Sun ONE ロゴ     前へ     目次     索引     次へ     
Sun ONE Identity Server インストールおよび設定ガイド



第 5 章   既存の Directory Server を使用する Identity Server のインストール


ユーザデータが存在する既存の Directory Server を使う場合、Sun ONE Identity Server がユーザデータを認識できるように、ディレクトリ情報ツリー (DIT) に対していくつかの変更を行う必要があります。必要な変更の数や範囲は、既存の DIT の構造、および Identity Server の使用方法によって異なります。

この章では、ユーザデータが存在する既存のディレクトリに対して Identity Server サービスをインストールするための手順について説明します。また、DIT と連携させるための Identity Server の設定方法、および既存のディレクトリエントリに必要な変更を加える方法についても説明します。

アイデンティティ管理のサポートなしで、ポリシー管理用の Identity Server をセットアップすることができます。ポリシー管理のためだけに設定を行うには、インストール時に「既存の DIT とともに既存の Sun ONE Directory Server を使用」オプションを選択して、Identity Server の管理およびポリシーサービスをインストールします。「はい」を選択して、インストール時に Identity Service Management エントリを自動的にロードします。インストール後、Identity Server コンソールからポリシー管理を実行できるようになります。インストール後にアイデンティティ管理を有効にする場合は、IS_root/SUNWam/migration/README を参照して実行手順の詳細を確認してください。

この章には次のトピックがあります。



始める前に

必要なディレクトリ変更は複雑です。変更には LDAP の計画と実装に関する高度な専門知識が必要であり、また XML に関する知識も必要です。この手続きは複雑であり、時間がかかることがあります。配備の際にはこの問題を考慮して計画を立てるようにしてください。



ユーザデータが存在する既存のディレクトリがない場合は、この章で説明されている手順を実行する必要はありません。第 4 章「新しい Directory Server を使用するインストール」を参照してください。




この章で使っている例に関する基本情報

ディレクトリに対して行う必要のある変更のタイプを例示するために、架空の会社の単純な DIT を使用します。o=madisonparc で表されるこの会社のディレクトリエントリには、2 つのカスタムオブジェクトクラスが含まれています。それらは、Identity Server スキーマでまだ定義されていないオブジェクトクラスです。使用している DIT にカスタムオブジェクトクラスが含まれている場合は、Identity Server の XML ファイルも変更する必要があります。


基本的な DIT の構造

この章で使っている例は、架空の会社の単純な DIT に基づいています。図 5-1 では、ルートの下に 2 つの組織、EngineeringSales があります。この例の中のグループはすべてスタティックグループです。これは、これらのグループのエントリが、グループのメンバーを命名する値を含む groupOfUniqueNames オブジェクトクラスを使うことを意味します。

図 5-1    この章の例で使われるディレクトリ情報ツリー (DIT)
この章の例で使われる DIT

この DIT の例にあるグループの使用法について次に要約します。

  • Engineering の管理者を含むグループが 1 つ、Sales の管理者から成るグループが 1 つあります。

  • これらのグループのメンバーがそれぞれの組織を管理できるように、Engineering グループと Sales グループには単純な ACI が設定されています。

  • 各組織には、管理者でないユーザを含むグループが 1 つあります。

  • ルートレベル、つまり最上位レベルにもう一つ別のグループがあります。このグループには、ディレクトリ内のすべてのユーザが含まれます。


カスタムオブジェクトクラス

この例に出てくる架空の会社では、Identity Server スキーマにも Directory Server 5.1 スキーマにも含まれていない 2 つのオブジェクトクラスを使用します。AUXILIARY オブジェクトクラス madisonparc-org はすべての組織エントリに存在し、AUXILIARY オブジェクトクラス madisonparc-user はすべてのユーザエントリに存在します。これらの拡張を管理するには、次の 3 つのファイルを変更する必要があります。

  • amEntrySpecific.xml
    (ユーザエントリだけを変更する場合、変更は不要)

  • amUser.xml

  • ums.xml

これらの変更の詳しい説明は、「カスタムのオブジェクトクラスの Identity Server スキーマへの追加 (オプション)」の節にあります。カスタムオブジェクトクラスを既存のディレクトリで使う場合は、同様の変更が必要です。



