![]() |
Sun ONE Identity Server インストールおよび設定ガイド |
付録 A DSAME 5.1 から Identity Server 6.0 へのデータの移行
概要
この付録では、DSAME 5.1 から Identity Server 6.0 にデータを移行する手順について説明します。移行手順は、この付録で説明する順序で実行する必要があります。
すべての DSAME 5.1 データのバックアップ
Directory Server 5.1 を除く DSAME 5.1 のアンインストール
Identity Server 6.0 スキーマ用の Directory Server の設定
既存の Directory Server および DIT を使用する Identity Server 6.0 のインストール 移行手順を実行する担当者は、Directory Server コマンド、スキーマセマンティクス、DIT、Identity Server スキーマおよび Identity Server DIT 構造に精通している必要があります。さらに、XML および Identity Server のインストール手順を熟知している必要があります。
Identity Server 6.0 は、DSAME 5.1 データを Identity Server 6.0 に移行するための一連の Perl スクリプトを提供します。移行手順は複雑ですが、これらのスクリプトにより多くの複雑な手順を処理することができます。通常、スクリプトは入力ファイルと出力ファイルを生成します。入力ファイルと出力ファイルは、スクリプトの実行後も保持されます。これは、出力ファイルのエントリを確認するのに便利です。入力ファイルには 5.1 形式のエントリが含まれ、出力ファイルには 6.0 形式のエントリが含まれます。出力ファイルは、ldapmodify コマンドを使って読み込む必要があります。ファイルを読み込む前にエントリの確認ができるように、出力ファイルの読み込みは自動的に行われません。スクリプトを複数回実行する場合は、スクリプトが生成した古い入力および出力ファイルを必ず削除してください。ldapmodify コマンドの実行中にエラーが発生し、一部のスクリプトが既存のファイルに出力を追加する場合があります。
各スクリプトには、追加情報があります。スクリプトを実行する前に、この情報を確認する必要があります。さらに、各スクリプトで、スクリプトを実行する前にいくつかの変数を設定するか、変数の値を確認する必要があります。
注
上述の手順は、一般的な移行手順を示しています。データの移行のために、さまざまな方法でスクリプトを使用できます。たとえば、DSAME 5.1 に付属の既存の Directory Server をエクスポートし、新しい Directory Server にロードすることができます。移行スクリプトは、この新しい Directory Server で実行することができます。
既存のインストールのバックアップ
移行を開始する前に、DSAME 5.1 インストールを完全にバックアップする必要があります。
Directory Server のバックアップツールを使って、DSAME 5.1 の Directory Server データをバックアップします。設定およびスキーマを含むすべての 5.1 データをバックアップする必要があります。
DSAME 5.1 インストール後に変更されたすべてのデータをコピーして、Web Server データをバックアップします。 Web Server データは手動でバックアップする必要があります。copy コマンドと tar コマンドを使用することができます。5.1 インストール後に Web Server に対して行なったすべての変更をバックアップする必要があります。次のディレクトリもバックアップする必要があります。
表 A-1    バックアップするディレクトリ
バックアップするディレクトリ
内容
Identity Server 6.0 のインストール後に、これらのバックアップを参照して必要な変更を行うことができます。これらの変更は、Identity Server 6.0 のインストール後に手動で行う必要があります。
ログ、デバッグ、インストールファイルもバックアップする必要があります。次の表は、これらのファイルがあるディレクトリの一覧です。
6.0 移行後に更新する必要があるその他のデータをバックアップします。
DSAME 5.1 のアンインストール
DSAME 5.1 アンインストールプログラムを使用して DSAME コンポーネントを削除します。ただし、Directory Server 5.1 は決して削除しないでください。
Solaris の場合
Solaris で DSAME コンポーネントを削除するには、次の手順に従います。
DSAME 5.1 から、aminstall スクリプトを実行します。
1) 既存のコンポーネントを削除してから、インストールを続行します。
次に表示されるプロンプトで、次のオプションを選択して、DSAME 管理およびポリシーサービスを削除します。
1) DSAME 管理およびポリシーサービス
もう一度 aminstall スクリプトを実行して、オプション 1 を選択します。
次に表示されるプロンプトで、次のオプションを選択して、Directory Server 設定を削除します。
3) DSAME 用の iPlanet Directory Server 設定
Directory Server のスキーマ設定が削除されます。
アンインストールが完了したら、次のコマンドを使用して SUNWamjdk パッケージをチェックします。
pkginfo |grep SUNWamjdk
SUNWamjdk パッケージが存在する場合は、次のコマンドを使用して削除します。
pkgrm SUNWamjdk
DSAME コンポーネントをアンインストールしたら、Directory Server を再起動します。
Windows の場合
DSAME 5.1 コンポーネントをアンインストールするには、次の手順に従います。
