す。 hostname=xxx.xxx.xxx.xxx port=xxxx kmo=certificatename localaddress=xxx.xxx.xxx.xxx 各要素の内容は次のとおりです。 hostname リモートローダをホストするサーバの IP アドレスを指定します。たとえば、 「hostname=192.168.0.1」と指定します。 port リモートローダがリスンするポートを指定します。デフォルトは 8090 です。 kmo SSL 接続に使用するキーと証明書を含む暗号化キーオブジェクトのキー名を指定しま す。たとえば、「kmo=remotecert」と指定します。 174 NetIQ Identity Manager セットアップガイド localaddress Identity Manager エンジンをホストするサーバに複数の IP アドレスが設定されている 場合、ソース IP アドレスを指定します。 2d [Remote Loader Password ( リモートローダパスワード )]で、Identity Manager エンジ ン ( またはリモートローダシム ) がリモートローダへ認証するために必要なパスワードを 指定します。 3 セキュリティ上同等なユーザを定義します。 4 [次へ]をクリックし、 [終了]をクリックします。 18.7 設定の検証 リモートローダの起動と停止の詳細については、177 ページの第 19 章「リモートローダの起動と 停止」を参照してください。 1. リモートローダを起動します。次に例を示します。 dirxml_remote -config config.txt 2. iManager を使用してリモートインタフェースシムを起動します。 3. リモートローダが適切に動作していることを確認します。 4. リモートローダを停止します。次に例を示します。 dirxml_remote -config config.txt -u 5. リモートローダを Win32 サービスとしてインストールします。次に例を示します。 dirxml_remote -config config.txt -service install リモートローダとドライバの設定 175 176 NetIQ Identity Manager セットアップガイド 19 19 リモートローダの起動と停止 リモートローダはサービスまたはデーモンであり、場合によっては再起動が必要です。この章では、 リモートローダの停止および起動の方法について説明します。 177 ページのセクション 19.1「リモートローダのドライバインスタンスの起動」 179 ページのセクション 19.2「リモートローダのドライバインスタンスの停止」 19.1 リモートローダのドライバインスタンスの起動 ホストコンピュータの起動時に自動的にドライバインスタンスを起動するように各プラットフォー ムを設定できます。手動でインスタンスを起動することもできます。 177 ページのセクション 19.1.1「ドライバインスタンスの起動 (UNIX または Linux)」 178 ページのセクション 19.1.2「ドライバインスタンスの起動 (Windows)」 19.1.1 ドライバインスタンスの起動 (UNIX または Linux) UNIX または Linux コンピュータでリモートローダのドライバインスタンスを起動するには、次の 2 つの方法があります。 177 ページの 「ドライバインスタンスの自動起動 (UNIX または Linux)」 177 ページの 「コマンドラインを使用したドライバインスタンスの起動 (UNIX または Linux)」 ドライバインスタンスの自動起動 (UNIX または Linux) コンピュータの起動時に自動的に起動するようにリモートローダのドライバインスタンスを設定で きます。環境設定ファイルを /etc/opt/novell/dirxml/rdxml ディレクトリに配置します。 コマンドラインを使用したドライバインスタンスの起動 (UNIX または Linux) Linux プラットフォームでは、バイナリコンポーネント rdxml はリモートローダ用のコマンドライン 機能をサポートしています。このコンポーネントは、デフォルトでは /usr/bin/ ディレクトリにあり ます。 このセクションで使用されているパラメータの詳細については、160 ページの 「リモートローダの 環境設定パラメータの理解」を参照してください。 1 コマンドプロンプトを開きます。 2 ドライバインスタンスを Identity Manager エンジンへ認証するためのパスワードを指定するに は、次のいずれかのコマンドを入力します。 Linux: rdxml -config filename -sp password password UNIX: dirxml_jremote -config config_file -sp password password リモートローダの起動と停止 177 3 ドライバインスタンスを起動するため、次のコマンドを入力します。 Linux: rdxml -config filename UNIX: dirxml_jremote -config filename 4 iManager にログインし、ドライバを起動します。 5 リモートローダが正常に動作していることを確認します。 Linux: ps コマンドまたはトレースファイルを使用して、コマンドおよび接続ポートがリス ンしているかどうかを判断します。 UNIX: トレースファイル上で tail コマンドを使用して Java リモートローダを監視します。 tail -f trace filename ログの最終行に次のテキストが表示される場合、ローダは正常に実行されており、Identity Manager リモートインタフェースシムからの接続を待機しています。 TRACE: Remote Loader: Entering listener accept() リモートローダは、リモートローダが Identity Manager エンジンサーバ上のリモートインタ フェースシムと通信している場合にのみ、Identity Manager アプリケーションシムをロードし ます。つまり、たとえば、リモートローダがサーバとの通信を失うと、アプリケーションシム はシャットダウンされます。 19.1.2 ドライバインスタンスの起動 (Windows) Windows コンピュータでリモートローダのドライバインスタンスを起動するには、次の 3 つの方法 があります。 178 ページの 「ドライバインスタンスの自動起動 (Windows)」 178 ページの 「コンソールを使用したドライバインスタンスの起動 (Windows)」 179 ページの 「コマンドラインを使用したドライバインスタンスの起動 (Windows)」 ドライバインスタンスの自動起動 (Windows) Windows コンピュータの起動時に自動的に起動するようにリモートローダのドライバインスタンス を設定できます。 1 リモートローダコンソールを開きます。 インストールの際にリモートローダコンソールのショートカットを作成した場合は、デスク トップの[Identity Manager Remote Loader Console (Identity Manager リモートローダコンソール )] アイコンを使用します。そうでない場合は、rlconsole.exe を実行します。デフォルトの場所は C:\novell\remoteloader\nnbit です。 2 ドライバインスタンスを選択して、 [編集]をクリックします。 3 [Establish a Remote Loader Service for this Drive Instance ( このドライバインスタンスの リモートローダサービスを設定する )]を選択します。 4 変更内容を保存し、コンソールを閉じます。 コンソールを使用したドライバインスタンスの起動 (Windows) 1 リモートローダコンソールを開きます。 178 NetIQ Identity Manager セットアップガイド インストールの際にリモートローダコンソールのショートカットを作成した場合は、デスク トップの[Identity Manager Remote Loader Console (Identity Manager リモートローダコンソール )] アイコンを使用します。そうでない場合は、rlconsole.exe を実行します。デフォルトの場所は C:\novell\remoteloader\nnbit です。 2 ドライバインスタンスを選択し、 [Start]をクリックします。 コマンドラインを使用したドライバインスタンスの起動 (Windows) dirxml_remote.exe ファイルは、リモートローダ用のコマンドライン機能をサポートしています。こ の実行可能ファイルは、デフォルトでは c:\novell\RemoteLoader ディレクトリにあります。このセク ションで使用されているパラメータの詳細については、160 ページの 「リモートローダの環境設定 パラメータの理解」を参照してください。 1 コマンドプロンプトを開きます。 2 リモートローダのドライバインスタンスを Identity Manager エンジンへ認証するためのパス ワードを指定するには、次のコマンドを入力します。 dirxml_remote -config filename -setpasswords password password 次に例を示します。 dirxml_remote -config config.txt -sp Novell4 idmpwd6 3 ドライバインスタンスを起動するため、次のコマンドを入力します。 dirxml_remote -config filename 次に例を示します。 dirxml_remote -config config.txt 4 iManager にログインし、ドライバを起動します。 5 リモートローダが正常に動作していることを確認します。 リモートローダは、リモートローダが Identity Manager エンジンサーバ上のリモートインタ フェースシムと通信している場合にのみ、Identity Manager アプリケーションシムをロードし ます。つまり、たとえば、リモートローダがサーバとの通信を失うと、アプリケーションシム はシャットダウンされます。 6 ( 状況によって実行 ) リモートローダを Win32 サービスとしてインストールしていない場合は、 次のコマンドを入力します。 dirxml_remote -config filename -service install 次に例を示します。 dirxml_remote -config config.txt -service install 19.2 リモートローダのドライバインスタンスの停止 リモートローダのドライバインスタンスを停止する方法はプラットフォームごとに異なります。こ のセクションで使用されているパラメータの詳細については、160 ページの 「リモートローダの環 境設定パラメータの理解」を参照してください。 リモートローダの起動と停止 179 注 UNIX または Linux コンピュータでリモートローダのインスタンスを複数実行する場合は、リ モートローダが適切なインスタンスを停止できるように -cp command port オプションを含めま す。 ドライバインスタンスを停止する場合、十分な権利を持っているか、リモートローダのパス ワードを指定する必要があります。たとえば、リモートローダが Windows サービスとして実 行されていて、リモートローダを停止するための十分な権限を持っているとします。ここでパ スワードを入力したところ、パスワードが間違っていることが判明します。リモートローダは 実際にはそのパスワードを「受け付けない」ため、いずれにしてもリモートローダは停止しま す。この場合パスワードが冗長であるため、パスワードは無視されます。サービスではなくア プリケーションとしてリモートローダを実行している場合、パスワードが使用されます。 ドライバインスタンスを停止する Linux コマンド「rdxml -config filename -u」を入力します。次に例を示します。 rdxml -config config.txt -u UNIX コマンド「dirxml_jremote -config filename -u」を入力します。次に例を示します。 dirxml_remote -config config.txt -u Windows リモートローダコンソールを使用します。 インストールの際にリモートローダコンソールのショートカットを作成した場合は、デスク トップの[Identity Manager Remote Loader Console (Identity Manager リモートローダコンソール )] アイコンを使用します。そうでない場合は、rlconsole.exe を実行します。デフォルトの場所は C:\novell\remoteloader\nnbit です。 180 NetIQ Identity Manager セットアップガイド VI iManager のインストール VI このセクションでは、iManager に必要なコンポーネントのインストールプロセスを順を追って説明 します。セットアッププログラムでインストールできるコンポーネントは次のとおりです。 iManager ( サーババージョン ) iManager ワークステーション ( クライアントバージョン ) Java Novell International Cryptographic Infrastructure (NICI) Tomcat インストールファイルは、Identity Manager インストールパッケージの .iso イメージファイル内の products/iManager/installs/server_platform/ ディレクトリにあります。デフォルトでは、各コンポーネン トは次の場所にインストールされます。 Linux: /opt/novell Windows: C:\Novell インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細について は、183 ページの第 20 章「iManager のインストールの計画」を参照してください。 iManager のインストール 181 182 NetIQ Identity Manager セットアップガイド 20 iManager のインストールの計画 20 このセクションでは、iManager のインストールに必要な前提条件、考慮事項、およびシステムセッ トアップについて説明します。まず、次のチェックリストを参照してインストールプロセスを理解 します。 183 ページのセクション 20.1「iManager のインストールチェックリスト」 185 ページのセクション 20.2 「iManager のサーババージョンとクライアントバージョンの理解」 185 ページのセクション 20.3「iManager プラグインのインストールの理解」 186 ページのセクション 20.4「iManager のインストールに関する前提条件と考慮事項」 190 ページのセクション 20.5「iManager サーバのシステム要件」 191 ページのセクション 20.6「iManager ワークステーション ( クライアントバージョン ) のシス テム要件」 20.1 iManager のインストールチェックリスト インストールを開始する前に、次の手順を確認することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、23 ページの 第 1 章「Identity Manager のコンポーネントと通信の概要」を参照してください。 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参 照してください。 3. iManager と iManager ワークステーションの違いを理解します。詳細については、185 ペー ジのセクション 20.2「iManager のサーババージョンとクライアントバージョンの理解」を 参照してください。 4. ( 状況によって実行 ) Linux コンピュータが iManager および iManager ワークステーション のインストールに関する前提条件を満たしていることを確認するため、次の考慮事項を検討 します。 iManager については、187 ページのセクション 20.4.2「Linux プラットフォームへの iManager のインストールに関する考慮事項」を参照してください。 iManager ワークステーションについては、188 ページのセクション 20.4.4「Linux クラ イアントへの iManager ワークステーションのインストールに関する考慮事項」を参照 してください。 iManager のインストールの計画 183 チェックリストの項目 5. ( 状況によって実行 ) Windows コンピュータが iManager および iManager ワークステーショ ンのインストールに関する前提条件を満たしていることを確認するため、次の考慮事項を検 討します。 iManager については、188 ページのセクション 20.4.3「Windows プラットフォームへの iManager のインストールに関する考慮事項」を参照してください。 iManager ワークステーションについては、189 ページのセクション 20.4.5「Windows ク ライアントへの iManager ワークステーションのインストールに関する考慮事項」を参 照してください。 6. iManager をホストするコンピュータのハードウェアおよびソフトウェアの要件を確認しま す。 iManager については、190 ページのセクション 20.5「iManager サーバのシステム要件」 を参照してください。 iManager ワークステーションについては、191 ページのセクション 20.6 「iManager ワークステーション ( クライアントバージョン ) のシステム要件」を参照し てください。 7. iManager のインストールファイルにアクセスします。デフォルトでは、Identity Manager イ ンストールパッケージの .iso イメージファイル内の products/iManager/installs/ server_platform/ ディレクトリにあります。 または、NetIQ Downloads Web サイトからインストールファイルをダウンロードします。 iManager 製品を検索して必要な iManager のバージョンを選択し、.tgz ファイルおよび tar.bz2 ファイル、または win.zip ファイルをサーバ上のディレクトリにダウンロードしま す。たとえば、iMan_277_linux.tgz および iMan_277_workstation_linux.tar.bz2、または iMan_277_win.zip をダウンロードします。 8. ( オプション ) プラグインのインストールプロセスについてさらに詳しく理解するには 185 ページのセクション 20.3「iManager プラグインのインストールの理解」を参照します。 9. ( オプション ) iManager のインストール後に実行可能な操作を確認するため、205 ページの 第 22 章「iManager のインストール後のタスク」を参照します。 10. iManager および iManager ワークステーションをインストールするため、次の各セクション を参照します。 Linux コンピュータの場合、193 ページのセクション 21.1「Linux への iManager と iManager ワークステーションのインストール」を参照してください。 Windows コンピュータの場合、197 ページのセクション 21.2「Windows への iManager と iManager ワークステーションのインストール」を参照してください。 サイレントインストールについては、201 ページのセクション 21.3「iManager のサイレ ントインストール」を参照してください。 184 NetIQ Identity Manager セットアップガイド 20.2 iManager のサーババージョンとクライアントバー ジョンの理解 iManager は、eDirectory ツリーにアクセスできるサーバにインストールする必要があります。サー バではなくワークステーションに iManager をインストールするには、iManager のクライアント ベースのバージョンである iManager ワークステーションが必要です。どちらのバージョンがご使 用の環境により適しているか、または eDirectory 管理ポリシーでは両方のバージョンをインストー ルするのが有効かどうかを判断するには、次のガイドラインに従ってください。 一人の管理者が、常に同じクライアントワークステーションから eDirectory を管理している場 合、iManager ワークステーションを有効に活用できます。iManager ワークステーションは、 完全に自己完結型で、セットアップはほとんど必要ありません。ロードまたはアンロードする ときに、必要なリソースが自動的に開始および停止されます。iManager ワークステーション は、さまざまな Linux または Windows クライアントワークステーションにインストールされ て実行されます。サーバベースの iManager には依存せず、ネットワークにインストールされ ている他の任意のバージョンの iManager と共存することができます。 iManager プラグインでは、iManager インスタンス間の同期を自動的に行いません。カスタマ イズされたプラグインを複数の管理者が使用している場合は、iManager ワークステーション とこれらのプラグインが各管理者のクライアントワークステーションにインストールされてい る必要があります。 複数のクライアントワークステーションから eDirectory を管理する、または複数の管理者がい る場合は、接続されているすべてのワークステーションから使用できるように iManager サー バをインストールします。また、カスタマイズされたプラグインは、iManager サーバ 1 台に つき一度だけインストールする必要があります。 20.3 iManager プラグインのインストールの理解 デフォルトでは、プラグインモジュールは iManager サーバ間で複製されません。必要なプラグイ ンモジュールを各 iManager サーバにインストールする必要があります。 クリーンインストールの場合は、セットアッププログラムによって「標準」のプラグインがあらか じめ選択されています。アップグレードの場合は、更新する必要があるプラグインのみがあらかじ め選択されています。デフォルトの選択項目を上書きし、ダウンロードする新しいプラグインを追 加できます。ただし、アップグレードの場合は、あらかじめ選択されているプラグインを選択解除 しないことをお勧めします。原則として、旧バージョンの iManager でインストールされていたプ ラグインは必ずアップグレードしてください。さらに、新しいプラグインは、旧バージョンの iManager と互換性がない可能性があります。 iManager の基本プラグインは、完全な iManager ソフトウェアをダウンロードした場合にのみ利用 できます ( たとえば eDirectory 管理プラグイン )。特定のアップデートがない限り、これらのプラグ インは完全な iManager 製品に付属した形でのみダウンロードおよびインストールできます。 インストールプログラムは、XML デスクリプタファイル iman_mod_desc.xml を使用して、ダウン ロード可能なプラグインを特定します。このファイルのデフォルトの URL は http:// www.novell.com/products/consoles/imanager/iman_mod_desc.xml です。ただし、代わりのネット ワーク URL を指すようにインストールプログラムを設定できます。たとえば、インストールプログ ラムがデフォルトの URL にアクセスするのを禁止しているプロキシやファイアウォールの内側に iManager をインストールするとします。 iManager のインストールの計画 185 重要 : この場合、最新の iManager SDK を使用して、新しくインストールされたバージョンの環境 で使用するカスタムプラグインを再コンパイルする必要があります。 プラグインのダウンロードとインストールの方法については、次のいずれかのセクションの手順を 参照してください。 Linux: 193 ページのセクション 21.1 「Linux への iManager と iManager ワークステーションのイ ンストール」 Windows: 197 ページのセクション 21.2 「Windows への iManager と iManager ワークステーショ ンのインストール」 サイレントインストール : 201 ページのセクション 21.3「iManager のサイレントインストール」 プラグインのダウンロードとインストールのプロセスをカスタマイズする方法の詳細については、 『NetIQ iManager インストールガイド』の「インストール中のプラグインのダウンロードおよびイ ンストール」を参照してください。 20.4 iManager のインストールに関する前提条件と考慮事 項 このセクションでは、iManager のサーババージョンとワークステーションバージョンのインストー ルについて説明します。 186 ページのセクション 20.4.1「iManager のインストールに関する考慮事項」 187 ページのセクション 20.4.2 「Linux プラットフォームへの iManager のインストールに関する 考慮事項」 188 ページのセクション 20.4.3「Windows プラットフォームへの iManager のインストールに関 する考慮事項」 188 ページのセクション 20.4.4 「Linux クライアントへの iManager ワークステーションのインス トールに関する考慮事項」 189 ページのセクション 20.4.5「Windows クライアントへの iManager ワークステーションのイ ンストールに関する考慮事項」 20.4.1 iManager のインストールに関する考慮事項 iManager をインストールする前に、次の考慮事項を確認します。 識別ボールトを root ユーザとしてインストールした場合は、iManager を root ユーザとしてインス トールする必要があります。 10 人を超える管理者が日常的に iManager を同時操作する計画の場合は、iManager を他の Identity Manager コンポーネントと同じサーバにインストールしないでください。 管理者が 1 人のみの場合は、iManager を Identity Manager エンジンと同じサーバにインストール してかまいません。 サポートされている Open Enterprise Server プラットフォームが稼働するサーバに iManager を インストールするには、OES バージョンのパッチチャネルを使用して最新の iManager バー ジョンにアップグレードする必要があります。 186 NetIQ Identity Manager セットアップガイド 以前のバージョンの iManager 2.7.x が、iManager 2.7.7 サーバセットアッププログラムにより検 出された場合は、インストール処理を中止するか、すでにインストールされている iManager、 JRE、および Tomcat を削除できます。 iManager ワークステーションは自己完結型の環境であるので、同じワークステーション上に Mobile iManager の旧バージョンを含む、複数のバージョンをインストールすることができま す。ただし、それらを同時に実行しようとしないでください。異なるバージョンを使用する必 要がある場合は、あるバージョンを実行して終了させてから、もう一方のバージョンを実行し てください。 スペースを含むパスから iManager ワークステーションを実行することはできません。たとえ ば、C:\NetIQ\iManager Workstation\working などです。 Linux サーバでは root アクセス権限を持っている必要があり、Windows サーバでは管理者アクセ ス権限を持っている必要があります。 eDirectory ツリー内で役割ベースサービス (RBS) コレクションを作成するには、管理者と同等の 権利が必要になります。 iManager RBS 環境設定ウィザードを実行するには、管理者と同等の権利が必要になります。 複数のバージョンの iManager で同じ eDirectory ツリーを管理するには、RBS コレクションを最 新の iManager バージョンに更新する必要があります。 20.4.2 Linux プラットフォームへの iManager のインストールに関す る考慮事項 iManager をインストールする前に、Linux サーバに特定のパッケージをインストールしておく必要 があります。一般的に、.rpm ファイルは http://rpmfind.net/linux などの Web サイトからダウンロー ドできます。 Red Hat Enterprise Linux 次のパッケージをインストールする必要があります。64 ビットバージョンの RHEL に iManager を インストールする際でも、32 ビットバージョンの RHEL ライブラリもインストールされているこ とを確認してください。 compat-libstdc++-33-version.el6.i686.rpm (RHEL 6 32 ビット ) compat-libstdc++-33-version.el6.i686.rpm (RHEL 6 64 ビット ) compat-libstdc++-33-version.el6.x86_64.rpm (RHEL 6 64 ビット ) libstdc++-4.4.version.el6.i686.rpm (RHEL 6 64 ビット ) libstdc++-4.4.version.el6.x86_64.rpm (RHEL 6 64 ビット GUI インストールモード ) glibc-2.12-version.el6.i686 (RHEL 6 64 ビット ) libXau-version.el6.i686.rpm (RHEL 6 64 ビット ) libxcb-version.el6.i686.rpm (RHEL 6 64 ビット ) libX11-version.el6.i686.rpm (RHEL 6 64 ビット ) libXext-version.el6.i686.rpm (RHEL 6 64 ビット ) libXi-version.el6.i686.rpm (RHEL 6 64 ビット ) libXtst-version.el6.i686.rpm (RHEL 6 64 ビット ) iManager のインストールの計画 187 libstdc++-version.el6.i686.rpm (RHEL 6 64 ビット ) libgcc-version.el6.i686.rpm (RHEL 6 64 ビット ) libXrender-0.9.5-1.el6.i686.rpm (RHEL 6 64 ビット ) SUSE Linux Enterprise Server (64 ビット ) 次のパッケージをインストールする必要があります。 libstdc++33-32bit PKI プラグインを使用するには、次の RPM も iManager サーバにインストールする必要がありま す。 SLES 11 64 ビット : compat-32bit (compat-32bit-2009.1.19-2.1) SLES 11 32 ビット : compat (compat-2009.1.19-2.1) SUSE Linux Enterprise Server (32 ビット ) 次のパッケージをインストールする必要があります。 libstdc++33 libstdc++43 PKI プラグインを使用するには、次の RPM も iManager サーバにインストールする必要がありま す。 SLES 11 64 ビット : compat-32bit (compat-32bit-2009.1.19-2.1) SLES 11 32 ビット : compat (compat-2009.1.19-2.1) 20.4.3 Windows プラットフォームへの iManager のインストールに 関する考慮事項 Microsoft インターネットインフォメーションサービス (IIS) または Windows 版 Apache HTTP サー バを使用する場合は、iManager をこれらの Web サーバインフラストラクチャに手動で統合する必 要があります。デフォルトでは、iManager は Windows サーバ上で Tomcat を使用します。 20.4.4 Linux クライアントへの iManager ワークステーションのイン ストールに関する考慮事項 iManager ワークステーションをインストールする前に、Linux クライアントに次のパッケージをイ ンストールしておく必要があります。 GTK2 GLIBC 2.3 libstdc++33 SUSE Linux Enterprise Desktop (SLED) 11 32 ビット SLED 11 SP1 32 ビット 188 NetIQ Identity Manager セットアップガイド openSUSE 11.0 32 ビット openSUSE 11.1 32 ビット openSUSE 11.2 32 ビット openSUSE 11.3 32 ビット openSUSE 12.1 libstdc++33-32bit SLED 11 64 ビット SLED 11 SP1 64 ビット openSUSE 11.0 64 ビット openSUSE 11.1 64 ビット openSUSE 11.2 64 ビット openSUSE 11.3 64 ビット libgtk-2_0-0-32bit openSUSE 12.2 (64 ビット ) openSUSE 12.3 (64 ビット ) libXt6-32bit openSUSE 12.2 (64 ビット ) openSUSE 12.3 (64 ビット ) libgthread-2_0-0-32bit openSUSE 12.2 (64 ビット ) openSUSE 12.3 (64 ビット ) libXtst6-32bit openSUSE 12.2 (64 ビット ) openSUSE 12.3 (64 ビット ) 20.4.5 Windows クライアントへの iManager ワークステーションの インストールに関する考慮事項 Windows クライアントに iManager ワークステーションをインストールする前に、次の考慮事項を 確認することをお勧めします。 Internet Explorer が LAN のプロキシサーバを使用できるようにするには、 [ツール]>[インター ネットオプション]>[接続]>[LAN の設定]の順に選択し、[ローカルアドレスにはプロキ シサーバを使用しない]を指定する必要があります。 バージョン 4.91 より前の Novell Client を実行するには、iManager ワークステーションを起動す る前にワークステーションに NetIQ Modular Authentication Service (NMAS) クライアントをイ ンストールする必要があります。 iManager のインストールの計画 189 いずれかのディレクトリの名前に tempまたは tmpが含まれるパス(c:\programs\temp\imanagerなど) から iManager ワークステーションを実行した場合、iManager プラグインはインストールされ ません。代わりに、C:\imanager または一時ディレクトリ以外のディレクトリから iManager ワークステーションを実行してください。 Windows ワークステーションで初めて iManager ワークステーションを実行するときは、ワーク ステーションの Administrators グループのメンバーであるアカウントを使用します。 20.5 iManager サーバのシステム要件 このセクションでは、iManager をホストするサーバを設定するのに役立つ要件について説明しま す。サーババージョンの iManager の詳細については、185 ページのセクション 20.2「iManager の サーババージョンとクライアントバージョンの理解」を参照してください。 カテゴリ 要件 プロセッサ Pentium* III 600MHz 以上 ディスク容量 Linux: 200MB 以上 Windows: 500MB 以上 メモリ 512MB (1024MB を推奨 ) iManager プラグイン用に 80MB オペレーティングシス テム 『NetIQ iManager インストールガイド』の「iManager のサーバベースバージョン とクライアントベースバージョン」に記載されたオペレーティングシステムのい ずれか 注 : Solaris プラットフォームに iManager をインストールすることはできません。 ただし、Solaris で実行される、eDirectory などのアプリケーションやリソース を、iManager で引き続き管理して使用することができます。 Web ブラウザ アプリケーションサー バ 『NetIQ iManager インストールガイド』の「iManager のサーバベースバージョン とクライアントベースバージョン」に記載された任意の Web ブラウザ Tomcat 7.0.55、または iManager に付属のバージョン 注 : Windows サーバにすでに IIS または Apache Web サーバインフラストラク チャがインストールされている場合は、手動で iManager と統合できます。 190 ディレクトリサービス NetIQ eDirectory 8.8.8 Patch 3 以上 デフォルトのポート 8080、8443、および 9009 NetIQ Identity Manager セットアップガイド 20.6 iManager ワークステーション ( クライアントバー ジョン ) のシステム要件 このセクションでは、iManager ワークステーションをホストするコンピュータを設定するのに役立 つ要件について説明します。クライアントバージョンの iManager の詳細については、185 ページ のセクション 20.2「iManager のサーババージョンとクライアントバージョンの理解」を参照して ください。 カテゴリ 要件 プロセッサ Pentium* III 600MHz 以上 ディスク容量 200MB 以上 メモリ 256MB (521MB を推奨 ) オペレーティングシス テム 『NetIQ iManager インストールガイド』の「iManager のサーバベースバージョン とクライアントベースバージョン」に記載されたオペレーティングシステムのい ずれか Web ブラウザ 『NetIQ iManager インストールガイド』の「iManager のサーバベースバージョン とクライアントベースバージョン」に記載された任意の Web ブラウザ アプリケーションサー バ Tomcat 7.0.42 (iManager ワークステーションに付属 ) ソフトウェア Java 1.7.0_25 (iManager ワークステーションに付属 ) デフォルトのポート 8080、8443、および 9009 iManager のインストールの計画 191 192 NetIQ Identity Manager セットアップガイド 21 iManager サーバとワークステーションの インストール 21 この章では、iManager のインストールプロセスについて説明します。インストールの準備をするた めに、186 ページのセクション 20.4「iManager のインストールに関する前提条件と考慮事項」に 記載されている前提条件とシステム要件を確認します。 インストールプロセス全体を確認するには、183 ページの 「iManager のインストールの計画」を 参照してください。 193ページのセクション21.1 「LinuxへのiManagerとiManagerワークステーションのインストー ル」 197 ページのセクション 21.2 「Windows への iManager と iManager ワークステーションのインス トール」 201 ページのセクション 21.3「iManager のサイレントインストール」 21.1 Linux への iManager と iManager ワークステーショ ンのインストール このセクションでは、iManager および iManager ワークステーションを Linux サーバとクライアン トにインストールする手順について説明します。インストールの準備をするために、前提条件とシ ステム要件を確認します。 iManager: 187 ページのセクション 20.4.2 「Linux プラットフォームへの iManager のインストー ルに関する考慮事項」および 190 ページのセクション 20.5「iManager サーバのシステム要件」 iManager ワークステーション : 188 ページのセクション 20.4.4「Linux クライアントへの iManager ワークステーションのインストールに関する考慮事項」および 191 ページのセク ション 20.6「iManager ワークステーション ( クライアントバージョン ) のシステム要件」 リリースに付属するリリースノートも参照してください。 21.1.1 iManager の Linux へのインストール 次の手順では、GUI 形式またはコンソールからインストールウィザードを使用して、サーババー ジョンの iManager を Linux サーバにインストールする方法について説明します。無人のサイレン トインストールを実行するには、201 ページのセクション 21.3「iManager のサイレントインス トール」を参照してください。 以前のバージョンの iManager が、iManager サーバのセットアッププログラムにより検出された場 合は、インストール処理を中止するか、すでにインストールされている iManager、JRE、および Tomcat を削除するかを尋ねる選択肢が提示されることがあります。 正常にインストールされると、インストール中に提示された質問の答えに基づいた値で、環境設定 ファイル ( デフォルトでは /var/log/install.properties) が生成されます。サイレントインストールを使用 する際はこのファイルを変更します。詳細については、201 ページのセクション 21.3「iManager iManager サーバとワークステーションのインストール 193 のサイレントインストール」を参照してください。 iManager を Linux にインストールする 1 インストールプログラムを実行するコンピュータに root または root と同等のユーザとしてログ インします。 2 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、iManager のインストールファイルが保存されているディレクトリへ移動します。デ フォルトの場所は products/iManager/installs/Linux/ ディレクトリです。 3 ( 状況によって実行 ) iManager のインストールファイルを NetIQ Downloads の Web サイトか らダウンロードした場合は、.tgz ファイルを見つけます。たとえば、iMan_277_linux.tgz です。 4 iManager フォルダを展開するため、次のコマンドを入力します。 tar -zxvf iMan_version_linux.tgz 5 シェルで、/extracted_directory/products/iManager/installs/linux ディレクトリに移動します。 このパスは、iManager のファイルをコピーまたは展開したディレクトリに対する相対パスで す。 6 ( 状況によって実行 ) コマンドライン ( テキスト ) インストールを実行するには、次のコマンド を入力します。 ./iManagerInstallLinux.bin 7 ( 状況によって実行 ) インストールプログラムのウィザードを実行するには、次のコマンドを入 力します。 ./iManagerInstallLinux.bin -i gui 8 スプラッシュスクリーンで、言語を指定して[OK]をクリックします。 9 概要を読み、 [次へ]をクリックします。 10 ライセンス契約に同意して、 [次へ]をクリックします。 11 インストールするコンポーネントで、 [iManager、Tomcat、JVM]を指定します。 注 : このオプション「のみ」選択してください。. 他の 2 つのいずれかを選択した場合、 iManager は想定とおりに動作しません。 12 [次へ]をクリックします。 13 ( オプション ) iManager で IPv6 アドレスを使用するには、 [Enable IPv6 (IPv6 を有効にする )] ウィンドウで[はい]をクリックします。 iManager のインストール後に IPv6 アドレスを有効にすることもできます。詳細については、 209 ページのセクション 22.2「インストール後における iManager の IPv6 アドレス対応の設 定」を参照してください。 14 [次へ]をクリックします。 15 ( オプション ) インストールの一部としてプラグインをダウンロードしてインストールするに は、次の手順を実行します。 15a プラグインをダウンロードしてインストールするよう指定し、 [次へ]をクリックします。 15b ( 状況によって実行 ) コンソールインストールの場合は、ダウンロードするプラグイン番 号のコンマ区切りリストを入力します。 15c ( 状況によって実行 ) ウィザードプログラムを使用している場合は、ダウンロードするプ ラグインのチェックボックスをオンにします。 194 NetIQ Identity Manager セットアップガイド ( オプション ) ネットワーク上の別の場所からプラグインをダウンロードするには、 [Network URL ( ネットワーク URL)]に代替ネットワーク URL を指定します。 代替 URL を使用してプラグインをダウンロードする場合は、URL コンテンツを確認し、 プラグインが使用に適していることを確認してください。デフォルトでは、インストール プログラムはプラグインを http://www.novell.com/products/consoles/imanager/ iman_mod_desc.xml からダウンロードします。詳細については、185 ページのセクショ ン 20.3「iManager プラグインのインストールの理解」を参照してください。 15d [次へ]をクリックします。 15e ( 状況によって実行 ) セットアッププログラムによって次のメッセージが表示されること があります。 No new or updated plug-ins found. All plug-ins are downloaded or updated or the iManager download server is unavailable. メッセージが表示された場合、次の状態が 1 つ以上存在しています。 ダウンロードサイトに利用可能な更新されたプラグインがありません。 インターネット接続に問題があります。インターネット接続を確認して再試行してく ださい。 デスクリプタファイル (http://www.novell.com/products/consoles/imanager/ iman_mod_desc.xml) への接続が、正常に行われませんでした。この URL は、利用 可能な iManager プラグインの XML デスクリプタファイルを参照します。 iManager が、上記の URL への接続が許可されていないプロキシの内側にインストール されています。 15f ローカルドライブからプラグインをインストールするかどうかを指定し、 [次へ]をク リックします。 15g ( ローカルドライブからインストールする場合 ) ローカルディレクトリからプラグインを インストールするには、適切なプラグイン (.npm) ファイルを含むディレクトリパスを指定 します。 デフォルトパスは / 展開した場所 /iManager/installs/plug-ins ですが、有効なマウントポイント をここで指定できます。 15h [次へ]をクリックします。 16 Tomcat を実行するポートを指定します。 デフォルトのポートは、HTTP は 8080、HTTPS は 8443、MOD_JK コネクタポートは 9009 で す。 17 [次へ]をクリックします。 18 ( オプション ) 許可されたユーザおよびこのユーザが管理する適切な eDirectory ツリー名を指 定します。 注 NetIQ はそれらの設定を空白のままにすることを推奨しません。これらのフィールドを空 白のままにすると、iManager で任意のユーザがプラグインをインストールし、 iManager サーバ設定を変更できるようになります。インストールプロセスの完了後に、 許可されたユーザを指定することもできます。詳細については、209 ページのセクション 22.3「eDirectory 用の許可されたユーザの指定」を参照してください。 インストールプログラムは、指定されたユーザの資格情報を eDirectory で検証しません。 19 [次へ]をクリックします。 iManager サーバとワークステーションのインストール 195 20 [アップグレード前の概要]ページを確認して、 [次へ]をクリックします。 21 インストールが完了したら、 [完了]をクリックします。 22 iManager の初期化が終了したら、 [はじめに]ページの最初のリンクをクリックしてログイン します。詳細については、『NetIQ iManager 2.7.7 管理ガイド』の「Accessing iManager」を参 照してください。 注 : 将来、iManager Workstation を非 root ユーザとして実行する場合は、最初に iManager を root として実行しないでください。詳細については、197 ページのセクション 21.2「Windows への iManager と iManager ワークステーションのインストール」を参照してください。 23 chmod コマンドを使用して、次の InstallAnywhere ファイルに対する許可を 644 ( 読み込み ) に 変更し、変更できないようにします。 /var/opt/novell/tomcat7/webapps/nps/UninstallerData/.com.zerog.registry.xml /var/opt/novell/tomcat7/webapps/nps/UninstallerData/Uninstall_PluginName/ .com.zerog.registry.xml ファイルの内容は変更しないでください。内容を変更すると、InstallAnywhere を使用する他の インストールに影響する可能性があります。 21.1.2 Linux クライアントへの iManager ワークステーションのイン ストール iManager ワークステーションは自己完結型の環境です。そのため、1 台のワークステーションに複 数のバージョンをインストールできます (Mobile iManager の古いバージョンを含みます )。ただし、 それらを同時に実行しようとしないでください。異なるバージョンを使用する必要がある場合は、 あるバージョンを実行して終了させてから、もう一方のバージョンを実行してください。 注 : スペースを含むパスから iManager ワークステーションを実行することはできません。たとえ ば、products/NetIQ/iManager Workstation/working などです。 Linux クライアントに iManager ワークステーションをインストールする 1 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、iManager のインストールファイルが保存されているディレクトリへ移動します。デ フォルトの場所は products/iManager/installs/Linux/ ディレクトリです。 2 ( 状況によって実行 ) iManager のインストールファイルを NetIQ Downloads の Web サイトか らダウンロードした場合は、tar.bz2 ファイルを見つけます。たとえば、 iMan_277_workstation_linux.tar.bz2 です。 3 tar.bz2 ファイルを展開するため、次のコマンドを入力します。 tar -xjvf iMan_277_workstation_linux.tar.bz2 展開により、tar.bz2 ファイルがあるフォルダと同じフォルダに imanager フォルダが作成されま す。 4 ( オプション ) Novell International Cryptography Infrastructure (NICI) ソフトウェアをインス トールまたはアップグレードするために、次の手順を実行します。 4a NICI をインストールまたはアップグレードするコンピュータに root または root と同等の ユーザとしてログインします。 4b imanager/NICI/linux ディレクトリから、次のコマンドを入力します。 196 NetIQ Identity Manager セットアップガイド rpm -Uvh nici.i586.rpm このコマンドは、NICI を新規インストールするか、既存のバージョンの NICI をアップグ レードします。 5 ( 状況によって実行 ) 将来、iManager ワークステーションを非 root ユーザとして実行する場合 は、最初に iManager を root として実行しないでください。imanager/bin ディレクトリに移動 し、iManager ワークステーションの起動スクリプトを実行します。 ./iManager.sh 6 iManager のログイン画面で、ユーザ名、パスワード、および eDirectory ツリーを指定します。 iManager へのアクセスの詳細については、 『NetIQ iManager 2.7.7 管理ガイド』の「Accessing iManager」を参照してください。 7 ( オプション ) IPv6 アドレスを有効にするには、次の手順を実行します。 1. User_Install_Directory/Tomcat/conf/catalina.properties ファイルを開きます。 2. catalina.properties ファイルに以下の設定項目を設定します。 java.net.preferIPv4Stack=false java.net.preferIPv4Addresses=true 3. Tomcat を再起動します。 21.2 Windows への iManager と iManager ワークステー ションのインストール このセクションでは、iManager および iManager ワークステーションを Windows サーバとクライ アントにインストールする手順について説明します。インストールの準備をするために、前提条件 とシステム要件を確認します。 iManager: 187 ページのセクション 20.4.2 「Linux プラットフォームへの iManager のインストー ルに関する考慮事項」 iManager ワークステーション : 188 ページのセクション 20.4.4「Linux クライアントへの iManager ワークステーションのインストールに関する考慮事項」 リリースに付属するリリースノートも参照してください。 21.2.1 iManager の Windows へのインストール 次の手順では、インストールウィザードを使用して、サーババージョンの iManager を Windows サーバにインストールする方法について説明します。無人のサイレントインストールを実 行するには、201 ページのセクション 21.3「iManager のサイレントインストール」を参照してく ださい。 以前のバージョンの iManager が、iManager サーバのセットアッププログラムにより検出された場 合は、インストール処理を中止するか、すでにインストールされている iManager、JRE、および Tomcat を削除するかを尋ねる選択肢が提示されることがあります。インストールされている以前の バージョンの iManager がセットアッププログラムにより削除される場合、それ以前に行った設定 内容を保つために旧バージョンの TOMCAT_HOME ディレクトリを指し示すディレクトリ構造を バックアップします。 iManager サーバとワークステーションのインストール 197 iManager を Windows にインストールする 1 iManager をインストールするコンピュータに管理者特権を持つユーザとしてログインします。 2 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、iManager のインストールファイルが保存されているディレクトリへ移動します。デ フォルトの場所は products/iManager/installs/Win/ ディレクトリです。 3 ( 状況によって実行 ) iManager のインストールファイルを NetIQ Downloads の Web サイトか らダウンロードした場合は、次の手順を実行します。 3a win.zip ファイルを見つけます。たとえば、iMan_277_win.zip です。 3b win.zip ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 4 iManagerInstall.exe を実行します。これは、デフォルトでは \products\iManager\installs\win フォル ダにあります。 5 ( オプション ) インストールプログラムのデバッグ出力を表示するには、インストールプログラ ムの起動直後に、コンソールウィンドウが表示されるまで <Ctrl> キーを押したままにします。 デバッグの詳細については、 『NetIQ iManager 2.7.7 管理ガイド』の「Troubleshooting」を参照 してください。 6 iManager のようこそウィンドウで言語を選択して、 [OK]をクリックします。 7 [Introduction ( 概要 )]ウィンドウで[次へ]をクリックします。 8 ライセンス契約に同意して、 [次へ]をクリックします。 9 ( 状況によって実行 ) サーバに iManager の一部として特定のバージョンの JVM または Tomcat のなんらかのバージョン、あるいは他のサポートコンポーネントがすでにインストールされて いる場合は、[Detection Summary ( 検出の概要 )]ウィンドウで次の手順を実行します。 9a [Install the following components ( 次のコンポーネントをインストール )]で、各コンポー ネントに対してリストされているバージョンがインストールするバージョンに一致してい ることを確認します。 9b ( オプション ) インストールするバージョンがセットアッププログラムにリストされてい ない場合は、インストールフォルダで適切なコンポーネントを探します。 10 [次へ]をクリックします。 11 [ポート入力の取得]ウィンドウで Tomcat サーバを実行するためのポート番号を指定し、 [次 へ]をクリックします。 デフォルトでは HTTP ポートおよび SSL ポートの値はそれぞれ 8080 と 8443 に設定されてい ます。ただし、他のサービスまたは Tomcat サーバがデフォルトのポートを使用している場合 は、別のポートを指定できます。 12 ( オプション ) iManager で IPv6 アドレスを使用するには、 [Enable IPv6 (IPv6 を有効にする )] ウィンドウで[はい]をクリックします。 iManager のインストール後に IPv6 アドレスを有効にすることもできます。詳細については、 209 ページのセクション 22.2「インストール後における iManager の IPv6 アドレス対応の設 定」を参照してください。 13 [次へ]をクリックします。 14 [Choose Install Folder ( インストールフォルダの選択 )]ウィンドウで、インストールファイル を保存するフォルダを指定して[次へ]をクリックします。 デフォルトのインストールディレクトリは、C:\Program Files\Novell です。 198 NetIQ Identity Manager セットアップガイド 15 ( オプション ) インストールの一部としてプラグインをダウンロードしてインストールするに は、次の手順を実行します。 15a [Select Plug-ins to Download and Install ( ダウンロードしてインストールするプラグイン の選択 )]ウィンドウで、目的のプラグインを選択します。 15b ( オプション ) ネットワーク上の別の場所からプラグインをダウンロードするには、 [Network URL ( ネットワーク URL)]に代替ネットワーク URL を指定します。 代替 URL を使用してプラグインをダウンロードする場合は、URL コンテンツを確認し、 プラグインが使用に適していることを確認してください。デフォルトでは、インストール プログラムはプラグインを http://www.novell.com/products/consoles/imanager/ iman_mod_desc.xml からダウンロードします。詳細については、185 ページのセクショ ン 20.3「iManager プラグインのインストールの理解」を参照してください。 15c [次へ]をクリックします。 15d ( 状況によって実行 ) セットアッププログラムによって次のメッセージが表示されること があります。 No new or updated plug-ins found. All plug-ins are downloaded or updated or the iManager download server is unavailable. このエラーが表示される場合、次の条件が 1 つ以上存在しています。 ダウンロードサイトに利用可能な更新されたプラグインがありません。 インターネット接続に問題があります。インターネット接続を確認して再試行してく ださい。 デスクリプタファイル (http://www.novell.com/products/consoles/imanager/ iman_mod_desc.xml) への接続が、正常に行われませんでした。この URL は、利用 可能な iManager プラグインの XML デスクリプタファイルを参照します。 iManager が、上記の URL への接続が許可されていないプロキシの内側にインストール されています。 15e ( オプション ) ローカルディレクトリからプラグインをインストールするには、 [Select Plug-ins to Install from Disk ( ディスクからインストールするプラグインの選択 )]ウィン ドウで、適切な .npm プラグインファイルが含まれるディレクトリパスを指定します。 この手順により、以前にダウンロードしたプラグインまたはカスタムプラグインをインス トールできます。デフォルトのパスは /extracted location/iManager/installs/plugins です。ただ し、任意の有効なパスを指定できます。 15f [次へ]をクリックします。 16 ( オプション )[Get User and Tree Names ( ユーザとツリー名の取得 )]ウィンドウで、許可さ れたユーザ、およびこのユーザが管理する eDirectory ツリーの名前を指定します。 注 eDirectory でデフォルトポートである 524 以外のポートを使用する場合は、eDirectory サー バの IP アドレスまたは DNS 名とポート番号を指定できます。localhost は使用しないでく ださい。たとえば、IPv6 アドレスを指定するには、「 https://[2001:db8::6]:1080/nps/servlet/ webacc?taskId=fw.Startup&forceMaster=true」と入力します。 NetIQ はそれらの設定を空白のままにすることを推奨しません。これらのフィールドを空 白のままにすると、iManager で任意のユーザがプラグインをインストールし、 iManager サーバ設定を変更できるようになります。インストールプロセスの完了後に、 許可されたユーザを指定することもできます。詳細については、209 ページのセクション iManager サーバとワークステーションのインストール 199 22.3「eDirectory 用の許可されたユーザの指定」を参照してください。 インストールプログラムは、指定されたユーザの資格情報を eDirectory で検証しません。 17 [次へ]をクリックします。 18 [インストール前の概要]ページを確認して、 [インストール]をクリックします。 19 インストールが完了すると、 [Install Complete ( インストール完了 )]ウィンドウに、処理が成 功したことを示す関連メッセージが表示されます。 注 : インストールが成功したにもかかわらず、[Install Complete ( インストール完了 )]ウィン ドウに次のエラーメッセージが表示されることがあります。 The installation of iManager version is complete, but some errors occurred during the install. Please see the installation log Log file path for details. Press "Done" to quit the installer. 20 ( 状況によって実行 ) インストーラにより、ステップ 19 に示すエラーメッセージが表示される 場合は、次の手順を実行します。 20a エラーメッセージに表示されているログファイルのパスを書き留めます。 20b [Install Complete ( インストール完了 )]ウィンドウで、 [完了]をクリックします。 20c ログファイルを開きます。 20d ( 状況によって実行 ) ログファイルに次のようなエラーがある場合は、エラーメッセージ を無視します。インストールが成功し、iManager は正常に機能します。 Custom Action: com.novell.application.iManager.install.InstallDLLs Status: ERROR Additional Notes: ERROR - class com.novell.application.iManager.install.InstallDLLs NonfatalInstallException C:\WINDOWS\system32\msvcr71.dll (The process cannot access the file because it is being used by another process) 20e ( 状況によって実行 ) ログファイルに記録されているエラーがステップ 20d に示すエラー でない場合は、インストールを再試行することをお勧めします。 21 [完了]をクリックします。 22 iManager の初期化が終了したら、 [はじめに]ページの最初のリンクをクリックしてログイン します。詳細については、『NetIQ iManager 2.7.7 管理ガイド』の「Accessing iManager」を参 照してください。 21.2.2 iManager ワークステーションの Windows へのインストール iManager ワークステーションは自己完結型の環境です。そのため、1 台のワークステーションに複 数のバージョンをインストールできます (Mobile iManager の古いバージョンを含みます )。ただし、 それらを同時に実行しようとしないでください。異なるバージョンを使用する必要がある場合は、 あるバージョンを実行して終了させてから、もう一方のバージョンを実行してください。 注 : スペースを含むパスから iManager ワークステーションを実行することはできません。たとえ ば、C:\NetIQ\iManager Workstation\working などです。 200 NetIQ Identity Manager セットアップガイド iManager ワークステーションを Windows にインストールする 1 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、iManager のインストールファイルが保存されているディレクトリへ移動します。デ フォルトの場所は products/iManager/installs/win/ ディレクトリです。 2 ( 状況によって実行 ) iManager のインストールファイルを NetIQ Downloads の Web サイトか らダウンロードした場合は、次の手順を実行します。 2a win.zip ファイルを見つけます。たとえば、iMan_277_workstation_win.zip です。 2b win.zip ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 3 imanager\bin フォルダから、iManager.bat ファイルを実行します。 4 iManager のログインウィンドウで、許可されたユーザの資格情報と、このユーザが管理する eDirectory ツリーを指定します。 iManager へのアクセスの詳細については、 『NetIQ iManager 2.7.7 管理ガイド』の「Accessing iManager」を参照してください。 5 ( オプション ) IPv6 アドレスを有効にするには、次の手順を実行します。 1. User_Install_Directory/Tomcat/conf/catalina.properties ファイルを開きます。 2. catalina.properties ファイルに以下の設定項目を設定します。 java.net.preferIPv4Stack=false java.net.preferIPv4Addresses=true 3. Tomcat サービスを再起動します。 21.3 iManager のサイレントインストール サイレント ( 非対話型 ) インストールでは、ユーザインタフェースは表示されず、ユーザに対する 質問も行われません。代わりに、InstallAnywhere はデフォルトの install.properties ファイルの情報を 使用します。デフォルトのファイルを使用してサイレントインストールを実行することも、ファイ ルを編集してインストールプロセスをカスタマイズすることもできます。 インストールの準備をするために、前提条件とシステム要件を確認します。 iManager: 187 ページのセクション 20.4.2 「Linux プラットフォームへの iManager のインストー ルに関する考慮事項」 iManager ワークステーション : 188 ページのセクション 20.4.4「Linux クライアントへの iManager ワークステーションのインストールに関する考慮事項」 リリースに付属するリリースノートも参照してください。 21.3.1 プロパティファイルの編集によるサイレントインストールのカ スタマイズ インストールするモジュールをさらに細かく指定するには、サイレントインストール処理をカスタ マイズします。 1 install.properties ファイルを開きます。このファイルは、デフォルトでは、各オペレーティング システム環境用のディレクトリに対応する、Identity Manager インストールパッケージの .iso イメージファイル内にある products/iManager ディレクトリにあります。 iManager サーバとワークステーションのインストール 201 注 : サーバに最新のバージョンの iManager がインストールされている場合は、そのセット アッププログラムによって生成された installer.properties ファイルを使用できます。このファイ ルはデフォルトでは /var/log ディレクトリにあり、インストール中に指定した値が記録されて います。 2 このプロパティファイルに次のパラメータと値を追加します。 $PLUGIN_INSTALL MODE$ プラグインをインストールするかどうかを制御するプロパティを指定します。次のいずれ かの値を追加します。 DISK - ( デフォルト ) ローカルディスクからプラグインをインストールするようセット アッププログラムに命令します。 NET - ネットワークからプラグインをインストールするようセットアッププログラム に命令します。 BOTH - ディスクとネットワークの両方からプラグインをインストールするようセッ トアッププログラムに命令します。 SKIP - プラグインをインストールしません。 $PLUGIN_DIR$ ローカルディスク上にあるプラグインの代替パスを指定します。デフォルトのパスは installer_root_directory/iManager/installs/platform path/plugin です。 インストールプログラムは、サブディレクトリを除き、このプラグインディレクトリにあ るモジュールをすべてインストールします。 $PLUGIN_INSTALL_URL$ インストールプログラムがプラグインをダウンロードできるネットワーク URL を指定し ます。デフォルトでは http://www.novell.com/products/consoles/imanager/ iman_mod_desc.xml からダウンロードします。代替 URL を指定した場合は、URL の内容 と、プラグインが使用に適していることを確認してください。詳細については、185 ペー ジのセクション 20.3「iManager プラグインのインストールの理解」を参照してください。 $LAUNCH_BROWSER$ インストールプロセスの完了後にインストールプログラムから gettingstarted.html ファイル を起動するかどうかを指定します。 $USER_INSTALL_DIR$ iManager をインストールするパスを指定します。 USER_INPUT_ENABLE_IPV6 iManager で IPv6 アドレスを使用できるようにするかどうかを指定します。デフォルトで は、インストールプログラムはこの値を yes に設定します。 3 ダウンロードしてインストールするプラグインモジュールそれぞれについて、 MANIFEST.MF ファイルからモジュールの ID とバージョンを指定します。このファイルは .npm ( プラグインモジュール ) の META-INF/ フォルダにあります。次に例を示します。 $PLUGIN_MODULE_ID_1$=eDirectoryBackupAndRestore $PLUGIN_VERSION_1$=2.7.20050517 $PLUGIN_MODULE_ID_2$=ldap $PLUGIN_VERSION_2$=2.7.20050517 202 NetIQ Identity Manager セットアップガイド 注 モジュールが定義されていない場合は、ダウンロード Web サイト上にある iman_mod_desc.xml ファイル内で「selected」としてタグが記述された、最も一般的にイン ストールされるモジュールがインストールされます。 モジュールのバージョンを定義しない場合、.npm の名前と一致するモジュールのいずれか がセットアッププログラムによりインストールされます。 21.3.2 iManager のサイレントインストールの実行 install.properties ファイルのデフォルト値を使用して、Linux または Windows サーバに iManager を サイレントインストールできます。このファイルは、デフォルトでは、各オペレーティングシステ ム環境用のディレクトリに対応する、Identity Manager インストールパッケージの .iso イメージファ イル内にある products/iManager ディレクトリにあります。インストール用実行可能ファイルも products/iManager ディレクトリに含まれている必要があります。 1 コンソールウィンドウで、ダウンロードした install.properties ファイルがあるディレクトリに移 動します。 2 コマンドラインで次のいずれかのコマンドを入力します。 Linux: ./iManagerInstall platform.bin -i silent Windows: iManagerInstall.exe -i silent iManager サーバとワークステーションのインストール 203 204 NetIQ Identity Manager セットアップガイド 22 iManager のインストール後のタスク 2 iManager のインストール後、IPv6 アドレスの有効化や eDirectory ツリーの許可されたユーザの変 更などの環境設定を変更できます。さらに、インストールプロセス中に作成された自己署名証明書 を置き換えることをお勧めします。 205 ページのセクション 22.1「iManager 用の一時的な自己署名証明書の置き換え」 209 ページのセクション 22.2「インストール後における iManager の IPv6 アドレス対応の設定」 209 ページのセクション 22.3「eDirectory 用の許可されたユーザの指定」 22.1 iManager 用の一時的な自己署名証明書の置き換え スタンドアロンの iManager のインストールには、Tomcat によって使用される、一時的な、自己署 名証明書が含まれます。自己署名証明書の有効期限は 1 年間です。NetIQ がこの証明書を提供して いる目的は、iManager のインストール後すぐにシステムを稼働して安全に製品を使用できるように するためです。NetIQ および OpenSSL では、テストを目的とする場合を除き、自己署名証明書の 使用をお勧めしません。代わりに、一時的な証明書をセキュアな証明書に置き換えることをお勧め します。 Tomcat は、Tomcat (JKS) 形式のファイルを使用するキーストアに自己署名証明書を保存します。 通常、証明書を置き換えるには秘密鍵をインポートします。ただし、Tomcat のキーストアの変更に 使用する keytool で秘密鍵をインポートすることはできません。このツールは自己生成鍵のみを使用 します。 このセクションでは、NetIQ Certificate Server を使用して eDirectory 内に公開鍵 / 秘密鍵のペアを 生成する方法と、一時的な証明書を置き換える方法について説明します。eDirectory を使用してい る場合は、追加投資を行わずに、NetIQ Certificate Server を使用して証明書の生成、追跡、格納、 および取り消しを安全に行うことができます。 注 : このセクションの情報は、Tomcat と Apache の両方をインストールする OES Linux には適用さ れません。OES Linux のマニュアルに、Apache と Tomcat の自己署名証明書の置き換えに関する情 報が記載されています。 22.1.1 Linux での iManager 自己署名証明書の置き換え このセクションでは、Linux プラットフォームで、eDirectory 内に鍵ペアを作成し、PKCS#12 ファ イルを使用して公開鍵、秘密鍵、およびルート CA ( 認証局 ) 鍵をエクスポートする方法について説 明します。これには、PKCS12 ディレクティブを使用し、デフォルトの JKS キーストアを使用する のではなく環境設定が実際の P12 ファイルを参照するように、Tomcat の server.xml 環境設定ファイ ルを変更する手順が含まれます。 この処理では次のファイルを使用します。 /var/opt/novell/novlwww/.keystore - 一時鍵ペアが保存されています。 iManager のインストール後のタスク 205 /opt/novell/jdk1.7.0_25/jre/lib/security/cacerts - ルート認証局証明書が保存されています。 /etc/opt/novell/tomcat7/server.xml - Tomcat による証明書の使用を設定するために使用します。 Linux で自己署名証明書を置き換える 1 新しい証明書を作成するため、次の手順を実行します。 1a iManager にログインします。 1b [NetIQ Certificate Server]>[Create Server Certificate ( サーバ証明書の作成 )]の順にク リックします。 1c 適切なサーバを選択します。 1d サーバのニックネームを指定します。 1e 残りの項目については、証明書のデフォルト値をそのまま使用します。 2 サーバ証明書を Tomcat のホームディレクトリにエクスポートするため、次の手順を実行しま す。 2a iManager で、 [Directory Administration ( ディレクトリ管理 )]>[オブジェクトの変更] の順に選択します。 2b キーマテリアルオブジェクト (KMO) を参照して選択します。 2c [証明書]>[エクスポート]の順にクリックします。 2d パスワードを入力します。 2e サーバ証明書を /var/opt/novell/novlwww ディレクトリに PKCS#12 (.pfx) として保存します。 3 .pfx ファイルを .pem ファイルに変換するため、次の手順を実行します。 3a コマンドを入力します (openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem など )。 3b ステップ 2 で指定した証明書のパスワードと同じパスワードを入力します。 3c 新しい .pem ファイルのパスワードを指定します。 同じパスワードを使用することもできます。 4 .pem ファイルを .p12 ファイルに変換するため、次の手順を実行します。 4a コマンドを入力します (openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat" など )。 4b ステップ 3 で指定した証明書のパスワードと同じパスワードを入力します。 4c 新しい .p12 ファイルのパスワードを指定します。 同じパスワードを使用することもできます。 5 Tomcat を停止するため、次のコマンドを入力します。 /etc/init.d/novell-tomcat7 stop 6 Tomcat が新しく作成された .p12 証明書ファイルを使用するよう、変数 keystoreType、 keystoreFile、および keystorePass を Tomcat の環境設定ファイルに追加します。この環境設定 ファイルは、デフォルトでは /etc/opt/novell/tomcat7.0.42/server.xml にあります。次に例を示しま す。 206 NetIQ Identity Manager セットアップガイド <Connector className="org.apache.coyote.tomcat7.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/var/ opt/novell/novlwww/newtomcert.p12" keystorePass="password" /> </Connector> 注 : キーストアの種類を PKCS12 に設定するときは、Tomcat ではデフォルトで Tomcat ホーム パスが使用されなくなるため、証明書ファイルのパス全体を指定する必要があります。 7 .p12 証明書ファイルが適切に機能することを確認するため、次の手順を実行します。 7a ファイルの所有権を適切な Tomcat ユーザ / グループに変更します。デフォルトは novlwww です。たとえば、chown novlwww:novlwww newtomcert.p12 に変更します。 7b ファイルの許可を user=rw、group=rw、および others=r に変更します。たとえば、chmod 654 newtomcert.p12 に変更します。 8 Tomcat を再起動するため、次のコマンドを入力します。 /etc/init.d/novell-tomcat7 start 22.1.2 Windows での iManager 自己署名証明書の置き換え このセクションでは、Windows プラットフォームで、eDirectory 内に鍵ペアを作成し、 PKCS#12 ファイルを使用して公開鍵、秘密鍵、およびルート CA ( 認証局 ) 鍵をエクスポートする 方法について説明します。これには、PKCS12 ディレクティブを使用し、デフォルトの JKS キース トアを使用するのではなく環境設定が実際の P12 ファイルを参照するように、Tomcat の server.xml 環境設定ファイルを変更する手順が含まれます。 この処理では次のファイルを使用します。 C:\Program Files\Novell\Tomcat\conf\ssl\.keystore - 一時鍵ペアが保存されています。 C:\Program Files\Novell\jre\lib\security\cacerts - ルート認証局証明書が保存されています。 C:\Program Files\Novell\Tomcat\conf\server.xml - Tomcatによる証明書の使用を設定するために使用 します。 Windows で iManager 自己署名証明書を置き換える 1 新しい証明書を作成するため、次の手順を実行します。 1a iManager にログインします。 1b [NetIQ Certificate Server]>[Create Server Certificate ( サーバ証明書の作成 )]の順にク リックします。 1c 適切なサーバを選択します。 1d サーバのニックネームを指定します。 1e 残りの項目については、証明書のデフォルト値をそのまま使用します。 2 サーバ証明書をエクスポートするため、次の手順を実行します。 2a iManager で、 [Directory Administration ( ディレクトリ管理 )]>[オブジェクトの変更] の順に選択します。 2b キーマテリアルオブジェクト (KMO) を参照して選択します。 2c [証明書]>[エクスポート]の順にクリックします。 iManager のインストール後のタスク 207 2d パスワードを入力します。 2e サーバ証明書を PKCS#12 (.pfx) として保存します。 3 .pfx ファイルを .pem ファイルに変換するため、次の手順を実行します。 注 : OpenSSL はデフォルトでは Windows にインストールされていません。ただし、 Windows プラットフォーム用のバージョンを OpenSSL の Web サイトからダウンロードでき ます。または、OpenSSL がデフォルトでインストールされている Linux プラットフォーム上 で証明書を変換できます。Linux を使用してファイルを変換する方法の詳細については、 205 ページのセクション 22.1「iManager 用の一時的な自己署名証明書の置き換え」を参照し てください。 3a コマンドを入力します (openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem など )。 3b ステップ 2 で指定した証明書のパスワードと同じパスワードを入力します。 3c 新しい .pem ファイルのパスワードを指定します。 同じパスワードを使用することもできます。 4 .pem ファイルを .p12 ファイルに変換するため、次の手順を実行します。 4a コマンドを入力します (openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat" など )。 4b ステップ 3 で指定した証明書のパスワードと同じパスワードを入力します。 4c 新しい .p12 ファイルのパスワードを指定します。 同じパスワードを使用することもできます。 5 .p12 ファイルを Tomcat の証明書がある場所にコピーします。デフォルトでは、C:\Program Files\Novell\Tomcat\conf\ssl\ です。 6 Tomcat サービスを停止するため、次のコマンドを入力します。 /etc/init.d/novell-tomcat7 stop 7 Tomcat が新しく作成された .p12 証明書ファイルを使用するよう、変数 keystoreType、 keystoreFile、および keystorePass を Tomcat の server.xml ファイルに追加します。次に例を示し ます。 <Connector className="org.apache.coyote.tomcat7.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" /> キーストアの種類を PKCS12 に設定すると、Tomcat はデフォルトの Tomcat ホームパスを使用 しなくなるため、証明書ファイルのパス全体を指定する必要があります。 8 Tomcat サービスを開始します。 208 NetIQ Identity Manager セットアップガイド 22.2 インストール後における iManager の IPv6 アドレス 対応の設定 iManager のインストール後に、iManager が IPv6 アドレスを使用するように設定できます。 1. インストールディレクトリにある catalina.properties ファイルを開きます。これは、デフォルト では次のディレクトリにあります。 Linux: /var/opt/novell/tomcat7/conf/ ディレクトリ Windows: installation_directory\Tomcat\conf フォルダ 2. プロパティファイルに次の設定エントリを設定します。 java.net.preferIPv4Stack=false java.net.preferIPv4Addresses=true 3. Tomcat を再起動します。 22.3 eDirectory 用の許可されたユーザの指定 iManager のインストール後に、許可されたユーザの資格情報と、このユーザが管理する適切な eDirectory ツリー名を変更できます。詳細については、『NetIQ iManager 2.7.7 管理ガイド』の 「iManager Authorized Users and Groups」を参照してください。 1 iManager にログインします。 2 [Configure ( 設定 )]ビューで、 [iManager Server (iManager サーバ )]>[Configure iManager (iManager の設定 )]>[Security ( セキュリティ )]の順に選択します。 3 ユーザ資格情報とツリー名を更新します。 iManager のインストール後のタスク 209 210 NetIQ Identity Manager セットアップガイド VII Designer for Identity Manager のイン ストール VI このセクションでは、Designer for Identity Manager のインストールプロセスを順を追って説明しま す。デフォルトでは、各コンポーネントは次の場所にインストールされます。 Linux: /opt/netiq Windows: C:\NetIQ インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細について は、183 ページの第 20 章「iManager のインストールの計画」を参照してください。 Designer for Identity Manager のインストール 211 212 NetIQ Identity Manager セットアップガイド 23 Designer のインストールの計画 23 このセクションでは、Designer のインストールに必要な前提条件、考慮事項、およびシステムセッ トアップについて説明します。まず、次のチェックリストを参照してインストールプロセスを理解 します。 213 ページのセクション 23.1「Designer のインストールチェックリスト」 214 ページのセクション 23.2「Designer のインストールの前提条件」 214 ページのセクション 23.3「Designer のシステム要件」 23.1 Designer のインストールチェックリスト インストールを開始する前に、次の手順を確認することをお勧めします。 チェックリストの項目 1. 製品のアーキテクチャ情報を確認して Identity Manager コンポーネント間の相互作用を理解 します。詳細については、27 ページのセクション 2.1「Designer for Identity Manager」を参 照してください。 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参 照してください。 3. Designer のインストールに関する考慮事項を検討し、コンピュータが前提条件を満たして いることを確認します。詳細については、214 ページのセクション 23.2「Designer のイン ストールの前提条件」を参照してください。 4. Designer をインストールするコンピュータが指定されたソフトウェアおよびハードウェア 要件を満たしていることを確認します。詳細については、214 ページのセクション 23.3 「Designer のシステム要件」を参照してください。 5. Designer をインストールするため、次のいずれかのセクションを参照します。 217 ページの 「Linux でのインストールコマンドの使用」 217 ページの 「Windows の実行可能ファイルの実行」 218 ページの 「サイレントインストールプロセスの使用」 6. 残りの Identity Manager コンポーネントをインストールします。 7. ( オプション ) Identity Manager ソリューション用のプロジェクトを開始するため、『NetIQ Designer for Identity Manager Administration Guide』を参照します。 Designer のインストールの計画 213 23.2 Designer のインストールの前提条件 このセクションでは、Designer をインストールするための前提条件とシステム要件について説明し ます。 Designer をインストールまたはアップグレードする前に、次の考慮事項を確認します。 openSUSE 64ビットオペレーティングシステムが実行されているコンピュータにDesignerをイ ンストールするには、ご使用の環境が次の前提条件を満たしている必要があります。 Designer をインストールする前に、32 ビットの Novell International Cryptographic Infrastructure (NICI) パッケージをインストールする必要があります。 openSUSE.org からすべてのライブラリをインストールする必要があります。特に、bugbuddy、gtk2 (32 ビット )、および libgthread です。 Designer をインストールする前に、libgthread-2_0-0-32bit-2.17.2+2.17.3+20080708+r71713.1.x86_64.rpm compat ライブラリをインストールする必要があります。 64 ビットオペレーティングシステムが実行されているコンピュータに Designer をインス トールする場合でも、32 ビットバージョンの gtk2 RPM ライブラリをインストールする必 要があります。 Linuxオペレーティングシステムが実行されているコンピュータにDesignerをインストールする 前に、GNU gettext ユーティリティをインストールする必要があります。これらのユーティリ ティにより、国際化および多言語のメッセージに対応するためのフレームワークが提供されま す。言語サポートの詳細については、55 ページのセクション 5.6「言語サポートの理解」を参 照してください。 Designer 2.1x のワークスペースを Designer 3.0 以上で使用することはできません。古いワーク スペースバージョンは新しいバージョンの Designer との互換性がないためです。Designer は、 プロジェクトおよび設定情報をワークスペースに保存します。たとえば、Designer 4 ワークス ペースはデフォルトでは次のディレクトリにインストールされます。 Linux: $HOME/designer_workspace Windows Vista および Windows 7: %UserProfile%\designer_workspace ディレクトリ ワークフロープロビジョニングおよび役割付きのプロビジョニングを実行している場合に Designer をアップグレードするには、485 ページのセクション 54.4「ユーザアプリケーション ドライバのマイグレート」のアップグレード手順を確認します。 23.3 Designer のシステム要件 このセクションでは、Designer をホストするサーバを設定するのに役立つ要件について説明しま す。 214 カテゴリ 要件 プロセッサ 1GHz ディスク容量 Designer 用に 1GB メモリ Designer 用に 1024MB NetIQ Identity Manager セットアップガイド カテゴリ 要件 オペレーティングシス テム NetIQ は 32 ビットの Designer と 64 ビットの Designer の両方を提供していま す。次のオペレーティングシステム以上に Designer をインストールできます。 openSUSE 13.1 (32 ビットまたは 64 ビット ) SUSE Linux Enterprise Server 11 SP3 (64 ビット ) SUSE Linux Enterprise Desktop 12 (64 ビット ) Windows Server 2012 R2 (64 ビット ) Windows 8.1 (32 ビットまたは 64 ビット ) Windows 7 SP1 (32 ビットまたは 64 ビット ) 仮想化システム 次の仮想化プラットフォームのいずれか : Hyper-V Server 2012 R2 VMWare ESX 5.5 重要 : NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ ポートするエンタープライズクラスの仮想化システムで Identity Manager をサ ポートします。仮想化システムのベンダーが該当のオペレーティングシステムを 正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。 Designer のインストールの計画 215 216 NetIQ Identity Manager セットアップガイド 24 Designer のインストール 24 Identity Manager Designer は、ターゲットコンピュータに応じて、実行可能ファイル、バイナリ ファイル、またはテキストモードを使用してインストールできます。サイレントインストールも実 行可能です。インストールプログラムを使用します。インストールプログラムは、デフォルトでは 次のディレクトリにあります。 Linux コンピュータ : /products/Designer/install Windows コンピュータ : \products\Designer\install.exe このセクションでは、新しい環境に Designer をインストールする方法について説明します。 Designer のアップグレードの詳細については、457 ページのセクション 52.1「Designer のアップ グレード」を参照してください。 Identity Manager の複数のコンポーネントでは Designer のパッケージが必要です。Designer をイン ストールする際に、インストールプログラムは自動的に複数のパッケージを新しいプロジェクトに 追加します。 217 ページのセクション 24.1「Linux でのインストールコマンドの使用」 217 ページのセクション 24.2「Windows の実行可能ファイルの実行」 218 ページのセクション 24.3「サイレントインストールプロセスの使用」 219 ページのセクション 24.4「スペース文字が含まれるインストールパスの変更」 24.1 Linux でのインストールコマンドの使用 テキストモードでインストールを実行することも、バイナリファイルを実行することもできます。 インストールプログラムが保存されているディレクトリから次のいずれかのコマンドを入力します。 バイナリファイル : ./install テキストモード : ./install -i console 24.2 Windows の実行可能ファイルの実行 1 Designer をインストールするコンピュータに管理者アカウントでログインします。 2 install.exe ファイルを実行します。 3 インストールプロセスが完了するまで、ウィザードの手順に従います。 Designer のインストール 217 24.3 サイレントインストールプロセスの使用 スクリプトを使用することで、Designer をサイレントインストールできます。ユーザによる操作は 必要ありません。designerInstaller.properties ファイルを編集していない限り、-i silent オプションはイ ンストールにデフォルトのパラメータ値を使用します。 1 Designer をインストールするコンピュータに管理者アカウントでログインします。 2 インストールプログラムが含まれるディレクトリに移動します。 3 ( オプション ) Designer のインストールディレクトリと言語を設定するため、次の手順を実行 します。 3a designerInstaller.properties ファイルを開きます。このファイルは、デフォルトでは Path_to_unzipped_Designer_files/products/Designer ディレクトリにあります。 3b このプロパティファイルで、次のパラメータの値を変更します。 USER_INSTALL_DIR Designer をインストールする場所のパスを指定します。次に例を示します。 USER_INSTALL_DIR=/home/user/designer 末尾が designer ディレクトリでないパスを指定した場合、Designer のインストール プログラムによって自動的に designer ディレクトリが付加されます。 SELECTED_DESIGNER_LOCALE インストール後に Designer を起動する言語を次の中から 1 つ指定します。 zh_CN - 中国語 ( 簡体字 ) zh_TW - 中国語 ( 繁体字 ) nl - オランダ語 en - 英語 fr - フランス語 de - ドイツ語 it - イタリア語 ja - 日本語 pt_BR - ポルトガル語 ( ブラジル ) es - スペイン語 3c プロパティファイルを保存して閉じます。 4 次のいずれかのコマンドを実行します。 Linux: install -i silent -f Path\designerInstaller.properties Windows: install -i silent -f Path/designerInstaller.properties 218 NetIQ Identity Manager セットアップガイド 24.4 スペース文字が含まれるインストールパスの変更 ディレクトリ名にスペースが含まれる場所に Designer をインストールできます。ただし、Designer のインストール後、Designer が適切に機能するよう、StartDesigner.sh ファイルと Designer.ini ファイ ルを変更する必要があります。スペースを手動でエスケープ文字 (「\」) に置き換えます。次に例を 示します。 変更前 : root/designer installation 変更後 : root/designer\ installation Designer のインストール 219 220 NetIQ Identity Manager セットアップガイド VIII Identity Manager 用の PostgreSQL お よび Tomcat のインストール VI このセクションでは、ほとんどの Identity Manager コンポーネントが使用する次のアプリケーショ ンサーバとデータベースプログラムをインストールします。 Apache Tomcat PostgreSQL インストールファイルは、Identity Manager インストールパッケージの products/RBPM/ ディレクト リにあります。デフォルトでは、各アプリケーションは次の場所にあるそれぞれのディレクトリに インストールされます。 Linux: /opt/netiq/idm/apps/ Windows: C:\netiq\idm\apps\ インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細について は、223 ページのセクション 25.1「Tomcat および PostgreSQL のインストールチェックリスト」 を参照してください。 Identity Manager 用の PostgreSQL および Tomcat のインストール 221 222 NetIQ Identity Manager セットアップガイド 25 PostgreSQLおよびTomcatのインストール の計画 25 利便性のため、NetIQ は Apache Tomcat と PostgreSQL を同じインストールプログラムにバンドル しています。アプリケーションサーバおよびデータベースサーバがまだ会社で用意されていない場 合は、この簡易ユーティリティを使用して、これらのコンポーネントのオープンソースバージョン をインストールできます。このインストーラでは、Oracle JRE、オープンソースバージョンの Apache Tomcat Web サーバ、Apache Tomcat、および PostgreSQL データベースサーバが Identity Manager の基盤として提供されています。 このインストーラを使用することで、これらのアプリケーションを別途ダウンロードすることなく インストールできます。NetIQ では、ステージングおよび運用環境ではエンタープライズアプリ ケーションサーバを使用し、この簡易インストーラを使用して開発環境を構築することをお勧めし ます。