インストールの方法



既存のセットアップに基づくインストール方法を次の表で説明します。

表 5-1    インストールシナリオ 

シナリオ

方法

Directory Server をまったく使用していない場合  

Identity Server 6.0 のすべてのコンポーネントをインストールします。手順については、第 4 章「新しい Directory Server を使用するインストール」を参照してください。  

5.1 より前の Directory Server を使用している場合  

次の手順どおりに実行します。

  1. Directory Server のデータを Directory Server 5.1 に移行します。データ移行の手順は、「既存のデータの Directory Server 5.1 への移行」の節にあります。

  2. インストールプログラムのオプション「既存の Directory Server を設定する」を使って、この Directory Server を設定します。

  3. Identity Server 6.0 管理およびポリシーサービスをインストールします。

 

   

この手順を実行するには、第 4 章で説明するインストール手順に従ってください。ただし、「Sun ONE Directory Server 情報」パネルで、デフォルトのインストールディレクトリ /usr/iplanet/servers を、既存の Directory Server の場所に置き換える必要があります。  

DSAME 5.1 を使用している場合  

データを Identity Server 6.0 に移行します。この手順は、製品バイナリに付属のファイル migration.html にあります。  

Identity Server と連携するよう設定されていない Directory Server 5.1 を使用している場合  

Identity Server 6.0 と連携するよう設定します。実行手順の詳細は、「既存の Directory Server の設定」の節を参照してください。  

Identity Server と連携するよう設定されている Directory Server 5.1 を使用している場合  

インストールプログラムの「既存の DIT とともに既存の Sun ONE Directory Server を使用」オプションを選択して、Identity Server 6.0 管理およびポリシーサービスをインストールします。手順については、「既存の Directory Server を使用する Identity Server のインストール」を参照してください。  

既存の DIT のない Directory Server 5.1 を使用している場合  

インストールプログラムの「既存の DIT なしで既存の Sun ONE Directory Server を使用」オプションを選択して、Identity Server 6.0 管理およびポリシーサービスをインストールします。手順については、「既存の Directory Server を使用する Identity Server のインストール」を参照してください。  

既存の DIT のある Directory Server 5.1 を使用している場合  

インストールプログラムの「既存の DIT とともに既存の Sun ONE Directory Server を使用」オプションを選択して、Identity Server 6.0 管理およびポリシーサービスをインストールします。手順については、「既存の Directory Server を使用する Identity Server のインストール」を参照してください。  



既存のデータの Directory Server 5.1 への移行



Identity Server 6.0 をインストールする前に、既存のユーザデータを Directory Server 5.1 に移行する必要があります。そうしないと、Identity Server は既存のユーザデータを認識できません。

この手順では、5.1 より前のデータを Directory Server 5.1 で使用できるように更新します。この処理は、Directory Server に付属の migrateInstance5 スクリプトを実行して行います。移行スクリプトにより、次のタスクが順に実行されます。

  • スキーマ設定ファイルを調べて、標準の設定ファイルとシステムに存在する設定ファイルの違いを通知します。

  • レガシー Directory Server に格納されている接尾辞ごとにデータベースを作成します。(Directory Server 5.0 では、複数のデータベースが可能ですが、データベース当たり 1 つの接尾辞です。)

  • サーバパラメータとデータベースパラメータを移行します。(Directory Server 5.0 では、これらは dse.ldif ファイルの LDAP エントリとして格納されています。)

  • ユーザ定義のスキーマオブジェクトを移行します。

  • インデックスを移行します。

  • 標準のサーバプラグインを移行します。

  • 証明書データベース、および SSL パラメータを移行します。

    既存の Directory Server がインストールされているシステムでスクリプトを実行する必要があります。移行スクリプトを実行する前に、ディレクトリサービスを停止しておく必要があります。移行手順については、次の『Sun ONE Directory Server インストールガイド』を参照してください。

    http://docs.sun.com/db/doc/816-5602-10

    データを Directory Server 5.1 に移行してある場合は、「ディレクトリデータのバックアップ」に進んでください。



    インストール後、適切な LDIF または XML ファイルをロードするまで、管理コンソールにはログインできません。手順については、この章の後述の節を参照してください。