DSAME 5.1 アンインストールプログラムを実行します。手順の詳細については、『DSAME 5.1 インストールおよび構成ガイド』を参照してください。このガイドは、次の Web サイトにあります。http://docs.sun.com/source/816-5626-10/ 上の手順では、Windows の DSAME 用 Directory Server 設定は削除されません。次の手順で DSAME 5.1 の Directory Server を Identity Server 6.0 スキーマに対して設定するために、DSAME 5.1 スキーマ設定をアンインストールする必要があります。Directory Server スキーマディレクトリから、DSAME 5.1 スキーマファイル 95ns-amschema.ldif を削除します。さらに、productregistry ファイルを更新して、Directory Server 設定コンポーネントを削除する必要があります。productregistry ファイル自体を削除することができます。productregistry ファイルを必ずバックアップしてください。productregistry ファイルを削除する場合、あとで「アプリケーションの追加と削除」を選択して Directory Server インストールを削除することができます。
DSAME コンポーネントをアンインストールしたら、Directory Server を再起動します。
IS 6.0 スキーマ用 Directory Server の設定
Identity Server 6.0 インストールプログラムを使用して、Identity Server 6.0 と連携するように Directory Server を設定します。手順の詳細は、本書の「既存の Directory Server の設定」 を参照してください。
Directory Server 5.1 での Identity Server 6.0 のインストール
DSAME に存在する Directory Server を一部変更する必要があります。この Directory Server は、次のように DIT をサポートします。
o=isp
|
o=siroe.com
この場合、実際は isp は組織ではありません。このような場合、Identity Server 6.0 をインストールする前に、エントリ isp を更新する必要があります。DSAME 5.1 Directory Server に最上位レベルエントリとしての組織 (フラット DIT) がある場合は、Identity Server 6.0 のインストール前にこの変更を行う必要はありません。最上位レベルエントリに iplanet-am-service-status 属性セットがある場合は、Identity Server 6.0 インストールにより Directory Server DIT は変更されません。5.1 DIT 構造を維持するには、この属性を最上位レベルエントリに追加します。
最上位レベルエントリが組織でない場合は、次のコマンドを実行して更新します。
上のコマンドでは、インストール用の適切な dn を使用します。DSAME 5.1 DIT の最上位エントリが組織の場合は、上のコマンドを実行する必要はありません。最上位レベルエントリで、ldapsearch を実行して、この属性が設定されているかどうかを確認します。
ここで、この Directory Server で Identity Server 6.0 をインストールします。インストール時に、既存の DIT のインストールオプションを選択します。
Identity Server 6.0 のインストール時に、次のエントリが DSAME 5.1 インストールの場合と同じ値であることを確認します。
値が確認できない場合は、DSAME 5.1 インストールのバックアップから AMConfig.properties ファイルを参照してください。組織のオブジェクトクラス、組織のネーミング属性、ユーザのオブジェクトクラス、ユーザのネーミング属性には DSAME 5.1 の値を使用してください。
この手順では、Directory Server データおよびスキーマを変更しません。Identity Server 6.0 パッケージ、ライブラリ、設定ファイル、jar ファイルなどをインストールするだけです。
Directory Server データの移行
Identity Server 6.0 のインストールと Directory Server スキーマの更新が完了したら、Directory Server データを Identity Server 6.0 形式に変更する必要があります。このために必要なすべての移行スクリプトは、<install dir>/SUNWam/migration/51to60 ディレクトリにあります。このスクリプトには、スクリプトを実行する前に読む必要のある追加情報が含まれています。この追加情報は、各スクリプトで変数を設定し、変数の値を確認するのに便利です。
Identity Server 6.0 では、ポリシー、認証、およびコンソールコンポーネントが DSAME 5.1 から大幅に変更されているため、移行が必要になります。ただし、ロール、グループ、ユーザ、組織、組織単位、ACI などの Identity Server エントリは、DSAME 5.1 のまま使用されます。これらを移行する必要はありません。
DSAME 5.1 の次のエントリは、Identity Server 6.0 用に更新する必要があります。
移行タスク
データ移行処理には次のタスクが含まれます。
スキーマ変更の移行