アプリケーションのサポートが必要な場合は、コンポーネントのプロバイダに問い合わせて ください。NetIQ は、NetIQ Identity Manager のマニュアルで説明する範囲を超えて、これらのコン ポーネントのアップデート、管理、環境設定、または調整情報の提供を行いません。 223 ページのセクション 25.1「Tomcat および PostgreSQL のインストールチェックリスト」 224 ページのセクション 25.2「PostgreSQL および Tomcat のインストールプロセスの理解」 225 ページのセクション 25.3「PostgreSQL のインストールの前提条件」 225 ページのセクション 25.4「Tomcat のインストールの前提条件」 226 ページのセクション 25.5「PostgreSQL のシステム要件」 226 ページのセクション 25.6「Tomcat のシステム要件」 25.1 Tomcat および PostgreSQL のインストールチェック リスト 次のチェックリストの手順を完了することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、次の各セク ションを参照してください。 40 ページのセクション 4.5「Identity Manager でのシングルサインオンアクセスの使用」 38 ページのセクション 4.4「Identity Manager でのセルフサービスパスワード管理の使 用」 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 50 ページのセクション 5.3.4「推奨されるサーバセットアップ」を参照してください。 3. Tomcat または PostgreSQL をインストールする前に、NetIQ イベント監査サービスをイン ストールする必要があるかどうかを決定します。詳細については、48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参照してください。 PostgreSQL および Tomcat のインストールの計画 223 チェックリストの項目 4. アプリケーションのインストールに関する考慮事項を検討し、コンピュータが要件を満たし ていることを確認します。 225 ページのセクション 25.4「Tomcat のインストールの前提条件」 225 ページのセクション 25.3「PostgreSQL のインストールの前提条件」 5. アプリケーションをインストールします。 ガイド付きインストールについては、227 ページのセクション 26.1「ウィザードを使用 した PostgreSQL と Tomcat のインストール」を参照してください。 サイレントインストールについては、229 ページのセクション 26.2「Identity Manager 用の PostgreSQL および Tomcat のサイレントインストール」を参照してくだ さい。 25.2 6. 残りの Identity Manager コンポーネントをインストールします。 PostgreSQL および Tomcat のインストールプロセス の理解 一方のアプリケーションをインストールするか、それとも両方をインストールするかを選択できま す。たとえば、サポートされているバージョンのアプリケーションがすでにサーバにインストール されているため、PostgreSQL は必要ない場合があります。個々のインストールには次の考慮事項 が適用されます。 PostgreSQL インストールプロセスにより、ユーザアプリケーション用のデータベースがインストールさ れ、データベースを所有する idmadmin という名前の管理ユーザが作成されます。ただし、イ ンストール時にはユーザアプリケーション用のデータベース内にスキーマは作成されません。 スキーマ情報はユーザアプリケーションのインストール時に追加されます。 サポートされているバージョンの PostgreSQL がすでにサーバで実行されている場合は、デ フォルトの postgres ユーザのパスワードを入力するようプロンプトが表示されます。続いて、 idmadmin ユーザが作成され、postgres と同じパスワードが割り当てられます。 プロセスが終了すると、データベースインスタンスが起動されます。このデータベースを使用 する他の Identity Manager コンポーネント ( ユーザアプリケーションなど ) をインストールす る際に、インスタンスが実行中である必要があります。 ユーザアプリケーションのデータベースに PostgreSQL を使用する必要はありません。 Tomcat インストールプロセス中に IDM Apps Tomcat Service が作成されます。Tomcat アプリケーショ ンサーバをサポートするため、インストールプログラムによって Apache ActiveMQ および Oracle JRE もインストールされます。これらの項目は、Tomcat から電子メール通知を送信す るのに役立ちます。 インストールプログラムの完了時に Tomcat は起動されません。他の Identity Manager コン ポーネント (Identity Reporting など ) をインストールする前にアプリケーションサーバを停止 する必要があります。 224 NetIQ Identity Manager セットアップガイド 25.3 PostgreSQL のインストールの前提条件 PostgreSQL のインストール計画を立案する前に次の考慮事項を確認します。 Identity Manger にバンドルされているバージョンの PostgreSQL を、 このデータベースプログラ ムの旧バージョンが実行されている環境にインストールできます。新たにインストールするこ とによって旧バージョンが上書きされないよう、ファイルに対して別のディレクトリを指定し てください。 識別情報アプリケーションが使用するデータベース(PostgreSQLなど)には前提条件がいくつか 適用されます。詳細については、255 ページのセクション 29.3.5「識別情報アプリケーション のデータベースをインストールする場合の前提条件」を参照してください。 ( 状況によって実行 ) Windows では、複数のバージョンの PostgreSQL をインストールすること はできません。これは、Postgres のサービスアカウントが両方のインスタンスを扱えないため です。このバージョンの Postgres をインストールする前に旧バージョンをアンインストール してください。 25.4 Tomcat のインストールの前提条件 Tomcat のインストール計画を立案する前に次の考慮事項を確認します。 Tomcat と PostgreSQL は、同じサーバにインストールすることも、別々のサーバにインストー ルすることもできます。 インストールプロセスにより、サポートされているバージョンの Oracle JRE と Apache ActiveMQ がインストールされます。 さらに、Apache Log4j サービスで Tomcat のイベントを監視するために必要なファイルもインス トールされます。 Identity Manager インストールキットに付属する Tomcat インストールプログラムではなく、 ユーザが独自に入手したインストールプログラムを使用できます。ただし、ご使用のバージョ ンの Tomcat で Apache Log4j サービスを使用するには、適切なファイルがインストールされて いることを確認してください。詳細については、237 ページのセクション 27.6「Apache Log4j サービスを使用したサインオンイベントとパスワードイベントの記録」を参照してくだ さい。この要件は、Tomcat を OSP、識別情報アプリケーション、および Identity Reporting に 使用する場合に適用されます。 ActiveMQ で確実に電子メール通知を配信するには、MQServer をインストールします。 識別情報アプリケーションが実行されるアプリケーションサーバ (Tomcat など ) には前提条件が いくつか適用されます。詳細については、253 ページのセクション 29.3.3「アプリケーション サーバの前提条件と検討事項」を参照してください。 インストールプロセスにより、JRE の場所が setenv.sh ファイルに設定されます。このファイル は、デフォルトでは /opt/netiq/idm/apps/tomcat/bin/ ディレクトリにあります。識別情報アプリ ケーションと Identity Reporting を Tomcat にインストールする際に、setenv.sh ファイルの JAVA_OPTs エントリまたは CATALINA_OPTS エントリが更新されます。 Tomcat を root として実行しないでください。インストールプロセス中に Tomcat サービス用の ユーザアカウントが作成されます。これを root にしないでください。 PostgreSQL および Tomcat のインストールの計画 225 25.5 PostgreSQL のシステム要件 PostgreSQL のコンピュータの要件は識別情報アプリケーションの要件と同じです。詳細について は、256 ページのセクション 29.4「識別情報アプリケーションのシステム要件」を参照してくださ い。Identity Manager の最新バージョンのリリースノート、および PostgreSQL のマニュアルも参 照してください。 25.6 Tomcat のシステム要件 Tomcat のコンピュータの要件は識別情報アプリケーションの要件と同じです。詳細については、 256 ページのセクション 29.4「識別情報アプリケーションのシステム要件」を参照してください。 Identity Manager の最新バージョンのリリースノート、および Tomcat のマニュアルも参照してくだ さい。 226 NetIQ Identity Manager セットアップガイド 26 PostgreSQL と Tomcat のインストール 26 このセクションでは、Tomcat と PostgreSQL のインストールプロセスを順を追って説明します。 EAS コンポーネントの代わりに NetIQ Sentinel などの製品を使用できます。 227 ページのセクション 26.1「ウィザードを使用した PostgreSQL と Tomcat のインストール」 229 ページのセクション 26.2「Identity Manager 用の PostgreSQL および Tomcat のサイレントイ ンストール」 26.1 ウィザードを使用した PostgreSQL と Tomcat のイ ンストール 次の手順では、GUI 形式またはコンソールからガイド付きプロセスを使用して、Linux または Windows プラットフォームに Tomcat および PostgreSQL をインストールする方法について説明し ます。無人のサイレントインストールを実行するには、229 ページのセクション 26.2「Identity Manager 用の PostgreSQL および Tomcat のサイレントインストール」を参照してください。 インストールの準備をするために、次の各セクションに記載されている考慮事項とシステム要件を 確認します。 225 ページのセクション 25.4「Tomcat のインストールの前提条件」 225 ページのセクション 25.3「PostgreSQL のインストールの前提条件」 リリースに付属するリリースノート ガイド付きインストールを実行する 1 アプリケーションをインストールするコンピュータに root または管理者としてログインしま す。 2 計画したインストールパスに、次の名前が含まれるディレクトリがないことを確認します。 tomcat postgres activemq jre 3 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、インストールファイルが保存されているディレクトリへ移動します。 Linux: products/RBPM/postgre_tomcat_install/ Windows: products/RBPM/postgre_tomcat_install 4 ( 状況によって実行 ) インストールファイルを NetIQ Downloads の Web サイトからダウンロー ドした場合は、次の手順を実行します。 4a ダウンロードしたイメージの .tgz ファイルまたは win.zip ファイルへ移動します。 4b このファイルの内容をローカルコンピュータ上のディレクトリに抽出します。 PostgreSQL と Tomcat のインストール 227 5 インストールファイルが保存されているディレクトリから、次のいずれかの操作を実行しま す。 Linux ( コンソール ): 「./TomcatPostgreSQL.bin -i console」と入力します。 Linux (GUI): 「./TomcatPostgreSQL.bin」と入力します。 Windows: TomcatPostgreSQL.exe を実行します。 6 インストールプログラムで、インストールに使用する言語を指定して[OK]をクリックしま す。 7 概要情報を確認して[次へ]をクリックします。 8 ライセンス契約に同意して、 [次へ]をクリックします。 9 Tomcat または PostgreSQL の一方をインストールするか、それとも両方をインストールするか を指定します。 10 ガイド付きプロセスを実行するため、次のパラメータの値を指定します。 Tomcat parent folder (Tomcat の親フォルダ ) Tomcat をインストールする場合にのみ適用されます。 Tomcat のファイルをインストールするディレクトリを指定します。 Tomcat の詳細 Tomcat をインストールする場合にのみ適用されます。 Tomcat で必要なポートを指定します。 Tomcat shutdown port (Tomcat シャットダウンポート ) すべての Web アプリケーションと Tomcat を正常にシャットダウンするために使用 するポートを指定します。デフォルトは 8005 です。 Tomcat http port (Tomcat HTTP ポート ) Tomcat サーバがクライアントコンピュータとの通信に使用するポートを指定します。 デフォルトは 8080 です。SSL を使用する場合、デフォルトは 8443 です。 Tomcat redirect port (Tomcat リダイレクトポート ) ( 状況によって実行 ) TLS/SSL プロトコルを使用しない場合、SSL トランスポートが 必要な要求をアプリケーションサーバがリダイレクトするポートを指定します。デ フォルトは 8443 です。 Tomcat ajp port (Tomcat AJP ポート ) ( オプション ) アプリケーションサーバが http ではなく AJP プロトコルを使用する Web コネクタと通信する場合に使うポートを指定します。デフォルトは 8009 です。 このパラメータは、アプリケーションサーバで Web アプリケーションに含まれる静 的なコンテンツを管理する場合や、アプリケーションサーバの SSL 処理を利用する 場合に使用します。 PostgreSQL 親フォルダ PostgreSQL をインストールする場合にのみ適用されます。 PostgreSQL のファイルをインストールするディレクトリを指定します。 PostgreSQL の詳細 PostgreSQL をインストールする場合にのみ適用されます。 ユーザアプリケーション用の PostgreSQL データベースの設定を指定します。 228 NetIQ Identity Manager セットアップガイド 注 : サポートされているバージョンの PostgreSQL がすでにサーバで実行されている場合 は、デフォルトの postgres ユーザのパスワードを入力するようプロンプトが表示されま す。続いて、idmadmin ユーザが作成され、postgres と同じパスワードが割り当てられます。 データベース名 データベースの名前を指定します。デフォルト値は idmuserappdb です。 データベース管理者 idmadmin アカウントを指定します。これは、データベースのテーブルやビューなどの アーティファクトを作成できるデータベース管理者です。 このアカウントはデフォルトの postgres ユーザとは異なります。 管理者ユーザのパスワード データベース管理者およびデフォルトの postgres ユーザのパスワードを指定します。 PostgreSQL のポート PostgreSQL データベースをホストするサーバのポートを指定します。デフォルトは 5432 です。 11 インストール前の概要を確認します。 12 インストールプロセスを開始します。 13 インストールプロセスが完了したら、 [完了]をクリックします。 26.2 Identity Manager 用の PostgreSQL および Tomcat のサイレントインストール サイレント ( 非対話型 ) インストールでは、ユーザインタフェースは表示されず、ユーザに対する 質問も行われません。代わりに、InstallAnywhere はデフォルトの silent.properties ファイルの情報を 使用します。デフォルトのファイルを使用してサイレントインストールを実行することも、ファイ ルを編集してインストールプロセスをカスタマイズすることもできます。ガイド付きインストール については、227 ページのセクション 26.1「ウィザードを使用した PostgreSQL と Tomcat のイン ストール」を参照してください。 インストールの準備をするために、次の各セクションに記載されている考慮事項とシステム要件を 確認します。 225 ページのセクション 25.4「Tomcat のインストールの前提条件」 225 ページのセクション 25.3「PostgreSQL のインストールの前提条件」 230 ページのセクション 26.2.1「サイレントインストールでのパスワードの保護」 リリースに付属するリリースノート PostgreSQL と Tomcat のインストール 229 26.2.1 サイレントインストールでのパスワードの保護 インストール用の silent.properties ファイルの中にパスワードを指定するのを望まない場合、代わり に環境内でパスワードを設定できます。この場合、サイレントインストーラは silent.properties ファ イルからではなく、環境からパスワードを読み込みます。これにより、セキュリティが増強されま す。 ユーザアプリケーションをインストールするために次のパスワードを指定する必要があります。 NETIQ_DB_PASSWORD NETIQ_DB_PASSWORD_CONFIRM Linux export コマンドを使用します。次に例を示します。 export NETIQ_DB_PASSWORD_CONFIRM=myPassWord Windows set コマンドを使用します。次に例を示します。 set NETIQ_DB_PASSWORD_CONFIRM=myPassWord 26.2.2 Tomcat および PostgreSQL のサイレントインストール 1 アプリケーションをインストールするコンピュータにログインします。 2 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、インストールファイルが保存されているディレクトリへ移動します。 Linux: products/RBPM/postgre_tomcat_install Windows: products/RBPM/postgre_tomcat_install 3 ( 状況によって実行 ) インストールファイルを NetIQ Downloads の Web サイトからダウンロー ドした場合は、次の手順を実行します。 3a ダウンロードしたイメージの .tgz ファイルまたは win.zip ファイルへ移動します。 3b ファイルの内容をローカルコンピュータ上のディレクトリに抽出します。 4 インストールパラメータを指定するため、次の手順を実行します。 4a silent.properties ファイルがインストール用の実行可能ファイルと同じディレクトリにある ことを確認します。 4b テキストエディタで silent.properties ファイルを開きます。 4c パラメータの値を指定します。パラメータの説明については、273 ページのステップ 7 を 参照してください。 注 : Linux サーバでユーザアプリケーションに既存の PostgreSQL データベースを使用す るには、NETIQ_USE_INSTALLED_POSTGRES に installed を指定します。データベースイン スタンスが、サポートされているバージョンの PostgreSQL によって実行されている必要 があります。データベースを設定する必要はありません。 4d ファイルを保存して閉じます。 230 NetIQ Identity Manager セットアップガイド 5 インストールプロセスを開始するため、次のいずれかのコマンドを入力します。 Linux: TomcatPostgreSQL.bin -i silent -f silent.properties Windows: install -i silent -f silent.properties 注 : silent.properties ファイルがインストールスクリプトとは異なるディレクトリにある場合は、 ファイルのフルパスを指定する必要があります。スクリプトによって、必要なファイルが一時 ディレクトリに解凍され、サイレントインストールが開始されます。 PostgreSQL と Tomcat のインストール 231 232 NetIQ Identity Manager セットアップガイド IX シングルサインオンおよびパスワード 管理コンポーネントのインストール IX このセクションでは、シングルサインオンアクセスを可能にし、ユーザが自分のパスワードをリ セットできるように Identity Manager を設定するのに役立つコンポーネントをインストールします。 OSP (One SSO Provider) SSPR (Self Service Password Reset) 注 : パスワード管理に別のセルフサービスプログラムを使用することもできます。ただし、Identity Manger の設定を一部変更しなければならないことがあります。詳細については、316 ページのセ クション 35.6「パスワードを忘れた場合の管理の設定」を参照してください。 利便性のため、NetIQ は OSP と SSPR を同じインストールプログラムにバンドルしています。両 方のコンポーネントを同じサーバにインストールすることも、個別にインストールすることもでき ます。インストールファイルは、Identity Manager インストールパッケージの products/RBPM/ osp_sspr_install ディレクトリにあります。デフォルトでは、各コンポーネントは次の場所にインス トールされます。 Linux: /opt/netiq/idm/apps/osp_sspr Windows: C:\netiq\idm\apps\osp_sspr インストールを開始する前にインストールプロセスを確認することをお勧めします。 シングルサインオンおよびパスワード管理コンポーネントのインストール 233 234 NetIQ Identity Manager セットアップガイド 27 Identity Manager 用のシングルサインオン およびパスワード管理のインストールの計 画 27 Identity Manager は、OSP (One SSO Provider) を使用して、識別情報アプリケーションおよび Identity Reporting へのシングルサインオンアクセスをサポートします。SSPR (Self Service Password Reset) はアプリケーションおよび OSP と統合され、パスワードを変更する必要がある ユーザが他の操作を実行することなく適切な Web ページに移動できるようにします。ユーザがセ ルフサービス作業を完了すると、SSPR は、ユーザが最初にアクセスを試みたアプリケーションへ ユーザをリダイレクトします。 利便性のため、NetIQ は OSP と SSPR を同じインストールプログラムにバンドルしています。両 方のコンポーネントを同じサーバにインストールすることも、別々にインストールすることもでき ます。ただし、Identity Manager に SSPR は必須ではありません。ユーザパスワードをリセットす る場合、別の方法を使用することもできます。詳細については、316 ページのセクション 35.6「パ スワードを忘れた場合の管理の設定」を参照してください。 235 ページのセクション 27.1「シングルサインオンおよびパスワード管理コンポーネントのイ ンストールチェックリスト」 236 ページのセクション 27.2「One SSO Provider のインストールの前提条件」 237 ページのセクション 27.3「Self Service Password Reset のインストールの前提条件」 237 ページのセクション 27.4「One SSO Provider のシステム要件」 237 ページのセクション 27.5「Self Service Password Reset のシステム要件」 237 ページのセクション 27.6「Apache Log4j サービスを使用したサインオンイベントとパス ワードイベントの記録」 27.1 シングルサインオンおよびパスワード管理コンポー ネントのインストールチェックリスト 次のチェックリストの手順を完了することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、次の各セク ションを参照してください。 40 ページのセクション 4.5「Identity Manager でのシングルサインオンアクセスの使用」 38 ページのセクション 4.4「Identity Manager でのセルフサービスパスワード管理の使 用」 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参 照してください。 Identity Manager 用のシングルサインオンおよびパスワード管理のインストールの計画 235 チェックリストの項目 3. Tomcat がインストールされていることを確認します。詳細については、227 ページの第 26 章「PostgreSQL と Tomcat のインストール」を参照してください。 4. ( 状況によって実行 ) Apac e Log4j サービスを使用して Tomcat でイベントを記録するには、 適切なファイルが用意されていることを確認します。詳細については、237 ページのセク ション 27.6「Apache Log4j サービスを使用したサインオンイベントとパスワードイベント の記録」を参照してください。 5. コンポーネントをインストールします。 ガイド付きインストールについては、239 ページのセクション 28.1「ウィザードを使用 したシングルサインオンおよびパスワード管理コンポーネントのインストール」を参 照してください。 コンポーネントをサイレントインストールするには、243 ページのセクション 28.2「シ ングルサインオンおよびパスワード管理コンポーネントのサイレントインストール」 を参照してください。 27.2 6. 識別情報アプリケーションをインストールし、シングルサインオンアクセスおよびパスワー ド管理を使用するように設定します。詳細については、245 ページのパート X「識別情報ア プリケーションのインストール」を参照してください。 One SSO Provider のインストールの前提条件 次の Identity Manager コンポーネントではユーザ認証のために OSP が必要です。 Catalog Administrator Home and Provisioning Dashboard Identity Reporting Identity 承認 ユーザアプリケーション OSP をインストールする前に、次の考慮事項を確認することをお勧めします。 OSP を実行するために、Identity Manager インストールキットに付属する Tomcat インストール プログラムではなく、ユーザが独自に入手したインストールプログラムを使用できます。ただ し、ご使用のバージョンの Tomcat で Apache Log4j サービスを使用するには、適切なファイル がインストールされていることを確認してください。詳細については、237 ページのセクショ ン 27.6「Apache Log4j サービスを使用したサインオンイベントとパスワードイベントの記録」 を参照してください。 SAML 2.0認証を使用して NetIQ Access Manager 4.0と連携するよう OSP を設定できます。詳細 については、419 ページの第 46 章「NetIQ Access Manager での SAML 認証によるシングルサ インオン」を参照してください。 OSP では、識別情報アプリケーションおよび Reporting が認証サーバと通信できるようにする ために信頼証明書が必要です。インストールプロセス中に osp.jks ファイル内に TLS/SSL 用の 証明書が自動的に作成されます。eDirectory に対する SAML アサーション用のルート認証局証 明もこのプロセスで作成できます。 236 NetIQ Identity Manager セットアップガイド 注 : これらの証明書の有効期限は作成日から 2 年です。元の証明書が期限切れになった場合 は、新しい証明書を作成する必要があります。詳細については、335 ページのセクション 36.3.1「Authentication Server( 認証サーバ )」および 314 ページのセクション 35.4.2 「SAML 認証メソッドのインストールおよび環境設定」をそれぞれ参照してください。 27.3 Self Service Password Reset のインストールの前提 条件 インストールする NetIQ Self Service Password Reset (SSPR) が識別情報アプリケーションのサー バ要件に一致する必要があります。考慮事項は次のとおりです。 SSPR では通信用に TSL/SSL プロトコルが必要です。 SSPR ではサポートされているバージョンの Tomcat アプリケーションサーバが必要です。詳細 については、225 ページのセクション 25.4「Tomcat のインストールの前提条件」およびこの バージョンの最新のリリースノートを参照してください。 『NetIQ Self Service Password Reset Administration Guide』に記載されている前提条件と要件 を確認することをお勧めします。 27.4 One SSO Provider のシステム要件 インストールする OSP が識別情報アプリケーションのサーバ要件に一致する必要があります。詳 細については、250 ページのセクション 29.3「識別情報アプリケーションのインストールの前提条 件と検討事項」およびこのバージョンの最新のリリースノートを参照してください。 27.5 Self Service Password Reset のシステム要件 インストールする SSPR が識別情報アプリケーションのサーバ要件に一致する必要があります。詳 細については、250 ページのセクション 29.3「識別情報アプリケーションのインストールの前提条 件と検討事項」およびこのバージョンの最新のリリースノートを参照してください。 27.6 Apache Log4j サービスを使用したサインオンイベン トとパスワードイベントの記録 Apache Log4j または java.util.logging サービスを使用して、Tomcat で発生するイベントを記録でき ます。Log4j に必要なファイルは Identity Manager インストールキットの Tomcat インストーラに含 まれています。ただし、独自のバージョンの Tomcat をインストールする場合、Apache のログ記録 サービスを使用するには次のファイルが必要になります。 log4j-1.2.16.jar tomcat-juli-adapters.jar tomcat-juli.jar Identity Manager 用のシングルサインオンおよびパスワード管理のインストールの計画 237 インストール済みの Tomcat にこれらのファイルを追加するには、次の手順を実行します。 1 Apache の Web サイトから Tomcat v7.0.55 用の「JULI」ファイルをダウンロードします。 tomcat-juli.jar tomcat-juli-adapters.jar 2 Apache の Web サイトから log4j-1.2.16.jar ファイルをダウンロードします。 3 次のファイルを $TOMCAT_HOME/lib ディレクトリに配置します。 log4j-1.2.16.jar tomcat-juli-adapters.jar 4 tomcat-juli.jar ファイルを $TOMCAT_HOME/bin ディレクトリに配置します。 5 CATALINA_OPTS で -Dlog4j.configuration の値を指定するか、$TOMCAT_HOME/lib ディレクトリ内 に log4j.properties ファイルを作成します。 238 NetIQ Identity Manager セットアップガイド 28 Identity Manager 用のシングルサインオン およびパスワード管理のインストール 28 このセクションでは、OSP および SSPR の両方のインストールプロセスについて説明します。こ れらのプログラムは、同じサーバにインストールすることも、別々のサーバにインストールするこ ともできます。 239 ページのセクション 28.1「ウィザードを使用したシングルサインオンおよびパスワード管 理コンポーネントのインストール」 243 ページのセクション 28.2「シングルサインオンおよびパスワード管理コンポーネントのサ イレントインストール」 243 ページのセクション 28.3「シングルサインオンアクセスの設定」 注 : 古い方法である「パスワードを忘れた場合」を使用する場合、SSPR のインストールは必要あ りません。詳細については、39 ページのセクション 4.4.2「レガシパスワード管理プロバイダの理 解」を参照してください。 28.1 ウィザードを使用したシングルサインオンおよびパ スワード管理コンポーネントのインストール 次の手順では、GUI 形式またはコンソールからインストールウィザードを使用して、Linux または Windows プラットフォームに OSP および SSPR をインストールする方法について説明します。無 人のサイレントインストールを実行するには、243 ページのセクション 28.2「シングルサインオン およびパスワード管理コンポーネントのサイレントインストール」を参照してください。インス トールの準備をするために、235 ページのセクション 27.1「シングルサインオンおよびパスワード 管理コンポーネントのインストールチェックリスト」に記載されている前提条件とシステム要件を 確認します。 1 OSP をインストールするサーバに root または管理者としてログインします。 2 アプリケーションサーバ (Tomcat など ) を停止します。 3 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、OSP のインストールファイルが保存されているディレクトリへ移動します。デフォル トの場所は products/rbpm/osp_sspr_install ディレクトリです。 4 ( 状況によって実行 ) OSP のインストールファイルをダウンロードした場合は、次の手順を実 行します。 4a ダウンロードしたイメージの .tgz ファイルまたは win.zip ファイルへ移動します。 4b このファイルの内容をローカルコンピュータ上のディレクトリに抽出します。 5 インストールファイルが保存されているディレクトリから、次のいずれかの操作を実行しま す。 Linux ( コンソール ): 「./osp-sspr-install.bin -i console」と入力します。 Identity Manager 用のシングルサインオンおよびパスワード管理のインストール 239 Linux (GUI): 「./osp-sspr-install.bin」と入力します。 Windows: osp-sspr-install.exe を実行します。 6 ライセンス契約に同意して、 [Next]をクリックします。 7 OSP または SSPR の一方をインストールするか、それとも両方をインストールするかを指定 します。 8 インストールするファイルのパスを指定します。 9 次のパラメータを使用して、ガイド付きプロセスを実行します。 Tomcat の詳細 Tomcat サーバのホームディレクトリを指定します。たとえば、/opt/apache-tomcat-7.0.50 で す。インストールプロセス中に OSP 用の複数のファイルがこのフォルダに追加されます。 Tomcat の接続 ユーザが Tomcat サーバ上の OSP および SSPR に接続するために必要な URL の設定を指 定します。たとえば、https:myserver.mycompany.com:8080 です。 注 : 次の考慮事項が当てはまる場合は、[外部認証サーバに接続する]を選択し、外部 サーバの値も指定する必要があります。 SSPR をインストールする場合。 OSP を SSPR と異なるアプリケーションサーバのインスタンスで実行する場合。 プロトコル http または https のどちらを使用するのかを指定します。SSL (Secure Sockets Layer) を使用して通信する場合は https を指定します。 ホスト名 OSP または SSPR をインストールするサーバの DNS 名または IP アドレスを指定し ます。localhost は使用しないでください。 ポート サーバがクライアントコンピュータとの通信に使用するポートを指定します。 Connect to an external authentication server ( 外部認証サーバへの接続 ) アプリケーションサーバの別のインスタンスで認証サーバ (OSP) をホストするかど うかを指定します。認証サーバには、SSPR にログイン可能なユーザのリストが保存 されています。 この設定を選択する場合は、認証サーバの[プロトコル]、 [ホスト名]、および [ポート]も指定する必要があります。 Tomcat Java ホーム Tomcat サーバ上の Java のホームディレクトリを指定します。たとえば、/usr/lib/jvm/ default-java です。インストールプロセス中に OSP 用の複数のファイルがこのディレクト リに追加されます。 認証の詳細 アプリケーションにログイン可能なユーザのリストが保存されている認証サーバに接続す るための要件を指定します。認証サーバの詳細については、40 ページのセクション 4.5.1 「One SSO Provider による認証の理解」を参照してください。 240 NetIQ Identity Manager セットアップガイド LDAP ホスト LDAP 認証サーバの DNS 名または IP アドレスを指定します。localhost は使用しない でください。 LDAP ポート LDAP 認証サーバが Identity Manager との通信に使用するポートを指定します。たと えば、セキュアポート以外を使用する場合は 389、SSL 接続を使用する場合は 636 を 指定します。 SSL を使用 識別ボールトと認証サーバ間の接続に Secure Sockets Layer プロトコルを使用する かどうかを指定します。 JRE トラストストア (cacerts) ファイル LDAP 接続に SSL を使用する場合にのみ適用されます。 証明書のパスを指定します。たとえば、C:\netiq\idm\apps\jre\lib\security\cacerts です。 JRE トラストストアパスワード LDAP 接続に SSL を使用する場合にのみ適用されます。 cacerts ファイルのパスワードを指定します。 管理者 DN 新しい認証サーバをインストールする場合にのみ適用されます。 LDAP 認証サーバの管理者アカウントの DN を指定します。たとえば、 cn=admin,ou=sa,o=system です。 管理者パスワード 新しい認証サーバをインストールする場合にのみ適用されます。 LDAP 認証サーバの管理者アカウントのパスワードを指定します。 ユーザコンテナ 新しい認証サーバをインストールする場合にのみ適用されます。 Access Review にログイン可能なユーザアカウントを保存する LDAP 認証サーバ内の コンテナを指定します。たとえば、o=data です。 管理者コンテナ 新しい認証サーバをインストールする場合にのみ適用されます。 Access Review の管理者アカウントを保存する LDAP 認証サーバ内のコンテナを指定 します。たとえば、ou=sa,o=system です。 キーストアパスワード 新しい認証サーバをインストールする場合にのみ適用されます。 LDAP 認証サーバの新しいキーストア用に作成するパスワードを指定します。 パスワードは 6 文字以上にする必要があります。 監査の詳細 (OSP) 認証サーバで発生する OSP イベントを監査するための設定を指定します。 OSP の監査を有効にする OSP イベントを監査サーバに送信するかどうかを指定します。 この設定を選択する場合は、監査ログキャッシュの場所も指定する必要があります。 Identity Manager 用のシングルサインオンおよびパスワード管理のインストール 241 監査ログキャッシュフォルダ OSP に対して監査を有効にする場合にのみ適用されます。 監査で使用するキャッシュディレクトリの場所を指定します。たとえば、/var/opt/ novell/naudit/jcache です。 既存の証明書を指定 / 証明書を生成 NAudit サーバで既存の証明書を使用するか、それとも新しい証明書を作成するかを 指定します。 パブリックキーを入力 既存の証明書を使用する場合にのみ適用されます。 監査メッセージを認証するために NAudit サービスで使用するカスタム公開鍵証明書 のリストを入力します。 RSA キーを入力 既存の証明書を使用する場合にのみ適用されます。 監査メッセージを認証するために NAudit サービスで使用するカスタム公開鍵ファイ ルのパスを入力します。 SSPR の詳細 SSPR を設定するために必要な設定を指定します。 設定パスワード 管理者が SSPR を設定する場合に使用するパスワードを作成するよう指定します。 デフォルトでは、SSPR に設定パスワードは設定されていません。パスワードを設定 しないと、SSPR にログイン可能なユーザであれば誰でも設定を変更できます。 SSPR redirect URL (SSPR のリダイレクト URL) SSPR でパスワード変更や秘密の質問などの操作が完了したときにクライアントをリ ダイレクトする絶対 URL を指定します。たとえば、[Identity Manager ホーム]ペー ジに転送します。 protocol://server:port/path の形式を使用します。たとえば、http://127.0.0.1:8080/landing で す。 認証サーバの詳細 SSPR サービスがサーバ上の OSP クライアントへ接続時に使用するために作成するパス ワードを指定します。クライアントシークレットととも呼ばれます。 インストール後にこのパスワードを変更するには、RBPM 環境設定ユーティリティを使用 します。 監査の詳細 (SSPR) 認証サーバで発生する SSPR イベントを監査するための設定を指定します。 SSPR の監査を有効にする SSPR イベントを監査サーバに送信するかどうかを指定します。 この設定を選択する場合は、syslog サーバの設定も指定する必要があります。 Syslog のホスト名 SSPR に対して監査を有効にする場合にのみ適用されます。 Syslog サーバをホストするサーバの DNS または IP アドレスを指定します。localhost は使用しないでください。 242 NetIQ Identity Manager セットアップガイド Syslog のポート SSPR に対して監査を有効にする場合にのみ適用されます。 Syslog サーバをホストするサーバのポートを指定します。 10 SSPR と OSP を使用するように識別情報アプリケーションおよび Identity Reporting を設定す るため、245 ページのパート X「識別情報アプリケーションのインストール」に進みます。 パスワードを忘れた場合の管理の詳細については、316 ページのセクション 35.6「パスワード を忘れた場合の管理の設定」を参照してください。 28.2 シングルサインオンおよびパスワード管理コンポー ネントのサイレントインストール サイレント ( 非対話型 ) インストールでは、ユーザインタフェースは表示されず、ユーザに対する 質問も行われません。 1 コンポーネントをインストールするコンピュータに root または管理者としてログインします。 2 アプリケーションサーバ (Tomcat など ) を停止します。 3 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、OSP のインストールファイルが保存されているディレクトリへ移動します。デフォル トの場所は osp_sspr ディレクトリです。 4 ( 状況によって実行 ) インストールファイルを NetIQ Downloads の Web サイトからダウンロー ドした場合は、次の手順を実行します。 4a ダウンロードしたイメージの .tgz ファイルまたは .zip ファイルへ移動します。 4b ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 5 silent.properties ファイルを OSP/SSPR のインストール用に編集します。このファイルは、デ フォルトではインストールスクリプトと同じディレクトリにあります。 インストール用の設定の詳細については、ステップ 7 ~ 240 ページのステップ 9 を参照してく ださい。 6 サイレントインストールを実行するため、次のいずれかのコマンドを発行します。 Linux: install -i silent -f path_to_silent.properties_file Windows: install.exe -i silent -f path_to_silent.properties_file 28.3 シングルサインオンアクセスの設定 OSP のインストール後すぐに、いくつかの手順を実行してシングルサインオンアクセスを設定でき ます。ただし、最終的な設定を行うには、まず識別情報アプリケーションをインストールする必要 があります。詳細については、411 ページのパート XIII「Identity Manager のシングルサインオンア クセスの設定」を参照してください。 Identity Manager 用のシングルサインオンおよびパスワード管理のインストール 243 244 NetIQ Identity Manager セットアップガイド X 識別情報アプリケーションのインス トール X このセクションでは、次の識別情報アプリケーションに必要なコンポーネントとフレームワークの インストールプロセスについて説明します。 Catalog Administrator Home and Provisioning Dashboard Roles Based Provisioning Module (RBPM) 役割およびリソースサービスドライバ ユーザアプリケーション ユーザアプリケーションドライバ インストールプログラムはデフォルトで次の場所にこれらのコンポーネントをインストールします。 Linux: /opt/netiq/idm Windows: C:\netiq\idm\apps 識別情報アプリケーションは、インストールの実行中および実行後に、Identity Manager の他のコ ンポーネントへのアクセスを必要とします。インストールを開始する前にインストールプロセスを 確認することをお勧めします。詳細については、247 ページの第 29 章「識別情報アプリケーショ ンのインストールのプラニング」を参照してください。 識別情報アプリケーションのインストール 245 246 NetIQ Identity Manager セットアップガイド 29 識別情報アプリケーションのインストール のプラニング 29 識別情報アプリケーションのインストールには、次のコンポーネントが含まれます。 Catalog Administrator Home and Provisioning Dashboard Roles Based Provisioning Module ユーザアプリケーション インストールには、識別情報アプリケーションに必要なユーザアプリケーションドライバと役割と リソースサービスドライバの 2 つのドライバが含まれていません。これらのドライバは、Identity Manager エンジンと一緒にインストールします。詳細については、131 ページの第 14 章「エンジ ン、ドライバ、およびプラグインのインストールの準備」を参照してください。 注 : 技術的には、Identity Reporting も SSPR と OSP を使用するため、識別情報アプリケーション と考えられ、RBPM 設定ユーティリティで設定を変更します。しかし、Identity Reporting には独自 のインストールプログラムがあり、個別のサーバにインストール可能であり、使用するデータベー スが異なります。詳細については、354 ページのセクション 37.4「Identity Reporting のシステム要 件」を参照してください。 247 ページのセクション 29.1「識別情報アプリケーションのインストールのチェックリスト」 249 ページのセクション 29.2「識別情報アプリケーションのインストールファイルの理解」 250 ページのセクション 29.3「識別情報アプリケーションのインストールの前提条件と検討事 項」 256 ページのセクション 29.4「識別情報アプリケーションのシステム要件」 29.1 識別情報アプリケーションのインストールのチェッ クリスト インストールプロセスを開始する前に、次の手順を確認することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、35 ページの セクション 4.3.1「ユーザアプリケーションおよび Roles Based Provisioning Module」を参 照してください。 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 50 ページのセクション 5.3.4「推奨されるサーバセットアップ」を参照してください。 3. 識別情報アプリケーションをインストールする前にイベント監査サービスをインストールす る必要があるかどうかを決定します。詳細については、48 ページのセクション 5.3「推奨さ れるインストールシナリオとサーバセットアップ」を参照してください。 識別情報アプリケーションのインストールのプラニング 247 チェックリストの項目 4. Identity Manager エンジンがインストールされていることを確認します。エンジンのインス トールの詳細については、131 ページの第 14 章「エンジン、ドライバ、およびプラグイン のインストールの準備」を参照してください。 5. 識別情報アプリケーションとそのサポートフレームワークをインストールする場合の検討事 項をレビューして、サーバが前提条件を満たしていることを確認します。詳細については、 250 ページのセクション 29.3「識別情報アプリケーションのインストールの前提条件と検討 事項」を参照してください。 6. 識別情報アプリケーションとそのサポートフレームワークをホストするコンピュータのハー ドウェアとソフトウェアの要件をレビューします。詳細については、256 ページのセクショ ン 29.4「識別情報アプリケーションのシステム要件」を参照してください。 7. 無効なスキーマに関するエラーメッセージが出力されないように、デフォルトの LDAP ポー トの 389 と 636 で eDirectory が動作していることを確認します。eDirectory スキーマは、イ ンストール後に手動で拡張できます。詳細については、259 ページのセクション 30.1「ユー ザアプリケーションスキーマをログアプリケーションとして Audit サーバに追加する」を参 照してください。 8. eDirectory 識別ボールトにユーザアプリケーション管理者アカウントを作成します。詳細に ついては、260 ページのセクション 30.2「ユーザアプリケーション管理者アカウントの作 成」を参照してください。 9. ローカルコンピュータまたは接続されたサーバに識別情報アプリケーション用のデータベー スをインストールし、設定します。 データベースの詳細については、255 ページのセクション 29.3.5「識別情報アプリケー ションのデータベースをインストールする場合の前提条件」を参照してください。 データベースをインストールする方法については、261 ページの第 31 章「識別情報アプ リケーションのデータベースの設定」を参照してください。 10. ローカルコンピュータ上またはクラスタ内のアプリケーションサーバを準備します。 要件を理解するには、253 ページのセクション 29.3.3「アプリケーションサーバの前提 条件と検討事項」を参照してください。 クラスタを準備する方法については、263 ページの第 32 章「識別情報アプリケーション を実行する環境の準備」を参照してください。 アプリケーションサーバをインストールする方法については、264 ページのセクション 32.2「識別情報アプリケーションを実行するアプリケーションサーバの準備」を参照 してください。 248 11. ( 状況によって実行 ) Apac e Log4j サービスを使用して Tomcat でイベントを記録するには、 適切なファイルが用意されていることを確認します。詳細については、237 ページのセク ション 27.6「Apache Log4j サービスを使用したサインオンイベントとパスワードイベント の記録」を参照してください。 12. 識別情報アプリケーションインストールキットの内容をレビューして、現在の環境に必要な ファイルを決定します。詳細については、249 ページのセクション 29.2「識別情報アプリ ケーションのインストールファイルの理解」を参照してください。 13. 識別情報アプリケーションをインストールします。詳細については、271 ページの第 33 章 「識別情報アプリケーションのインストール」を参照してください。 14. ユーザアプリケーションドライバと役割とリソースサービスドライバを作成し、展開しま す。詳細については、307 ページの第 34 章「識別情報アプリケーション用のドライバの作 成と展開」を参照してください。 NetIQ Identity Manager セットアップガイド チェックリストの項目 29.2 15. インストールプロセスの最終タスクを実行するには、311 ページの第 35 章「識別情報アプ リケーションのインストールの完了」を参照してください。 16. 識別情報アプリケーションとシングルサインオンの設定を正しく設定していることを確認し ます。詳細については、433 ページの第 48 章「識別情報アプリケーションへのシングルサ インオンアクセスの検証」を参照してください。 17. ( オプション ) 識別情報アプリケーションの使用を開始するには、 『NetIQ Identity Manager ユーザアプリケーション : 管理ガイド』を参照してください。 識別情報アプリケーションのインストールファイル の理解 識別情報アプリケーションのインストールファイルは、インストールパッケージの /products/RBPM/ user_app_install ディレクトリにあります。 ファイル 説明 configupdate.propteries サイレントインストールを実行する場合、このファイルを使用 して Roles Based Provisioning Module を設定します。詳細につ いては、280 ページのセクション 33.3「識別情報アプリケー ションのサイレントインストール」を参照してください。 IdmUserApp.exe または IdmUserApp.bin 識別情報アプリケーションのインストールプログラム。使用し ているプラットフォームに固有のインストーラがあります。 user_app.configure.properties サイレントインストールを実行する場合、このファイルを使用 して識別情報アプリケーションを設定します。詳細について は、280 ページのセクション 33.3「識別情報アプリケーション のサイレントインストール」を参照してください。 user_app.install.propteries サイレントインストールを実行する場合、このファイルを使用 して識別情報アプリケーションをインストールします。詳細に ついては、280 ページのセクション 33.3「識別情報アプリケー ションのサイレントインストール」を参照してください。 インストールプログラムは次の処理を実行します。 使用する既存のバージョンのアプリケーションサーバを指定する。 使用する既存のバージョンのデータベースを指定する。このデータベースには、識別情報アプ リケーションのデータと環境設定情報が格納されます。 識別情報アプリケーション ( アプリケーションサーバ上で実行されている ) が識別ボールトおよ びユーザアプリケーションドライバを使用して安全に通信できるように、JDK の証明書ファイ ルを設定する。 ユーザアプリケーション用の Java Web アプリケーションアーカイブ (WAR) ファイルを設定し、 アプリケーションサーバに展開する。WebSphere では、WAR を手動で展開する必要がありま す。 識別情報アプリケーションのインストールのプラニング 249 ログ記録を有効にする場合は、イベント監査サービス、Sentinel、または OpenXDAS のいずれ かの監査クライアントを使用します。 識別情報アプリケーションの特定のインストールを復元したり、クラスタをサポートしたりす るために、既存のマスタキーをインポートできるようにします。 29.3 識別情報アプリケーションのインストールの前提条 件と検討事項 識別情報アプリケーションのインストールプロセスを開始する前に、その前提条件とコンピュータ 要件をレビューすることをお勧めします。ユーザアプリケーション環境の設定の詳細については、 『ユーザアプリケーション : 管理ガイド』を参照してください。 250 ページのセクション 29.3.1「識別情報アプリケーションのインストールの検討事項」 252 ページのセクション 29.3.2「識別情報アプリケーションの設定と使用方法の検討事項」 253 ページのセクション 29.3.3「アプリケーションサーバの前提条件と検討事項」 254 ページのセクション 29.3.4「クラスタ環境で識別情報アプリケーションをインストールす る場合の前提条件」 255 ページのセクション 29.3.5「識別情報アプリケーションのデータベースをインストールす る場合の前提条件」 29.3.1 識別情報アプリケーションのインストールの検討事項 識別情報アプリケーションのインストールには次の検討事項が適用されます。 次の Identity Manager コンポーネントのサポートされるバージョンが必要です。 Designer 識別ボールト Identity Manager エンジン リモートローダ One SSO Provider これらのコンポーネントの必要なバージョンとパッチの詳細については、最新のリリースノー トを参照してください。 識別情報アプリケーションをインストールする前に次のフレームワーク項目をインストールし ます。 ローカルコンピュータ上のアプリケーションサーバ。詳細については、253 ページのセク ション 29.3.3「アプリケーションサーバの前提条件と検討事項」を参照してください。 ローカルコンピュータまたは接続されたサーバ上のデータベース。詳細については、 255 ページのセクション 29.3.5「識別情報アプリケーションのデータベースをインストー ルする場合の前提条件」を参照してください。 ( 状況によって実行 ) SLES(SUSE Linux Enterprise Server) 上に識別情報アプリケーションをイ ンストールする場合、SLES に付属の IBM JDK を使用しないでください。このバージョンは、 ユーザアプリケーションインストールの一部の機能との互換性がありません。かわりに Oracle JDK をダウンロードします。 250 NetIQ Identity Manager セットアップガイド ( オプション ) Identity Manager コンポーネント間の通信では、SSL (Secure Sockets Layer) プロ トコルを有効にすることをお勧めします。SSL プロトコルを使用するには、現在の環境で SSL を有効にして、インストール時に https を指定する必要があります。SSL を有効にする方法に ついては、『ユーザアプリケーション : 管理ガイド』の「Enabling SSL in a Production Environment」を参照してください。 役割とリソースドライバを作成する前に、ユーザアプリケーションドライバを作成します。役 割とリソースドライバは、ユーザアプリケーションドライバ内の役割ボールトコンテナ (RoleConfig.AppConfig) を参照します。 役割とリソースサービスドライバは jClient を使用するので、リモートローダと組み合わせて使 用することはできません。 JAVA_HOME 環境変数を、識別情報アプリケーションと一緒に使用する JDK を参照するように設 定します。JAVA_HOME を上書きするには、インストール時に手動でパスを指定します。 インストールプロセスはデフォルトで、このプログラムのファイルを C:\NetIQ\IDM または /opt/ netiq/idm ディレクトリに配置します。ユーザアプリケーションをデフォルト以外の新しいディ レクトリにインストールする場合、そのディレクトリはインストールプロセス開始前に次の要 件を満たしている必要があります。 ディレクトリが既存で、書き込み可能です。 Linux 環境の場合、root 以外のユーザがこのディレクトリに書き込み可能です。 各ユーザアプリケーションインスタンスは 1 つのユーザコンテナのみ処理できます。たとえば、 インスタンスに関連付けられているコンテナに対してのみユーザの追加、検索、およびクエリ を実行できます。また、アプリケーションとコンテナの関係は永続的なものと見なされます。 ( 状況によって実行 ) 外部パスワード管理を使用する場合、現在の環境が次の要件を満たしてい る必要があります。 識別情報アプリケーションと IDMPwdMgt.war ファイルを展開しているアプリケーション サーバで SSL プロトコルを有効にします。 SSL ポートがファイアウォール上で開いていることを確認します。 Tomcat で SSL を有効にする方法の詳細については、「SSL Configuration HOW-TO」を参照し てください。JBoss と WebSphere で SSL を有効化する方法の詳細については、その製品のマ ニュアルを参照してください。 IDMPwdMgt.war ファイルの詳細については、316 ページのセクション 35.6「パスワードを忘れ た場合の管理の設定」を参照してください。 ( オプション ) 管理対象システムから認証を取得するには、Identity Manager の 1 つまたは複数の ドライバをインストールします。 Identity Manager 3.6.1または4.0以降によりサポートされているドライバを使用する必要が あります。ドライバのインストールの詳細については、NetIQ Identity Manager ドライバ マニュアルの Web サイトで該当するドライバガイドを参照してください。 ドライバを管理するには、Designer または iManager の適切なプラグインがインストールさ れている必要があります。詳細については、185 ページのセクション 20.3「iManager プ ラグインのインストールの理解」を参照してください。 識別情報アプリケーションのインストールのプラニング 251 29.3.2 識別情報アプリケーションの設定と使用方法の検討事項 識別情報アプリケーションを設定および初めて使用する際、次の検討事項が適用されます。 ユーザが識別情報アプリケーションにアクセスできるようにするには、次のアクティビティを 完了する必要があります。 必要なすべての Identity Manager ドライバがインストールされていることを確認します。 識別ボールトのインデックスがオンラインモードであることを確認します。インストール 時にインデックスを設定する方法の詳細については、332 ページのセクション 36.2.9「そ の他」を参照してください。 すべてのブラウザで cookie を有効にします。cookie が無効な場合、アプリケーションは機 能しません。 現在の Identity Manager 環境で SSO を有効にした後は、ユーザがゲストまたは匿名ユーザとし て識別情報アプリケーションにアクセスできなくなります。かわりにユーザインタフェースに ログインするようにメッセージが表示されます。詳細については、411 ページのパート XIII 「Identity Manager のシングルサインオンアクセスの設定」を参照してください。 Identity Manager でユニバーサルパスワード機能が適用されることを保証するには、ユーザの 初回ログインプロセスとして NMAS ログインを使用するように識別ボールトを設定します。 Linux: /opt/novell/eDirectory/sbin/pre_ndsd_start スクリプトの最後に次のコマンドを追加しま す。 NDSD_TRY_NMASLOGIN_FIRST=true export NDSD_TRY_NMASLOGIN_FIRST Windows: HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Environment レジ ストリキーに NDSD_TRY_NMASLOGIN_FIRST とその文字列値 true を追加します。 ( 状況によって実行 ) レポートを実行するには、現在の環境に Identity Reporting のコンポーネン トがインストールされている必要があります。詳細については、347 ページのパート XI 「Identity Reporting コンポーネントのインストール」を参照してください。 インストールプロセス中、インストールプログラムによりログファイルがインストールディレ クトリに書き込まれます。これらのファイルには、設定に関する情報が含まれています。現在 の識別情報アプリケーション環境を設定した後で、これらのログファイルを削除するか、安全 な場所に保存することを検討する必要があります。インストールプロセス中、データベースス キーマをファイルに書き込むことも選択できます。このファイルにはデータベースについての 説明的な情報が含まれているので、インストールプロセスが完了した後で、安全な場所に移動 する必要があります。 ( 状況によって実行 ) 識別情報アプリケーションを監査するには、現在の環境に Identity Reporting とイベント監査サービス (EAS) がインストールされ、イベントをキャプチャするよ うに設定されている必要があります。また、識別情報アプリケーションを監査用に設定する必 要があります。詳細については、『Identity Reporting Module Guide』を参照してください。 (オプション) SAML 2.0認証を使用してNetIQ Access Manager 4.0と連携するように識別情報ア プリケーションを設定できます。詳細については、419 ページの第 46 章「NetIQ Access Manager での SAML 認証によるシングルサインオン」を参照してください。 252 NetIQ Identity Manager セットアップガイド 29.3.3 アプリケーションサーバの前提条件と検討事項 識別情報アプリケーションを使用するには、アプリケーションサーバがインストールされている必 要がありますが、次の検討事項があります。 アプリケーションサーバは、JDK(Java Development Kit) または JRE(Java Runtime Environment) と一緒に実行されている必要があります。サポートされるバージョンの詳細につ いては、256 ページのセクション 29.4「識別情報アプリケーションのシステム要件」を参照し てください。 JAVA_HOME 環境変数を、ユーザアプリケーションと一緒に使用する JDK を参照するように設定 します。JAVA_HOME を上書きするには、インストール時に手動でパスを指定します。 ( 状況によって実行 ) Tomcat インストールプログラムは、Identity Manager インストールキット に同梱のものではなく、独自に用意したものを使用できます。ただし、独自のバージョンの Tomcat で Apache Log4j サービスを使用する場合は、適切なファイルがインストールされてい ることを確認します。詳細については、237 ページのセクション 27.6「Apache Log4j サービ スを使用したサインオンイベントとパスワードイベントの記録」を参照してください。 ( 状況によって実行 ) 複数のアプリケーションサーバをインストールして識別情報アプリケー ションを展開する場合、ユーザアプリケーションを同じ JBoss クラスタの姉妹ノードにインス トールしている場合を除き、展開ごとに個別のユーザアプリケーションドライバが必要です。 詳細については、254 ページのセクション 29.3.4「クラスタ環境で識別情報アプリケーション をインストールする場合の前提条件」を参照してください。クラスタ環境の設定の詳細につい ては、263 ページの第 32 章「識別情報アプリケーションを実行する環境の準備」を参照して ください。 ( 状況によって実行 ) デジタル署名したドキュメントを保管するには、 JBoss または Tomcat のア プリケーションサーバ上に識別情報アプリケーションをインストールして、Novell Identity Audit を使用する必要があります。デジタル署名ドキュメントはワークフローデータと一緒に ユーザアプリケーションデータベースには保管されません。ログデータベースに保管されま す。これらのドキュメントを保管するには、ログ記録を有効にする必要もあります。詳細につ いては、『ユーザアプリケーション : 管理ガイド』の「ログの設定」を参照してください。 ( 状況によって実行 ) 大量のユーザデータをログ記録する環境やディレクトリサーバに大量のオ ブジェクトが置かれている環境では、複数のアプリケーションサーバを使用して識別情報アプ リケーションを展開できます。最適なパフォーマンスを得るための設定の詳細については、 『ユーザアプリケーション : 管理ガイド』の「Performance Tuning」を参照してください。 ( 状況によって実行 ) アプリケーションサーバに JBoss または Tomcat を使用する場合、インス トールプロセスを完了するまでアプリケーションサーバを起動しないでください。 ( 状況によって実行 ) 外部パスワード管理を使用する場合、次の手順を実行して、SSL プロトコ ルを有効にする必要があります。 識別情報アプリケーションと IDMPwdMgt.war ファイルを展開しているアプリケーション サーバで SSL を有効にします。 SSL ポートがファイアウォール上で開いていることを確認します。 Tomcat で SSL を有効にする方法の詳細については、「SSL Configuration HOW-TO」を参照し てください。JBoss と WebSphere で SSL を有効化する方法の詳細については、その製品のマ ニュアルを参照してください。 IDMPwdMgt.war ファイルの詳細については、316 ページのセクション 35.6「パスワードを忘れ た場合の管理の設定」および『ユーザアプリケーション : 管理ガイド』を参照してください。 識別情報アプリケーションのインストールのプラニング 253 使用するアプリケーションサーバによっては、識別情報アプリケーションのインストールプロ セスで setenv.sh ファイルの JRE マッピングの次のエントリが変更されます。 Tomcat: JAVA_OPTs または CATALINA_OPTS JBoss: JAVA_HOME または JRE_HOME Tomcat サーバでは、このプロセスで JAVA_HOME または JRE_HOME のエントリが変更される ことはありません。Tomcat の簡易インストーラはデフォルトで、setenv.sh ファイルを /opt/ netiq/idm/apps/tomcat/bin/ ディレクトリに配置します。同時に、このファイルの JRE の場所も設 定されます。 29.3.4 クラスタ環境で識別情報アプリケーションをインストールする 場合の前提条件 JBoss、Tomcat、および WebSphere クラスタがサポートする環境に識別情報アプリケーション用 のデータベースをインストールできますが、次の検討事項があります。 クラスタには、固有のクラスタパーティション名、マルチキャストアドレス、およびマルチ キャストポートが必要です。固有の識別子を使用して複数のクラスタを分離することによっ て、パフォーマンスの問題や異常な動作の発生を防ぎます。 クラスタの各メンバーで、識別情報アプリケーションのデータベースの待ち受けポートの ポート番号として同一の値を指定する必要があります。 クラスタの各メンバーで、識別情報アプリケーションのデータベースをホストするサーバ のホスト名または IP アドレスとして同一の値を指定する必要があります。 クラスタ内のサーバの時刻を同期化する必要があります。サーバの時刻が同期していない場 合、セッションタイムアウトが早期に発生し、HTTP セッションのフェールオーバーが正しく 機能しない可能性があります。 同一ホストでは、複数のブラウザタブまたは複数のブラウザセッションで複数のログインを使 用しないことをお勧めします。一部のブラウザはすべてのタブとプロセス間で cookie を共有し ます。そのため、複数のログインを行うと、(1 台のコンピュータを複数ユーザが共有すること で認証機能に予期しない動作が発生するおそれがあるだけでなく ) HTTP セッションのフェー ルオーバーの際に問題が発生する可能性があります。 ( 状況によって実行 ) JBoss クラスタの場合、同一のパーティション名とパーティション UDP グ ループを使用して、各サーバを起動します。クラスタ内の各サーバは、一意のエンジン ID を 使用する必要があります。また、JBoss クラスタのすべてのノードが同じデータベースインス タンスにアクセスする必要があります。JBoss のシステムプロパティの設定の詳細について は、267 ページのセクション 32.3「ユーザアプリケーションを実行するクラスタの準備」を参 照してください。 クラスタ環境で識別情報アプリケーションを設定する方法の詳細については、263 ページの第 32 章「識別情報アプリケーションを実行する環境の準備」および『ユーザアプリケーション : 管理 ガイド』の「Clustering」を参照してください。 254 NetIQ Identity Manager セットアップガイド 29.3.5 識別情報アプリケーションのデータベースをインストールする 場合の前提条件 このデータベースには、識別情報アプリケーションのデータと環境設定情報が格納されます。 データベースインスタンスをインストールする前に、次の前提条件をレビューします。 アプリケーションサーバでデータベースを使用するように設定するには、JDBC ドライバを作 成する必要があります。識別情報アプリケーションは標準の JDBC コールを使用してデータ ベースのアクセスや更新を行います。識別情報アプリケーションは、JNDI ツリーにバインド された JDBC データソースファイルを使用して、データベースへの接続を開きます。 データベースを参照するデータソースファイルが既存である必要があります。インストール環 境によっては、このファイルを次のように作成または設定する必要があります。 JBoss: ユーザアプリケーションのインストールプログラムによって、IDM-ds.xml という名 前のアプリケーションサーバデータソースファイルが作成されます。このファイルはデー タベースを参照しています。このファイルは deploy ディレクトリに配置されます。たと えば、server/IDMProv/deploy ディレクトリです。また、インストール時に指定されたデー タベースに対応する適切な JDBC ドライバが lib ディレクトリに配置されます。たとえば、 /server/IDMProv/lib ディレクトリです。 JBoss クラスタのノードはすべて、同じデータベースインスタンスにアクセスする必要が あります。ユーザアプリケーションインストールプログラムを使用する場合、データベー ス名、ホスト、およびポートの指定を要求するメッセージが表示されます。 WebSphere: インストールを実行する前に、手動でデータソースを設定する必要がありま す。詳細については、266 ページの 「WebSphere 上の識別情報アプリケーションのデー タベースを参照するデータソースの設定」を参照してください。 次の情報を手元に用意します。 データベースサーバのホストとポート。 作成するデータベースの名前。識別情報アプリケーションのデフォルトのデータベースは idmuserappdb です。 データベースのユーザ名およびパスワード。データベースのユーザ名は、管理者アカウン トを表すか、データベースサーバでテーブルを作成できる十分な許可を持っている必要が あります。ユーザアプリケーションのデフォルトの管理者は idmadmin です。 使用しているデータベース用にデータベースベンダーから提供されるドライバ .jar ファイ ル。NetIQ はサードパーティベンダーから提供されるドライバ JAR ファイルをサポートし ません。 データベースインスタンスは、ローカルコンピュータまたは接続されたサーバのどちらにも配 置できます。 データベース文字セットは Unicode エンコーディングを使用する必要があります。たとえば、 UTF-8 は Unicode エンコード方式を使用する文字セットですが、Latin1 は Unicode エンコード 方式を使用しません。文字セットの指定の詳細については、262 ページのセクション 31.3.1 「文字セットの設定」または 261 ページのセクション 31.1「Oracle データベースの設定」を参 照してください。 マイグレーション時に重複キーエラーが発生しないように、大文字と小文字を区別する照合を 使用します。重複キーエラーが発生した場合は、照合を確認して修正してから、識別情報アプ リケーションを再インストールします。 識別情報アプリケーションのインストールのプラニング 255 ( 状況によって実行 ) 1 つのデータベースを監査目的と識別情報アプリケーションの両方で使用 する場合、識別情報アプリケーションを実行するアプリケーションサーバをホストするサーバ とは別の専用サーバにデータベースをインストールすることをお勧めします。 ( 状況によって実行 ) 新しいバージョンの識別情報アプリケーションに移行する場合、移行前の インストールで使用していたデータベースと同じデータベースを使用する必要があります。 データベースクラスタリングは、個々のデータベースサーバの機能です。クラスタリングは本 製品の機能とは無関係なので、NetIQ はどのクラスタ化データベース設定についても公式なテ ストを実行していません。したがって、次の警告付きで、クラスタ化データベースサーバをサ ポートします。 クラスタ化データベースサーバの一部の機能または側面を無効にする必要がある場合があ ります。たとえば、トランザクションレプリケーションは、重複キーを挿入しようとした ときに制約違反になるので、特定のテーブルでは無効にする必要があります。 クラスタ化データベースサーバのインストール、設定、または最適化について、クラスタ 化データベースサーバへの弊社製品のインストールも含めて、支援を提供することはあり ません。 クラスタ化データベース環境で弊社製品を使用する際に問題が発生した場合は、その解決 に向けて最善の努力を尽くします。複雑な環境におけるトラブルシューティング方法の多 くは、問題を解決するために連携作業を必要とします。NetIQ は、自社製品の分析、プラ ニング、およびトラブルシューティングを実行するための専門知識を提供します。他の サードパーティ製品の分析、プラニング、およびトラブルシューティングを実行するため の専門知識は、お客様から提供していただく必要があります。NetIQ 製品の問題とクラス タ設定の潜在的な問題を切り分けるために、お客様には問題の再現または非クラスタ化環 境におけるコンポーネントの動作の分析をお願いします。 29.4 識別情報アプリケーションのシステム要件 このセクションでは、識別情報アプリケーションをホストするサーバを設定する際に適用する要件 について説明します。これらの要件は、PostgreSQL、Tomcat、OSP、および SSPR のインストー ルにも適用されます。 カテゴリ 要件 プロセッサ 1GHz( 最小 ) ディスク容量 データ用に 1GB データベースやアプリケーションサーバのログなど、サポートするアプリ ケーションのコンテンツを格納できる十分な容量 メモリ 512MB(1GB 推奨 ) オペレーティングシス テム 次のいずれかの 64 ビットオペレーティングシステム ( 最小 ) Open Enterprise Server 11 SP2 Red Hat Enterprise 6.5 SUSE Linux Enterprise Server 11 SP3 Windows Server 2012 R2 注 : 製造元が提供する自動更新機能を使用して、最新のオペレーティングシステ ムパッチを適用することをお勧めします。 256 NetIQ Identity Manager セットアップガイド カテゴリ 要件 仮想化システム 次の仮想化プラットフォームのいずれか : Hyper-V Server 2012 R2 VMWare ESX 5.5 重要 : NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ ポートするエンタープライズクラスの仮想化システムで Identity Manager をサ ポートします。仮想化システムのベンダーが該当のオペレーティングシステムを 正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。 データベース Microsoft SQL Server 2014 Oracle 12c PostgreSQL 9.3.4( 最小 ) アプリケーションサー バ 次のいずれか ( 最小 ): Apache Tomcat 7.0.55 IBM WebSphere 8.5.5.3 JBoss Enterprise Application Platform (EAP) 5.2 Java JBoss and Tomcat: Sun (Oracle) が提供する JDK(Java Development Kit) または JRE(Java Runtime Environment) のバージョン 1.7.0_65 以降 WebSphere: IBM Java 1.7 for WebSphere 8.5.5.3 ポート 8180 Web ブラウザ デスクトップコンピュータ ( 最小 ): Windows 用 Apple Safari 5.1.7 Safari 7.0.1 Google Chrome 37 Microsoft Internet Explorer 11 Mozilla Firefox 32 iPad( 最小 ): Apple Safari 7 Google Chrome 37 注 : 識別情報アプリケーションにアクセスするには、ブラウザで Cookie が有効 になっている必要があります。Cookie が無効な場合、この製品は動作しません。 OpenXDAS 0.8.345 注 : ( 状況によって実行 ) SLES 10 を実行しているサーバでは、次のバージョンが 必要です。 openxdas-0.8.351-1.1.i586.rpm openxdas-0.8.351-1.1.x86_64.rpm 識別情報アプリケーションのインストールのプラニング 257 258 カテゴリ 要件 Domain Services for Windows(Windows 対 応ドメインサービス) OES 2 SP1 ( オプション ) パスワー ド管理の秘密の質問の 答え NMAS Challenge Response Login Method バージョン : 2770 ビルド : 20080603( 最小 ) NetIQ Identity Manager セットアップガイド 30 識別情報アプリケーションで使用する識別 ボールトの準備 30 このセクションでは、識別情報アプリケーションをインストールする準備について説明します。識 別情報アプリケーションは、Roles Based Provisioning Module(RBPM) という名前のフレームワー ク上で動作します。Identity Manager エンジンをインストールすると、インストールプロセスが自 動的に netiq-DXMLuad-4.5.0-0.noarch RPM と netiq-DXMLrrsd-4.5.0-0.noarc RPM をインストールしま す。これらはユーザアプリケーションドライバおよび役割とリソースドライバをインストールし、 RBPM とやりとりする eDirectory スキーマを拡張します。 インストールファイルは、Identity Manager インストールパッケージの .iso イメージファイル内の products/RBPM/user_app_install ディレクトリにあります。 259 ページのセクション 30.1「ユーザアプリケーションスキーマをログアプリケーションとし て Audit サーバに追加する」 260 ページのセクション 30.2「ユーザアプリケーション管理者アカウントの作成」 30.1 ユーザアプリケーションスキーマをログアプリケー ションとして Audit サーバに追加する Audit サーバがログアプリケーションとしてユーザアプリケーションを使用する場合、dirxml.lsc ファ イルを Audit サーバにコピーする必要があります。このセクションは、Novell Identity Audit にのみ 適用されます。 1 dirxml.lsc ファイルを見つけます。 このファイルは、Identity Manager ユーザアプリケーションインストールディレクトリにあり ます。たとえば、/opt/netiq/idm/apps/UserApplication ディレクトリです。 2 Web ブラウザを使って、Novell Identity Audit プラグインがインストールされた iManager にア クセスし、管理者としてログインします。 3 [Roles and Tasks ( 役割とタスク )]>[Auditing and Logging ( 監査とログ )]の順に移動し、 [Logging Server Options ( ログサーバオプション )]を選択します。 4 ツリー内の[Logging Services container ( ログサービスコンテナ )]を参照して適切な[Audit Secure Logging Server ( 監査セキュアログサーバ )]を選択し、[OK]をクリックします。 5 [Log Applications ( ログアプリケーション )]タブで、適切なコンテナ名を選択して[New Log Application ( 新規ログアプリケーション )]リンクをクリックします。 6 [New Log Application ( 新規ログアプリケーション )]ダイアログボックスで次の手順を実行し ます。 6a [Log Application Name ( ログアプリケーション名 )]では現在の環境で有効な名前を指定 します。 6b [Import LSC File (LSC ファイルのインポート )]で dirxml.lsc ファイルを参照します。 6c [OK]をクリックします。 識別情報アプリケーションで使用する識別ボールトの準備 259 7 [OK]をクリックして Audit サーバの設定を完了します。 8 ログアプリケーションのステータスが[ON ( オン )]に設定されている ( ステータスの下の円 が緑色である ) ことを確認します。 9 Audit サーバを再起動して、新しいログアプリケーション設定をアクティブ化します。 30.2 ユーザアプリケーション管理者アカウントの作成 Roles Based Provisioning Module を正常にインストールするには、eDirectory 識別ボールトにユー ザアプリケーション管理者アカウントを手動で作成する必要があります。ユーザアプリケーション 管理者アカウントは、最上位コンテナのトラスティである必要があり、そのコンテナに対するスー パバイザ権を持つ必要があります。 ユーザアプリケーション管理者アカウントを作成したら、この新しいユーザアカウントにパスワー ドポリシーを割り当てる必要があります。詳細については、『Password Management Administration Guide』の「Creating Password Policies」を参照してください。 Identity Manager の統合インストーラは、デフォルトのユーザアプリケーション管理アカウントを cn=uaadmin.ou=sa.=data のように作成します。Designer は、フィールドにこのアカウント名を事前 入力します。スタンドアロンインストールプログラムを使用する場合、同じアカウント名を作成す ることも、別のアカウント名を使用することもできます。 260 NetIQ Identity Manager セットアップガイド 31 識別情報アプリケーションのデータベース の設定 31 識別情報アプリケーションのデータベースは、設定データの保存やワークフローアクティビティの データの保存などのタスクをサポートします。アプリケーションをインストールする前に、データ ベースがインストールされ、設定されている必要があります。サポートされるデータベースの詳細 については、256 ページのセクション 29.4「識別情報アプリケーションのシステム要件」を参照し てください。ユーザアプリケーションデータベースの検討事項の詳細については、255 ページのセ クション 29.3.5「識別情報アプリケーションのデータベースをインストールする場合の前提条件」 を参照してください。 注 : 新しいバージョンの RBPM と識別情報アプリケーションに移行する場合、前のインストールで 使用していたデータベースと同じデータベースを使用する必要があります。前のインストールとは、 移行元のインストールのことです。 261 ページのセクション 31.1「Oracle データベースの設定」 262 ページのセクション 31.2「PostgreSQL データベースの設定」 262 ページのセクション 31.3「SQL Server データベースの設定」 31.1 Oracle データベースの設定 このセクションでは、ユーザアプリケーションで Oracle データベースを使用する場合の設定オプ ションについて説明します。サポートされる Oracle のバージョンについては、256 ページのセク ション 29.4「識別情報アプリケーションのシステム要件」を参照してください。 31.1.1 文字セットの設定 ユーザアプリケーションデータベースは、Unicode エンコーディング文字セットを使用する必要が あります。データベースを作成する際に AL32UTF8 を使用してこの文字セットを指定します。 Oracle 12c データベースに UTF-8 が設定されていることを確認するには、次のコマンドを実行しま す。 select * from nls_database_parameters; データベースに UTF-8 が設定されていない場合、次の情報が表示されます。 NLS_CHARACTERSET WE8MSWIN1252 設定されている場合、データベースに UTF-8 が設定されていることを示す次の情報が表示されま す。 NLS_CHARACTERSET AL32UTF8 識別情報アプリケーションのデータベースの設定 261 文字セットの設定の詳細については、「Choosing an Oracle Database Character Set」を参照してく ださい。 31.1.2 管理者ユーザアカウントの設定 ユーザアプリケーションを使用するには、Oracle データベースユーザアカウントが特定の特権を持 つ必要があります。SQL Plus ユーティリティで、次のコマンドを入力します。 CREATE USER idmuser IDENTIFIED BY password GRANT CONNECT, RESOURCE to idmuser ALTER USER idmuser quota 100M on USERS; ここで、idmuser はユーザアカウントを表します。 31.2 PostgreSQL データベースの設定 ユーザの便宜を図るために、PostgreSQL のインストールプログラムが提供されています。このプ ログラムは、Identity Manager 内のフレームワークのサービスとアプリケーションを完全にサポー トします。インストールプログラムの指示に従って設定プロセスを実行します。詳細については、 227 ページの第 26 章「PostgreSQL と Tomcat のインストール」を参照してください。 31.3 SQL Server データベースの設定 このセクションでは、ユーザアプリケーションで SQL Server データベースを使用する場合の設定 オプションについて説明します。サポートされる SQL Server のバージョンについては、256 ペー ジのセクション 29.4「識別情報アプリケーションのシステム要件」を参照してください。 31.3.1 文字セットの設定 SQL Server では、ユーザはデータベースの文字セットを指定できません。ユーザアプリケーション は SQL Server の文字データを NCHAR カラムタイプ (UTF-8 をサポート ) で保存します。 31.3.2 管理者ユーザアカウントの設定 Microsoft SQL Server をインストールした後、SQL Server Management Studio などのアプリケー ションを使用してデータベースとデータベースユーザを作成します。データベースユーザアカウン トは、次の特権を持つ必要があります。 CREATE TABLE DELETE INSERT SELECT UPDATE 262 NetIQ Identity Manager セットアップガイド 32 識別情報アプリケーションを実行する環境 の準備 32 識別情報アプリケーションをクラスタ内で実行すると、可用性が高くなるという利点があります。 また、識別情報アプリケーションは HTTP のセッションレプリケーションとセッションフェール オーバーをサポートします。つまり、ノードでセッション処理中にノードにエラーが発生した場合、 誰も介入しなくても、そのセッションは同じクラスタ内の別のサーバ上で再開されます。 このセクションでは、識別情報アプリケーションと連携して動作するように、クラスタ環境などの 環境を準備する方法について説明します。この章で示す手順は、次のいずれかのセクションで示す 手順と併せて実行する必要があります。 272 ページのセクション 33.2「ガイドによる識別情報アプリケーションインストールプロセス」 280 ページのセクション 33.3「識別情報アプリケーションのサイレントインストール」 クラスタ環境の要件の詳細については、254 ページのセクション 29.3.4「クラスタ環境で識別情報 アプリケーションをインストールする場合の前提条件」と 256 ページのセクション 29.4「識別情報 アプリケーションのシステム要件」を参照してください。 263 ページのセクション 32.1「パーミッションインデックスの場所の指定」 264 ページのセクション 32.2「識別情報アプリケーションを実行するアプリケーションサーバ の準備」 267 ページのセクション 32.3「ユーザアプリケーションを実行するクラスタの準備」 32.1 パーミッションインデックスの場所の指定 識別情報アプリケーションをインストールすると、アプリケーションサーバのパーミッションイン デックスが作成されます。インデックスの場所を指定しない場合、一時ディレクトリにフォルダが 作成されます。次に例を示します。 JBoss: /tmp/permindex Tomcat: /opt/netiq/idm/apps/tomcat/temp/permindex WebSphere: /tmp/permindex 通常は、テスト環境では場所は問題になりません。ただし、運用環境またはステージング環境では、 一時ディレクトリにパーミッションインデックスを配置することが好ましくない場合があります。 インデックスの場所を指定するには 1 アプリケーションサーバを停止します。 2 テキストエディタで ism-configuration.properties ファイルを開きます。 3 ファイルの末尾に、次のテキストを追加します。 com.netiq.idm.cis.indexdir = path/permindex 例: com.netiq.idm.cis.indexdir = /opt/netiq/idm/apps/permindex 識別情報アプリケーションを実行する環境の準備 263 4 ファイルを保存して閉じます。 5 一時ディレクトリの既存の permindex フォルダを削除します。 6 アプリケーションサーバを起動します。 32.2 識別情報アプリケーションを実行するアプリケー ションサーバの準備 識別情報アプリケーションを実行するアプリケーションサーバを準備する必要があります。ユーザ の便宜を図るために、インストールキットで Apache Tomcat が提供されています。クラスタ環境で アプリケーションを使用する方法の詳細については、267 ページのセクション 32.3「ユーザアプリ ケーションを実行するクラスタの準備」も参照してください。 32.2.1 JBoss 環境の準備 JBoss アプリケーションサーバに識別情報アプリケーションをインストールする前に、次のアク ションと検討事項についてレビューします。 JBoss が実行されていないことを確認します。Linux では、JBoss はデフォルトでシステムリ ブート時にサービスとして起動されるので、このサービスを停止する必要があります。JBoss を停止するには、/etc/init.d/jboss_init start/stop スクリプトを使用します。JavaServiceWrapper を 使用して、Windows のサービスまたは Linux/UNIX のデーモンプロセスである JBoss アプリ ケーションサーバを停止することもできます。 JBoss からの指示の詳細については、http://www.jboss.org/community/wiki/ RunJBossAsAServiceOnWindows を参照してください。このようなラッパーの 1 つが http:// wrapper.tanukisoftware.org/doc/english/integrate-simple-win.html にあります。その管理には JMX (http://wrapper.tanukisoftware.org/doc/english/jmx.html#jboss) を使用します。 JBoss には、すぐに利用できる 3 種類のサーバ環境設定 minimal、default、および all が用意され ています。クラスタリングを有効化できるのは all 設定のみです。/deploy フォルダにある cluster-service.xml ファイルには、デフォルトのクラスタパーティションの設定が記述されてい ます。識別情報アプリケーションをインストールする場合、インストールプログラムにクラス タへのインストールを指示すると、all 設定のコピーがデフォルト名 IDM で作成され、この設 定に従って識別情報アプリケーションがインストールされます。 JBoss クラスタに識別情報アプリケーションをインストールする方法の詳細については、次の セクションを参照してください。 267 ページのセクション 32.3.1「JBoss 環境と WebSphere 環境のクラスタグループの理解」 267 ページのセクション 32.3「ユーザアプリケーションを実行するクラスタの準備」 32.2.2 Tomcat 環境の準備 このセクションでは、Tomcat 上で識別情報アプリケーションを実行する環境を準備する方法につい て説明します。Identity Manager インストール用の .iso には、Tomcat( およびオプションで PostgreSQL) のインストールプログラムが含まれています。詳細については、227 ページの第 264 NetIQ Identity Manager セットアップガイド 26 章「PostgreSQL と Tomcat のインストール」を参照してください。 ユーザの便宜を図るためにインストールパッケージで提供されるインストーラのかわりに、ユーザ が独自に入手した Tomcat インストールプログラムを使用できます。ただし、別のインストールプ ログラムを使用する場合、Tomcat が識別情報アプリケーションと連携して正常に動作するために追 加手順を実行する必要があります。 インストールプロセスを開始する前に、インストールするコンポーネントのバージョンが識別情報 アプリケーションのバージョンでサポートされていることを確認します。詳細については、 250 ページのセクション 29.3「識別情報アプリケーションのインストールの前提条件と検討事項」 を参照してください。 1 サーバにサービスとして Apache Tomcat をインストールします。 詳細については、「Tomcat Setup (http://tomcat.apache.org/tomcat-7.0-doc/setup.html)」を参照 してください。 2 Tomcat をインストールしたサーバに次のコンポーネントをインストールします。 Java Runtime Environment (JRE): 詳細については、『Java Platform Installation Guide (https://docs.oracle.com/javase/8/docs/technotes/guides/install/install_overview.html)』を 参照してください。 Apache ActiveMQ: 詳細については、(http://activemq.apache.org/getting-started.html) を 参照してください。 PostgreSQL: 詳細については、「PostgreSQL Manuals (http://www.postgresql.org/docs/ manuals/)」を参照してください。 3 ActiveMQ 用に activemq-all-5.9.0.jar ファイルを TOMCAT_INSTALLED_HOME/lib フォルダにコ ピーします。 4 ログ記録用に次のファイルを TOMCAT_INSTALLED_HOME/lib フォルダにコピーします。 log4j.jar log4j.properties tomcat-juli-adapters.jar 5 setenv.bat (Windows) ファイルまたは setenv.sh (Linux) ファイルで次のプロパティを設定しま す。 JAVA_HOME JRE_HOME PATH (set Java path) JAVA_OPTS="-Zms1024m -Xmx1024m -XX:MaxPermSize=512m" 6 novlua という名前でユーザを作成し、novlua という名前でグループを作成します。 これにより、Tomcat を non-root ユーザとして実行できます。詳細については、『A Guide To Apache Tomcat Linux Installation and Set-Up (http://www.mulesoft.com/tcat/tomcat-linux)』を参 照してください。 7 novlua ユーザと novlua グループを Tomcat のファイルの所有者にします。 8 postgresql-9.3-1101.jdbc41.jar ファイルを TOMCAT/HOME/lib フォルダにコピーします。 Tomcat と識別情報アプリケーションをインストールした後で、Tomcat を調整して動作効率を高め ることができます。詳細については、295 ページのセクション 33.5「Tomcat のインストール後の 手順」を参照してください。 識別情報アプリケーションを実行する環境の準備 265 32.2.3 WebSphere 環境の準備 このセクションでは WebSphere 上で識別情報アプリケーションを実行する環境を準備する方法に ついて説明します。 266 ページの 「WebSphere 上の識別情報アプリケーションのデータベースを参照するデータ ソースの設定」 267 ページの 「IBM JDK への無制限ポリシーファイルの適用」 267 ページの 「WebSphere クラスタの設定」 WebSphere 上の識別情報アプリケーションのデータベースを参照する データソースの設定 識別情報アプリケーションのインストールプロセスでは、使用するデータベースを参照する既存の データソースファイルが必要です。WebSphere 環境の場合、手動で JDBC プロバイダとデータ ソースファイルを作成する必要があります。 1 Integrated Solutions Console を開きます。ここで、WebSphere Application Server (WAS) を設 定および管理できます。デフォルトでは http://host_name:9060/ibm/console です。 2 コンソールの左側ペインで、 [リソース]>[JDBC]を展開します。 3 JDBC プロバイダを作成するには、次の手順を実行します。 3a [JDBC プロバイダー]をクリックします。 3b コンテンツペインで[有効範囲]を展開します。 3c [ノード =yourservername, サーバー =server1]を選択します。 3d [新規作成]をクリックします。 3e [データベース・タイプ]では使用するデータベースのタイプを指定します。たとえば、 「Oracle」を指定します。 