ディレクトリデータのバックアップ

ディレクトリのバックアップについては、次の『Sun ONE Directory Server インストールガイド』を参照してください。

http://docs.sun.com/db/doc/816-5602-10



既存の Directory Server の設定



Identity Server と連携するように設定されていない Sun ONE Directory Server 5.1 を使用している場合は、最初に Identity Server スキーマをインストールして設定を行い、次に Identity Server 管理およびポリシーサービスをインストールします。Sun ONE Identity Server インストールプログラムを使って、Directory Server を設定する必要があります。



コンピュータの別のディレクトリに、Identity Server スキーマがインストール済みでないことを確認します。次のコマンドを使用して、既存のインスタンスを確認できます。
pkginfo | grep SUNWamdsc.




GUI を使用した設定

  1. 製品 CD から Identity Server スキーマをインストールする場合は、ソフトウェアをインストールするシステムのドライブに製品 CD を挿入します。

    製品をダウンロードした場合は、次のコマンドを使って製品バイナリファイルを解凍します。

    gunzip -dc binaryfile.tar.gz | tar -xvof -

    この場合、binaryfile をダウンロードした製品バイナリの名前に置き換える必要があります。

  2. 別の端末ウィンドウを開き、xhost + と入力してマシンのアクセス制御を無効にします。

  3. アプリケーションウィンドウで、次のコマンドのどちらかを使用して DISPLAY 変数を設定します。

    • csh、または tcsh を使用している場合、次のように入力します。

      setenv DISPLAY host.domain.com:0.0

    • sh、ksh、または bash を使用している場合、次のように入力します。

      export DISPLAY=host.domain.com:0.0

  4. コマンド ./setup を使用して、installation プログラムを実行します。開始パネルが開きます。「次へ」をクリックします。

  5. ライセンス契約を確認して同意します。

  6. 「インストールディレクトリ」パネルで、Identity Server スキーマをインストールするディレクトリのパスを指定します。

  7. 「次へ」をクリックし、「インストール / アンインストールされるコンポーネント」パネルで、「既存の Directory Server を設定」をクリックします。

図 5-2    「インストール / アンインストールされるコンポーネント」パネル
「インストール / アンインストールされるコンポーネント」パネル

  1. 「次へ」をクリックし、「Sun ONE Directory Server 情報」パネルで、既存の Directory Server の詳細を入力します。

図 5-3    「Sun ONE Directory Server 情報」パネル
「Sun ONE Directory Server 情報」パネル

ホスト: Directory Server がインストールされるコンピュータの完全指定のドメイン名を入力します。

ポート: Directory Server のポート番号を入力します。デフォルトのポート番号は 389 です。

ディレクトリマネージャ: Directory Server へのアクセスを制限されたユーザの DN を入力します。例: cn=Directory Manager など。

パスワード: ディレクトリマネージャのパスワードを入力します。パスワードの指定には 8 文字以上必要です。

これらのフィールドに入力する情報が不正確であると、インストールプログラムによりエラーメッセージが表示されます。入力した値を確認し、訂正してから次の手順に進んでください。

  1. 「次へ」をクリックし、「現在選択されている設定」パネルで選択した設定を表示します。

図 5-4    「現在選択されている設定」パネル


  1. 「次へ」をクリックして、「インストールの準備完了」パネルを開きます。

  2. 「今すぐインストール」をクリックして、Directory Server を設定します。


コマンド行からの設定

  1. バイナリファイルを解凍したディレクトリに移動して、プロンプトから次のコマンドを入力し Enter を押します。

    # ./setup -nodisplay

    Windows の場合は、次のコマンドを使用します。

    java am -nodisplay

  2. 画面に表示される手順を確認します。インストーラが示すさまざまなプロンプトに対する応答方法の説明が表示されます。手順を確認したら、Enter を押してソフトウェアライセンス契約を確認します。インストールのどの段階でも、< を入力して前のプロンプトに戻ることができます。また、! を入力してインストールプログラムを終了することができます。