Identity Server 6.0 では、DSAME 5.1 からいくつかのスキーマ変更が行われています。たとえば、組織のオブジェクトクラス iplanet-am-managed-org は sunManagedOrganization に変更されています。属性 iplanet-am-domain-name は sunPreferredDomain に変更されます。同様に、ほかにもスキーマ変更があります。スキーマ変更の移行のために、スクリプト update-schema.pl が用意されています。このスクリプトを実行してスキーマ変更を移行します。追加情報については、スクリプトを参照してください。このスクリプトは、入力ファイル 51entries.ldif と出力ファイル 60entries.ldif を生成します。この出力 ldif ファイルで、ldapmodify を実行します。このスクリプトの最終行は、出力ファイルで ldapmodify コマンドを実行する構文を指定します。このスクリプトを実行すると、DSAME 5.1 エントリが Identity Server 6.0 スキーマに更新されます。
DSAME 5.1 ポリシーの移行
DSAME 5.1 は、ポリシーの実装のために CoS (サービスクラス) テンプレートを使用します。ポリシー定義には、ポリシーが割り当てられたサブジェクトは含まれません。代わりに、ポリシーをロールまたは組織に明示的に割り当てる必要があります。ポリシーを組織またはロールに割り当てると、CoS (サービスクラス) テンプレートが作成されます。URL ポリシーを割り当てた各組織またはロールには 1 個の CoS (サービスクラス) テンプレートがあります。
Identity Server 6.0 では、ポリシーの実装は CoS (サービスクラス) テンプレートを使用して行われません。ポリシー定義自体には、組織またはロールのようなサブジェクトが含まれています。ポリシー CoS (サービスクラス) テンプレートを使用して、DSAME 5.1 ポリシーを Identity Server 6.0 ポリシーに変換し、ポリシー定義自体にサブジェクトが含まれるようにする必要があります。
DSAME 5.1 ポリシーを Identity Server 6.0 ポリシーに変換するために、スクリプト update-polices.pl が用意されています。このスクリプトは、各組織または最上位レベルの組織で実行できます。組織を 1 つだけスクリプトに指定した場合、スクリプトは 6.0 形式に変換された 5.1 ポリシーを含む 1 つの出力ファイルをその組織用に生成します。最上位レベル組織を指定した場合は、最上位レベル組織の下にポリシーを持つ各組織用に 1 つの XML ファイルが生成されます。出力ファイルの名前は <rdn>-<rdn>.xml 形式です。たとえば、o=iplanet.com,o=isp にいくつかのポリシーがある場合、出力ファイルは o=iplanet.com-o=isp.xml となります。DSAME 5.1 にポリシーを持つ組織用に XML ファイルを生成するには、update-policies.pl スクリプトを実行します。追加情報については、スクリプトを参照してください。
DSAME 5.1 にはドメイン URL サービスがあります。このサービスを使って、ポリシー委譲の制御を実行できます。これは Identity Server 6.0 の参照ポリシーに似ています。定義済みのドメイン URL ポリシーがある場合は、この移行手順を手動でバックアップする必要があります。
各ドメイン URL ポリシーに対して、Identity Server 6.0 内に参照ポリシーを作成する必要があります。ドメイン URL ポリシーに基づき、Identity Server 6.0 内に対応する参照ポリシーを作成する必要があります。これは手動で実行する必要があります。このためのスクリプトは用意されていません。詳細は、「ポリシーの Identity Server 6.0 への更新」の節を参照してください。
この手順は、移行サービスの前に実行する必要があります。この手順で生成された出力は、「ポリシーの Identity Server 6.0 への更新」の手順のあとで使用されます。
DSAME 5.1 用の URL ポリシー DTD は DSAME_root/SUNWam/dtd の下にあります。
Identity Server 6.0 用の URL ポリシー DTD は IS_root/SunWam/dtd の下にインストールされます。
認証エントリの移行
Identity Server 6.0 では、認証サービスは大幅に変更されています。これらの変更には、属性名、属性値、属性のデフォルト値および属性の削除が含まれています。認証情報は各組織に存在します。移行により、すべての組織の認証エントリを更新する必要があります。
認証移行スクリプト update-auth.pl を実行します。このスクリプトは、出力ファイル 51to60auth-entries.ldif を生成します。また、入力ファイル 51auth-entries.dn も生成します。
この手順で生成された出力ファイルは、「認証エントリの Identity Server 6.0 への更新」の手順で使用されます。
DSAME 5.1 から Identity Server 6.0 への認証サービスの変更の詳細については、「認証サービスの変更」の節を参照してください。
サービスの移行
各 DSAME サービスを削除し、対応する Identity Server 6.0 サービスをロードする必要があります。さらに、すべての新しい Identity Server 6.0 サービスもロードする必要があります。サービス分岐には各サービスに対するグローバルスキーマ情報があり、組織に固有のエントリが含まれています。最上位レベル DSAME エントリが、o=sun.com のような組織自体の場合、sun.com の下のサービス分岐にはグローバルスキーマと組織固有のエントリが同様に含まれます。組織固有のエントリは、この組織に登録されたサービスの種類によって異なります。次の手順に従って、サービス分岐を更新します。
最上位レベルエントリが組織ではない場合 (Identity Server 組織ではない o=isp など)、手順 3 に進みます。最上位レベルが組織の場合、手順 2 に進みます。