3f [次へ]をクリックします。 3g JDBC プロバイダのクラスパスを指定します。 3h [次へ]をクリックします。 3i [完了]をクリックします。 3j [保存]をクリックしてマスタ環境設定に直接変更を保存します。 4 データソースファイルを作成するには、次の手順を実行します。 4a 左側ペインで[JDBC]の下にある[データ・ソース]をクリックします。 4b コンテンツペインで[有効範囲]を展開します。 4c [ノード =yourservername, サーバー =server1]を選択します。 4d [新規]をクリックします。 4e データソースファイルの名前と JNDI を指定します。たとえば、両方のフィールドに 「IDMUADatasource」と入力します。 4f [次へ]をクリックします。 4g [既存 JDBC プロバイダを選択]をクリックします。 4h ステップ 3 で作成した JDBC プロバイダを選択します。 4i [次へ]をクリックします。 266 NetIQ Identity Manager セットアップガイド 4j データベースの名前、サーバ名、ポート、ユーザ名、およびパスワードを指定します。 4k [次へ]をクリックします。 4l ( オプション ) セキュリティ別名の情報を指定します。 4m [次へ]をクリックします。 4n [完了]をクリックします。 4o [保存]をクリックします。 4p [データ・ソース]ペインで、新しく作成したデータソースファイルの左にあるボックス をクリックします。 4q 設定を検証するには、 [テスト接続]をクリックします。 IBM JDK への無制限ポリシーファイルの適用 WebSphere 環境で識別情報アプリケーションを実行するには、サポートされている IBM JDK に無 制限ポリシーファイルを適用する必要があります。適用しない場合、識別情報アプリケーションが 「Illegal key size」というエラーを出力します。 これらのファイルを適用する方法については、IBM と WebSphere のマニュアルを参照してくださ い。正しい JDK バージョンを使用していることを確認します。また、無制限ポリシーファイルの JAR ファイルを JAVA_HOME\jre\lib\security ディレクトリに配置します。 WebSphere クラスタの設定 WebSphere クラスタに識別情報アプリケーションをインストールする方法の詳細については、次の セクションを参照してください。 267 ページのセクション 32.3.1「JBoss 環境と WebSphere 環境のクラスタグループの理解」 267 ページのセクション 32.3「ユーザアプリケーションを実行するクラスタの準備」 32.3 ユーザアプリケーションを実行するクラスタの準備 JBoss クラスタまたは WebSphere クラスタに識別情報アプリケーションをインストールする前に、 環境を準備する必要があります。 267 ページのセクション 32.3.1「JBoss 環境と WebSphere 環境のクラスタグループの理解」 268 ページのセクション 32.3.2「ワークフローエンジン ID のシステムプロパティの設定」 269 ページのセクション 32.3.3「クラスタ内の各ユーザアプリケーションでの同じマスタキー の使用」 32.3.1 JBoss 環境と WebSphere 環境のクラスタグループの理解 JGroups 通信モジュールは、共通の名前、マルチキャストアドレス、およびマルチキャストポート を共有するグループ間の通信を提供します。JGroups は JBoss と一緒にインストールされますが、 JBoss がなくても使用できます。ユーザアプリケーションの識別情報アプリケーション WAR ファ イルには、クラスタ環境でキャッシュをサポートする JGroups モジュールが用意されています。 JBoss は JGroups 通信モジュールを使用して、JBoss クラスタを実装します。JBoss は、使用する JBoss のバージョンによって異なる JGroups とセッションレプリケーションの設定を定義します。 識別情報アプリケーションを実行する環境の準備 267 識別情報アプリケーションは、JBoss クラスタと WebSphere クラスタのクラスタ化環境で識別情 報アプリケーションのキャッシュを調整するためだけに別のクラスタグループを使用します。ユー ザアプリケーションクラスタグループは、2 つの JBoss クラスタグループとは独立しており、デー タのやり取りなどは行われません。ユーザアプリケーションクラスタグループと 2 つの JBoss グ ループは、異なるグループ名、マルチキャストアドレス、およびマルチキャストポートをデフォル トで使用するため、設定し直す必要はありません。次の表に、ユーザアプリケーションクラスタグ ループのデフォルト設定を示します。 リンクは、 デフォルト値 名前 c373e901aba5e8ee9966444553544200 マルチキャストアドレス 228.8.8.8 ポート 45654 ユーザアプリケーションクラスタグループは UUID 名を使用して、ユーザがサーバに追加する他の クラスタグループと競合するリスクを最小限に抑えます。ユーザアプリケーション管理機能を使用 して、ユーザアプリケーションクラスタグループの環境設定を変更できます。クラスタ設定の変更 がサーバノードで有効になるのは、そのノードを再起動した場合のみです。 クラスタ環境にインストールする場合の前提条件の詳細については、250 ページのセクション 29.3 「識別情報アプリケーションのインストールの前提条件と検討事項」を参照してください。 32.3.2 ワークフローエンジン ID のシステムプロパティの設定 クラスタ内で識別情報アプリケーションをホストする各サーバでは、ワークフローエンジンを実行 できますクラスタとワークフローエンジンのパフォーマンスを保証するために、クラスタ内のすべ てのサーバが同じパーティション名とパーティション UDP グループを使用する必要があります。 また、クラスタ内の各サーバを起動する際に一意のワークフローエンジン ID を指定する必要があり ます。なぜなら、ワークフローエンジンのクラスタリングは、識別情報アプリケーションのキャッ シュフレームワークとは独立して動作するからです。 ワークフローエンジンが適切に動作することを保証するには、アプリケーションサーバのシステム プロパティを設定する必要があります。 268 ページの 「JBoss のシステムプロパティの設定」 269 ページの 「WebSphere のシステムプロパティの設定」 JBoss のシステムプロパティの設定 1 JBoss 起動スクリプトを開きます。このスクリプトは、デフォルトでは、識別情報アプリケー ションのファイルをダウンロードしたディレクトリにあります。 Linux: start-jboss.sh Windows の場合 : start-jboss.bat 2 このスクリプトに次のテキストを追加します。 start run.bat -c IDM -Djboss.partition.name=PartitionNameDjboss.partition.udpGroup=UDP_Group -Dcom.novell.afw.wf.engine-id=Engine_ID ここで PartitionName はパーティションの名前 ( 例 :Example_Partition) を表します。 268 NetIQ Identity Manager セットアップガイド UDP_Group はパーティションのユーザデータグラムプロトコル (UDP) グループ ( 例 :228.3.2.1) を表します。 Engine_ID は一意のワークフローエンジン ID( 例 :Engine1) を表します。 3 設定スクリプトを閉じて保存します。 4 クラスタ内の識別情報アプリケーションサーバごとに、これらの手順を繰り返します。 WebSphere のシステムプロパティの設定 1 クラスタ内の識別情報アプリケーションサーバごとに、新しい JVM システムプロパティを作 成します。 2 このシステムプロパティに com.novell.afw.wf.engine-id という名前を付けます。ここで、engine- id は一意な値です。 32.3.3 クラスタ内の各ユーザアプリケーションでの同じマスタキーの 使用 識別情報アプリケーションは、マスタキーを使用して機密データを暗号化します。クラスタ内のす べての識別情報アプリケーションが同じマスタキーを使用する必要があります。このセクションで は、クラスタ内のすべての識別情報アプリケーションが同じマスタキーを使用することを保証する 方法について説明します。 マスタキーの作成の詳細については、273 ページのステップ 7 の「セキュリティ - マスタキー」を 参照してください。識別情報アプリケーションで機密データを暗号化する方法の詳細については、 『ユーザアプリケーション : 管理ガイド』の「Encryption of Sensitive User Application Data」を参照 してください。 1 クラスタ内の 1 番目のノードにユーザアプリケーションをインストールします。 2 インストールプログラムの[セキュリティ - マスタキー]ウィンドウで、識別情報アプリケー ションの新しいマスタキーが格納される master-key.txt ファイルの場所を書き留めます。デフォ ルトでは、このファイルはインストールディレクトリにあります。 3 クラスタ内の他のノードに識別情報アプリケーションをインストールします。 4 [セキュリティ - マスタキー]ウィンドウで[はい]をクリックして、 [次へ]をクリックしま す。 5 [マスタキーのインポート]ウィンドウで、269 ページのステップ 2 で作成したテキストファ イルからマスタキーをコピーします。 識別情報アプリケーションを実行する環境の準備 269 270 NetIQ Identity Manager セットアップガイド 33 3 識別情報アプリケーションのインストール この章では、ユーザアプリケーションと RBPM をインストールして、これらを使用できるようにア プリケーションサーバを設定する方法について説明します。アプリケーションサーバに合わせて正 しいバージョンの Java 環境を設定する必要があります。 アプリケーションサーバと Java の要件の詳細については、256 ページのセクション 29.4「識別情 報アプリケーションのシステム要件」を参照してください。 271 ページのセクション 33.1「識別情報アプリケーションのインストールのチェックリスト」 272 ページのセクション 33.2「ガイドによる識別情報アプリケーションインストールプロセス」 280 ページのセクション 33.3「識別情報アプリケーションのサイレントインストール」 291 ページのセクション 33.4「JBoss のインストール後の手順」 295 ページのセクション 33.5「Tomcat のインストール後の手順」 295 ページのセクション 33.6「WebSphere のインストール後の手順」 303 ページのセクション 33.7 「Identity Manager を SSPR と統合するための HTML フレーム化抑 制設定の無効化」 303 ページのセクション 33.8「識別情報アプリケーションの起動」 33.1 識別情報アプリケーションのインストールのチェッ クリスト 次のチェックリストに従って、識別情報アプリケーションをインストールするプロセスを実行しま す。 チェックリストの項目 1. ( 状況によって実行 ) クラスタ環境で JBoss または WebSphere に識別情報アプリケーショ ンをインストールする場合の検討事項をレビューします。詳細については、267 ページのセ クション 32.3.1「JBoss 環境と WebSphere 環境のクラスタグループの理解」を参照してく ださい。 2. サポートされているバージョンのアプリケーションサーバおよび Java 開発キットまたは Java ランタイム環境をインストールします。詳細については、256 ページのセクション 29.4「識別情報アプリケーションのシステム要件」を参照してください。 3. アプリケーションサーバが正しく設定されていることを確認します。詳細については、 264 ページのセクション 32.2「識別情報アプリケーションを実行するアプリケーションサー バの準備」を参照してください。 4. 使用するデータベースに合わせてデータソースファイルと JDBC ドライバを設定します。詳 細については、266 ページの 「WebSphere 上の識別情報アプリケーションのデータベース を参照するデータソースの設定」を参照してください。 識別情報アプリケーションのインストール 271 チェックリストの項目 5. 識別情報アプリケーションをインストールします。詳細については、次のいずれかのセク ションを参照してください。 272 ページのセクション 33.2「ガイドによる識別情報アプリケーションインストールプ ロセス」 280 ページのセクション 33.3「識別情報アプリケーションのサイレントインストール」 注 : サイレントインストールは Linux コンピュータでのみ実行できます。 6. 識別情報アプリケーション用にアプリケーションサーバを設定します。詳細については、次 のいずれかのセクションを参照してください。 291 ページのセクション 33.4「JBoss のインストール後の手順」 295 ページのセクション 33.5「Tomcat のインストール後の手順」 295 ページのセクション 33.6「WebSphere のインストール後の手順」 33.2 7. 識別情報アプリケーションを展開して起動します。詳細については、303 ページの 「識別情 報アプリケーションの起動」を参照してください。 ガイドによる識別情報アプリケーションインストー ルプロセス 次の手順では、GUI フォーマットまたはコンソールのどちらかでインストールウィザードを使用し て識別情報アプリケーションをインストールする方法について説明します。無人のサイレントイン ストールを実行するには、280 ページのセクション 33.3「識別情報アプリケーションのサイレント インストール」を参照してください。 インストールを準備するには、271 ページのセクション 33.1「識別情報アプリケーションのインス トールのチェックリスト」の一覧に示すアクティビティをレビューします。リリースに付属するリ リースノートも参照してください。 注 インストールプログラムは、ウィザードの各ウィンドウでユーザが入力した値を保存しませ ん。[前へ]をクリックして 1 つ前のウィンドウに戻った場合、設定値を再入力する必要があ ります。 インストールプログラムは、novlua ユーザアカウントを作成し、アプリケーションサーバファ イルで許可をこのユーザに設定します。たとえば、idmapps_tomcat_init スクリプトはこのユー ザアカウントを使用して Tomcat を実行します。 WebSphere でホームとダッシュボードの WAR を展開する場合 [サーバーへのモジュールのマップ]オプションでは、両方の WAR の uadash のモジュール 値が表示されます。URI 値は展開する WAR と一致する必要があります。 [Web モジュールのコンテキスト・ルートのマップ]オプションでは、両方の WAR の uadash のモジュール値が表示されます。URI 値は展開する WAR と一致する必要がありま す。 272 NetIQ Identity Manager セットアップガイド .war ファイルの名前と一致するコンテキスト値を持つ WAR を展開します。dash.war の場合 はコンテキスト値として dash を指定し、landing.war の場合はコンテキスト値として landing を指定します。 WAR ファイルがユーザアプリケーション (IDMProv.war) と同じ WebSphere ノードに展開さ れていることを確認します。 WebSphere で Catalog Administrator (rra.war) を展開する場合、[Web モジュールのコンテキス ト・ルートのマップ]でコンテキスト値として「rra」を指定します。rra.war がユーザアプリ ケーション (IDMProv.war) と同じ WebSphere ノードに展開されていることを確認します。 ガイドによるインストールプロセスを実行するには 1 識別情報アプリケーションをインストールするコンピュータに root または管理者ユーザとして ログインします。 2 ( 状況によって実行 ) WebSphere 環境にインストールするには、無制限ポリシーファイルをサ ポートされている IBM JDK に適用します。 詳細については、IBM マニュアルに記載されているこれらのファイルへのリンクおよびこれら のファイルを適用する方法を参照してください。無制限ポリシーファイルの JAR ファイルは、 JAVA_HOME\jre\lib\security ディレクトリに配置する必要があります。 これらの制限なしポリシーファイルがないと、無効なキーサイズというエラーが発生します。 この問題の根本原因は制限なしポリシーファイル欠如です。したがって必ず正しい IBM JDK を使用してください。 3 Tomcat などのアプリケーションサーバを停止します。 4 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合、そのインストールファイルが置かれているディレクトリ ( デフォルトでは products/ RBPM/user_app_install ディレクトリ ) に移動します。 5 ( 状況によって実行 ) インストールファイルをダウンロードした場合、次の手順を実行します。 5a ダウンロードしたイメージの .tgz ファイルまたは win.zip ファイルのある場所に移動しま す。 5b このファイルの内容をローカルコンピュータ上のディレクトリに抽出します。 6 インストールファイルが保存されているディレクトリから、次のいずれかの操作を実行しま す。 Linux ( コンソール ): 「./IdmUserApp.bin -i console Linux (GUI): 「./IdmUserApp.bin Windows: IdmUserApp.exe を実行する 7 次のパラメータを使用してガイドによるプロセスを完了します。 アプリケーションサーバプラットフォーム 識別情報アプリケーションを実行するアプリケーションサーバを表します。アプリケー ションサーバはすでにインストールされている必要があります。 ユーザの便宜を図るために、Tomcat が提供されています。 インストールフォルダ インストールプログラムがアプリケーションファイルを作成するディレクトリへのパスを 表します。 データベースプラットフォーム 識別情報アプリケーションのインストール 273 ユーザアプリケーションデータベースのプラットフォームを表します。データベースソフ トウェアはすでにインストールされている必要があります。ただし、インストール時に データベーススキーマを作成する必要はありません。 ユーザの便宜を図るために、PostgresSQL が提供されています。 データベースホストおよびポート ユーザアプリケーションデータベースをホストするサーバの設定を表します。 注 : クラスタ環境では、クラスタ内の各メンバーに同じデータベース設定を指定する必要 があります。 ホスト サーバの名または IP アドレスを指定します。 ポート サーバがユーザアプリケーションとの通信に使用するポートを指定します。 データベースのユーザ名およびパスワード ユーザアプリケーションデータベースを実行するための設定を表します。 注 このバージョンの Identity Manager をインストールする際にその一部として PostgresSQL をインストールしていた場合、データベースとデータベース管理者はイ ンストールプロセスによりすでに作成されています。デフォルトでは、インストール されるデータベースは idmuserappdb、データベースユーザは idmadmin です。 PostgreSQL のインストールで使用した値と同じ値を指定します。 クラスタ環境では、クラスタ内の各メンバーに同じデータベース名、ユーザ名、およ びパスワードを指定する必要があります。 データベース名または SID データベースプラットフォームに従ってデータベースの名前を指定します。デフォル トでは、データベース名は idmuserappdb です。 PostgreSQL または SQL Server のデータベースの場合は名前を指定します。 Oracle データベースの場合は、データベースインスタンスに付けられているセ キュリティ識別子 (SID) を指定します データベースユーザ名 ユーザアプリケーションによるデータベースデータのアクセスと変更を許可するアカ ウント名を指定します。 データベースパスワード 指定したユーザ名のパスワードを指定します。 データベースドライバ JAR ファイル データベースプラットフォームの JAR ファイルを指定します。 ドライバ JAR ファイルは、データベースベンダーにより提供され、データベース サーバのシンクライアント JAR を表します。たとえば、PostgreSQL の場合は postgresql-9.3-1101.jdbc41.jar を指定します。このファイルはデフォルトでは opt\netiq\idm\apps\Postgres フォルダにあります。 NetIQ はサードパーティベンダーから提供されるドライバ JAR ファイルをサポート しません。 274 NetIQ Identity Manager セットアップガイド データベース管理者 オプション データベース管理者の名前とパスワードを表します。 このフィールドには、[データベースユーザ名]と[データベースパスワード]に指定し たユーザアカウントとパスワードが自動的に表示されます。このアカウントを使用する場 合は何も変更しません。 データベース管理者 ( オプション ) データベースのテーブル、ビュー、または他のアーティファクトを作 成できるデータベース管理者のアカウントを指定します。 パスワード ( オプション ) データベース管理者のパスワードを指定します。 データベーステーブルの作成 インストールプロセスの実行中または実行後に新規または既存のデータベースを設定する かどうかを指定します。 テーブルを今すぐ作成 インストールプログラムは、インストールプロセスの実行中にデータベーステーブル を作成します。 アプリケーションの開始時にテーブルを作成 インストールプログラムは、ユーザアプリケーションの初回実行時にテーブルを作成 する手順を残します。 SQL をファイルに書き込む データベース管理者がデータベースを作成するために実行できる SQL スクリプトを 生成します。このオプションを選択する場合、[スキーマファイル]に名前を指定す る必要もあります。この設定は、[SQL 出力ファイル]設定にあります。 現在の環境でデータベースを作成または変更する許可を持たない場合は、このオプ ションを選択できます。このファイルを使用してテーブルを作成する方法の詳細につ いては、311 ページのセクション 35.1「手動によるデータベーススキーマの作成」を 参照してください。 新しいデータベースまたは既存のデータベース インストールの実行中にテーブルを作成する場合または SQL ファイルに書き込む場合に のみ適用されます。 既存の空のデータベースを使用するのか、またはインストール中に新しいデータベースを 作成するのかを指定します。次の検討事項を使用します。 このバージョンの Identity Manager をインストールする際にその一部として PostgresSQL をインストールしていた場合、[既存のデータベース]を選択します。 PostgreSQL のインストールによりすでにデータベースとデータベース管理者は作成 されています。デフォルトでは、データベースは idmuserappdb、データベースユーザ は idmadmin です。 前のインストールの既存データベースを使用するには、データやテーブルが格納され ていない状態にする必要があります。データやテーブルが格納されていると、インス トールでエラーが発生します。 既存データベースが Oracle プラットフォームで実行されている場合、スキーマを更新 する前に Oracle を準備する必要があります。詳細については、487 ページのセク ション 54.6.1「SQL ファイルを実行する Oracle データベースの準備」を参照してく ださい。 識別情報アプリケーションのインストール 275 データベース接続のテスト 直接テーブルを作成するため、または .sql ファイルを作成するために、インストーラを データベースに接続するかどうかを指定します。. [次へ]をクリックするか、<Enter> を押すと、インストールプログラムは接続を試みま す。 注 : データベース接続に失敗しても、インストールは続行できます。ただし、インストー ル後に手動でテーブルを作成し、データベースに接続する必要があります。詳細について は、312 ページのセクション 35.1.2「データベーススキーマを生成する SQL ファイルの 手動による作成」を参照してください。 Java のインストール インストールプログラムを起動するために使用する JRE ファイルへのパスを表します。 たとえば、/root/opt/java/jre7 です。 Application_Server Configuration (Application_Server 設定 ) アプリケーションサーバのインストールファイルへのパスを表します。たとえば、/opt/ apache-tomcat-7.0.52 です。インストールプロセスはいくつかのファイルをこのフォルダに 追加します。 IDM 環境設定 URL やワークフローエンジンで使用する識別情報アプリケーションコンテキストの設定を 表します。 シングルノード ( デフォルト ) またはクラスタ ( すべて )? JBoss クラスタ内のノードにプロビジョニング WAR ファイルをインストールする場 合にのみ適用されます。 アプリケーションサーバの設定を指定します。たとえば、このインストールがクラス タ外のノード上にある場合は、[デフォルト]を選択します。 [all]を選択する場合、ワークフローエンジン ID を指定する必要があります。 アプリケーションコンテキスト アプリケーションサーバ設定、アプリケーション WAR ファイル、および URL コン テキストにおける名前を表す名前を指定します。 インストールスクリプトは、サーバ設定を作成した後、アプリケーションサーバのイ ンストール時に作成された名前に基づいてサーバ設定に名前を付けます。たとえば、 IDMProv です。 重要 : [Application Context]に指定した値を書き留めておくことをお勧めします。 このアプリケーション名は、ブラウザから識別情報アプリケーションを起動する際に URL で使用します。 ワークフローエンジン ID JBoss クラスタ内のノードにプロビジョニング WAR ファイルをインストールする場 合にのみ適用されます。 ワークフローエンジンの ID を指定します。 エンジン ID は 32 文字を越えることはできません。ワークフローエンジン ID の詳細 については、『ユーザアプリケーション : 管理ガイド』でクラスタリングのワークフ ローの設定に関するセクションを参照してください。 Audit によるログ記録のタイプを選択 276 NetIQ Identity Manager セットアップガイド ログイベントを Audit サーバに送信するかどうかを指定します。[はい]または[いいえ] を指定します。 Audit のログ [Audit によるログ記録のタイプを選択]に[はい]を指定した場合にのみ適用されます。 有効にするログ記録のタイプを指定します。 ログ記録の設定の詳細については、 『ユーザアプリケーション : 管理ガイド』を参照してく ださい。 Novell Identity Audit or NetIQ Sentinel (Novell Identity Audit または NetIQ Sentinel) ユーザアプリケーションの Novell クライアントまたは NetIQ クライアントを通じた ログ記録を有効にします。 注 : このオプションを選択する場合、クライアントサーバのホスト名または IP アド レスおよびログキャッシュへのパスも指定する必要があります。これらは、[Novell Identity Audit or NetIQ Sentinel (Novell Identity Audit または NetIQ Sentinel)]設 定セクションで設定します。 OpenXDAS ユーザアプリケーションがイベントを OpenXDAS ログサーバに送信できるようにし ます。 セキュリティ - マスタキー 既存のマスタキーをインポートするかどうかを指定します。ユーザアプリケーションは、 マスタキーを使用して暗号化データにアクセスします。[はい]または[いいえ]を指定 します。 次の状況では、マスタキーをインポートできます。 クラスタに識別情報アプリケーションの最初のインスタンスをインストールした後。 クラスタ内のユーザアプリケーションインスタンスはすべて、同じマスタキーを使用 する必要があります。詳細については、269 ページのセクション 32.3.3「クラスタ内 の各ユーザアプリケーションでの同じマスタキーの使用」を参照してください。 インストールをステージングシステムから運用システムに移行する際、ステージング システムで使用していたデータベースへのアクセスを維持する必要がある場合。 ユーザアプリケーションを復元する際、前のバージョンのユーザアプリケーションに よって格納されていた暗号化データにアクセスする必要がある場合。 はい 既存のマスタキーをインポートすることを指定します。 いいえ インストールプログラムでキーを作成することを指定します。 デフォルトでは、インストール手順で、インストールディレクトリにある masterkey.txt ファイルに暗号化マスタキーが書き込まれます。 マスタキーのインポート [セキュリティ - マスタキー]に[はい]を指定した場合にのみ適用されます。 使用するマスタキーを指定します。master-key.txt ファイルからマスタキーをコピーできま す。 Application server connection ( アプリケーションサーバ接続 ) 識別情報アプリケーションのインストール 277 アプリケーションサーバ上の識別情報アプリケーションに接続するために必要な URL の 設定を表します。たとえば、https:myserver.mycompany.com:8080 です。 注 : OSP がアプリケーションサーバの別のインスタンスで実行されている場合、 [Connect to an external authentication server ( 外部認証サーバへの接続 )]を選択して OSP サーバの値を指定する必要もあります。 プロトコル http または https のどちらを使用するのかを指定します。SSL (Secure Sockets Layer) を使用して通信する場合は https を指定します。 Host Name ( ホスト名 ) OSP をホストするサーバの DNS 名または IP アドレスを指定します。localhost は使用 しないでください。 ポート サーバがクライアントコンピュータとの通信に使用するポートを指定します。 Connect to an external authentication server ( 外部認証サーバへの接続 ) アプリケーションサーバの別のインスタンスで認証サーバ (OSP) をホストするかど うかを指定します。認証サーバには、SSPR にログイン可能なユーザのリストが保存 されています。 この設定を選択する場合、認証サーバの[Protocol ( プロトコル )]、[Host name ( ホスト名 )] 、および[ポート]も指定します。 Authentication server details ( 認証サーバの詳細 ) 識別情報アプリケーションが認証サーバに接続する際に使用するパスワードを指定しま す。クライアントシークレットとも呼ばれます。インストールプロセスでこのパスワード は作成されます。 8 ( 状況によって実行 ) インストール後に識別情報アプリケーションを設定するには、 [役割ベー スプロビジョニングモジュール環境設定]ウィンドウで[キャンセル]をクリックします。 注 : configureupdate.sh ファイルまたは configureupdate.bat ファイルの設定の多くは、ユーザアプ リケーションのインストール後に変更できます。これらの設定の値を指定する方法の詳細につ いては、323 ページの第 36 章「識別情報アプリケーションの設定の管理」を参照してくださ い。 278 NetIQ Identity Manager セットアップガイド 9 ( 状況によって実行 ) GUI インストールで識別情報アプリケーションを即時設定するには、 [IDM の設定]ウィンドウで次の手順を実行します。 9a [はい]をクリックしてから[次へ]をクリックします。 9b [役割ベースプロビジョニングモジュール環境設定]で[詳細オプションの表示]をク リックします。 9c 必要に応じて、設定を変更します。 注 値の指定の詳細については、323 ページの第 36 章「識別情報アプリケーションの設定 の管理」を参照してください。 運用環境では、すべての管理者の割り当てがライセンスによって制限されます。 NetIQ は、運用環境が契約内容に必ず準拠するように、監査データベース内に監視 データを収集します。また、セキュリティ管理者の許可は 1 ユーザにのみ付与するこ とをお勧めします。 9d [OK]をクリックします。 10 ( 状況によって実行 ) コンソールインストールで識別情報アプリケーションを即時設定するに は、次の手順を実行します。 10a コマンドラインから次の設定更新ユーティリティを起動します。 Linux: configupdate.sh Windows: configupdate.bat 10b ( オプション ) NMAS 証明書を作成するには、 [SSO クライアント]>[RBPM]の順に移 動し、 [RBPM から eDirectory SAML への設定]を[自動]に変更します。 10c 323 ページの第 36 章「識別情報アプリケーションの設定の管理」の説明に従って、他の 設定の値を指定します。 11 [次へ]をクリックします。 12 [インストール前の概要]ウィンドウで[Install ( インストール )]をクリックします。 13 ( オプション ) インストールログファイルをレビューします。基本インストールの結果について は、/opt/netiq/idm/apps/UserApplication/logs/ ディレクトリにある user_application_install_log.log ファイルを参照してください。 識別情報アプリケーション設定については、/opt/netiq/idm/apps/UserApplication/ ディレクトリに ある NetIQ-Custom-Install.log ファイルを参照してください。 14 ( オプション ) 外部パスワード管理 WAR を使用している場合は、この WAR を、インストール ディレクトリおよび外部パスワード WAR 機能を実行するリモートアプリケーションサーバ展 開ディレクトリに手動でコピーします。 15 ( 状況によって実行 ) JBoss Enterprise Application Platform (EAP) 上に識別情報アプリケーショ ンをインストールする場合は 291 ページの 「JBoss のインストール後の手順」に進みます。 16 ( 状況によって実行 ) WebSphere 環境では、ユーザアプリケーション用に新しい JVM システム プロパティを作成します。詳細については、296 ページのセクション 33.6.2「ユーザアプリ ケーション環境設定ファイルと JVM システムプロパティの追加」を参照してください。 17 311 ページの第 35 章「識別情報アプリケーションのインストールの完了」の説明に従って、 インストール後タスクに進みます。 識別情報アプリケーションのインストール 279 33.3 識別情報アプリケーションのサイレントインストー ル このセクションでは、識別情報アプリケーションのサイレントインストールを実行する方法につい て説明します。サイレントインストールは、インストール中に操作する必要がなく、特に複数の サーバにインストールする場合に時間を節約できます。サイレントインストールは、サポートされ ている Linux コンピュータでのみ実行できます。 インストールを準備するには、271 ページのセクション 33.1「識別情報アプリケーションのインス トールのチェックリスト」の一覧に示すアクティビティをレビューします。リリースに付属するリ リースノートも参照してください。 このプロセスには次の作業が含まれます。 280 ページのセクション 33.3.1「サイレントインストールを行う環境でのパスワードの設定」 280 ページのセクション 33.3.2「.properties ファイルの編集」 290 ページのセクション 33.3.3「識別情報アプリケーションのサイレントインストールの実行」 33.3.1 サイレントインストールを行う環境でのパスワードの設定 .properties ファイルで設定パスワードを指定するのではなく、環境にパスワードを設定できます。 この場合、サイレントインストーラは、silent.properties ファイルからではなく、環境からパスワー ドを読み込みます。これにより、セキュリティが増強されます。 インストールの次のパスワードを指定する必要があります。 NOVL_DB_USER_PASSWORD NOVL_CONFIG_DBADMIN_PASSWORD NOVL_CONFIG_LDAPADMINPASS NOVL_CONFIG_KEYSTOREPASSWORD Linux export コマンドを使用します。次に例を示します。 export NOVL_DB_USER_PASSWORD=myPassWord Windows set コマンドを使用します。次に例を示します。 set NOVL_DB_USER_PASSWORD=myPassWord 33.3.2 .properties ファイルの編集 サイレントインストールまたは設定を実行する前に、.properties ファイルのパラメータ値を編集する 必要があります。このセクションの表にパラメータの一覧を示します。記載されているパラメータ は、基本インストールパラメータのほか、RBPM と識別情報アプリケーションの設定に対応してい ます。パラメータ値の指定の詳細については、272 ページのセクション 33.2「ガイドによる識別情 報アプリケーションインストールプロセス」と 323 ページの第 36 章「識別情報アプリケーション 280 NetIQ Identity Manager セットアップガイド の設定の管理」を参照してください。 1 識別情報アプリケーションをインストールするコンピュータに root としてログインします。 2 silent.properties ファイルがローカルコンピュータに存在することを確認します。 このファイルは、デフォルトでは、Identity Manager インストールパッケージの .iso イメージ ファイル内の products/rbpm/user_app_install ディレクトリにあります。 3 user_app.install.properties ファイルを開きます。 4 .properties ファイルの次のパラメータを変更します。 silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_LDAPHOST= eDirectory 接続設定 : LDAP ホスト。 LDAP サーバのホスト名または IP アドレスを指定し ます。 NOVL_CONFIG_LDAPADMIN= eDirectory 接続設定 : LDAP 管理者。 LDAP 管理者の資格情報を指定します。このユーザは すでに存在している必要があります。ユーザアプリ ケーションは、このアカウントを使用して識別ボール ドへの管理接続を行います。この値は、マスタキーに 基づいて暗号化されます。 NOVL_CONFIG_LDAPADMINPASS= eDirectory 接続設定 : LDAP 管理者パスワード。 LDAP 管理者パスワードを指定します。このパスワー ドは、マスタキーに基づいて暗号化されます。 NOVL_CONFIG_ROOTCONTAINERNAME= eDirectory DN: ルートコンテナ DN。 ルートコンテナの LDAP 識別名を指定します。これ は、ディレクトリ抽象化層で検索ルートが指定されな い場合に、デフォルトのエンティティ定義検索ルート として使用されます。 NOVL_CONFIG_PROVISIONROOT= eDirectory DN: プロビジョニングドライバ DN。 ユーザアプリケーションドライバの識別名を指定しま す。たとえば、ドライバが UserApplicationDriver で ドライバセットの名前が myDriverSet であり、ドライ バセットが o=myCompany のコンテキストにある場 合は、次の値を入力します。 cn=UserApplicationDriver,cn= myDriverSet,o=myCompany 識別情報アプリケーションのインストール 281 silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_LOCKSMITH= eDirectory DN: ユーザアプリケーション管理者。 指定されたユーザアプリケーションのユーザコンテナ についての管理タスクを実行する権限のある、識別 ボールト内の既存のユーザ。このユーザは、ユーザア プリケーションの[管理者]タブを使用してポータル を管理できます。 ユーザアプリケーション管理者が、iManager、NetIQ Designer for Identity Manager、またはユーザアプリ ケーション ([要求と承認]タブ ) で公開されている ワークフロー管理タスクに参加する場合は、この管理 者に、ユーザアプリケーションドライバに含まれるオ ブジェクトインスタンスに対する適切なトラスティ権 限を付与します。詳細については、 『NetIQ Identity Manager User Application: Administration Guide』を 参照してください。 ユーザアプリケーションの展開後にこの割り当てを変 更するには、ユーザアプリケーションの[管理]> [セキュリティ]ページを使用します。 NOVL_CONFIG_PROVLOCKSMITH= eDirectory DN: プロビジョニングアプリケーション管 理者。 このユーザは、Identity Manager のプロビジョニング バージョンで利用できます。プロビジョニングアプリ ケーション管理者は、 [プロビジョニング]タブ ( [管理]タブの下 ) を使用して、プロビジョニング ワークフロー機能を管理します。これらの機能は、 ユーザアプリケーションの[要求と承認]タブでユー ザが使用可能です。このユーザは、プロビジョニング アプリケーション管理者に指定される前に、識別ボー ルトに存在する必要があります。 ユーザアプリケーションの展開後にこの割り当てを変 更するには、ユーザアプリケーションの[管理]> [セキュリティ]ページを使用します。 NOVL_CONFIG_ROLECONTAINERDN= この役割は RBPM で使用できます。この役割を使用 すると、そのメンバーはすべての役割の作成、削除、 変更、およびユーザ、グループ、またはコンテナへの 役割の付与または取り消しを行うことができます。さ らに役割のメンバーは、任意のユーザに対してレポー トを実行できます。デフォルトでは、この役割には ユーザアプリケーション管理者が割り当てられていま す。 ユーザアプリケーションの展開後にこの割り当てを変 更するには、ユーザアプリケーションの[役割]> [役割の割り当て]ページを使用します。 NOVL_CONFIG_COMPLIANCECONTAINERDN 282 NetIQ Identity Manager セットアップガイド コンプライアンスモジュール管理者はシステムの役割 であり、メンバーはこの[コンプライアンス]タブの すべての機能が実行可能です。このユーザは、コンプ ライアンスモジュール管理者として指定される前に、 識別ボールトに存在している必要があります。 silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_USERCONTAINERDN= メタディレクトリユーザ ID: ユーザコンテナ DN。 ユーザコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。これにより、ユーザおよびグ ループの検索スコープが定義されます。このコンテナ 内 ( およびその下 ) のユーザが、ユーザアプリケー ションにログインできます。 重要 : ユーザによるワークフローの実行を可能とさせ る場合は、ユーザアプリケーションドライバの設定中 に指定したユーザアプリケーション管理者が、確実に このコンテナに存在するようにしてください。 NOVL_CONFIG_GROUPCONTAINERDN= メタディレクトリユーザグループ : グループコンテナ DN。 グループコンテナの LDAP 識別名 (DN) または完全修 飾 LDAP 名を指定します。ディレクトリ抽象化レイ ヤ内のエンティティ定義で使用します。 NOVL_CONFIG_KEYSTOREPATH= eDirectory 証明書 : キーストア パス。必須。 アプリケーションサーバが使用している JRE のキー ストア (cacerts) ファイルへのフルパスを指定します。 ユーザアプリケーションのインストールによって、 キーストアファイルが変更されます。Linux では、 ユーザにこのファイルへの書き込み許可が必要です。 NOVL_CONFIG_KEYSTOREPASSWORD= eDirectory 証明書 : キーストアパスワード。 cacerts のパスワードを指定します。デフォルトは、 「changeit」です。 NOVL_CONFIG_SECUREADMINCONNECTION= eDirectory 接続設定 : セキュア管理者接続。 必須 管理者アカウントを使用するすべての通信でセキュア ソケットの使用を要求する ( このオプションを使用す ると、パフォーマンスに悪影響を及ぼすことがありま す ) には、True を指定します。この設定を行っても、 SSL を必要としない他の処理は SSL を使用せずに処 理を実行できます。 管理者アカウントで SSL 通信を使用しない場合、 False を指定します。 識別情報アプリケーションのインストール 283 silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_SECUREUSERCONNECTION= eDirectory 接続設定 : セキュアユーザ接続。 必須 ログインユーザのアカウントで実行されるすべての通 信でセキュアソケットの使用を要求する ( このオプ ションを使用すると、パフォーマンスに深刻な悪影響 を及ぼすことがあります ) には、True を指定します。 この設定を行っても、SSL を必要としない他の処理 は SSL を使用せずに処理を実行できます。 ユーザのアカウントで SSL 通信を使用しない場合、 False を指定します。 NOVL_CONFIG_SESSIONTIMEOUT= その他 : セッションのタイムアウト。 必須 アプリケーションセッションのタイムアウト時間を指 定します。 NOVL_CONFIG_LDAPPLAINPORT= eDirectory 接続設定 : LDAP 非セキュアポート。 必須 LDAP サーバの非セキュアポートを指定します。たと えば、「389」と指定します。 NOVL_CONFIG_LDAPSECUREPORT= eDirectory 接続設定 : LDAP セキュアポート。 必須 LDAP サーバのセキュアポートを、たとえば「636」 のように指定します。 NOVL_CONFIG_ANONYMOUS= eDirectory 接続設定 : パブリック匿名アカウントの使 用 必須 ログインしていないユーザに LDAP パブリック匿名 アカウントへのアクセスを許可するには、True を指 定します。 かわりに NOVL_CONFIG_GUEST を有効にするに は、False を指定します。 NOVL_CONFIG_GUEST= eDirectory 接続設定 : LDAP ゲスト。 ログインしていないユーザに、許可されたポートレッ トへのアクセスを許可します。ゲストユーザアカウン トを無効にする必要もあります。ゲストユーザアカウ ントは、識別ボールトにすでに存在している必要があ ります。アカウントを無効にするには、[パブリック 匿名アカウントの使用]を選択します。 NOVL_CONFIG_GUESTPASS= 284 NetIQ Identity Manager セットアップガイド eDirectory 接続設定 : LDAP ゲストパスワード。 silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_EMAILNOTIFYHOST= 電子メール : 通知テンプレートホストトークン。 Identity Manager ユーザアプリケーションをホストし ているアプリケーションサーバを指定します。たとえ ば、次のようにします。 myapplication serverServer この値は、電子メールテンプレートの $HOST$ トー クンと置き換えられます。作成される url は、プロビ ジョニング要求タスクと承認通知へのリンクです。 NOVL_CONFIG_EMAILNOTIFYPORT= 電子メール : 通知テンプレートポートトークン。 プロビジョニング要求タスクと承認通知で使用する電 子メールテンプレートの $PORT$ トークンの置き換 えに使用されます。 NOVL_CONFIG_EMAILNOTIFYSECUREPORT= 電子メール : 通知テンプレートセキュアポートトーク ン。 プロビジョニング要求タスクと承認通知で使用する電 子メールテンプレートの $SECURE_PORT$ トーク ンの置き換えに使用します。 NOVL_CONFIG_NOTFSMTPEMAILFROM= 電子メール : 通知 SMTP 電子メール送信者。 必須 プロビジョニング電子メール内のユーザからの電子 メールを指定します。 NOVL_CONFIG_NOTFSMTPEMAILHOST= 電子メール : 通知 SMTP 電子メールホスト。 必須 プロビジョニング電子メールを使用している SMTP 電子メールホストを指定します。これは、IP ア ドレスまたは DNS 名が可能です。localhost は使用し ないでください。 NOVL_CONFIG_USEEXTPWDWAR= パスワード管理 : 外部パスワード WAR の使用。 外部パスワード管理 WAR を使用するには True を指 定し、NOVL_CONFIG_EXTPWDWARPTH と NOVL_CONFIG_EXTPWDWARRTNPATH に値を指 定します。 デフォルトの内部パスワード管理機能 ./jsps/pwdmgt/ ForgotPassword.jsp( 先頭に http(s) プロトコルを指定 しない ) を使用するには、False を指定します。これ は、ユーザを、外部 WAR ではなく、ユーザアプリ ケーションに組み込まれた[パスワードを忘れた場 合]機能にリダイレクトします。 識別情報アプリケーションのインストール 285 silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_EXTPWDWARPATH= パスワード管理 : パスワードを忘れた場合のリンク。 外部または内部のパスワード管理 WAR で、[パス ワードを忘れた場合]機能ページ ForgotPassword.jsp の URL を指定します。または、 デフォルトの内部パスワード管理 WAR を受け入れま す。詳細については、316 ページのセクション 35.6 「パスワードを忘れた場合の管理の設定」を参照して ください。 NOVL_CONFIG_EXTPWDWARRTNPATH= パスワード管理 : パスワードを忘れた場合の返信リン ク。 ユーザがパスワードを忘れた場合の操作を実行した後 でクリックできるように、[パスワードを忘れた場合 の返信リンク]を指定します。 NOVL_CONFIG_FORGOTWEBSERVICEURL= パスワード管理 : パスワードを忘れた場合の Web サービス URL。 パスワードを忘れた場合の外部 WAR がユーザアプリ ケーションを呼び戻してパスワードを忘れた場合のコ ア機能を実行するために使用する URL を表します。 次の形式を使用してください。 https://idmhost:sslport/idm/ pwdmgt/service NOVL_CONFIG_USEROBJECTATTRIBUTE= メタディレクトリユーザ ID: ユーザオブジェクトクラ ス。 必須 LDAP ユーザオブジェクトクラス ( 通常は inetOrgPerson)。 NOVL_CONFIG_LOGINATTRIBUTE= メタディレクトリユーザ ID: ログイン属性。 必須 ユーザのログイン名を表す LDAP 属性です。たとえ ば、CN です。 NOVL_CONFIG_NAMINGATTRIBUTE= メタディレクトリユーザ ID : 名前付け属性。 必須 ユーザまたはグループをルックアップする際に ID と して使用する LDAP 属性これはログイン属性と同じ ではありません。ログイン属性はログイン中にのみ使 用し、ユーザおよびグループの検索中には使用しませ ん。 286 NetIQ Identity Manager セットアップガイド silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_USERMEMBERSHIPATTRIBUTE= メタディレクトリユーザ ID: ユーザメンバーシップ属 性。オプション。 必須 ユーザのグループメンバーシップを表す LDAP 属性 です。この名前にはスペースを使用しないでくださ い。 NOVL_CONFIG_GROUPOBJECTATTRIBUTE= メタディレクトリユーザグループ : グループオブジェ クトクラス。 必須 LDAP オブジェクトクラス ( 通常は groupofNames)。 NOVL_CONFIG_GROUPMEMBERSHIPATTRIBUTE = メタディレクトリユーザグループ : グループメンバー シップ属性。 必須 ユーザのグループメンバーシップを表す属性を指定し ます。この名前にはスペースを使用しないでくださ い。 NOVL_CONFIG_USEDYNAMICGROUPS= メタディレクトリユーザグループ : ダイナミックグ ループ。 必須 動的グループを使用するには、True を指定します。 NOVL_CONFIG_DYNAMICGROUPOBJECTCLASS= メタディレクトリユーザグループ : ダイナミックグ ループオブジェクトクラス。 必須 LDAP ダイナミックグループオブジェクトクラスを指 定します ( 通常は dynamicGroup)。 NOVL_CONFIG_TRUSTEDSTOREPATH= トラステッドキーストア : トラステッドストアパス。 トラステッドキーストアには、すべての信頼される署 名者の証明書が含まれます。入力しない場合は、ユー ザアプリケーションはシステムプロパティ javax.net.ssl.trustStore からパスを取得します。パス が存在しない場合、ユーザアプリケーションは jre/lib/ security/cacerts を使用します。 NOVL_CONFIG_TRUSTEDSTOREPASSWORD= トラステッドキーストア : トラステッドストアパス ワード。 識別情報アプリケーションのインストール 287 silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_ICSLOGOUTENABLED= Access Manager および iChain の設定 : 同時ログアウ ト有効。 ユーザアプリケーションおよび NetIQ Access Manager または iChain の同時ログアウトを有効にす るには、True を指定します。ユーザアプリケーショ ンはログアウト時に NetIQ Access Manager または iChain の cookie をチェックし、cookie が存在する場 合はユーザを ICS ログアウトページに再転送します。 同時ログアウトを無効にするには、False を指定しま す。 NOVL_CONFIG_ICSLOGOUTPAGE= Access Manager および iChain 設定 : [同時ログアウ ト]ページ。 NetIQ Access Manager または iChain のログアウト ページの URL を指定します。URL は NetIQ Access Manager または iChain が期待するホスト名です。 ICS ログが有効な場合は、ユーザはユーザアプリケー ションからログアウトし、ユーザはこのページを再 ルーティングします。 NOVL_CONFIG_EMAILNOTIFYPROTOCOL= 電子メール : 通知テンプレートプロトコルトークン。 非セキュアプロトコル、HTTP を参照してください。 プロビジョニング要求タスクと承認通知で使用する電 子メールテンプレートの $PROTOCOL$ トークンの 置き換えに使用します。 NOVL_CONFIG_EMAILNOTIFYSECUREPROTOCO L= 電子メール : 通知テンプレートセキュアポートトーク ン。 NOVL_CONFIG_OCSPURI= その他 : OCSP URI。 クライアントインストールで On-Line Certificate Status Protocol(OCSP) を使用する場合は、Uniform Resource Identifier(URI) を指定します。たとえば、 http://hstport/ocspLocal というフォーマットで指定し ます。OCSP URI によって、トラステッド証明書オン ラインの状態は更新されます。 NOVL_CONFIG_AUTHCONFIGPATH= その他 : 許可設定パス。 許可環境設定ファイルの完全修飾名。 288 NetIQ Identity Manager セットアップガイド silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_CONFIG_CREATEDIRECTORYINDEX その他 : eDirectory インデックスの作成 サイレントインストーラで、 NOVL_CONFIG_SERVERDN に指定されている eDirectory サーバ上で manager、ismanager、および srvprvUUID の各属性にインデックスを作成する場合、 true を指定します。このパラメータが true に設定さ れている場合、 NOVL_CONFIG_REMOVEEDIRECTORYINDEX を true に設定できません。 最良のパフォーマンス結果を得るには、インデックス 作成が完了している必要があります。ユーザアプリ ケーションを利用可能な状態にする前にインデックス をオンラインモードにする必要があります。 NOVL_CONFIG_REMOVEDIRECTORYINDEX その他 : eDirectory インデックスの削除 サイレントインストーラで、 NOVL_CONFIG_SERVERDN で指定されているサー バ上のインデックスを削除する場合、true を指定しま す。このパラメータが true に設定されている場合、 NOVL_CONFIG_CREATEEDIRECTORYINDEX を true に設定できません。 NOVL_CONFIG_SERVERDN その他 : サーバ DN。 インデックスを作成または削除する必要のある eDirectory サーバを指定します。 NOVL_CREATE_DB データベースの作成方法を示します。次の値が有効で す。 now: データベースをすぐに作成します。 file: SQL の出力をファイルに書き込みます。 startup: アプリケーションの起動時にデータベー スを作成します。 NOVL_DATABASE_NEW データベースが新規か既存かを示します。新規の場合 は True を指定します。 NOVL_RBPM_SEC_ADMINDN セキュリティ管理者 この役割により、メンバーはセキュリティドメイン内 のすべての機能を付与されます。 セキュリティ管理者は、セキュリティドメイン内のす べてのオブジェクトで可能なアクションをすべて実行 できます。セキュリティドメインを使用すると、セ キュリティ管理者は RBPM 内のすべてのドメインの すべてのオブジェクトのアクセス許可を設定できま す。セキュリティ管理者はチームを構成でき、またド メイン管理者、委任管理者、およびその他のセキュリ ティ管理者も割り当てることができます。 識別情報アプリケーションのインストール 289 silent.properties のパラメータ名 識別情報アプリケーション環境設定パラメータファイ ルにある同等のパラメータ名 NOVL_RBPM_RESOURCE_ADMINDN リソース管理者 この役割により、メンバーはリソースドメイン内のす べての機能を付与されます。リソース管理者はリソー スドメイン内のすべてのオブジェクトで可能なアク ションをすべて実行できます。 NOVL_RBPM_CONFIG_ADMINDN この役割により、メンバーは構成ドメイン内のすべて の機能を付与されます。RBPM 設定管理者は、構成 ドメイン内のすべてのオブジェクトで可能なアクショ ンをすべて実行できます。RBPM 設定管理者は、 RBPM 内のナビゲーション項目へのアクセスを制御 します。また、RBPM 設定管理者は委任と代理サー ビス、ユーザインタフェースのプロビジョニング、お よびワークフローエンジンを設定します。 RUN_LDAPCONFIG= 即時または後でなど、いつ LDAP の設定を行うか指 定します。次の値があります。 Now: 提供されている LDAP の環境設定を使用し て WAR ファイルに値を入力することで、 LDAP 設定を即時実行します。 Later: LDAP の設定を行わずにユーザアプリケー ションのファイルのインストールのみを行いま す。 33.3.3 識別情報アプリケーションのサイレントインストールの実行 1 識別情報アプリケーションをインストールするコンピュータに root ユーザとしてログインしま す。 2 ターミナルセッションを開きます。 3 インストールの値を指定します。詳細については、280 ページのセクション 33.3.2 「.properties ファイルの編集」および 230 ページのセクション 26.2.1「サイレントインストー ルでのパスワードの保護」を参照してください。 4 プラットフォームに応じて次のコマンドを実行してインストールプログラムを起動します。 Linux: ./IdmUserApp.bin -i silent -f /yourdirectorypath/silent.properties Windows: ./IdmUserApp.exe -i silent -f /yourdirectorypath/silent.properties 注 : silent.properties ファイルがインストーラスクリプトとは別のディレクトリにある場合、そ のファイルのフルパスを指定する必要があります。このスクリプトは必要なファイルを一時 ディレクトリに解凍し、サイレントインストールを起動します。 290 NetIQ Identity Manager セットアップガイド 33.4 JBoss のインストール後の手順 識別情報アプリケーションを JBoss Enterprise Application Platform (EAP) 上に展開するには、いく つかの設定手順を手動で実行する必要があります。 1 JBoss EAP をインストールします。 2 272 ページの 「ガイドによる識別情報アプリケーションインストールプロセス」または 280 ページのセクション 33.3「識別情報アプリケーションのサイレントインストール」の説明 に従って識別情報アプリケーションをインストールします。 3 次に示す内容で新しい messaging-jboss-beans.xml ファイルを作成します。 <?xml version="1.0" encoding="UTF-8"?> <!-======================================================================== Copyright (c) 2014 NetIQ Corporation. All Rights Reserved. THIS WORK IS SUBJECT TO U.S. AND INTERNATIONAL COPYRIGHT LAWS AND TREATIES NO PART OF THIS WORK MAY BE USED, PRACTICED, PERFORMED COPIED, DISTRIBUTED, REVISED, MODIFIED, TRANSLATED, ABRIDGED, CONDENSED, EXPANDED, COLLECTED, COMPILED, LINKED, RECAST, TRANSFORMED OR ADAPTED WITHOUT THE PRIOR WRITTEN CONSENT OF NOVELL, INC. ANY USE OR EXPLOITATION OF THIS WORK WITHOUT AUTHORIZATION COULD SUBJECT THE PERPETRATOR TO CRIMINAL AND CIVIL LIABILITY. ======================================================================== --> <!-Messaging beans $Id: messaging-jboss-beans.xml 88672 2009-05-11 20:49:47Z [email protected] $ --> <deployment xmlns="urn:jboss:bean-deployer:2.0"> <!-- messaging application-policy definition --> <application-policy xmlns="urn:jboss:security-beans:1.0" name="messaging"> <authentication> <login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required"> <module-option name="unauthenticatedIdentity">guest</module-option> <module-option name="dsJndiName">java:/IDMUADataSource</moduleoption> <module-option name="principalsQuery">SELECT PASSWD FROM JBM_USER WHERE USER_ID=?</module-option> <module-option name="rolesQuery">SELECT ROLE_ID, 'Roles' FROM JBM_ROLE WHERE USER_ID=?</module-option> </login-module> </authentication> </application-policy> <bean name="SecurityStore" class="org.jboss.jms.server.jbosssx.JBossASSecurityMetadataStore"> <!-- default security configuration --> <property name="defaultSecurityConfig"> <![CDATA[ <security> <role name="guest" read="true" write="true" create="true"/> </security> ]]> </property> <property name="suckerPassword">changeit</property> <property name="securityDomain">messaging</property> <property name="securityManagement"><inject 識別情報アプリケーションのインストール 291 bean="JNDIBasedSecurityManagement"/></property> <!-- @JMX annotation to export the management view of this bean --> <annotation>@org.jboss.aop.microcontainer.aspects.jmx.JMX(name="jboss.messagin g:service=SecurityStore",exposedInterface=org.jboss.jms.server.jbosssx.JBossAS SecurityMetadataStoreMBean.class)</annotation> <!-- Password Annotation to inject the password from the common password utility <annotation>@org.jboss.security.integration.password.Password(securityDomain=" messaging",methodName="setSuckerPassword")</annotation> --> </bean> <bean name="MessagingDeploymentTemplateInfoFactory" class="org.jboss.managed.plugins.factory.DeploymentTemplateInfoFactory"/> <bean name="QueueTemplate" class="org.jboss.profileservice.management.templates.JmsDestinationTemplate"> <property name="info"><inject bean="QueueTemplateInfo"/></property> </bean> <bean name="QueueTemplateInfo" class="org.jboss.profileservice.management.templates.JmsDestinationTemplateInf o"> <constructor factoryMethod="createTemplateInfo"> <factory bean="DSDeploymentTemplateInfoFactory"/> <parameter class="java.lang.Class">org.jboss.profileservice.management.templates.JmsDesti nationTemplateInfo</parameter> <parameter class="java.lang.Class">org.jboss.jms.server.destination.QueueServiceMO</ parameter> <parameter class="java.lang.String">QueueTemplate</parameter> <parameter class="java.lang.String">A template for JMS queue *service.xml deployments</parameter> </constructor> <property name="destinationType">QueueTemplate</property> </bean> <bean name="TopicTemplate" class="org.jboss.profileservice.management.templates.JmsDestinationTemplate"> <property name="info"><inject bean="TopicTemplateInfo"/></property> </bean> <bean name="TopicTemplateInfo" class="org.jboss.profileservice.management.templates.JmsDestinationTemplateInf o"> <constructor factoryMethod="createTemplateInfo"> <factory bean="DSDeploymentTemplateInfoFactory"/> <parameter class="java.lang.Class">org.jboss.profileservice.management.templates.JmsDesti nationTemplateInfo</parameter> <parameter class="java.lang.Class">org.jboss.jms.server.destination.TopicServiceMO</ parameter> <parameter class="java.lang.String">TopicTemplate</parameter> <parameter class="java.lang.String">A template for JMS topic *service.xml deployments</parameter> </constructor> <property name="destinationType">TopicTemplate</property> </bean> </deployment> 4 IDMProv/deploy/messaging フォルダにある既存の messaging-jboss-beans.xml ファイルをステップ 3 で作成したファイルで置き換えます。 292 NetIQ Identity Manager セットアップガイド 5 JBoss の永続性サービス設定ファイルを見つけます。たとえば、PostgreSQL データベースの 場合、このファイルは novell\\jboss\docs\examples\jms ディレクトリにある postgresql-persistenceservice.xml です。 6 既存の永続性サービス設定ファイルをデータベースの examples フォルダにあるファイルで置 き換えます。たとえば、PostgreSQL の場合、%jboss-root%/docs/examples/jms/postgresqlpersistence-service.xml ファイルで置き換えます。 7 新しい永続性サービス設定ファイルを %jboss-root%/server/IDMProv/deploy/messaging/ ディレクト リにコピーします。 8 永続性サービス設定ファイルを開いて、次の手順を実行します。 8a テキスト DefaultDS をテキスト IDMUADataSource で置き換えます。 8b Clustered 属性内の次の行をコメントアウトします。 <attribute name="Clustered">false</attribute> <!-- All the remaining properties only have to be specified if the post office is clustered. You can safely comment them out if your post office is non clustered --> <!-- The JGroups group name that the post office will use --> <!--attribute name="GroupName">${jboss.messaging.groupname:MessagingPostOffice}</ attribute>--> <!-- Max time to wait for state to arrive when the post office joins the cluster --> <!--attribute name="StateTimeout">30000</attribute>--> <!-- Max time to wait for a synchronous call to node members using the MessageDispatcher --> <!--attribute name="CastTimeout">30000</attribute>--> <!-- Set this to true if you want failover of connections to occur when a node is shut down --> <!--<attribute name="FailoverOnNodeLeave">false</attribute> <depends optional-attributename="ChannelFactoryName">jboss.jgroups:service=ChannelFactory</depends> <attribute name="ControlChannelName">jbm-control</attribute> <attribute name="DataChannelName">jbm-data</attribute> <attribute name="ChannelPartitionName">${jboss.partition.name:DefaultPartition}-JMS</ attribute>--> </mbean> 識別情報アプリケーションのインストール 293 8c 次の行を指定したテキストで置き換えます。 置換前 置換後 POPULATE.TABLES.3 = INSERT INTO JBM_USER (USER_ID, PASSWD, CLIENTID) VALUES ('john', 'needle', 'DurableSubscriberExample') POPULATE.TABLES.3 = INSERT INTO JBM_USER (USER_ID, PASSWD, CLIENTID) VALUES ('p_user', 'changeit', 'IDMNotificationDurableTopic') POPULATE.TABLES.8 = INSERT INTO JBM_ROLE (ROLE_ID, USER_ID) VALUES ('john','guest') POPULATE.TABLES.8 = INSERT INTO JBM_ROLE (ROLE_ID, USER_ID) VALUES ('p_user','guest') POPULATE.TABLES.9 = INSERT INTO JBM_ROLE (ROLE_ID, USER_ID) VALUES ('subscriber','john') POPULATE.TABLES.9 = INSERT INTO JBM_ROLE (ROLE_ID, USER_ID) VALUES ('subscriber','p_user') POPULATE.TABLES.10 = INSERT INTO JBM_ROLE (ROLE_ID, USER_ID) VALUES ('publisher','john') POPULATE.TABLES.12 = INSERT INTO JBM_ROLE (ROLE_ID, USER_ID) VALUES ('durpublisher','p_user') 8d 永続性サービス設定ファイルを閉じて保存します。 9 JBoss を起動します。 10 ( 状況によって実行 ) Windows サーバで JBoss が起動に失敗する場合は、 「Solution 310273 “System properties cannot be set via run.bat script in EAP 5.2” (https://access.redhat.com/ solutions/310273)」で示されている解決策を実行します。 この問題が発生した場合、AbstractKernelController の例外エラーが server.log ファイルに記録さ れます。詳細については、JBoss コミュニティフォーラムで JBPAAP-10938 と JBPAAP-9581 の説明を参照してください。 11 次の手順を実行して、JBoss 管理者アカウントを stop-jboss.sh スクリプトに追加します。 11a stop-jboss.sh スクリプトを開きます。 11b shutdown.sh コマンドの末尾に JBoss 管理者のユーザアカウントとパスワードを追加しま す。使用する構文は次のとおりです。 shutdown.sh -s jnp://localhost:1199 -u %user_account% -p %password% 次に例を示します。 shutdown.sh -s jnp://localhost:1199 -u admin -p novell 11c スクリプトを閉じて保存します。 12 ( オプション ) 正しく設定されていることを検証するために、サーバログに次の情報が記録され ていることを確認します。 INFO [ServerPeer] JBoss Messaging 1.4.7.GA server [0] started INFO [TopicService] Topic[/topic/IDMNotificationDurableTopic] started, fullSize=200000, pageSize=2000, downCacheSize=2000 INFO [RBPM] [com.novell.soa.notification.impl.jms.JMSConnectionMediator:init] Starting JMS notification system INFO [STDOUT] INFO [RBPM] [com.novell.soa.notification.impl.NotificationThread:run] Starting asynchronous notification system 294 NetIQ Identity Manager セットアップガイド 33.5 Tomcat のインストール後の手順 ユーザの便宜を図るために提供される Tomcat のインストーラを使用した場合、Identity Manager の インストーラプログラムによって自動的に Tomcat の設定が実行されます。ユーザが独自に用意し た Tomcat プログラムを使用してインストールした場合、次の問題について検討します。 実行効率が高くなるように Tomcat サービスを変更できます。詳細については、「So You Want High Performance」を参照してください。 イベントのログ記録のサポートを追加できます。詳細については、237 ページのセクション 27.6「Apache Log4j サービスを使用したサインオンイベントとパスワードイベントの記録」を 参照してください。 33.6 WebSphere のインストール後の手順 このセクションでは、識別情報アプリケーションのインストール後に WebSphere 環境を更新する 方法について説明します。 295 ページのセクション 33.6.1「識別情報アプリケーションのインストール後の WebSphere ク ラスタの設定」 296 ページのセクション 33.6.2「ユーザアプリケーション環境設定ファイルと JVM システムプ ロパティの追加」 297 ページのセクション 33.6.3「共有ライブラリの作成と適用」 298 ページのセクション 33.6.4 「WebSphere キーストアへの eDirectory ルート認証局のインポー ト」 299 ページのセクション 33.6.5「IBM JDK への無制限ポリシーファイルの適用」 299 ページのセクション 33.6.6「preferIPv4Stack プロパティを JVM に渡す」 300 ページのセクション 33.6.7「WebSphere での JMS の設定」 33.6.1 識別情報アプリケーションのインストール後の WebSphere ク ラスタの設定 このセクションでは、識別情報アプリケーションを使用するために WebSphere クラスタを設定す るプロセスの概要について説明します。このセクションの説明は、WebSphere アプリケーション サーバ (WAS) を熟知しているユーザを想定しています。 1 ( 状況によって実行 ) RBPM でセッションフェールオーバーを使用するには、次の手順を実行 します。 1a IBM 管理コンソールで[アプリケーション・サーバー]>[clustermember1]>[セッ ション管理]>[分散環境設定]>[チューニング・パラメーター]>[カスタム・チュー ニング・パラメータ]の順に移動します。 1b [すべてのセッション属性]モードを指定します。これは、セッションフェールオーバー の書き込みの内容を制御します。 2 アプリケーションサーバを起動し、展開時に指定したコンテキストを使用してユーザアプリ ケーションポータルにアクセスします。 識別情報アプリケーションのインストール 295 33.6.2 ユーザアプリケーション環境設定ファイルと JVM システムプ ロパティの追加 このセクションでは、識別情報アプリケーションが WebSphere アプリケーションサーバ上で動作 するために必要な JVM システムプロパティを新規作成する方法について説明します。 1 WebSphere 管理コンソールに管理者ユーザとしてログインします。 2 左側ペインで[サーバー]>[アプリケーション・サーバー]の順にクリックします。 3 サーバのリストから該当するサーバ名をクリックします。たとえば、 [server1]をクリックし ます。 4 コンテンツペインの設定リストで、 [サーバー・インフラストラクチャー]の下にある[Java およびプロセス管理]をクリックします。 5 リンクを展開して、 [プロセス定義]を選択します。 6 [追加プロパティー]のリストで[Java 仮想マシン]をクリックします。 7 JVM ページの[追加プロパティー]の見出しで[カスタム・プロパティー]をクリックしま す。 8 extend.local.config.dir JVM システムプロパティを追加するには、次の手順を実行します。 8a [新規]をクリックします。 8b [名前]では「extend.local.config.dir」を指定します。 8c [値]では hibernate.cfg.xml ファイルが置かれているディレクトリのフルパスを指定しま す。たとえば、「/opt/netiq/idm/apps/UserApplication/」と指定します。 8d [説明]ではプロパティの説明を指定します。 たとえば、識別情報アプリケーション設定ファイルのパスを指定します。 8e [OK]をクリックしてプロパティを保存します。 9 idmuserapp.logging.config.dir JVM システムプロパティを追加するには、次の手順を実行します。 9a [新規]をクリックします。 9b [名前]では「idmuserapp.logging.config.dir」を指定します。 9c [値]では idmuserapp_logging.xml ファイルが置かれているディレクトリのフルパスを指定 します。 たとえば、「/opt/netiq/idm/apps/UserApplication/」と指定します。 9d [説明]ではプロパティの説明を指定します。 たとえば、識別情報アプリケーションのログ設定ファイルのパスを指定します。 9e [OK]をクリックしてプロパティを保存します。 10 com.netiq.ism.config JVM システムプロパティを追加するには、次の手順を実行します。 10a [新規]をクリックします。 10b [名前]では「com.netiq.ism.config」を指定します。 10c [値]では ism-configuation.properties ファイルのファイル名を含むフルパスを指定します。 たとえば、「/opt/netiq/idm/apps/UserApplication/ism-configuation.properties」と指定します。 10d [説明]ではプロパティの説明を指定します。 たとえば、識別情報アプリケーションの ism properties ファイルを指定します。 10e [OK]をクリックしてプロパティを保存します。 296 NetIQ Identity Manager セットアップガイド 11 ( 状況によって実行 ) クラスタ化環境のワークフローエンジン ID を指定するには、次の手順を 実行します。 11a [新規]をクリックします。 11b [名前]では「com.novell.afw.wf.engine-id」を指定します。 11c [値]ではワークフローエンジンの ID を指定します。 11d [説明]ではプロパティの説明を指定します。たとえば、 「workflow engine ID」と指定しま す。 11e [OK]をクリックしてプロパティを保存します。 33.6.3 共有ライブラリの作成と適用 識別情報アプリケーションの共有ライブラリを設定する必要がある場合があります。共有ライブラ リを作成した場合、WebSphere が Identity Manager バージョンの JAR ファイルを使用することを 保証するために、このライブラリを新しいクラスローダに適用する必要もあります。適用しない場 合、WebSphere に付属する JAR ファイルでクラスロードの問題が発生します。WebSphere でクラ スロードの問題がある場合、次の種類の例外として出現する可能性があります。 ClassCastException ClassNotFoundException NoClassDefFoundException UnsatisfiedLinkError LinkageError このプロセスには次の作業が含まれます。 297 ページの 「共有ライブラリの設定」 298 ページの 「新しいクラスローダへの共有ライブラリの適用」 共有ライブラリの設定 1 WebSphere 管理コンソールに管理者ユーザとしてログインします。 2 左側ペインで、 [環境]を展開します。 3 [共有ライブラリー]をクリックします。 4 コンテンツペインで、 [新規]をクリックします。 5 名前を指定します (「IDMUA クラスパス」など )。 6 [クラスパス]では次の必須 JAR ファイルを追加します。 log4j.jar commons-logging-1.1.1.jar IDMselector.jar これらのファイルは、デフォルトでは識別情報アプリケーションのインストールディレクトリ にあります。たとえば、/opt/netiq/idm/apps/UserApplication ディレクトリです。 7 [この共有ライブラリーに分離クラス・ローダーを使用する]の選択を解除します。 8 [OK]をクリックします。 9 [保存]をクリックしてマスタ環境設定に変更を保存します。 識別情報アプリケーションのインストール 297 新しいクラスローダへの共有ライブラリの適用 1 WebSphere 管理コンソールに管理者ユーザとしてログインします。 2 [アプリケーション・サーバー]>[server-name]>[クラス・ローダー]の順に展開します。 注 : デフォルトでは、このオプションは[Java およびプロセス管理]セクションの下で縮小さ れています。 3 コンテンツペインで[新規]をクリックし、新しいクラスローダを作成します。 4 [最初にローカル・クラス・ローダーをロードしたクラス ( 親は最後 )]を選択します。 5 [適用]をクリックします。 6 [共有ライブラリー参照]を選択します。 7 [追加]をクリックし、297 ページの 「共有ライブラリの設定」で作成した共有ライブラリを 選択します。 8 [適用]をクリックします。 9 [OK]をクリックします。 10 [保存]をクリックしてマスタ環境設定に変更を保存します。 33.6.4 WebSphere キーストアへの eDirectory ルート認証局のイン ポート このセクションでは、eDirectory ルート認証局の証明書を WebSphere サーバをホストするコン ピュータ上のキーストアにインポートする方法について説明します。このプロセスは、次のどちら かの方法で実行できます。 298 ページの 「WebSphere 管理者コンソールを使用した証明書のインポート」 299 ページの 「コマンドラインを使用した証明書のインポート」 WebSphere 管理者コンソールを使用した証明書のインポート 1 WebSphere サーバをホストするコンピュータに eDirectory ルート認証局の証明書をコピーし ます。 Identity Manager は、WebSphere の IBM JRE の次の場所にある証明書をインポートします。 cacerts ファイル /lib/security ディレクトリ ( 例 :/opt/IBM/WebSphere/AppServer/java_1.7_64/jre/lib/security) 2 WebSphere 管理コンソールに管理者ユーザとしてログインします。 3 左側ペインで[セキュリティー]>[SSL 証明書および鍵管理]の順に展開します。 4 コンテンツペインで[関連項目]の下の[鍵ストアおよび証明書]をクリックします。 5 [NodeDefaultTrustStore]( または使用している認証ストア ) を選択します。 6 [追加プロパティー]の下にある[署名者証明書]をクリックします。 7 [追加]をクリックします。 8 エイリアス名と証明書ファイルへのフルパスを入力します。 9 ドロップダウンリストでデータタイプを[Binary DER data]に変更します。 298 NetIQ Identity Manager セットアップガイド 10 [OK]をクリックします。 これで、署名者証明書リストに証明書が表示されます。 11 [保存]をクリックしてマスタ環境設定に変更を保存します。 コマンドラインを使用した証明書のインポート WebSphere の keytool を使用して、証明書を WebSphere キーストアにインポートする必要があり ます。WebSphere の keytool は、デフォルトでは /IBM/WebSphere/AppServer/java/bin にあります。ス トアタイプは PKCS12 です。 1 WebSphere サーバをホストするコンピュータに eDirectory ルート認証局の証明書をコピーし ます。 ユーザアプリケーションのインストール手順では、ユーザアプリケーションをインストールす るディレクトリに証明書がエクスポートされます。 2 WebSphere サーバをホストするマシン上で、コマンドラインから WebSphere keytool を実行 します。 次に例を示します。 keytool -import -trustcacerts -file servercert.der -alias myserveralias -keystore trust.p12 -storetype PKCS12 注 : システム上に複数の trust.p12 ファイルがある場合は、ファイルへのフルパスを指定しなけ ればならないことがあります。 33.6.5 IBM JDK への無制限ポリシーファイルの適用 識別情報アプリケーションが効率良く動作するには、アプリケーションをインストールしたサーバ 上のサポートされている IBM JDK に対して無制限ポリシーファイルを実行する必要があります。ま た、これらの無制限ポリシーファイルは、RBPM を実行する各 WebSphere IBM JDK サーバで適用 する必要があります。 各 WebSphere サーバの IBM JDK をレビューして、無制限ポリシーファイルが適用されていること を確認します。これらの無制限ポリシーファイルがない場合、RBPM の起動中に「Illegal key size」 というエラーが発生します。 33.6.6 preferIPv4Stack プロパティを JVM に渡す 識別情報アプリケーションは、JGroups を使用してキャッシュを実装します。環境設定によって は、mcast_addr のバインディングが確実に成功するように、preferIPv4Stack プロパティを true に 設定するように JGroups が要求します。 このオプションが設定されていない場合、次のエラーが発生する可能性があります。 [10/1/09 16:11:22:147 EDT] 0000000d UDP W org.jgroups.util.Util createMulticastSocket could not bind to /228.8.8.8 (IPv4 address); make sure your mcast_addr is of the same type as the IP stack (IPv4 or IPv6). 次のエラーも発生する可能性があります。 [3/21/12 10:04:32:470 EDT] 00000024 UDP E org.jgroups.protocols.TP down failed sending message to null (131 bytes) java.lang.Exception: dest=/228.8.8.8:45654 (134 bytes) at org.jgroups.protocols.UDP._send(UDP.java:353) 識別情報アプリケーションのインストール 299 パラメータ java.net.preferIPv4Stack=true は、たとえば extend.local.config.dir のようなその他のシステ ムプロパティと同じ方法で設定できるシステムプロパティです。システム設定プロパティの設定に ついては 296 ページのセクション 33.6.2「ユーザアプリケーション環境設定ファイルと JVM シス テムプロパティの追加」、を参照してください。 33.6.7 WebSphere での JMS の設定 識別情報アプリケーションは、Java Message Service (JMS) の永続ストアを使用して、電子メール メッセージを保持します。JMS が正常に設定されていない場合、アプリケーションサーバのシャッ トダウンにより、メモリキュー内の電子メールメッセージは失われます。 1 WebSphere 管理コンソールに管理者ユーザとしてログインします。 2 新しいバスを作成するには、次の手順を実行します。 2a [サービス統合]>[バス]の順にクリックします。 2b [新規]をクリックします。 2c バスの名前を指定します。たとえば、 「IDMProvBus」と指定します。 2d [バス・セキュリティー]の選択を解除します。 2e [次へ]をクリックし、変更を確認します。 2f [完了]をクリックし、 [保存]をクリックします。 3 バスを設定するには、次の手順を実行します。 3a [サービス統合]>[バス]の順にクリックし、ステップ 2 で作成したバスを選択します。 3b [構成]>[一般プロパティー]の順にクリックします。 3c バスの説明を指定します。たとえば、 「Bus to be used with the IDM Applications」と指定しま す。 3d [適用]をクリックし、 [保存]をクリックします。 3e [構成]タブで[トポロジー]>[バス・メンバー]をクリックします。 3f [追加]をクリックします。 3g IDMProv.war ファイルの展開先としてサーバ、クラスタ、または WebSphere MQ サーバ のいずれかを指定して、[次へ]をクリックします。 3h [ファイル・ストア]では、メッセージストアのタイプを指定し、 [次へ]をクリックしま す。 3i ファイルストアのデフォルト値をレビューし、 [次へ]をクリックします。 3j ( オプション ) バスのパフォーマンスパラメータを調整します。 3k [ 次へ ] をクリックし、[ 完了 ] をクリックします。 4 バスのトピック接続を作成するには、次の手順を実行します。 4a [リソース]>[JMS]>[トピック接続ファクトリー]の順に移動します。 4b [有効範囲]メニューで適切な有効範囲を選択します。たとえば、 [ノード =MyNode01, サー バー =server1]を選択します。 4c [新規]をクリックします。 4d [デフォルトのメッセージング・プロバイダー]を選択し、 [OK]をクリックします。 4e [構成]をクリックします。 4f トピック接続の名前を指定します。たとえば、 「ConnectionFactory」と指定します。 300 NetIQ Identity Manager セットアップガイド 4g [JNDI 名]では名前と同じ値を指定します。たとえば、 「ConnectionFactory」と指定しま す。 4h トピック接続の簡単な説明を指定します。たとえば、 「Topic Connection Factory to be used with the IDM Applications」と指定します。 4i [バス名]では、ステップ 2 で作成したバスを選択します。 4j [永続サブスクリプション]>[クライアント]の順にクリックし、 「IDMNotificationDurableTopic」を指定します。 4k [サービスの品質]>[パーシスタント・メッセージの信頼性]の順にクリックし、 [Reliability persistent]を選択します。 4l [永続サブスクリプションを共有]>[拡張メッセージング]の順にクリックし、 [共有し ない]を選択します。 4m [ 適用 ] をクリックし、[ 完了 ] をクリックします。 5 トピックを作成するには、次の手順を実行します。 5a [リソース]>[JMS]>[トピック]の順に移動します。 5b 使用する有効範囲を選択します。たとえば、 [ノード =MyNode01, サーバー =server1]を選択 します。 5c [新規]をクリックします。 5d [デフォルトのメッセージング・プロバイダー]を選択し、 [OK]をクリックします。 5e [構成]をクリックします。 5f トピックの名前を指定します。たとえば、 「IDMNotificationDurableTopic」と指定します。 5g [JNDI 名]では、 「topic/name」の構文を使用します。たとえば、「topic/ IDMNotificationDurableTopic」と指定します。 5h トピック接続の簡単な説明を指定します。たとえば、 「Topic to be used with the IDM Applications」と指定します。 5i [バス名]では、ステップ 2 で作成したバスを選択します。 5j [トピック・スペース]をクリックし、 [Default. Topic.Space]を選択します。 5k [JMS デリバリー・モード]をクリックし、 [パーシスタント]を選択します。 5l [適用]をクリックし、 [保存]をクリックします。 6 WebSphere コンソールからログアウトします。 7 識別情報アプリケーションの WAR をデプロイしたサーバ上で WebSphere を再起動します。 8 JMS サーバが正しく設定されていることを検証するために、SystemOut.log ファイルをチェック します。 正しく設定されていない場合 JMS サーバが正しく設定されていない場合、SystemOut.log ファイルには次の行がこの順 序で表示されます。 INFO [JMSConnectionMediator] Starting JMS notification system WARN [NotificationEngine] Could not properly initialize JMS persistence for the notification system. Will revert back to non-persistent asynchronous notification system. INFO [NotificationThread] Starting asynchronous notification system 識別情報アプリケーションのインストール 301 正しく設定されている場合 正しく設定されている場合、SystemOut.log ファイルには次のタイプの情報がこの順序で表 示されます。 