  3. ライセンス契約を確認し、yes と入力してライセンス契約に同意します。

  4. 次のプロンプトで、ldif ファイルおよびユーティリティなどの設定ファイルをインストールするディレクトリを指定します。


    Sun ONE Identity Server コンポーネントは、次のディレクトリにインストール されます。そのディレクトリは、"インストールディレクトリ" と呼ばれます。この ディレクトリを使用するには、Enter キーだけを押します。別のディレクトリを使用 するには、そのディレクトリの完全パスを入力した後に Enter キーを押します。Sun ONE Identity Server コンポーネントをインストールするディレクトリ [/opt] {"<"戻る, "!" 終了}:

  5. 次のプロンプトで、3 を入力して既存の Directory Server を設定します。


    インストールするコンポーネントを次の中から選択してください。インストールする コンポーネントの番号を入力し、ENTER キーを押してください

    1. Sun ONE Identity Server 管理サービスとポリシーサービス
    2. Sun ONE Identity Server 管理コンソールのみ
    3. 既存の Directory Server を設定
    4. Sun ONE Identity Server ドメイン間シングルサインオンコンポーネント
    5. 連合管理用の共通ドメインサービス

       コンポーネントを選択し ENTER キーを押します [1] {"<" 戻る, "!" 終了}

  6. 次のプロンプトで、設定する Directory Server に関する情報を入力します。


    Sun ONE Directory Server 情報
    ホスト [nila.Siroe.COM] {"<" 戻る, "!" 終了}:
    ポート [389] {"<" 戻る, "!" 終了}:
    ディレクトリマネージャ [cn=Directory Manager] {"<" 戻る, "!" 終了}:
    パスワード:

  7. 次のプロンプトで、1 を入力して設定を開始します。


    次のコンポーネントがインストールされます:
    プロダクト: Sun ONE Identity Server
    場所: /opt
    サイズ: 0 bytes
    --------------------------------
    既存の Directory Server を設定
    リソースパッケージ
    インストールの準備完了
    1. 今すぐインストール
    2. 開始
    3. 終了
    上のオプションを 1 つ選択してください [1] {"<" 戻る, "!" 終了}

    セットアッププログラムにより、Directory Server が設定されます。

  8. プロンプトで、Enter を押してインストールプログラムを終了します。



既存の Directory Server を使用する Identity Server のインストール

Identity Server と連携するように設定された既存の Directory Server を使用している場合は、次の手順に従って Identity Server 6.0 をインストールする必要があります。


始める前に

最初に、次の事項を確認してください。

  • Identity Server をインストールするマシンに、ルート (Windows 2000 の場合は管理者として) でログインします。このマシンをホストマシンと呼びます。

  • ホストマシンのドメイン名の設定が必要です。ドメイン名が設定されていない場合は、「ホストコンピュータのドメイン名の設定」の手順に従ってください。


ホストコンピュータのドメイン名の設定

Identity Server をインストールする前に、Identity Server をインストールするマシンにドメイン名が設定されていることを確認します。実行手順の詳細については、「ドメイン名の設定」を参照してください。


GUI を使用したインストール

  1. 製品 CD から Identity Server をインストールする場合は、ソフトウェアをインストールするシステムのドライブに製品 CD を挿入します。

    製品をダウンロードした場合は、次のコマンドを使って製品バイナリファイルを解凍します。

    gunzip -dc binaryfile.tar.gz | tar -xvof -

    この場合、binaryfile は製品バイナリファイルの名前です。

  2. 別の端末ウィンドウを開き、xhost + と入力してマシンのアクセス制御を無効にします。

  3. アプリケーションウィンドウで、次のコマンドのどちらかを使用して DISPLAY 変数を設定します。

    csh または tcsh を使用している場合、次のように入力します。

    setenv DISPLAY host.domain.COM:0.0

    sh、ksh、または bash を使用している場合、次のように入力します。

    export DISPLAY=host.domain.COM:0.0

    この場合、nila はインストールプログラムを実行しているマシンです。

  4. setup プログラムを実行します。

  5. コマンド行から ./setup と入力します。インストールプログラムが起動し、開始パネルが開きます。

図 5-5    開始パネル


  1. 「次へ」をクリックして、ソフトウェアライセンス契約に同意します。

  2. 「インストールディレクトリ」パネルで、Directory Server をインストールするディレクトリを指定します。このディレクトリに対する書き込み権限と実行権限が必要なことに注意してください。