update-toporg-services.pl スクリプトを実行します。このスクリプトは、最上位レベル組織に登録されたさまざまな認証サービスと Identity Server コンソールサービスの組織エントリをバックアップします。サービスの組織エントリは、最上位レベル組織のグローバルサービスエントリの下にあります。グローバルサービスを 6.0 に更新するには、これらのサービスを削除して 6.0 からロードする必要があります。この手順では、グローバルサービスエントリの下にある組織エントリのバックアップを保持します。詳細は、このスクリプトを参照してください。組織固有のエントリを持つすべてのサービスが網羅されていることを確認します (手順 3 も参照)。
このスクリプトは、出力ファイル 51to60toporg-template.ldif を生成します。また、入力ファイル 51toporg-template.dn も生成します。
Directory Server コンソールを使って、DSAME サービスを削除します。ほかのサービスを追加した場合は、それらを削除しないでください。次のサービスを削除する必要があります。
iPlanetAMAdminConsoleService
iPlanetAMAuthService
iPlanetAMAuthAnonymousService
iPlanetAMAuthCertService
iPlanetAMAuthLDAPService
iPlanetAMAuthMembershipService
iPlanetAMAuthNTService
iPlanetAMAuthRadiusService
iPlanetAMAuthSafewordService
iPlanetAMAuthUnixService
iPlanetAMClientDetectionService
iPlanetAMDomainURLAccessService
iPlanetAMEntrySpecificService
iPlanetAMLoggingService
iPlanetAMNamingService
iPlanetAMPlatformService
iPlanetAMPolicyService
iPlanetAMSessionService
iPlanetAMUserService
iPlanetAMWebAgentService
DAI
ほかの追加サービスを何も追加していない場合は、最上位レベルエントリの下のサービス分岐全体を削除することができます。
load-services.pl を実行して、Identity Server 6.0 サービスをロードします。このスクリプトは、すべての Identity Server 6.0 サービスをロードします。これは、XML サービス <install dir>/SUNWam/config/ums/ums.xml および <install dir>/SUNWam/config/xml の下の XML ファイルを使用します。
上の手順 2 で生成した出力ファイル (51to60toporg-template.ldif) を読み込みます。このファイルは、最上位レベル組織が Identity Server 組織の場合にのみ必要です。ldapmodify コマンドを使って、出力ファイルを読み込みます。構文については、出力ファイルの最終行を参照してください (この構文は Perl スクリプト自体から実行されるので「System」は不要です)。 6.0 における Identity Server サービスの変更の詳細については、「Identity Server 6.0 のサービス」を参照してください。
認証エントリの Identity Server 6.0 への更新
「認証エントリの移行」の手順で生成した出力ファイルを読み込みます。ldapmodify コマンドを使って、このファイルを読み込みます。構文については、スクリプトの最終行を参照してください。この手順では、DSAME 5.1 認証エントリを Identity Server 6.0 に移行します。さらに、次の手順を実行する必要があります。
カスタマイズされた 5.1 HTML テンプレートがある場合は、6.0 JSP ベースのテンプレートに変更する必要があります。
すべてのカスタマイズされた認証モジュールは、AMLoginModule.java を使用して書き換える必要があります。画面プロパティは、XML ベースの認証モジュールプロパティを使用して変更する必要があります。カスタム認証モジュールの記述に関する詳細については、Identity Server 6.0 のマニュアルを参照してください。
ユーザの認証モジュール設定は自動的に移行されません。DSAME 5.1 のユーザ用に認証モジュールが選択されている場合は、移行後、この認証モジュールはそのユーザは使用できません。必要な認証モジュールは、Identity Server 6.0 のそのユーザ用に手動で設定する必要があります。
ユーザのデフォルトログイン URL 属性 (iplanet-am-user-default-url) は 6.0 では使用できません。この属性は自動的に 6.0 に移行されません。この属性の値は、コア認証サービスの iplanet-am-auth-login-success-url、または認証設定サービスの planet-am-auth-login-success-url、あるいは配備の必要性に応じてカスタム属性に設定できます。この属性は、移行してユーザエントリから削除する必要があります。そうしないと、この属性を持つユーザエントリを変更できません (オブジェクトクラス違反エラーとなります)。
Identity Server コンソールサービスエントリの 6.0 への更新
コンソールの表示に影響を与える Identity Server 6.0 コンソールサービスに変更があります。ドメイン URL サービスは 6.0 では使用できません。6.0 におけるポリシーの変更により、Web エージェントサービスおよびドメイン URL サービスを組織、ロール、およびユーザエントリに登録する必要がなくなりました。これらの変更を反映させるために、エントリを更新するスクリプトが用意されています。