INFO [JMSConnectionMediator] Starting JMS notification system %connection information% INFO [NotificationThread] Starting asynchronous notification system ======== [9/7/14 14:39:52:167 EDT] 00000000 SibMessage I [:] CWSID0021I: Configuration reload is enabled for bus IDMProvBus. [9/7/14 14:39:52:372 EDT] 00000000 SibMessage I [:] CWSIS1569I: Messaging engine N35020Node02.server1-IDMProvBus is using a file store. ======== [9/7/14 14:41:32:613 EDT] 0000000c SystemOut O 14:41:32,608 INFO [JMSConnectionMediator] Starting JMS notification system [9/7/14 14:41:32:841 EDT] 0000000c SharedPool I J2CA0086W: Shareable connection MCWrapper id 5c175c17 Managed connection [com.ibm.ws.sib.api.jmsra.impl.JmsJcaManagedConnection@490f490f <managedConnectionFactory=[com.ibm.ws.sib.api.jmsra.impl.JmsJcaManagedTopi cConnectionFactoryImpl@1f9c1f9c <logWriter=null> <busName=IDMProvBus> <clientID=IDMNotificationDurableTopic> <userName=null> <password=null> <xaRecoveryAlias=> <nonPersistentMapping=ExpressNonPersistent> <persistentMapping=ReliablePersistent> <durableSubscriptionHome=N35020Node02.server1-IDMProvBus> <readAhead=Default> <temporaryQueueNamePrefix=null> <temporaryTopicNamePrefix=null> <target=null> <targetSignificance=Preferred> <targetTransportChain=null> <targetType=BusMember> <providerEndpoints=null> <connectionProximity=Bus> <shareDataSourceWithCMP=false> <shareDurableSubscriptions=NeverShared> <cachedFactory=com.ibm.ws.sib.api.jms.impl.JmsFactoryFactoryImpl@4fb24fb2> <producerDoesNotModifyPayloadAfterSet=false> <consumerDoesNotModifyPayloadAfterGet=false>]> <coreConnection=com.ibm.ws.sib.processor.impl.ConnectionImpl@b0b0b0b> <localTransaction=[com.ibm.ws.sib.api.jmsra.impl.JmsJcaManagedConnection$J msJcaLocalTransaction@78ce78ce <localSITransaction=null>]> <xaResource=null> <metaData=null> <userDetails=[com.ibm.ws.sib.api.jmsra.impl.JmsJcaUserDetails@5b4d5b4d <userName=null> <password=null>]> <subject=null> <logWriter=null> <sessions=[[com.ibm.ws.sib.api.jmsra.impl.JmsJcaSessionImpl@21ff21ff <managedConnection=1225738511> <connection=828453217> <transacted=false> <applicationLocalTransaction=null> <reqInfo=[com.ibm.ws.sib.api.jmsra.impl.JmsJcaConnectionRequestInfo@219a21 9a> <userDetails=null> <coreConnection=com.ibm.ws.sib.processor.impl.ConnectionImpl@b0b0b0b> <request counter=0>]> <sessionClosed=false> <sessionInvalidated=false>]]> <connectionListeners=[com.ibm.ejs.j2c.ConnectionEventListener@1572625852]> ] State:STATE_TRAN_WRAPPER_INUSE from resource ConnectionFactory was used within a local transaction containment boundary. [9/7/14 14:41:32:938 EDT] 0000001a SystemOut O 14:41:32,938 INFO [NotificationThread] Starting asynchronous notification system 302 NetIQ Identity Manager セットアップガイド 33.7 Identity Manager を SSPR と統合するための HTML フレーム化抑制設定の無効化 このセクションでは、Identity Manager 4.5 によって展開されない既存の SSPR 3.2 環境を Identity Manager に統合するために必要な設定について説明します。SSPR の[Prevent HTML Framing (HTML フレーム化の抑制 )]設定オプションを使用すると、iframe HTML ソースコードを使用して いる任意のアプリケーションでインラインフレームに SSPR を表示できます。このオプションを選 択すると、SSPR はアプリケーションで指定している iFrame には表示されません。Identity Manager でこのオプションを無効にするには、次の手順を実行します。 1 http://<IP/DNS name>:<port>/sspr にアクセスします。SSPR ポータルに移動します。 2 SSPR 管理者としてログインします。 3 ページ上部にある[Configuration Editor ( 環境設定エディタ )]をクリックし、OSP 設定パ スワードを指定します。 4 [設定]>[セキュリティ]>[Always Show Advanced Settings ( 常に詳細設定を表示 )]の 順にクリックし、次のアクションを実行します。 4a [Prevent HTML Framing (HTML フレーム化の抑制 )]を参照して[有効]の選択を解除 し、[保存]をクリックして設定を保存します。 4b 確認ウィンドウで[OK]をクリックします。 33.8 識別情報アプリケーションの起動 このセクションでは、識別情報アプリケーションを起動し、アプリケーションサーバに初めてログ インする方法について説明します。クラスタ環境では、プライマリノードで手順を開始します。識 別情報アプリケーションがインストールされ、展開する準備ができている必要があります。インス トール後のタスクの詳細については、311 ページの第 35 章「識別情報アプリケーションのインス トールの完了」を参照してください。 303 ページのセクション 33.8.1 「JBoss サーバまたは Tomcat サーバでのユーザアプリケーション の起動」 305 ページのセクション 33.8.2「WebSphere サーバ上でのユーザアプリケーションの起動」 33.8.1 JBoss サーバまたは Tomcat サーバでのユーザアプリケーショ ンの起動 このセクションでは、使用するアプリケーションサーバ用の起動スクリプトが必要です。 Linux - JBoss: etc/init.d/jboss_init start Linux - Tomcat: etc/init.d/idmapps_tomcat_init start Windows - JBoss: start-jboss.bat Windows - Tomcat: start-tomcat.bat ここまでの手順を実行してもブラウザにユーザアプリケーションページが表示されない場合、端末 コンソールでエラーメッセージをチェックし、501 ページの第 56 章「トラブルシューティング」 を参照します。 識別情報アプリケーションのインストール 303 識別情報アプリケーションを起動するには 1 識別情報アプリケーションのデータベースを起動します。詳細については、データベースのマ ニュアルを参照してください。 2 ユーザアプリケーションでレポートを実行するには、アプリケーションサーバの起動スクリプ トに Djava.awt.headless=true フラグを追加します。次に例を示します。 JAVA_OPTS="-Djava.awt.headless=true -Dfile.encoding=UTF-8 -Dsun.jnu.encoding=UTF-8 -server Xms1024m -Xmx1024m -XX:MaxPermSize=512m 注 : X11 Windows システム上で実行している場合は、この手順を実行する必要はありません。 3 識別情報アプリケーションをインストールしたアプリケーションサーバを起動します。 注 : クラスタでは、プライマリノードのみ起動します。 4 コマンドラインで、インストールディレクトリを作業ディレクトリにします。 5 起動スクリプトを実行します。 6 ユーザアプリケーションドライバと通信できるようにするには、次の手順を実行します。 6a iManager にログインします。 6b 左側ナビゲーションフレームの[Roles and Tasks ( 役割とタスク )]>[Identity Manager]の下で[Identity Manager Overview (Identity Manager の概要 )]をクリック します。 6c コンテンツビューで、ユーザアプリケーションドライバを含むドライバセットを指定し、 [検索]をクリックします。 6d ドライバセットとそれに関連付けられているドライバが表示されているグラフで、ユーザ アプリケーションドライバを表す赤と白のアイコンをクリックします。 6e [ドライバの起動]をクリックします。 ドライバは、起動時にユーザアプリケーションと「ハンドシェーク」しようとします。ア プリケーションサーバが実行されていない場合または WAR が正常に展開されていなかっ た場合、ドライバはエラーを返します。それ以外の場合、ドライバステータスは陰陽記号 に変化し、ドライバが起動されていることを示します。 7 役割とリソースのサービスドライバを起動するには、ステップ 6 の手順を繰り返します。 8 ユーザアプリケーションを起動してログインするには、Web ブラウザで次の URL を入力しま す。 http://hostname:port/ApplicationName hostname アプリケーションサーバの名前を表します。たとえば、myserver.domain.com です。 port アプリケーションサーバのポート番号を表します。たとえば、8180 です。 ApplicationName インストール時にアプリケーションサーバの設定情報を指定する際にアプリケーションに 指定した名前を表します。たとえば、IDMProv です。 9 ユーザアプリケーションのランディングページの右上隅で[ログイン]をクリックします。 304 NetIQ Identity Manager セットアップガイド 10 ( 状況によって実行 ) クラスタグループでユーザアプリケーションを有効にするには、次の手順 を実行します。 10a [管理]をクリックします。 10b アプリケーション設定ポータルで[キャッシング]をクリックします。 10c [キャッシュマネージャー]ウィンドウの[有効なクラスタ]で[True]を選択します。 10d [保存]をクリックします。 10e サーバを再起動します。 10f ( 状況によって実行 ) ローカル設定を使用するには、クラスタ内の各サーバでこの手順を 繰り返します。 33.8.2 WebSphere サーバ上でのユーザアプリケーションの起動 1 識別情報アプリケーションをホストする WebSphere アプリケーションサーバにログインしま す。 2 標準の WebSphere 展開手順を使用して、ユーザアプリケーション WAR ファイルを展開しま す。 3 WebSphere 管理コンソールに管理者ユーザとしてログインします。 4 左側ナビゲーションペインで、 [アプリケーション]>[エンタープライズ・アプリケーショ ン]を展開します。 5 起動するユーザアプリケーションコンテキストの横にあるチェックボックスを選択し、 [始動] をクリックします。 6 コンソールからログアウトします。 7 ユーザアプリケーションポータルにアクセスするには、サポートされている Web ブラウザで 次の URL を入力します。 http://application-server-host:port/application-context 次に例を示します。 http://localhost:9080/IDMProv 識別情報アプリケーションのインストール 305 306 NetIQ Identity Manager セットアップガイド 34 識別情報アプリケーション用のドライバの 作成と展開 34 RBPM のインストールプロセスは、識別情報アプリケーション用のドライバを作成するためのファ イルを追加します。ドライバ環境設定サポートでは、次の処理を実行できます。 1つのユーザアプリケーションドライバと1 つの役割サービスドライバおよびリソースサービス ドライバとの関連付け 1 つのユーザアプリケーションと 1 つのユーザアプリケーションドライバとの関連付け ドライバの設定を開始する前に、Designer の[パッケージカタログ]で必要なパッケージがすべて 揃っていることを確認します。新しい Identity Manager プロジェクトを作成すると、新しいプロ ジェクトにいくつかのパッケージをインポートするようにユーザインタフェースによって自動的に 要求されます。 307 ページのセクション 34.1「ユーザアプリケーションドライバの作成」 308 ページのセクション 34.2「役割とリソースサービスドライバの作成」 309 ページのセクション 34.3「ユーザアプリケーションのドライバの展開」 34.1 ユーザアプリケーションドライバの作成 ユーザアプリケーションドライバはランタイムコンポーネントとしてだけでなく、ディレクトリオ ブジェクト ( ユーザアプリケーションのランタイムの生成物で構成される ) のストレージラッパー としても動作します。アプリケーション固有の環境設定データを保存する役割もあります。また、 識別ボールトで重要なデータ値が変更されると、ディレクトリ抽象化レイヤに通知します。この通 知により、ディレクトリ抽象化レイヤがそのキャッシュを更新します。 1 Designer でプロジェクトを開きます。 2 [モデラー]>[プロビジョニング]ビューで、パレットから[ユーザアプリケーション]を選 択します。 3 [ユーザアプリケーション]のアイコンを[モデラー]ビュー上にドラッグします。 4 ドライバ環境設定ファイルウィザードで、 [User Application Base ( ユーザアプリケーション ベース )]を選択し、[次へ]をクリックします。 5 さまざまな追加パッケージのインストールを確認するプロンプトで[OK]をクリックします。 6 ( オプション ) ドライバの名前を指定します。 [次へ]をクリックします。 7 接続パラメータウィンドウで、ユーザアプリケーション管理者の ID とパスワードを指定しま す。 8 ユーザアプリケーションサーバのホストとポートを指定します。 9 ユーザアプリケーションサーバのアプリケーションコンテキストを指定します。 識別情報アプリケーション用のドライバの作成と展開 307 10 ( オプション ) プロビジョニング管理者が代理として指名されている別のユーザ名でワークフ ローを開始できるようにするには、 [Allow Initiator Override ( イニシエータの無効化を許可 )] に対して[はい]を選択します。 11 [インストールタスクの確認 .]ウィンドウで、 [終了]をクリックします。 34.2 役割とリソースサービスドライバの作成 ユーザアプリケーションは、役割とリソースのサービスドライバを使用して、リソースのバックエ ンド処理を行います。たとえば、すべてのリソース要求の管理、リソース要求のワークフローの開 始、およびリソース要求のプロビジョニングプロセスの開始などです。 1 Designer でプロジェクトを開きます。 2 [モデラー]>[プロビジョニング]ビューのパレットで[役割サービス]を選択します。 3 [役割サービス]のアイコンを[モデラー]ビュー上にドラッグします。 4 ドライバ環境設定ウィザードで[Role and Resource Service Base ( 役割とリソースサービス ベース )]を選択し、[次へ]をクリックします。 5 ( 状況によって実行 ) これが Designer でインストールした最初のドライバである場合、 [OK] をクリックして[Common Settings Advanced Edition ( 共通設定拡張エディション )]パッ ケージをインストールします。 5a ユーザアプリケーションサーバの URL を指定します。 5b ユーザアプリケーション管理者の eDirectory DN を指定します。 5c ユーザアプリケーションプロビジョニングサービスアカウントの LDAP DN を指定します。 ユーザアプリケーション管理者と同じアカウントまたは別のアカウントを指定できます。 役割またはリソースのプロビジョニング要求がこのサービスアカウントによって開始され た場合、この役割またはリソースに関連付けられている承認またはプロビジョニングワー クフローは無視されます。 6 ( オプション ) ドライバの名前を指定します。 7 [次へ]をクリックします。 8 [User Application/Workflow Connection ( ユーザアプリケーション / ワークフロー接続 )]ウィ ンドウで、ユーザグループベースコンテナ DN と、直前に作成したユーザアプリケーションド ライバを指定します。 このドライバはまだ展開されていないので、参照機能では直前に設定したユーザアプリケー ションドライバは表示されません。ドライバの DN を入力する必要がある場合があります。 9 ユーザアプリケーションの URL を指定します。 10 ユーザアプリケーション管理者アカウントの LDAP DN を指定します。 承認ワークフローを開始するために、ユーザアプリケーション管理者アカウントをユーザアプ リケーションで認証します。詳細については、260 ページのセクション 30.2「ユーザアプリ ケーション管理者アカウントの作成」を参照してください。 11 ユーザアプリケーション管理者アカウントのパスワードを指定します。 12 [次へ]をクリックします。 13 [インストールタスクの確認 .]ウィンドウで、 [終了]をクリックします。 308 NetIQ Identity Manager セットアップガイド 34.3 ユーザアプリケーションのドライバの展開 ユーザアプリケーションと役割とリソースサービスドライバは、展開されるまで使用できません。 注 : eDirectory の環境を複製するには、レプリカに Identity Manager の NCP サーバオブジェクトが 含まれていることを確認する必要があります。Identity Manager は、サーバのローカルレプリカに 制約されます。そのため、セカンダリサーバにサーバオブジェクトが含まれていない場合は、役割 とリソースサービスドライバが正しく開始されない可能性があります。 ドライバを展開するには 1 Designer でプロジェクトを開きます。 2 [モデラー]または[アウトライン]ビューで[ドライバセット]を選択します。 3 [ライブ]>[展開]をクリックします。 識別情報アプリケーション用のドライバの作成と展開 309 310 NetIQ Identity Manager セットアップガイド 35 識別情報アプリケーションのインストール の完了 35 このセクションでは、識別情報アプリケーションとそのフレームワークをインストールした後に実 行できるアクティビティの手順について説明します。 311 ページのセクション 35.1「手動によるデータベーススキーマの作成」 313 ページのセクション 35.2「マスタキーの記録」 313 ページのセクション 35.3「ローカライズされたユーザ名の設定」 314 ページのセクション 35.4「識別情報アプリケーションで使用する識別ボールトの設定」 316 ページのセクション 35.5「識別情報アプリケーションの WAR ファイルの再設定」 316 ページのセクション 35.6「パスワードを忘れた場合の管理の設定」 35.1 手動によるデータベーススキーマの作成 識別情報アプリケーションをインストールする際、データベースへの接続またはデータベーステー ブルの作成を後回しにできます。データベースに対する許可を持たないユーザは、このオプション を選択する必要がある場合があります。インストールプログラムは、ユーザがデータベーススキー マを作成するために使用できる SQL ファイルを作成します。インストール後に、再インストールを 行わずに、データベーステーブルを再作成することもできます。それには、識別情報アプリケー ションのデータベースを削除して、それと同じ名前で新しいデータベースを作成します。 35.1.1 SQL ファイルによるデータベーススキーマの生成 このセクションでは、ユーザがデータベーススキーマを生成するために使用できる SQL ファイルを インストールプログラムが作成していると想定しています。この SQL ファイルが存在しない場合 は、312 ページのセクション 35.1.2「データベーススキーマを生成する SQL ファイルの手動による 作成」を参照してください。 注 : この SQL ファイルを SQL*Plus で実行しないでください。このファイルの行長は 4000 文字を 超えています。 1 アプリケーションサーバを停止します。 2 データベースサーバにログインします。 3 識別情報アプリケーションが使用するデータベースを削除します。 4 ステップ 3 で削除したデータベースと同じ名前で新しいデータベースを作成します。 5 インストールプロセスで作成された SQL スクリプトのある場所に移動します。デフォルトで は、/installation_path/userapp/sql ディレクトリにあります。 識別情報アプリケーションのインストールの完了 311 6 ( 状況によって実行 ) Oracle データベースの場合、関数 CONCAT_BLOB の定義の後にバックス ラッシュ (/) を挿入します。次に例を示します。 -- Changeset icfg-data-load.xml::700::IDMRBPM CREATE OR REPLACE FUNCTION CONCAT_BLOB(A IN BLOB, B IN BLOB) RETURN BLOB AS C BLOB; BEGIN DBMS_LOB.CREATETEMPORARY(C, TRUE); DBMS_LOB.APPEND(C, A); DBMS_LOB.APPEND(C, B); RETURN c; END; / 7 データベース管理者に、ユーザアプリケーションデータベースを作成および設定する SQL ス クリプトを実行させます。 8 アプリケーションサーバを再起動します。 35.1.2 データベーススキーマを生成する SQL ファイルの手動による 作成 インストール後に、SQL ファイルがなくても、再インストールを行わずに、データベーステーブル を再作成できます。このセクションでは、SQL ファイルを持たない場合にデータベーススキーマを 作成する方法について説明します。 1 アプリケーションサーバを停止します。 2 識別情報アプリケーションデータベースをホストするサーバにログインします。 3 既存のデータベースを削除します。 4 ステップ 3 で削除したデータベースと同じ名前で新しいデータベースを作成します。 5 テキストエディタで NetIQ-Custom-Install.log ファイルを開きます。このファイルは、デフォルト では、識別情報アプリケーションのインストールディレクトリのルートにあります。次に例を 示します。 /opt/netiq/idm/apps/UserApplication 6 NetIQ-Custom-Install.log ファイルで次のコマンドを検索し、コピーします。 /opt/netiq/idm/jre/bin/java -Xms256m -Xmx256m -Dwar.context.name=IDMProv Ddriver.dn="cn=User Application Driver,cn=driverset1,o=system" Duser.container="o=data" -jar /opt/netiq/idm/apps/UserApplication/ liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase -driver=org.postgresql.Driver --classpath=/opt/netiq/idm/apps/postgresql/ postgresql-9.3-1101.jdbc41.jar opt/netiq/idm/apps/UserApplication/IDMProv.war --changeLogFile=DatabaseChangeLog.xml --url="jdbc:postgresql:// localhost:5432/idmuserappdb" --contexts="prov,newdb" --logLevel=info -logFile=/opt/netiq/idm/apps/UserApplication/db.out --username=******** -password=******** update 7 識別情報アプリケーションで使用するデータベースをインストールしたサーバにログインしま す。 8 端末でコピーしたコマンド文字列を貼り付けます。 注 : 正しいコマンドは updateSQL です。update だった場合は updateSQL に変更してください。 9 コマンドでデータベースユーザ名とパスワードを表すアスタリスク (*) を、認証に必要な実際 の値で置き換えます。また、SQL ファイルの名前が一意であることを確認します。 312 NetIQ Identity Manager セットアップガイド 10 コマンドを実行します。 11 ( 状況によって実行 ) インストールプロセスでデータベースにデータを設定せずに SQL ファイ ルを生成した場合、データベース管理者にそのファイルを渡してデータベースサーバにイン ポートします。詳細については、311 ページのセクション 35.1.1「SQL ファイルによるデータ ベーススキーマの生成」を参照してください。 12 データベース管理者が SQL ファイルをインポートした後、アプリケーションサーバを起動し ます。 35.2 マスタキーの記録 インストールの後は速やかに暗号化マスタキーをコピーして、安全な場所に記録することをお勧め します。このインストールがクラスタの最初のメンバーである場合、クラスタの他のメンバーに識 別情報アプリケーションをインストールする際にこの暗号化マスタキーを使用します。 コンソールから識別情報アプリケーションをインストールした場合、インストールプログラムは master-key.txt ファイルを自動作成しません。かわりに、手動で ism-configuration.properties ファイル からマスタキーをコピーする必要があります。 1 インストールディレクトリにある ism-configuration.properties ファイルを開きます。 2 暗号化マスタキーを、システム障害の場合にアクセスできる安全な場所にコピーします。 警告 : 暗号化マスタキーのコピーは常に保持してください。マスタキーを紛失した場合、暗号化 データに再びアクセスするために暗号化マスタキーが必要になります。たとえば、機器が故障した 後にこのキーが必要になる可能性があります。 35.3 ローカライズされたユーザ名の設定 Identity Manager ホーム、プロビジョニングダッシュボード、およびユーザアプリケーションでは、 ユーザの現在のロケールに基づいて、現在の環境内でのユーザ名の表示形式を設定できます。 User エンティティ定義キーを使用するフォームでリテラル %LocaleFormattedFullName% を使用して、 ユーザアプリケーションの承認フォームでローカライズされたユーザ名を使用できます。Designer でユーザアプリケーションのフォームを作成または設定する方法の詳細については、『NetIQ User Application: Design Guide』の「Creating Forms for a Provisioning Request Definition」を参照して ください。 ローカライズされた名前のフォーマットを設定するには、Designer を使用してディレクトリ抽象化 レイヤ (DAL) の Full Name エンティティを編集します。 1 Designer を起動します。 2 現在のプロジェクトを開いて、アウトラインビューでプロジェクト名をクリックします。 3 プロビジョニングビューで、 [Full Name]を右クリックして[編集]を選択します。 4 ディレクトリ抽象化レイヤエディタで、 [エンティティ]>[Full Name]の順に展開します。 5 変更するロケール名パターンを選択します。 6 [計算される属性]式を変更して、ロケールに使用するフォーマットを指定します。たとえば、 ユーザの名前を姓名の順に表示する場合、次のように式を変更します。 attr.getValue("Surname") + " " + attr.getValue("Given Name") 識別情報アプリケーションのインストールの完了 313 [式]フィールドで手動で式を変更する方法と、[ECMAScript 式のビルド]アイコンをクリッ クして ECMA Expression Builder で式を変更する方法があります。ECMAScript 式を変更する 方法の詳細については、『NetIQ User Application: Design Guide』の「Working with ECMA Expressions」を参照してください。 7 変更をロケール名パターンに保存します。 8 設定する名前パターンごとに、ステップ 5 ~ステップ 7 を繰り返します。 9 終了したら、ディレクトリ抽象化レイヤエディタを閉じます。 10 [モデラー]で[ユーザアプリケーションドライバ]を右クリックして、 [ドライバ]>[展開] の順に選択します。 11 [展開]をクリックし、 [はい]をクリックしてドライバを再起動します。 12 [OK]をクリックします。 35.4 識別情報アプリケーションで使用する識別ボールト の設定 識別情報アプリケーションは、識別ボールト内のオブジェクトとデータをやり取りできる必要があ ります。場合によっては、eDirectory で認証方法とインデックスを設定して、識別ボールトと識別 情報アプリケーションが効率よく通信できるようにする必要があります。 314 ページのセクション 35.4.1「eDirectory でのインデックスの作成」 314 ページのセクション 35.4.2「SAML 認証メソッドのインストールおよび環境設定」 35.4.1 eDirectory でのインデックスの作成 識別情報アプリケーションのパフォーマンスを高めるために、eDirectory 管理者は manager、 ismanager、および srvprvUUID の各属性にインデックスを作成する必要があります。これらの属性に インデックスがない場合、識別情報アプリケーションユーザは、特にクラスタ化環境で、パフォー マンスの低下を感じる可能性があります。 RBPM 設定ユーティリティで[詳細]>[Create eDirectory Indexes (eDirectory インデックスの 作成 )]を選択すると、インストール中に自動的にこれらのインデックスを作成できます。Index Manager を使用してインデックスを作成する方法の詳細については、『NetIQ eDirectory 管理ガイド 』を参照してください。 35.4.2 SAML 認証メソッドのインストールおよび環境設定 Identity Manager インストールプログラムは自動的にこの設定を追加します。 NMAS でサポートされている他の製品と一緒に識別情報アプリケーションを設定する場合、手動で この設定を実行します。その際は、次のアクティビティを実行します。 315 ページの 「eDirectory ツリーにおける SAML メソッドのインストール」 315 ページの 「eDirectory の属性の編集」 314 NetIQ Identity Manager セットアップガイド eDirectory ツリーにおける SAML メソッドのインストール 1 nmassaml.zip ファイルを見つけて圧縮解除します。 2 eDirectory ツリーに SAML メソッドをインストールするには、次の手順を実行します。 2a authsaml.sch に保存されたスキーマの拡張 たとえば Linux では、次のコマンドを入力します。 ndssch -h edir_ip edir_admin authsaml.sch 2b SAML メソッドをインストールします。 たとえば Linux では、次のコマンドを入力します。 nmasinst -addmethod edir_admin tree ./config.txt eDirectory の属性の編集 1 iManager を開きます。 2 [Roles and Tasks ( 役割とタスク )]>[Directory Administration ( ディレクトリ管理 )]> [Create Object ( オブジェクトの作成 )]の順に展開します。 3 [すべてのオブジェクトクラスの表示]を選択します。 4 クラスが authsamlAffiliate である新規のオブジェクトを作成します。 5 [authsamlAffiliate]を選択して、 [OK]をクリックします このオブジェクトには任意の有効な名前を付けることができます。 6 コンテキストを指定するには、ツリーで[SAML Assertion.Authorized Login Methods.Security]コンテナオブジェクトを選択して、[OK]をクリックします。 7 クラスオブジェクト authsamlAffiliate に属性を追加するには、次の手順を実行します。 7a iManager で[View Objects ( オブジェクトの表示 )]>[参照]タブをクリックします。 7b SAML Assertion.Authorized Login Methods.Security コンテナで新しい連携オブジェクトを 見つけます。 7c 新しい連携オブジェクトを選択して、 [オブジェクトの修正]を選択します。 7d 属性 authsamlProviderID を新しい連携オブジェクトに追加します。 この属性を使用して、アサーションを連携と一致させます。この属性のコンテンツは、 SAML アサーションで送られた Issuer の属性と完全に一致している必要があります。 7e [OK]をクリックします。 7f 属性 authsamlValidBefore および authsamlValidAfter を連携オブジェクトに追加しま す。 これらの属性は、アサーションが有効とみなされると、アサーションの IssueInstant に基 づいて時間を秒で定義します。一般的なデフォルトは 180 秒です。 7g [OK]をクリックします。 8 セキュリティコンテナを選択します。 9 [Create Object ( オブジェクトの作成 )]を選択し、セキュリティコンテナ内でルート認証局コ ンテナを作成します。 識別情報アプリケーションのインストールの完了 315 10 ルート認証局コンテナ内でルート認証局オブジェクトを作成するには、次の手順を実行しま す。 10a [Roles and Tasks ( 役割とタスク )]>[Directory Administration ( ディレクトリ管理 )] の順に移動し、[Create Object ( オブジェクトの作成 )]を選択します。 10b [すべてのオブジェクトクラスの表示]を選択します。 10c 連携がアサーションを署名するために使用する証明書用のルート認証局オブジェクトを作 成します。これを行うには、証明書の der エンコードしたコピーを持っている必要があり ます。 10d ルート CA 証明書につながれた署名証明書で、各証明書に対し新規のトラステッドルート オブジェクトを作成します。 10e 以前作成された[トラステッドルートコンテナへのコンテキスト]を設定して、 [OK]を クリックします。 11 オブジェクトビューアに戻ります。 12 authsamlTrustedCertDN 属性を連携オブジェクトに追加し、 [OK]をクリックします。 この属性は、前の手順で作成した署名証明書のルート認証局オブジェクトを参照する必要があ ります ( 連携のアサーションはすべて、この属性によって示される証明書で署名されている必 要があります。署名がない場合は拒否されます )。 13 authsamlCertContainerDN 属性を連携オブジェクトに追加し、 [OK]をクリックします。 この属性は、以前作成したルート認証局コンテナを参照する必要があります ( この属性を使用 して、署名証明書の証明書チェーンを確認します )。 35.5 識別情報アプリケーションの WAR ファイルの再設定 識別情報アプリケーションの WAR ファイルを更新するには、RBPM 設定ユーティリティを実行し ます。 1 このユーティリティを実行するには、インストールディレクトリで configupdate.sh または configupdate.bat を実行します。 ユーティリティパラメータの詳細については、323 ページの第 36 章「識別情報アプリケー ションの設定の管理」を参照してください。 2 新しい WAR ファイルをアプリケーションサーバに展開する場合、次のことを考慮します。 WebSphere の場合、WAR ファイルをアプリケーションサーバに再展開します。 JBoss と Tomcat の単独サーバの場合、変更を展開されている WAR に適用します。 JBoss クラスタの場合、クラスタ内の各 JBoss サーバ上の WAR ファイルを更新します。 35.6 パスワードを忘れた場合の管理の設定 Identity Manager インストールには、忘れたパスワードをリセットするプロセスの管理に役立つセ ルフサービスパスワードリセットが含まれています。それとは別に、外部パスワード管理システム を使用する方法があります。 317 ページのセクション 35.6.1「セルフサービスパスワードリセットによるパスワードを忘れ た場合の管理」 319 ページのセクション 35.6.2「レガシプロバイダによるパスワードを忘れた場合の管理」 316 NetIQ Identity Manager セットアップガイド 320 ページのセクション 35.6.3「外部システムによるパスワードを忘れた場合の管理」 322 ページのセクション 35.6.4 「分散環境またはクラスタ化環境のホームページの SSPR リンク の更新」 35.6.1 セルフサービスパスワードリセットによるパスワードを忘れた 場合の管理 SSPR と識別情報アプリケーションをインストールすると、通常はパスワードを忘れた場合の管理 を有効にできます。ただし、パスワードを変更した後に SSPR がユーザを転送する識別情報アプリ ケーションのランディングページの URL を指定していない場合があります。また、パスワードを忘 れた場合の管理を有効にする必要がある場合もあります。この節では、次のトピックについて説明 します。 317 ページの「セルフサービスパスワードリセットを使用するための Identity Manager の設定」 318 ページの 「Identity Manager で使用するためのセルフサービスパスワードリセットの設定」 318 ページの 「SSPR 設定のロック」 セルフサービスパスワードリセットを使用するための Identity Manager の設定 このセクションでは、SSPR を使用するために Identity Manager を設定する方法について説明しま す。 1 識別情報アプリケーションをインストールしたサーバにログインします。 2 RBPM 設定ユーティリティを実行します。詳細については、323 ページのセクション 36.1「識 別情報アプリケーション設定ユーティリティの実行」を参照してください。 3 ユーティリティで[認証]>[パスワードの管理]の順に移動します。 4 [パスワード管理プロバイダ]では SSPR を指定します。 5 [パスワードを忘れた場合]を選択します。 6 [SSO クライアント]>[セルフサービスパスワードリセット]の順に移動します。 7 [OSP client ID (OSP クライアント ID)]では認証サーバに認識させる SSPR のシングルサイ ンオンクライアントの名前を指定します。デフォルト値は sspr です。 8 [OSP client secret (OSP クライアントシークレット )]では SSPR のシングルサインオンクラ イアントのパスワードを指定します。 9 [OSP redirect URL (OSP リダイレクト URL)]では認証完了時に認証サーバがブラウザクライ アントをリダイレクトする絶対 URL を指定します。 使用するフォーマットは、protocol://server:port/path です。たとえば、「http://123.45.678:8180/sspr/ public/oauth」と指定します。 10 変更を保存して、ユーティリティを閉じます。 識別情報アプリケーションのインストールの完了 317 Identity Manager で使用するためのセルフサービスパスワードリセット の設定 このセクションでは、Identity Manager と一緒に使用するために SSPR を設定する方法について説 明します。たとえば、パスワードポリシーや秘密の質問の答えの質問を変更できます。 Identity Manager と一緒に SSPR をインストールしたときに、管理者がこのアプリケーションを設 定するために使用できるパスワードを指定しました。SSPR 設定を変更してから、管理者アカウン トまたは管理者グループが SSPR を設定できるように指定することをお勧めします。設定パスワー ドの詳細については、239 ページの第 28 章「Identity Manager 用のシングルサインオンおよびパス ワード管理のインストール」を参照してください。 1 インストール時に指定した設定パスワードを使用して、SSPR にログインします。 2 [設定]ページで、パスワードポリシーと秘密の質問の答えの質問の設定を変更します。 SSPR 設定のデフォルト値を設定する方法の詳細については、『NetIQ Self Service Password Reset Administration Guide』の「Configuring Self Service Password Reset」を参照してくださ い。 3 SSPR 設定ファイル (SSPRConfiguartion.xml) のロック設定ファイルのロックの詳細については、 318 ページの 「SSPR 設定のロック」を参照してください。 4 ( オプション ) 設定をロックした後で SSPR 設定を変更するには、SSPRConfiguartion.xml ファイ ルで configIsEditable 設定を true に設定する必要があります。 5 SSPR からログアウトします。 6 変更を有効にするには、Tomcat を再起動します。 SSPR 設定のロック 1 http://<IP/DNS name>:<port>/sspr にアクセスします。SSPR ポータルに移動します。 2 Identity Manager に管理者アカウントでログインするか、または既存のログイン資格情報でロ グインします。 3 ページ上部の[Configuration Manager ( 環境設定マネージャ )]をクリックし、インストール 時に指定した設定パスワードを指定します。 4 [Configuration Editor ( 環境設定エディタ )]をクリックし、 [設定]>[LDAP Settings (LDAP 設定 )]の順に移動します。 5 SSPR 設定ファイル (SSPRConfiguartion.xml) のロック 5a [Administrator Permission ( 管理者許可 )]セクションで、識別ボールト内の SSPR に対す る管理者権限を持つユーザまたはグループを表すフィルタを LDAP フォーマットで定義し ます。デフォルトでは、このフィルタは groupMembership=cn=Admins,ou=Groups,o=example と設定されています。 たとえば、ユーザアプリケーション管理者の場合は「uaadmin (cn=uaadmin)」と設定しま す。 これにより、設定を変更するためのすべての権限を持つ SSPR 管理者ユーザを除いて、 ユーザは SSPR で設定を変更できなくなります。 5b LDAP クエリが結果を返していることを確認するために、 [View Matches ( 一致の表示 )] をクリックします。 設定にエラーがある場合は、次の設定オプションに進めません。SSPR は問題のトラブル シューティングに役立つエラー詳細を表示します。 318 NetIQ Identity Manager セットアップガイド 5c [保存]をクリックします。 5d ポップアップされる確認ウィンドウで[OK]をクリックします。 SSPR がロックされている間は、管理者ユーザが表示する管理インタフェースには、 [Dashboard ( ダッシュボード )]、[User Activity ( ユーザアクティビティ )] 、[Data Analysis ( データ分析 )]など、SSPR がロックされる前は表示されていなかった追加オプ ションが表示されます。 6 ( オプション ) 設定をロックした後で SSPR 設定を変更するには、SSPRConfiguartion.xml ファイ ルで configIsEditable 設定を true に設定する必要があります。 7 SSPR からログアウトします。 8 ステップ 3 で定義されている管理者ユーザとして SSPR に再ログインします。 9 [Close Configuration ( 設定を閉じる )]をクリックし、 [OK]をクリックして変更を確認し ます。 10 変更を有効にするには、Tomcat を再起動します。 35.6.2 レガシプロバイダによるパスワードを忘れた場合の管理 パスワードを忘れた場合の管理に、SSPR ではなく、Identity Manager のレガシプロバイダを使用 できます。レガシプロバイダを選択する場合、SSPR をインストールする必要はありません。ただ し、パスワード管理のための共有ページにアクセスする許可をユーザに再割り当てする必要があり ます。このセクションでは、次のアクティビティを実行する手順について説明します。 319 ページの 「パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設定」 320 ページの 「パスワード管理ページの許可の再割り当て」 レガシプロバイダの詳細については、39 ページのセクション 4.4.2「レガシパスワード管理プロバ イダの理解」を参照してください。共有ページと許可の詳細については、『NetIQ Identity Manager User Application: Administration Guide』の「Page Administration」を参照してください。 パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設 定 1 識別情報アプリケーションをインストールしたサーバにログインします。 2 RBPM 設定ユーティリティを実行します。詳細については、323 ページのセクション 36.1「識 別情報アプリケーション設定ユーティリティの実行」を参照してください。 3 ユーティリティで[認証]>[パスワードの管理]の順に移動します。 4 [パスワード管理プロバイダ]では[ユーザアプリケーション ( レガシ )]を指定します。 5 [パスワードを忘れた場合]では[内部]を指定します。 6 [SSO クライアント]>[セルフサービスパスワードリセット]の順に移動します。 7 [OSP redirect URL (OSP リダイレクト URL)]では認証完了時に認証サーバがブラウザクライ アントをリダイレクトする絶対 URL を指定します。 使用するフォーマットは、protocol://server:port/path です。たとえば、「http://123.45.678:8180/ landing」と指定します。 8 変更を保存して、ユーティリティを閉じます。 識別情報アプリケーションのインストールの完了 319 パスワード管理ページの許可の再割り当て 識別情報アプリケーションの設定は、インストール時にデフォルトで SSPR に設定されます。パス ワードを忘れた場合の管理のための共有ページにアクセスさせるユーザ、グループ、またはコンテ ナの許可の割り当てまたは再割り当てを実行する必要があります。ユーザにコンテナページまたは 共有ページの表示許可を割り当てると、ユーザはそのページにアクセスできるようになり、使用可 能なページのリストにそのページが表示されます。 1 Identity Manager がレガシプロバイダを使用していることを確認します。詳細については、319 ページの 「パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設定」を参照 してください。 2 ユーザアプリケーションにアプリケーション管理者としてログインします。たとえば、 uaadmin としてログインします。 3 [管理]>[ページ管理]の順に移動します。 4 [共有ページ]パネルで[パスワードの管理]に移動します。 5 許可を指定するページを選択します。たとえば、 [パスワードの変更]または[パスワード確 認の回答]を選択します。 6 右側パネルで[許可の割り当て]をクリックします。 7 [表示]で、ページを割り当てるユーザ、グループ、またはコンテナを選択します。 8 ( オプション ) 指定したページにアプリケーション管理者だけがアクセスできることを保証する には、 [表示許可を管理者のみに設定]を選択します。 9 [保存]をクリックします。 10 設定するページごとに、ステップ 5 ~ステップ 9 を実行します。 11 Identity Manager ホームに戻ります。 12 [編集]をクリックします。 13 [Edit Home Items ( ホームアイテムの編集 )]ページで、SSPR ページへのリンクを UserApp PwdMgt のリンクで置き換えます。 詳細については、322 ページのセクション 35.6.4「分散環境またはクラスタ化環境のホーム ページの SSPR リンクの更新」を参照してください。 14 ログアウトして、アプリケーションサーバを再起動します。 35.6.3 外部システムによるパスワードを忘れた場合の管理 外部システムを使用するには、パスワードを忘れた場合機能を含む WAR ファイルの場所を指定す る必要があります。このプロセスには次の作業が含まれます。 321 ページの 「外部からパスワードを忘れた場合を管理する WAR ファイルの指定」 322 ページの 「外部パスワードを忘れた場合の環境設定のテスト」 322 ページの 「アプリケーションサーバ間の SSL 通信の設定」 320 NetIQ Identity Manager セットアップガイド 外部からパスワードを忘れた場合を管理する WAR ファイルの指定 インストール時にこの値を指定せずに、後で設定を変更する場合、RBPM 設定ユーティリティを使 用するか、ユーザアプリケーションで管理者として変更します。 1 ( 状況によって実行 ) RBPM 設定ユーティリティで設定を変更するには、次の手順を実行しま す。 1a 識別情報アプリケーションをインストールしたサーバにログインします。 1b RBPM 設定ユーティリティを実行します。詳細については、323 ページのセクション 36.1 「識別情報アプリケーション設定ユーティリティの実行」を参照してください。 1c ユーティリティで[認証]>[パスワードの管理]の順に移動します。 1d [パスワード管理プロバイダ]では[ユーザアプリケーション ( レガシ )]を指定します。 2 ( 状況によって実行 ) ユーザアプリケーションで設定を変更するには、次の手順を実行します。 2a ユーザアプリケーションの管理者としてログインします。 2b [管理]>[アプリケーション環境設定]>[パスワードモジュールのセットアップ]>[ロ グイン]の順に移動します。 3 [パスワードを忘れた場合]では、 [外部]を指定します。 4[ [パスワードを忘れた場合]リンク]では、ログインページでユーザが[パスワードを忘れた 場合]をクリックしたときに表示するリンクを指定します。ユーザがこのリンクをクリックす ると、アプリケーションはユーザを外部パスワード管理システムに転送します。次に例を示し ます。 http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp 5 [パスワードを忘れた場合の返信リンク]では、ユーザがパスワードを忘れた場合の手順の実 行完了後に表示するリンクを指定します。このリンクをクリックすると、指定したリンクにリ ダイレクトされます。次に例を示します。 http://localhost/IDMProv 6 [パスワードを忘れた場合の Web サービス URL]では、パスワードを忘れた場合の外部 WAR が識別情報アプリケーションを呼び戻すために使用する Web サービスの URL を指定します。 次の形式を使用してください。 https://idmhost:sslport/idm/pwdmgt/service 識別情報アプリケーションに対してセキュアな Web サービス通信を保証するために、返信リ ンクでは SSL を使用する必要があります。詳細については、322 ページの 「アプリケーショ ンサーバ間の SSL 通信の設定」を参照してください。 7 ExternalPwd.war を、外部パスワード WAR 機能を実行するリモートアプリケーションサーバ展 開ディレクトリに手動でコピーします。 識別情報アプリケーションのインストールの完了 321 外部パスワードを忘れた場合の環境設定のテスト 外部パスワード WAR ファイルがあり、これにアクセスして[パスワードを忘れた場合]機能をテ ストする場合は、次の場所でアクセスできます。 ブラウザ内で直接アクセスします。外部パスワード WAR ファイルで[パスワードを忘れた場 合]ページに移動します。たとえば、http://localhost:8180/ExternalPwd/jsps/pwdmgt/ ForgotPassword.jsp に移動します。 ユーザアプリケーションログインページで、[パスワードを忘れた場合]のリンクをクリック します。 アプリケーションサーバ間の SSL 通信の設定 外部パスワード管理システムを使用する場合、識別情報アプリケーションおよびパスワードを忘れ た場合の外部管理 WAR ファイルを展開しているアプリケーションサーバ間に SSL 通信を設定する 必要があります。アプリケーションサーバのマニュアルを参照してください。 35.6.4 分散環境またはクラスタ化環境のホームページの SSPR リンク の更新 インストールプロセスは、識別情報アプリケーションおよび Identity Reporting と同じアプリケー ションサーバ上に SSPR が展開されていると想定しています。デフォルトでは、[Identity Manager ホーム]ページにある組み込みリンクは、ローカルシステム上の SSPR を参照する相対 URL フォーマットを使用します。たとえば、/sspr/private/changepassword です。分散環境またはクラ スタ化環境にアプリケーションをインストールする場合、SSPR リンクの URL を更新する必要があ ります。 1 [Identity Manager ホーム]に管理者としてログインします。たとえば、uaadmin としてログイ ンします。 2 [編集]をクリックします。 3 [Edit Home Items ( ホームアイテムの編集 )]ページで、更新するアイテムの上にマウスを移動 し、編集アイコンをクリックします。たとえば、[マイパスワードの変更]を選択します。 4 [リンク]では絶対 URL を指定します。たとえば、 「http://123.45.678:8180/sspr/changepassword」 と指定します。 5 [保存]をクリックします。 6 更新する SSPR リンクごとにこの手順を繰り返します。 7 終了したら、 [I'm done ( 完了 )]をクリックします。 8 ログアウトしてから一般ユーザとしてログインし、変更されているかどうかをテストします。 322 NetIQ Identity Manager セットアップガイド 36 36 識別情報アプリケーションの設定の管理 識別情報アプリケーション設定ユーティリティを使用して、ユーザアプリケーションドライバと識 別情報アプリケーションの設定を管理できます。識別情報アプリケーションのインストールプログ ラムは、アプリケーションの設定にかかる時間を短縮するために、このユーティリティを呼び出し ます。これらの設定のほとんどは、インストール後にも変更できます。 設定ユーティリティを実行するためのファイルは、デフォルトでは識別情報アプリケーションのイ ンストールサブディレクトリにあります。 Linux: configupdate.sh スクリプト Windows: configupdate.bat ファイル 注 : クラスタでは、そのすべてのメンバーの環境設定は同一です。 このセクションでは、設定ユーティリティの設定について説明します。これらの設定は複数のタブ として編成されています。Identity Reporting をインストールする場合、インストールプロセスは ユーティリティに Identity Reporting 用のパラメータを追加します。 323 ページのセクション 36.1「識別情報アプリケーション設定ユーティリティの実行」 324 ページのセクション 36.2「User Application Parameters ( ユーザアプリケーションのパラ メータ )」 334 ページのセクション 36.3「認証パラメータ」 339 ページのセクション 36.4「SSO Clients Parameters (SSO クライアントパラメータ )」 345 ページのセクション 36.5「Reporting Parameters (Reporting パラメータ )」 36.1 識別情報アプリケーション設定ユーティリティの実 行 1 Linux では、テキストエディタで configupdate.sh ファイルを開きます。このファイルは、デ フォルトではユーザアプリケーションのインストールディレクトリ /opt/netiq/idm/apps/ UserApplication にあります。 2 configupdate.sh で次のオプションが正しく設定されていることを確認します。 -edit_admin true -use_console false 注 : ユーティリティをコンソールモードで実行する必要がある場合のみ、-use_console の値を true に設定する必要があります。 3 configupdate.sh を保存して閉じます。 4 コマンドプロンプトで、次のどちらかの方法で設定ユーティリティを実行します。 Linux: ./configupdate.sh Windows: configupdate.bat 識別情報アプリケーションの設定の管理 323 注 : ユーティリティが起動するまで数分待つ必要がある場合があります。 36.2 User Application Parameters ( ユーザアプリケー ションのパラメータ ) 識別情報アプリケーションを設定する際、このタブでは、識別情報アプリケーションが識別ボール トと通信する場合に使用する値を定義します。いくつかの設定は、インストールプロセスを完了す るために必須です。 デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、 [詳 細オプションの表示]をクリックします。このタブには、次の設定グループがあります。 324 ページのセクション 36.2.1「識別ボールト設定」 326 ページのセクション 36.2.2「識別ボールト DN」 328 ページのセクション 36.2.3「識別ボールトユーザ ID」 329 ページのセクション 36.2.4「識別ボールトユーザグループ」 330 ページのセクション 36.2.5「識別ボールト証明書」 330 ページのセクション 36.2.6「電子メールサーバ設定」 332 ページのセクション 36.2.7「トラステッドキーストア」 332 ページのセクション 36.2.8「NetIQ Sentinel デジタル署名証明書 & キー」 332 ページのセクション 36.2.9「その他」 334 ページのセクション 36.2.10「コンテナオブジェクト」 36.2.1 識別ボールト設定 このセクションでは、識別情報アプリケーションが識別ボールト内のユーザの識別情報と役割にア クセスできるようにする設定を定義します。いくつかの設定は、インストールプロセスを完了する ために必須です。 識別ボールトサーバ 必須 LDAP サーバのホスト名または IP アドレスを指定します。たとえば、「myLDAPhost」と指定し ます。 LDAP ポート 識別ボールトが平文の LDAP 要求をリスンするポートを指定します。デフォルトは 389 です。 LDAP を使用する方法の詳細については、87 ページのセクション 8.5「識別ボールトと通信す るための LDAP の使用」を参照してください。 324 NetIQ Identity Manager セットアップガイド LDAP セキュアポート 識別ボールトが SSL (Secure Sockets Layer) プロトコルを使用した LDAP 要求をリスンする ポートを指定します。デフォルトは 636 です。 eDirectory がインストールされる前にサーバにロードされているサービスがデフォルトのポー トを使用している場合は、別のポートを指定する必要があります。LDAP を使用する方法の詳 細については、87 ページのセクション 8.5「識別ボールトと通信するための LDAP の使用」を 参照してください。 識別ボールト管理者 必須 LDAP 管理者の資格情報を指定します。たとえば、「cn=admin」 というようになります。この ユーザは識別ボールトにすでに存在している必要があります。 識別情報アプリケーションはこのアカウントを使用して、識別ボールトへの管理接続を行いま す。この値は、マスタキーに基づいて暗号化されます。 識別ボールト管理者パスワード 必須 LDAP 管理者のパスワードを指定します。このパスワードは、マスタキーに基づいて暗号化さ れます。 パブリック匿名アカウントの使用 ログインしていないユーザが LDAP パブリック匿名アカウントにアクセスできるかどうかを指 定します。 セキュア管理者接続 RBPM が管理者アカウント関連のすべての通信で SSL プロトコルを使用するかどうかを指定 します。この設定を行っても、SSL を必要としない他の処理は SSL を使用せずに処理を実行 できます。 注 : このオプションを選択すると、パフォーマンスが低下する可能性があります。 セキュアなユーザ接続 RPBM がログインユーザアカウント関連のすべての通信で TLS/SSL プロトコルを使用するか どうかを指定します。この設定を行っても、TLS/SSL を必要としない他の処理は TLS/SSL を 使用せずに動作できます。 注 : このオプションを選択すると、パフォーマンスが低下する可能性があります。 識別情報アプリケーションの設定の管理 325 36.2.2 識別ボールト DN このセクションでは、識別情報アプリケーションと Identity Manager の他のコンポーネントの間で 通信できるようにするコンテナとユーザアカウントの識別名を定義します。いくつかの設定は、イ ンストールプロセスを完了するために必須です。 ルートコンテナ DN 必須 ルートコンテナの LDAP 識別名を指定します。これは、ディレクトリ抽象化層で検索ルートが 指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。たとえ ば、「o=mycompany」と指定します。 ユーザコンテナ DN 必須 詳細オプションを表示すると、このパラメータは[識別ボールトユーザ識別情報]に表示され ます。 ユーザコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。この設定には次 の考慮事項が適用されます。 このコンテナ ( とその下位 ) のユーザは、識別情報アプリケーションへのログインを許可さ れます。 識別情報アプリケーションをホストするアプリケーションサーバを起動していた場合、 configupdate.sh ファイルまたは configupdate.bat ファイルでこの設定を変更することはでき ません。 このコンテナには、ユーザがユーザアプリケーションドライバを設定したときに指定した ユーザアプリケーション管理者が含まれている必要があります。含まれていない場合、指 定したアカウントはワークフローを実行できません。 グループコンテナ DN 必須 詳細オプションを表示すると、このパラメータは[識別ボールトユーザグループ]に表示され ます。 グループコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。この設定には 次の考慮事項が適用されます。 ディレクトリ抽象化レイヤ内のエンティティ定義では、この DN を使用します。 識別情報アプリケーションをホストするアプリケーションサーバを起動していた場合、 configupdate.sh ファイルまたは configupdate.bat ファイルでこの設定を変更することはでき ません。 ユーザアプリケーションドライバ 必須 ユーザアプリケーションドライバの識別名を指定します。 たとえば、ドライバが UserApplicationDriver、ドライバセットの名前が myDriverSet、ドライ バセットのコンテキストが o=myCompany である場合、 「cn=UserApplicationDriver,cn=myDriverSet,o=myCompany」と指定します。 ユーザアプリケーション管理者 必須 326 NetIQ Identity Manager セットアップガイド ユーザアプリケーションの指定したユーザコンテナの管理タスクを実行する権限を持つ識別 ボールト内の既存のユーザアカウントを指定します。この設定には次の考慮事項が適用されま す。 ユーザアプリケーションをホストするアプリケーションサーバを起動したことがある場 合、configupdate.sh ファイルまたは configupdate.bat ファイルを使用してこの設定を変更す ることはできません。 ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーショ ンの[管理]>[セキュリティ]ページを使用します。 このユーザアカウントは、ユーザアプリケーションの[管理]タブを使用してポータルを 管理する権利を持ちます。 ユーザアプリケーション管理者が、iManager、Designer、またはユーザアプリケーション ([要求と承認]タブ ) に公開されているワークフロー管理タスクに参加する場合は、この 管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対す る適切なトラスティ権限を与える必要があります。詳細については、『User Application Administration Guide』を参照してください。 プロビジョニング管理者 ユーザアプリケーション全体で使用可能なプロビジョニングワークフロー機能を管理する識別 ボールト内の既存のユーザアカウントを指定します。 ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーショ ンの[管理]>[管理者の割り当て]ページを使用します。 整合性管理者 [コンプライアンス]タブのすべての機能を実行することをメンバーに許可するシステム役割 を実行する識別ボールト内の既存のアカウントを指定します。この設定には次の考慮事項が適 用されます。 識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリ ケーションの[管理]>[管理者の割り当て]ページを使用します。 設定を更新する際、この値に対する変更が有効になるのは、有効なコンプライアンス管理 者が割り当てられていない場合のみです。有効なコンプライアンス管理者が存在する場合 は、変更は保存されません。 役割管理者 任意の役割の作成、削除、または変更および任意のユーザ、グループ、またはコンテナへの役 割割り当ての付与または取消をメンバーに許可する役割を指定します。さらに役割のメンバー は、任意のユーザに対してレポートを実行できます。この設定には次の考慮事項が適用されま す。 デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。 識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリ ケーションの[管理]>[管理者の割り当て]ページを使用します。 設定を更新する際、この値に対する変更が有効になるのは、有効な役割管理者が割り当て られていない場合のみです。有効な役割管理者が存在する場合は、変更は保存されませ ん。 識別情報アプリケーションの設定の管理 327 セキュリティ管理者 セキュリティドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定に は次の考慮事項が適用されます。 セキュリティ管理者は、セキュリティドメイン内のすべてのオブジェクトで可能なアク ションをすべて実行できます。セキュリティドメインを使用すると、セキュリティ管理者 は RBPM 内のすべてのドメインのすべてのオブジェクトのアクセス許可を設定できます。 セキュリティ管理者はチームを構成でき、またドメイン管理者、委任管理者、およびその 他のセキュリティ管理者も割り当てることができます。 識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリ ケーションの[管理]>[管理者の割り当て]ページを使用します。 リソース管理者 リソースドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次 の考慮事項が適用されます。 リソース管理者はリソースドメイン内のすべてのオブジェクトで可能なアクションをすべ て実行できます。 識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリ ケーションの[管理]>[管理者の割り当て]ページを使用します。 RBPM 設定管理者 構成ドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考 慮事項が適用されます。 RBPM 設定管理者は、構成ドメイン内のすべてのオブジェクトで可能なアクションをすべ て実行できます。RBPM 設定管理者は、RBPM 内のナビゲーション項目へのアクセスを制 御します。また、RBPM 設定管理者は委任と代理サービス、ユーザインタフェースのプロ ビジョニング、およびワークフローエンジンを設定します。 識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリ ケーションの[管理]>[管理者の割り当て]ページを使用します。 RBPM レポーティング管理者 レポーティング管理者を指定します。デフォルトでは、インストールプログラムが他のセキュ リティフィールドと同じユーザをこの値に表示します。 36.2.3 識別ボールトユーザ ID このセクションでは、識別情報アプリケーションが識別ボールト内のユーザコンテナと通信できる ようにする値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。 このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。 ユーザコンテナ DN 必須 詳細オプションを表示していない場合、このパラメータは[識別ボールト DN]に表示されま す。 ユーザコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。この設定には次 の考慮事項が適用されます。 このコンテナ ( とその下位 ) のユーザは、識別情報アプリケーションへのログインを許可さ れます。 328 NetIQ Identity Manager セットアップガイド 識別情報アプリケーションをホストするアプリケーションサーバを起動していた場合、 configupdate.sh ファイルまたは configupdate.bat ファイルでこの設定を変更することはでき ません。 このコンテナには、ユーザがユーザアプリケーションドライバを設定したときに指定した ユーザアプリケーション管理者が含まれている必要があります。含まれていない場合、指 定したアカウントはワークフローを実行できません。 ユーザ検索スコープ 識別ボールトユーザがコンテナを検索できるスコープの深さを指定します。 ユーザオブジェクトクラス LDAP ユーザのオブジェクトクラスを指定します。通常は inetOrgPerson です。 ログイン属性 ユーザのログイン名を表す LDAP 属性を指定します。たとえば、「cn」と指定します。 名前付け属性 ユーザまたはグループをルックアップする際に識別子として使用する LDAP 属性を指定しま す。これはログイン属性とは異なります。ログイン属性はログイン時にのみ使用されます。た とえば、「cn」と指定します。 ユーザメンバーシップ属性 ( オプション ) ユーザのグループメンバーシップを表す LDAP 属性を指定します。この名前を 指定する際、スペースを使用しないでください。 36.2.4 識別ボールトユーザグループ このセクションでは、識別情報アプリケーションが識別ボールト内のグループコンテナと通信でき るようにする値を定義します。いくつかの設定は、インストールプロセスを完了するために必須で す。 このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。 グループコンテナ DN 必須 詳細オプションを表示していない場合、このパラメータは[識別ボールト DN]に表示されま す。 グループコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。この設定には 次の考慮事項が適用されます。 ディレクトリ抽象化レイヤ内のエンティティ定義では、この DN を使用します。 識別情報アプリケーションをホストするアプリケーションサーバを起動していた場合、 configupdate.sh ファイルまたは configupdate.bat ファイルでこの設定を変更することはでき ません。 グループコンテナのスコープ 識別ボールトユーザがグループコンテナを検索できるスコープの深さを指定します。 グループオブジェクトクラス LDAP グループのオブジェクトクラスを指定します。通常は groupofNames です。 識別情報アプリケーションの設定の管理 329 グループメンバーシップ属性 ( オプション ) ユーザのグループメンバーシップを指定します。この名前にはスペースを使用 しないでください。 ダイナミックグループの使用 ダイナミックグループを使用するかどうかを指定します。 [ダイナミックグループオブジェクトクラス]の値も指定する必要があります。 ダイナミックグループオブジェクトクラス [ダイナミックグループの使用]を選択している場合のみ適用されます。 LDAP ダイナミックグループのオブジェクトクラスを指定します。通常は dynamicGroup です。 36.2.5 識別ボールト証明書 このセクションでは、JRE キーストアのパスとパスワードを定義します。いくつかの設定は、イン ストールプロセスを完了するために必須です。 キーストアパス 必須 アプリケーションサーバが動作するために使用している JRE のキーストア (cacerts) ファイル へのフルパスを指定します。手動でパスを入力するか、または cacerts ファイルを参照して指 定できます。この設定には次の考慮事項が適用されます。 現在の環境における RBPM のインストールディレクトリを指定する必要があります。デ フォルト値は正しい場所に設定されます。 識別情報アプリケーションのインストールプログラムは、キーストアファイルを変更しま す。Linux では、ユーザにこのファイルへの書き込み許可が必要です。 キーストアパスワード 必須 キーストアファイルのパスワードを指定します。デフォルトは、「changeit」です。 36.2.6 電子メールサーバ設定 このセクションでは、電子メール通知を有効にする値を定義します。 通知テンプレートホスト 識別情報アプリケーションをホストするアプリケーションサーバの名前または IP アドレスを 指定します。たとえば、「myapplication serverServer」と指定します。 この値は、電子メールテンプレートの $HOST$ トークンと置き換えられます。インストールプ ログラムはこの情報を使用して、プロビジョニング要求タスクと承認通知を参照する URL を 作成します。 通知テンプレート PORT 識別情報アプリケーションをホストするアプリケーションサーバのポート番号を指定します。 プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの $PORT$ トーク ンがこの値で置き換えられます。 330 NetIQ Identity Manager セットアップガイド 通知テンプレートセキュアポート 識別情報アプリケーションをホストするアプリケーションサーバのセキュアポート番号を指定 します。 プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの $SECURE_PORT$ トークンがこの値で置き換えられます。 通知テンプレートプロトコル ユーザの電子メールを送信する際に URL に使用する非セキュアプロトコルを指定します。た とえば、「http」と指定します。 プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの $PROTOCOL$ トークンがこの値で置き換えられます。 通知テンプレートセキュアプロトコル ユーザの電子メールを送信する際に URL に使用するセキュアプロトコルを指定します。たと えば、 「https」と指定します。 プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの $SECURE_PROTOCOL$ トークンがこの値で置き換えられます。 通知 SMTP 電子メール送信者 識別情報アプリケーションが電子メール通知を送信するために使用する電子メールアカウント を指定します。 SMTP サーバ名 識別情報アプリケーションがプロビジョニング電子メールに使用する SMTP 電子メールホスト の IP アドレスまたは DNS 名を指定します。localhost は使用しないでください。 サーバには認証が必要です サーバに認証が必要かどうかを指定します。 電子メールサーバに対する資格情報も指定する必要があります。 ユーザ名 [サーバには認証が必要です]を選択している場合にのみ適用されます。 電子メールサーバのログインアカウントの名前を指定します。 [Password ( パスワード )] [サーバには認証が必要です]を選択している場合にのみ適用されます。 メールサーバのログインアカウントのパスワードを指定します。 電子メール通知イメージの場所 電子メール通知に添付するイメージへのパスを指定します。たとえば、「http://localhost:8080/ IDMProv/images」と指定します。 識別情報アプリケーションの設定の管理 331 36.2.7 トラステッドキーストア このセクションでは、識別情報アプリケーションのトラステッドキーストアの値を定義します。こ のセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。 トラステッドストアパス 信頼される署名者のすべての証明書が含まれるトラステッドキーストアへのパスを指定しま す。入力しない場合は、識別情報アプリケーションはシステムプロパティ javax.net.ssl.trustStore からパスを取得します。このシステムプロパティからパスを取得できない場合、インストール プログラムはデフォルトで jre/lib/security/cacerts に設定します。 トラステッドストアパスワード トラステッドキーストアのパスワードを指定します。入力しない場合は、識別情報アプリケー ションはシステムプロパティ javax.net.ssl.trustStorePassword からパスワードを取得します。こ のシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトで changeit に設定します。 このパスワードは、マスタキーに基づいて暗号化されます。 トラステッドストアタイプ トラステッドストアパスがデジタル署名に Java キーストア (JKS) または PKCS12 のどちらを 使用するかを指定します。 36.2.8 NetIQ Sentinel デジタル署名証明書 & キー このセクションでは、Identity Manager がイベント監査のために NetIQ Sentinel と通信できるよう にする値を定義します。このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表 示されます。 NetIQ Sentinel デジタル署名証明書 Sentinel に送信される監査メッセージを OAuth サーバが認証するために使用するカスタム公開 鍵証明書が表示されます。 NetIQ Sentinel デジタル署名秘密鍵 Sentinel に送信される監査メッセージを OAuth サーバが認証するために使用するカスタム秘密 鍵ファイルへのパスを指定します。 36.2.9 その他 このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。 OCSP URI クライアントインストールがオンライン証明書状態プロトコル (OCSP) を使用する際に使用す る Uniform Resource Identifier(URI) を指定します。たとえば、「http://host:port/ocspLocal」と指 定します。 OCSP URI によって、トラステッド証明書オンラインの状態は更新されます。 許可設定パス 許可環境設定ファイルの完全修飾名を指定します。 332 NetIQ Identity Manager セットアップガイド 識別ボールトインデックス インストール時にインストールプログラムで manager、ismanager、および srvprvUUID の各 属性にインデックスを作成するかどうかを指定します。インストール後にそれらのインデック スの新しい場所を参照するように設定を変更できます。この設定には次の考慮事項が適用され ます。 これらの属性にインデックスがない場合、識別情報アプリケーションユーザは、特にクラ スタ化環境で、識別情報アプリケーションのパフォーマンスの低下を感じる可能性があり ます。 識別情報アプリケーションをインストールした後、iManager を使用して、手動でこれらの インデックスを作成できます。詳細については、314 ページのセクション 35.4.1 「eDirectory でのインデックスの作成」を参照してください。 パフォーマンスを最大化するには、インストール時にインデックスを作成する必要があり ます。 識別情報アプリケーションをユーザが使用できるようにする前に、これらのインデックス をオンラインモードにする必要があります。 インデックスを作成または削除するには、[サーバ DN]にも値を指定する必要がありま す。 サーバ DN 識別ボールトインデックスを作成または削除する必要がある場合にのみ適用されます。 インデックスを作成または削除する eDirectory サーバを指定します。 指定できるサーバは一度に 1 つだけです。複数の eDirectory サーバでインデックスを設定する には、RBPM 設定ユーティリティを複数回実行する必要があります。 Reinitialize RBPM Security (RBPM セキュリティの再初期化 ) インストールプロセスの終了時に RBPM セキュリティをリセットするかどうかを指定します。 識別情報アプリケーションを再展開する必要もあります。 IDMReport URL Identity Manager Reporting モジュールの URL を指定します。たとえば、「http://hostname:port/ IDMRPT」と指定します。 カスタムテーマのコンテキスト名 ブラウザで識別情報アプリケーションを表示する際に使用するカスタマイズしたテーマの名前 を指定します。 ログメッセージの識別子プレフィックス idmuserapp_logging.xml ファイルの CONSOLE アペンダと FILE アペンダのレイアウトパターン で使用する値を指定します。デフォルト値は RBPM です。 RBPM コンテキスト名の変更 RBPM のコンテキスト名を変更するかどうかを指定します。 役割とリソースドライバの新しい名前と DN も指定する必要があります。 RBPM コンテキスト名 [RBPM コンテキスト名の変更]を選択している場合にのみ適用されます。 RBPM の新しいコンテキスト名を指定します。 識別情報アプリケーションの設定の管理 333 役割ドライバの DN [RBPM コンテキスト名の変更]を選択している場合にのみ適用されます。 役割とリソースドライバの DN を指定します。 36.2.10 コンテナオブジェクト このセクションのパラメータはインストール時にのみ適用されます。 このセクションでは、コンテナオブジェクトの値を定義したり、新しいコンテナオブジェクトを作 成したりできます。 Selected( 選択済み ) 使用するコンテナオブジェクトタイプを指定します。 コンテナオブジェクトタイプ コンテナの地域、国、部門、組織、またはドメインを指定します。 iManager 内で自分のコンテナを定義でき、これを[新規コンテナオブジェクトの追加]の下 に追加できます。 コンテナ属性名 指定したコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。 新規コンテナオブジェクトの追加 : コンテナオブジェクトタイプ 新しいコンテナとして使用可能な識別ボールトのオブジェクトクラスの LDAP 名を指定しま す。 新規コンテナオブジェクトの追加 : コンテナ属性名 新しいコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。 36.3 認証パラメータ 識別情報アプリケーションを設定する際、このタブでは、アプリケーションサーバがユーザを識別 情報アプリケーションおよびパスワード管理のページに転送するために使用する値を定義します。 デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、 [詳 細オプションの表示]をクリックします。このタブには、次の設定グループがあります。 335 ページのセクション 36.3.1「Authentication Server( 認証サーバ )」 335 ページのセクション 36.3.2「認証の設定」 337 ページのセクション 36.3.3「認証方式」 337 ページのセクション 36.3.4「パスワード管理」 338 ページのセクション 36.3.5「Novell Audit Digital Signature Certificate and Key (Novell Audit デジタル署名証明書 & キー )」 334 NetIQ Identity Manager セットアップガイド 36.3.1 Authentication Server( 認証サーバ ) このセクションでは、識別情報アプリケーションが認証サーバに接続するための設定を定義します。 OAuth サーバのホスト識別子 必須 トークンを OSP に発行する認証サーバの相対 URL を指定します。たとえば、 「123.45.678.90」と指定します。 OAuth サーバの TCP ポート 認証サーバのポートを指定します。 OAuth サーバは TLS/SSL を使用しています 認証サーバが通信に TLS/SSL を使用するかどうかを指定します。 Optional TLS/SSL keystore file ( オプションの TLS/SSL キーストアファイル ) [OAuth サーバは TLS/SSL を使用しています]を選択し、詳細オプションを表示している場 合にのみ適用されます。 認証サーバの信頼証明書を含む Java JKS キーストアファイルのパスとファイル名を指定しま す。このパラメータは、認証サーバが TLS/SSL プロトコルを使用し、認証サーバの信頼証明 書が JRE トラストストア (cacerts) に存在しない場合に適用されます。 Optional TLS/SSL keystore password ( オプションの TLS/SSL キーストアパスワード ) [OAuth サーバは TLS/SSL を使用しています]を選択し、詳細オプションを表示している場 合にのみ適用されます。 TLS/SSL 認証サーバのキーストアファイルをロードする際に使用するパスワードを指定しま す。 36.3.2 認証の設定 このセクションでは、認証サーバの設定を定義します。 OAuth server's authentication endpoint (OAuth サーバの認証エンドポイント ) 必須 OSP または認証サーバが認証のトークンを取得できる URL を指定します。 OAuth server's token endpoint (OAuth サーバのトークンエンドポイント ) 必須 OSP が取得したトークンを検証できる URL を指定します。 OAuth server's token endpoint (OAuth サーバのトークンエンドポイント ) 必須 OSP が認証サーバとのセッションを終了するために使用する URL を指定します。 管理コンテナの LDAP DN 必須 OSP が認証する必要がある管理者ユーザオブジェクトが含まれる識別ボールト内のコンテナの 識別名を指定します。たとえば、「ou=sa,o=data」と指定します。 識別情報アプリケーションの設定の管理 335 OAuth キーストアファイル 必須 認証に使用する Java JKS キーストアファイルのパスを指定します。このキーストアファイル には少なくとも 1 つの公開鍵 / 秘密鍵ペアが存在する必要があります。 OAuth キーストアファイルパスワード 必須 OAuth キーストアファイルをロードする際に使用するパスワードを指定します。 OAuth で使用するためのキー別名 必須 対象鍵の生成に使用する OSP キーストアファイル内の公開鍵 / 秘密鍵ペアの名前を指定しま す。 OAuth で使用するためのキーパスワード 必須 認証サーバが使用する秘密鍵のパスワードを指定します。 ログイン画面のカスタム CSS ファイルへの URL 識別情報アプリケーションのログインページのデザインをカスタマイズする際に使用する CSS スタイルシートの URL を指定します。 重複解決名前付け属性 同じ cn 値を持つ複数の eDirectory ユーザオブジェクトを区別するために使用する LDAP 属性 の名前を指定します。デフォルト値は mail です。 コンテキストへの認証ソースの制限 識別ボールト内のユーザコンテナおよび管理者コンテナにおける検索を、そのコンテナ内の ユーザオブジェクトのみに限定するのか、それともサブコンテナも検索対象にするのかを指定 します。 セッションタイムアウト ( 分 ) ユーザが何も操作せずに一定時間が経過するとサーバはそのユーザセッションをタイムアウト させますが、その時間を分単位で指定します。デフォルト値は 20 分です。 Validity duration for access token ( アクセストークンの有効期間 ) OSP アクセストークンの有効期間の秒数を指定します。デフォルト値は 120 秒です。 Validity duration for refresh token ( リフレッシュトークンの有効期間 ) OSP リフレッシュトークンの有効期間の秒数を指定します。リフレッシュトークンは OSP が 内部的に使用します。デフォルトは 30 日です。 Maximum login duration ( 最大ログイン期間 ) Identity Manager が OSP リフレッシュトークンの呼び出しを記録し続ける秒数を指定します。 Identity Manager は、ユーザの認証セッションの有効期限が切れたときにリフレッシュトーク ンが無効になることを保証するために、この呼び出しエントリを保存します。デフォルト値は 172800(2 日 ) です。 336 NetIQ Identity Manager セットアップガイド 36.3.3 認証方式 このセクションでは、Identity Manager のブラウザベースのコンポーネントにログインするユーザ を OSP が認証できるようにする値を定義します。 OSP の詳細については、40 ページのセクション 4.5「Identity Manager でのシングルサインオンア クセスの使用」と 233 ページのパート IX「シングルサインオンおよびパスワード管理コンポーネン トのインストール」を参照してください。 メソッド ユーザがログオンする際に Identity Manager が使用する認証タイプを指定します。 [名前とパスワード]: OSP は識別ボールトを使用して認証を検証します。 [Kerberos]: OSP は Kerberos チケットサーバと識別ボールトの両方から認証を受け入れ ます。 [マッピング属性名]の値も指定する必要があります。 [SAML]: OSP は SAML 識別情報プロバイダと識別ボールトの両方から認証を受け入れま す。[マッピング属性名]と[メタデータ URL]の値も指定する必要があります。 マッピング属性名 [Kerberos]または[SAML]を指定している場合にのみ適用されます。 Kerberos チケットサーバまたは識別情報プロバイダの SAML 表現にマッピングする属性の名 前を指定します。 メタデータ URL [SAML]を指定している場合にのみ適用されます。 OSP が認証要求を SAML にリダイレクトする際に使用する URL を指定します。 36.3.4 パスワード管理 このセクションでは、ユーザがパスワードの変更をセルフサービス操作として実行できるようにす る値を定義します。 パスワード管理プロバイダ 使用するパスワード管理システムのタイプを指定します。 [SSPR]: 統合されている SSPR 方式を使用します。 ユーザの便宜を図るために、インストールメディアで SSPR が提供されています。SSPR の詳細については、38 ページのセクション 4.4「Identity Manager でのセルフサービスパ スワード管理の使用」と 233 ページのパート IX「シングルサインオンおよびパスワード 管理コンポーネントのインストール」を参照してください。 [ユーザアプリケーション ( レガシ )]: Identity Manager が従来使用していたパスワード管理 プログラムを使用します。このオプションを使用すると、外部パスワード管理プログラム を使用することもできます。 パスワードを忘れた場合 このチェックボックスパラメータは、SSPR を使用する場合にのみ適用されます。 識別情報アプリケーションの設定の管理 337 ユーザがパスワードを忘れた場合にヘルプデスクに連絡せずに回復するように設定するかどう かを指定します。 パスワードを忘れた場合の機能で秘密の質問の答えに関するポリシーも設定する必要がありま す。詳細については、『NetIQ Self Service Password Reset Administration Guide』を参照して ください。 パスワードを忘れた場合 このメニューリストは、[ユーザアプリケーション ( レガシ )]を選択している場合にのみ適用 されます。 ユーザアプリケーションまたは外部システムのどちらに統合されているパスワード管理システ ムを使用するかを指定します。 [内部]: デフォルトの内部パスワード管理機能を使用します。/jsps/pwdmgt/ ForgotPassword.jsp( 最初は http(s) プロトコルなし )。これは、ユーザを、外部 WAR ではな く、ユーザアプリケーションに組み込まれた[パスワードを忘れた場合]機能にリダイレ クトします。 [外部]: パスワードを忘れた場合の外部 WAR を使用して、Web サービス経由でユーザア プリケーションを呼び戻します。外部システムの設定も指定する必要があります。 Forgotten Password Link ([パスワードを忘れた場合]リンク ) 外部パスワード管理システムを使用する場合にのみ適用されます。 パスワードを忘れた場合の機能ページを参照する URL を指定します。外部または内部のパス ワード管理 WAR にある ForgotPassword.jsp ファイルを指定します。 Forgotten Password Return Link ( パスワードを忘れた場合の返信リンク ) 外部パスワード管理システムを使用する場合にのみ適用されます。 ユーザがパスワードを忘れた場合の操作を実行した後でクリックできるように、[パスワード を忘れた場合の返信リンク]の URL を指定します。 Forgotten Password Web Service URL ( パスワードを忘れた場合の Web サービス URL) 外部パスワード管理システムを使用する場合にのみ適用されます。 パスワードを忘れた場合の外部 WAR がユーザアプリケーションを呼び戻してパスワードを忘 れた場合のコア機能を実行するために使用する URL を指定します。次の形式を使用してくだ さい。 https://<idmhost>:<sslport>/<idm>/ pwdmgt/service 36.3.5 Novell Audit Digital Signature Certificate and Key (Novell Audit デジタル署名証明書 & キー ) このセクションでは、Identity Manager がイベント監査のために NetIQ Sentinel と通信できるよう にする値を定義します。 NetIQ Sentinel デジタル署名証明書 監査システムに送信される監査メッセージを OSP サーバが認証するために使用するカスタム 公開鍵証明書を指定します。 Novell Audit で使用するために証明書を設定する方法の詳細については、『Novell Audit Administration Guide』の「Managing Certificates」を参照してください。 338 NetIQ Identity Manager セットアップガイド NetIQ Sentinel デジタル署名秘密鍵 監査システムに送信される監査メッセージを OSP サーバが認証するために使用するカスタム 秘密鍵ファイルへのパスを指定します。 36.4 SSO Clients Parameters (SSO クライアントパラ メータ ) 識別情報アプリケーションを設定する際、このタブでは、識別情報アプリケーションへのシングル サインオンアクセスを管理する値を定義します。 デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、 [詳 細オプションの表示]をクリックします。このタブには、次の設定グループがあります。 339 ページのセクション 36.4.1「ランディング」 340 ページのセクション 36.4.2「ダッシュボード」 342 ページのセクション 36.4.3「RBPM」 343 ページのセクション 36.4.4「レポーティング」 343 ページのセクション 36.4.5「DCS Driver (DCS ドライバ )」 344 ページのセクション 36.4.6「Catalog Administrator」 344 ページのセクション 36.4.7「セルフサービスパスワードリセット」 シングルサインオンアクセスを設定する方法の詳細については、411 ページのパート XIII「Identity Manager のシングルサインオンアクセスの設定」を参照してください。 36.4.1 ランディング このセクションでは、ユーザが識別情報アプリケーションのランディングページにアクセスするた めに必要な URL の値を定義します。通常は、この URL によりユーザは[Identity Manager ホーム] に転送されます。 OAuth クライアント ID 必須 [Identity Manager ホーム]のシングルサインオンクライアントを認証サーバに認識させるため に使用する名前を指定します。デフォルト値は ualanding です。 OAuth クライアントシークレット 必須 [Identity Manager ホーム]のシングルサインオンクライアントのパスワードを指定します。 ダッシュページへの URL リンク 必須 [Identity Manager ホーム]からプロビジョニングダッシュボードにアクセスするために使用す る相対 URL を指定します。デフォルト値は /dash です。 識別情報アプリケーションの設定の管理 339 OAuth redirect url (OAuth リダイレクト URL) 必須 認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対 URL を指定します。 使用するフォーマットは、protocol://server:port/path です。たとえば、「http://123.45.678.90:8180/ landing/com.netiq.test」と指定します。 36.4.2 ダッシュボード このセクションでは、ユーザが識別情報アプリケーションのランディングページにアクセスするた めに必要な URL の値を定義します。通常は、この URL によりユーザは[Identity Manager ホーム] に転送されます。 OAuth クライアント ID 必須 Identity Manager プロビジョニングダッシュボードのシングルサインオンクライアントを認証 サーバに認識させるために使用する名前を指定します。デフォルト値は uadash です。 OAuth クライアントシークレット 必須 Identity Manager プロビジョニングダッシュボードのシングルサインオンクライアントのパス ワードを指定します。 OAuth redirect url (OAuth リダイレクト URL) 必須 認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対 URL を指定します。 使用するフォーマットは、protocol://server:port/path です。たとえば「http://123.45.678.90:8180/ dash/com.netiq.test」と指定します。 ユーザの電子メールアドレス 必須 Roles Based Provisioning Module がユーザ情報 REST API の結果に含まれるユーザの電子メー ル属性を特定するために使用する値を指定します。 この値は、Designer で設定されているエンティティと一致する必要があります。デフォルト値 は Email です。 ユーザの電話 必須 Roles Based Provisioning Module がユーザ情報 REST API の結果に含まれるユーザの電話番号 属性を特定するために使用する値を指定します。 この値は、Designer で設定されているエンティティと一致する必要があります。デフォルト値 は TelephoneNumber です。 340 NetIQ Identity Manager セットアップガイド ユーザのモバイル 必須 Roles Based Provisioning Module がユーザ情報 REST API の結果に含まれるユーザの携帯電話 番号属性を特定するために使用する値を指定します。 この値は、Designer で設定されているエンティティと一致する必要があります。デフォルト値 は MobileNumber です。 ユーザの名 必須 Roles Based Provisioning Module がユーザ情報 REST API の結果に含まれるユーザの名属性を 特定するために使用する値を指定します。 この値は、Designer で設定されているエンティティと一致する必要があります。デフォルト値 は FirstName です。 ユーザの場所 必須 Roles Based Provisioning Module がユーザ情報 REST API の結果に含まれるユーザの場所属性 を特定するために使用する値を指定します。 この値は、Designer で設定されているエンティティと一致する必要があります。デフォルト値 は Location です。 ユーザの部署 必須 Roles Based Provisioning Module がユーザ情報 REST API の結果に含まれるユーザの部署属性 を特定するために使用する値を指定します。 この値は、Designer で設定されているエンティティと一致する必要があります。デフォルト値 は Department です。 ユーザの姓 必須 Roles Based Provisioning Module がユーザ情報 REST API の結果に含まれるユーザの姓属性を 特定するために使用する値を指定します。 この値は、Designer で設定されているエンティティと一致する必要があります。デフォルト値 は LastName です。 ユーザの役職 必須 Roles Based Provisioning Module がユーザ情報 REST API の結果に含まれるユーザの役職属性 を特定するために使用する値を指定します。 この値は、Designer で設定されているエンティティと一致する必要があります。デフォルト値 は Title です。 識別情報アプリケーションの設定の管理 341 36.4.3 RBPM このセクションでは、ユーザがユーザアプリケーションにアクセスするために必要な URL の値を定 義します。 OAuth クライアント ID 必須 ユーザアプリケーションのシングルサインオンクライアントを認証サーバに認識させるために 使用する名前を指定します。デフォルト値は rbpm です。 OAuth クライアントシークレット 必須 ユーザアプリケーションのシングルサインオンクライアントのパスワードを指定します。 ランディングページへの URL リンク 必須 ユーザアプリケーションから[Identity Manager ホーム]にアクセスするために使用する相対 URL を指定します。デフォルト値は /landing です。 OAuth redirect url (OAuth リダイレクト URL) 必須 認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対 URL を指定します。 使用するフォーマットは、protocol://server:port/path です。たとえば、「http://123.45.678.90:8180/ IDMProv/oauth」と指定します。 RBPM から eDirectory SAML への設定 SAML 認証メソッドを使用し、Access Manager は同時に使用しない場合に適用されます。 RBPM がシングルサインオンのために eDirectory SAML と通信するために使用するデジタル署 名のタイプを指定します。 署名証明書 [手動 - PKCS8]を選択している場合に適用されます。 SAML 認証に使用する公開鍵証明書を指定します。 署名キー [手動 - PKCS8]または[手動 - PKCS12]を選択している場合に適用されます。 