    このディレクトリに Sun ONE Identity Server をインストールします: Identity Server サービスをインストールするディレクトリのパスを入力します。

    Identity Server サービスと Directory Server を別々のディレクトリにインストールするようにします。Identity Server サービスと Directory Server を別々のコンピュータシステムにインストールするのが理想的です。



  3. 「次へ」をクリックし、「インストール / アンインストールされるコンポーネント」パネルで、「Sun ONE Identity Server 管理サービスとポリシーサービス」を選択します。

    インストールプログラムは、これらのサービスと一緒に Sun ONE Web Server、Sun ONE Directory Server、Sun ONE Identity Server コンソール、共通ドメインサービス、Identity Server 管理およびポリシーサービス、および JDK もインストールします。

図 5-6    「インストール / アンインストールされるコンポーネント」パネル


これらのサービスのコンポーネントの詳細については、第 1 章「Identity Server ソリューション」の節と「Sun ONE Identity Server の紹介」を参照してください。

  1. 「次へ」をクリックし、「Java の設定」パネルで次の情報を入力します。

    カスタム JDK を使用しますか: Web Server で Java をサポートするには、Java SDK バージョン 1.3.1_06 が必要です。この Java SDK は Identity Server 6.0 に付属しています。Identity Server に付属の Java SDK をインストールする場合は、「いいえ」を選択します。ただし、既存の JDK (バージョン 1.3.1_06) を使用する場合は、「はい」を選択し、そのファイルの場所への絶対パスを入力します。

図 5-7    「Java 設定」パネル


  1. 「次へ」をクリックし、「Sun ONE Web Server 情報」パネルで、Identity Server サービスを実行する Web Server に関する次の情報を入力します。

図 5-8    「Sun ONE Web Server 情報」パネル


管理者: Web Server にアクセスし、Web Server を管理する管理者としてのユーザ名を入力します。

ポート: ポート番号を入力します。通常、デフォルトは 58888 です。

パスワード: 管理者のパスワードを入力します。パスワードの指定には 8 文字以上必要です。

パスワードの確認: 管理者パスワードを確認するために、もう一度入力します。

サーバを実行するユーザ: Web Server を実行するユーザアカウントを入力します。例: nobody など。

サーバを実行するグループ: 上述したユーザが属するグループを入力します。
例: nobody など。

  1. 「次へ」をクリックし、「Sun ONE Identity Server サービスを実行する Web Server」パネルで次の情報を入力します。

    ホスト: Identity Server コンポーネントと専用 Web Server の両方をインストールするコンピュータの完全指定のホスト名を入力します。コンピュータのドメイン名が設定され、フィールドに正しく入力されていることを確認します。ドメイン名の設定方法に関する手順については、「ホストコンピュータのドメイン名の設定」の節を参照してください。

    ポート: Identity Server サービスを実行する Web Server のポート番号を入力します。デフォルトのポート番号は 58080 です。

    サービス配備 URI: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、サービスに関連付けられた HTML ページや Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。

    デフォルトの URI 接頭辞は amserver です。別の名前を入力することもできます。

    共通ドメイン配備 URI: Web Server の共通ドメインサービスにアクセスする URIです。デフォルトの URI は common です。必要に応じて変更可能です。

    サービスと一緒にコンソールを配備: デフォルトでは、このチェックボックスをオンにすると、Identity Server サービスによりコンソールがインストールされます。ただし、既存のコンソールを使用しているため、ここでコンソールを配備する必要がない場合は、チェックボックスをオフにして選択を取り消します。この場合、インストールプログラムにより、既存のコンソールに関する追加情報を要求する別のパネルが表示されます。詳細は、次の手順を参照してください。

    コンソール配備 URI: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Identity Server コンソールに関連付けられた HTML ページや、その他の Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。デフォルトの URI 接頭辞は amconsole です。別の名前を入力することもできます。「サービスと一緒にコンソールを配備」チェックボックスをオフにした場合、このフィールドは使用できません。