サービスが何らかの組織に登録されている場合は、update-services.pl スクリプトを実行してコンソールサービスを更新します。このスクリプトは、入力ファイル 51console.ldif と 51services.ldif、および出力ファイル 60services.ldif を生成します。
出力ファイル 60services.ldif で、ldapmodify コマンドを実行します。このコマンドを実行すると、組織に登録されたコンソールサービスエントリを移行できます。また、ドメイン URL および Web エージェントサービスの組織、ロール、およびユーザエントリも移行できます。
連合管理の有効化
Identity Server 6.0 は、Liberty Alliance (フェーズ 1) 仕様を実装しています。サービスを移行する場合 (「サービスの移行」を参照)、連合管理用の 2 つのサービスがロードされます。iPlanetAMAuthenticationDomainConfigService と iPlanetAMProviderConfigService です。これらのサービスは、連合管理機能を使用する前に登録する必要があります。これらのサービスを登録するために、liberty-services.ldif という名前の ldif ファイルが用意されています。
このファイルの ROOT_SUFFIX の値を最上位レベルの組織に置き換えます。この ldif ファイルで、ldapmodify を実行します。このファイルで指定されたエントリが Identity Server 6.0 に存在する場合は、この ldif ファイルからこれらのエントリを削除し、残りのエントリを読み込みます。この手順を実行すると、Identity Server 6.0 で連合管理が有効になります。
サービスと認証エントリが移行されると、ユーザは Identity Server 6.0 にログインできるようになります。Directory Server が Identity Server 6.0 と同じマシンにある場合は、<installdir>/bin/amserver スクリプトを編集して、適切な Directory Server インスタンスを指すように NDS_SERVER 変数を変更します。
Identity Server を再起動して、Identity Server 6.0 コンソールにログインします。コア認証サービスの 5.1 のデフォルトログイン URL (<protocol>://<host>:<port>/amserver/login) が変更されていない場合は、Identity Server 6.0 のデフォルトログイン URL (<protocol>://<host>:<port>/amserver/UI/Login) を使用して Identity Server 6.0 コンソールにログインできます。5.1 には、デフォルトログイン URL が、コア認証サービスの <protocol>://<host>/amserver/login ではなく /amserver/login に設定される場合があるという既知の問題があります。この場合、6.0 のデフォルトログイン URL を使用してログインすることができません。6.0 のデフォルトログイン URL (<protocol>://<host>/amserver/UI/Login) に対するデフォルト組織の関連するドメイン属性を変更して、6.0 のデフォルトログイン URL を使用するコンソールにアクセスする必要があります。ホストの完全指定のドメイン名を使用し、URL に適切な配備記述子を使用します。関連するドメイン属性の値にポート番号がありませんが、コンソールにアクセスするときにはポートを指定する必要があることに注意してください。また、<protocol>://<host>:<port>/amserver/UI/Login?org=<org RDN> 形式の URL を使用することもできます。ほかのエントリを移行する前に、ログインを確認することが大切です。移行は段階的な処理であり、その都度および可能なときに手順を検証する必要があります。
ユーザ管理は、デフォルトでは有効ではありません。Identity Server コンソールにログイン後、「サービス設定」タブに移動します。管理サービスを編集します。「ユーザ管理を有効」チェックボックスをクリックして、サービスを保存します。ここで、ユーザ管理機能の「アイデンティティ管理」タブに移動できます。
IS 6.0 では、新しいユーザ amldapuser が導入されました。このユーザは、LDAP、メンバーシップ認証モジュール用のディレクトリをバインドおよび検索するために使用されます。また、このユーザはポリシー設定サービスでも使用されます。LDAP、メンバーシップ、またはポリシー設定サービスを組織に登録したら、このユーザのパスワードをこれらのサービスに明示的に入力する必要があります。パスワードは、Identity Server 6.0 のインストール時に入力した amldapuser のパスワードです。さらに、このユーザを作成する必要もあります。次の 2 つのコマンドを実行して、このユーザを作成し、このユーザへのアクセス権を設定します。
上のコマンドでは、-w オプションを付けて、ディレクトリマネージャのパスワードを指定します。ROOT_SUFFIX をインストールルートエントリに置き換えます。最初のコマンドの userPassword 属性で、amldapuser パスワードを指定します。
LDAP およびメンバーシップサービスがすでに IS 5.1 の組織に登録されている場合は、ユーザ検索に使用されるバインド DN は「dsameuser」であることに注意してください。このユーザを上記のコマンドで作成した「amldapuser」に変更し、パスワードも amldapuser パスワードに変更します。これら 2 つのサービスが登録されているすべての組織でこの変更を行う必要があります。ユーザを「dsameuser」のままにしておくこともできますが、Identity Server 6.0 では「amldapuser」を使用することをお勧めします。