Identity Manager がデジタル署名を検証するために使用する公開鍵を指定します。 署名キーパスワード [手動 - PKCS8]または[手動 - PKCS12]を選択している場合に適用されます。 Identity Manager がデジタル署名を検証するために使用する公開鍵のパスワードを指定します。 署名キーの別名 [手動 - PKCS12]を選択している場合に適用されます。 キーストアの署名キーの別名を指定します。 342 NetIQ Identity Manager セットアップガイド 重要 :[RBPM から eDirectory SAML への設定]の値を[自動]に変更している場合、NMAS 証明 書が自動的に作成されます。 36.4.4 レポーティング このセクションでは、ユーザが Identity Reporting にアクセスするために必要な URL の値を定義し ます。このセクションの値は、Identity Manager ソリューションに Identity Reporting を追加してい る場合にのみ表示されます。 OAuth クライアント ID 必須 Identity Reporting のシングルサインオンクライアントを認証サーバに認識させるために使用す る名前を指定します。デフォルト値は rpt です。 OAuth クライアントシークレット 必須 Identity Reporting のシングルサインオンクライアントのパスワードを指定します。 ランディングページへの URL リンク 必須 Identity Reporting から[Identity Manager ホーム]にアクセスするために使用する相対 URL を 指定します。デフォルト値は /landing です。 Identity Reporting と識別情報アプリケーションを異なるサーバにインストールしている場合 は、絶対 URL を指定します。使用するフォーマットは、protocol://server:port/path です。 OAuth redirect url (OAuth リダイレクト URL) 必須 認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対 URL を指定します。 使用するフォーマットは、protocol://server:port/path です。たとえば、「http://123.45.678.90:8180/ idmrpt/oauth」と指定します。 36.4.5 DCS Driver (DCS ドライバ ) このセクションでは、データ収集サービスドライバを管理するための値を定義します。ドライバの 詳細については、377 ページの第 41 章「Reporting 用ドライバの管理」を参照してください。 OAuth クライアント ID データ収集サービスドライバのシングルサインオンクライアントを認証サーバに認識させるた めに使用する名前を指定します。このパラメータのデフォルト値は dcsdrv です。 OAuth クライアントシークレット データ収集サービスドライバのシングルサインオンクライアントのパスワードを指定します。 識別情報アプリケーションの設定の管理 343 36.4.6 Catalog Administrator このセクションでは、ユーザが Catalog Administrator にアクセスするために必要な URL の値を定 義します。 OAuth クライアント ID 必須 Catalog Administrator のシングルサインオンクライアントを認証サーバに認識させるために使 用する名前を指定します。デフォルト値は rra です。 OAuth クライアントシークレット 必須 Catalog Administrator のシングルサインオンクライアントのパスワードを指定します。 ランディングページへの URL リンク 必須 Catalog Administrator から[Identity Manager ホーム]にアクセスするために使用する相対 URL を指定します。デフォルト値は /landing です。 OAuth redirect url (OAuth リダイレクト URL) 必須 認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対 URL を指定します。 使用するフォーマットは、protocol://server:port/path です。たとえば、「http://123.45.678.90:8180/ rra/com.netiq.test」と指定します。 36.4.7 セルフサービスパスワードリセット このセクションでは、識別情報アプリケーションが SSPR と通信するための値を定義します。 OAuth クライアント ID 必須 SSPR のシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指 定します。デフォルト値は sspr です。 OAuth クライアントシークレット 必須 SSPR のシングルサインオンクライアントのパスワードを指定します。 OAuth redirect URL (OAuth リダイレクト URL) 必須 SSPR でパスワード変更または秘密の質問などのアクションを終了したときにクライアントを 転送する絶対 URL を指定します。たとえば、[Identity Manager ホーム]ページに転送します。 使用するフォーマットは、protocol://server:port/path です。たとえば、「http://123.45.678.90:8180/ sspr/public/oauth」と指定します。 344 NetIQ Identity Manager セットアップガイド 36.5 Reporting Parameters (Reporting パラメータ ) 識別情報アプリケーションを設定する際、このタブでは、Identity Reporting を管理するための値を 定義します。Identity Reporting をインストールすると、このタブが追加されます。 デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、 [詳 細オプションの表示]をクリックします。このタブには、次の設定グループがあります。 345 ページのセクション 36.5.1「電子メール配信設定」 346 ページのセクション 36.5.2「レポート保持の値」 346 ページのセクション 36.5.3「Identity Audit」 346 ページのセクション 36.5.4「ロケールの変更」 346 ページのセクション 36.5.5「役割の設定」 36.5.1 電子メール配信設定 このセクションでは、通知を送信するための値を定義します。 SMTP Server Host (SMTP サーバホスト ) Identity Reporting が通知を送信する際に使用する電子メールサーバの DNS 名または IP アドレ スを指定します。localhost は使用しないでください。 SMTP サーバポート SMTP サーバのポート番号を指定します。 SMTP は SSL を使用 電子メールサーバとの通信に TLS/SSL プロトコルを使用するかどうかを指定します。 サーバは認証が必要 電子メールサーバとの通信に認証を使用するかどうかを指定します。 SMTP ユーザ名 サーバは認証が必要と指定している場合にのみ適用されます。 認証に使用する電子メールアドレスを指定します。 SMTP ユーザパスワード サーバは認証が必要と指定している場合にのみ適用されます。 SMTP ユーザアカウントのパスワードを指定します。 デフォルト電子メールアドレス 電子メールサーバとの通信に認証を使用するかどうかを指定します。 識別情報アプリケーションの設定の管理 345 36.5.2 レポート保持の値 このセクションでは、完了したレポートを保持するための値を定義します。 レポートの単位 , レポート有効期間 Identity Reporting が完了したレポートを保持する期間を指定します。この期間が経過すると、 完了したレポートは削除されます。たとえば、6 カ月を指定するには、「6」を入力して[月] を選択します。 レポートの場所 レポート定義を保存する場所のパスを指定します。たとえば、「/opt/netiq/IdentityReporting」と指 定します。 36.5.3 Identity Audit このセクションでは、インストール時に指定したイベント監査サービスに監査イベントを送信する かどうかを指定します。 36.5.4 ロケールの変更 このセクションでは、Identity Reporting の使用言語に関する値を定義します。Identity Reporting は 特定のロケールを使用して検索します。詳細については、『NetIQ Identity Reporting Module Guide』 を参照してください。 36.5.5 役割の設定 このセクションでは、Identity Reporting がレポートを生成する際に使用する認証ソースに関する値 を定義します。 認証ソースの追加 レポーティングのために追加する認証ソースのタイプを指定します。次の認証ソースを指定で きます。 デフォルト LDAP ディレクトリ File ( ファイル ) 346 NetIQ Identity Manager セットアップガイド XI Identity Reporting コンポーネントの インストール XI このセクションでは、レポートの実行に必要なコンポーネントのインストールプロセスを順を追っ て説明します。インストールプロセスでは、アプリケーションに必要な次のコンポーネントがすべ てインストールされます。 NetIQ Identity Reporting NetIQ イベント監査システム (EAS) Identity Manager 管理対象システムのゲートウェイドライバ (MSGW ドライバ ) Identity Manager データ収集サービス用ドライバ (DCS ドライバ ) 注 : このセクションでは、監査情報をウェアハウスに送信する EAS のインストール方法について説 明します。EAS コンポーネントの代わりに NetIQ Sentinel などの製品を使用できます。 インストールファイルは、Identity Manager インストールパッケージの .iso イメージファイル内の products/EAS ディレクトリおよび products/Reporting ディレクトリにあります。デフォルトでは、各 コンポーネントは次の場所にインストールされます。 Linux: /opt/netiq/idm/apps/IDMReporting Windows: C:\NetIQ\IdentityManager\apps\IDMReporting インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細について は、349 ページの第 37 章「Identity Reporting のインストールの計画」を参照してください。 Identity Reporting コンポーネントのインストール 347 348 NetIQ Identity Manager セットアップガイド 37 Identity Reporting のインストールの計画 37 このセクションでは、Identity Reporting のコンポーネントのインストールを準備するためのガイド が記載されています。NetIQ Sentinel など、任意のイベント監査アプリケーションを使用できます。 ただし、このセクションで説明する要件は、Identity Manager の .iso ファイルに含まれる NetIQ イ ベント監査サービス (EAS) のものです。 349 ページのセクション 37.1「Identity Reporting のインストールチェックリスト」 351 ページのセクション 37.2「Identity Reporting コンポーネントのインストールプロセスの理 解」 352 ページのセクション 37.3「Identity Reporting コンポーネントのインストールの前提条件」 354 ページのセクション 37.4「Identity Reporting のシステム要件」 37.1 Identity Reporting のインストールチェックリスト 次のチェックリストの手順を完了することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、31 ページの セクション 3.3.4「Identity Reporting」を参照してください。 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参 照してください。 3. Identity Reporting のインストールに関する考慮事項を確認します。詳細については、 352 ページのセクション 37.3「Identity Reporting コンポーネントのインストールの前提条 件」を参照してください。 4. Identity Reporting をホストするコンピュータのハードウェアおよびソフトウェアの要件を確 認します。詳細については、354 ページのセクション 37.4「Identity Reporting のシステム要 件」を参照してください。 5. 識別情報アプリケーションがインストールされていることを確認します。詳細については、 247 ページの第 29 章「識別情報アプリケーションのインストールのプラニング」を参照し てください。 注 : 識別情報アプリケーションをインストールする前に EAS をインストールできます。詳 細については、48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセッ トアップ」を参照してください。 Identity Reporting のインストールの計画 349 チェックリストの項目 6. EAS をインストールします。 ガイド付きインストールについては、358 ページのセクション 38.2「ウィザードを使用 したイベント監査サービスのインストール」を参照してください。 サイレントインストールについては、359 ページのセクション 38.3「イベント監査サー ビスのサイレントインストール」を参照してください。 注 : NetIQ Sentinel など、別のイベント監査サービスをインストールできます。ただし、こ のガイドでは、そのような種類のインストールについては説明しません。 7. Identity Reporting をインストールするサーバに Tomcat などのアプリケーションサーバがイ ンストールされていることを確認します。詳細については、227 ページの第 26 章 「PostgreSQL と Tomcat のインストール」を参照してください。 8. ( 状況によって実行 ) Apac e Log4j サービスを使用して Tomcat でイベントを記録するには、 適切なファイルが用意されていることを確認します。詳細については、237 ページのセク ション 27.6「Apache Log4j サービスを使用したサインオンイベントとパスワードイベント の記録」を参照してください。 9. Identity Reporting をインストールします。 ガイド付きインストールについては、361 ページのセクション 39.1「ガイド付きプロセ スを使用した Identity Reporting のインストール」を参照してください。 Reporting をサイレントインストールするには、367 ページのセクション 39.2「Identity Reporting のサイレントインストール」を参照してください。 350 10. Identity Reporting のセットアップを完了します。詳細については、371 ページの第 40 章 「Identity Reporting の設定」を参照してください。 11. ( 状況によって実行 ) WebSphere 環境で Identity Reporting を設定します。詳細については、 371 ページのセクション 40.1「Identity Reporting の WebSphere 用の設定」を参照してくだ さい。 12. 管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバを設定しま す。詳細については、377 ページのセクション 41.1「Identity Reporting 用のドライバの設 定」を参照してください。 13. ドライバを展開して起動します。詳細については、383 ページのセクション 41.2「Identity Reporting 用ドライバの展開と起動」を参照してください。 14. データベース内のドライバスキーマをバックアップします。詳細については、388 ページの セクション 41.3「ドライバのスキーマのバックアップ」を参照してください。 15. ドライバに合わせて環境を設定します。詳細については、390 ページのセクション 41.4「ラ ンタイム環境の設定」を参照してください。 16. データをドライバに送信するように Identity Manager および eDirectory を設定します。詳細 については、398 ページのセクション 41.5「ドライバの監査フラグの設定」を参照してくだ さい。 NetIQ Identity Manager セットアップガイド 37.2 Identity Reporting コンポーネントのインストールプ ロセスの理解 EAS、Identity Reporting、およびレポーティングドライバは同じサーバにインストールできます。 ただし、ワークロードを考慮し、EAS とレポーティングは別々のサーバにインストールすることを お勧めします。詳細については、48 ページのセクション 5.3「推奨されるインストールシナリオと サーバセットアップ」を参照してください。 351 ページのセクション 37.2.1「イベント監査サービスのインストールプロセスの理解」 351 ページのセクション 37.2.2「Identity Reporting のインストールプロセスの理解」 352 ページのセクション 37.2.3「インストールプロセスで作成されるユーザの理解」 37.2.1 イベント監査サービスのインストールプロセスの理解 EAS のインストールプログラムは、次の機能を実行します。 サービスをインストールし、オプションでサービスを設定する サービスの管理タスクを実行できるユーザアカウント (admin) を作成する サービスがデータベースを操作するために使用するデータベース管理者アカウント (dbauser) を作成する PostgreSQL データベースを実行するポートを定義できるようにする 37.2.2 Identity Reporting のインストールプロセスの理解 Identity Reporting のインストールプログラムは、次の機能を実行します。 アプリケーションサーバプラットフォームを選択できるようにする レポーティング用のユーザインタフェースコンポーネントが含まれるクライアントWARファイ ルをアプリケーションサーバに展開する レポーティングに必要なコア REST サービスが含まれるコア WAR ファイルを展開する レポーティングに必要なコア REST サービスのマニュアルが含まれる API WAR ファイルを展開 する EAS 用サーバ ( 別途インストール ) の場所を定義する EAS 内の SIEM データベースにレポーティングスキーマを作成する SIEM データベースに接続する PostgreSQL JDBC ドライバを設定する Identity Reporting の認証サービスを設定する Identity Reporting の電子メール配信システムを設定する Identity Reporting のコアレポーティングサービスを設定する Identity Reporting のユーザアカウント (idmrptsrv および idmrptuser) を作成する NetIQ Sentinel との相互作用に使用するユーザアカウント (appuser および rptuser) を作成する Identity Reporting のインストールの計画 351 37.2.3 インストールプロセスで作成されるユーザの理解 イベント監査サービスおよび Identity Reporting のインストールプロセスでは、次のデータベース ユーザが作成されます。 37.3 ユーザ名 説明 dbauser PostgreSQL サーバの管理者で、EAS のスキーマとビューの所有者 admin EAS 管理ユーティリティで使用するユーザ識別情報 idmrptsrv および idmrptuser Identity Reporting のスキーマとビュー、および Identity Reporting の データベース接続に使用される資格情報の所有者 rptuser および appuser NetIQ Sentinel をイベント監査サービスとして使用する場合に利用可能 Identity Reporting コンポーネントのインストールの 前提条件 インストールプロセスを開始する前に、次の前提条件と考慮事項を確認することをお勧めします。 352 ページのセクション 37.3.1「イベント監査サービスの前提条件」 353 ページのセクション 37.3.2「Identity Reporting の前提条件」 37.3.1 イベント監査サービスの前提条件 イベント監査サービスをインストールする際には、以下を考慮します。 OpenSSL ライブラリが必要です ( 通常は libssl.so.0.9.8 および libcrypto.so.0.9.8)。また、各 .so ファ イルのバージョンが一致している必要があります。一致していない場合は、ソフトリンクを作 成します。 ( 状況によって実行 ) RHEL 6.x コンピュータの場合、OpenSSL ライブラリはデフォルトでは /usr/ lib または /usr/lib64 ディレクトリにあります。バンドルされているアップグレードバージョンの ファイルがシステムで使用されている場合もあります。次に例を示します。 libssl.so.1.0.0 ln -s libssl.so.1.0.0 libssl.so.0.9.8 ln -s libcrypto.so.1.0.0 libcrypto.so.0.9.8 EAS インストールスクリプトは KornShell を使用するため、KornShell がインストールされてい る必要があります。これは、デフォルトでは /bin/ksh にあります。KornShell は通常、すべての Linux オペレーティングシステム環境にバンドルされています。 NetIQ では、EAS をインストールするコンピュータの時刻と、このサービスと相互作用するコ ンポーネント (Identity Reporting などの Identity Manager コンポーネント ) をホストするコン ピュータの時刻を同期することをお勧めします。時刻が同期されていないと、設定上の問題が 発生するおそれがあります。 352 NetIQ Identity Manager セットアップガイド 37.3.2 Identity Reporting の前提条件 Identity Reporting をインストールする際は、次の前提条件と考慮事項を検討します。 サポートされていて設定済みのバージョンの次の Identity Manager コンポーネントが必要です。 ユーザアプリケーションドライバを含む識別情報アプリケーション。 別の Linux コンピュータにインストールされた独占的なイベント監査サービス (Sentinel や NetIQ イベント監査サービスなど )。複数のレポーティングインスタンスが 1 つの EAS 環 境と通信することはできません。 データ収集サービス用ドライバ。 管理対象システムのゲートウェイサービス用ドライバ。 これらのコンポーネントの必要なバージョンとパッチの詳細については、最新のリリースノー トを参照してください。ドライバのインストールの詳細については、377 ページの第 41 章 「Reporting 用ドライバの管理」を参照してください。 Identity Reporting をクラスタ環境のサーバにインストールしないでください。 ( 状況によって実行 ) Oracle 12c データベースに対してレポートを実行するには、適切な JDBC ファイルをインストールする必要があります。詳細については、376 ページのセクショ ン 40.2「Oracle データベースでのレポートの実行」を参照してください。 ( 状況によって実行 ) Identity Manager インストールキットに付属する Tomcat インストールプロ グラムではなく、ユーザが独自に入手したインストールプログラムを使用できます。ただし、 独自のバージョンの Tomcat で Apache Log4j サービスを使用する場合は、適切なファイルがイ ンストールされていることを確認します。詳細については、237 ページのセクション 27.6 「Apache Log4j サービスを使用したサインオンイベントとパスワードイベントの記録」を参照 してください。 レポーティング機能にアクセスできるようにするすべてのユーザにレポート管理者の役割を割 り当てます。 Identity Manager環境のすべてのサーバ(特にデータベースとEASコンポーネント用のサーバ)が 同じ時刻に設定されていることを確認します。サーバの時刻を同期していない場合、レポート によっては実行時に空になることがあります。たとえば、Identity Manager エンジンをホスト しているサーバとウェアハウスをホストしているサーバでタイムスタンプが異なる場合、この 問題により、新しいユーザに関連するデータが影響を受ける可能性があります。ユーザを作成 してから変更すると、レポートにデータが取り込まれます。 識別情報アプリケーションで使用するアプリケーションサーバによっては、インストールプロ セス中に setenv.sh ファイル内にある JRE マッピングエントリがいくつか変更されます。 Tomcat: JAVA_OPTs または CATALINA_OPTS JBoss: JAVA_HOME または JRE_HOME デフォルトでは、Tomcat 用の簡易インストーラは setenv.sh ファイルを /opt/netiq/idm/apps/ tomcat/bin/ ディレクトリに配置します。さらに、このファイルに JRE の場所も設定します。 ( オプション ) SAML 2.0 認証を使用して NetIQ Access Manager 4.0 と連携するよう Identity Reporting を設定できます。詳細については、419 ページの第 46 章「NetIQ Access Manager での SAML 認証によるシングルサインオン」を参照してください。 Identity Reporting のインストールの計画 353 37.4 Identity Reporting のシステム要件 このセクションでは、Identity Reporting コンポーネントをホストするサーバの要件について説明し ます。各コンポーネントを同じサーバにインストールすべきかどうかの詳細については、48 ページ のセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参照してください。 354 ページのセクション 37.4.1「イベント監査サービスのシステム要件」 354 ページのセクション 37.4.2「Identity Reporting のシステム要件」 37.4.1 イベント監査サービスのシステム要件 このセクションでは、EAS をホストするサーバを設定するのに役立つ要件について説明します。 カテゴリ 要件 プロセッサ Pentium* III 600MHz 以上 オペレーティングシス テム 次のいずれかの 64 ビットオペレーティングシステム ( 最小 ) Open Enterprise Server 11 SP2 Red Hat Enterprise 6.5 SUSE Linux Enterprise Server 11 SP3 データベース EAS およびレポーティングデータベースを実行できる最小プラットフォームは次 のとおりです。 PostgreSQL 8.4.3 37.4.2 Identity Reporting のシステム要件 このセクションでは、Identity Reporting をホストするサーバを設定するのに役立つ要件について説 明します。 カテゴリ 要件 プロセッサ Pentium* III 600MHz 以上 オペレーティングシス テム 次のいずれかの 64 ビットオペレーティングシステム ( 最小 ) Open Enterprise Server 11 SP2 Red Hat Enterprise 6.5 SUSE Linux Enterprise Server 11 SP3 Windows Server 2012 R2 354 NetIQ Identity Manager セットアップガイド カテゴリ 要件 仮想化システム 次の仮想化プラットフォームのいずれか : Hyper-V Server 2012 R2 VMWare ESX 5.5 重要 : NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ ポートするエンタープライズクラスの仮想化システムで Identity Manager をサ ポートします。仮想化システムのベンダーが該当のオペレーティングシステムを 正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。 アプリケーションサー バ 次のいずれか ( 最小 ): Apache Tomcat 7.0.55 IBM WebSphere 8.5.5.3 JBoss Enterprise Application Platform (EAP) 5.2 Java JBoss and Tomcat: Sun (Oracle) が提供する JDK(Java Development Kit) または JRE(Java Runtime Environment) のバージョン 1.7.0_65 以降 WebSphere: IBM Java 1.7 for WebSphere 8.5.5.3 Web ブラウザ デスクトップコンピュータ : 次のバージョン以上 : Windows 用 Apple Safari 5.1.7 Safari 7.0.1 Google Chrome 37 Microsoft Internet Explorer 11 Mozilla Firefox 32 iPad: 次のバージョン以上 : Apple Safari 7 Google Chrome 37 注 : ブラウザで Cookie が有効になっている必要があります。Cookie が無効な場 合、この製品は動作しません。 データベース Identity Reporting データベース ( および EAS) は次のバージョン以上のプラット フォームで動作します。 PostgreSQL 8.4.3 次のバージョン以上のデータベースに対してレポートを実行できます。 Oracle 12c PostgreSQL 8.4.3 Identity Reporting のインストールの計画 355 356 NetIQ Identity Manager セットアップガイド 38 38 イベント監査サービスのインストール このセクションでは、監査情報を Identity Reporting ウェアハウスに送信する NetIQ イベント監査 サービス (EAS) のインストールプロセスを順を追って説明します。EAS コンポーネントの代わりに NetIQ Sentinel などの製品を使用できます。 357 ページのセクション 38.1「イベント監査サービス用の環境の準備」 358 ページのセクション 38.2「ウィザードを使用したイベント監査サービスのインストール」 359 ページのセクション 38.3「イベント監査サービスのサイレントインストール」 38.1 イベント監査サービス用の環境の準備 EAS をインストールする前に Linux 環境を準備する必要があります。たとえば、カーネルパラメー タ SHMMAX を更新して PostgreSQL を有効にしたり、syslog ファイルを転送する場合はファイア ウォールを有効にしたりする必要があります。 1 Linux システムが適切にホスト名を返すようにするため、次の手順を実行します。 1a テキストエディタで /etc/hosts ファイルを開きます。 1b IP アドレス (127.0.0.1 など ) が記述されている行に「hostname -f」と入力します。 2 PostgreSQL データベースがサーバ上で動作できるようにするため、次の手順を実行します。 2a テキストエディタで /etc/sysctl.conf ファイルを開きます。 2b カーネルパラメータ SHMMAX の最小値を変更し、データベースを有効にします。 たとえば、RHEL 6.x システムの場合、ファイルの末尾に次のテキストを入力します。 # for Sentinel Postgresql kernel.shmmax=1073741824 注 : ご使用のシステムによっては、この最小値以上のメモリが必要な場合があります。詳 細については、PostgreSQL のマニュアルの「Managing Kernel Resources」(http:// www.postgresql.org/docs/8.2/static/kernel-resources.html) を参照してください。 2c このパラメータを設定するには、次のコマンドを実行します。 cd /proc/sys/kernel echo new_val_to_set > shmmax 3 監査用に syslog ファイルを転送するため、次のいずれかの手順を実行します。 EAS をインストールする際に、syslog をポート転送できるようにファイアウォールを設定 するためのオプションを有効にします。 次のコマンドを実行します : iptables -t nat -A PREROUTING -p udp --destination-port 514 -j REDIRECT -to-ports 1514 イベント監査サービスのインストール 357 38.2 ウィザードを使用したイベント監査サービスのイン ストール 次の手順では、GUI 形式またはコンソールからインストールウィザードを使用して、EAS をインス トールする方法について説明します。無人のサイレントインストールを実行するには、359 ページ のセクション 38.3「イベント監査サービスのサイレントインストール」を参照してください。 インストールの準備をするために、354 ページのセクション 37.4.1「イベント監査サービスのシス テム要件」に記載されている前提条件とシステム要件を確認します。リリースに付属するリリース ノートも参照してください。 1 EAS をインストールするサポート対象コンピュータにログインします。 2 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、EAS のインストールファイルが保存されているディレクトリへ移動します。デフォル トの場所は products/EAS/ ディレクトリです。 3 ( 状況によって実行 ) EAS のインストールファイルを NetIQ Downloads の Web サイトからダ ウンロードした場合は、次の手順を実行します。 3a ダウンロードしたイメージの .tgz ファイルへ移動します。 3b ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 4 インストールファイルが保存されているディレクトリからインストールプログラムを起動しま す。 ./EASInstall.bin 5 インストールプログラムで、インストールに使用する言語を指定して[OK]をクリックしま す。 6 ライセンス契約に同意して、 [次へ]をクリックします。 7 概要のテキストを確認して[次へ]をクリックします。 8 [インストールディレクトリ]ウィンドウで、 [次へ]をクリックします。 9 [ユーティリティ管理者パスワード]ウィンドウで、EAS ユーティリティの管理者ユーザのパ スワードを指定します。 注 : SUSE Linux (SLES) サーバの場合、パスワードは SLES のシステムパスワードポリシーを 満たす必要があります。 10 [次へ]をクリックします。 11 [EAS 管理者のパスワード]ウィンドウで、dbauser のパスワードを指定します。 注 : SUSE Linux (SLES) サーバの場合、パスワードは SLES のシステムパスワードポリシーを 満たす必要があります。 12 [次へ]をクリックします。 13 PostgreSQL データベースを実行するポートを指定して、 [次へ]をクリックします。 14 [インストール前の概要]ページを確認して、 [インストール]をクリックします。 15 ( 状況によって実行 ) Syslog UDP コネクタを使用するには、 [ポート転送の有効化]を選択し て[次へ]をクリックします。 16 インストールプロセスが完了したら、 [完了]をクリックします。 358 NetIQ Identity Manager セットアップガイド 17 ( 状況によって実行 ) インストールした EAS の pg_dump などの操作を実行するには、 LD_LIBRARY_PATH 変数をエクスポートする必要があります。 17a 非 root ユーザとしてサーバにログインします。たとえば、novleas ユーザです。 17b ターミナルで次のコマンドを実行します。 . /opt/novell/sentinel_eas/bin/setenv.sh このコマンドは、インストールフォルダから setenv.sh ファイルの内容をフェッチするよ うシステムに指示します。 38.3 イベント監査サービスのサイレントインストール サイレント ( 非対話型 ) インストールでは、ユーザインタフェースは表示されず、ユーザに対する 質問も行われません。代わりに、システムは .properties ファイルの情報を使用します。デフォルト のファイルを使用してサイレントインストールを実行することも、ファイルを編集してインストー ルプロセスをカスタマイズすることもできます。ガイド付きインストールを実行するには、358 ページの 「ウィザードを使用したイベント監査サービスのインストール」を参照してください。 インストールの準備をするために、354 ページのセクション 37.4.1「イベント監査サービスのシス テム要件」に記載されている前提条件とシステム要件を確認します。リリースに付属するリリース ノートも参照してください。 1 ( 状況によって実行 ) EAS ユーティリティおよび PostgreSQL データベースの管理者パスワー ドをサイレントインストール用の .properties ファイルで指定しないようにするには、export コ マンドを使用します。 export ADMIN_PWD=EAS_utilities_admin_password export DBA_PWD=PostgreSQL_dbauser_password 次に例を示します。 export ADMIN_PWD=myPassWord この場合、サイレントインストールプロセスでは、.properties ファイルからではなく環境から パスワードが読み込まれます。 2 テキストエディタで次のいずれかのプロパティファイルを変更します。これらのファイルは、 デフォルトでは .iso イメージの products/EAS ディレクトリにあります。 eas_install.properties - デフォルトのインストール設定を使用する場合 eas_configure.properties - インストール設定をカスタマイズする場合 (EAS ユーティリティお よび PostgreSQL データベースのパスワードを指定する場合など ) 3 次のコマンドでインストールを開始します。 ./EASInstall.bin -i silent -f path_to_properties_file 次に例を示します。 ./EASInstall.bin -i silent -f /root/Software/eas_configure.properties 4 ( 状況によって実行 ) インストールした EAS の pg_dump などの操作を実行するには、 LD_LIBRARY_PATH 変数をエクスポートする必要があります。 4a 非 root ユーザとしてサーバにログインします。たとえば、novleas ユーザです。 4b ターミナルで次のコマンドを実行します。 イベント監査サービスのインストール 359 . /opt/novell/sentinel_eas/bin/setenv.sh このコマンドは、インストールフォルダから setenv.sh ファイルの内容をフェッチするよ うシステムに指示します。 360 NetIQ Identity Manager セットアップガイド 39 Identity Reporting のインストール 39 このセクションでは、Identity Reporting のインストールプロセスについて説明します。 注 : NetIQ では、識別情報アプリケーションおよび EAS のインストール後に Identity Reporting を インストールすることをお勧めします。詳細については、48 ページのセクション 5.3「推奨される インストールシナリオとサーバセットアップ」を参照してください。 361 ページのセクション 39.1「ガイド付きプロセスを使用した Identity Reporting のインストー ル」 367 ページのセクション 39.2「Identity Reporting のサイレントインストール」 368 ページのセクション 39.3「データベーススキーマの手動生成」 39.1 ガイド付きプロセスを使用した Identity Reporting のインストール 次の手順では、GUI 形式またはコンソールからインストールウィザードを使用して、Identity Reporting をインストールする方法について説明します。無人のサイレントインストールを実行す るには、367 ページのセクション 39.2「Identity Reporting のサイレントインストール」を参照して ください。 インストールの準備をするために、354 ページのセクション 37.4.2「Identity Reporting のシステム 要件」に記載されている前提条件とシステム要件を確認します。リリースに付属するリリースノー トも参照してください。 1 イベント監査サービスで SIEM データベースが実行中であることを確認します。 インストールプログラムは、このデータベースにテーブルを作成して接続を検証します。さら に、PostgreSQL JDBC ドライバの JAR ファイルをインストールし、自動的にこのファイルを データベース接続に使用します。 2 Identity Reporting をインストールするコンピュータにログインします。 3 アプリケーションサーバ (Tomcat など ) を停止します。 4 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、Identity Reporting のインストールファイルが保存されているディレクトリへ移動しま す。デフォルトの場所は products/Reporting/ ディレクトリです。 5 ( 状況によって実行 ) Identity Reporting のインストールファイルを NetIQ Downloads の Web サ イトからダウンロードした場合は、次の手順を実行します。 5a ダウンロードしたイメージの .tgz ファイルへ移動します。 5b ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 6 インストールファイルが保存されているディレクトリから、次のいずれかの操作を実行しま す。 Linux ( コンソール ): 「./rpt-install.bin -i console」と入力します。 Identity Reporting のインストール 361 Linux (GUI): 「./rpt-install.bin」と入力します。 Windows: rpt-install.exe を実行します。 7 インストールプログラムで、インストールに使用する言語を指定して[OK]をクリックしま す。 8 概要のテキストを確認して[次へ]をクリックします。 9 ライセンス契約に同意して、 [次へ]をクリックします。 10 ガイド付きプロセスを実行するため、次のパラメータの値を指定します。 インストールフォルダ インストールファイルの保存場所を入力します。 アプリケーションサーバのプラットフォーム コアファイル (IDMRPT-Core.war)、EASREST REST API ファイル (easrestapi.war)、EAS Webstart ファイル (easwebstart.war)、および Reporting REST API リファレンス WAR ファ イル (rptdoc.war) を実行するアプリケーションサーバを指定します。 注 : これらの WAR ファイルの名前を変更しないでください。ファイル名を変更すると、 展開プロセスが失敗します。 アプリケーションサーバの詳細 アプリケーションサーバが JBoss および Tomcat の場合にのみ適用されます。 アプリケーションサーバインスタンスの展開ディレクトリまたは webapps ディレクトリ のパスを指定します。たとえば、/home/netiq/idm/jboss/server/IDM/deploy または /opt/netiq/ idm/apps/tomcat/webapps です。 アプリケーションサーバの接続 ユーザがアプリケーションサーバ上の Identity Reporting に接続するために必要な URL の 設定です。たとえば、https:myserver.mycompany.com:8080 です。 注 : OSP がアプリケーションサーバの別のインスタンスで実行されている場合、 [Connect to an external authentication server ( 外部認証サーバへの接続 )]を選択して OSP サーバの値を指定する必要もあります。 プロトコル [http]または[https]のどちらを使用するかを指定します。通信に SSL を使用する には、 [https]を指定します。 ホスト名 アプリケーションサーバの DNS 名または IP アドレスを指定します。localhost は使用 しないでください。 ポート アプリケーションサーバが Identity Manager との通信に使用するポートを指定しま す。 362 NetIQ Identity Manager セットアップガイド 外部認証サーバに接続する アプリケーションサーバの別のインスタンスで認証サーバ (OSP) をホストするかど うかを指定します。認証サーバには、Identity Reporting にログイン可能なユーザのリ ストが保存されています。 この設定を選択する場合は、認証サーバの[プロトコル]、 [ホスト名]、および [ポート]も指定する必要があります。 認証サーバの詳細 Identity Reporting サービスが認証サーバ上の OSP クライアントに接続に使用するために 作成するパスワードを指定します。 インストール後にこのパスワードを変更するには、RBPM 環境設定ユーティリティを使用 します。 イベント監査サービス NetIQ イベント監査サービス (EAS) で Identity Reporting およびユーザアプリケーション のイベントを追跡するかどうかを指定します。 この設定を選択する場合、EAS をホストするサーバの DNS 名または IP アドレスも指定 します。 データベースの詳細 (EAS を使用しない場合 ) SIEM データベースの設定です。 データベースタイプ EAS を使用せず、SIEM データベースを Oracle プラットフォームで実行する場合に のみ適用されます。 SIEM データベースが Oracle データベースかどうかを指定します。この設定を選択す る場合は、JDBC ドライバの値も指定する必要があります。 JDBC ドライバの JAR SIEM データベースを Oracle プラットフォームで実行する場合にのみ適用されます。 Oracle JDBC ドライバの JAR ファイルのパスを指定します。たとえば、 opt\oracl\ojdbc7.jar です。 詳細については、376 ページのセクション 40.2「Oracle データベースでのレポート の実行」を参照してください。 JDBC ドライバのクラス名 SIEM データベースを Oracle プラットフォームで実行する場合にのみ適用されます。 JDBC ドライバのクラスを指定します。 JDBC ドライバのタイプ SIEM データベースを Oracle プラットフォームで実行する場合にのみ適用されます。 JDBC ドライバのタイプを指定します。 データベースホスト EAS を使用しない場合にのみ適用されます。 SIEM データベースをホストするサーバの DNS 名または IP アドレスを指定します。 localhost は使用しないでください。 Identity Reporting のインストール 363 データベース名 EAS を使用しない場合にのみ適用されます。 SIEM データベースの名前を指定します。 データベースポート SIEM データベースのポートを指定します。デフォルトは 15432 です。 DBA ユーザ ID EAS を使用しない場合にのみ適用されます。 SIEM データベースサーバの管理アカウントおよびイベント監査スキーマとビューの 所有者の名前を指定します。 DBA パスワード データベースの管理アカウントのパスワードを指定します。 EAS を使用する場合、dbauser アカウントのこのパスワードはインストールプログラ ムによって作成されます。 idmrptsrv ユーザパスワード データベースの Identity Reporting のスキーマとビューを所有するアカウントのパス ワードを指定します。 EAS を使用する場合、idmrptsrv アカウントのこのパスワードはインストールプログラ ムによって作成されます。 idmrptuser ユーザパスワード データベースにアクセスしてレポートを実行できるアカウントのパスワードを指定し ます。 EAS を使用する場合、idmrptuser アカウントのこのパスワードはインストールプログ ラムによって作成されます。 データベース接続のテスト データベースに対して指定した値をインストールプログラムでテストするかどうかを 指定します。 [次へ]をクリックするか、<Enter> を押すと、インストールプログラムは接続を試 行します。 注 : データベース接続に失敗しても、インストールは続行できます。ただし、インス トール後に手動でテーブルを作成し、データベースに接続する必要があります。詳細 については、368 ページのセクション 39.3「データベーススキーマの手動生成」を参 照してください。 認証の詳細 認証サーバの設定です。インストール後にこれらの設定を変更するには、RBPM 環境設定 ユーティリティを使用します。 SSL を使用 Identity Reporting と認証サーバ間の接続に SSL プロトコルを使用するかどうかを指 定します。 識別ボールトサーバ 認証サーバの DNS 名または IP アドレスを指定します。localhost は使用しないでくだ さい。 364 NetIQ Identity Manager セットアップガイド 識別ボールトポート 認証サーバが Identity Reporting との通信に使用するポートを指定します。たとえば、 セキュアポート以外を使用する場合は 389、SSL 接続を使用する場合は 636 を指定し ます。 識別ボールトの管理者ユーザ 認証サーバの管理者アカウントの LDAP 識別名 (DN) を指定します。たとえば、 cn=admin,ou=sa,o=system です。 識別ボールトの管理者パスワード 認証サーバの管理者アカウントのパスワードを指定します。 ベースコンテナ Identity Reporting にログイン可能なユーザのリストが保存されているコンテナの DN を指定します。たとえば、o=data です。 注 : DN に特殊文字が使用されている場合、それらの文字をエスケープしなければな らないことがあります。詳細については、RFC 2253/4514 のセクション 2.4 を参照し てください。 ログイン属性 ユーザコンテナのサブツリーを検索する場合に使用する属性を指定します。たとえ ば、cn です。 ターゲットロケール Identity Reporting で使用する言語を指定します。アプリケーションは、検索の際に指 定のロケールを使用します。 ユーザアプリケーションドライバ ユーザアプリケーションドライバの設定です。 ユーザアプリケーションドライバ ユーザアプリケーションドライバの名前を指定します。 ドライバセット名 ユーザアプリケーションドライバのドライバセットの名前を指定します。 ドライバセットのコンテナ ドライバセットを保管するコンテナの DN を指定します。 電子メール配信 レポート通知を送信する SMTP サーバの設定です。インストール後にこれらの設定を変更 するには、RBPM 環境設定ユーティリティを使用します。 デフォルトの電子メールアドレス Identity Reporting が電子メール通知の発信元として使用する電子メールアドレスを指 定します。 SMTP サーバー Identity Reporting が通知に使用する SMTP 電子メールホストの IP アドレスまたは DNS 名を指定します。localhost は使用しないでください。 SMTP サーバーポート SMTP サーバのポート番号を指定します。デフォルトは 465 です。 Identity Reporting のインストール 365 SMTP に SSL を使用 SMTP サーバとの通信に SSL プロトコルを使用するかどうかを指定します。 サーバ認証が必要 SMTP サーバとの通信に認証を使用するかどうかを指定します。 この設定を選択する場合は、電子メールサーバの資格情報も指定する必要がありま す。 SMTP ユーザ名 [サーバには認証が必要です]を選択した場合にのみ適用されます。 SMTP サーバのログインアカウントの名前を指定します。 SMTP パスワード [サーバには認証が必要です]を選択した場合にのみ適用されます。 SMTP サーバのログインアカウントのパスワードを指定します。 レポートの詳細 完了したレポートを管理するための設定です。 終了したレポートを次の目的のために保持 Identity Reporting が完了したレポートを削除するまでの保持期間を指定します。たと えば、6 カ月を指定するには、「6」と入力して[月]を選択します。 レポート定義の場所 レポート定義を保存するパスを指定します。たとえば、/opt/netiq/IdentityReporting で す。 Novel Identity Audit Identity Reporting の監査動作の設定です。 Identity Reporting の監査を有効にする ログイベントを監査サーバに送信するかどうかを指定します。 この設定を選択する場合は、監査ログキャッシュの場所も指定する必要があります。 監査ログキャッシュフォルダ Identity Reporting の監査を有効にする場合にのみ適用されます。 監査で使用するキャッシュディレクトリの場所を指定します。たとえば、/opt/novell/ Identity Reporting です。 NAudit 証明書 Identity Reporting の監査を有効にする場合にのみ適用されます。 Identity Reporting からのイベントを EAS に送信する NAudit サービスの設定です。 既存の証明書を指定 / 証明書を生成 NAudit サーバで既存の証明書を使用するか、それとも新しい証明書を作成するかを 指定します。 パブリックキーを入力 既存の証明書を使用する場合にのみ適用されます。 EAS に送信される監査メッセージを認証するために NAudit サービスで使用するカス タム公開鍵証明書のリストを入力します。 366 NetIQ Identity Manager セットアップガイド RSA キーを入力 既存の証明書を使用する場合にのみ適用されます。 EAS に送信される監査メッセージを認証するために NAudit サービスで使用するカス タム公開鍵ファイルのパスを入力します。 11 [インストール前の概要]ウィンドウの情報を確認し、 [インストール]をクリックします。 12 ( 状況によって実行 ) WebSphere を使用して Identity Reporting をホストするには、371 ページ のセクション 40.1「Identity Reporting の WebSphere 用の設定」に進みます。 39.2 Identity Reporting のサイレントインストール サイレント ( 非対話型 ) インストールでは、ユーザインタフェースは表示されず、ユーザに対する 質問も行われません。代わりに、システムは .properties ファイルの情報を使用します。デフォルト のファイルを使用してサイレントインストールを実行することも、ファイルを編集してインストー ルプロセスをカスタマイズすることもできます。ガイド付きインストールを実行するには、361 ページの 「ガイド付きプロセスを使用した Identity Reporting のインストール」を参照してくださ い。 インストールの準備をするために、354 ページのセクション 37.4.2「Identity Reporting のシステム 要件」に記載されている前提条件とシステム要件を確認します。リリースに付属するリリースノー トも参照してください。 1 ( 状況によって実行 ) インストールで使用する管理者パスワードをサイレントインストール用の .properties ファイルで指定しないようにするには、export または set コマンドを使用します。次 に例を示します。 Linux: export NOVL_ADMIN_PWD=myPassWord Windows: set NOVL_ADMIN_PWD=myPassWord この場合、サイレントインストールプロセスでは、.properties ファイルからではなく環境から パスワードが読み込まれます。 次のパスワードを指定します。 NOVL_DB_RPT_USER_PASSWORD SIEM データベースの管理者のパスワードを指定します。 NOVL_IDM_SRV_PWD レポーティング用のデータベーススキーマとオブジェクトの所有者のパスワードを指定し ます。 NOVL_IDM_USER_PWD レポーティングデータに対する読み込み専用アクセス権を持つ idmrptuser のパスワードを 指定します。 NOVL_EAS_SYSTEM_PASSWORD EAS サーバのパスワードを指定します。 EAS がインストールされているコンピュータにある activemqusers.properties ファイルのシ ステムプロパティからシステムのパスワードをコピーできます。 NOVL_ADMIN_PWD ( 状況によって実行 ) ログイン時にサブコンテナを検索できるようにするには、LDAP 管理 者のパスワードを指定します。 Identity Reporting のインストール 367 NOVL_SMTP_PASSWORD ( 状況によって実行 ) 電子メールの通信に認証を使用するには、デフォルトの SMTP 電子 メールユーザのパスワードを指定します。 2 インストールパラメータを指定するため、次の手順を実行します。 2a .properties ファイルがインストール実行可能ファイルと同じディレクトリにあることを確 認します。 利便性のため、NetIQ は次の 2 つの .properties ファイルを提供しています。これらのファ イルは、デフォルトでは .iso イメージの products/Reporting ディレクトリにあります。 rpt_installonly.properties - デフォルトのインストール設定を使用する場合 rpt_configonly.properties - インストール設定をカスタマイズする場合 2b テキストエディタで .properties ファイルを開きます。 2c パラメータの値を指定します。パラメータの説明については、362 ページのステップ 10 を参照してください。 2d ファイルを保存して閉じます。 3 インストールプロセスを開始するため、次のいずれかのコマンドを入力します。 Linux: ./rpt-install.bin -i silent -f path_to_properties_file Windows: ./rpt-install.exe -i silent -f path_to_properties_file 注 : .properties ファイルがインストールスクリプトとは異なるディレクトリにある場合は、 ファイルのフルパスを指定する必要があります。スクリプトによって、必要なファイルが 一時ディレクトリに解凍され、サイレントインストールが開始されます。 39.3 データベーススキーマの手動生成 インストール後に、再インストールすることなくデータベーステーブルを作成できます。このセク ションは、データベーススキーマを作成する場合に役立ちます。 1 アプリケーションサーバを停止します。 2 Identity Reporting データベースをホストするサーバにログインします。 3 既存のデータベースを削除します。 4 ステップ 3 で削除したデータベースと同じ名前の新しいデータベースを作成します。 5 テキストエディタで NetIQ-Custom-Install.log ファイルを開きます。このファイルは、デフォルト では Identity Reporting のインストールディレクトリのルートにあります。次に例を示します。 /opt/netiq/idm 6 次の内容に似たエントリを検索します。 ************************************************** If a failure is encountered while creating the tables, verify that this string is correct If not, you can modify this string and copy/paste to a command line to run ************************************************** 7 このエントリからコマンド文字列をコピーします。 8 Identity Reporting 用のデータベースをインストールしたサーバにログインします。 9 ターミナルで、コピーしたコマンド文字列を貼り付けます。 368 NetIQ Identity Manager セットアップガイド 注 : 正しいコマンドは updateSQL です。update だった場合は updateSQL に変更してください。 10 コマンドでデータベースユーザ名とパスワードを表すアスタリスク (*) を、認証に必要な実際 の値で置き換えます。また、SQL ファイルの名前が一意であることを確認します。 11 コマンドを実行します。 12 ( 状況によって実行 ) データベースにデータが取り込まれるのではなく SQL ファイルが生成さ れた場合は、そのファイルをデータベース管理者に提供してデータベースサーバにインポート してもらいます。 13 アプリケーションサーバを起動します。 Identity Reporting のインストール 369 370 NetIQ Identity Manager セットアップガイド 40 Identity Reporting の設定 40 Identity Reporting のインストール後でも、さまざまなインストールプロパティを変更できます。変 更を加えるには、ご使用のプラットフォームに応じた環境設定更新ユーティリティを実行します。 Linux の場合は configupdate.sh、Windows の場合は configupdate.bat を実行します。 環境設定ツールで Identity Reporting の設定を変更した場合、変更を反映するにはアプリケーション サーバを再起動する必要があります。ただし、Identity Reporting の Web ユーザインタフェースで 変更を加えた場合は、サーバの再起動は必要ありません。 371 ページのセクション 40.1「Identity Reporting の WebSphere 用の設定」 376 ページのセクション 40.2「Oracle データベースでのレポートの実行」 376 ページのセクション 40.3「Identity Reporting 用の REST API の展開」 40.1 Identity Reporting の WebSphere 用の設定 このセクションは、WebSphere アプリケーションサーバを Identity Reporting と連携するよう設定 するのに役立ちます。 371 ページのセクション 40.1.1「WebSphere 環境の準備」 372 ページのセクション 40.1.2「WebSphere 環境を Windows サービスとして実行するための設 定」 372 ページのセクション 40.1.3「WebSphere の SSL 接続の設定」 373 ページのセクション 40.1.4「レポーティング環境設定ファイルと JVM システムプロパティ の追加」 374 ページのセクション 40.1.5「共有ライブラリの作成と適用」 40.1.1 WebSphere 環境の準備 Identity Reporting のインストールプログラムは、PostgreSQL データベース内にユーザ idmrptsrv お よび idmrptuser を作成します。これらのユーザは、Identity Reporting が必要とするデータソースを テストする場合に必要になります。また、アプリケーションを展開する前にデータソースが存在し ている必要もあります。詳細については、351 ページのセクション 37.2「Identity Reporting コン ポーネントのインストールプロセスの理解」を参照してください。 環境が正しく設定されていることを確認するため、次の手順をこの順番で実行する必要があります。 次の表を使用して、各 PostgreSQL ユーザにバインドする適切なデータソースを特定します。 Identity Reporting の設定 371 PostgreSQL ユーザ WebSphere のデータソース idmrptsrv IDMRPTDataSource idmrptuser IDMRPTCfgDataSource 1 次のいずれかのセクションの手順に従って、Identity Reporting をインストールします。 361 ページのセクション 39.1「ガイド付きプロセスを使用した Identity Reporting のインス トール」 367 ページのセクション 39.2「Identity Reporting のサイレントインストール」 この手順により、PostgreSQL データベース内にユーザ idmrptsrv および idmrptuser が作成さ れ、WAR が /opt/netiq/idm/apps/IdentityReporting に書き込まれます。 2 SIEM データベースに接続して次の PostgreSQL ユーザにバインドされる 2 つの PostgreSQL データソースを作成します。 3 アプリケーションサーバの展開ツールを使用して、次の Identity Reporting WAR ファイルを展 開します。 IDMRPT-CORE.war IDMRPT.war rptdoc.war easwebstart.war easrestapi.war 40.1.2 WebSphere 環境を Windows サービスとして実行するための 設定 Windows サービスとして実行される Web コンテナに Identity Reporting を展開する場合、そのサー ビスの[ログオン]プロパティを設定し、インストールツールおよび環境設定ツールによって設定 された環境設定データと同じデータを読み書きできるようにする必要があります。 この変更を行わないと、WebSphere 7.0 を Windows サービスとしてインストールした場合に問題 が発生することがあります。この場合、[ログオン]プロパティはデフォルトで、システムのユーザ とグループで定義されたどのユーザにもマップされていない「ローカルシステム」に設定されます。 Identity Reporting は、プロセス ( アプリケーションサーバ ) を実行する OS ユーザに関連付けられ た Java Preferences を使用して、アプリケーションの環境設定データを保存します。 [ログオン]プロパティを、アプリケーションサーバの実行に使用するユーザアカウントに設定しま す。たとえば、 「管理者」として実行するには、[ログオン]を管理者に設定します。インストール 後の環境設定ツールは同じユーザとして実行する必要があります。 40.1.3 WebSphere の SSL 接続の設定 SSL 接続を使用する場合、eDirectory 証明書を永続化する必要があります。コンソールユーティリ ティを使用して、信頼されたストアに CA をアップロードします。 372 NetIQ Identity Manager セットアップガイド 40.1.4 レポーティング環境設定ファイルと JVM システムプロパティ の追加 このセクションは、Identity Reporting を WebSphere アプリケーションサーバ上で機能させるため に必要な新しい JVM システムプロパティを作成するのに役立ちます。このプロセスは、Identity Reporting を識別情報アプリケーションと同じ WebSphere 環境に展開するかどうかによって多少異 なります。 1 WebSphere の管理コンソールに管理ユーザとしてログインします。 2 左側のペインで、 [Servers ( サーバ )]>[Application Servers ( アプリケーションサーバ )] の順にクリックします。 3 サーバのリストで、設定するサーバの名前をクリックします。たとえば、 [server1]です。 4 コンテンツペインの[Server Infrastructure ( サーバインフラストラクチャ )]で、 [Java and Process Management (Java およびプロセス管理 )]をクリックします。 5 リンクを展開して、 [Process Definition]を選択します。 6 [追加プロパティー]のリストで[Java 仮想マシン]をクリックします。 7 [JVM]ページの[Additional Properties ( 追加プロパティ )]という見出しの下にある [Custom Properties ( カスタムプロパティ )]をクリックします。 8 JVM システムプロパティ com.netiq.rpt.config.file を追加するため、次の手順を実行します。 8a [New ( 新規 )]をクリックします。 8b [Name ( 名前 )]に、 「com.netiq.rpt.config.file」を指定します。 8c [Value ( 値 )]に、ism-configuation.properties ファイルのファイル名を含むフルパスを指定 します。 たとえば、/opt/netiq/idm/apps/IdentityReporting/config/ism-configuation.properties です。 8d [Description ( 説明 )]に、プロパティの説明を指定します。 たとえば、「Identity Manager Reporting ism プロパティファイル」などを指定します。 8e [OK]をクリックしてプロパティを保存します。 9 ( 状況によって実行 ) Identity Reporting を識別情報アプリケーションとともに展開する場合、 次の手順を実行します。 9a Identity Reporting のインストールディレクトリから次の環境設定ファイルをコピーしま す。 rpt_data_hibernate.cfg.xml rpt_runner_hibernate.cfg.xml rpt_mgt_cfg_hibernate.cfg.xml 9b これらのファイルを、識別情報アプリケーションの設定時に JVM プロパティ extend.local.config.dir にマップしたディレクトリに配置します。 10 ( 状況によって実行 ) Identity Reporting を識別情報アプリケーションととともに展開しない場 合は、次の手順を実行して、JVM システムプロパティ extend.local.config.dir を追加します。 10a [New ( 新規 )]をクリックします。 10b [Name ( 名前 )]に、 「extend.local.config.dir」を指定します。 Identity Reporting の設定 373 10c [Value ( 値 )]に、Reporting の 3 つの環境設定ファイル (rpt_data_hibernate.cfg.xml、 rpt_runner_hibernate.cfg.xml、および rpt_mgt_cfg_hibernate.cfg.xml) があるディレクトリのフ ルパスを指定します。 たとえば、/opt/netiq/idm/apps/IdentityReporting/conf/ です。 10d [Description ( 説明 )]に、プロパティの説明を指定します。 たとえば、「Identity Manager Reporting 環境設定ファイルのパス」と入力します。 10e [OK]をクリックしてプロパティを保存します。 11 WebSphere を再起動します。 40.1.5 共有ライブラリの作成と適用 共有ライブラリを Identity Reporting 用に設定しなければならない場合があります。共有ライブラリ を作成する場合は、ライブラリを新しいクラスローダに適用して、WebSphere が Identity Manager バージョンの JAR ファイルを使用するようにする必要もあります。適用しない場合、 WebSphere に付属する JAR ファイルでクラスロードの問題が発生します。WebSphere でクラス ロードの問題がある場合、次の種類の例外として出現する可能性があります。 ClassCastException ClassNotFoundException NoClassDefFoundException UnsatisfiedLinkError LinkageError このプロセスには次の作業が含まれます。 374 ページの 「共有ライブラリの設定」 375 ページの 「新しいクラスローダへの共有ライブラリの適用」 共有ライブラリの設定 1 WebSphere の管理コンソールに管理ユーザとしてログインします。 2 左側ペインで、 [環境]を展開します。 3 [共有ライブラリー]をクリックします。 4 コンテンツペインで、 [新規]をクリックします。 5 名前を指定します (「IDMUA クラスパス」など )。 6 [Classpath ( クラスパス )]に、必要な JAR ファイルを追加します。 個々のコンポーネントのインストーラを使用して Identity Reporting をインストールした場 合、共有ライブラリには、識別情報アプリケーションで必要な JAR と同じ 3 つの JAR に 加え、次の JAR が追加で必要です。 log4j.jar commons-logging-1.1.1.jar IDMselector.jar felix.jar 374 NetIQ Identity Manager セットアップガイド log4j.jar、IDMselector.jar、および felix.jar は %reporting-install% ディレクトリに、commonslogging-1.1.1.jar は %reporting-install%/bin/lib ディレクトリにあります。 次に例を示します。 /opt/netiq/idm/apps/IdentityReporting/log4j.jar /opt/netiq/idm/apps/IdentityReporting/IDMselector.jar /opt/netiq/idm/apps/IdentityReporting/bin/lib/commons-logging-1.1.1.jar /opt/netiq/idm/apps/IdentityReporting/felix.jar 識別情報アプリケーションのインストールの一部として Identity Reporting をインストール した場合は、既存の共有ライブラリ定義に felix JAR 用のエントリを追加します。felix JAR は Identity Reporting のインストールディレクトリにあります。たとえば、/opt/netiq/idm/ apps/IdentityReporting/felix.jar です。 例 : /opt/netiq/idm/apps/IdentityReporting/felix.jar 7 [Use an isolated class loader for this shared library ( この共有ライブラリで独立したクラス ローダを使用する )]を選択解除します。 8 [OK]をクリックします。 9 [保存]をクリックしてマスタ環境設定に変更を保存します。 新しいクラスローダへの共有ライブラリの適用 1 WebSphere の管理コンソールに管理ユーザとしてログインします。 2 [アプリケーション・サーバー]>[server-name]>[クラス・ローダー]の順に展開します。 注 : デフォルトでは、このオプションは[Java およびプロセス管理]セクションの下で縮小さ れています。 3 コンテンツペインで[新規]をクリックし、新しいクラスローダを作成します。 4 [最初にローカル・クラス・ローダーをロードしたクラス ( 親は最後 )]を選択します。 5 [適用]をクリックします。 6 [共有ライブラリー参照]を選択します。 7 [追加]をクリックし、297 ページの 「共有ライブラリの設定」で作成した共有ライブラリを 選択します。 8 [適用]をクリックします。 9 [OK]をクリックします。 10 [保存]をクリックしてマスタ環境設定に変更を保存します。 Identity Reporting の設定 375 40.2 Oracle データベースでのレポートの実行 Identity Reporting は、リモートの Oracle データベースに対してレポートを実行できます。ただし、 ご使用のアプリケーションサーバ用のライブラリに Oracle JDBC ファイルを追加する必要がありま す。 1 Oracle の Web サイトから ojdbc7.jar ファイルをダウンロードします。 2 ご使用のアプリケーションサーバに適した場所にこのファイルをコピーします。 JBoss: 分離用のコンテキストライブラリディレクトリ : jboss_install/server/context/lib。これ は、インストール中に[JDBC ドライバの JAR]で指定したフォルダと同じです。 Tomcat: tomcat_install 内の common/lib ディレクトリ。 WebSphere: 次のオプションのうちの 1 つを選択します。 共有ライブラリに追加する。詳細については、297 ページのセクション 33.6.3「共有 ライブラリの作成と適用」を参照してください。 [WebSphere Variables (WebSphere 変数 )]を使用して JDBC エントリを作成する。 サポートされている Oracle データベースの詳細については、354 ページのセクション 37.4.2 「Identity Reporting のシステム要件」を参照してください。 40.3 Identity Reporting 用の REST API の展開 Identity Reporting には、レポーティング機能内でさまざまな機能を可能にする複数の REST API が 組み込まれています。これらの REST API は認証に OAuth2 プロトコルを使用します。 Tomcat および JBoss では、Identity Reporting のインストール時に rptdoc war が自動的に展開されま す。WebSphere では、この WAR は %Reporting-install-folder% にインストールされます。たとえば、 /opt/netiq/idm/apps/IdentityReporting です。Reporting の他の WAR と同様に、この WAR を手動で展開 する必要があります。 ステージング環境または運用環境で作業する際は、Tomcat および JBoss 上の使用環境から rptdoc war のファイルとフォルダを手動で削除します。このファイルを WebSphere に展開しないでくださ い。 376 NetIQ Identity Manager セットアップガイド 41 Reporting 用ドライバの管理 41 Identity Reporting に必要なドライバは次のとおりです。 Identity Manager 管理対象システムのゲートウェイドライバ Identity Manager データ収集サービス用ドライバ Designer に付属するパッケージ管理ツールを使用して、ドライバをインストールおよび設定できま す。このプロセスには次の作業が含まれます。 377 ページのセクション 41.1「Identity Reporting 用のドライバの設定」 383 ページのセクション 41.2「Identity Reporting 用ドライバの展開と起動」 388 ページのセクション 41.3「ドライバのスキーマのバックアップ」 390 ページのセクション 41.4「ランタイム環境の設定」 398 ページのセクション 41.5「ドライバの監査フラグの設定」 41.1 Identity Reporting 用のドライバの設定 このセクションは、管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバ を Identity Reporting 用にインストールおよび設定するのに役立ちます。 注 : このセクションは、ユーザアプリケーションドライバと RBPM 用の役割およびリソースドライ バがインストールおよび設定済みであることが前提です。詳細については、307 ページの第 34 章 「識別情報アプリケーション用のドライバの作成と展開」を参照してください。 377 ページのセクション 41.1.1「Identity Reporting 用のドライバパッケージのインストール」 378 ページのセクション 41.1.2「管理対象システムのゲートウェイドライバの設定」 380 ページのセクション 41.1.3「データ収集サービス用ドライバの設定」 382 ページのセクション 41.1.4「識別情報アプリケーションからのデータ収集に関する Identity Reporting の設定」 41.1.1 Identity Reporting 用のドライバパッケージのインストール ドライバを設定する前に、ドライバに必要なすべてのパッケージがパッケージカタログに含まれて いる必要があります。Designer で新しい Identity Manager プロジェクトを作成すると、新しいプロ ジェクトにいくつかのパッケージをインポートするようにユーザインタフェースによって自動的に 要求されます。インストール中にパッケージをインポートする必要はありませんが、Identity Reporting を適切に機能させるには、一定の段階でパッケージをインストールする必要があります。 1 Designer でプロジェクトを開きます。 2 [パッケージカタログ]>[パッケージのインポート]の順に選択します。 Reporting 用ドライバの管理 377 3 [パッケージの選択]ダイアログボックスで、 [すべて選択]をクリックし、[OK]をクリック します。 Designer によって、[パッケージカタログ]にいくつかの新しいパッケージフォルダが追加さ れます。これらのパッケージフォルダは、Designer 内の[モデラー]ビューの右側にあるパ レットに含まれるオブジェクトに対応します。 4 [保存]をクリックします。 41.1.2 管理対象システムのゲートウェイドライバの設定 1 Designer でプロジェクトを開きます。 2 [モデラー]ビューのパレットで、 [サービス]>[管理対象のシステムゲートウェイ]の順に 選択します。 3 [管理対象のシステムゲートウェイ]のアイコンを[モデラー]ビューにドラッグします。 4 ドライバ環境設定ウィザードで、 [Managed System Gateway Base ( 管理対象のシステム ゲートウェイベース )]を選択して、[次へ]をクリックします。 注 : 4.0.2 リリースでは、バージョン 2.0.0.20120509205929 の管理対象システムのゲートウェ イベースパッケージが必要です。 5 [必須機能の選択]ウィンドウで、必須機能を選択して[次へ]をクリックします。 6 ( 状況によって実行 )「Advanced Java Class ( 拡張 Java クラス )」という名前の追加パッ ケージを指定するようプロンプトが表示される場合は、そのパッケージを選択して[OK]を クリックします。 7 ( オプション ) ドライバに使用する名前を指定します。 8 [次へ]をクリックします。 9 [Connection Parameters ( 接続パラメータ )]に、Identity Reporting がドライバにデータを要 求する場合に使用する値を指定します。 複数の IP アドレスを指定した場合は、引き続き同じポート番号を使用してすべてのインタ フェースをリスンします。たとえば、アドレスに「164.99.88.30,127.0.0.1」、ポートに「9000」 を指定した場合、ドライバは次の設定を使用します。 164.99.88.30:9000 127.0.0.1:9000 10 ( オプション ) エンドポイントトレースを有効にするため、 [true]を選択してトレースファイ ルの場所を指定します。 11 [次へ]をクリックします。 12 ( オプション ) ドライバをリモートローダに接続するため、次の手順を実行します。 12a [リモートローダ]ウィンドウで[はい]を選択します。 12b 使用するリモートローダ設定を指定します。 13 [次へ]をクリックします。 14 [インストールタスクの確認]ウィンドウの情報を確認して、 [終了]をクリックします。 378 NetIQ Identity Manager セットアップガイド 15 ( オプション ) ドライバの他の設定を行うため、 [モデラー]ビューで次の手順を実行します。 15a 管理対象システムのゲートウェイドライバとドライバセットを結ぶ線を右クリックして、 [プロパティ]をクリックします。 15b [プロパティ]ダイアログボックスで、 [ドライバ環境設定]>[起動オプション]の順に 選択します。 15c [起動オプション]で[手動]を選択して、 [適用]をクリックします。 15d [ドライバパラメータ]タブを選択します。 15e ( オプション )[ドライバオプション]タブで、ドライバ、接続、およびエンドポイントト レースの設定を変更します。 設定を表示するには、[Connection Parameters ( 接続パラメータ )]および[ドライバパ ラメータ]の下にある[show ( 表示 )]を選択しなければならない場合があります。 15f ( オプション ) 発行者チャネル上でドライバから定期的にステータスメッセージを送信す るため、[発行者オプション]タブを選択し、[Publisher heartbeat interval ( 発行者の ハートビート間隔 )]に値を分単位で指定します。 指定した間隔内に発行者チャネル上でトラフィックが発生しないと、ドライバは新しい ハートビートを送信します。 15g [Apply ( 適用 )]をクリックします。 16 ( オプション ) サーバのグローバル構成値を指定するため、次の手順を実行します。 16a ナビゲーションペインで[GCV]を選択します。 16b 次のようなグローバル構成値を指定します。 Query Managed Systems across driversets ( ドライバセット全体に管理対象システムを 問い合わせる ) 管理対象システムのゲートウェイドライバの操作スコープを定義します。[true]に 設定すると、ドライバはドライバセット全体の管理対象システムに関する情報を返し ます。他の設定の場合、スコープはローカルドライバセットに制限されます。 Add end-point request data to queries ( クエリにエンドポイント要求データを追加する ) ドライバによって送信されるクエリにエンドポイント要求データを追加するかどうか を指定します。これは operation-data ノードとして追加されます。 End-point request data node name ( エンドポイント要求データのノード名 ) クエリの operation-data に追加するノード名を指定します。ノード属性に要求の詳細 が含まれるようになります。 16c [Apply ( 適用 )]をクリックします。 17 ( オプション ) インストールされたパッケージを確認するため、ナビゲーションペインで[パッ ケージ]をクリックします。 特定のパッケージをアンインストールする場合を除き、[操作]の設定を変更する必要はあり ません。 18 [OK]をクリックします。 19 Identity Reporting が正しく機能するよう、購読者チャネルを有効にします。 Reporting 用ドライバの管理 379 41.1.3 データ収集サービス用ドライバの設定 1 Designer でプロジェクトを開きます。 2 [モデラー]ビューのパレットで、 [サービス]>[データ収集サービス]の順に選択します。 3 [データ収集サービス]のアイコンを[モデラー]ビュー上にドラッグします。 4 ドライバ環境設定ウィザードで、 [Data Collection Service Base ( データ収集サービスベース )]を選択して、[次へ]をクリックします。 注 : 4.0.2 リリースでは、バージョン 2.0.0.20120509205929 のデータ収集サービスベースパッ ケージが必要です。 5 [必須機能の選択]ウィンドウで、必須機能を選択して[次へ]をクリックします。 6 適用するオプション機能を選択し、 [次へ]をクリックします。 7 ( 状況によって実行 )「LDAP Library (LDAP ライブラリ )」という名前の追加パッケージを指 定するようプロンプトが表示される場合は、次の手順を実行します。 7a パッケージを選択し、 [OK]をクリックします。 7b ( オプション ) すべてのドライバを対象にしたグローバルな接続プロファイルを設定する には、 [Install LDAP Library (LDAP ライブラリのインストール )]ページで[はい]を選択 します。 8 [次へ]をクリックします。 9 ( オプション ) ドライバに使用する名前を指定します。 10 [次へ]をクリックします。 11 [Connection Parameters ( 接続パラメータ )]に、Identity Reporting がドライバにデータを要 求する場合に使用する値を指定します。 たとえば、認証に使用するレポーティング管理者のユーザとパスワードを指定します。 複数の IP アドレスを指定した場合は、引き続き同じポート番号を使用してすべてのインタ フェースをリスンします。たとえば、アドレスに「164.99.88.30,127.0.0.1」、ポートに「9000」 を指定した場合、ドライバは次の設定を使用します。 164.99.88.30:9000 127.0.0.1:9000 12 [次へ]をクリックします。 13 [Identity Vault Registration ( 識別ボールトの登録 )]に、識別ボールトの設定を指定します。 14 ( オプション ) 管理対象システムのゲートウェイドライバを登録するため、次の手順を実行しま す。 14a [Managed System Gateway Registration ( 管理対象システムのゲートウェイの登録 )] で[はい]をクリックします。 14b ドライバの DN に加え、LDAP 管理者のユーザおよびパスワードを指定します。 注 : ドライバがまだ展開されていないので、ブラウズ機能では設定したばかりの管理対象 システムのゲートウェイドライバは表示されません。したがって、ドライバの DN を入力 する必要があります。 15 [次へ]をクリックします。 380 NetIQ Identity Manager セットアップガイド 16 ( オプション ) ドライバをリモートローダに接続するため、次の手順を実行します。 16a [リモートローダ]ウィンドウで[はい]を選択します。 16b 使用するリモートローダ設定を指定します。 17 [次へ]をクリックします。 18 [Scoping Configuration ( スコープ設定 )]で、データ収集サービスドライバの役割を指定し ます。 19 [インストールタスクの確認]ウィンドウの情報を確認して、 [終了]をクリックします。 20 ( オプション ) ドライバの他の設定を行うため、 [モデラー]ビューで次の手順を実行します。 20a データ収集サービスドライバとドライバセットを結ぶ線を右クリックして、 [プロパティ] をクリックします。 20b [プロパティ]ダイアログボックスで、 [ドライバ環境設定]>[起動オプション]の順に 選択します。 20c [起動オプション]で[手動]を選択して、 [適用]をクリックします。 20d [ドライバパラメータ]タブを選択します。 20e ( オプション )[ドライバオプション]タブで、ドライバ、接続、および登録の設定を変更 します。 テスト環境では、低い数値を使用して、イベントが正常に処理されるかどうかを確認でき ます。ただし運用環境では、多くの場合、高い数値を使用して、システムが必要以上にイ ベントを処理しないようにします。 IP アドレス Identity Reporting をホストするサーバの IP アドレスを指定します。 ポート Identity Reporting が REST 接続に使用するポート番号を指定します。 プロトコル Identity Reporting にアクセスするためのプロトコルを指定します。[HTTPS]を選択 した場合は、サーバの証明書を信頼するかどうかも指定する必要があります。 名前 Identity Reporting 内で識別ボールトを参照するために使用する名前を指定します。 説明 識別ボールトの短い説明を指定します。 アドレス 識別ボールトの IP アドレスを指定します。 164.99.130.127 注 : IP アドレスを指定する必要があります。[Identity Vault Registration ( 識別ボール トの登録 )]に「localhost」アドレスを指定しないでください。 Register Managed System Gateway ( 管理対象システムのゲートウェイの登録 ) 管理対象システムのゲートウェイドライバを登録するかどうかを指定します。 Managed System Gateway Driver DN (LDAP) ( 管理対象システムのゲートウェイドライ バの DN (LDAP)) 管理対象システムのゲートウェイドライバの DN をスラッシュ形式で指定します。 Reporting 用ドライバの管理 381 Managed System Gateway Driver Configuration Mode ( 管理対象システムのゲートウェ イドライバの環境設定モード ) ドライバをローカルまたはリモートのどちらで設定するかを指定します。 ユーザ DN (LDAP) 管理対象システムのゲートウェイドライバへの認証でドライバが使用するユーザの LDAP DN を指定します。この DN は識別ボールトに存在している必要があります。 パスワード ユーザのパスワードを指定します。 Time interval between submitting events ( イベント送信間隔 ) イベントを DCS ( および Identity Reporting 用データベース ) に送信する前に永続レ イヤー内に保持しておくことができる最大時間 ( 分単位 )。 20f ( 状況によって実行 ) 識別情報アプリケーションからデータを収集するには、 [SSO Service Support (SSO サービスのサポート )]の値を指定します。詳細については、 382 ページのセクション 41.1.4「識別情報アプリケーションからのデータ収集に関する Identity Reporting の設定」を参照してください。 20g [適用]をクリックします。 21 DN を設定するため、次の手順を実行します。 21a ナビゲーションメニューで[エンジン制御値]を選択します。 21b [Qualified form for DN-syntax attribute values (DN 構文属性値の識別形式 )]の設定で、 [True]を選択します。 21c [Apply ( 適用 )]をクリックします。 22 ( オプション ) サーバのグローバル構成値を指定するため、次の手順を実行します。 22a ナビゲーションペインで[GCV]を選択します。 22b [Show override options ( 上書きオプションの表示 )]で[Show ( 表示 )]を選択します。 22c 設定を変更してグローバル構成値を上書きします。 22d [適用]をクリックします。 23 [OK]をクリックします。 41.1.4 識別情報アプリケーションからのデータ収集に関する Identity Reporting の設定 Identity Reporting で識別情報アプリケーションからデータを収集するには、シングルサインオンプ ロセスをサポートするように DCS ドライバを設定する必要があります。 1 Designer でプロジェクトを開きます。 2 [アウトライン]ビューで、データ収集サービスドライバを右クリックし、 [プロパティ]をク リックします。 3 [ドライバ環境設定]>[ドライバパラメータ]の順にクリックします。 4 [Show connection parameters ( 接続パラメータの表示 )]>[show ( 表示 )]の順にクリック します。 5 [SSO Service Support (SSO サービスのサポート )]>[はい]の順にクリックします。 6 シングルサインオン機能のパラメータを指定します。 382 NetIQ Identity Manager セットアップガイド SSO Service Address (SSO サービスのアドレス ) 必須 OSP へトークンを発行する認証サーバの相対 URL を指定します。たとえば、 123.45.678.90 と入力します。 この値は、RBPM 環境設定ユーティリティの[OSP server host identifier (OSP サーバの ホスト識別子 )]で指定した値と同じ値にする必要があります。詳細については、 335 ページのセクション 36.3.1「Authentication Server( 認証サーバ )」を参照してくださ い。 SSO Service Port (SSO サービスのポート ) 必須 認証サーバのポートを指定します。デフォルトは 8180 です。 この値は、RBPM 環境設定ユーティリティの[OSP server TCP port (OSP サーバの TCP ポート )]で指定した値と同じ値にする必要があります。詳細については、335 ペー ジのセクション 36.3.1「Authentication Server( 認証サーバ )」を参照してください。 SSO Service Client ID (SSO サービスクライアント ID) 必須 DCS ドライバのシングルサインオンクライアントを認証サーバに対して識別するために 使用する名前を指定します。デフォルト値は dcsdrv です。 この値は、RBPM 環境設定ユーティリティの[OSP client ID (OSP クライアント ID)]で 指定した値と同じ値にする必要があります。詳細については、343 ページのセクション 36.4.4「レポーティング」を参照してください。 SSO Service Client Secret (SSO サービスクライアントシークレット ) 必須 DCS ドライバのシングルサインオンクライアントのパスワードを指定します。 この値は、RBPM 環境設定ユーティリティの[OSP client secret (OSP クライアントシー クレット )]で指定した値と同じ値にする必要があります。詳細については、343 ページ のセクション 36.4.4「レポーティング」を参照してください。 プロトコル サービスクライアントが認証サーバとの通信時に http ( 非セキュア ) プロトコルまたは https ( セキュア ) プロトコルのどちらを使用するかを指定します。 7 [適用]をクリックし、 [OK]をクリックします。 8 ( 状況によって実行 ) ドライバの展開後にこれらの設定を変更した場合、ドライバを展開して再 起動する必要があります。詳細については、383 ページのセクション 41.2「Identity Reporting 用ドライバの展開と起動」を参照してください。 9 現在の環境内にある DCS ドライバごとに、この手順を繰り返します。 41.2 Identity Reporting 用ドライバの展開と起動 Identity Reporting に必要なドライバは次のとおりです。 Identity Manager 管理対象システムのゲートウェイドライバ Identity Manager データ収集サービス用ドライバ Reporting 用ドライバの管理 383 このプロセスには次の作業が含まれます。 384 ページのセクション 41.2.1「ドライバの展開」 384 ページのセクション 41.2.2「管理対象システムの動作の確認」 387 ページのセクション 41.2.3「Identity Reporting 用ドライバの起動」 これらのドライバのインストールと設定の詳細については、377 ページのセクション 41.1「Identity Reporting 用のドライバの設定」を参照してください。 41.2.1 ドライバの展開 Identity Reporting 用に 2 つのドライバを展開する必要があります。 1 Designer でプロジェクトを開きます。 2 [モデラー]ビューまたは[アウトライン]ビューで、展開するドライバセットを右クリック します。 3 [ライブ]>[展開]の順に選択します。 4 選択したドライバの識別ボールト資格情報を指定します。 41.2.2 管理対象システムの動作の確認 管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバを起動する前に、基 礎となる管理対象システムが適切に設定されていることを確認する必要があります。このプロセス は、レポーティングドライバの環境設定と関係のない、使用環境上の問題を切り分けるのに役立ち ます。 たとえば、Active Directory 環境をトラブルシューティングする場合、ユーザアプリケーションでリ ソースを割り当てることによって、Active Directory のエンタイトルメントをテストできます。 注 : Active Directory ドライバの詳細については、 『NetIQ Identity Manager Driver for Active Directory Implementation Guide』を参照してください。 次の手順は、Active Directory が適切に設定されているかどうかを確認する方法の 1 つを示していま す。 1 ユーザアプリケーションと Identity Reporting の両方が同じサーバで実行されていることを確認 します。 2 iManager で、ユーザアプリケーションドライバと役割およびリソースサービスドライバが実 行されていることを確認してから、管理対象システム用のドライバが実行されていることを確 認します。 3 ユーザアプリケーションが Active Directory から情報を取得できることを確認するため、ユー ザアプリケーションにユーザアプリケーション管理者としてログインします。 4 リソースカタログで、Active Directory アカウント用の新しいリソースを作成します。 5 そのリソースを Active Directory ドライバ内のエンタイトルメント ([User Account Entitlement ( ユーザアカウントエンタイトルメント )]など ) にバインドします。 384 NetIQ Identity Manager セットアップガイド これで、ユーザアプリケーションはドライバからエンタイトルメントを取得できます。 6 この特定のリソースはアカウントに関係しているため、アカウントの値を割り当てるようにリ ソースを設定します。 7 アカウントの値を選択して、 [追加]をクリックします。 8 グループを割り当てる別のリソースを作成します。 Reporting 用ドライバの管理 385 9 そのリソースを、グループに適したエンタイトルメントにバインドします。この特定のリソー スを[Group Membership Entitlement ( グループメンバーシップエンタイトルメント )]に割 り当てます。 10 ユーザが要求時にエンタイトルメントの値を割り当てるようにリソースを設定し、ユーザが 1 つの割り当て要求に対して複数の値を選択できるようにします。 11 エンタイトルメントが正常に作成されたことを確認します。 この時点で、管理対象システムの基礎となるアーキテクチャ ( この場合は Active Directory) が 正しく機能していることを確認できます。これは、後になって問題が発生した場合に、問題の トラブルシューティングに役立ちます。 386 NetIQ Identity Manager セットアップガイド 41.2.3 Identity Reporting 用ドライバの起動 このセクションでは、管理対象システムのゲートウェイドライバおよびデータ収集サービスドライ バの起動方法について説明します。 1 iManager を開きます。 2 管理対象システムのゲートウェイドライバを右クリックし、 [ドライバの起動]をクリックし ます。 3 データ収集サービスドライバを右クリックし、 [ドライバの起動]をクリックします。 4 ドライバが起動したら、コンソールにより、サーバコンソールに追加情報が表示されることを 確認します。次に例を示します。 5 Identity Reporting にレポーティング管理者としてログインします。 6 左側のナビゲーションペインで、 [概要]をクリックします。 7 [環境設定]セクションに、識別ボールトが設定済みとレポートされることを確認します。 8 ナビゲーションペインで、 [識別ボールト]をクリックします。 9 [識別ボールト]ページに、データ収集サービスドライバおよび管理対象システムのゲート ウェイドライバの詳細が表示されることを確認します。管理対象システムのゲートウェイドラ イバのステータスには、ドライバが初期化済みであることが示されている必要があります。 この時点で識別情報ウェアハウスの内容を確認すると、識別ボールト関連の豊富な保存データ のほか、エンタープライズ内の管理対象システムをさらに詳しく把握できます。 