Identity Server ユーザのプロファイルには、アカウント有効期限属性があります。DSAME 5.1 のアカウント有効期限属性の形式は mm/dd/yy hh:mm ですが、6.0 のアカウント有効期限属性の形式は mm/dd/yyyy hh:mm です。この属性形式は、locale という名前のディレクトリにある amUser.properties ファイルにあります。DSAME 5.1 のユーザにアカウント有効期限属性が設定されている場合は、日付形式を 6.0 の形式に変更して、Identity Server コンソールからのユーザプロファイルの変更時に、ユーザプロファイル変更を保存する必要があります。あるいは、amUser.properties の DSAME 5.1 形式を使って、日付形式を変更することができます。ldapmodify コマンドを使用して、アカウント有効期限属性の値を変更することもできます。
また、DSAME 5.1 で、AMConfig.properties に特定の変更が行われている場合は、Identity Server 6.0 のインストール後、AMConfig.properties にこれらの変更を行う必要があります。
ポリシーの Identity Server 6.0 への更新
Directory Server で更新済みのポリシーを読み込む前に、DSAME 5.1 ポリシーを削除する必要があります。delete-policies スクリプトを実行して、すべてのポリシーを削除します。スクリプトは、入力ファイル delete-policies.dn と出力ファイル delete-policies.ldif を生成します。delete-policies.ldif で ldapdelete コマンドを実行して、すべての 5.1 ポリシーを削除します。delete-policies.ldif で指定されたすべてのエントリが削除されていることを確認します。Directory Server に存在しないエントリについてエラーが発生した場合は、ldif ファイルからこれらのエントリを削除し、ファイルのその他のエントリの削除を続行します。delete-policies.ldif ファイルには、重複エントリが存在する場合があります。すでに削除されたエントリ (重複エントリ) を削除するときにエラーが発生する場合があります。このようなエラーは無視することができます。ldapdelete を連続モードで実行して、このエラーを無視できます。
Identity Server 6.0 には新しいポリシー設定サービスがあります。このサービスは、サブジェクト、レフェラル、条件などのポリシーコンポーネントで使用されるさまざまな設定属性を指定します。組織のポリシーを作成するには、ポリシー設定サービスを登録する必要があります。組織にポリシーを読み込む前に、各組織に対して、このサービスを登録する必要があります。Identity Server 6.0 コンソールにログインして、各組織にこのサービスを登録することができます。また、amadmin コマンドを使って、各組織にこのサービスを登録することもできます。
最上位レベル組織から開始し、次のコマンドを実行して Identity Server 6.0 ポリシーをロードします。
IS_root/bin/amadmin -u amadmin id -w password -t output migrated policy file for the organization
Identity Server 6.0 では、ポリシーはポリシー名で記述できます。また、ルール、サブジェクト、条件、レフェラルなどポリシーの個々の要素も名前を持ちます。DSAME 5.1 ポリシーのインポート時に、これらの要素の名前と説明は自動的に生成されます。名前は、ポリシーのインポート後に変更できます。
Identity Server 6.0 には、参照ポリシーの概念があります。詳細は、Identity Server 6.0 のマニュアルを参照してください。サブ組織でポリシーを作成するには、最上位レベルの組織からの参照ポリシーが必要です。参照ポリシーは、リソース参照に基づいてポリシーを委譲します。次の DIT について検討します。
siroe.com または iplanet.com でポリシーを作成するには、 o=isp.com に siroe.com および iplanet.com に対する参照ポリシーが必要です。
o=isp.com の参照ポリシーには、o=siroe.com または o=iplanet.com で管理されるリソースまたはリソース接頭辞が含まれている必要があります。siroe.com が http://www.siroe.com/ を管理している場合、o=isp.com の参照ポリシーは、そのルールにリソースhttp://www.siroe.com/ を含み、siroe.com の組織を参照している必要があります。o=siroe.com で管理されるその他のリソースの場合、その他の参照ポリシーを o=isp で作成する必要があります。必ず最上位レベルの参照ポリシーを作成してから、上に指定したコマンドを実行して、サブ組織のポリシーを更新する必要があります。 サブ組織レベルのポリシーで指定したリソースの親レベルに参照ポリシーがない場合、ポリシーの作成はできません。このため、上のコマンドを実行する前に、サブ組織レベルの親レベルに参照ポリシーを作成することが重要です。各サブ組織のポリシー出力ファイルを参照して、XML ファイルに含まれるリソースを確認します。そのサブ組織のポリシー出力 XML ファイルを読み込む前に、これらのリソースのそれぞれに対して、最上位レベルに参照ポリシーが必要です。