10 識別情報ウェアハウス内のデータを参照するには、データベース管理ツール (PostgreSQL の場 合は PGAdmin など ) を使用して SIEM データベースの内容を確認します。SIEM データベース を参照すると、次のスキーマが表示されます。 idm_rpt_cfg レポート定義やスケジュールなどのレポーティング環境設定データが保存されています。 このスキーマは、Identity Reporting のインストールプログラムによってデータベースに追 加されます。 idm_rpt_data 管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバによって収 集された情報が保存されています。このスキーマは、Identity Reporting のインストールプ ログラムによってデータベースに追加されます。 public EAS によってキャプチャされたイベントの情報が提供されます。EAS のインストールプ ログラムにより、SIEM データベースがインストールされます。 11 ドライバによって収集されたデータを表示するため、 [idm_rpt_data]>[Tables ( テーブル )] >[idmrpt_idv]の順に展開します。 12 新しいデータ収集サービスドライバに対して、このテーブルに行が 1 つ追加されていることを 確認します。 Reporting 用ドライバの管理 387 13 このテーブルのデータが識別ボールトの名前を示していることを確認します。 このテーブルに新しい行が表示されている場合、ドライバの登録プロセスは正常に完了してい ます。 41.3 ドライバのスキーマのバックアップ 必要に応じて、Identity Reporting が監査データ、イベントデータ、および環境設定情報の保存に使 用する EAS PostgreSQL データベースをバックアップできます。このデータベースには 3 つの独立 したスキーマが含まれます。 public: 監査データ、イベントソースの環境設定情報、およびその他の管理情報が保存されま す。 EAS の監査データ保存期間は 90 日です。90 日より古いイベントはパージ ( 削除 ) されます。 監査データを 90 日以上保持する必要がある場合は、PostgreSQL のツール、または Identity Manager に付属する backup_util.sh ユーティリティを使用して、EAS サーバの PostgreSQL データベースの public スキーマをバックアップしてください。データのバック アップと復元の詳細については、389 ページの 「public スキーマのバックアップと復元」を参 照してください。 idm_rpt_data: 管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバ によって収集されたデータに加え、データ収集環境設定情報が保存されます。 EAS は、[設定]ページの[収集したレポートデータを次の期間保存する]設定で指定された 値に基づいてこのデータを保存します。デフォルトは 365 日です。データのバックアップと復 元の詳細については、389 ページの 「idm_rpt_data および idm_rpt_cfg スキーマのバックアッ プと復元」を参照してください。 388 NetIQ Identity Manager セットアップガイド idm_rpt_cfg: レポーティング環境設定情報、レポート、およびレポートスケジュール情報が保 存されます。 REST エンドポイントを使用してパージ操作を実行しない限り、EAS はこのデータを保存しま す。データのバックアップと復元の詳細については、389 ページの 「idm_rpt_data および idm_rpt_cfg スキーマのバックアップと復元」を参照してください。 リアルタイム監査ソリューションを使用する必要がある場合は、NetIQ Sentinel を使用して Sentinel から EAS へのリンクを設定します。 このプロセスには次の作業が含まれます。 389 ページのセクション 41.3.1「idm_rpt_data および idm_rpt_cfg スキーマのバックアップと復 元」 389 ページのセクション 41.3.2「public スキーマのバックアップと復元」 41.3.1 idm_rpt_data および idm_rpt_cfg スキーマのバックアップと 復元 NetIQ では、idm_rpt_data および idm_rpt_cfg スキーマをバックアップまたは復元する場合、 PostgreSQL 標準のバックアップおよび復元手順を使用することをお勧めします。PostgreSQL デー タベースのバックアップと復元の詳細については、PostgreSQL のマニュアルの「バックアップと リストア」を参照してください。(http://www.postgresql.org/docs/8.4/static/backup.html) 41.3.2 public スキーマのバックアップと復元 public スキーマをバックアップするには、Identity Manager に付属する backup_util.sh ユーティリ ティを使用します。このユーティリティは、Identity Manager サーバの /opt/novell/sentinel/bin ディレ クトリにあります。 public スキーマをバックアップおよび復元するには : 1 /home/novleas ディレクトリに .pgpass ファイルを作成し、ファイルが次の条件を満たしている ことを確認します。 ファイルの所有者が novleas である。 このファイルで world または group へのアクセスが一切許可されていない。必要であれば、 chmod 0600 コマンドを使用してアクセスを制限します。 hostname:port:database:username:password の形式を使用する。たとえば、 localhost:15432:*:dbauser:novell です。 2 Identity Manager サーバで root としてログインし、su コマンドを使用して novleas ユーザに切 り替えます。 3 /opt/novell/sentinel_eas/bin に移動します。 4 次のコマンドを実行します。 。/backup_util.sh -backup。-online -config_only -no_logs 5 スキーマの復元先の PostgreSQL データベースが空であることを確認します。 6 次のコマンドを実行します。 。/backup_util.sh -restore。-online -config_only -no_logs Reporting 用ドライバの管理 389 詳細については、 『NetIQ Sentinel Administration Guide』の「Backing Up and Restoring Data」を参 照してください。 41.4 ランタイム環境の設定 このセクションでは、ランタイム環境が正常に動作していることを確認するために必要な追加の設 定手順について説明します。さらに、トラブルシューティングの手法に加え、注意を要するデータ ベーステーブルに関する情報についても説明します。 このプロセスには次の作業が含まれます。 390 ページのセクション 41.4.1「識別情報アプリケーションからのデータ収集に関するデータ 収集サービスドライバの設定」 391 ページのセクション 41.4.2「データ収集サービスドライバの移行」 393 ページのセクション 41.4.3「カスタム属性とカスタムオブジェクトのサポートの追加」 395 ページのセクション 41.4.4「複数のドライバセットのサポートの追加」 397 ページのセクション 41.4.5「SSL を使用したリモートモードでのドライバ実行設定」 理解が困難な問題が 1 つ以上のドライバで発生する場合は、『NetIQ Identity Reporting Module Guide』の「Troubleshooting the Drivers」を参照してください。 41.4.1 識別情報アプリケーションからのデータ収集に関するデータ収 集サービスドライバの設定 識別情報アプリケーションを Identity Reporting と適切に連携させるには、OAuth プロトコルをサ ポートするように DCS ドライバを設定する必要があります。 注 現在の環境で Identity Reporting を使用している場合は、DCS ドライバをインストールして設定 するだけで済みます。 現在の環境で DCS ドライバが複数設定されている場合は、各ドライバに対して次の手順を実行 する必要があります。 1 Designer にログインします。 2 Designer でプロジェクトを開きます。 3 ( 状況によって実行 ) プロジェクトにまだデータ収集サービスドライバが組み込まれていない場 合は、ドライバをプロジェクトにインポートします。詳細については、307 ページの第 34 章 「識別情報アプリケーション用のドライバの作成と展開」を参照してください。 4 ( 状況によって実行 ) DCS ドライバをサポートされているパッチバージョンにまだアップグ レードしていない場合は、次の手順を実行します。 4a 最新の DCS ドライバパッチファイルをダウンロードします。 4b パッチファイルをサーバ上の場所に展開します。 4c ターミナルで、ご使用の環境用のパッチ RPM を展開した場所へ移動し、次のコマンドを 実行します。 rpm -Uvh novell-DXMLdcs.rpm 390 NetIQ Identity Manager セットアップガイド 4d eDirectory を再起動します。 4e Designer で、サポートされているバージョンのデータ収集サービスベースパッケージがイ ンストールされていることを確認します。必要に応じて、続行する前に最新バージョンを インストールします。ソフトウェア要件の詳細については、352 ページのセクション 37.3 「Identity Reporting コンポーネントのインストールの前提条件」を参照してください。 4f Designer で DCS ドライバを再展開して再起動します。 5 [アウトライン]ビューで、DCS ドライバを右クリックし、 [プロパティ]を選択します。 6 [ドライバ環境設定]をクリックします。 7 [ドライバパラメータ]タブをクリックします。 8 [Show connection parameters ( 接続パラメータの表示 )]をクリックし、 [show ( 表示 )]を 選択します。 9 [SSO Service Support (SSO サービスのサポート )]をクリックし、 [はい]を選択します。 10 Reporting Module の IP アドレスとポートを指定します。 11 SSO サービスクライアントのパスワードを指定します。デフォルトのパスワードは driver で す。 12 [適用]をクリックし、 [OK]をクリックします。 13 [アウトライン]ビューで、DCS ドライバを右クリックし、 [プロパティ]>[展開]の順に選 択します。 14 [展開]をクリックします。 15 DCS ドライバの再起動を求めるプロンプトが表示される場合は、 [はい]をクリックします。 16 [OK]をクリックします。 41.4.2 データ収集サービスドライバの移行 オブジェクトを識別情報ウェアハウスに同期するには、データ収集サービスドライバを移行する必 要があります。 1 iManager にログインします。 2 データ収集サービスドライバの[概要]パネルで、 [Migrate From Identity Vault ( 識別ボール トからの移行 )]を選択します。 3 関連データが含まれる組織を選択して、 [開始]をクリックします。 注 : 保存されているデータの量によっては、マイグレーションプロセスに数分かかる場合があ ります。次に進む前にマイグレーションプロセスが完了するまで待ってください。 4 マイグレーションプロセスが終わるまでしばらく待ちます。 5 識別ボールト内にある識別情報とアカウントの情報を提供する idmrpt_identity テーブルおよ び idmrpt_acct テーブルに、次のタイプの情報が含まれていることを確認します。 Reporting 用ドライバの管理 391 6 LDAP ブラウザで、マイグレーションプロセスによって[DirXML-Associations (DirXML 関連付 け )]に次の参照が追加されていることを確認します。 各ユーザについて次のタイプの情報を確認します。 各グループについて次のタイプの情報を確認します。 7 idmrpt_group テーブルのデータが次の情報のように表示されることを確認します。 このテーブルには、各グループの名前のほかに、そのグループが動的であるか、それともネス トされているかを示すフラグが表示されます。さらに、グループが移行済みかどうかも表示さ れます。オブジェクトがユーザアプリケーションで変更されているものの、まだ移行されてい 392 NetIQ Identity Manager セットアップガイド ない場合、同期ステータス (idmrpt_syn_state) が 0 に設定されている可能性があります。たと えば、ユーザをグループに追加し、ドライバがまだ移行されていない場合、この値が 0 に設定 されている可能性があります。 8 ( オプション ) 次のテーブルのデータを確認します。 idmrpt_approver idmrpt_association idmrpt_category idmrpt_container idmrpt_idv_drivers idmrpt_idv_prd idmrpt_role idmrpt_resource idmrpt_sod 9 ( オプション ) 管理対象システムのゲートウェイドライバのデータ収集状態に関する情報が表示 される idmrpt_ms_collect_state テーブルに新しい行が含まれていることを確認します。 このテーブルには、管理対象システムのどの REST エンドポイントが実行されたかに関する データが記録されます。この時点では、まだこのドライバのデータ収集プロセスを開始してい ないため、テーブルに行はありません。 41.4.3 カスタム属性とカスタムオブジェクトのサポートの追加 デフォルトのデータ収集スキームに含まれないカスタム属性とカスタムオブジェクトのデータを収 集して永続化するよう、データ収集サービスドライバを設定できます。このためには、データ収集 サービスドライバフィルタを変更する必要があります。フィルタを変更しても、オブジェクトの同 期はすぐにはトリガされません。その代わりに、新しく追加した属性とオブジェクトは、識別ボー ルトで追加、変更、または削除イベントが発生したときにデータ収集サービスに送信されます。 カスタム属性とカスタムオブジェクトのサポートを追加する場合、レポートを変更して拡張属性と 拡張オブジェクトの情報を組み込む必要があります。拡張オブジェクトと拡張属性に関する最新 データと履歴データは、次のビューで提供されます。 idm_rpt_cfg.idmrpt_ext_idv_item_v idm_rpt_cfg.idmrpt_ext_item_attr_v このプロセスには次の作業が含まれます。 393 ページの 「拡張オブジェクトを使用するためのドライバの設定」 394 ページの 「データベースへの名前と説明の組み込み」 395 ページの 「既知のオブジェクトタイプへの拡張属性の追加」 拡張オブジェクトを使用するためのドライバの設定 任意のオブジェクトまたは属性をデータ収集サービスフィルタポリシーに追加できます。新しいオ ブジェクトまたは属性を追加する場合、GUID ( 購読者同期を使用 ) およびオブジェクトクラス ( 購 読者通知を使用 ) をマップする必要があります。次に例を示します。 Reporting 用ドライバの管理 393 <filter-class class-name="Device" publisher="ignore" publisher-createhomedir="true" publisher-track-template-member="false" subscriber="sync"> <filter-attr attr-name="CN" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Description" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="GUID" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Object Class" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="notify"/> <filter-attr attr-name="Owner" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Serial Number" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="sampleDeviceModel" from-all-classes="true" mergeauthority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="sampleDeviceType" from-all-classes="true" mergeauthority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> </filter-class> データベースへの名前と説明の組み込み データベースにオブジェクトの名前と設定を指定する場合、_dcsName および _dcsDescription に 対するスキーママッピングポリシーを追加する必要があります。このスキーママッピングポリシー は、オブジェクトインスタンスの属性値をそれぞれ列 idmrpt_ext_idv_item.item_name および idmrpt_ext_idv_item.item_desc にマップします。スキーママッピングポリシーを追加しない場合、 属性は子テーブル idmrpt_ext_item_attr で設定されます。 次に例を示します。 <attr-name class-name="Device"> <nds-name>CN</nds-name> <app-name>_dcsName</app-name> </attr-name> <attr-name class-name="Device"> <nds-name>Description</nds-name> <app-name>_dcsDescription</app-name> </attr-name> 次の SQL の例では、データベース内にあるこれらのオブジェクトと属性の値を表示できます。 SELECT item.item_dn, item.item_name, item.item_desc, attr.attribute_name, itemAttr.attribute_value, item.idmrpt_deleted as item_deleted, itemAttr.idmrpt_deleted as attr_deleted, item.item_desc, obj.object_class FROM idm_rpt_data.idmrpt_ext_idv_item as item, idm_rpt_data.idmrpt_ext_item_attr itemAttr, idm_rpt_data.idmrpt_ext_attr as attr, idm_rpt_data.idmrpt_ext_obj as obj WHERE item.object_id = obj.object_id and itemAttr.attribute_id = attr.attribute_id and itemAttr.cat_item_id = item.item_id ORDER BY item.item_dn, item.item_name 394 NetIQ Identity Manager セットアップガイド 既知のオブジェクトタイプへの拡張属性の追加 属性をデータ収集サービスドライバのフィルタポリシーに追加し、XML 参照ファイル (IdmrptIdentity.xml) でレポーティングデータベースに明示的にマップしていない場合、値には idmrpt_ext_attr テーブルの属性参照が取り込まれ、idmrpt_ext_item_attr テーブルで管理されます。 次の SQL の例は、これらの拡張属性を示しています。 SELECT acct.idv_acct_dn, attrDef.attribute_name, attribute_value, attrVal.idmrpt_valid_from, cat_item_attr_id, attrVal.idmrpt_deleted, attrVal.idmrpt_syn_state FROM idm_rpt_data.idmrpt_ext_item_attr as attrVal, idm_rpt_data.idmrpt_ext_attr as attrDef, idm_rpt_data.idmrpt_identity as idd, idm_rpt_data.idmrpt_idv_acct as acct WHERE attrVal.attribute_id = attrDef.attribute_id and idd.identity_id = acct.identity_id and attrVal.cat_item_id = acct.identity_id and cat_item_type_id = 'IDENTITY' ユーザオブジェクトのほかに、次のオブジェクトのフィルタポリシーにも拡張属性を追加し、デー タベースにそれらの属性を入力できます。 nrfRole nrfResource コンテナ 注 : インストールした製品は organizationUnit、Organization、および Domain をサポートして います。コンテナタイプは idmrpt_container_types テーブルで管理されます。 グループ nrfSod 拡張属性と親テーブルまたはオブジェクトの関連付けは、 idmrpt_cat_item_types.idmrpt_table_name 列を参照することで確認できます。この列には、 idm_rpt_data.idmrpt_ext_item_attr.cat_item_id 列を親テーブルのプライマリキーに結合する方法が 記述されています。 41.4.4 複数のドライバセットのサポートの追加 新しい Data Collection Service Scoping パッケージ (NOVLDCSSCPNG) は、複数のドライバセット と、データ収集サービスドライバおよび管理対象システムのゲートウェイドライバのペアを複数使 用するエンタープライズ環境において、静的および動的なスコープ設定機能を実現します。 インストール中またはインストール後に、このパッケージをインストールするデータ収集サービス ドライバの役割を決定する必要があります。次のいずれかの役割を選択する必要があります。 プライマリ このドライバは、他のドライバセットのサブツリーを除くすべてを同期します。プ ライマリデータ収集サービスドライバは、識別ボールト全体にサービスを提供したり、1 つ以 上のセカンダリドライバと連携して動作したりする可能性があります。 Reporting 用ドライバの管理 395 セカンダリ このドライバは専用のドライバセットのみを同期し、それ以外は何も同期しませ ん。通常、セカンダリデータ収集サービスドライバには、別のドライバセットで実行されてい るプライマリドライバが必要です。そうでない場合、ローカルドライバセットの外部にある データはデータ収集サービスに送信されません。 統合インストールプロセスを使用して 2 つ目のサーバをツリーに追加した場合、サーバは、そ のルートと専用のドライバセットパーティションのコピーのみを受け取ります。さらに、この 2 つ目のサーバでデータ収集サービスドライバをプライマリとして使用した場合、ドライバは、 レポートする必要があるオブジェクトの変更を認識できません。このようなサーバでデータ収 集サービスドライバを設定するには、380 ページのセクション 41.1.3「データ収集サービス用 ドライバの設定」を参照してください。 Custom 管理者はカスタムスコープ設定ルールを定義できます。暗黙のスコープはローカルド ライバセットのみで、それ以外は、カスタムスコープのリストに明示的に追加されていない限 り、すべてスコープの範囲外とみなされます。カスタムスコープは、同期するサブオーディ ネートまたはサブツリーが含まれる識別ボールト内にあるコンテナのスラッシュ形式の識別名 です。 このスコープ設定パッケージが必要になるのは、次に挙げるような特定の設定シナリオのみです。 1 つのサーバと、1 つのドライバセットの識別ボールト。このシナリオでは、スコープを設定す る必要がないため、スコープ設定パッケージをインストールする必要はありません。 複数のサーバと、1 つのドライバセットの識別ボールト。このシナリオでは、次のガイドライ ンに従う必要があります。 Identity Manager サーバがデータ収集元の全パーティションのレプリカを保持する必要が あります。 このシナリオでは、スコープ設定は必要ないため、スコープ設定パッケージはインストー ルしません。 複数のサーバと、複数のドライバセットの識別ボールト。このシナリオでは、次の 2 つの基本 設定があります。 すべてのサーバがデータ収集元の全パーティションのレプリカを保持する設定。 この設定では、次のガイドラインに従う必要があります。 複数の DCS ドライバによって同じ変更が処理されるのを避けるため、スコープ設定が 必要です。 すべての DCS ドライバにスコープ設定パッケージをインストールする必要がありま す。 1 つの DCS ドライバをプライマリドライバとして選択する必要があります。 他の DCS ドライバはすべてセカンダリドライバになるように設定する必要がありま す。 すべてのサーバがデータ収集元の全パーティションのレプリカを「保持しない」設定。 この設定では、次の 2 つの状況が考えられます。 データ収集元の全パーティションは「1 つの」Identity Manager サーバによってのみ保 持されます。 この場合、次のガイドラインに従う必要があります。 複数の DCS ドライバによって同じ変更が処理されるのを避けるため、スコープ 設定が必要です。 396 NetIQ Identity Manager セットアップガイド すべての DCS ドライバにスコープ設定パッケージをインストールする必要があ ります。 すべての DCS ドライバをプライマリドライバになるように設定する必要があり ます。 データの収集元の全パーティションは「1 つの Identity Manager サーバのみによって保 持されません」( 一部のパーティションは複数の Identity Manager サーバで保持され ます )。 この場合、次のガイドラインに従う必要があります。 複数の DCS ドライバによって同じ変更が処理されるのを避けるため、スコープ 設定が必要です。 すべての DCS ドライバにスコープ設定パッケージをインストールする必要があ ります。 すべての DCS ドライバをプライマリドライバになるように設定する必要があり ます。 各ドライバに対してカスタムスコープ設定ルールを定義し、作成したスコープが 重複していないことを確認する必要があります。 41.4.5 SSL を使用したリモートモードでのドライバ実行設定 リモートモードで実行する場合、データ収集サービスドライバおよび管理対象のシステムゲート ウェイドライバを、SSL を使用するように設定できます。このセクションでは、SSL を使用してリ モートモードで実行されるようにドライバを設定する手順について説明します。 管理対象システムのゲートウェイドライバに対してキーストアを使用して SSL を設定する 1 iManager でサーバ証明書を作成します。 1a [Roles and Tasks ( 役割とタスク )]ビューで、 [NetIQ Certificate Server]>[Create Server Certificate ( サーバ証明書の作成 )]の順にクリックします。 1b 管理対象システムのゲートウェイドライバがインストールされているサーバオブジェクト を参照して選択します。 1c 証明書のニックネームを指定します。 1d 作成方法として[Standard ( 標準 )]を選択し、 [次へ]をクリックします。 1e [終了]をクリックし、 [閉じる]をクリックします。 2 iManager を使用してサーバ証明書をエクスポートします。 2a [Roles and Tasks ( 役割とタスク )]ビューで、 [NetIQ Certificate Access (NetIQ 証明書 アクセス )]>[Server Certificates ( サーバ証明書 )]の順にクリックします。 2b 397 ページのステップ 1 で作成した証明書を選択して、 [エクスポート]をクリックしま す。 2c [証明書]メニューで、証明書の名前を選択します。 2d [Export private key ( 秘密鍵のエクスポート )]がオンになっていることを確認します。 2e パスワードを入力し、 [次へ]をクリックします。 2f [Save the exported certificate ( エクスポートされた証明書の保存 )]をクリックし、エ クスポートされた pfx 証明書を保存します。 Reporting 用ドライバの管理 397 3 397 ページのステップ 2 でエクスポートした pfx 証明書を Java キーストアにインポートしま す。 3a Java に付属するキーツールを使用します。JDK 6 以上を使用する必要があります。 3b コマンドプロンプトで次のコマンドを入力します。 keytool -importkeystore -srckeystore pfx certificate -srcstoretype PKCS12 -destkeystore Keystore Name 次に例を示します。 keytool -importkeystore -srckeystore cert.pfx -srcstoretype PKCS12 -destkeystore msgw.jks 3c 要求されたときにはパスワードを入力してください。 4 iManager を使用して、このキーストアを使用するように管理対象システムのゲートウェイド ライバの設定を変更します。 4a [Identity Manager Overview (Identity Manager の概要 )]から、管理対象システムのゲート ウェイドライバが含まれるドライバセットをクリックします。 4b [driver state ( ドライバ状態 )]アイコンをクリックし、 [Edit properties ( プロパティの編 集 )]>[Driver configuration ( ドライバ環境設定 )]の順に選択します。 4c [Show Connection Parameters ( 接続パラメータの表示 )]を[true]に設定し、 [Driver configuration mode ( ドライバ環境設定モード )]を[remote ( リモート )]に設定しま す。 4d キーストアファイルの完全なパスとパスワードを入力します。 4e 保存してドライバを再起動します。 5 iManager を使用して、このキーストアを使用するようにデータ収集サービスドライバの設定 を変更します。 5a [Identity Manager Overview (Identity Manager の概要 )]から、管理対象システムの ゲートウェイドライバが含まれるドライバセットをクリックします。 5b [driver state ( ドライバ状態 )]アイコンをクリックし、 [Edit properties ( プロパティの編 集 )]>[Driver configuration ( ドライバ環境設定 )]の順に選択します。 5c [Managed System Gateway Registration ( 管理対象システムのゲートウェイの登録 )] という見出しの下にある[Managed System Gateway Driver Configuration Mode ( 管理 対象システムのゲートウェイドライバの環境設定モード )]を[remote ( リモート )]に設 定します。 5d キーストアの完全なパス、パスワード、および 397 ページのステップ 1c で入力した別名 を入力します。 5e 保存してドライバを再起動します。 41.5 ドライバの監査フラグの設定 このセクションでは、管理対象システムのゲートウェイドライバおよびデータ収集サービスドライ バを監査する場合の推奨設定の概要について説明します。 399 ページのセクション 41.5.1「Identity Manager での監査フラグの設定」 400 ページのセクション 41.5.2「eDirectory での監査フラグの設定」 398 NetIQ Identity Manager セットアップガイド 41.5.1 Identity Manager での監査フラグの設定 NetIQ では、Identity Manager でドライバに対して監査フラグを設定することをお勧めします。こ れらのフラグは Novell Audit 用です (XDAS 用ではありません )。 iManager でフラグを設定するには、 [Driver Set Properties ( ドライバセットのプロパティ )]>[ロ グレベル]>[特定のイベントの記録]の順に選択します。 カテゴリ 推奨フラグ Metadirectory Engine Events ( メタディレクトリエン ジンイベント ) Metadirectory Engine Warnings ( メタディレクト ステータスイベント Success ( 成功 ) リエンジン警告 ) 注 :[Correlated Resource Assignment Events per User ( ユーザあたりの相関リソース割り当 てイベント )]レポートには[Success ( 成功 )] フラグが必要です。このレポートまたはそのカ スタマイズバージョンを実行できるようにする には、[Success ( 成功 )]フラグを有効にする必 要があります。 Error ( エラー ) Fatal 操作イベント 変更 関連付けの追加 パスワードの確認 値の追加 追加 リネーム 関連付けの削除 オブジェクトパスワードの確認 属性のクリア 値の削除 Named Password ( 名前付きパスワード ) の取得 削除 Move パスワードの変更 値の追加 ( 変更時 ) 属性のリセット 変換イベント パスワードのリセット ユーザエージェントの要求 パスワードの同期 Reporting 用ドライバの管理 399 カテゴリ 資格情報プロビジョニングイベント 推奨フラグ SSO 資格情報の設定 SSO 資格情報のクリア SSO パスフレーズの設定 41.5.2 eDirectory での監査フラグの設定 NetIQ では、eDirectory でドライバに対して監査フラグを設定することをお勧めします。これらの フラグは Novell Audit 用です (XDAS 用ではありません )。 [eDirectory Auditing (eDirectory の監査 )]>[Audit iManager でフラグを設定するには、 Configuration ( 監査環境設定 )]>[Novell Audit]の順に選択します。 カテゴリ 推奨フラグ Global 複製されたイベントを送信しない メタ ( すべてのフラグを選択 ) オブジェクト 追加するプロパティ ログインの許可 パスワードの変更 セキュリティ等号の変更 作成 削除 プロパティの削除 ログイン ログアウト RDN の変更 移動 ( ソース ) 移動 ( ターゲット ) 削除 名前の変更 復元 検索 パスワードの確認 属性 ( すべてのフラグを選択 ) エージェント DS のリロード ローカルエージェントを開く ローカルエージェントを閉じる NLM のロード 400 NetIQ Identity Manager セットアップガイド カテゴリ その他 推奨フラグ CA キーの生成 公開キーの再認証 LDAP LDAP バインド LDAP レスポンスのバインド LDAP 変更 LDAP レスポンスの変更 LDAP パスワード変更 LDAP アンバインド LDAP 削除 LDAP レスポンスの削除 LDAP DN の変更 LDAP DN レスポンスの変更 LDAP 検索 LSAP 応答の検索 LDAP 追加 LDAP レスポンスの追加 Reporting 用ドライバの管理 401 402 NetIQ Identity Manager セットアップガイド XII Analyzer for Identity Manager のイン ストール XI このセクションでは、Analyzer for Identity Manager のインストールプロセスを順を追って説明しま す。Analyzer は、ワークステーションにインストールするシッククライアントコンポーネントで す。Analyzer を使用して、Identity Manager ソリューションに追加する接続システムのデータを調 査し、クリーンアップできます。計画段階で Analyzer を使用すると、必要な変更、およびそれらの 変更を行うための最善の方法を判断できます。 インストールファイルは、Identity Manager インストールパッケージの .iso イメージファイル内の products/Analyzer ディレクトリにあります。デフォルトでは、各コンポーネントは次の場所にインス トールされます。 Linux: home/admin/analyzer Windows: C:\NetIQ\Analyzer インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細について は、405 ページのセクション 42.1「Analyzer のインストールチェックリスト」を参照してくださ い。 Analyzer for Identity Manager のインストール 403 404 NetIQ Identity Manager セットアップガイド 42 Analyzer のインストールの計画 42 このセクションには、Analyzer for Identity Manager のインストールを準備するためのガイドが記載 されています。インストールを開始する前にインストールプロセスを確認することをお勧めします。 405 ページのセクション 42.1「Analyzer のインストールチェックリスト」 406 ページのセクション 42.2「Analyzer のインストールの前提条件」 406 ページのセクション 42.3「Analyzer のインストールのシステム要件」 42.1 Analyzer のインストールチェックリスト インストールプロセスを開始する前に、次の手順を確認することをお勧めします。 チェックリストの項目 1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、23 ページの 第 1 章「Identity Manager のコンポーネントと通信の概要」を参照してください。 2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、 48 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参 照してください。 3. 使用環境が Analyzer をホストするための考慮事項と要件を満たしていることを確認します。 詳細については、次の各セクションを参照してください。 406 ページのセクション 42.2「Analyzer のインストールの前提条件」 406 ページのセクション 42.3「Analyzer のインストールのシステム要件」 4. Analyzer をインストールするため、次の各セクションを参照します。 インストールウィザードを使用するには、407 ページのセクション 43.1「ウィザードを 使用した Analyzer のインストール」を参照してください。 サイレントインストールについては、408 ページのセクション 43.2「Analyzer のサイレ ントインストール」を参照してください。 5. ( オプション ) Analyzer から自動的に監査イベントを受信して表示するには、XDAS クライ アントをインストールします。詳細については、409 ページのセクション 43.4「Analyzer の監査クライアントのインストール」を参照してください。 6. Analyzer をアクティベートするため、445 ページのセクション 50.4.2「Analyzer のアク ティベート」を参照します。 7. ( オプション ) Analyzer をアップグレードするには、468 ページのセクション 52.6 「Analyzer のアップグレード」を参照します。 Analyzer のインストールの計画 405 42.2 Analyzer のインストールの前提条件 Analyzer をインストールする前に、/usr/lib/libpng12.so.0 ライブラリが含まれる適切なパッケージを インストールします。 42.3 Analyzer のインストールのシステム要件 このセクションでは、EAS をホストするサーバを設定するのに役立つ要件について説明します。 カテゴリ 要件 プロセッサ 1GHz 以上 メモリ 512MB (1GB を推奨 ) ビデオ解像度 1024x768 (1280x1024 を推奨 ) オペレーティングシス テム 次のオペレーティングシステム以上のいずれか : openSUSE 13.1 (32 ビットまたは 64 ビット ) SUSE Linux Enterprise Server 11 SP3 (64 ビット ) Windows Server 2012 R2 (64 ビット ) Windows 8.1 (32 ビットまたは 64 ビット ) Windows 7 SP1 (32 ビットまたは 64 ビット ) 仮想化システム 次の仮想化プラットフォームのいずれか : Hyper-V Server 2012 R2 VMWare ESX 5.5 重要 : NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ ポートするエンタープライズクラスの仮想化システムで Identity Manager をサ ポートします。仮想化システムのベンダーが該当のオペレーティングシステムを 正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。 オペレーティングシス テムのホットフィック ス NetIQ では、Identity Manager をインストールする前に、製造元の自動更新機能 に従ってオペレーティングシステムの最新パッチを適用することをお勧めしま す。 追加ソフトウェアコン ポーネント compat-2008.5.6-6.1.i586.rpm(32 ビットシステム ) または compat-32bit2008.5.6-6.1.x86_64.rpm(64 ビットシステム ) Gettext ユーティリティ (Linux コンピュータのみ ) 406 NetIQ Identity Manager セットアップガイド 43 Analyzer のインストール 43 このセクションでは、Analyzer のインストールプロセス、および使用環境を Analyzer 用に設定す るプロセスを順を追って説明します。 407 ページのセクション 43.1「ウィザードを使用した Analyzer のインストール」 408 ページのセクション 43.2「Analyzer のサイレントインストール」 408 ページのセクション 43.3「Linux プラットフォームで Analyzer.ini に XULrunner を追加」 409 ページのセクション 43.4「Analyzer の監査クライアントのインストール」 43.1 ウィザードを使用した Analyzer のインストール 次の手順では、GUI 形式またはコンソールからインストールウィザードを使用して、Linux または Windows プラットフォームに Analyzer をインストールする方法について説明します。無人のサイ レントインストールを実行するには、408 ページのセクション 43.2「Analyzer のサイレントインス トール」を参照してください。 インストールの準備をするために、405 ページのセクション 42.1「Analyzer のインストールチェッ クリスト」に記載されている前提条件とシステム要件を確認します。 1 Analyzer をインストールするコンピュータに root または管理者としてログインします。 2 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、Analyzer のインストールファイルが保存されているディレクトリへ移動します。デ フォルトの場所は products/Analyzer/ ディレクトリです。 3 ( 状況によって実行 ) Analyzer のインストールファイルをダウンロードした場合は、次の手順 を実行します。 3a ダウンロードしたイメージの .tgz ファイルまたは win.zip ファイルへ移動します。 3b ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 4 products/Analyzer/ ディレクトリからインストールプログラムを実行します。 4a Linux: ./install.bin 4b Windows: install.exe 5 ウィザードの指示に従って、Analyzer のインストールを完了します。 6 インストールプロセスが完了したら、インストール後の概要を参照し、Analyzer のインストー ルステータスおよびログファイルの場所を確認します。 7 [完了]をクリックします。 8 ( 状況によって実行 ) Linux コンピュータでは、408 ページのセクション 43.3「Linux プラット フォームで Analyzer.ini に XULrunner を追加」の手順を実行します。 9 ( オプション ) Windows コンピュータで Analyzer のロールベースサービスを設定するため、 gettingstarted.html の Web サイトへのリンクを開きます。このファイルは、デフォルトでは C:\Program Files (x86)\NetIQ\Tomcat\webapp\nps\help\en\install ディレクトリにあります。 Analyzer のインストール 407 iManager を使用してロールベースサービスを設定します。 10 Analyzer をアクティベートするため、445 ページのセクション 50.4.2「Analyzer のアクティ ベート」を参照します。 43.2 Analyzer のサイレントインストール サイレント ( 非対話型 ) インストールでは、ユーザインタフェースは表示されず、ユーザに対する 質問も行われません。代わりに、InstallAnywhere はデフォルトの analzerInstaller.properties ファイル の情報を使用します。デフォルトのファイルを使用してサイレントインストールを実行することも、 ファイルを編集してインストールプロセスをカスタマイズすることもできます。 デフォルトでは、インストールプログラムは Analyzer を Program Files (x86)\NetIQ\Analyzer ディレク トリにインストールします。 1 Analyzer をインストールするコンピュータに root または管理者としてログインします。 2 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある 場合は、Analyzer のインストールファイルが保存されているディレクトリへ移動します。デ フォルトの場所は products/Analyzer/ ディレクトリです。 3 ( 状況によって実行 ) Analyzer のインストールファイルを NetIQ Downloads の Web サイトから ダウンロードした場合は、次の手順を実行します。 3a ダウンロードしたイメージの .tgz ファイルまたは win.zip ファイルへ移動します。 3b ファイルの内容をローカルコンピュータ上のフォルダに抽出します。 4 ( オプション ) デフォルト以外のインストールパスを指定するには、次の手順を実行します。 4a analzerInstaller.properties ファイルを開きます。このファイルは、デフォルトでは products/ Analyzer/ ディレクトリにあります。 4b このプロパティファイルに次のテキストを追加します。 USER_INSTALL_DIR=installation_path 5 サイレントインストールを実行するため、次のいずれかのコマンドを発行します。 Linux: install -i silent -f analyzerInstaller.properties Windows: install.exe -i silent -f analyzerInstaller.properties 6 ( 状況によって実行 ) Linux コンピュータでは、408 ページのセクション 43.3「Linux プラット フォームで Analyzer.ini に XULrunner を追加」の手順を実行します。 7 Analyzer をアクティベートするため、445 ページのセクション 50.4.2「Analyzer のアクティ ベート」を参照します。 43.3 Linux プラットフォームで Analyzer.ini に XULrunner を追加 Linux プラットフォームで Analyzer を実行する前に、XULRunner のマッピングを変更する必要があ ります。 408 NetIQ Identity Manager セットアップガイド 注 : XULrunner の推奨バージョンは SLED 11 では 1.9.0.19、openSUSE 11.4 では 1.9.0.2 です。こ れらのバージョンは、オペレーティングシステムに付属しています。 1 Analyzer のインストールディレクトリに移動します。デフォルトの場所は次のとおりです。 Linux: home/admin/analyzer Windows: C:\NetIQ\Analyzer 2 gedit エディタで Analyzer.ini ファイルを開きます。 3 パラメータのリストの末尾に次の行を追加します。 -Dorg.eclipse.swt.browser.XULRunnerPath=/usr/lib/xulrunner-1.9/ たとえば、Analyzer.ini ファイルは次のようになります。 -vmargs -Xms256m -Xmx1024m -XX:MaxPermSize=128m -XX:+UseParallelGC -XX:ParallelGCThreads=20 -XX:+UseParallelOldGC -Dorg.eclipse.swt.browser.XULRunnerPath=/usr/lib/xulrunner-1.9/ 4 Analyzer.ini ファイルを保存します。 5 Analyzer を起動します。 43.4 Analyzer の監査クライアントのインストール Analyzer には、更新したデータをアプリケーションに戻す際にデータブラウザエディタから監査イ ベントを自動生成する XDAS ライブラリが付属します。データブラウザエディタを使用してソース アプリケーションのデータを更新する方法の詳細については、 『NetIQ Analyzer for Identity Manager Administration Guide』の「Modifying Data」を参照してください。 これらの監査イベントを表示するには、Analyzer から監査イベントを受信可能な XDAS クライアン トをインストールします。XDAS の詳細については、OpenXDAS プロジェクト (http:// openxdas.sourceforge.net) を参照してください。 Analyzer には、ダウンロードパッケージの一部として Linux 版および Windows 版の両方の XDAS クライアントが付属します。ただし、Analyzer 用のインストールプログラムでは XDAS クラ イアントはインストールされません。 1 Analyzer をインストールします。 2 OpenXDAS のインストールファイルに移動します。これらのファイルは、デフォルトでは .iso イメージファイルの products/Analyzer/openxdas/Operating_system ディレクトリにあります。 3 XDAS クライアントのインストールプログラムを起動します。 Linux: rpm コマンドを使用して適切な XDAS クライアント (32 ビットまたは 64 ビット ) をイ ンストールします。 Windows: .msi ファイルを起動します。Windows クライアントは 32 ビット版のみです。 4 プロンプトに従って XDAS クライアントをインストールします。 5 インストールプロセスが完了したら、XDAS クライアントを起動して Analyzer から監査イベン トを自動的に受信して表示します。 Analyzer のインストール 409 410 NetIQ Identity Manager セットアップガイド XIII Identity Manager のシングルサインオ ンアクセスの設定 XI Identity Manager は、デフォルトでは OSP を使用して Identity Manager でのシングルサインオンア クセスを実行します。Identity Reporting と識別情報アプリケーションをインストールする際、ユー ザ認証の基本設定を指定します。ただし、OSP 認証サーバを設定して、Kerberos チケットサーバ または SAML IDP から認証を受け入れることもできます。たとえば、SAML を使用して、NetIQ Access Manager による認証をサポートできます。OSP の詳細については、40 ページのセクション 4.5「Identity Manager でのシングルサインオンアクセスの使用」を参照してください。 Identity Manager のシングルサインオンアクセスの設定 411 412 NetIQ Identity Manager セットアップガイド 44 4 シングルサインオンアクセスの準備 Identity Manager は、デフォルトでは OSP を使用して Identity Manager でのシングルサインオンア クセスを実行します。Identity Reporting と識別情報アプリケーションをインストールする際、ユー ザ認証の基本設定を指定します。ただし、OSP 認証サーバを設定して、Kerberos チケットサーバ または SAML IDP から認証を受け入れることもできます。たとえば、SAML を使用して、NetIQ Access Manager による認証をサポートできます。 次のチェックリストの手順を完了することをお勧めします。 チェックリストの項目 1. Identity Manager が OSP を使用してシングルサインオンアクセスを実現する方法を理解し ます。詳細については、40 ページのセクション 4.5「Identity Manager でのシングルサイン オンアクセスの使用」を参照してください。 2. OSP をインストールします。詳細については、233 ページのパート IX「シングルサインオ ンおよびパスワード管理コンポーネントのインストール」を参照してください。 3. 識別情報アプリケーションをインストールします。詳細については、245 ページのパート X 「識別情報アプリケーションのインストール」を参照してください。 4. ( オプション ) Identity Reporting をインストールします。詳細については、347 ページの パート XI「Identity Reporting コンポーネントのインストール」を参照してください。 5. OSP を使用するシングルサインオンアクセス用に識別情報アプリケーションを設定します。 詳細については、415 ページの第 45 章「One SSO Provider による Identity Manager でのシ ングルサインオンアクセス」を参照してください。 6. Identity Manager で使用する認証システムをインストールします。たとえば、Access Manager または Kerberos を使用します。 7. ( 状況によって実行 ) Access Manager と OSP を設定します。詳細については、419 ページ の第 46 章「NetIQ Access Manager での SAML 認証によるシングルサインオン」を参照し てください。 8. シングルサインオン設定を検証します。詳細については、433 ページの第 48 章「識別情報 アプリケーションへのシングルサインオンアクセスの検証」を参照してください。 シングルサインオンアクセスの準備 413 414 NetIQ Identity Manager セットアップガイド 45 One SSO Provider による Identity Manager でのシングルサインオンアクセ ス 45 識別情報アプリケーションへのシングルサインオンアクセスを提供するには、RBPM 設定ユーティ リティで環境設定する必要があります。OSP をインストールする際にシングルサインオンに必要な 証明書と鍵をすでに取得している必要があります。 始める前に、手順に関する次の検討事項をレビューします。 Identity Manager 環境で SSO を設定して有効にした後は、ユーザがゲストユーザまたは匿名 ユーザとして識別情報アプリケーションにアクセスすることはできません。かわりにユーザイ ンタフェースにログインするようにメッセージが表示されます。 この手順では、現在の環境では eDirectory、SSO コントローラ、および OAuth Provider 用の証 明書を 1 つ使用することを想定しています。組織として分離レイヤを追加する必要がある場 合、OAuth Provider の証明書を個別に作成します。 One SSO Provider による Identity Manager でのシングルサインオンアクセス 415 45.1 シングルサインオンアクセスで使用する eDirectory の準備 eDirectory のインストールの一環として、識別情報アプリケーションと Identity Reporting のシング ルサインオンアクセスをサポートするように識別ボールトを設定する必要があります。 314 ページのセクション 35.4「識別情報アプリケーションで使用する識別ボールトの設定」の手順 を実行します。すでに eDirectory スキーマを拡張して SAML スキーマを追加し、必要な NMAS メ ソッドをインストールしている場合は、この手順を再実行する必要はありません。その場合はルー ト認証局コンテナの作成に関するサブセクションに進みます。 45.2 シングルサインオンアクセスの基本設定の変更 識別情報アプリケーションをインストールする際、通常はシングルサインオンアクセスの基本設定 を設定します。このセクションでは、現在の環境でその設定が正常に機能することを保証する方法 について説明します。 1 RBPM 設定ユーティリティを実行します。詳細については、323 ページのセクション 36.1「識 別情報アプリケーション設定ユーティリティの実行」を参照してください。 2 認証設定を変更するには、次の手順を実行します。 2a [認証]をクリックします。 2b ( 状況によって実行 ) 実際のサーバの DNS 名または IP アドレスを指定するには、localhost のすべてのインスタンスを変更します。 指定するアドレスは、すべてのクライアントが解決可能である必要があります。 localhost は、Identity Manager へのアクセスが ( ブラウザからのアクセスを含めて ) す べてローカルに行われる場合にのみ使用します。 この「パブリック」なホスト名または IP アドレスは、OSP をインストールしたときに 指定した PublicServerName の値と同じである必要があります。詳細については、 239 ページの第 28 章「Identity Manager 用のシングルサインオンおよびパスワード管 理のインストール」を参照してください。 分散環境またはクラスタ化環境では、すべての OAuth URL の値は同じ値である必要が あります。この URL は、L4 スイッチまたはロードバランサを経由するクライアント アクセスを実現するものである必要があります。また、osp.war と設定ファイルを、 環境内の展開ごとにインストールする必要があります。 2c [管理コンテナの LDAP DN]では、 [参照]ボタンをクリックして、識別情報アプリケー ションの管理者が含まれる識別ボールト内のコンテナを選択します。 2d OSP のインストール時に作成した OAuth キーストアファイルを指定します。詳細につい ては、239 ページの第 28 章「Identity Manager 用のシングルサインオンおよびパスワード 管理のインストール」を参照してください。 キーストアファイルパス、キーストアファイルパスワード、キー別名、およびキーパス ワードを指定します。デフォルトのキーストアファイルは osp.jks、デフォルトのキー別名 は osp です。 416 NetIQ Identity Manager セットアップガイド 3 シングルサインオン設定を変更するには、次の手順を実行します。 3a [SSO クライアント]をクリックします。 3b ( 状況によって実行 ) 実際のサーバの DNS 名または IP アドレスを指定するには、localhost のすべてのインスタンスを変更します。 指定するアドレスは、すべてのクライアントが解決可能である必要があります。 localhost は、Identity Manager ホームとプロビジョニングダッシュボードへのアクセ スが ( ブラウザからのアクセスを含めて ) すべてローカルに行われる場合にのみ使用 します。 この「パブリック」なホスト名または IP アドレスは、OSP をインストールしたときに 指定した PublicServerName の値と同じである必要があります。詳細については、 239 ページの第 28 章「Identity Manager 用のシングルサインオンおよびパスワード管 理のインストール」を参照してください。 分散環境またはクラスタ化環境では、すべての OAuth リダイレクト URL の値は同じ値 である必要があります。この URL は、L4 スイッチまたはロードバランサを経由する クライアントアクセスを実現するものである必要があります。 3c ( 状況によって実行 ) デフォルト以外のポートを使用する場合、Identity Manager の次のコ ンポーネントのポート番号を更新します。 Catalog Administrator Identity Manager ホーム プロビジョニングダッシュボード Reporting モジュール ユーザアプリケーション 4 [OK]をクリックして変更を保存し、設定ユーティリティを閉じます。 5 アプリケーションサーバを起動します。 45.3 OSP を信頼するためのセルフサービスパスワードリ セットの設定 シングルサインオンが正常に動作するには、OSP とセルフサービスパスワードリセット (SSPR) の 間で証明書による信頼関係を設定する必要があります。OSP のキーストアファイル (osp.jks) から証 明書をエクスポートする必要があります。 エクスポートした証明書は、SSPR のキーストアファイルにインポートする必要があります。 SSPR のキーストアファイルのデフォルトのパスは次のとおりです。 Linux/UNIX: /[Java_Home]/lib/security/cacerts Windows の場合 : C:\[Java_Home]\lib\security\cacerts セキュアチャネルを設定する方法の詳細については、 『 「Self Service Password Reset Administration Guide」 』の「Setting Up a Secure Channel Between the Application Server and the LDAP Server」 を参照してください。 One SSO Provider による Identity Manager でのシングルサインオンアクセス 417 418 NetIQ Identity Manager セットアップガイド 46 NetIQ Access Manager での SAML 認証に よるシングルサインオン 46 このセクションでは、SAML 2.0 認証を使用して Identity Manager 内のシングルサインオンアクセ スをサポートするために NetIQ Access Manager と OSP を設定する方法について説明します。始め る前に、手順に関する次の想定をレビューします。 最新のサポートされているバージョンの Access Manager をインストールしています。 最新のバージョンの Identity Manager をインストールしています。 どちらのインストールもホスト名の設定に DNS 名を使用しています。 どちらのインストールも通信に SSL プロトコルを使用しています。 LDAP ユーザストアとして識別ボールトを使用するように Access Manager のクラスタ環境を設 定する必要があります。詳細については、『NetIQ Access Manager Quick Start』を参照してく ださい。 46.1 サードパーティ認証とシングルサインオンの理解 SAML 2.0 認証を使用して NetIQ Access Manager と連携して動作するように Identity Manager を設 定できます。この機能を使用すると、パスワードを使用しない技術を使用して、Access Manager 経由で識別情報アプリケーションにログインできます。たとえば、ユーザはスマートカー ドなどのユーザ ( クライアント ) 証明書でログインできます。 Access Manager は OSP とデータをやり取りして、ユーザを識別ボールト内の DN にマッピングし ます。ユーザが Access Manager を使用して識別情報アプリケーションにログインする際、Access Manager は SAML アサーション ( ユーザの DN を識別子として ) を HTTP ヘッダに挿入し、そのリ クエストを識別情報アプリケーションに転送できます。識別情報アプリケーションは SAML アサー ションを使用して識別ボールトへの LDAP 接続を確立します。 パスワードに基づくシングルサインオン認証を許容するアクセサリポートレットは、識別情報アプ リケーション認証に SAML アサーションを使用する場合はシングルサインオンをサポートしませ ん。 46.2 SSL 証明書の作成とインストール 認証を保証するために、Access Manager と OSP はそれぞれの SSL 証明書のルート認証局を共有 する必要があります。このセクションでは、Access Manager の新しい証明書を作成した後、トラ ストストアに適切な証明書が存在することを保証する方法について説明します。 420 ページのセクション 46.2.1「Access Manager の SSL 証明書の作成」 420 ページのセクション 46.2.2「Access Manager の証明書の Identity Manager トラストストアへ のインストール」 421 ページのセクション 46.2.3 「SSL サーバの証明書の Access Manager トラストストアへのイ ンストール」 NetIQ Access Manager での SAML 認証によるシングルサインオン 419 46.2.1 Access Manager の SSL 証明書の作成 Access Manager は、そのデフォルトの SSL 証明書 test-connector を使用して Identity Manager と通 信することはできません。かわりに、証明書の件名にホスト名を含む証明書を作成して Access Manager に割り当てる必要があります。 詳細については、『NetIQ Access Manager Administration Console Guide』の「Security and Certificate Management」を参照してください。 1 Access Manager の管理コンソールを開きます。 2 [Security ( セキュリティ )]>[Certificates ( 証明書 )]の順にクリックします。 3 [New ( 新規 )]をクリックします。 4 新しい証明書の名前を指定します。たとえば、 「hostname_ssl」と指定します。 5 ウィンドウの右側にある編集ボタンをクリックします。 6 [Common name ( 一般名 )]で Access Manager をホストするサーバの DNS 名を指定し、 [OK]をクリックします。 7 [Months valid ( 有効な月数 )]では、最大 99 までの値を指定します。 8 [Key size ( キーサイズ )]では、2048 を指定します。 9 新しく作成した証明書を選択し、 [Actions ( アクション )]>[Add certificate to Keystores... ( 証明書をキーストアに追加 )]の順にクリックします。 10 [Keystores ( キーストア )]の右側にある編集ボタンをクリックします。 11 [SSL connector (SSL コネクタ )]を選択して[OK]をクリックします。 12 [OK]をクリックします。 13 OSP トラストストアに新しい証明書をインストールします。詳細については、420 ページのセ クション 46.2.2「Access Manager の証明書の Identity Manager トラストストアへのインス トール」を参照してください。 46.2.2 Access Manager の証明書の Identity Manager トラストスト アへのインストール OSP トラストストアには、Access Manager のセキュリティ証明書が存在する必要があります。 1 新しく作成した SSL 証明書をエクスポートするには、次のどちらかのアクションを実行しま す。 Access Manager の管理コンソールの[Security ( セキュリティ )]>[Trusted Roots ( ルート認証局 )]で、SSL 証明書のルート証明書をエクスポートします。ルート証明書 に「configCA」という名前を付けます。 SSL サーバ証明書をエクスポートします。 詳細については、『NetIQ Access Manager Administration Console Guide』の「Managing Trusted Roots and Trust Stores」を参照してください。 2 エクスポートしたファイルを、OSP をホストするサーバにコピーします。 3 このファイルを、Java に付属の keytool を使用して、OSP を実行している JRE の cacerts キー ストアにインポートします。 420 NetIQ Identity Manager セットアップガイド 4 OSP 証明書を Access Manager トラストストアにインストールします。 詳細については、421 ページのセクション 46.2.3「SSL サーバの証明書の Access Manager ト ラストストアへのインストール」を参照してください。 46.2.3 SSL サーバの証明書の Access Manager トラストストアへの インストール Access Manager トラストストアには、OSP のセキュリティ証明書が存在する必要があります。詳 細については、『NetIQ Access Manager Administration Console Guide』の「Managing Trusted Roots and Trust Stores」を参照してください。 1 OSP をホストする Tomcat インスタンスの SSL サーバ証明書を、Access Manager をインス トールしたサーバにコピーします。 2 Access Manager の管理コンソールを開きます。 3 証明書をインストールするには、 [Security ( セキュリティ )]>[Trusted Roots ( ルート認証 局 )]>[Import ( インポート )]の順にクリックします。 4 インポートするルート証明書を指定して[OK]をクリックします。 5 [Security ( セキュリティ )]>[Trusted Roots ( ルート認証局 )]の順にクリックします。 6 ルート証明書を選択して[Add Trusted Roots to Trust Stores ( ルート認証局をトラストスト アに追加 )]をクリックします。 7 ルート認証局ストアには[Trust Store ( トラストストア )]を指定します。 8 [OK]をクリックします。 9 OSP が SAML からの認証アサーションを認識することを確認します。 詳細については、423 ページのセクション 46.4.2「SAML の属性セットの作成」を参照してく ださい。 46.3 Access Manager を信頼するための Identity Manager の設定 Identity Manager が認証要求のためにユーザをリダイレクトするには、SAML メタデータの URL が 必要です。Access Manager は、デフォルトでは、次の URL を使用して SAML メタデータを格納し ます。 https://server:port/nidp/app/saml2/metadata ここで、server:port は Access Manager の識別情報サーバを表します。 1 ( オプション ) SAML メタデータの .xml ドキュメントを表示するには、ブラウザでその URL を 開きます。 この URL でドキュメントが生成されない場合、リンクが正しいことを確認します。 2 OSP サーバ上で、RBPM 設定ユーティリティを実行します。詳細については、323 ページのセ クション 36.1「識別情報アプリケーション設定ユーティリティの実行」を参照してください。 3 ユーティリティで、 [認証]を選択します。 4 [認証方法]では[SAML 2.0]を指定します。 NetIQ Access Manager での SAML 認証によるシングルサインオン 421 5 [メタデータ URL]では、OSP が認証要求を Access Manager の SAML メタデータにリダイレ クトするために使用する URL を指定します。 たとえば、「https://server:port/nidp/app/saml2/metadata」と指定します。 6 [認証サーバ]セクションの[OAuth サーバのホスト識別子]設定では、OSP をホストする サーバの DNS 名を指定します。 7 [OK]をクリックし、変更を保存します。 8 OSP をホストしている Tomcat インスタンスを再起動します。 46.4 Identity Manager と連携するための Access Manager の設定 Access Manager が Identity Manager をトラステッドサービスプロバイダとして認識することを保 証するには、OSP のメタデータテキストを識別情報サーバに追加し、属性セットを設定します。こ のプロセスには次の作業が含まれます。 422 ページのセクション 46.4.1「Identity Manager のメタデータのコピー」 423 ページのセクション 46.4.2「SAML の属性セットの作成」 423 ページのセクション 46.4.3「Identity Manager をトラステッドサービスプロバイダとして追 加」 46.4.1 Identity Manager のメタデータのコピー Access Manager は OSP のメタデータテキストを必要とします。メタデータの .xml ファイルの内容 を、Access Manager の識別情報サーバで開くことができるドキュメントにコピーする必要があり ます。 1 ブラウザで、OSP メタデータの URL に移動します。Identity Manager は、デフォルトでは次 の URL を使用します。 https://server:port/osp/a/idm/auth/saml2/spmetadata ここで、server:port は OSP をホストしている Tomcat サーバを表します。 2 spmetadata.xml ファイルのページソースを表示します。 3 このファイルの内容を 423 ページの 「Identity Manager をトラステッドサービスプロバイダと して追加」でアクセスできるドキュメントにコピーします。 422 NetIQ Identity Manager セットアップガイド 46.4.2 SAML の属性セットの作成 SAML が Access Manager と OSP の間でアサーション交換を実行できることを保証するには、 Access Manager で属性セットを作成します。属性セットは、交換の共通ネーミングスキームを提 供します。OSP はアサーションの件名を特定する属性値を検索します。デフォルトでは、この属性 は mail です。 詳細については、『NetIQ Access Manager Identity Server Guide』の「Configuring Attribute Sets」 を参照してください。 1 Access Manager の管理コンソールを開きます。 2 [Devices ( デバイス )]>[Identity Servers ( 識別情報サーバ )]>[Shared Settings ( 共有設 定 )]>[Attribute Sets ( 属性セット )]>[New ( 新規 )]の順にクリックします。 3 属性セットの名前を指定します。たとえば、 「IDM SAML Attributes」と指定します。 4 [Next ( 次へ )]をクリックし、 [New ( 新規 )]をクリックします。 5 [Local Attribute ( ローカル属性 )]では、 [Ldap attribute: mail [LDAP Attribute Profile] (Ldap 属性 : mail [LDAP 属性プロファイル ])]を選択します。 6 [Remote Attribute ( リモート属性 )]では、 [mail]を指定します。 7 [OK]をクリックし、 [Finish ( 終了 )]をクリックします。 46.4.3 Identity Manager をトラステッドサービスプロバイダとして追 加 Identity Manager をトラステッドサービスプロバイダとして認識するように、Access Manager を設 定します。詳細については、『NetIQ Access Manager Identity Server Guide』の「Creating a Trusted Service Provider for SAML 2.0」を参照してください。 1 Access Manager の管理コンソールを開きます。 2 [Devices ( デバイス )]>[Identity Servers ( 識別情報サーバ )]>[Edit ( 編集 )]>[SAML 2.0 (SAML 2.0)]の順にクリックします。 3 [New ( 新規 )]>[Service Provider ( サービスプロバイダ )]の順にクリックします。 4 [Provider Type ( プロバイダタイプ )]では、 [General ( 一般 )]を指定します。 5 [Source ( ソース )]では、 [Metadata Text ( メタデータテキスト )]を指定します。 6 [Text ( テキスト )]フィールドには、422 ページの 「Identity Manager のメタデータのコピー」 でコピーした spmetadata.xml ファイルの内容を貼り付けます。 7 新しい OSP サービスプロバイダの名前を指定します。 8 [次へ]をクリックし、 [終了]をクリックします。 9 [SAML 2.0 (SAML 2.0)]タブでは、ステップ 7 で作成した OSP サービスプロバイダを選択し ます。 10 [Attributes ( 属性 )]をクリックします。 11 423 ページの 「SAML の属性セットの作成」で作成した属性セットを選択します。たとえば、 「IDM SAML Attributes」と指定します。 NetIQ Access Manager での SAML 認証によるシングルサインオン 423 12 OSP サービスプロバイダセットで使用可能な属性を、ページの左側の[Send with authentication ( 認証時に送信 )]パネルに移動します。 [Send with authentication ( 認証時に送信 )]パネルに移動するのは、認証の際に取得する必 要がある属性です。 13 [OK]を 2 回クリックします。 14 識別情報サーバを更新するには、 [Devices ( デバイス )]>[Identity Servers ( 識別情報サー バ )]>[Update ( 更新 )]>[Update All Configuration ( すべての設定を更新 )]の順にク リックします。 46.5 Access Manager のログインページの更新 Access Manager のデフォルトのログインページでは、識別情報アプリケーションで使用している 要素と競合する HTML iFrame 要素が使用されています。このセクションでは、新しいログインメ ソッドと契約を作成してその競合を解消する方法について説明します。このセクションで言及する .jsp ファイルは、デフォルトでは /opt/novell/nam/idp/webapps/nidp/jsp ディレクトリにあります。 詳細については、『NetIQ Access Manager Identity Server Guide』の「Customizing the Identity Server Login Page」を参照してください。 1 TID 7004020 (https://www.novell.com/support/kb/doc.php?id=7004020) に従って top.jsp ファイ ルを変更します。 2 ( オプション ) バックアップ用に login.jsp ファイルをコピーして名前を変更します。たとえば、 idm_login.jsp という名前に変更します。 3 Access Manager の管理コンソールを開きます。 4 新しいログインメソッドを作成するには、次の手順を実行します。 4a [Devices ( デバイス )]>[Identity Servers ( 識別情報サーバ )]>[Edit ( 編集 )]> [Local ( ローカル )]>[Methods ( メソッド )]の順にクリックします。 4b [New ( 新規 )]をクリックし、新しいメソッドの[Display Name ( 表示名 )]を指定しま す。たとえば、「IDM Name/Password」と指定します。 4c [Class ( クラス )]では、 [Name/Password-Form ( 名前 / パスワード - フォーム )]を指 定します。 4d [User Store ( ユーザストア )]では、LDAP ユーザストアとして識別ボールトを指定しま す。 4e [Properties ( プロパティ )]セクションでは、 [New ( 新規 )]をクリックし、次のプロパ ティを指定します。 名前 値 JSP idm_login MainJSP true 4f [OK]をクリックします。 424 NetIQ Identity Manager セットアップガイド 5 新しいログインメソッドを使用する契約を作成するには、次の手順を実行します。 5a [Contracts ( 契約 )]>[New ( 新規 )]をクリックします。 5b [Configuration ( 環境設定 )]タブで、新しい契約の[Display Name ( 表示名 )]を指定 します。たとえば、「IDM Name/Password」と指定します。 5c [URI (URI)]では、 「name/password/uri/idm」と指定します。 5d [Methods ( メソッド )]では、ステップ 4 で作成したメソッドを追加します。たとえば、 「IDM Name/Password」と指定します。 5e [Authentication Card ( 認証カード )]タブでは、カードの[ID (ID)]を指定します。た とえば、「IDM_NamePassword」と指定します。 5f カードの画像を指定します。 5g [OK]をクリックします。 6 システムが新しい認証契約を処理する方法のデフォルト値を指定するには、次の手順を実行し ます。 6a [Local ( ローカル )]タブで、 [Defaults ( デフォルト )]をクリックします。 6b [User Store ( ユーザストア )]では、LDAP ユーザストアとして識別ボールトを指定しま す。 6c [Authentication Contract ( 認証契約 )]では、ステップ 5 で作成した契約を指定します。 たとえば、「IDM Name/Password-Form」と指定します。 6d [OK]をクリックします。 7 識別情報サーバを更新するには、 [Devices ( デバイス )]>[Identity Servers ( 識別情報サー バ )]>[Update ( 更新 )]>[Update All Configuration ( すべての設定を更新 )]の順にク リックします。 NetIQ Access Manager での SAML 認証によるシングルサインオン 425 426 NetIQ Identity Manager セットアップガイド 47 Kerberos によるシングルサインオン 47 識別情報アプリケーションでシングルサインオンを使用するための認証方法として Kerberos を使 用できます。この場合、統合 Windows 認証を使用して識別情報アプリケーションにログインする こともできます。このセクションでは、Kerberos を使用して識別情報アプリケーションに接続する ように Active Directory を設定する手順について説明します。 427 ページのセクション 47.1「Active Directory での Kerberos ユーザの設定」 428 ページのセクション 47.2「識別情報アプリケーションサーバ環境の設定」 431 ページのセクション 47.3「統合 Windows 認証を使用するためのエンドユーザのブラウザの 設定」 47.1 Active Directory での Kerberos ユーザの設定 識別情報アプリケーション用に新しい Active Directory ユーザアカウントを作成する必要がありま す。このユーザアカウント名には、識別情報アプリケーションをホストするサーバの DNS 名を使 用する必要があります。 1 Active Directory の管理者として、Microsoft 管理コンソール (MMC) で RBPM の DNS 名を持つ 新しいユーザアカウントを作成します。 たとえば、RBPM サーバの DNS 名が rbpm.mycompany.com である場合、次の情報を使用して ユーザを作成します。 名前 : rbpm [ユーザー ログオン名]: HTTP/rbpm.mycompany.com [Windows 2000 以前のログオン名]: rbpm パスワードの設定 : 適切なパスワードを指定します。たとえば、「Passw0rd」と指定します。 パスワードを期限切れにしない : このオプションを選択します。 [ユーザーは次回ログオン時にパスワードの変更が必要]: このオプションの選択を解除しま す。 2 新しいユーザにサービスプリンシパル名 (SPN) を関連付けます。 重要 : ドメインまたはレルムの参照は大文字にする必要があります。 2a Active Directory サーバでコマンドシェルを開きます。 2b コマンドプロンプトで、次のコマンドを入力します。 setspn -A HTTP/DNS_name_RBPM_server@WINDOWS_DOMAIN userID たとえば、「setspn -A HTTP/[email protected] rbmp」と入力します。 2c 「setspn -L userID」と入力して、setspn を検証します。 3 ktpass ユーティリティを使用して、keytab ファイルを生成します。 Kerberos によるシングルサインオン 427 重要 : ドメインまたはレルムの参照は大文字にする必要があります。 3a コマンドラインプロンプトで、次のように入力します。 ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL 次に例を示します。 ktpass /out rpbm.keytab /princ HTTP/[email protected] / mapuser rbpm /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL 3b rpbm.keytab ファイルをユーザアプリケーションサーバにコピーします。 4 Active Directory の管理者として、MCC でエンドユーザアカウントを作成し、SSO を使用する 準備を行います。 このエンドユーザのアカウント名は、シングルサインオンをサポートするために、 eDirectory ユーザのある属性値と一致する必要があります。ユーザを作成して「cnano」などの 名前を付け、パスワードを記憶し、[ユーザーは次回ログオン時にパスワードの変更が必要] が選択されていないことを確認します。 これで、Kerberos 認証を使用するように Active Directory が設定されました。次は、Kerberos 設定 を受け入れるように、ユーザアプリケーションサーバを設定する必要があります。428 ページのセ クション 47.2「識別情報アプリケーションサーバ環境の設定」に進みます。 47.2 識別情報アプリケーションサーバ環境の設定 Active Directory で作成した Kerberos keytab ファイルとユーザアカウントを使用するように、識別 情報アプリケーションサーバを設定する必要があります。次に進む前に、427 ページのセクション 47.1「Active Directory での Kerberos ユーザの設定」の手順を完了していることを確認します。 1 Kerberos 設定を使用するようにオペレーティングシステム設定を定義します。 1a ユーザアプリケーションサーバで、テキストエディタで krb5 ファイルを開きます。 Linux: /etc/krb5.conf Windows の場合 : C:\Windows\krb5.ini UNIX: /etc/krb5/krb5.conf 1b krb5 ファイルを編集して、次の情報を追加します。 [libdefaults] default_realm = WINDOWS-DOMAIN kdc_timesync = 0 forwardable = true proxiable = false [realms] WINDOWS-DOMAIN = { kdc = FQDN Active Directory Server admin_server = FQDN Active Directory Server } [domain_realm] .your.domain = WINDOWS-DOMAIN your.domain = WINDOWS-DOMAIN 次に例を示します。 428 NetIQ Identity Manager セットアップガイド [libdefaults] default_realm = MYCOMPANY.COM kdc_timesync = 0 forwardable = true proxiable = false [realms] MYCOMPANY.COM = { kdc = myadserver.mycompany.com admin_server = myadserver.mycompany.com } [domain_realm] .mycompany.com = MYCOMPANY.COM mycompany.com = MYCOMPANY.COM 1c 変更を保存して krb5 ファイルを閉じます。 2 Kerberos 設定情報を Tomcat に定義します。 2a Tomcat アプリケーションサーバで、次の内容のサンプルファイル Kerberos_login.config を 作成します。 com.sun.security.jgss.krb5.accept { com.sun.security.auth.module.Krb5LoginModule required debug="true" refreshKrb5Config="true" useTicketCache="true" ticketCache="/opt/netiq/idm/apps/tomcat/kerberos/spnegoTicket.cache" doNotPrompt="true" principal="HTTP/shortname@WINDOWS-DOMAIN" useKeyTab="true" keyTab="/absolute_path/filename.keytab" storeKey="true"; }; 次の 2 行は、現在の環境の情報で置き換えます。 principal="HTTP/[email protected]" keyTab="/home/usr/rbpm.keytab" 注 : ユーザアプリケーションサーバ上の keytab ファイルの場所を正確に指定する必要があ ることに注意してください。keytab ファイルの絶対パスを指定する必要があります。この ファイルは先に示したディレクトリに存在する必要はありません。 2b JVM java.security ファイルに次の行を記述して、Kerberos_login.config ファイルを参照しま す。 login.config.url.1=file:/opt/netiq/idm/apps/tomcat/kerberos/ Kerberos_login.config このパスは、Linux 上のデフォルトのインストール先です。 3 設定ファイルを編集または作成して、Web コンテナ設定を定義します。手順は JBoss と WebSphere で異なります。 JBoss jboss/server/context/conf/loginconfig.xml を開いて、次の一連の行を追加します。 Kerberos によるシングルサインオン 429 <application-policy name = "com.sun.security.jgss.krb5.accept"> <authentication> <login-module code = "com.novell.common.auth.sso.KerberosCredentialLoginModule" flag = "required" /> <login-module code = "com.sun.security.auth.module.Krb5LoginModule" flag = "required"> <module-option name = "debug">false</module-option> <module-option name = "kdc">FQDN-Active-Directory-Server</ module-option> <module-option name = "realm">WINDOWS-DOMAIN</module-option> <module-option name = "useKeyTab">true</module-option> <module-option name = "keyTab">path-to-keytab</module-option> <module-option name = "storeKey">true</module-option> <module-option name = "useFirstPass">true</module-option> <module-option name = "principal">HTTP/DNS-name-for-RBMP</ module-option> <module-option name = "noPrompt">true</module-option> </login-module> </authentication> </application-policy> 次に例を示します。 <application-policy name = "com.sun.security.jgss.krb5.accept"> <authentication> <login-module code = "com.novell.common.auth.sso.KerberosCredentialLoginModule" flag = "required" /> <login-module code = "com.sun.security.auth.module.Krb5LoginModule" flag = "required"> <module-option name = "debug">false</module-option> <module-option name = "kdc">myadserver.mycompany.com</moduleoption> <module-option name = "realm">MYCOMPANY.COM</moduleoption> <module-option name = "useKeyTab">true</module-option> <module-option name = "keyTab">/home/usr/rbpm.keytab</module-option> <module-option name = "storeKey">true</module-option> <module-option name = "useFirstPass">true</module-option> <module-option name = "principal">HTTP/rbpm.mycompany.com</ module-option> <module-option name = "noPrompt">true</module-option> </login-module> </authentication> </application-policy> WebSphere WebSphere アプリケーションサーバ上で、次の内容の Kerberos_login.config ファイルを作 成します。 IBMJGSSRBPM {com.ibm.security.auth.module.Krb5LoginModule required debug=true credsType=acceptor useKeytab=file:///path_to_filename.keytab tryFirstPass=true principal="HTTP/[email protected]";}; 次に例を示します。 IBMJGSSRBPM {com.ibm.security.auth.module.Krb5LoginModule required debug=true credsType=acceptor useKeytab=file:///c:/rbpm.keytab tryFirstPass=true principal="HTTP/[email protected]";}; 注 : keytab ファイルの正確なパスまたは絶対パスを指定する必要があります。 setDomainEnv.sh(Linux) または setDomainEnv.cmd(Windows) の JAVA_OPTS セクションに 次のようなエントリを追加する必要があります。 -Djava.security.auth.login.config=C:/kerberos_login.config 430 NetIQ Identity Manager セットアップガイド 4 Configupdate ユーティリティで認証方法を指定します。 4a Configupdate ユーティリティを開きます。 4b [認証]タブをクリックします。 4c [認証方法]セクションが表示されるまで下方にスクロールします。 4d [方法]フィールドでは、 [Kerberos]を選択します。 4e [マッピング属性名]フィールドでは、 「cn」を指定します。 これで、ユーザアプリケーションサーバの設定が完了しました。シングルサインオン設定を完了す るには、統合 Windows 認証を使用するようにエンドユーザのブラウザごとに設定する必要があり ます。431 ページのセクション 47.3「統合 Windows 認証を使用するためのエンドユーザのブラウ ザの設定」に進みます。 47.3 統合 Windows 認証を使用するためのエンドユーザの ブラウザの設定 シングルサインオンが動作するには、Active Directory ドメインとユーザアプリケーションサーバを 設定した後で、統合 Windows 認証を使用するようにエンドユーザのブラウザを設定する必要があ ります。 Internet Explore には、統合 Windows 認証を使用するための設定があります。すべてのオプション をエンドユーザのブラウザごとに設定する必要があります。 統合 Windows 認証を使用するように Internet Explore を設定するには : 1 Internet Explorer を起動します。 2 ツールバーで[ツール]>[インターネット オプション]の順にクリックします。 3 [セキュリティ]タブをクリックします。 4 [信頼済みサイト]>[サイト]の順にクリックします。 5 ユーザアプリケーションサーバの DNS 名を追加します。 たとえば、「rbpm.mycompany.com」と指定します。 6 [追加]をクリックし、 [閉じる]をクリックします。 7 [セキュリティ]タブで[カスタム]レベルをクリックします。 8 下へスクロールして、 [User Authenticaiton ( ユーザ認証 )]で[Automatic logon with current user name and password ( 現在のユーザ名とパスワードで自動的にログオンする )] を選択します。 9 [OK]をクリックして変更内容を保存します。 10 [インターネット オプション]ウィンドウで[詳細設定]タブをクリックします。 11 [セキュリティ]見出しが表示されるまで下方にスクロールして、 [統合 Windows 認証を使用 する]を選択します。 12 シングルサインオンを使用するエンドユーザのコンピュータごとにこの手順を繰り返します。 Kerberos によるシングルサインオン 431 432 NetIQ Identity Manager セットアップガイド 48 識別情報アプリケーションへのシングルサ インオンアクセスの検証 48 識別情報アプリケーションをインストールしてシングルサインオンを設定した後は、個々のアプリ ケーションにログインして、その後はログアウトしなくてもアプリケーション間で切り替えること ができることを検証する必要があります。デフォルトでは、各アプリケーションは、URL リンクで 次のサフィックスを使用します。 Catalog Administrator: /rra Identity Manager ホーム : /landing プロビジョニングダッシュボード : /dash ユーザアプリケーション : /IDMProv Reporting モジュール : /IDMRPT サフィックスをカスタマイズするには、RBPM 設定ユーティリティを使用します。詳細について は、323 ページの第 36 章「識別情報アプリケーションの設定の管理」を参照してください。 シングルサインオン機能を検証するには : 1 識別情報アプリケーションサーバで新しいブラウザウィンドウを開き、Identity Manager ホー ムの URL を入力します。 https://server:port/landing Identity Manager ホームにログインはしないでください。 2 ブラウザでユーザアプリケーションにアクセスします。 https://server:port/IDM-context 3 ユーザアプリケーションが表示するログインページが、ステップ 1 で表示されるログインペー ジと同じであることを検証します。 4 ユーザアプリケーションにログインします。 5 右上隅にある[ホーム]アイコンをクリックし、再ログインしなくても Identity Manager ホー ムにアクセスできることを検証します。 識別情報アプリケーションへのシングルサインオンアクセスの検証 433 434 NetIQ Identity Manager セットアップガイド 49 SSL によるセキュア通信 49 識別情報アプリケーションと Identity Reporting は、認証に HTML フォームを使用します。その結 果、ログインプロセスでユーザ資格情報が晒される可能性があります。SSL プロトコルを有効にし て機密情報を保護することをお勧めします。 注 : SSPR と OSP の間の通信には SSL プロトコルを使用する必要があります。 証明書を生成するには、認証局、キーストア、およびキーストア内の証明書署名要求ファイル (.csr ファイル ) が必要です。生成手順は、自己署名証明書を使用するのか、それとも VeriSign など の認証局によって署名された証明書を使用するのかによって異なります。 49.1 SSL 接続を確認するためのチェックリスト 識別情報アプリケーション、Identity Reporting、SSPR、および OSP の間でセキュア接続が使用さ れることを確認するために、次のチェックリストの手順を実行することをお勧めします。 チェックリストの項目 49.2 1. 認証証明書を格納するキーストアが用意されていることを確認します。詳細については、 435 ページのセクション 49.2「キーストアと証明書署名要求の作成」を参照してください。 2. ( 状況によって実行 ) テスト環境では自己署名証明書を使用します。詳細については、 436 ページのセクション 49.3「自己署名証明書による SSL の有効化」を参照してください。 3. ( 状況によって実行 ) 運用環境では署名入り証明書をインポートします。詳細については、 438 ページのセクション 49.4「署名入り証明書による SSL の有効化」を参照してください。 4. SSL 通信をサポートするように認証サーバ、識別情報アプリケーション、および Identity Reporting を設定していることを確認します。詳細については、439 ページのセクション 49.5「識別情報アプリケーションの SSL 設定の変更」を参照してください。 