DSAME 5.1 にはドメイン URL サービスがあります。このサービスを使って、ポリシー委譲の制御を実行できます。これは Identity Server 6.0 の参照ポリシーに似ています。主な違いは、ポリシー評価時にドメイン URL サービスが適用され、ポリシー評価だけでなくポリシー作成時にも参照ポリシーが適用されることです。DSAME 5.1 では、デフォルトで、最上位レベルの管理者だけがドメイン URL ポリシーを作成することができます。
DSAME 5.1 では、上記の DIT を使って、iplanet.com にあるリソースにアクセスできるように siroe.com にポリシーを作成することができます。また、その逆も可能です。ただし、o=isp の最上位管理者は、o=siroe.com,o=isp にドメイン URL サービスを作成することができます。このポリシーは、この組織で何を許可するかを指定します。ドメイン URL ポリシーで http://www.siroe.com/* を許可するように指定すると、http://www.siroe.com/* と一致する URL ポリシーで許可されるリソースだけがポリシー評価時に返されます。これにより、6.0 の参照ポリシーの使用が適用されます。DSAME 5.1 で作成した各ドメイン URL ポリシーの場合は、対応する参照ポリシーを 6.0 で作成する必要があります。この手順は手動で実行する必要があります。
Identity Server 6.0 には、ポリシー管理のためのポリシー管理者ロールがあります。ポリシー管理者には、ポリシーを作成、削除、または変更し、サービスを組織に割り当てる権限があります。6.0 の各組織の場合は、ポリシー管理者ロールを作成する必要があります。update-policy-roles.pl スクリプトを実行します。出力ファイル add-policy-roles.ldif が生成されます。また、入力ファイル 51org-entries.dn も生成されます。ldapmodify を使って、このスクリプトで生成された出力ファイルを読み込みます。スクリプトの末尾の構文を参照してください。
この手順は、Directory Server にさまざまなポリシー管理者ロールを作成します。
コンソールの変更の移行
DSAME 5.1 でコンソールのカスタマイズを行なった場合は、これらの変更を Identity Server 6.0 のコンソールファイルに移行する必要があります。
この手順は手動で実行する必要があります。このためのスクリプトは用意されていません。
上記の手順を行うと、Directory Server のデータ、スキーマ、およびすべてのカスタマイズデータが 6.0 に移行します。この手順が完了したら、Identity Server 6.0 を再起動する必要があります。
エージェントの移行
Agents 1.0 または 1.1 は、Identity Server 6.0 で動作しません。Identity Server 6.0 で動作するには Agents 2.0 が必要です。エージェントを移行するには、Agents 1.0 または 1.1 をアンインストールしてから、Agents 2.0 をインストールする必要があります。
1.0 または 1.1 エージェントで行なったすべての設定変更をバックアップします。AMAgent.properties に対して行なった変更などをバックアップします。
エージェントを再起動します。
注
DSAME 5.1 XML ファイルに対して行なった変更は、この手順では移行されません。Identity Server 6.0 をインストールしてから、6.0 XML ファイルでこれらの変更を手動で更新する必要があります。これを実行する 1 つの方法は、読み込む前に 6.0 XML ファイルを更新することです。
スクリプト update-rootsuffix.pl は、この移行手順では使用されません。このスクリプトが別の Identity Server 6.0 インストールで使用可能な場合に、このスクリプトは「Directory Server 5.1 での Identity Server 6.0 のインストール」の手順 4 で使用することができます。このスクリプトは、iplanet-am-service-staus 属性を持つ最上位レベルエントリを更新します。
認証サービスの変更
この節では、認証サービスの変更について詳細に説明します。
「iplanet-am-auth-chaining-modules」が削除されました。
「iplanet-am-auth-chaining-enabled」が削除されました。
「iplanet-am-auth-non-interactive-modules」が削除されました。
「iplanet-am-auth-default-url」が削除されました。
「iplanet-am-auth-user-based」が削除されました。
「iplanet-am-auth-login-worker-class」が削除されました。
「iplanet-am-auth-org-config」が追加されました。
「iplanet-am-auth-login-success-url」が追加されました。
「iplanet-am-auth-login-failure-url」が追加されました。
「iplanet-am-auth-post-login-process-class」が追加されました。
「iplanet-am-auth-username-generator-enabled」が追加されました。
「iplanet-am-auth-username-generator-class」が追加されました。
「iplanet-am-auth-menu」が「iplanet-am-auth-allowed-modules」に変更されました。
「iplanet-am-auth-admin-auth-module」で、
'type' が「single_choice」から「single」に変更されました。
'syntax' が「string」から「xml」に変更されました。
属性 'propertiesViewBeanURL' が追加され、「/amconsole/auth/ACModuleList」に設定されました。
属性 'uitype' が追加され「link」に設定されました。
デフォルト値が、プレーン文字列から XML 文字列に変更されました。
「iplanet-am-auth-login-failure-count」で、デフォルト値が 3 から 5 に変更されました。
「iplanet-am-auth-login-failure-duration」で、デフォルト値が 15 から 300 に変更されました。
「iplanet-am-auth-lockout-warn-user」で、デフォルト値が 1 から 4 に変更されました。
「iplanet-am-auth-default-auth-level」で、'syntax' が「string」から「number」に変更されました。
ユーザサービス [amUser.xml] における認証関連属性の変更
「iplanet-am-user-auth-modules」が削除されました。
「iplanet-am-user-auth-modules」が削除されました。
「iplanet-am-user-default-url」が削除されました。
「iplanet-am-user-auth-config」が追加されました。
「iplanet-am-user-alias-list」が追加されました。
「iplanet-am-user-success-url」が追加されました。
「iplanet-am-user-failure-url」が追加されました。
「iplanet-am-user-account-life」で、'syntax' が「date」から「string」に変更されました。 次の XML ファイルにあるすべての「組織」属性
amAuthLDAP.xml
「iplanet-am-auth-ldap-search-filter」で、'syntax' が「string」から「xml」に変更されました。
「iplanet-am-auth-ldap-auth-level」で、'syntax' が「string」から「number」に変更されました。
amAuthAnonymous.xml
「iplanet-am-auth-anonymous-auth-level」で、'syntax' が「string」から「number」に変更されました。
amAuthMembership.xml
「iplanet-am-auth-membership-search-filter」で、'syntax' が「string」から「xml」に変更されました。
「iplanet-am-auth-membership-auth-level」で、'syntax' が「string」から「number」に変更されました。
amAuthRadius.xml
「iplanet-am-auth-radius-auth-level」で、'syntax' が「string」から「number」に変更されました。
amAuthUnix.xml
「iplanet-am-auth-unix-auth-level」で、'syntax' が「string」から「number」に変更されました。
amAuthCert.xml
「iplanet-am-auth-cert-auth-level」で、'syntax' が「string」から「number」に変更されました。
amAuthSafeWord.xml
「iplanet-am-auth-safeword-auth-level」で、'syntax' が「string」から「number」に変更されました。
次の表で、認証インタフェースの UI の変更について説明します。
表 A-3    認証インタフェースにおける GUI の変更
DSAME 5.1.1 ファイル名
説明
IS 6.0 ファイル名
認証メニューがループしたため、使用できるすべてのモジュールでこのファイルが表示されます (内部タグが置き換えられます)。
Identity Server 6.0 のサービス
Identity Server 6.0 の新しいサービスは次のとおりです。
次のサービスは 6.0 で削除されました。
ドメイン URL サービス (amDomainURLAccess.xml) 次のサービスは Identity Server 6.0 および DSAME 5.1 の場合でほぼ同じです。
Identity Server コンソールサービス (amAdminConsole.xml)
認証匿名サービス (amAuthAnonymous.xml)
認証メンバーシップサービス (amAuthMembership.xml)
認証 Radius サービス (amAuthRadius.xml)
認証 SafeWord サービス (amAuthSafeWord.xml)
クライアントディテクションサービス (amClientDetection.xml)
URL エージェントサービス (amWebAgent.xml) 次のサービスは 6.0 で大幅に変更されました。
属性とオブジェクトクラスの名前変更
次の属性は Identity Server 6.0 で名前が変更されました。
旧属性名
新属性名
次のオブジェクトクラスは Identity Server 6.0 で名前が変更されました。
表 A-5    オブジェクトクラスの名前変更
旧オブジェクトクラス
新オブジェクトクラス
上記の他、Identity Server コンソールサービスで、iplanet-am-unique-attribute-list および iplanet-am-attribute-uniqueness-enabled 属性が削除されました。新しいオブジェクトクラス sunNameSpace の新しい属性 sunNameSapceUniqueAttrs が Identity Server コンソールサービスから削除された一意の属性リストに対応するように、組織エントリに追加されました。
前へ 目次 索引 次へ
Copyright 2002 Sun Microsystems, Inc. All rights reserved.