5. クライアント証明書を生成してクライアントワークステーションにコピーします。詳細につ いては、441 ページのセクション 49.6「クライアントワークステーションの証明書の確認」 を参照してください。 キーストアと証明書署名要求の作成 キーストアは、暗号化キーおよびセキュリティ証明書 ( オプション ) を含む Java ファイルです。 キーストアを作成するには、JRE に付属の Java Keytool ユーティリティが必要です。 1 コマンドプロンプトで、アプリケーションサーバインストールの conf ディレクトリに移動しま す。たとえば、opt/netiq/idm/apps/tomcat/conf に移動します。 tomcat/conf は、識別情報アプリケーションが Tomcat 上にインストールされている場合のデ フォルトパスです。このパスは、識別情報アプリケーションと Tomcat をインストールした方 法によって異なる可能性があります。 SSL によるセキュア通信 435 2 次のコマンドを入力します。 keytool -genkey -alias keystore_name -keyalg RSA -keystore keystore_name.keystore -validity 3650 次に例を示します。 keytool -genkey -alias IDMkey -keyalg RSA -keystore IDMkey.keystore -validity 3650 3 プロンプトが表示されたら、次の検討条件に従ってパラメータ値を指定します。 姓名の入力を要求された場合、サーバの完全修飾名を指定します。次に例を示します。 MyTomcatServer.NetIQ.com 正しいつづりで指定してください。つづりを間違えると、署名機関から署名入り証明書を 生成する際にエラーが表示されます。 4 ( オプション ) 単純なテキストファイルを作成して、パラメータ値として指定した情報を保存し ます。 この情報を保存しておくと、署名機関に申請する際および証明書をインポートする際に、確実 に同じ情報を指定できます。 5 証明書要求を生成するには、次の手順を実行します。 5a conf ディレクトリに your_request.csr という名前の単純なテキストファイルを作成します。 たとえば、IDMcertrequest.csr という名前にします。 5b コマンドプロンプトで以下のコマンドを入力します。 keytool -certreq -v -alias Keystore_name -file your_request.csr -keypass keystore_password -keystore your.keystore -storepass your_password 次に例を示します。 keytool -certreq -v -alias IDMkey.keystore -file IDMcertrequest.csr keypass IDMkeypass -keystore IDMkey.keystore -storepass IDMpass コマンドを実行すると、Keytool ユーティリティが証明書を要求するための適切なデータ を .csr ファイルに書き込みます。 6 ( 状況によって実行 ) 署名入り証明書を作成するには、.csr ファイルを、VeriSign や Entrust な どの認証局に送信します。 49.3 自己署名証明書による SSL の有効化 自己署名証明書は、VeriSign などの認証局の署名入り証明書よりも簡単に入手できるので、テスト 環境での使用に適しています。 437 ページのセクション 49.3.1「認証局のエクスポート」 437 ページのセクション 49.3.2「自己署名証明書の生成」 436 NetIQ Identity Manager セットアップガイド 49.3.1 認証局のエクスポート iManager を使用して eDirectory サーバから認証局 (CA) をエクスポートして、自己署名証明書を生 成できます。 1 eDirectory 管理者のユーザ名とパスワードを使用して iManager にログインします。 2 [Administration ( 管理 )]>[Modify Object ( オブジェクトの変更 )]の順にクリックします。 3 セキュリティコンテナで「TreeName CA.Security」という名前の CA オブジェクトを参照しま す。たとえば、IDMTESTTREE CA.Security を参照します。 4 [OK]をクリックします。 5 [Certificates ( 証明書 )]>[Self-Signed Certificate ( 自己署名証明書 )]の順にクリックしま す。 6 使用する自己署名証明書を選択します。 7 [Export]をクリックします。 8 [Export private key ( 秘密鍵のエクスポート )]をクリアします。 9 [Export format ( エクスポートフォーマット )]>[DER (DER)]の順にクリックします。 10 [次へ]をクリックします。 11 [Save the exported certificate ( エクスポートされた証明書の保存 )]をクリックします。 12 [Save File ( ファイルの保存 )]をクリックします。 iManager はファイルを「TreeName cert.der」という名前で保存します。たとえば、 IDMTESTREE cert.der というファイルに保存します。 13 [閉じる]をクリックします。 14 保存された cert.der ファイルを、エクスポートされた証明書の格納場所に移動します。 49.3.2 自己署名証明書の生成 自己署名証明書を生成する前に、キーストアと証明書要求ファイルが用意されていることを確認し ます。 1 キーストアと証明書要求ファイルを作成します。 詳細については、435 ページのセクション 49.2「キーストアと証明書署名要求の作成」を参照 してください。 2 iManager にログインします。 3 [Certificate Server ( 証明書サーバ )]>[Issue Certificate ( 証明書の発行 )]の順に移動しま す。 4 436 ページのステップ 5 で作成した .csr ファイルを参照します。 5 [次へ]を 2 回クリックします。 6 証明書タイプとして[Unspecified ( 指定なし )]をクリックします。 7 [次へ]を 2 回クリックします。 8 設定ユーティリティで SSL 設定を更新します。詳細については、439 ページのセクション 49.5「識別情報アプリケーションの SSL 設定の変更」を参照してください。 9 アプリケーションサーバを再起動します。 SSL によるセキュア通信 437 49.4 署名入り証明書による SSL の有効化 運用環境では、VeriSign などの認証局が発行した署名入り証明書を使用します。このセクションで は、署名入り証明書を識別情報アプリケーションのデフォルトの Tomcat アプリケーションサーバ にインポートする方法について説明します。手順の大部分は、JBoss と WebSphere にも適用され ます。ただし、証明書が正しくインポートされることを保証するために、使用するアプリケーショ ンサーバのマニュアルをレビューすることをお勧めします。 この手順は、認証局からの署名入り証明書が用意されていると想定しています。詳細については、 435 ページのセクション 49.2「キーストアと証明書署名要求の作成」を参照してください。 署名入り証明書と SSL を使用するには : 1 アプリケーションサーバの設定ディレクトリに証明書のコピーを配置します。たとえば、opt/ netiq/idm/apps/tomcat/conf に移動します。 注 識別情報アプリケーション、Identity Reporting、OSP、および SSPR をアプリケーション サーバの複数のインスタンスに展開している場合、確実に各インスタンスに証明書のコ ピーを配置します。 この証明書のバックアップコピーを安全な場所に保存する必要もあります。 2 ルート証明書を DER フォーマットに変換するには、次の手順を実行します。 2a conf ディレクトリにある証明書をダブルクリックします。 2b [証明書]ダイアログで[証明のパス]をクリックします。 2c 署名機関から入手したルート証明書を選択します。 2d [証明書の表示]をクリックします。 2e [詳細]>[ファイルにコピー]の順にクリックします。 2f 証明書のエクスポートウィザードで[次へ]をクリックします。 2g [DER encoded binary for X.509 (.CER)]を選択して[次へ]をクリックします。 2h 新しくフォーマットされた証明書を格納する新しいファイルを作成し、アプリケーション サーバの conf ディレクトリに格納します。 2i [完了]をクリックします。 3 変換された証明書をインポートするには、次の手順を実行します。 3a コマンドプロンプトでアプリケーションサーバの conf ディレクトリに移動します。 3b 次のコマンドを入力します。 keytool -import -trustcacerts -alias root -keystore your.keystore -file yourRootCA.cer 次に例を示します。 keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file IDMTESTREE.cer 注 : 別名として root を指定する必要があります。 インポートに成功すると、「Certificate was added to keystore」と表示されます。 438 NetIQ Identity Manager セットアップガイド 3c 署名入り証明書が正常にインポートされていることを検証するには、conf ディレクトリで 次のコマンドを実行します。 keytool -list -v -alias Keystore_name -keystore your.keystore 次に例を示します。 keytool -list -v -alias IDMkey.keystore -keystore IDMkey.keystore 自己署名証明書と署名入り証明書のリストが表示されます。 4 アプリケーションサーバを停止します。 5 ( 状況によって実行 ) Tomcat で SSL を有効にするには、次の手順を実行します。 5a テキストエディタで server.xml を開きます。このファイルは、デフォルトでは conf ディレ クトリにあります。 5b このファイルの次のセクションのコメントを解除するか、またはこのファイルに次のセク ションを追加します。 <Connector port="8543" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/opt/certs/chap8.keystore" keystorePass="keystore_password" /> keystoreFile と keystorePass に適切な値を指定する必要があります。 Tomcat で SSL を有効にする方法の詳細については、「SSL Configuration HOW-TO」を参 照してください。 6 ( 状況によって実行 ) JBoss または WebSphere で SSL を有効にするには、適切なマニュアル を参照してください。次に例を示します。 JBoss: SSL Configuration HOW-TO WebSphere: Setting up SSL for WebSphere 7 識別情報アプリケーションと SSPR の SSL 設定を更新します。詳細については、439 ページ のセクション 49.5「識別情報アプリケーションの SSL 設定の変更」を参照してください。 8 アプリケーションサーバを再起動します。 49.5 識別情報アプリケーションの SSL 設定の変更 識別情報アプリケーション、Identity Reporting、および SSPR が認証サーバと通信することを保証 するために、それらの SSL 設定を変更する必要があります。 49.5.1 設定ユーティリティによる SSL 設定の更新 識別情報アプリケーションと Identity Reporting をインストールする際、通信方法として https を指 定する必要があります。たとえば、278 ページの 「プロトコル」と入力します。ただし、インス トール後に RBPM 設定ユーティリティを使用して、これらのアプリケーションが SSL を使用して 通信することを保証できます。設定するパラメータの詳細については、323 ページの第 36 章「識 別情報アプリケーションの設定の管理」を参照してください。 1 アプリケーションサーバを停止します。 2 設定ユーティリティに移動します。デフォルトでは、識別情報アプリケーションのインストー ルディレクトリにあります。たとえば、/opt/netiq/idm/apps/UserApplication ディレクトリです。 SSL によるセキュア通信 439 3 コマンドプロンプトで、次のどちらかの方法で設定ユーティリティを実行します。 Linux: ./configupdate.sh Windows: configupdate.bat 注 : ユーティリティが起動するまで数分待つ必要がある場合があります。 4 [認証]をクリックし、次の設定を変更します。 335 ページの 「OAuth サーバの TCP ポート」 335 ページの 「OAuth サーバは TLS/SSL を使用しています」 335 ページの「Optional TLS/SSL keystore file ( オプションの TLS/SSL キーストアファイル )」 335 ページの「Optional TLS/SSL keystore password ( オプションの TLS/SSL キーストアパ スワード )」 336 ページの 「OAuth キーストアファイル」 336 ページの 「OAuth キーストアファイルパスワード」 336 ページの 「OAuth で使用するためのキー別名」 336 ページの 「OAuth で使用するためのキーパスワード」 5 [SSO クライアント]をクリックし、 [OAuth redirect url settings (OAuth リダイレクト URL 設定 )]をすべて更新します。たとえば、340 ページの 「OAuth redirect url (OAuth リダ イレクト URL)」と入力します。 6 設定ユーティリティで変更を保存します。 7 アプリケーションサーバを再起動します。 49.5.2 セルフサービスパスワードリセットの SSL 設定の更新 SSPR の SSL 設定を変更するには、識別情報アプリケーションにログインする必要があります。 1 設定ユーティリティでランディングページに指定した https URL をブラウザで入力します。た とえば、「https://myserver.host:8543/landing」と入力します。 2 識別情報アプリケーションの管理者資格情報を使用してログインします。 リダイレクトホワイトリスト URL を変更する必要があることを示す警告が表示されます。 3 リダイレクトホワイトリスト URL を変更するには、表示されたページの手順を実行します。 4 [Settings ( 設定 )]>[OAuth SSO (OAuth SSO)]の順に移動します。 5 3 つの URL すべてに https プロトコルとポートを指定します。 6 [Settings ( 設定 )]>[Application ( アプリケーション )]の順に移動します。 7 3 つの URL すべてに https プロトコルとポートを指定します。 8 [Save ( 保存 )]をクリックし、 [OK]をクリックします。 9 識別情報アプリケーションのすべての URL に https プロトコルが使用されていることを検証し ます。 440 NetIQ Identity Manager セットアップガイド 49.6 クライアントワークステーションの証明書の確認 アプリケーションサーバで生成した証明書に一致するクライアント証明書が、識別情報アプリケー ションにアクセスする各ユーザのワークステーションに配置されていることを確認します。SSL は、Identity Manager にアクセスする際、クライアント証明書を使用してユーザの識別情報を示し ます。これらの証明書は、サーバでクライアントを認証するためのものです。 SSL によるセキュア通信 441 442 NetIQ Identity Manager セットアップガイド 50 Identity Manager のアクティベート 50 Identity Manager のいくつかのコンポーネントは、初回ログイン時に自動的にアクティベートされ ます。他のコンポーネントは、アクティベーション手順を実行する必要があります。 443 ページのセクション 50.1「プロダクトアクティベーションキーのインストール」 444 ページのセクション 50.2「Identity Manager およびドライバのプロダクトアクティベーショ ンのレビュー」 444 ページのセクション 50.3「Identity Manager のドライバの有効化」 445 ページのセクション 50.4「Identity Manager の特定のコンポーネントのアクティベーショ ン」 50.1 プロダクトアクティベーションキーのインストール iManager を使用してプロダクトアクティベーションキーをインストールすることをお勧めします。 注 : 使用するドライバごとに、ドライバが存在するドライバセットをアクティベートします。資格 情報によってツリーを有効にできます。 1 ライセンスの購入後に、NetIQ からカスタマ ID が記載された電子メールが送信されます。電子 メールの「注文の詳細」セクションには、資格情報を入手可能なサイトへのリンクも含まれて います。リンクをクリックすると、サイトに移動します。 2 ライセンスのダウンロードリンクをクリックして、次のいずれかのアクションを実行します。 プロダクトアクティベーションキーファイルを開き、プロダクトアクティベーションキー の内容をクリップボードにコピーします。 プロダクトアクティベーションキーファイルを保存します。 内容をコピーする方法を選択する場合、不要な行やスペースが含まれないようにしてくだ さい。プロダクトアクティベーションキーの最初のダッシュ (-) から (----BEGIN PRODUCT ACTIVATION CREDENTIAL) 最後のダッシュ (-) まで (END PRODUCT ACTIVATION CREDENTIAL-----) をコピーする必要があります。 3 iManager にログインします。 4 [Identity Manager]>[Identity Manager の概要]の順に選択します。 5 ツリー構造でドライバセットを選択するには、参照アイコン ( ) をクリックします。 6 [Identity Manager の概要]ページで、アクティベートするドライバを含むドライバセットを クリックします。 7 [ドライバセットの概要]ページで、 [アクティベーション]>[インストール]の順にクリッ クします。 8 Identity Manager コンポーネントをアクティベートするドライバセットを選択して、 [次へ]を クリックします。 9 ( 状況によって実行 ) ステップ 2 でプロダクトアクティベーションキーファイルを保存してい た場合は、保存した場所を指定します。 Identity Manager のアクティベート 443 10 ( 状況によって実行 ) ステップ 2 でプロダクトアクティベーションキーファイルの内容をコ ピーしていた場合は、テキスト領域に内容を貼り付けます。 11 [次へ]をクリックします。 12 [完了]をクリックします。 50.2 Identity Manager およびドライバのプロダクトアク ティベーションのレビュー ドライバセットごとに、Identity Manager エンジンサーバと Identity Manager ドライバのためにイ ンストールしたプロダクトアクティベーションキーを表示できます。アクティベーションキーを削 除することもできます。 注 : ドライバセットの有効なプロダクトアクティベーションキーをインストールした後も、ドライ バ名の横に「アクティベーションが必要です」と表示されることがあります。この場合、ドライバ を再起動します。メッセージは消去されます。 1 iManager にログインします。 2 [Identity Manager]>[Identity Manager の概要]の順にクリックします。 3 ツリー構造でドライバセットを選択するには、参照アイコン ( ) と検索アイコン ( ) を使用し ます。 4 [Identity Manager の概要]ページで、アクティベーション情報をレビューするドライバセッ トをクリックします。 5 [ドライバセットの概要]ページで、 [アクティベーション]>[情報]の順にクリックします。 アクティベーションキーのテキストを参照できます。エラーが報告された場合は、アクティ ベーションキーを削除できます。 50.3 Identity Manager のドライバの有効化 Identity Manager エンジンをアクティベートする際、次のドライバもアクティベートします。 サービスドライバ 共通ドライバ データ収集サービス Active Directory ID プロバイダ eDirectory 用双方向ドライバ Managed System Gateway eDirectory 役割およびリソースサービス GroupWise ユーザアプリケーション LDAP Lotus Notes Identity Manager の他のドライバをアクティベートするには、Identity Manager 統合モジュールを購 入する必要があります。このモジュールには 1 つまたは複数のドライバが含まれている可能性があ ります。購入した Identity Manager 統合モジュールごとにプロダクトアクティベーションキーが提 供されます。プロダクトアクティベーションキーを受信した後、443 ページのセクション 50.1「プ ロダクトアクティベーションキーのインストール」の手順を実行します。ドライバの詳細について 444 NetIQ Identity Manager セットアップガイド は、Identity Manager ドライバマニュアルの Web サイトを参照してください。 50.4 Identity Manager の特定のコンポーネントのアク ティベーション このセクションでは、Identity Manager の特定のコンポーネントのアクティベーションについて説 明します。 445 ページのセクション 50.4.1「Designer と Catalog Administrator のアクティベーション」 445 ページのセクション 50.4.2「Analyzer のアクティベート」 50.4.1 Designer と Catalog Administrator のアクティベーション Identity Manager エンジンまたは Identity Manager ドライバをアクティベートする際、Designer と Catalog Administrator もアクティベートします。 50.4.2 Analyzer のアクティベート ライセンスがない状態で Analyzer を起動すると、アクティベーションページが開きます。このペー ジで、Analyzer のライセンスを管理できます。 注 :[Activation ( アクティベーション )]ダイアログボックスを閉じても、ライセンスを入力してア クティベートするまでは Analyzer はロックされたままです。ライセンスを追加する準備ができた ら、 [Project View ( プロジェクトビュー )]で[Activate Analyzer (Analyzer のアクティベート )]を クリックして[Activation ( アクティベーション )]ダイアログボックスを開きます。 1 Analyzer を起動します。 2 ( 状況によって実行 ) Analyzer ライセンスを取得するには、次の手順を実行します。 2a [Analyzer Activation (Analyzer アクティベーション )]ウィンドウで、 [Need a license ( ライセンスが必要 )]をクリックします。 2b NetIQ の[ご注文と配送]ポータルから受信した Analyzer ライセンスを参照して選択しま す。 2c アクティベーションコードをコピーして、 [ご注文と配送]ポータルを閉じます。 3 [Analyzer Activation (Analyzer アクティベーション )]ウィンドウで、 [Add a new license ( 新 しいライセンスを追加 )]をクリックします。 4 [License ( ライセンス )]ウィンドウで、NetIQ の[ご注文と配送]ポータルからダウンロー ドしたアクティベーションコードを入力して[OK]をクリックします。 5 [Analyzer Activation (Analyzer アクティベーション )]ウィンドウで、直前にインストールし たライセンスの詳細をレビューします。 6 [OK]をクリックし、Analyzer の使用を開始します。 Identity Manager のアクティベート 445 446 NetIQ Identity Manager セットアップガイド XIV Identity Manager のアップグレード XIV このセクションでは、Identity Manager のコンポーネントのアップグレードについて説明します。 既存データを新しいサーバにマイグレートするには、479 ページのパート XV「Identity Manager の データの新しいインストールへのマイグレート」を参照してください。アップグレードとマイグ レーションの違いの詳細については、451 ページのセクション 51.2「アップグレードとマイグレー ションの理解」を参照してください。 Identity Manager のアップグレード 447 448 NetIQ Identity Manager セットアップガイド 51 Identity Manager のアップグレードの準備 51 このセクションでは、Identity Manager ソリューションを最新バージョンにアップグレードする準 備について説明します。Identity Manager の大部分のコンポーネントは、ターゲットコンピュータ に応じて、実行可能ファイルまたはバイナリファイルを使用して、またはテキストモードで、アッ プグレードできます。アップグレードを実行するには、Identity Manager インストールキットをダ ウンロードして、圧縮解除する必要があります。 449 ページのセクション 51.1「Identity Manager のアップグレードのチェックリスト」 451 ページのセクション 51.2「アップグレードとマイグレーションの理解」 452 ページのセクション 51.3「現在の設定のバックアップ」 455 ページのセクション 51.4「遠隔測定ジョブの削除」 51.1 Identity Manager のアップグレードのチェックリス ト アップグレードを実行するには、次のチェックリストの手順を実行することをお勧めします。 チェックリストの項目 1. アップグレードとマイグレーションの違いをレビューします。詳細については、451 ページ のセクション 51.2「アップグレードとマイグレーションの理解」を参照してください。 2. Identity Manager 4.0.2 にアップグレードします。4.0.2 より古いバージョンからバージョン 4.5 にアップグレードまたはマイグレートすることはできません。詳細については、 『NetIQ Identity Manager Setup Guide 4.0.2』を参照してください。 3. Identity Manager をアップグレードする最新のインストールキットを用意していることを確 認します。 4. Identity Manager コンポーネント間の相互作用を理解します。詳細については、21 ページの パート I「はじめに」を参照してください。 5. Identity Manager の最新バージョンのハードウェアとソフトウェアの前提条件をコンピュー タが満たしていることを確認します。詳細については、59 ページの第 6 章「インストール に関する考慮事項および前提条件」およびアップグレードするバージョンのリリースノート を参照してください。 6. 遠隔測定ジョブを停止して削除します。詳細については、455 ページのセクション 51.4「遠 隔測定ジョブの削除」を参照してください。 7. Designer を最新バージョンにアップグレードします。詳細については、457 ページのセク ション 52.1「Designer のアップグレード」を参照してください。 8. 現在のプロジェクト、ドライバ環境設定、およびデータベースをバックアップします。詳細 については、452 ページのセクション 51.3「現在の設定のバックアップ」を参照してくださ い。 Identity Manager のアップグレードの準備 449 チェックリストの項目 9. iManager をインストールするか、Identity Manager の最新バージョンにアップグレードしま す。詳細については、次のいずれかのセクションを参照してください。 の確認 : 181 ページの 「iManager のインストール」 アップグレード : 458 ページの 「iManager のアップグレード」 10. iManager のプラグインを iManager のバージョンと一致するようにアップデートします。詳 細については、463 ページのセクション 52.2.6「iManager プラグインのアップグレードま たは再インストール後のアップデート」を参照してください。 11. Identity Manager を実行しているサーバ上で、eDirectory を最新のバージョンにアップグ レードしてパッチを適用します。 eDirectory をアップグレードすると ndsd が停止し、その結果、すべてのドライバが停止し ます。詳細については、『NetIQ eDirectory 8.8 Installation Guide』と『Identity Manager Release Notes』を参照してください。 12. ( 状況によって実行 ) 64 ビットの Identity Manager をアップグレードしている場合、ドライ バを起動して、ドライバが起動することを検証します。 この手順は、eDirectory のアップグレードが正常に終了していることも検証します。詳細に ついては、133 ページのセクション 14.2.2「ドライバの起動」を参照してください。 13. Identity Manager エンジン (Metadirectory) をインストールしたサーバに関連付けられている ドライバを停止します。詳細については、132 ページのセクション 14.2.1「ドライバの停 止」を参照してください。 14. Identity Manager エンジンをアップグレードします。詳細については、465 ページのセク ション 52.4「Identity Manager エンジンのアップグレード」を参照してください。 注 : Identity Manager エンジンを新しいサーバにマイグレートしている場合、現在の Identity Manager サーバ上のものと同じ eDirectory レプリカを使用できます。詳細については、 485 ページのセクション 54.3「Identity Manager エンジンの新しいサーバへのマイグレー ト」を参照してください。 15. ( 状況によって実行 ) Identity Manager エンジンのドライバセットのいずれかのドライバがリ モートローダドライバである場合、ドライバごとにリモートローダサーバをアップグレード します。詳細については、464 ページのセクション 52.3「リモートローダのアップグレー ド」を参照してください。 16. ( 状況によって実行 ) ドライバ環境設定ファイルの代わりにパッケージを使用する場合、既 存のドライバのパッケージをアップグレードし、新しいポリシーを取得します。詳細につい ては、469 ページのセクション 52.7「Identity Manager ドライバのアップグレード」を参照 してください。 この手順は、パッケージのより新しいバージョンが入手可能で、ドライバのポリシーに既存 のドライバに追加する新しい機能が含まれている場合にのみ必要です。 450 17. イベント監査サービスをアップデートします。詳細については、467 ページのセクション 52.5.2「イベント監査サービスのアップグレード」を参照してください。 18. ロールマッピング管理者を使用している場合、Identity Manager 4.5 ではサポートされてい ないので、アンインストールします。ロールマッピング管理者を拡張した Catalog Administrator をかわりに使用します。ロールマッピング管理者のアンインストールの詳細に ついては、497 ページのセクション 55.6「ロールマッピング管理者のアンインストール」を 参照してください。 NetIQ Identity Manager セットアップガイド チェックリストの項目 19. Tomcat と PostgreSQL をアップグレードまたはインストールします。詳細については、 233 ページのパート IX「シングルサインオンおよびパスワード管理コンポーネントのインス トール」を参照してください。 20. OSP と SSPR をインストールします。詳細については、233 ページのパート IX「シングル サインオンおよびパスワード管理コンポーネントのインストール」を参照してください。 注 : レガシプロバイダでパスワードを管理している場合は SSPR をインストールする必要は ありません。詳細については、39 ページのセクション 4.4.2「レガシパスワード管理プロバ イダの理解」を参照してください。 51.2 21. ユーザアプリケーション、Home and Provisioning Dashboard、および Catalog Administrator をアップデートします。詳細については、479 ページのパート XV「Identity Manager のデータの新しいインストールへのマイグレート」を参照してください。 22. Identity Reporting と関連ドライバをアップグレードします。詳細については、466 ページの セクション 52.5「Identity Reporting のアップグレード」を参照してください。 23. 識別情報アプリケーションと Identity Manager エンジンの関連ドライバを起動します。詳細 については、133 ページのセクション 14.2.2「ドライバの起動」を参照してください。 24. ( 状況によって実行 ) Identity Manager エンジンまたは識別情報アプリケーションを新しい サーバにマイグレートした場合、この新しいサーバをドライバセットに追加します。詳細に ついては、470 ページのセクション 52.8「新しいサーバをドライバセットに追加する」を参 照してください。 25. ( 状況によって実行 ) カスタムポリシーとルールがある場合、カスタマイズされている設定 を復元します。詳細については、474 ページのセクション 52.9「ドライバへのカスタムポリ シーとルールの復元」を参照してください。 26. アップグレードした Identity Manager ソリューションをアクティベートします。詳細につい ては、466 ページのセクション 52.5「Identity Reporting のアップグレード」を参照してくだ さい。 27. ( 状況によって実行 ) NetIQ Sentinel を使用している場合、最新のサービスパックを実行して いることを確認します。Sentinel のアップグレードに関する詳細については、『NetIQ Sentinel Installation and Configuration Guide』を参照してください。 アップグレードとマイグレーションの理解 既存の Identity Manager インストールの最新バージョンをインストールする場合、通常はアップグ レードを実行します。ただし、Identity Manager の最新バージョンで既存データのアップグレード パスが提供されていない場合は、マイグレーションを実行する必要があります。マイグレーション は、新しいサーバに Identity Managers をインストールして、既存のデータをこの新しいサーバにマ イグレートすることとして定義されています。 Identity Manager 4.0.2 Advanced Edition は、通常はアップグレード可能です。ただし、アップグ レードを実行できない場合もあります。その場合は、マイグレーションを実行する必要があります。 次に例を示します。 サポートされていない OS: 今後サポートされないオペレーティングシステムを実行している サーバ上に Identity Manager をインストールしていた場合、アップグレードではなく、マイグ レーションを実行する必要があります。 Identity Manager のアップグレードの準備 451 Identity Manager 4.0.2 Standard Edition: 現在 Identity Manager 4.0.2 Standard Edition を使用 している場合、そのままアップグレードを実行することはできません。次のアクションを実行 する必要があります。 Identity Manager 4.0.2 Advanced Edition にアップグレードします。 Identity Manager 4.5 にアップグレードします。 役割ベースデータ ( 識別情報アプリケーション ) をマイグレートします。詳細については、 487 ページのセクション 54.5「識別情報アプリケーションのアップグレード」を参照して ください。 Identity Manager 4.0.1 以前 : 現在 Identity Manager 4.0.1 以前を使用している場合、RBPM の 有無に関係なく、そのままアップグレードを実行することはできません。次のアクションを実 行する必要があります。 Identity Manager 4.0.2 Advanced Edition にアップグレードします。 Identity Manager 4.5 にアップグレードします。 役割ベースデータ ( 識別情報アプリケーション ) をマイグレートします。詳細については、 487 ページのセクション 54.5「識別情報アプリケーションのアップグレード」を参照して ください。 1 つのドライバセットに複数のサーバを関連付けている場合、一度に 1 台のサーバに対してアップ グレードまたはマイグレーションを実行することができます。時間が足りずに一度ですべてのサー バをアップグレードしない場合、各サーバのアップグレードが完了するまでは、ドライバは複数の バージョンの Identity Manager と連携して動作します。 Identity Manager エンジンには後方互換性があるので、Identity Manager 4.5 のエンジンは Identity Manager 4.0.2 のドライバを問題なく実行できます。 重要 : Identity Manager 4.0 以降でのみサポートされているドライバの機能を有効にした場合、バー ジョンが混在しているサーバでは、ドライバは動作を停止します。古いエンジンは新しい機能を扱 うことができません。そのため、すべてのサーバを Identity Manager 4.0 以降にアップグレードす るまでは、ドライバは動作しません。 51.3 現在の設定のバックアップ アップグレードを実行する前に、Identity Manager ソリューションの現在の設定をバックアップす ることをお勧めします。ユーザアプリケーションをバックアップする必要はありません。すべての ユーザアプリケーションの環境設定は、ユーザアプリケーションドライバに保存されます。バック アップは次の方法で作成できます。 453 ページのセクション 51.3.1「Designer のプロジェクトのエクスポート」 454 ページのセクション 51.3.2「ドライバの環境設定のエクスポート」 452 NetIQ Identity Manager セットアップガイド 51.3.1 Designer のプロジェクトのエクスポート Designer のプロジェクトには、スキーマおよびすべてのドライバ構成情報が含まれています。 Identity Manager ソリューションのプロジェクトを作成すると、すべてのドライバを 1 ステップで エクスポートでき、ドライバごとに個別のエクスポートファイルを作成する必要はありません。 453 ページの 「現在のプロジェクトのエクスポート」 453 ページの 「識別ボールトからプロジェクトを新規作成する」 現在のプロジェクトのエクスポート すでに Designer プロジェクトがある場合には、以下の方法で、プロジェクト内の情報が識別ボール トの内容と同期されているかどうか確認してください。 1 Designer で、プロジェクトを開きます。 2 モデラーで、 [識別ボールト]アイコンを右クリックして、[ライブ]>[比較]の順に選択し ます。 3 プロジェクトを評価し、相違点があれば一致させて、 [OK]をクリックします。 詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「展開時の比 較機能の使用」を参照してください。 4 ツールバーで、 [プロジェクト]>[エクスポート]を選択します。 5 [すべて選択]をクリックして、すべてのリソースをエクスポートするように選択します。 6 プロジェクトを保存する場所と、そのフォーマットを選択し、 [完了]をクリックします。 プロジェクトは、現在のワークスペースの場所を除き、任意の場所に保存できます。Designer にアップグレードする場合には、ワークスペースロケーションを新規作成する必要がありま す。詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「プロ ジェクトのエクスポート」を参照してください。 識別ボールトからプロジェクトを新規作成する 現在の Identity Manager ソリューションの Designer プロジェクトがない場合は、現在のソリュー ションをバックアップするためにプロジェクトを作成する必要があります。 1 Designer をインストールします。 2 Designer を起動して、ワークスペースの場所を指定します。 3 オンラインのアップデートをチェックするかどうかを指定して、 [OK]をクリックします。 4 [ようこそ]ページで、 [Designer の実行]をクリックします。 5 ツールバーで、 [プロジェクト]>[プロジェクトのインポート]>[識別ボールト]を選択し ます。 6 プロジェクトの名前を指定します。それから、プロジェクトのデフォルトの場所を使用する か、または別の場所を選択します。 7 [次へ]をクリックします。 8 識別ボールトに接続するために次の値を指定します。 [ホスト名]: 識別ボールトサーバの IP アドレスまたは DNS 名 Identity Manager のアップグレードの準備 453 [ユーザ名]: 識別ボールトで認証するために使用するユーザの DN [パスワード]: 認証ユーザのパスワード 9 [次へ]をクリックします。 10 [識別ボールトのスキーマ]と[デフォルトの通知コレクション]は選択したままにします。 11 [デフォルト通知コレクション]を展開し、必要のない言語を選択解除します。 デフォルトの通知コレクションは、多くの言語に翻訳されています。すべての言語をインポー トすることもできますし、使用する言語だけを選択することもできます。 12 [参照]をクリックして、インポートするドライバセットを参照し、選択します。 13 この識別ボールトのドライバセットごとにステップ 12 を繰り返し、 [完了]をクリックしま す。 14 プロジェクトがインポートされたら、 [OK]をクリックします。 15 識別ボールトが 1 つだけの場合には、これで完了です。複数の識別ボールトがある場合には、 ステップ 16 に進みます。 16 ツールバーの[ライブ]>[インポート]をクリックします。 17 追加の識別ボールトごとに、ステップ 8 からステップ 14 を繰り返します。 51.3.2 ドライバの環境設定のエクスポート ドライバのエクスポートを作成することは、現在の環境設定のバックアップを作成することです。 ただし、Designer は現在のところ、役割ベースのエンタイトルメントドライバとポリシーのバック アップは作成しません。iManager を使用して、役割ベースのエンタイトルメントドライバをエクス ポートしてあるかどうかを確認してください。 454 ページの 「Designer によるドライバ環境設定のエクスポート」 454 ページの 「iManager を使用したドライバのエクスポートの作成」 Designer によるドライバ環境設定のエクスポート 1 Designer のプロジェクトで最新バージョンのドライバが使用されていることを確認します。詳 細については、『NetIQ Designer for Identity Manager Administration Guide』の「Importing a Library, a Driver Set, or a Driver from the Identity Vault」を参照してください。 2 [モデラー]で、アップグレードするドライバの行を右クリックします。 3 [環境設定ファイルのエクスポート]を選択します。 4 環境設定ファイルを保存する場所を参照して、 [保存]をクリックします。 5 [結果]ページで[OK]をクリックします。 6 各ドライバに対して、ステップ 1 ~ステップ 5 を繰り返します。 iManager を使用したドライバのエクスポートの作成 1 iManager で、 [Identity Manager]>[Identity Manager の概要]の順に選択します。 2 ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、 [検索] アイコン をクリックします。 3 アップグレードするドライバを格納するドライバセットオブジェクトをクリックします。 4 アップグレードするドライバをクリックして、 [エクスポート]をクリックします。 454 NetIQ Identity Manager セットアップガイド 5 [次へ]をクリックして、 [環境設定にリンクされているかどうかにかかわらず、含まれるすべ てのポリシーをエクスポート]を選択します。 6 [次へ]をクリックし、 [名前を付けて保存]をクリックします。 7 [ディスクに保存]を選択し、 [OK]をクリックします。 8 [完了]をクリックします。 9 各ドライバに対して、ステップ 1 ~ステップ 8 を繰り返します。 51.4 遠隔測定ジョブの削除 Identity Manager 4.5 以降にアップグレードする前に、サーバ上に遠隔測定ジョブが存在する場合 は、それを停止して削除する必要があります。Designer でジョブを削除する方法の詳細について は、 『NetIQ Designer for Identity Manager Administration Guide』の「Scheduling Jobs」を参照しま す。 1 iManager で[Identity Manager Administration (Identity Manager の管理 )]ページに移動しま す。 2 [管理]リストで、 [Identity Manager の概要]. 3 [Search in ( 検索するフォルダ )]では、ツリー構造からドライバセットのコンテナを参照しま す。 4 目的のドライバセットをクリックし、 [ドライバセットの概要]ページを表示します。 5 ( 状況によって実行 ) ( ドライバセットではなく ) ドライバのジョブを削除している場合、ドラ イバをクリックし、[Driver Overview ( ドライバの概要 )]ページを表示します。 6 [Jobs ( ジョブ )]をクリックします。 7 遠隔測定ジョブのチェックボックスを選択します。 8 [Stop ( 停止 )]をクリックし、 [OK]をクリックして停止を確認します。 9 [Delete ( 削除 )]をクリックし、 [OK]をクリックして削除を確認します。 10 [閉じる]をクリックします。 Identity Manager のアップグレードの準備 455 456 NetIQ Identity Manager セットアップガイド 52 Identity Manager コンポーネントのアップ グレード 52 このセクションでは、Identity Manager の個々のコンポーネントをアップグレードする方法の詳細 について説明します。たとえば、Designer は最新バージョンにアップグレードして、iManager は アップグレードしない、ということができます。アップグレード後に実行する必要がある可能性が ある手順についても説明します。 注 : 識別情報アプリケーションはアップグレードできません。詳細については、479 ページのパー ト XV「Identity Manager のデータの新しいインストールへのマイグレート」を参照してください。 ロールマッピング管理者を使用している場合、Identity Manager 4.5 ではサポートされていないの で、アンインストールします。ロールマッピング管理者を拡張した Catalog Administrator をかわり に使用します。ロールマッピング管理者のアンインストールの詳細については、497 ページのセク ション 55.6「ロールマッピング管理者のアンインストール」を参照してください。 457 ページのセクション 52.1「Designer のアップグレード」 458 ページのセクション 52.2「iManager のアップグレード」 464 ページのセクション 52.3「リモートローダのアップグレード」 465 ページのセクション 52.4「Identity Manager エンジンのアップグレード」 466 ページのセクション 52.5「Identity Reporting のアップグレード」 468 ページのセクション 52.6「Analyzer のアップグレード」 469 ページのセクション 52.7「Identity Manager ドライバのアップグレード」 470 ページのセクション 52.8「新しいサーバをドライバセットに追加する」 474 ページのセクション 52.9「ドライバへのカスタムポリシーとルールの復元」 475 ページのセクション 52.10「Identity Manager 4.5 のパッチの適用」 52.1 Designer のアップグレード 1 Designer がインストールされているサーバに管理者としてログインします。 2 プロジェクトのバックアップコピーを作成するために、プロジェクトをエクスポートします。 エクスポートの詳細については、『NetIQ Designer for Identity Manager Administration Guide』 の「プロジェクトのエクスポート」を参照してください。 3 Identity Manager のメディアから Designer のインストールプログラムを起動します。 Linux: IDM4.0.2_Lin/products/Designer/install バイナリファイルを実行するために、「./install」と入力します。 Windows: IDM4.0.2_Win:\products\Designer\install.exe 4 Designer をインストールする言語を選択し、使用許諾契約書の条項を確認し、同意します。 Identity Manager コンポーネントのアップグレード 457 5 Designer がインストールされているディレクトリを指定し、すでに Designer がインストール されていることを示すメッセージの中で[はい]をクリックします。 6 ショートカットをデスクトップ上に配置するか、デスクトップメニュー内に配置するかを選択 します。 7 概要を確認して、 [インストール]をクリックします。 8 リリースノートをレビューし、 [次へ]をクリックします。 9 Designer の起動を選択し、 [Done ( 完了 )]をクリックします。 10 Designer のワークスペースの場所を指定し、 [OK]をクリックします。 11 プロジェクトを閉じて変換する必要があることを示す警告メッセージで[OK]クリックしま す。 12 [プロジェクト]ビューで、プロジェクトを展開し、 [Project needs conversion ( プロジェク トには変換が必要 )]をダブルクリックします。 13 プロジェクトコンバータウィザードが実行する手順を確認し、 [次へ]をクリックします。 14 プロジェクトのバックアップ用に名前を指定し、 [次へ]をクリックします。 15 変換時に行われる内容の概要を確認し、 [Convert ( 変換 )]をクリックします。 16 変換終了後に概要を確認し、 [開く]をクリックします。 Designer の最新バージョンにアップグレードした後、古いバージョンで作成した Designer プロ ジェクトをすべてインポートする必要があります。インポートプロセスを開始すると、Designer は プロジェクトコンバータウィザードを実行します。このウィザードは、古いバージョンで作成した プロジェクトを最新バージョンに変換します。ウィザードで[プロジェクトをワークスペースにコ ピーする]を選択します。プロジェクトコンバータの詳細については、 『NetIQ Designer for Identity Manager Administration Guide』を参照してください。 52.2 iManager のアップグレード 一般に、iManager のアップグレードプロセスは、ポート値や認定されたユーザなど、 configiman.properties ファイルに既存の環境設定値を使用します。設定ファイルの server.xml と context.xml をこれまでに変更したことがある場合、アップグレードする前にそれらのファイルを バックアップすることをお勧めします。 アップグレードプロセスでは、次のアクティビティを実行します。 459 ページのセクション 52.2.1「Linux での iManager のアップグレード」 460 ページのセクション 52.2.2「Windows での iManager のアップグレード」 462 ページのセクション 52.2.3「iManager のサイレントアップグレード」 462 ページのセクション 52.2.4「役割ベースサービスの更新」 463 ページのセクション 52.2.5「Plug-in Studio でのプラグインの再インストールまたはマイグ レート」 463 ページのセクション 52.2.6「iManager プラグインのアップグレードまたは再インストール 後のアップデート」 458 NetIQ Identity Manager セットアップガイド 52.2.1 Linux での iManager のアップグレード 以前のバージョンの iManager が、iManager サーバのセットアッププログラムにより検出された場 合は、インストール処理を中止するか、すでにインストールされている iManager、JRE、および Tomcat を削除するかを尋ねる選択肢が提示されることがあります。 iManager をアップグレードする前に、コンピュータが前提条件とシステム要件を満たすことを確認 します。詳細については、次のソースを参照してください。 アップデートに添付されているリリースノート iManager については、187 ページのセクション 20.4.2 「Linux プラットフォームへの iManager の インストールに関する考慮事項」を参照してください。 iManager ワークステーションについては、188 ページのセクション 20.4.4「Linux クライアント への iManager ワークステーションのインストールに関する考慮事項」を参照してください。 注 : アップグレードプロセスは、iManager の古いバージョンで設定されていた HTTP ポートと SSL ポートの値を使用します。 Linux で iManager サーバをアップグレードするには : 1 インストールプログラムを実行するコンピュータに root または root と同等のユーザとしてログ インします。 2 ( 状況によって実行 ) 設定ファイルの server.xml と context.xml を変更していた場合、アップグ レードを実行する前にこれらのファイルのバックアップコピーを別の場所に保存します。 アップグレードプロセスはこれらの設定ファイルを置き換えます。 3 NetIQ ダウンロード Web サイトで、iManager 製品を検索して必要な iManager バージョンを 選択し、.tgz ファイルをサーバ上のディレクトリにダウンロードします。たとえば、 iMan_277_linux.tgz です。 4 iManager フォルダを展開するため、次のコマンドを入力します。 tar -zxvf iMan_version_linux.tgz 5 シェルで /extracted_directory/iManager/installs/linux ディレクトリに移動します。 このパスは、iManager のファイルをコピーまたは展開したディレクトリに対する相対パスで す。 6 ( 状況によって実行 ) コマンドライン ( テキスト ) インストールを実行するには、次のコマンド を入力します。 ./iManagerInstallLinux.bin 7 ( 状況によって実行 ) インストールプログラムのウィザードを実行するには、次のコマンドを入 力します。 ./iManagerInstallLinux.bin -i gui 8 スプラッシュスクリーンで、言語を指定して[OK]をクリックします。 9 アップグレードのプロンプトが表示されたら、 [アップグレード]を選択します。 10 概要を読み、 [次へ]をクリックします。 11 ライセンス契約に同意して、 [次へ]をクリックします。 Identity Manager コンポーネントのアップグレード 459 12 ( オプション ) iManager で IPv6 アドレスを使用するには、 [Enable IPv6 (IPv6 を有効にする )] ウィンドウで[はい]をクリックします。 iManager のアップグレード後に IPv6 アドレスを有効にすることもできます。詳細について は、209 ページのセクション 22.2「インストール後における iManager の IPv6 アドレス対応の 設定」を参照してください。 13 [次へ]をクリックします。 14 [Pre-Upgrade Summary ( アップグレード前の概要 )]ページを確認し、 [Next ( 次へ )]をク リックします。 アップグレード処理には数分かかることがあります。このプロセスは、iManager コンポーネ ントの新しいファイルを追加したり、iManager 環境設定を変更したりします。詳細について は、アップグレードのリリースノートを参照してください。 15 アップグレードプロセスが完了したら、 [Done ( 完了 )]をクリックします。 16 iManager の初期化が完了したら、 [Getting Started ( 初めに )]ページの 1 番目のリンクをク リックしてログインします。詳細については、『NetIQ iManager 2.7.7 管理ガイド』の 「Accessing iManager」を参照してください。 17 ( 状況によって実行 ) アップグレードプロセスを開始する前に設定ファイルの server.xml と context.xml のバックアップコピーを作成していた場合、新しい設定ファイルをバックアップコ ピーで置き換えます。 52.2.2 Windows での iManager のアップグレード iManager サーバのセットアッププログラムが古いバージョンの iManager がインストールされてい ることを検出した場合、インストールされているバージョンをアップグレードするように要求する メッセージが表示される可能性があります。アップグレードする場合、インストールプログラムは、 既存のバージョンの JRE と Tomcat を最新バージョンに置き換えます。また、iManager が最新 バージョンにアップグレードされます。 iManager をアップグレードする前に、コンピュータが前提条件とシステム要件を満たすことを確認 します。詳細については、次のソースを参照してください。 アップデートに添付されているリリースノート iManager については、187 ページのセクション 20.4.2 「Linux プラットフォームへの iManager の インストールに関する考慮事項」を参照してください。 iManager ワークステーションについては、188 ページのセクション 20.4.4「Linux クライアント への iManager ワークステーションのインストールに関する考慮事項」を参照してください。 注 : アップグレードプロセスは、iManager の古いバージョンで設定されていた HTTP ポートと SSL ポートの値を使用します。 iManager を Windows にインストールする 1 iManager をアップグレードするコンピュータに管理特権を持つユーザとしてログインします。 2 ( 状況によって実行 ) 設定ファイルの server.xml と context.xml を変更していた場合、アップグ レードを実行する前にこれらのファイルのバックアップコピーを別の場所に保存します。 アップグレードプロセスはこれらの設定ファイルを置き換えます。 3 NetIQ ダウンロード Web サイトで、必要な iManager バージョンを選択し、win.zip ファイルを サーバ上のディレクトリにダウンロードします。たとえば、iMan_277_win.zip です。 460 NetIQ Identity Manager セットアップガイド 4 win.zip ファイルを iManager フォルダに展開します。 5 iManagerInstall.exe を実行します。このファイルは、デフォルトでは extracted_directory\iManager\installs\win フォルダにあります。 6 iManager のようこそウィンドウで言語を選択して、 [OK]をクリックします。 7 [Introduction ( 概要 )]ウィンドウで[次へ]をクリックします。 8 ライセンス契約に同意して、 [次へ]をクリックします。 9 ( オプション ) iManager で IPv6 アドレスを使用するには、 [Enable IPv6 (IPv6 を有効にする )] ウィンドウで[はい]をクリックします。 iManager のアップグレード後に IPv6 アドレスを有効にすることもできます。詳細について は、209 ページのセクション 22.2「インストール後における iManager の IPv6 アドレス対応の 設定」を参照してください。 10 [次へ]をクリックします。 11 アップグレードのプロンプトが表示されたら、 [アップグレード]を選択します。 12 ( 状況によって実行 )[Detection Summary ( 検出の概要 )]ウィンドウをレビューします。 [Detection Summary ( 検出の概要 )]ウィンドウには、iManager がアップグレードされた後 に使用するサーブレットコンテナおよび JVM ソフトウェアの最新バージョンが表示されます。 13 [次へ]をクリックします。 14 [インストール前の概要]ページを確認して、 [インストール]をクリックします。 アップグレード処理には数分かかることがあります。このプロセスは、iManager コンポーネ ントの新しいファイルを追加したり、iManager 環境設定を変更したりします。詳細について は、アップグレードのリリースノートを参照してください。 15 ( 状況によって実行 )[Install Complete ( インストール完了 )]ウィンドウに次のエラーメッ セージが表示される場合、次の手順を実行します。 The installation of iManager version is complete, but some errors occurred during the install. Please see the installation log Log file path for details. Press "Done" to quit the installer. 15a エラーメッセージに表示されているログファイルのパスを書き留めます。 15b [Install Complete ( インストール完了 )]ウィンドウで、 [完了]をクリックします。 15c ログファイルを開きます。 15d ( 状況によって実行 ) ログファイルに次のようなエラーがある場合は、エラーメッセージ を無視します。インストールが成功し、iManager は正常に機能します。 Custom Action: com.novell.application.iManager.install.InstallDLLs Status: ERROR Additional Notes: ERROR - class com.novell.application.iManager.install.InstallDLLs NonfatalInstallException C:\WINDOWS\system32\msvcr71.dll (The process cannot access the file because it is being used by another process) 15e ( 状況によって実行 ) ログファイルに記録されているエラーがステップ 20d に示すエラー でない場合は、インストールを再試行することをお勧めします。 16 [完了]をクリックします。 Identity Manager コンポーネントのアップグレード 461 17 iManager の初期化が完了したら、 [Getting Started ( 初めに )]ページの 1 番目のリンクをク リックしてログインします。詳細については、『NetIQ iManager 2.7.7 管理ガイド』の 「Accessing iManager」を参照してください。 18 ( 状況によって実行 ) アップグレードプロセスを開始する前に設定ファイルの server.xml と context.xml のバックアップコピーを作成していた場合、新しい設定ファイルをバックアップコ ピーで置き換えます。 52.2.3 iManager のサイレントアップグレード Linux サーバまたは Windows サーバで標準のサイレントインストールを実行するには、デフォルト のインストール値を使用します。 1 NetIQ ダウンロード Web サイトで、必要な iManager バージョンを選択します。次に例を示し ます。 Linux: iMan_version_linux.tgz Windows: iMan_version_win.zip 2 アップグレードファイルをサーバ上のディレクトリにダウンロードします。 3 ( 状況によって実行 ) Windows コンピュータ上で、win.zip ファイルを iManager フォルダに展開 します。 4 コンソールウィンドウで、アップグレードファイルをダウンロードしたディレクトリに移動し ます。 5 コマンドラインで次のいずれかのコマンドを入力します。 Linux: ./iManagerInstall platform.bin -i silent Windows: iManagerInstall.exe -i silent 52.2.4 役割ベースサービスの更新 役割ベースサービス (RBS) コレクションがすでに含まれている eDirectory ツリーに初めて iManager を使用してログインする場合、役割情報の一部は表示されない可能性があります。プラグ インの一部は最新バージョンの iManager と連携して動作するためにアップデートする必要がある ので、この動作は正常です。iManager で使用可能な機能をすべて表示および使用できるように、 RBS モジュールを最新バージョンにアップデートすることをお勧めします。[RBS Configuration (RBS 設定 )]には、アップデートする必要がある RBS モジュールが表示されます。 複数の役割に同じ名前が付けられている場合があることにご注意ください。iManager 2.5 以降、一 部のプラグイン開発者がタスク ID やモジュール名を変更しましたが、表示名は同じです。この問題 により、実際には古いバージョンのインスタンスと新しいバージョンのインスタンスが存在してい るのに、役割が重複するように見えるという事象が発生します。 注 iManager をアップデートまたは再インストールする場合、インストールプログラムは既存のプ ラグインをアップデートしません。プラグインを手動でアップデートするには、iManager を 起動し、[Configure ( 設定 )]>[Plug-in Installation ( プラグインのインストール )]> [Available Novell Plug-in Modules ( 利用できる Novell プラグインモジュール )]の順に移動し ます。詳細については、185 ページのセクション 20.3「iManager プラグインのインストール 462 NetIQ Identity Manager セットアップガイド の理解」を参照してください。 iManager の複数のインストールで、それぞれ異なる数のプラグインがローカルにインストール されている可能性があります。その結果、[Role Based Services ( 役割ベースサービス )]> [RBS Configuration (RBS 設定 )]ページから生成する特定のコレクションのモジュールレポー トに不一致が表示される可能性があります。iManager の複数のインストールの間でプラグイ ンの数を同じにするには、ツリーの各 iManager インスタンスに同じプラグインのサブセット をインストールする必要があります。 古い RBS オブジェクトをチェックしてアップデートするには : 1 iManager にログインします。 2 [設定]ビューで[役割ベースサービス]>[RBS の設定]の順に選択します。 [2.x Collections (2.x コレクション )]タブページの表で古いモジュールをレビューします。 3 ( オプション ) モジュールをアップデートするには、次の手順を実行します。 3a アップデートするコレクションの[Out-Of-Date ()]列の数値をクリックします。 古いモジュールのリストが表示されます。 3b アップデートするモジュールを選択します。 3c 表の上部にある[Update ( アップデート )]をクリックします。 52.2.5 Plug-in Studio でのプラグインの再インストールまたはマイグ レート [Plug-in Studio (Plug-in Studio)]でプラグインを別の iManager インスタンスまたは iManager の新 しいバージョンまたはアップデートされたバージョンにマイグレートまたは複製できます。 1 iManager にログインします。 2 iManager の[Configure ( 設定 )]ビューで、 [Role Based Services ( 役割ベースサービス )]> [Plug-in Studio (Plug-in Studio)]の順に選択します。 コンテンツフレームには、プラグインが属する RBS コレクションの場所を含む、インストー ルされたカスタムプラグインのリストが表示されます。 3 再インストールまたはマイグレートするプラグインを選択し、 [Edit ( 編集 )]をクリックしま す。 注 : 編集できるプラグインは一度に 1 つだけです。 4 [インストール]をクリックします。 5 再インストールまたはマイグレートする必要があるプラグインごとに、これらの手順を繰り返 します。 52.2.6 iManager プラグインのアップグレードまたは再インストール 後のアップデート iManager 2.7.7 にアップグレードするか、または再インストールする際、インストールプロセスは 既存のプラグインをアップデートしません。プラグインが iManager バージョン 2.7.7 に一致してい ることを確認します。詳細については、185 ページのセクション 20.3「iManager プラグインのイ Identity Manager コンポーネントのアップグレード 463 ンストールの理解」を参照してください。 1 iManager を開きます。 2 [Configure ( 設定 )]>[Plug-in Installation ( プラグインのインストール )]>[Available Novell Plug-in Modules ( 利用できる Novell プラグインモジュール )]の順に移動します。 3 プラグインをアップデートします。 52.3 リモートローダのアップグレード リモートローダを実行している場合は、リモートローダファイルをアップグレードする必要があり ます。 1 リモートローダ環境設定ファイルのバックアップを作成します。このファイルのデフォルトの 場所は次のとおりです。 Windows: C:\Novell\RemoteLoader\remoteloadername-config.txt Linux: rdxml のパスで独自の環境設定ファイルを作成します。 2 ドライバを停止していることを確認します。手順については、132 ページのセクション 14.2.1 「ドライバの停止」を参照してください。 3 各ドライバのリモートローダサービスまたはデーモンを停止します。 Windows: リモートローダコンソールで、リモートローダインスタンスを選択してから、 [停止]をクリックします。 Linux: rdxml -config path_to_configfile -u Java リモートローダ : dirxml_jremote -config path_to_configfile -u 4 ( 状況によって実行 ) .NET リモートローダをインストールするには、Windows サーバで lcache プロセスを強制終了します。 5 ( 状況によって実行 ) Windows サーバでサイレントインストールを実行するには、インストー ルされたリモートローダのファイルが置かれているディレクトリのパスが silent.properties ファ イルに設定されていることを確認します。次に例を示します。 X64_CONNECTED_SYSTEM_LOCATION=c:\novell\remoteloader\64bit インストールプログラムは、既存のインストールのデフォルトパスを検出しません。 6 リモートローダのインストールプログラムを実行します。 インストールプロセスにより、ファイルおよびバイナリが最新バージョンに更新されます。詳 細については、123 ページのパート IV「Identity Manager エンジン、ドライバ、およびプラグ インのインストール」を参照してください。 7 インストールが完了したら、環境設定ファイルに現在の環境の情報が含まれていることを確認 します。 8 ( 状況によって実行 ) 環境設定ファイルに問題がある場合は、ステップ 1 で作成したバック アップファイルをコピーします。問題がなければ、464 ページのステップ 9 に進みます。 9 各ドライバのリモートローダサービスまたはデーモンを起動します。 Java リモートローダ : dirxml_jremote -config path_to_config_file Linux: rdxml -config path_to_config_file Windows: リモートローダコンソールで、リモートローダインスタンスを選択してから、 [Start ( 開始 )]をクリックします。 464 NetIQ Identity Manager セットアップガイド 注 : リモートローダを 32 ビットから 64 ビットにアップグレードすると、Groupwise ドライバとネ イティブカスタムドライバは機能しなくなります。 52.4 Identity Manager エンジンのアップグレード リモートローダと役割ベースサービスをアップグレードした後、Identity Manager エンジンをアッ プグレードできます。アップグレードプロセスは、ホストコンピュータのファイルシステムに保存 されているドライバシムファイルをアップデートします。 注 : Identity Manager を 32 ビットから 64 ビットにアップグレードすると、Groupwise ドライバと ネイティブカスタムドライバは機能しなくなります。これらを機能させるには、32 ビットのリモー トローダをインストールする必要があります。32 ビットのリモートローダのインストールする方法 の詳細については、126 ページのセクション 13.2「インストールプログラムの理解」の [Connected System Server ( 接続システムサーバ )]オプションの説明を参照してください。 52.4.1 ガイドによるアップグレードの実行 1 ドライバを停止していることを確認します。詳細については、132 ページのセクション 14.2.1 「ドライバの停止」を参照してください。 2 Identity Manager エンジンのインストールプログラムを起動します。 Linux: IDMversion_Lin/products/IDM/install.bin Windows の場合 : IDMversion_Win:\products\IDM\Windows\setup\idm_install.exe 3 インストールで使用する言語を選択します。 4 使用許諾契約書の条項を確認し、同意します。 5 Identity Manager エンジンとドライバシムファイルをアップデートするには、次のオプション を選択します。 Identity Manager サーバ iManager Plug-ins for Identity Manager (Identity Manager の iManager 用プラグイン ) ドライバ 6 eDirectory に対する管理者権限を持つユーザおよびユーザパスワードを LDAP 形式で指定しま す。 7 概要を確認して、 [インストール]をクリックします。 8 インストールの概要を読み、 [Done ( 完了 )]をクリックします。 9 ( 状況によって実行 ) Windows 上で UpgradeUtility_4.5.exe ファイルを実行します。 NetIQ ダウンロード Web サイトから UpgradeUtility_4.5.zip ファイルをダウンロードして圧縮解 除し、UpgradeUtility_4.5.exe ファイルを実行します。 これにより、[コントロール パネル]の Identity Manager のエントリに正しいバージョンとブ ランド名が表示されることが保証されます。 Identity Manager コンポーネントのアップグレード 465 52.4.2 サイレントアップグレードの実行 Identity Manager のコンポーネントのサイレントアップグレードを実行するには、アップグレード を完了するために必要なパラメータを含むプロパティファイルを作成する必要があります。インス トールキットの IDMversion\products\IDM\platform\setup ディレクトリに、サンプルの silent.properties ファイルがあります。 サイレントアップグレードを実行するには : 1 サンプルの silent.properties ファイルを、アップグレードを実行するディレクトリにコピーしま す。 2 silent.properties ファイルを編集します。詳細については、138 ページのセクション 15.2「サイ レントインストールの実行」を参照してください。 3 silent.properties ファイルに次のパラメータが設定されていることを確認します。 EDIR_NDS_CONF EDIR_IP_ADDRESS EDIR_NCP_PORT 4 アップグレードプロセスを起動するには、インストールファイルと silent.properties ファイルが 置かれているディレクトリから次のどちらかのコマンドを入力します。 Linux: ./install.bin -i silent -f silent.properties Windows: idm_install.exe -i silent -f silent.properties 5 ( 状況によって実行 ) Windows 上で UpgradeUtility_4.5.exe ファイルを実行します。 NetIQ ダウンロード Web サイトから UpgradeUtility_4.5.zip ファイルをダウンロードして圧縮解 除し、UpgradeUtility_4.5.exe ファイルを実行します。 これにより、[コントロール パネル]の Identity Manager のエントリに正しいバージョンとブ ランド名が表示されることが保証されます。 52.5 Identity Reporting のアップグレード Identity Reporting には、イベント監査サービスと 2 つのドライバが含まれています。アップグレー ドは次の順序で実行します。 1. データ収集サービスのドライバパッケージをアップグレードします。 2. Managed System Gateway サービスのドライバパッケージをアップグレードします。 3. イベント監査サービスをアップグレードします。 4. Identity Reporting をアップグレードします。 52.5.1 Identity Reporting のドライバパッケージのアップグレード このセクションでは、Managed System Gateway ドライバとデータ収集サービスドライバのパッ ケージを最新バージョンにアップデートする方法について説明します。このタスクは、イベント監 査サービスまたは Identity Reporting をアップグレードする前に実行する必要があります。 1 Designer で現在のプロジェクトを開きます。 2 [パッケージカタログ]>[パッケージのインポート]の順に右クリックします。 466 NetIQ Identity Manager セットアップガイド 3 適切なパッケージを選択します。たとえば、 「Manage System Gateway Base package 2.0.0.20120509205929」を選択します。 4 [OK]をクリックします。 5 [開発者]ビューでドライバを右クリックし、 [プロパティ]をクリックします。 6 [プロパティ]ページで[パッケージ]タブに移動します。 7 右上隅の[パッケージを追加 (+)]記号をクリックします。 8 パッケージを選択し、 [OK]をクリックします。 9 ドライバの設定プロセスを完了します。詳細については、次の各セクションを参照してくださ い。 378 ページのセクション 41.1.2「管理対象システムのゲートウェイドライバの設定」 380 ページのセクション 41.1.3「データ収集サービス用ドライバの設定」 10 ステップ 2 ~ステップ 9 を繰り返して、データ収集サービスドライバのパッケージをアップグ レードします。 11 Managed System Gateway ドライバとデータ収集サービスドライバがアップグレード済みの Identity Manager に接続されていることを確認します。 52.5.2 イベント監査サービスのアップグレード EAS をアップグレードする前に、次の検討事項をレビューします。 Identity Reporting のドライバをアップグレードしていることを確認します。詳細については、 468 ページのセクション 52.5.4「Identity Reporting のアップグレード」を参照してください。 EAS をアップグレードするには、古いバージョンの上に新しいバージョンをインストールしま す。詳細については、357 ページの第 38 章「イベント監査サービスのインストール」を参照 してください。 Novell Audit など、別の監査ソリューションを使用していた場合、サーバ上の logevent ファイル (.conf または .cfg) をアップデートし、適切なポートを使用して EAS を参照するようにします。 これにより、イベントが、Novell Auditing サーバではなく、EAS に転送されることが保証され ます。 Windows サーバ上に Identity Manager をインストールしていた場合、EAS に接続するための正 しい情報が xdasconfig.properties ファイルに設定されていることを確認します。詳細について は、467 ページのセクション 52.5.3「Windows サーバから EAS への XDAS イベントの送信」 を参照してください。 52.5.3 Windows サーバから EAS への XDAS イベントの送信 Windows サーバで Identity Manager エンジンをホストしている場合、EAS をアップグレードして も、xdasconfig.properties ファイルのエンジンに関するカスタム設定は上書きされません。アップグ レード後にこのファイルをアップデートして、Identity Manager が XDAS イベントを EAS に送信で きることを保証します。 1 Linux サーバ上で、EAS をアップグレードします。 2 Windows サーバ上で、Identity Manager エンジンをインストールまたはアップグレードしま す。 Identity Manager コンポーネントのアップグレード 467 3 テキストエディタで xdasconfig.properties ファイルを開きます。このファイルは、デフォルトで は C:\NetIQ\IdentityManager\NDS フォルダにあります。 4 log4j.appender エントリで、%c とセミコロン (:) の間のスペースを削除します。行は次のように なります。 log4j.appender.S.layout.ConversionPattern=%c: %p%m%n 5 ファイルを保存して閉じます。 6 XDAS で Identity Manager のログ記録を有効にします。 52.5.4 Identity Reporting のアップグレード Identity Reporting をアップグレードする前に、ユーザアプリケーションとイベント監査サービスを アップグレードする必要があります。Identity Reporting をバージョン 4.0.2 以降からアップグレー ドするには、古いバージョンの上に新しいバージョンをインストールします。詳細については、 361 ページの 「Identity Reporting のインストール」を参照してください。 52.5.5 Identity Reporting のアップグレードの検証 1 Identity Reporting を起動します。 2 ツールで古いレポートと新しいレポートが表示されることを検証します。 3 [カレンダ]を参照し、スケジュールされたレポートが表示されるかどうかを確認します。 4 [設定]ページに管理対象アプリケーションと管理対象外アプリケーションの設定が表示され ることを確認します。 5 他の設定がすべて正しく見えることを検証します。 6 完了したレポートがリストに表示されるかどうかを検証します。 52.6 Analyzer のアップグレード Analyzer をアップグレードするために、NetIQ はパッチファイルを .zip 形式で提供しています。 Analyzer をアップグレードする前に、コンピュータが前提条件とシステム要件を満たすことを確認 します。詳細については、アップデートのリリースノートを参照してください。 1 NetIQ ダウンロード Web サイトから analyzer_402_patch1_20121128.zip などのパッチファイルを ダウンロードします。 2 この .zip ファイルを Analyzer インストールファイル ( プラグイン、アンインストールスクリプ ト、および他の Analyzer ファイルなど ) が置かれているディレクトリに展開します。 3 Analyzer を再起動します。 4 新しいパッチの適用に成功したことを検証するために、次の手順を実行します。 4a Analyzer を起動します。 4b [ヘルプ]>[About Analyzer ( バージョン情報 )]の順にクリックします。 4c 新しいバージョン ( たとえば 4.0.2 Update 1) とビルド ID( たとえば 20121128) が表示され るかどうかをチェックします。 468 NetIQ Identity Manager セットアップガイド 52.7 Identity Manager ドライバのアップグレード Identity Manager 4.0.2 以降は、新しいドライバの内容は、ドライバ環境設定ファイルではなく、 パッケージを使用して提供されます。パッケージの管理、保守、および作成には、Designer を使用 します。iManager はパッケージに対応していますが、Designer はユーザが iManager で変更したド ライバの内容を保持しません。パッケージ管理の詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「Managing Packages」を参照してください。 注 : 3.x バージョンのユーザアプリケーションドライバをユーザアプリケーションバージョン 4.0.2 パッケージにアップグレードする場合、Designer は同じドライバポリシーのバージョン 3.x とバージョン 4.0 の両方をインストールします。パッケージカタログ内に 3.x と 4.0 の両方のポリ シーがあると、Designer が正常に機能しない可能性があります。バージョン 3.x のポリシーを削除 して、バージョン 4.0 のポリシーを保持してください。 ドライバをパッケージにアップグレードするには、次の手順を実行します。 469 ページのセクション 52.7.1「新しいドライバの作成」 469 ページのセクション 52.7.2「既存のコンテンツをパッケージのコンテンツと交換」 470 ページのセクション 52.7.3「現在のコンテンツを維持しつつパッケージを使用する新しい コンテンツを追加」 52.7.1 新しいドライバの作成 ドライバをパッケージにアップグレードする最も簡単な方法は、既存のドライバを削除し、パッ ケージを使用して新しいドライバを作成する方法です。新しいドライバに必要なすべての機能を追 加します。手順はドライバごとに異なります。手順については、Identity Manager ドライバマニュ アルの Web サイトで個別のドライバガイドを参照してください。ドライバは以前と同様に機能し ますが、ドライバの環境設定ファイルのコンテンツの代わりにパッケージのコンテンツを使用する ようになります。 52.7.2 既存のコンテンツをパッケージのコンテンツと交換 ドライバによって作成された関連付けを維持する必要がある場合、ドライバを削除して再作成する 必要はありません。関連付けを維持したまま、ドライバのコンテンツをパッケージで置き換えるこ とができます。 パッケージからのコンテンツで既存のコンテンツを置き換えるには 1 ドライバおよびドライバに含まれるカスタマイズされたすべてのコンテンツのバックアップを 作成します。 方法については、454 ページのセクション 51.3.2「ドライバの環境設定のエクスポート」を参 照してください。 2 Designer で、ドライバ内に保存されているすべてのオブジェクトを削除します。ドライバ内部 に保存されているポリシー、フィルタ、エンタイトルメント、および他のすべての項目を削除 します。 注 : Designer には、最新のパッケージをインポートする自動インポート機能があります。ドラ イバパッケージをパッケージカタログに手動でインポートする必要はありません。 Identity Manager コンポーネントのアップグレード 469 詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「パッケージ カタログへのカタログのインポート」を参照してください。 3 最新のパッケージをドライバにインストールします。 これらの手順は各ドライバに固有です。手順については、Identity Manager ドライバマニュア ルの Web サイトで個別のドライバガイドを参照してください。 4 カスタムポリシーとルールがある場合はドライバに復元します。方法については、474 ページ のセクション 52.9「ドライバへのカスタムポリシーとルールの復元」を参照してください。 52.7.3 現在のコンテンツを維持しつつパッケージを使用する新しいコ ンテンツを追加 パッケージに含まれる機能が、ドライバの現在の機能と重複しない限り、現在の状態のままドライ バを維持しつつ、パッケージを使用して新しい機能を追加できます。 パッケージをインストールする前に、ドライバ環境設定ファイルのバックアップを作成します。 パッケージをインストールすると、パッケージが既存のポリシーを上書きし、ドライバが動作を停 止する可能性があります。ポリシーが上書きされた場合、バックアップのドライバ環境設定ファイ ルをインポートして、ポリシーを再作成できます。 開始前に、カスタマイズされたポリシーに、デフォルトのポリシーと異なるポリシー名が付いてい ることを確認します。ドライバ環境設定が新しいドライバファイルでオーバーレイされると、既存 のポリシーは常に上書きされます。一意の名前が付けられていないカスタムポリシーは失われます。 パッケージを使用してドライバに新しいコンテンツを追加するには 1 ドライバおよびドライバに含まれるカスタマイズされたすべてのコンテンツのバックアップを 作成します。 方法については、454 ページのセクション 51.3.2「ドライバの環境設定のエクスポート」を参 照してください。 注 : Designer には、最新のパッケージをインポートする自動インポート機能があります。ドラ イバパッケージをパッケージカタログに手動でインポートする必要はありません。 詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「パッケージ カタログへのカタログのインポート」を参照してください。 2 ドライバにパッケージをインストールします。 手順については、Identity Manager ドライバマニュアルの Web サイトで個別のドライバガイド を参照してください。 3 ドライバに必要なパッケージを追加します。これらの手順は各ドライバに固有です。 詳細については、Identity Manager ドライバマニュアルの Web サイトを参照してください。 ドライバには、パッケージによって追加された新しい機能が含まれます。 52.8 新しいサーバをドライバセットに追加する Identity Manager を新しいサーバにアップグレードまたはマイグレートする場合、ドライバセット 情報をアップデートする必要があります。このセクションでは、このプロセスについて説明します。 Designer または iManager を使用してドライバセットをアップデートできます。 470 NetIQ Identity Manager セットアップガイド 52.8.1 新しいサーバをドライバセットに追加する iManager を使用している場合には、新しいサーバをドライバセットに追加する必要があります。 Designer には、この手順を実行するサーバ用のマイグレーションウィザードが含まれています。 Designer を使用している場合には、471 ページのセクション 52.8.2「ドライバセットのサーバ固有 情報のコピー」にスキップしてください。iManager を使用している場合には、以下の手順を実行し ます。 1 iManager で、 をクリックして、[Identity Manager の管理]ページを表示します。 2 [Identity Manager の概要]をクリックします。 3 ドライバセットを含んでいるコンテナをブラウズして、選択します。 4 ドライバセット名をクリックして、 [ドライバセットの概要]ページにアクセスします。 5 [サーバ]>[サーバの追加]をクリックします。 6 新しい Identity Manager 4.0.2 サーバを参照して選択し、 [OK]をクリックします。 52.8.2 ドライバセットのサーバ固有情報のコピー 各ドライバおよびドライバセットに保存されているサーバ固有のすべての情報を、新しいサーバの 情報にコピーする必要があります。その中には、新しいサーバに存在せず、コピーする必要がある、 ドライバセットの GCV と他のデータも含まれます。サーバ固有の情報は、次のものに含まれてい ます : グローバル構成値 エンジン制御値 名前付きパスワード ドライバの認証情報 ドライバの起動オプション ドライバパラメータ ドライバセットデータ これは、Designer または iManager で実行できます。Designer を使用する場合には、自動的なプロ セスです。iManager を使用する場合には、手動のプロセスです。バージョン 3.5 より古い Identity Manager サーバを 3.5 以降の Identity Manager サーバにマイグレートする場合、iManager を使用す る必要があります。サポートされている他のすべてのマイグレーションパスの場合は、Designer を 使用できます。 471 ページの 「Designer でサーバ固有の情報をコピーする」 472 ページの 「iManager でサーバ固有の情報を変更する」 473 ページの 「ユーザアプリケーションのサーバ固有の情報を変更する」 Designer でサーバ固有の情報をコピーする この手順は、ドライバセットに保存されているすべてのドライバに影響します。 1 Designer で、プロジェクトを開きます。 2 [アウトライン]タブで、サーバを右クリックして、 [移行]を選択します。 Identity Manager コンポーネントのアップグレード 471 3 概要を読んで新しいサーバにマイグレートされる項目を確認し、 [次へ]をクリックします。 4 選択可能なサーバのリストからターゲットサーバを選択して、 [次へ]をクリックします。 リストに表示されているサーバだけが、現在ドライバセットに関連付けられておらず、ソース サーバの Identity Manager のバージョンと等しいか新しいサーバです。 5 次のいずれかのオプションを選択します。 ターゲットサーバをアクティブにする : ソースサーバの設定をターゲットサーバにコピー して、ソースサーバのドライバを無効にします。このオプションを使用することをお勧め します。 ソースサーバをアクティブのままにする : 設定をコピーせずに、ターゲットサーバのすべ てのドライバを無効にします。 ターゲットソースサーバの両方をアクティブにする : ソースサーバの設定をターゲット サーバにコピーし、ソースサーバまたはターゲットサーバのドライバは無効にしません。 このオプションはお勧めできません。両方のドライバを起動すると、同じ情報が 2 つの異 なるキューに書き込まれます。これは障害を起こす可能性があります。 6 [移行]をクリックします。 7 変更されたドライバを識別ボールトに展開します。 詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「識別ボール トへのドライバセットの展開」を参照してください。 8 ドライバを起動します。 詳細については、133 ページのセクション 14.2.2「ドライバの起動」を参照してください。 iManager でサーバ固有の情報を変更する 1 iManager で、 をクリックして、[Identity Manager の管理]ページを表示します。 2 [Identity Manager の概要]をクリックします。 3 ドライバセットを含んでいるコンテナをブラウズして、選択します。 4 ドライバセット名をクリックして、 [ドライバセットの概要]ページにアクセスします。 5 ドライバの右上隅をクリックし、 [ドライバの停止]をクリックします。 6 ドライバの右上隅をクリックし、 [プロパティの編集]をクリックします。 7 古いサーバの情報を含むすべてのサーバ固有のドライバパラメータ、グローバル環境設定値、 エンジン制御値、名前付きパスワード、ドライバ認証データ、およびドライバの起動オプショ ンを、新しいサーバの情報にコピーまたはマイグレートします。最大ヒープサイズ、Java の設 定などのグローバル環境設定値やドライバセットのその他のパラメータは、古いサーバの値と 同一の値を持つ必要があります。 8 [OK]をクリックして、すべての変更を保存します。 9 ドライバの右上隅をクリックして、ドライバを起動します。 10 ドライバセットのドライバごとに、ステップ 5 ~ステップ 9 を繰り返します。 472 NetIQ Identity Manager セットアップガイド ユーザアプリケーションのサーバ固有の情報を変更する 新しいサーバを認識するようにユーザアプリケーションを再設定する必要があります。 configupdate.sh または configupdate.bat を実行します。 1 デフォルトでユーザアプリケーションのインストールサブディレクトリにある設定更新ユー ティリティに移動します。 2 コマンドプロンプトで、設定更新ユーティリティを起動します。 Linux: configupdate.sh Windows: configupdate.bat 3 323 ページの第 36 章「識別情報アプリケーションの設定の管理」の説明に従って、値を指定 します。 52.8.3 ドライバセットから古いサーバを削除する 新しいサーバがすべてのドライバを実行した後、ドライバセットから古いサーバを削除できます。 473 ページの 「Designer を使用してドライバセットから古いサーバを削除する」 473 ページの 「iManager を使用してドライバセットから古いサーバを削除する」 474 ページの 「古いサーバの退役」 Designer を使用してドライバセットから古いサーバを削除する 1 Designer で、プロジェクトを開きます。 2 Modeler で、ドライバセットを右クリックし、 [プロパティ]を選択します。 3 [サーバリスト]を選択します。 4 [Selected Servers ( 選択したサーバ )]リストで古い Identity Manager サーバを選択し、 [<] をクリックして、[Selected Servers ( 選択したサーバ )]リストからサーバを削除します。 5 [OK]をクリックし、変更を保存します。 6 識別ボールトに変更を展開します。 詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「識別ボール トへのドライバセットの展開」を参照してください。 iManager を使用してドライバセットから古いサーバを削除する 1 iManager で、 をクリックして、[Identity Manager の管理]ページを表示します。 2 [Identity Manager の概要]をクリックします。 3 ドライバセットを含んでいるコンテナをブラウズして、選択します。 4 ドライバセット名をクリックして、 [ドライバセットの概要]ページにアクセスします。 5 [サーバ]>[サーバの削除]をクリックします。 6 古い Identity Manager サーバを選択して、 [OK]をクリックします。 Identity Manager コンポーネントのアップグレード 473 古いサーバの退役 この時点で、古いサーバがホストしているドライバはありません。このサーバが必要でなくなった 場合は、追加の手順を実行し、サーバを廃止する必要があります。 1 このサーバから eDirectory のレプリカを削除します。 詳細については、『NetIQ eDirectory 8.8 Administration Guide』の「レプリカの削除」を参照し てください。 2 このサーバから eDirectory を削除します。 詳細については、TID 10056593, “Removing a Server From an NDS Tree Permanently” を参照 してください。 52.9 ドライバへのカスタムポリシーとルールの復元 ドライバの新しいパッケージをインストールまたはアップグレードした後、新しいドライバ環境設 定ファイルをオーバーレイした後にカスタムポリシーとルールを復元する必要があります。これら のポリシーに別の名前が付いている場合、ポリシーはドライバ内にそのまま保存されていますが、 リンクが壊れているので、再設定する必要があります。 474 ページのセクション 52.9.1「Designer を使用したドライバへのカスタムポリシーとルール の復元」 475 ページのセクション 52.9.2「iManager を使用したドライバへのカスタムポリシーおよび ルールの復元」 52.9.1 Designer を使用したドライバへのカスタムポリシーとルール の復元 ポリシーセットにポリシーを追加できます。この手順は、アップグレードしたドライバを運用環境 に移動する前に、テスト環境で実行する必要があります。 1 アウトラインビューで、アップグレードしたドライバを選択してから、 [ポリシーフローの表 示]アイコン をクリックします。 2 カスタマイズしたポリシーをドライバに復元する必要があるポリシーセットを右クリックし て、[ポリシーの追加]>[既存の項目をコピー]の順に選択します。 3 カスタマイズしたポリシーを参照して選択し、 [OK]をクリックします。 4 カスタマイズしたポリシーの名前を指定し、 [OK]をクリックします。 5 ファイルの競合を示すメッセージが表示されたら、 [はい]をクリックしてプロジェクトを保 存します。 6 ポリシービルダでポリシーが開いたら、コピーしたポリシーの情報が正しいことを確認しま す。 7 ドライバに復元する必要があるカスタマイズした各ポリシーに対して、ステップ 2 ~ステップ 6 を繰り返します。 8 ドライバを起動してテストします。 ドライバの起動の詳細については、133 ページのセクション 14.2.2「ドライバの起動」を参照 してください。ドライバのテストの詳細については、『NetIQ Identity Manager Policies in Designer』の「ポリシーシミュレータを使用したポリシーのテスト」を参照してください。 9 ポリシーが動作することを確認したら、ドライバを運用環境に移します。 474 NetIQ Identity Manager セットアップガイド 52.9.2 iManager を使用したドライバへのカスタムポリシーおよび ルールの復元 アップグレードしたドライバを運用環境に移す前に、テスト環境でこれらの手順を実行します。 1 iManager で、 [Identity Manager]>[Identity Manager の概要]の順に選択します。 2 ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、 [検索] アイコン をクリックします。 3 アップグレードしたドライバを含むドライバセットオブジェクトをクリックします。 4 ドライバアイコンをクリックしてから、カスタマイズしたポリシーを復元する必要があるポリ シーセットを選択します。 5 [挿入]をクリックします。 6 [既存のポリシーを使用する]を選択し、カスタムポリシーを参照して選択します。 7 [OK]をクリックし、 [閉じる]をクリックします。 8 ドライバに復元する必要がある各カスタムポリシーに対して、ステップ 3 ~ステップ 7 を繰り 返します。 9 ドライバを起動してテストします。 ドライバの起動については、133 ページのセクション 14.2.2「ドライバの起動」を参照してく ださい。iManager にはポリシーシミュレータはありません。ポリシーをテストするには、ポ リシーを実行するイベントを発生させます。たとえば、ユーザの作成、ユーザの変更、または ユーザの削除などです。 10 ポリシーが動作することを確認したら、ドライバを運用環境に移します。 52.10 Identity Manager 4.5 のパッチの適用 Identity Manager 4.5 のパッチファイルには、Identity Manager サーバとリモートローダのアップ デートが含まれています。Identity Manager 4.5 のパッチは、GUI モードとサイレントモードでのみ インストールできます。コンソールモードはサポートされていません。 475 ページのセクション 52.10.1「前提条件」 476 ページのセクション 52.10.2「ガイドによるパッチのインストールプロセス」 477 ページのセクション 52.10.3「サイレントインストールの実行」 52.10.1 前提条件 eDirectory を停止します。 eDirectory が停止していない場合、パッチインストーラが eDirectory を停止しようとします。 リモートローダサービスを停止します。 パッチインストーラは、使用中のリモートローダを置き換えることはできません。 ( 状況によって実行 ) non-root インストールの Java パスを設定します。 install.sh ファイルで JAVA_NONROOT 変数を編集するか、または Java 1.7 パスをエクスポー トします。 Identity Manager コンポーネントのアップグレード 475 52.10.2 ガイドによるパッチのインストールプロセス root インストールと non-root インストールのどちらの場合も、次の手順を実行します。 1 NetIQ ダウンロードページ (https://dl.netiq.com/index.jsp) に移動します。 2 [Patches ( パッチ )]で[Search Patches ( パッチの検索 )]をクリックします。 3 検索ボックスで「Identity Manager 4.5 patch」と指定します。見つかったパッチファイルをダ ウンロードして、その内容を圧縮解除します。 4 ファイルを圧縮解除した cd-image ディレクトリに移動します。プラットフォームに応じて次の どちらかのコマンドを実行します。 Linux: 端末ウィンドウで /install.sh コマンドを実行します。 Windows の場合 : install.bat ファイルを起動します。 5 ( 状況によって実行 ) eDirectory が実行中の場合、パッチインストーラは eDirectory を停止しま す。[OK]をクリックして、インストールを続行します。 または パッチインストーラが eDirectory を停止できない場合、警告メッセージを表示します。手動で eDirectory を停止して[OK]をクリックし、インストールを続行します。または、[Cancel ( キャンセル )]をクリックして、インストールを停止します。 6 表示されるパッチインストーラページでインストールするコンポーネントを選択し、 [Install ( インストール )]をクリックします。 7 ( 状況によって実行 ) non-root インストールを実行している場合、 [Browse ( 参照 )]をクリッ クして Identity Manager サーバのパッチインストールパスを指定し、[Install ( インストール )] をクリックします。 non-root インストールの場合、選択できるのは Identity Manager サーバパッチのみです。 8 ( 状況によって実行 ) ステップ 6 でリモートローダを選択した場合、警告メッセージが表示さ れます。リモートローダサービスを停止して、[OK]をクリックします。 または リモートローダサービスがすでに停止している場合、[OK]をクリックします。 リモートローダの場合、パッチインストーラがコンピュータにインストールされている 32 ビットまたは 64 ビットのリモートローダを検出できないときは、[Browse ( 参照 )]ボタ ンが有効になります。[Browse ( 参照 )]ボタンを使用して、リモートローダのパッチインス トールパスを指定します。 [Browse ( 参照 )]ボタンは、Linux 上の Identity Manager サーバでは、デフォルトで使用可能 です。Windows 上では、デフォルトで使用不可です。 9 出力画面で選択したコンポーネントのインストールステータスをレビューし、 [Done ( 完了 )] をクリックします。 10 ( 状況によって実行 ) ステップ 6 で選択した Identity Manager コンポーネントにパッチが正常に 適用されていることを検証します。 Linux: 次を実行します。 Identity Manager サーバトレースをチェックして、Identity Manager のバージョンが アップデートされていることを検証します。トレースウィンドウには、次の出力が表 示されます。 <product version="4.5.x.x">DirXML</product> 476 NetIQ Identity Manager セットアップガイド ここで、x は Identity Manager パッチのバージョンです。 rpm -qa | grep nov | grep 4.5 コマンドを実行して、Identity Manager RPM がコンピュータ にインストールされていることを検証します。 Windows の場合 : 以下を実行します。 パッチインストーラがアップデートしたファイルの変更日をチェックします。 リモートローダに正常にパッチが適用されていることを検証します。 1. リモートローダを起動します。 2. [Properties ( プロパティ )]に移動し、rlconsole.exe を右クリックして [Properties ( プロパティ )]を選択します。 3. [Details ( 詳細 )]タブをクリックし、ファイルバージョンの値が 4.5.x.x である ことを検証します。 ここで、x は Identity Manager パッチのバージョンです。 Non-Root ユーザによるパッチのインストール GUI から non-root としてインストールを実行するには : 1 java1.7 パスをエクスポートするか、または install.sh を編集して JAVA_NONROOT が正しい java1.7 パスを参照するようにします。 2 eDirectory デーモンを停止します。 3 install.sh ファイルを実行します。 4 eDirectory の基本の場所を参照します。たとえば、/home/<user>/eDirectory です。 5 [インストール]をクリックします。 52.10.3 サイレントインストールの実行 Identity Manager 4.5 のパッチのサイレントインストールを実行するには、cd-image ディレクトリの patchUpgradeSilent.Properties サンプルファイルを変更する必要があります。プラットフォームに応 じた適切なコマンドを使用して、サイレントインストールを開始します。 Linux: <patch location>/install.sh -i silent -f <filename> Windows の場合 : <patch location>\install.bat -i silent -f <filename> サンプルの patchUpgradeSilent.Properties プロパティファイルには、次の属性があります。 Identity Manager コンポーネントのアップグレード 477 #Silent Properties File IDMPatchInstaller #eDirectory and RemoteLoader services should be stopped before installation #Set this property to true/false for Engine Upgrade for root and non root install install_Engine=true #Set this property to true/false for Remote Loader32 Upgrade install_RL32=true #Set this property to true/false for Remote Loader64 Upgrade install_RL64=true #Set this property for Engine Upgrade for NON ROOT user #eg: If the engine location is /home/eDirectoryNonRoot/eDirectory/opt/novell/ eDirectory select till eDirectory(parent directory of /opt) engine_Location=/home/eDirectoryNonRoot/eDirectory/ #Set this property for Remote Loader 32-Bit Install location #Only for Windows RL32_Location=C:\\Novell\\IdentityManager\\RemoteLoader\\32bit #Set this property for Remote Loader 64-Bit Install location #Only for Windows RL64_Location=C:\\Novell\\IdentityManager\\RemoteLoader\\64bit Windows では、サイレントプロパティファイルで Identity Manager サーバのインストールパスを指 定するオプションはありません。パッチインストーラは、Identity Manager 4.5 のインストール時に 指定されたインストールパスと同じインストールパスを使用します。 ログファイルは、次の場所にあります。 Linux: /tmp/logs/idmPatchInstall.log Windows の場合 : \%Temp%\logs パッチインストーラバックアップフォルダは、\%UserProfile%\PatchInstallerBackUp<Date><Time> に作成されます。バックアップフォルダは、Windows の場合のみ作成されます。 Non-Root サイレントインストールの実行 Identity Manager パッチインストーラを root または non-root として実行するには : 1 パッチを適用する Identity Manager インスタンスのユーザとしてコンピュータにログインしま す。 2 java1.7 パスをエクスポートするか、または install.sh を編集して JAVA_NONROOT が正しい java1.7 パスを参照するようにします。 3 eDirectory デーモンを停止します。 4 patchUpgradeSilent.Properties を編集し、engine_Location プロパティのコメントを解除して Identity Manager エンジンの正確な場所を参照するように設定します。 5 install.sh ファイルを実行します。 注 : root ユーザとして Identity Manager の non-root インストールを実行した場合、次の警告が 表示されます。 NetIQ recommends that you apply only patches pertaining to the installed IDM version. If you understand the risk and want to proceed, type yes else no:. 警告メッセージを無視して[はい]を入力し、先に進みます。 478 NetIQ Identity Manager セットアップガイド XV Identity Manager のデータの新しいイ ンストールへのマイグレート XV このセクションでは、Identity Manager のコンポーネントに既存のデータを新しいインストールに マイグレートするための情報を提供します。ほとんどのマイグレーションタスクは、識別情報アプ リケーションに適用されます。Identity Manager のコンポーネントをアップグレードするには、 447 ページのパート XIV「Identity Manager のアップグレード」を参照してください。アップグレー ドとマイグレーションの違いの詳細については、451 ページのセクション 51.2「アップグレードと マイグレーションの理解」を参照してください。 Identity Manager のデータの新しいインストールへのマイグレート 479 480 NetIQ Identity Manager セットアップガイド 53 Identity Manager をマイグレートする準備 53 このセクションでは、Identity Manager ソリューションを新しいインストールにマイグレートする 準備について説明します。 53.1 マイグレーションを実行するためのチェックリスト マイグレーションを実行するために、次のチェックリストの手順を実行することをお勧めします。 チェックリストの項目 1. アップグレードまたはマイグレーションのどちらを実行する必要があるのかを決定します。 詳細については、451 ページのセクション 51.2「アップグレードとマイグレーションの理 解」を参照してください。 2. Identity Manager のデータをマイグレートするために最新のインストールキットを用意して いることを確認します。 3. Identity Manager コンポーネント間の相互作用を理解します。詳細については、21 ページの パート I「はじめに」を参照してください。 4. Identity Manager の最新バージョンのハードウェアとソフトウェアの前提条件をコンピュー タが満たしていることを確認します。詳細については、59 ページの第 6 章「インストール に関する考慮事項および前提条件」およびアップグレードするバージョンのリリースノート を参照してください。 5. eDirectory を識別ボールトでサポートされている最新バージョンにアップグレードします。 詳細については、66 ページのセクション 7.2「識別ボールトのインストールに関する前提条 件と考慮事項」を参照してください。 6. 現在の Identity Manager サーバにあるのと同じ eDirectory のレプリカを、新しいサーバに追 加します。詳細については、485 ページのセクション 54.3「Identity Manager エンジンの新 しいサーバへのマイグレート」を参照してください。 7. 新しいサーバで Identity Manager をインストールします。詳細については、43 ページの 「Identity Manager のインストールの計画」を参照してください。 8. ( 状況によって実行 ) ドライバセットのいずれかのドライバがリモートローダドライバであ る場合、各ドライバのリモートローダサーバをアップグレードします。詳細については、 464 ページのセクション 52.3「リモートローダのアップグレード」を参照してください。 9. ( 状況によって実行 ) 古いサーバでユーザアプリケーションを実行している場合、そのコン ポーネントとドライバをアップデートします。詳細については、483 ページのセクション 54.1「Identity Manager のマイグレーションのチェックリスト」を参照してください。 10. 新しいサーバをドライバセットに追加します。詳細については、471 ページのセクション 52.8.1「新しいサーバをドライバセットに追加する」を参照してください。 11. ドライバごとに、サーバ固有の情報を変更します。詳細については、471 ページのセクショ ン 52.8.2「ドライバセットのサーバ固有情報のコピー」を参照してください。 Identity Manager をマイグレートする準備 481 チェックリストの項目 53.2 12. ( 状況によって実行 ) RBPM を使用できる場合、ユーザアプリケーションのサーバ固有情報 を古いサーバのものから新しいサーバのものに更新します。詳細については、473 ページの 「ユーザアプリケーションのサーバ固有の情報を変更する」を参照してください。 13. ドライバをアップデートしてパッケージフォーマットにします。詳細については、469 ペー ジのセクション 52.7「Identity Manager ドライバのアップグレード」を参照してください。 14. ( 状況によって実行 ) カスタムポリシーとルールがある場合、カスタマイズされている設定 を復元します。詳細については、474 ページのセクション 52.9「ドライバへのカスタムポリ シーとルールの復元」を参照してください。 15. ドライバセットから古いサーバを削除します。詳細については、473 ページのセクション 52.8.3「ドライバセットから古いサーバを削除する」を参照してください。 16. アップグレードした Identity Manager ソリューションをアクティベートします。詳細につい ては、443 ページの第 50 章「Identity Manager のアクティベート」を参照してください。 17. ( 状況によって実行 ) NetIQ Sentinel を使用している場合、最新のサービスパックを実行して いることを確認します。Sentinel のアップグレードに関する詳細については、『NetIQ Sentinel Installation and Configuration Guide』を参照してください。 マイグレーション実行時の Identity Manager ドライ バの停止と起動 Identity Manager をアップグレードまたはマイグレートする場合、正しいファイルを変更または置 換できることを保証するために、ドライバを起動および停止する必要があります。このセクション では、次のアクティビティについて説明します。詳細については、次の各セクションを参照してく ださい。 132 ページのセクション 14.2.1「ドライバの停止」 133 ページのセクション 14.2.2「ドライバの起動」 482 NetIQ Identity Manager セットアップガイド 54 Identity Manager の新しいサーバへのマイ グレート 54 このセクションでは、ユーザアプリケーションから新しいサーバ上の識別情報アプリケーションに マイグレートする方法について説明します。既存のインストールをアップグレードできない場合も マイグレーションが必要になる可能性があります。このセクションでは、次のアクティビティにつ いて説明します。 483 ページのセクション 54.1「Identity Manager のマイグレーションのチェックリスト」 484 ページのセクション 54.2「Designer プロジェクトのマイグレーションの準備」 485 ページのセクション 54.3「Identity Manager エンジンの新しいサーバへのマイグレート」 485 ページのセクション 54.4「ユーザアプリケーションドライバのマイグレート」 487 ページのセクション 54.5「識別情報アプリケーションのアップグレード」 487 ページのセクション 54.6「識別情報アプリケーションのマイグレーションの完了」 54.1 Identity Manager のマイグレーションのチェックリ スト 次のチェックリストの手順を完了することをお勧めします。 チェックリストの項目 1. Identity Manager ソリューションのディレクトリとデータベースのバックアップ 2. 識別情報アプリケーションを除いて、Identity Manager のコンポーネントの最新バージョン がインストールされていることを確認します。詳細については、50 ページのセクション 5.3.4「推奨されるサーバセットアップ」とコンポーネントの最新のリリースを参照してく ださい。 注 : 現在のユーザアプリケーションデータベースを引き続き使用するには、インストールプ ログラムで[既存のデータベース]を指定します。詳細については、245 ページのパート X 「識別情報アプリケーションのインストール」を参照してください。 3. 識別ボールトのヘルスチェックを実行し、スキーマが適切に拡張されていることを確認しま す。TID 3564075 を使用してヘルスチェックを完了します。 4. 既存のユーザアプリケーションドライバを Designer にインポートします。 5. Designer プロジェクトをアーカイブします。これはドライバのマイグレーション前の状態 を表します。詳細については、484 ページのセクション 54.2「Designer プロジェクトのマ イグレーションの準備」を参照してください。 Identity Manager の新しいサーバへのマイグレート 483 チェックリストの項目 6. ( 状況によって実行 ) Identity Manager エンジンを新しいサーバにマイグレートするには、 eDirectory のレプリカを新しいサーバにコピーします。詳細については、485 ページのセク ション 54.3「Identity Manager エンジンの新しいサーバへのマイグレート」を参照してくだ さい。 7. Designer の最新バージョンで新しい Designer プロジェクトを作成し、ユーザアプリケー ションドライバをインポートしてマイグレーションを準備します。 8. ユーザアプリケーションドライバをマイグレートします。詳細については、485 ページのセ クション 54.4「ユーザアプリケーションドライバのマイグレート」を参照してください。 9. 新しい役割およびリソースサービスドライバを作成します。 既存の役割とリソースサービスドライバをマイグレートすることはできません。詳細につい ては、308 ページのセクション 34.2「役割とリソースサービスドライバの作成」を参照して ください。 54.2 10. 2 つのドライバを識別ボールトに展開します。詳細については、309 ページのセクション 34.3「ユーザアプリケーションのドライバの展開」を参照してください。 11. 識別情報アプリケーションをインストールします。詳細については、487 ページのセクショ ン 54.6「識別情報アプリケーションのマイグレーションの完了」を参照してください。 12. ( 状況によって実行 ) インストールプロセスで作成された SQL ファイルを使用して Oracle データベースをアップグレードするために、Oracle 環境を準備します。詳細につい ては、487 ページのセクション 54.6.1「SQL ファイルを実行する Oracle データベースの準 備」を参照してください。 13. 古いバージョンの Identity Manager のコンテンツがブラウザに含まれていないことを確認し ます。詳細については、488 ページのセクション 54.6.2「ブラウザのキャッシュのフラッ シュ」を参照してください。 14. ( 状況によって実行 ) SharedPagePortlet のカスタム設定を回復します。詳細については、 489 ページのセクション 54.6.4「SharedPagePortlet の最大タイムアウト設定の更新」を参 照してください。 15. ユーザがフィルタのパラメータを入力するまで、グループの検索オプションに情報が表示さ れないことを確認します。詳細については、489 ページのセクション 54.6.5「グループの自 動クエリ設定の無効化」を参照してください。 Designer プロジェクトのマイグレーションの準備 ドライバをマイグレートする前に、Designer プロジェクトのマイグレーションを準備するためにい くつかの手順を実行する必要があります。 注 : マイグレートする Designer プロジェクトが存在しない場合、[ファイル]>[インポート]> [プロジェクト ( 識別ボールトから )]を使用して新しいプロジェクトを作成します。 1 Designer を起動します。 484 NetIQ Identity Manager セットアップガイド 2 ( 状況によって実行 ) マイグレートするユーザアプリケーションを含む Designer プロジェクト が既存の場合、そのプロジェクトをバックアップします。 2a プロジェクトビューでプロジェクト名を右クリックして、 [プロジェクトのコピー]を選 択します。 2b プロジェクトの名前を指定して、 [OK]をクリックします。 3 既存のプロジェクトのスキーマをアップデートするには、次の手順を実行します。 3a [モデラー]ビューで[識別ボールト]を選択します。 3b [ライブ]>[スキーマ]>[インポート]の順に選択します。 4 ( オプション ) プロジェクトの Identity Manager のバージョン番号が適切であることを検証する には、次の手順を実行します。 4a [モデラー]ビューで、 [識別ボールト]を選択し、[プロパティ]をクリックします。 4b 左のナビゲーションメニューで[サーバリスト]を選択します。 4c サーバを選択し、 [編集]をクリックします。 [Identity Manager バージョン]に最新バージョンが表示されるはずです。 54.3 Identity Manager エンジンの新しいサーバへのマイ グレート Identity Manager エンジンを新しいサーバにマイグレートする場合、古いサーバで現在使用してい る eDirectory のレプリカを維持できます。 1 新しいサーバで、サポートされているバージョンの eDirectory をインストールします。 2 現在の Identity Manager サーバにあるのと同じ eDirectory のレプリカを、新しいサーバにコ ピーします。 詳細については、『NetIQ eDirectory 管理ガイド』の「Administering Replicas」を参照してくだ さい。 3 新しいサーバで Identity Manager エンジンをインストールします。 詳細については、123 ページのパート IV「Identity Manager エンジン、ドライバ、およびプラ グインのインストール」を参照してください。 54.4 ユーザアプリケーションドライバのマイグレート 新しいバージョンの Identity Manager にアップグレードする場合または別のサーバにマイグレート する場合、ユーザアプリケーションドライバの新しいベースパッケージをインポートするか、また は既存のパッケージをアップグレードする必要がある可能性があります。たとえば、User Application Base Version 2.2.0.20120516011608 をインポートします。 Identity Manager プロジェクトの作業を開始すると、プロジェクトに新しいパッケージをインポー トするように、Designer からのメッセージが自動的に表示されます。その時点で手動でパッケージ をインポートすることもできます。 Identity Manager の新しいサーバへのマイグレート 485 54.4.1 新しいベースパッケージのインポート 1 Designer でプロジェクトを開きます。 2 [パッケージカタログ]を右クリックして[パッケージのインポート]をクリックし、適切な パッケージを選択します。 3 ( 状況によって実行 )[パッケージのインポート]ダイアログのリストにユーザアプリケーショ ンベースパッケージが表示されない場合、次の手順を実行します。 3a [Browse]ボタンをクリックします。 3b designer_root/packages/eclipse/plugins/NOVLUABASE_version_of_latest_package.jar のある場所 に移動します。 3c [OK]をクリックします。 4 [OK]をクリックします。 54.4.2 既存のベースパッケージのアップグレード 1 Designer でプロジェクトを開きます。 2 ユーザアプリケーションドライバを右クリックします。 3 [ドライバ]>[プロパティ]>[パッケージ]の順にクリックします。 ベースパッケージをアップグレードできる場合、[アップグレード]列にチェックマークが表 示されます。 4 アップグレード可能なパッケージの[操作の選択]をクリックします。 5 ドロップダウンリストで[アップグレード]をクリックします。 6 アップグレード後のバージョンを選択します。 [OK]をクリックします。 7 [Apply ( 適用 )]をクリックします。 8 パッケージをアップグレードするための適切な情報をフィールドに入力します。次に、 [次へ] をクリックします。 9 インストールの概要を読みます。続いて、 [終了]をクリックします。 10 [パッケージ管理]ページを閉じます。 11 [適切なパッケージバージョンのみを表示]の選択を解除します。 54.4.3 マイグレートしたドライバの展開 ドライバのマイグレーションは、ユーザアプリケーションドライバを識別ボールトに展開するまで 完了しません。移行後のプロジェクトは、移行した環境設定全体のみを展開できる状態になります。 マイグレートした設定に定義をインポートすることはできません。マイグレートした設定全体を展 開した後は、この制約は解除され、個々のオブジェクトを展開したり、定義をインポートしたりで きるようになります。 1 Designer でプロジェクトを開いて、マイグレートされたオブジェクトに対してプロジェクト チェッカを実行します。 詳細については、 『NetIQ User Application: Design Guide』の「Validating Provisioning Objects」 を参照してください。設定に検証エラーがある場合はそのことが表示されます。これらのエ ラーを修正するまでは、ドライバを展開できません。 2 [アウトライン]ビューで、ユーザアプリケーションドライバを右クリックします。 486 NetIQ Identity Manager セットアップガイド 3 [展開]を選択します。 4 ドライバセットのユーザアプリケーションドライバごとにこのプロセスを繰り返します。 54.5 識別情報アプリケーションのアップグレード 識別情報アプリケーションのインストールプログラムを実行する場合、次の検討事項を確実に反映 します。 前のユーザアプリケーションで使用していたデータベースと同じデータベースを使用します。 前のインストールとは、移行元のインストールのことです。インストールプログラムで、デー タベースタイプとして[既存のデータベース]を指定します。 ( 状況によって実行 ) 既存のデータベースが Oracle ベースであり、インストールプログラムにス キーマを更新する SQL ファイルを書き込むように指定した場合、次の手順を実行する必要が あります。詳細については、487 ページのセクション 54.6.1「SQL ファイルを実行する Oracle データベースの準備」を参照してください。 ユーザアプリケーションコンテキストに別の名前を指定できます。 前のインストールとは異なるインストール先を指定します。 サポートされているバージョンのアプリケーションサーバを参照します。 大文字と小文字を区別しない照合をデータベースに対して使用しないでください。大文字と小 文字を区別しない照合はサポートされていません。大文字と小文字を区別しない照合を使用す ると、マイグレーション時に重複キーエラーが発生する場合があります。重複キーエラーが発 生した場合は、照合を確認して修正してから、識別情報アプリケーションを再インストールし ます。 プロバイダごとのパスワード管理の違いを理解します。デフォルトプロバイダは SSPR です。 Identity Manager のレガシプロバイダまたは外部プロバイダを使用するには、アップグレード 後に識別情報アプリケーションの設定を更新する必要があります。詳細については、38 ページ のセクション 4.4「Identity Manager でのセルフサービスパスワード管理の使用」を参照してく ださい。 識別情報アプリケーションのインストールの詳細については、245 ページのパート X「識別情報ア プリケーションのインストール」を参照してください。 54.6 識別情報アプリケーションのマイグレーションの完 了 識別情報アプリケーションのアップグレードまたはマイグレードの後で、マイグレーションプロセ スを完了します。 54.6.1 SQL ファイルを実行する Oracle データベースの準備 インストールプロセス中、識別情報アプリケーションのデータベースを更新する SQL ファイルを書 き込むことを選択できます。Oracle プラットフォームでデータベースを実行している場合、 SQL ファイルを実行するには、次の手順を実行する必要があります。 1 データベースで次の SQL ステートメントを実行します。 Identity Manager の新しいサーバへのマイグレート 487 ALTER TABLE DATABASECHANGELOG ADD ORDEREXECUTED INT; UPDATE DATABASECHANGELOG SET ORDEREXECUTED = -1; ALTER TABLE DATABASECHANGELOG MODIFY ORDEREXECUTED INT NOT NULL; ALTER TABLE DATABASECHANGELOG ADD EXECTYPE VARCHAR(10); UPDATE DATABASECHANGELOG SET EXECTYPE = 'EXECUTED'; ALTER TABLE DATABASECHANGELOG MODIFY EXECTYPE VARCHAR(10) NOT NULL; 2 次の updateSQL コマンドを実行します。: /opt/novell/idm/jre/bin/java -Xms256m -Xmx256m -Dwar.context.name=IDMProv -jar /opt/novell/idm/liquibase.jar --databaseClass=com.novell.soa.persist.liquibase.OracleUnicodeDatabase --driver=oracle.jdbc.driver.OracleDriver --classpath=/root/ojdbc6.jar:/opt/novell/idm/jboss/server/IDMProv/deploy/ IDMProv.war --changeLogFile=DatabaseChangeLog.xml --url="jdbcURL" --logLevel=debug --logFile=/opt/novell/idm/db.out --contexts="prov,updatedb" --username=xxxx --password=xxxx updateSQL > /opt/novell/idm/db.sql 3 生成される SQL ファイルをテキストエディタで開きます。このファイルは、デフォルトでは / installation_path/userapp/sql ディレクトリにあります。 4 関数 CONCAT_BLOB の定義の後にバックスラッシュ (/) を挿入します。例 -- Changeset icfg-data-load.xml::700::IDMRBPM CREATE OR REPLACE FUNCTION CONCAT_BLOB(A IN BLOB, B IN BLOB) RETURN BLOB AS C BLOB; BEGIN DBMS_LOB.CREATETEMPORARY(C, TRUE); DBMS_LOB.APPEND(C, A); DBMS_LOB.APPEND(C, B); RETURN c; END; / 5 SQL ファイルを実行します。 SQL ファイルを実行する方法の詳細については、311 ページのセクション 35.1「手動による データベーススキーマの作成」を参照してください。 注 : この SQL ファイルを SQL*Plus で実行しないでください。このファイルの行長は 4000 文 字を超えています。 54.6.2 ブラウザのキャッシュのフラッシュ 識別情報アプリケーションにログインする前に、ブラウザのキャッシュをフラッシュする必要があ ります。キャッシュをフラッシュしない場合、ランタイムエラーが発生する可能性があります。 54.6.3 レガシプロバイダまたは外部プロバイダによるパスワード管理 デフォルトでは、Identity Manager は SSPR を使用してパスワードを管理します。ただし、既存の パスワードポリシーを使用するために Identity Manager 内部のレガシプロバイダを使用できます。 別の方法として、外部プロバイダも使用できます。これらのプロバイダを使用するように Identity Manager を設定する方法の詳細については、次のいずれかのセクションを参照してください。 319 ページのセクション 35.6.2「レガシプロバイダによるパスワードを忘れた場合の管理」 320 ページのセクション 35.6.3「外部システムによるパスワードを忘れた場合の管理」 488 NetIQ Identity Manager セットアップガイド 54.6.4 SharedPagePortlet の最大タイムアウト設定の更新 SharedPagePortlet のデフォルト設定または初期設定をカスタマイズしている場合、この設定は データベースに保存されており、上書きされることはありません。したがって、[セルフサービス] タブに移動したときに、常に適切な共有ページが強調表示されるわけではありません。この問題が 発生しないことを保証するには、次の手順を実行します。 1 ユーザアプリケーションの管理者としてログインします。 2 [Administration ( 管理 )]>[Portlet Administration ( ポートレット管理 )]の順に移動しま す。 3 [共有ページナビゲーション]を展開します。 4 左のポートレットツリーで[共有ページナビゲーション]をクリックします。 5 ページの右側で[設定]をクリックします。 6 [最大タイムアウト]が 0 に設定されていることを確認します。 7 [Save Settings]をクリックします。 54.6.5 グループの自動クエリ設定の無効化 デフォルトでは、ディレクトリ抽象化レイヤの[グループ]エンティティの[DNLookup 表示]は 有効です。このことは、グループを割り当てるためにオブジェクトセレクタを開くと、検索しなく てもデフォルトですべてのグループが表示されることを意味します。グループ検索ウィンドウには、 ユーザが検索条件を入力するまで何も結果が表示されないようにする必要があるので、この設定を 変更する必要があります。 この設定は、次に示すように、Designer で[自動クエリの実行]の選択を解除することで変更でき ます。 Identity Manager の新しいサーバへのマイグレート 489 490 NetIQ Identity Manager セットアップガイド 55 Identity Manager のコンポーネントのアン インストール 5 このセクションでは、Identity Manager のコンポーネントをアンインストールするプロセスについ て説明します。コンポーネントによっては、アンインストールするための前提条件があります。ア ンインストールプロセスを始める前に、必ずコンポーネントごとのセクション全体をレビューして ください。 55.1 識別ボールトからのオブジェクトの削除 Identity Manager をアンインストールする最初のステップでは、すべての Identity Manager オブ ジェクトを識別ボールトから削除します。ドライバセットの作成時に、ウィザードにより、ドライ バセットを 1 つのパーティションにするようメッセージが表示されます。いずれかのドライバセッ トオブジェクトが eDirectory のパーティションルートオブジェクトでもある場合、ドライバセット オブジェクトを削除するには、パーティションを親パーティションにマージする必要があります。 識別ボールトからオブジェクトを削除するには : 1 eDirectory データベースでヘルスチェックを実行し、発生したエラーを修正してから次に進み ます。 詳細については、『「NetIQ eDirectory 管理ガイド」』の「eDirectory の正常な動作の維持」を参 照してください。 2 eDirectory ツリーに対するすべての権限を持つ管理者として iManager にログインします。 3 [パーティションとレプリカ]>[パーティションのマージ]の順に選択します。 4 パーティションのルートオブジェクトであるドライバセットオブジェクトを参照して選択し、 [OK]をクリックします。 5 マージプロセスが完了するまで待ってから、 [OK]をクリックします。 6 ドライバセットオブジェクトを削除します。 ドライバセットオブジェクトを削除する際、そのドライバセットに関連付けられているすべて のドライバオブジェクトが削除されます。 7 eDirectory データベースにある各ドライバセットオブジェクトに対して、すべて削除されるま で、ステップ 3 ~ステップ 6 を繰り返します。 8 ステップ 1 を繰り返して、すべてのマージが完了し、オブジェクトがすべて削除されたことを 確認します。 55.2 Identity Manager エンジンのアンインストール Identity Manager エンジンをインストールする際、インストールプロセスは Identity Manager サー バにアンインストールスクリプトを配置します。このスクリプトを使用して、インストール時に作 成されたすべてのサービス、パッケージ、およびディレクトリを削除できます。 Identity Manager のコンポーネントのアンインストール 491 注 : Identity Manager エンジンをアンインストールする前に、識別ボールトを準備します。詳細に ついては、491 ページのセクション 55.1「識別ボールトからのオブジェクトの削除」を参照してく ださい。 55.2.1 Linux/UNIX での Identity Manager エンジンのアンインストー ル Identity Manager エンジンをホストしている Linux サーバまたは UNIX サーバで、 Uninstall_Identity_Manager スクリプトのある場所に移動します。このスクリプトは、デフォルトでは /root/idm/Uninstall_Identity_Manager ディレクトリにあります。 スクリプトを実行するには、次のコマンドを入力します。 ./Uninstall_Identity_Manager 55.2.2 non-root ユーザによる Identity Manager エンジンのアンイン ストール Identity Manager エンジンを non-root ユーザとしてインストールした場合、インストールプロセス は、インストールを実行したユーザのディレクトリに idm ディレクトリを配置します。 Identity Manager エンジンをアンインストールするには : 1 Identity Manager エンジンをインストールしたユーザとしてログインします。 2 Identity Manager エンジンのインストールディレクトリに移動します。デフォルトでは、/ eDirectory_Base_Directory/opt/novell/eDirectory/bin/idm-uninstall です。 3 アンインストールスクリプトを実行するには、次のコマンドを入力します。 ./Uninstall_Identity_Manager 55.2.3 Windows での Identity Manager エンジンのアンインストール Windows サーバで Identity Manager エンジンをアンインストールするには、 [コントロール パネル] のプログラムを追加および削除するユーティリティを使用します。たとえば、Windows Server 2008 では、 [プログラムと機能]をクリックします。[Identity Manager]を右クリックして、[ア ンインストール]をクリックします。 55.3 リモートローダのアンインストール リモートローダをインストールすると、インストールプロセスはサーバ上にアンインストールスク リプトを配置します。このスクリプトを使用して、インストール時に作成されたすべてのサービス、 パッケージ、およびディレクトリを削除できます。 492 NetIQ Identity Manager セットアップガイド 55.3.1 Linux/Unix でのリモートローダのアンインストール Linux サーバまたは UNIX サーバでリモートローダをアンインストールするには、アンインストー ルスクリプトのある場所に移動します。デフォルトでは、/root/idm/Uninstall_Identity_Manager ディレ クトリにあります。スクリプトを実行するには、「./Uninstall_Identity_Manager」と入力します。 non-root ユーザとしてリモートローダをインストールした場合、idm ディレクトリは、デフォルトで はインストールを実行したユーザのディレクトリに配置されます。 55.3.2 non-root ユーザによるリモートローダのアンインストール リモートローダを non-root ユーザとしてインストールした場合、インストールプロセスは、インス トールを実行したユーザのディレクトリに idm ディレクトリを配置します。 1 リモートローダをインストールしたユーザとしてログインします。 2 リモートローダのインストールディレクトリに移動します。デフォルトでは、/user directory/ idm/Uninstall_Identity_Manager です。 3 アンインストールスクリプトを実行するには、次のコマンドを入力します。 ./Uninstall_Identity_Manager 55.3.3 Windows でのリモートローダのアンインストール Windows サーバでリモートローダをアンインストールするには、[コントロール パネル]のプログ ラムを追加および削除するユーティリティを使用します。たとえば、Windows Server 2008 では、 [プログラムと機能]をクリックします。[Identity Manager]を右クリックして、[アンインストー ル]をクリックします。 55.4 Roles Based Provisioning Module のアンインス トール Roles Based Provisioning Module(RBPM) のコンポーネントは、ドライバやデータベースなど、1 つ ずつアンインストールする必要があります。 RBPM に関連するランタイムコンポーネントをアンインストールする必要がある場合、Windows 上 でサイレントモードでアンインストールプログラムを実行している場合を除いて、アンインストー ルプログラムは自動的にサーバを再起動します。Windows サーバを手動で再起動する必要がありま す。統合インストーラを使用せずに Identity Manager をアンインストールする必要がある場合、ア ンインストールプログラムを起動する前に nds サービスを停止します。 注 : RBPM をアンインストールする前に、Identity Manager エンジンをアンインストールします。 詳細については、491 ページのセクション 55.2「Identity Manager エンジンのアンインストール」 を参照してください。 Identity Manager のコンポーネントのアンインストール 493 55.4.1 Roles Based Provisioning Module のドライバの削除 Designer または iManager を使用して、ユーザアプリケーションドライバおよび役割とリソース サービスドライバを削除できます。 1 ユーザアプリケーションドライバおよび役割ドライバとリソースドライバを停止します。使用 するコンポーネントに応じて、次のどちらかのアクションを実行します。 Designer: ドライバ行を右クリックし、[Live ( ライブ )]>[Stop Driver ( ドライバの停 止 )]をクリックします。 iManager: [Driver Set Overview ( ドライバセットの概要 )]ページで、ドライバ画像の右 上隅をクリックして、[Stop Driver ( ドライバの停止 )]をクリックします。 2 ユーザアプリケーションドライバおよび役割ドライバとリソースドライバを削除します。使用 するコンポーネントに応じて、次のどちらかのアクションを実行します。 Designer: ドライバ行を右クリックし、[削除]をクリックします。 iManager: [Driver Set Overview ( ドライバセットの概要 )]ページで、[Drivers ( ドライ バ )]>[Delete drivers ( ドライバの削除 )]の順にクリックし、削除するドライバをク リックします。 55.4.2 Linux/UNIX でのユーザアプリケーションのアンインストール アプリケーションサーバからユーザアプリケーションとそのデータベースをアンインストールする 必要があります。ここでは、Tomcat と PostgreSQL からユーザアプリケーションとそのデータベー スを削除する方法について説明します。他のアプリケーションサーバとデータベースを使用してい る場合の手順については、その製品のマニュアルを参照してください。 重要 : ユーザアプリケーションを削除する場合、ユーザアプリケーションのスクリプトとサポート ファイルがインストールされているフォルダからすべてのフォルダとファイルが削除されるので、 注意が必要です。ファイルを削除する際、無意識に Tomcat または PostgreSQL をアンインストー ルする可能性があります。たとえば、アンインストールフォルダは通常、/opt/netiq/idm/apps/ UserApplication です。このフォルダには、Tomcat と PostgreSQL のフォルダも置かれています。 1 ユーザアプリケーションをインストールしたサーバにログインします。 2 ユーザアプリケーションをアンインストールするには、次の手順を実行します。 2a Uninstall_UserApp スクリプトのある場所に移動します。デフォルトでは、/opt/netiq/idm/ apps/UserApplication/RemoveUserApp ディレクトリにあります。 3 データベースをアンインストールするには、次の手順を実行します。 3a Uninstall_JBossPostgreSQL スクリプトのある場所に移動します。デフォルトでは、/opt/ netiq/idm/apps/TomcatPostgreSQL_Uninstaller ディレクトリにあります。 3b 次のコマンドを入力します。 ./Uninstall_TomcatPostgreSQL 55.4.3 Windows でのユーザアプリケーションのアンインストール アプリケーションサーバからユーザアプリケーションとそのデータベースをアンインストールする 必要があります。ここでは、Tomcat と PostgreSQL からユーザアプリケーションとそのデータベー スを削除する方法について説明します。他のアプリケーションサーバとデータベースを使用してい る場合の手順については、その製品のマニュアルを参照してください。 494 NetIQ Identity Manager セットアップガイド 重要 : ユーザアプリケーションを削除する場合、ユーザアプリケーションのスクリプトとサポート ファイルがインストールされているフォルダからすべてのフォルダとファイルが削除されるので、 注意が必要です。ファイルを削除する際、無意識に Tomcat または PostgreSQL をアンインストー ルする可能性があります。たとえば、インストールフォルダは通常、 C:\NetIQ\IdentityManager\apps\UserApplication です。このフォルダには、Tomcat と PostgreSQL の フォルダも置かれています。 1 ユーザアプリケーションをインストールしたサーバにログインします。 2 [コントロール パネル]のプログラムを追加および削除するユーティリティを開きます。たと えば、Windows Server 2012 R2 では、[プログラムと機能]をクリックします。 3 [Identity Manager User Application (Identity Manager ユーザアプリケーション )]を右ク リックして、[アンインストール]をクリックします。 55.5 Identity Reporting のアンインストール Identity Reporting のコンポーネントをアンインストールする場合、次の順序で実行する必要があり ます。 1. ドライバを削除します。詳細については、495 ページのセクション 55.5.1「レポーティングド ライバの削除」を参照してください。 2. Identity Reporting を削除します。詳細については、496 ページのセクション 55.5.2「Identity Reporting のアンインストール」を参照してください。 3. イベント監査システムを削除します。詳細については、496 ページのセクション 55.5.3「イベ ント監査サービスのアンインストール」を参照してください。 注 : ディスク容量を節約するために、EAS と Identity Reporting のインストールプログラムは Java 仮想マシン (JVM) をインストールしません。したがって、1 つまたは複数のコンポーネントを アンインストールするには、使用可能な JVM が存在し、その JVM が PATH で指定されていること を確認します。アンインストールの際にエラーが発生した場合、JVM の場所をローカルの PATH 環 境変数に追加してからアンインストールプログラムを再実行します。 55.5.1 レポーティングドライバの削除 Designer または iManager を使用して、データ収集および Managed System Gateway ドライバを削 除できます。 1 ドライバを停止します。使用するコンポーネントに応じて、次のどちらかのアクションを実行 します。 Designer: ドライバごとに、ドライバ行を右クリックして、[ライブ]>[ドライバの停 止]の順にクリックします。 iManager: [Driver Set Overview ( ドライバセットの概要 )]ページで、各ドライバ画像の 右上隅をクリックして、[Stop Driver ( ドライバの停止 )]をクリックします。 2 ドライバを削除します。使用するコンポーネントに応じて、次のどちらかのアクションを実行 します。 Designer: ドライバごとに、ドライバ行を右クリックして、[削除]をクリックします。 Identity Manager のコンポーネントのアンインストール 495 iManager: [Driver Set Overview ( ドライバセットの概要 )]ページで、[Drivers ( ドライ バ )]>[Delete drivers ( ドライバの削除 )]の順にクリックし、削除するドライバをク リックします。 55.5.2 Identity Reporting のアンインストール Identity Reporting を削除する前に、データ収集および Managed System Gateway ドライバを削除済 みであることを確認します。詳細については、495 ページのセクション 55.5.1「レポーティングド ライバの削除」を参照してください。 重要 : Identity Reporting アンインストールプログラムは Reporting インストールディレクトリから すべてのファイルとフォルダを削除するので、アンインストールプログラムを実行する前に、これ までに生成したレポートを Reporting インストールディレクトリから使用しているコンピュータの 別の場所にコピー済みであることを確認します。Reporting インストールフォルダは、たとえば、 C:\NetIQ\IdentityManager\apps\IDMReporting または /opt/netiq/idm/apps/IDMReporting です。 Identity Reporting をアンインストールするには、オペレーティングシステムに応じて次のアクショ ンを実行します。 Linux および UNIX Uninstall_Identity Reporting スクリプトのある場所に移動します。デフォルトでは、/opt/netiq/idm/ apps/IDMReporting/ ディレクトリにあります。 スクリプトを実行するには、「./Uninstall_IdentityReporting」と入力します。 Windows [コントロール パネル]のプログラムを追加および削除するユーティリティを使用します。た とえば、Windows Server 2012 R2 では、 [プログラムと機能]をクリックします。[Identity Reporting]を右クリックして、[アンインストール]をクリックします。 55.5.3 イベント監査サービスのアンインストール イベント監査サービスをアンインストールする前に、Identity Reporting をアンインストール済みで あることを確認します。詳細については、496 ページのセクション 55.5.2「Identity Reporting のア ンインストール」を参照してください。 1 アンインストールスクリプトのあるディレクトリに移動します。このスクリプトは、デフォル トでは、/opt/novell/sentinel_eas/Uninstall_Event Auditing Service/Uninstall Event Auditing Service です。 2 コマンドとして「./Uninstall\ Event\ Auditing\ Service」と入力します。 496 NetIQ Identity Manager セットアップガイド 55.6 ロールマッピング管理者のアンインストール ロールマッピング管理者 (RMA) は、識別ボールトにマッピングと権限を保存します。RMA をアン インストールすると、そのインストール先からすべてのデータが削除されます。RMA をアンインス トールして再インストールしても、識別ボールトに保存されている情報は影響を受けません。 1 ロールマッピング管理者のインストールファイルがあるディレクトリに移動します。デフォル トでは次の場所にあります。 Linux: install-path/rma/ Windows: install-path/rma/ 2 ロールマッピング管理者を停止するには、次の stop スクリプトを実行します。 Linux:./stop.sh と入力します。 Windows: stop.bat 3 アンインストールスクリプトを実行するには、次のコマンドを入力します。 Linux: ./rma-uninstall.sh -h -s Windows: rma-uninstall.bat -h -s 注 : -h はヘルプを指定します。-s はサイレントモードを指定します。 4 インストール時に指定したパラメータが記録されているインストールログを削除します。デ フォルトでは、install-path/rma-install.log です。 5 インストールディレクトリを削除します。 重要 : RMA は Identity Manager 4.5 ではサポートされていません。Catalog Administrator は、RMA を拡張したものであり、RMA の代わりに使用します。 55.7 Catalog Administrator のアンインストール Catalog Administrator のアンインストールは、Identity Manager ホームのコンポーネントもすべてア ンインストールする場合にのみ実行します。Catalog Administrator は Identity Manager ホームと一 緒に使用するので、通常はこのコンポーネントのみをアンインストールすることはありません。 55.8 eDirectory のアンインストール eDirectory をアンインストールする前に、eDirectory のツリー構造とレプリカの配置を理解する必 要があります。たとえば、ツリーに複数のサーバが存在するかどうかを知る必要があります。 1 ( 状況によって実行 ) eDirectory ツリーに複数のサーバが存在する場合、次の手順を実行しま す。 1a ( 状況によって実行 ) eDirectory をインストールしたサーバにマスタレプリカが保持されて いる場合、eDirectory を削除する前に、レプリカリング内の別のサーバをマスタになるよ うにプロモートする必要があります。 詳細については、『NetIQ eDirectory 管理ガイド』の「パーティションおよびレプリカの管 理」を参照してください。 Identity Manager のコンポーネントのアンインストール 497 1b ( 状況によって実行 ) eDirectory をインストールしたサーバのツリーにパーティションの唯 一のコピーが保持されている場合、このパーティションを親パーティションにマージする か、または別のサーバにこのパーティションのレプリカを追加してマスタレプリカを保持 させます。 詳細については、『NetIQ eDirectory 管理ガイド』の「パーティションおよびレプリカの管 理」を参照してください。 1c eDirectory データベースでヘルスチェックを実行します。発生したエラーを修正してから 次に進みます。 詳細については、『「NetIQ eDirectory 管理ガイド」』の「eDirectory の正常な動作の維持」 を参照してください。 2 オペレーティングシステムに応じた手順で、eDirectory をアンインストールします。 Linux および UNIX nds-uninstall スクリプトのある場所に移動します。デフォルトでは、/opt/novell/eDirectory/ sbin ディレクトリにあります。 スクリプトを実行するには、「./nds-uninstall」と入力します。 Windows [コントロール パネル]のプログラムを追加および削除するユーティリティを使用します。 たとえば、Windows Server 2012 R2 では、[プログラムと機能]をクリックします。 [NetIQ eDirectory]を右クリックして、[アンインストール]をクリックします。 3 ( 状況によって実行 ) eDirectory ツリーに複数のサーバが存在する場合、次の手順を実行しま す。 3a サーバ固有のオブジェクトがツリーに残っている場合、それらを削除します。 3b ヘルスチェックを再実行して、サーバが正しくツリーから削除されていることを確認しま す。 詳細については、『「NetIQ eDirectory 管理ガイド」』の「eDirectory の正常な動作の維持」 を参照してください。 55.9 Analyzer のアンインストール 1 Analyzer を閉じます。 2 オペレーティングシステムに応じた手順で、Analyzer をアンインストールします。 Linux および UNIX Uninstall Analyzer for Identity Manager スクリプトのある場所に移動します。デフォルトでは、 <installation_directory>/analyzer/UninstallAnalyzer ディレクトリにあります。 スクリプトを実行するには、「./Uninstall\ Analyzer\ for\ Identity\ Manager」と入力します。 Windows [コントロール パネル]のプログラムを追加および削除するユーティリティを使用します。 たとえば、Windows Server 2008 では、[プログラムと機能]をクリックします。 [Analyzer for Identity Manager]を右クリックして、[アンインストール]をクリックしま す。 498 NetIQ Identity Manager セットアップガイド 55.10 iManager のアンインストール このセクションでは、iManager と iManager ワークステーションをアンインストールする方法につ いて説明します。iManager または関連するサードパーティコンポーネントをアンインストールする 場合、特定の順序で実行する必要はありません。これらのコンポーネントのアンインストールに関 する検討事項をレビューすることをお勧めします。 Web サーバまたはサーブレットコンテナをアンインストールすると、iManager を実行できなく なります。 すべてのプラットフォームで、アンインストールによって削除されるのは、最初にインストー ルされたファイルのみです。アプリケーションが実行中に作成したファイルは、アンインス トールプロセスによって削除されません。たとえば、Tomcat が実行中に作成したログファイ ルと自動生成設定ファイルです。 当初インストールの際に追加されたディレクトリ構造内で作成または変更されたファイルは、 アンインストールプロセスによって削除されません。これにより、アンインストールプロセス が誤ってデータを削除しないことが保証されます。 iManager のアンインストールは、ツリー内で設定した RBS の設定には影響しません。ログファ イルまたはカスタムコンテンツは、アンインストールプロセスによって削除されません。 iManager をアンインストールした後、次のディレクトリが削除されていることを確認します。 /var/opt/novell/iManager/ /etc/opt/novell/iManager/ /var/opt/novell/tomcat7/ /etc/opt/novell/tomcat7/ これらのディレクトリが残っている状態で iManager を再インストールしようとすると、インス トールに失敗して、エラーが発生します。 重要 : iManager をアンインストールする前に、残しておくすべてのカスタムコンテンツや他の特別 な iManager ファイルをバックアップします。たとえば、カスタマイズしたプラグインです。 55.10.1 Linux での iManager のアンインストール iManager をアンインストールするプロセスは、NICI をアンインストールしません。必要に応じて 別途、NICI をアンインストールできます。 重要 : iManager と同じサーバ上に eDirectory がインストールされている場合は、eDirectory を実行 するために NICI が必要になります。 1 iManager をアンインストールするコンピュータに root としてログインします。 2 シェルで、次のコマンドを実行します。 /var/opt/novell/iManager/nps/UninstallerData/UninstalliManager Identity Manager のコンポーネントのアンインストール 499 55.10.2 Windows での iManager のアンインストール iManager のコンポーネントをアンインストールするには、[コントロール パネル]のプログラムを 追加および削除するユーティリティを使用します。アンインストールプロセスには、次の条件が適 用されます。 [コントロール パネル]のユーティリティには、iManager とは別に、Tomcat と NICI が表示され ます。これらのプログラムを今後使用しない場合はアンインストールします。 iManager がインストールされているサーバに eDirectory もインストールされている場合、NICI をアンインストールしないでください。eDirectory を実行するには、NICI が必要です。 iManager をアンインストールする際、すべての iManager ファイルを削除するかどうかを確認す るプロンプトが表示されます。[はい]を選択すると、それらのファイルが削除されますが、 その中にはすべてのカスタムコンテンツが含まれます。ただし、2.7 RBS オブジェクトは eDirectory ツリーから削除されず、スキーマは同じ状態のまま残ります。 55.10.3 iManager ワークステーションのアンインストール iManager ワークステーションをアンインストールするには、ファイルを展開したディレクトリを削 除します。 55.11 Designer のアンインストール 1 Designer を閉じます。 2 オペレーティングシステムに応じた手順で、Designer をアンインストールします。 Linux および UNIX アンインストールスクリプトのあるディレクトリに移動します。このスクリプトは、デ フォルトでは、<installation_directory>/designer/UninstallDesigner/Uninstall Designer for Identity Manager です。 スクリプトを実行するには、「./Uninstall\ Designer\ for\ Identity\ Manager」と入力します。 Windows [コントロール パネル]のプログラムを追加および削除するユーティリティを使用します。 たとえば、Windows Server 2008 では、[プログラムと機能]をクリックします。 [Designer for Identity Manager]を右クリックして、[アンインストール]をクリックし ます。 500 NetIQ Identity Manager セットアップガイド 56 56 トラブルシューティング このセクションでは、Identity Manager のインストールに関する問題のトラブルシューティングに 役立つ情報について説明します。Identity Manager のトラブルシューティングの詳細については、 特定のコンポーネントのガイドを参照してください。 56.1 ユーザアプリケーションと RBPM のインストールの トラブルシューティング 次の表に、発生する可能性のある問題とそれを解決するための推奨されるアクションを示します。 問題が続く場合は、NetIQ の担当者にお問い合わせください。 項目 推奨されるアクション インストール時に作成された次のユーザアプリケー ション環境設定を 1 つまたは複数変更する必要があ る。 インストーラとは別に、環境設定ユーティリティを実 行します。 識別ボールトの接続および証明書 電子メール設定 Identity Manager エンジンのユーザ識別情報と ユーザグループ Access Manager または iChain の設定 Linux: インストールディレクトリ ( デフォルトでは / opt/netiq/idm/apps/UserApplication/) から次のコマン ドを実行します。 configupdate.sh Windows: インストールディレクトリ ( デフォルトで は C:\NetIQ\IdentityManager\apps\UserApplication\) から次のコマンドを実行します。 configupdate.bat アプリケーションサーバを起動すると、次の例外が発 すでに実行されている Tomcat ( または他のサーバソ 生する。 フトウェア ) のすべてのインスタンスをシャットダウ ンします。アプリケーションサーバを 8180 以外の port 8180 already in use ポートを使用するように再設定する場合、ユーザアプ リケーションドライバの config 設定を編集します。 JBoss サーバを起動すると、管理資格情報を復号化ま AUTHPROPS テーブルに LDAP 管理者のエントリが たは使用することができないと報告される。 存在するかどうかを確認します。たとえば、 ldap.admin.pwd または ldap.admin.user です。存在す る場合、該当する 1 つまたは複数のエントリを削除し た後、アプリケーションサーバを再起動します。 この問題は、4.0.0 以前のバージョンからマイグレー トした後に発生する可能性があります。 アプリケーションサーバを起動すると、トラステッド ユーザアプリケーションのインストール時に指定した 証明書が見つからないと報告される。 JDK を使用してアプリケーションサーバを起動して いることを確認します。 ポータル管理ページにログインできない。 ユーザアプリケーション管理者アカウントが存在する ことを確認します。このアカウントは、iManager 管 理者アカウントと同じではありません。 トラブルシューティング 501 項目 推奨されるアクション 管理者アカウントを使用しても、新しいユーザを作成 ユーザアプリケーション管理者は、最上位コンテナの できない。 トラスティである必要があり、スーパバイザ権が必要 です。ユーザアプリケーション管理者の権利を LDAP 管理者と同等の権利に設定することを試すこと ができます (iManager を使用 )。 アプリケーションサーバを起動すると、キーストアエ アプリケーションサーバが、ユーザアプリケーション ラーが発生する。 のインストール時に指定した JDK を使用しない。 次のように keytool コマンドを使用して、証明書ファ イルをインポートします。 keytool -import -trustcacerts -alias aliasName -file certFile -keystore ..\lib\security\cacerts -storepass changeit aliasName は、この証明書に選択した一意の名前 に置き換えます。 certFile は、証明書ファイルのフルパスおよび名 前に置き換えます。 デフォルトのキーストアパスワードは、 changeit です ( 別のパスワードがある場合は、 それを指定します )。 電子メール通知が送信されない。 configupdate ユーティリティを実行して、ユーザアプ リケーション環境設定パラメータの電子メールの送信 者と電子メールホストに値を指定したかどうかを確認 します。 Linux: インストールディレクトリ ( デフォルトでは / opt/netiq/idm/apps/UserApplication/) から次のコマン ドを実行します。 configupdate.sh Windows: インストールディレクトリ ( デフォルトで は C:\NetIQ\IdentityManager\apps\UserApplication\) から次のコマンドを実行します。 configupdate.bat 56.2 アンインストールのトラブルシューティング 次の表に、発生する可能性のある問題とそれを解決するための推奨されるアクションを示します。 問題が続く場合は、NetIQ の担当者にお問い合わせください。 項目 推奨されるアクション アンインストールプロセスが未完了と報告されるが、 インストールファイルがデフォルトで保存される ログファイルには何もエラーが表示されない。 netiq ディレクトリがプロセス中に削除されていませ ん。このディレクトリは、コンピュータから NetIQ ソフトウェアをすべて削除している場合は削除 できます。 502 NetIQ Identity Manager セットアップガイド A Identity Manager のクラスタ展開ソ リューションのサンプル A この付録では、共有ストレージを使用するクラスタ環境に eDirectory と Identity Manager を設定す る段階的な手順およびクラスタ化された Identity Manager の展開例について説明します。 503 ページのセクション A.1「前提条件」 504 ページのセクション A.2「インストール手順」 共有ストレージを使用する運用レベルの Linux 高可用性 (HA) ソリューションの場合、クラスタに フェンシングメカニズムを実装することをお勧めします。クラスタにフェンシングメカニズムを実 装する方法は複数ありますが、この例では、スプリットブレインディテクタ (SBD) を使用する STONITH リソースを使用します。図 A-1 に、クラスタ展開ソリューションのサンプルを示します。 図 A-1 クラスタ展開ソリューションのサンプル 䣊䣃儓免儝儣僔௬䣋䣒儆儭児儝 儻免儈儽兠儬 䣊䣃᥋⥆ 儲兠儭䢳䢢 䢪䣕䣎䣇䣕䢳䢳䣕䣒䢵䢯䣋䣆䣏䢳䢫 儲兠儭䢴䢢 䢪䣕䣎䣇䣕䢳䢳䣕䣒䢵䢯䣋䣆䣏䢴䢫 ඹ᭷儝儬児兠儜 A.1 前提条件 SuSE Linux Enterprise Server (SLES) 11 SP3 64 ビット版を実行する 2 つのサーバをノードとし て使用 SLES 11 SP3 64 ビット版を実行する 1 つのサーバを iSCSI サーバとして使用 SLES11 SP3 64 ビット版 HA Extension の ISO イメージファイル 6 個の静的 IP: ノードごとに 2 個の静的 IP アドレス。1 個は公衆網に使用し、もう 1 個はハートビートに使 用。 Identity Manager のクラスタ展開ソリューションのサンプル 503 クラスタに 1 個の静的 IPアドレス。この IP アドレスは現在 eDirectory を実行しているノード に動的に割り当てられます。 iSCSI サーバに 1 個の IP アドレス。 A.2 インストール手順 このセクションでは、クラスタ環境を設定するためにそれぞれをインストールおよび設定する手順 について説明します。 A.2.1 iSCSI サーバの設定 iSCSI ターゲットは、クラスタ内のすべてのノードの共通ストレージとして設定するデバイスです。 これは、iSCSI Initiator がイーサネット接続経由でリモートアクセスできるように Linux サーバ上に 作成される仮想ディスクです。iSCSI Initiator は、ターゲット (iSCSI) に接続してサービスを要求す るように設定されているクラスタ内のノードです。iSCSI ターゲットは、イニシエータとして動作 するホストがターゲットに接続できるように、常時稼動している必要があります。iSCSI サーバに iSCSI ターゲットをインストールする前に、iSCSI ターゲットに共通ストレージに使用できる十分 な容量があることを確認します。SLES 11 SP3 をインストールした後、他の 2 つのノードに iSCSI Initiator パッケージをインストールします。 SLES 11 SP3 をインストールする際に、次の操作を実行します。 1 独立したパーティションを作成し、そのパーティションパスを iSCSI 共有ストレージパーティ ションとして指定します。 2 iSCSI ターゲットパッケージをインストールします。 iSCSI サーバを設定するには : 1 ターゲットサーバ上にブロックデバイスを作成します。 2 端末で yast2 disk コマンドを実行します。 3 新しい Linux パーティションを作成し、 [フォーマットしない]を選択します。 4 [パーティションをマウントしない]を選択します。 5 パーティションサイズを指定します。 6 端末で yast2 iscsi-server コマンドを実行します。 7 [サービス]タブをクリックし、 [サービスの開始]で[ブート時]を選択します。 8 [ターゲット]タブで[追加]をクリックして、パーティションパス (SLES インストール時に 作成 ) を入力します。 9 [完了]をクリックします。 10 端末で cat /proc/net/iet/volume コマンドを実行し、iSCSI ターゲットがインストールされている かどうかを検証します。 504 NetIQ Identity Manager セットアップガイド A.2.2 すべてのノード上の iSCSI Initiator の設定 クラスタのすべてのノードで、iSCSI ターゲットに接続するように、iSCSI Initiator を設定する必要 があります。 iSCSI Initiator を設定するには : 1 iSCSI Initiator パッケージをインストールします。 2 端末で yast2 iscsi-client を実行します。 3 [サービス]タブをクリックし、 [サービスの開始]で[ブート時]を選択します。 4 [接続したターゲット]タブをクリックし、 [追加]をクリックして iSCSI ターゲットサーバの IP アドレスを入力します。 5 [認証なし]を選択します。 6 [次へ]をクリックし、 [接続]をクリックします。 7 [起動の切り替え]をクリックして起動オプションを手動から自動に切り替えて、 [次へ]をク リックします。 8 [次]をクリックし、 [OK]をクリックします。 9 ターゲットに接続しているイニシエータのステータスをチェックするには、ターゲットサーバ 上で cat /proc/net/iet/session コマンドを実行します。iSCSI サーバに接続しているイニシエータ のリストが表示されます。 A.2.3 共有ストレージのパーティション化 SBD 用と Oracle クラスタファイルシステム 2(OCFS2) 用の 2 つの共有ストレージパーティション を作成します。 共有ストレージをパーティション化するには : 1 端末で yast2 disk コマンドを実行します。 2 [エキスパートパーティショナ]ダイアログボックスで共有ボリュームを選択します。この例 では、 [エキスパートパーティショナ]ダイアログボックスで[sdb]を選択します。 3 [追加]をクリックし、 [プライマリパーティション]オプションを選択して[次へ]をクリッ クします。 4 [カスタムサイズ]を選択し、 [次へ]をクリックします。この例では、カスタムサイズは 10MB です。 5 [フォーマットのオプション]で[パーティションをフォーマットしない]を選択します。こ の例では、[ファイルシステム ID]は[0x83 Linux]です。 6 [マウントのオプション]で[パーティションをマウントしない]を選択し、 [完了]をクリッ クします。 7 [追加]をクリックし、 [プライマリパーティション]を選択します。 8 [次へ]をクリックし、 [最大サイズ]を選択して[次へ]をクリックします。 9 [フォーマットのオプション]で[パーティションをフォーマットしない]を選択します。こ の例では、[ファイルシステム ID]は[0x83 Linux]です。 10 [マウントのオプション]で[パーティションをマウントしない]を選択し、 [完了]をクリッ クします。 Identity Manager のクラスタ展開ソリューションのサンプル 505 A.2.4 HA Extension のインストール HA Extension をインストールするには : 1 NetIQ のダウンロードの Web サイトに移動します。 2 [Product or Technology]メニューで、 [SUSE Linux Enterprise HAExtension]を選択し、 [送信]をクリックします。 注 : システムアーキテクチャに基づいて適切な HA Extension ISO ファイルを選択し、インス トールします。 3 各サーバに ISO ファイルをダウンロードします。 4 [YaST コントロールセンター]ダイアログボックスを開いて、 [アドオン製品]>[追加]の順 にクリックします。 5 [Browse ( 参照 )]をクリックし、ローカル ISO イメージを選択して[Next ( 次へ )]をクリッ クします。 6 [ソフトウェアの選択およびシステムタスク]ダイアログボックスで、 [高可用性]を選択しま す。もう一方のサーバでこの手順を繰り返します。 A.2.5 HA クラスタの設定 ハートビートのユニキャスト IP アドレスを設定します。 1 両方のノードでもう 1 つのインタフェースに静的 IP アドレスを設定します。このアドレスは、 ノード間通信 ( ハートビート ) に使用します。この例では、Node1 の IP アドレスは 10.10.10.13、Node2 の IP アドレスは 10.10.10.14 です。 2 2 個のサーバを、ホスト名を使用して ping し、2 個のサーバ間の接続をテストします。 重要 : 一方のマシンからもう一方のマシンに ping できない場合、ローカルの /etc/hosts ファイ ルを編集して、もう一方のマシンのノードのホスト名と IP アドレスを追加します。この例で は、/etc/hosts には次の行が含まれます。 10.10.10.13 sles11sp2-idm1 10.10.10.14 sles11sp2-idm2 3 Node1 の端末で yast2 cluster コマンドを実行します。 4 [Cluster - 通信チャネル]ダイアログボックスで、次の詳細情報を指定します。 4a [トランスポート]プロトコルを UDPU に設定します。 4b [Bind Network Address ( バインドネットワークアドレス )]を指定します。これは、ユ ニキャスト IP アドレスのネットワークアドレスです。この例では、バインドネットワー クアドレスは 10.10.10.0 です。 4c [Multicast port ( マルチキャストポート )]を指定します。この例では、マルチキャスト ポートは 5405 です。 4d [Add ( 追加 )]をクリックして、メンバーアドレスに各ノードの IP アドレスを入力しま す。この例では、Node1 の IP アドレスは 10.10.10.13、Node2 の IP アドレスは 10.10.10.14 です。 4e [Auto generate Note ID ( ノード ID の自動生成 )]を選択して、 [Next ( 次へ )]をクリッ クします。 506 NetIQ Identity Manager セットアップガイド 5 [Cluster - セキュリティ]ダイアログボックスで、 [セキュリティ認証を有効にする]を選択 し、[Threads ( スレッド数 )]に「1」を設定して、[Generate Auth Key File ( 認証キーファ イルの生成 )]をクリックします。 これにより、他のノードのクラスタへの参加を許可する認証キーが作成されます。キーが保存 される場所は /etc/corosync/authkey です。このファイルをもう一方のノードにコピーします。 6 [Cluster - サービス]ダイアログボックスで、 [オン - 起動時に openais を起動]を選択して、 [今すぐ openais を起動する]をクリックします。 7 [Start Management as well ( 管理も開始する )]を選択して、クラスタを crm_gui で管理でき るようにします。詳細については、505 ページのセクション A.2.2「すべてのノード上の iSCSI Initiator の設定」を参照してください。 8 [Sync Host ( 同期ホスト )]パネルで、次のアクションを実行します。 8a [Add ( 追加 )]をクリックして、クラスタノードのホスト名を追加します。 8b [Generate Pre-Shared-Keys ( 事前共有キーの生成 )]をクリックして、ノード間で設定 ファイルを同期して、もう一方のノードにコピーします。キーファイルは /etc/csync2/ key_hagroup に保存されます。 8c [Sync File ( 同期ファイル )]パネルで、 [Add Suggested Files ( 推奨ファイルの追加 )] をクリックして、ノード間で同期する共通ファイルのリストを自動生成します。 8d [Turn csync2 ON (Csync2 をオンにする )]をクリックして、 [Next ( 次へ )]をクリック します。 8e [次へ]をクリックし、 [終了]をクリックします。 9 passwd hacluster コマンドを実行し、すべてのノードに hacluster ユーザパスワードを設定しま す。 注 : 各ノードで hacluster ユーザに同じパスワードを設定します。 10 次のコマンドを実行して、設定ファイルと認証キーをもう一方のノードにコピーします。 # scp /etc/csync2/csync2.cfg node2:/etc/csync2/ # scp /etc/csync2/key_hagroup node2:/etc/csync2/ # scp /etc/corosync/authkey node2:/etc/corosync/ # scp /etc/corosync/corosync.conf node2:/etc/corosync/ 11 設定ファイルを Node2 にコピーした後、すべてのノードを再起動します。 12 csync2 -xv コマンドを実行します。 13 mkdir -p /share ディレクトリを作成して、共有ストレージをマウントします。 14 Node2 で次の手順を実行します。 14a 端末で yast2 cluster コマンドを実行します。 注 : 設定ファイルがすでにコピーされているので、ウィザードウィンドウは表示されませ ん。 14b [サービス]タブで、 [Check On -- Start openais at booting( チェックオン - 起動時に openais を起動 )]を選択して、[今すぐ openais を起動する]をクリックします。 14c [Configure Csync2 (Csync2 の設定 )]タブで、 [Turn csync2 ON (Csync2 をオンにす る )]をクリックして、[完了]をクリックします。 Identity Manager のクラスタ展開ソリューションのサンプル 507 14d mkdir -p /share ディレクトリを作成して、共有ストレージをマウントします。 クラスタが稼動するはずです。 15 端末で crm_mon コマンドを実行し、ステータスを検証します。次に出力例を示します。 ============ Last updated: Fri Aug 5 16:38:36 2011 Stack: openais Current DC: node1 - partition with quorum Version: 1.1.2-2e096a41a5f9e184a1c1537c82c6da1093698eb5 2 Nodes configured, 2 expected votes 0 Resources configured. ============ Online: [node1 node2] A.2.6 グローバルクラスタオプションの設定 リソースとは、クラスタによって管理されるサービスまたはアプリケーションです。クラスタソフ トウェアスタックは、リソースを監視して、稼動しているかどうかをチェックします。リソースが 何らかの理由で実行を停止する場合、クラスタはその障害を検出し、そのリソースをもう一方の ノードで起動または再起動することによって、高可用性を実現します。この例では、グローバルク ラスタオプションは Node1 で設定されています。 Node1 で HA リソースを設定するには : 1 端末で crm_gui コマンドを実行します。 2 [接続]メニュー >[ログイン]の順にクリックします。どちらかのノードの IP アドレスを使 用してログインします。 3 [CRM の構成]タブをクリックし、 [Default Resource Stickiness ( デフォルトリソース粘着 度 )]を正の値に変更します。 これにより、クラスタ内のリソースが現在の場所に留まることが保証されます。この例では、 値は 1 です。 4 [No Quorum Policy ( クォーラムを持たない場合のポリシー )]を[ignore ( 無視 )]に変更し ます。 これにより、ノードが 1 個停止しても、クラスタサービスが稼動し続けることが保証されま す。 5 [Apply ( 適用 )]をクリックします。 A.2.7 OCFS リソースの設定 OCFS2 ボリュームを作成する前に、次のリソースをクラスタ内のサービスとして設定する必要が あります。 DLM (Distributed Lock Manager) O2CB STONITH リソース OCFS2 は、クラスタ内のすべてのノードで実行される DLM リソースを必要とし、通常はクローン として設定されます。この例では、OCFS リソースは Node1 で設定されています。 508 NetIQ Identity Manager セットアップガイド A.2.7.1 DLM リソースと O2CB リソースの設定 Node1 で DLM リソースと O2CB リソースを設定するには : 1 シェルを起動し、root または同等のユーザとしてログインします。 2 端末で crm configure コマンドを実行します。 3 次のコマンドを実行して、DLM と O2CB のプリミティブリソースを作成します。 primitive dlm ocf:pacemaker:controld op monitor interval="60" timeout="60" primitive o2cb ocf:ocfs2:o2cb op monitor interval="60" timeout="60" 注 : DLM クローンリソースは DLM サービスを制御して、クラスタ内のすべてのノード上でこ のサービスが開始されることを保証します。ベースグループの内部コロケーションおよび順序 付けによって、O2CB サービスは、DLM サービスのコピーがすでに実行されているノード上で のみ開始されます。 4 次のコマンドを実行して、ベースグループとベースクローンを作成します。 group base-group dlm o2cb clone base-clone base-group meta interleave="true" target-role="Started" 5 show コマンドを実行して、変更を表示します。 6 commit コマンドを実行して、 「Exit」と入力します。 A.2.7.2 STONITH リソースの設定 デバイスの起動時に 10MB のパーティションを作成することをお勧めします。( この例では、この SBD パーティションを /dev/sdb1 と呼びます ) 重要 : 変化しないデバイス名を使用するようにしてください。/dev/disk/by-id で始まるデバイス名を 使用して、デバイスを使用する必要があります。たとえば、SBD STONITH デバイスとしてデバイ ス /dev/disk/by-id/scsi-149455400000000000000000003000000250600000f000000 を割り当てるには、 「sbd -d /dev/disk/by-id/scsi 149455400000000000000000003000000250600000f000000 create」と指定しま す。 ls -l コマンドを実行して、デバイス名を検証します。 1 端末で次のコマンドを実行して、Node1 の SBD デバイスを初期化します。 sbd -d /dev/sdb1 create 2 sbd -d /dev/sdb1 dump コマンドを実行して、デバイスに書き込まれている次の詳細情報をチェッ クします。 Header version: 2 Number of slots: 255 Sector size: 512 Timeout (watchdog): 5 Timeout (allocate): 2 Timeout (loop): 1 Timeout (msgwait): 10 Identity Manager のクラスタ展開ソリューションのサンプル 509 A.2.7.3 ソフトウェアウォッチドッグのセットアップ SLES HA Extension では、カーネルのウォッチドッグサポートはデフォルトで有効です。ウォッチ ドッグサポートは、ハードウェア固有のウォッチドッグドライバを提供するさまざまなカーネルモ ジュールに付属しています。ハードウェアに適したウォッチドッグドライバが、システム再起動時 に自動的にロードされます。 softdog は最も汎用性のあるドライバです。ほとんどのウォッチドッグドライバ名は wd、wdt、dog などの文字列を含むため、次のコマンドを使用して、現在ロードされているドライバを確認します。 lsmod | grep wd A.2.7.4 SBD デーモンの起動 Node1 で SBD デーモンを起動するには : 1 端末で rcopenais stop コマンドを実行して、OpenAIS を停止します。 2 /etc/sysconfig/sbd ファイルを追加して、次の行を追加します。 SBD_DEVICE="/dev/sdb1" #The next line enables the watchdog support: SBD_OPTS="-W" 注 : SBD デバイスがアクセス不能な場合は、デーモンが起動できなくなり、OpenAIS の起動 が妨げられます。 3 端末で yast2 cluster コマンドを実行します。 4 [Configure Csync2 (Csync2 の設定 )]タブで、 [Sync File ( 同期ファイル )]パネルの下の [Add ( 追加 )]をクリックして、次のように SBD ファイルパスを指定します。 /etc/sysconfig/sbd 5 [OK]をクリックします。 6 [Sync File ( 同期ファイル )]パネルで、 [Add Suggested Files ( 推奨ファイルの追加 )]をク リックして、ノード間で同期する共通ファイルのリストを自動生成します。 7 csync2 -xv コマンドを実行します。 8 sbd -d /dev/sdb1 allocate <nodename> コマンドを実行して、ノードを割り当てます。このコマン ドを 2 回実行して、ノード名を SDB デバイスに割り当てます。この例では、次のコマンドを 実行します。 sbd -d/dev/sdb1 allocate sles11sp2-idm1 sbd -d/dev/sdb1 allocate sles11sp2-idm2 9 rcopenais start コマンドを実行して、OpenAIS を起動します。 510 NetIQ Identity Manager セットアップガイド A.2.7.5 SBD のテスト Node1 で SBD をテストするには : 1 sbd -d /dev/sdb1 list コマンドを実行して、SBD デバイスからノードスロットとそれらの現在の メッセージをダンプします。 2 sbd -d /dev/sdb1 message SLES11SP2-idm2 test コマンドを実行して、テストメッセージをどちら かのノードに送信します。 ノードは、システムログにメッセージの受信を記録します。次にメッセージ例を示します。 Aug 29 14:10:00 SLES11SP2-idm2 sdb1: [13412]: info: Received command test from SLES11SP2-idm1 on disk /dev/sdb1 重要 : この記録によって、SBD がノード上で実行されていることが確認され、メッセージを受信で きることが示されます。 A.2.7.6 フェンシングリソースの設定 SBD のセットアップを完了するには、クラスタ情報ベース (CIB) 内で STONITH/ フェンシングメカ ニズムとして SBD をアクティブにします。Node1 で、端末で次のコマンドを実行します。 node1# crm configure crm(live)configure# property stonith-enabled="true" crm(live)configure# property stonith-timeout="60s" crm(live)configure# primitive stonith_sbd stonith:external/sbd params sbd_device="/dev/sdb1" meta ismanaged="true" crm(live)configure# commit crm(live)configure# quit 注 : stonith-timeout に設定する値は、msgwait timeout によって異なります。たとえば、default msgwait timeout の値が 10 秒の場合、stonith-timeout 値を 60 秒に設定します。 A.2.7.7 OCFS2 ボリュームの作成 作業を始める前に、OCFS2 ボリュームに使用するブロックデバイスを準備します。OCFS2 ボ リュームを使用する予定のデバイスを未割り当ての空き領域として残して、mkfs.ocfs2 ユーティリ ティを使用して OCFS2 ボリュームを作成およびフォーマットします。 Node1 に OCFS2 ボリュームを作成するには : 1 端末ウィンドウを開いて、root としてログインします。 2 crm_mon コマンドを実行して、クラスタがオンラインかどうかをチェックします。 3 2 個のクラスタノードをサポートする /dev/sdb2 に OCFS2 ファイルシステムを作成して、 mkfs.ocfs2 -N 2 /dev/sdb2 コマンドを実行します。 Identity Manager のクラスタ展開ソリューションのサンプル 511 A.2.7.8 OCFS2 ボリュームのマウント Node1 に OCFS2 ボリュームをマウントするには : 1 シェルを起動し、root または同等のものとしてログインします。 2 crm configure コマンドを実行します。 3 OCFS2 ファイルシステムをクラスタ内の各ノードにマウントするように、Pacemaker を設定 します。 primitive ocfs2-1 ocf:heartbeat:Filesystem params device="/dev/sdb2" directory="/share" fstype="ocfs2" options="acl" op monitor interval="20" timeout="40" 4 次の手順を実行して、509 ページの 「DLM リソースと O2CB リソースの設定」で設定した ベースグループにファイルシステムのプリミティブを追加します。 4a 「edit base-group」と指定します。 4b vi エディタで、次のようにグループを変更し、変更を保存します。 group base-group dlm o2cb ocfs2-1 meta target-role = "Started" 注 : ベースグループの内部コロケーションおよび順序付けによって、Pacemaker は、 O2CB リソースがすでに実行されているノード上でのみ OCFS2-1 リソースを開始します。 5 show コマンドを実行して、必要なリソースをすべて設定したことをチェックします。 6 commit コマンドを実行して、 「Exit」と入力します。 A.2.8 IP リソースの設定 次のコマンドを実行して、Node1 で IP リソースを設定します。 node1# crm configure crm(live)configure# primitive clusterip ocf:heartbeat:IPaddr operations $id="clusterip-operations" op monitor interval="5s" timeout="60s" params ip="10.52.190.15" meta resource-stickiness="100" target-role="Started" crm(live)configure# group eDir_group clusterip meta is-managed="true" targetrole="Started" crm(live)configure# show crm(live)configure# commit A.2.9 クラスタノードでの eDirectory と Identity Manager のインス トールと設定 1 クラスタノードに eDirectory をインストールするには : サポートされているバージョンの eDirectory をインストールします。HA クラスタで eDirectory を設定する段階的な手順については、『eDirectory 8.8 Installation Guide』の 「Deploying eDirectory on High Availability Clusters」を参照してください。 重要 : Node1 に eDirectory をインストールする前に、Node1 で仮想 IP が設定されていること を確認します。 512 NetIQ Identity Manager セットアップガイド 2 [メタディレクトリサーバ]オプションを使用して、Node1 に Identity Manager をインストー ルします。 3 DCLUSTER_INSTALL オプションを使用して、Node2 サーバに Identity Manager エンジンをイン ストールします。 端末で ./install.bin -DCLUSTER_INSTALL="true" コマンドを実行します。 インストーラが Identity Manager ファイルをインストールします。その際、eDirectory とは何 もやりとりしません。 A.2.10 eDirectory リソースの設定 次のコマンドを実行して、Node1 で eDirectory リソースを設定します。 node1# crm configure crm(live)configure# primitive eDirectory ocf:heartbeat:eDir88 operations $id="eDirectory-operations" op monitor interval="15s" enabled="true" timeout="60s" on-fail="restart" start-delay="30s" params eDir_config_file="/etc/opt/novell/ eDirectory/conf/nds.conf" meta resource-stickiness="100" target-role="Started" crm(live)configure# edit eDir_group vi エディタでグループを変更し、次のように clusterip の後にテキスト「eDirectory」を追加して変 更を保存します。 group eDir_group clusterip eDirectory \ meta is-managed="true" target-role="Started" crm(live)configure# show crm(live)configure# commit PaceMaker GUI のメインウィンドウで、[保守]タブをクリックし、リソースが実行されていない 場合は eDir_group を起動します。次の図は、クラスタセットアップで稼動しているリソースを示 します。 Identity Manager のクラスタ展開ソリューションのサンプル 513 514 NetIQ Identity Manager セットアップガイド
© Copyright 2024 Paperzz