  2. 前のパネルで、このサービスでコンソールを配備しないように選択した場合は、「Sun ONE Identity Server Console を実行する Web Server」パネルで、既存のコンソールに関する次の情報を入力する必要があります。

図 5-9    「Sun ONE Identity Server Console を実行する Web Server」パネル


ホスト: Identity Server コンソールがインストールされるコンピュータの完全指定のドメイン名を入力します。

ポート: Identity Server サービスを実行する Web Server のポート番号を入力します。デフォルトのポート番号は 58080 です。

コンソール配備 URI: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Identity Server コンソールに関連付けられた HTML ページや、その他の Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。デフォルトの URI 接頭辞は amconsole です。別の名前を入力することもできます。

  1. 「次へ」をクリックし、「ディレクトリスキーマ」パネルで、次のオプションのどちらか 1 つを選択します。

    既存の DIT なしで既存の Sun ONE Directory Server を使用: Sun ONE Directory Server 5.1 の既存のインスタンスを使用している場合は、このオプションをクリックします。

    既存の DIT とともに既存の Sun ONE Directory Server を使用: Sun ONE Directory Server 5.1 の既存のインスタンスと既存の DIT を使用している場合は、このオプションをクリックします。

図 5-10    「ディレクトリスキーマ」パネル


  1. 「次へ」をクリックし、「ディレクトリのルートの接尾辞」パネルで次の情報を入力します。

    ディレクトリツリー内の Sun ONE Identity Server ルート: ルート接尾辞として設定する識別名 (DN) を入力します。識別名 (DN) には、最低 1 個の type=value ペアが必要です。たとえば、o=isp,o=madisonparc,dc=siroe,dc=COM のようになります。

  2. 「次へ」をクリックし、「Sun ONE Directory Server 情報」パネルで次の情報を入力します。

図 5-11    「Sun ONE Directory Server 情報」パネル


ホスト: Directory Server がインストールされるコンピュータの完全指定のドメイン名を入力します。

ポート: Directory Server のポート番号を入力します。デフォルトのポート番号は 389 です。

ディレクトリマネージャ: Directory Server へのアクセスを制限されたユーザの DN を入力します。例: cn=Directory Manager など。

パスワード: ディレクトリマネージャのパスワードを入力します。パスワードの指定には 8 文字以上必要です。

これらのフィールドに入力する情報が不正確であると、インストールプログラムによりエラーメッセージが表示されます。入力した値を確認し、訂正してから次の手順に進んでください。

  1. 「次へ」をクリックします。インストールプログラムにより、次のメッセージが表示されます。

    この Directory Server には 6.0 準拠の DIT がありません。インストーラで DIT を Directory Server 内にロードしますか?: 「はい」をクリックすると、Directory Server に 6.0 準拠 DIT およびスキーマ (ldifxml) ファイルが自動的にロードされます。「いいえ」をクリックした場合は、インストール後に手動でファイルをロードできます。

  2. 「既存の DIT およびスキーマ情報」パネルで、次の情報を入力します。

図 5-12    「既存の DIT およびスキーマ情報」パネル


組織のマーカオブジェクトクラス: 既存の DIT の組織用に定義されたオブジェクトクラスを入力します。

組織のネーミング属性: 既存の DIT の組織を定義するために使用するネーミング属性を入力します。DIT が o=organization を使用している場合は、フィールドに表示されるデフォルトの値を使用することができます。

ユーザのマーカオブジェクトクラス: DIT のユーザ用に定義されたオブジェクトクラスを入力します。

ユーザのネーミング属性: 既存の DIT のユーザを定義するために使用するネーミング属性を入力します。DIT が uid を使用していない場合は、フィールドに表示されるデフォルト値を上書きできます。

  1. 「次へ」をクリックし、「Sun ONE Identity Server 内部 LDAP 認証ユーザ情報」パネルで、次の情報を入力して amldap ユーザを作成します。

図 5-13    「Sun ONE Identity Server 内部 LDAP 認証ユーザ情報」パネル


ユーザ名: これは、LDAP、メンバーシップ、およびポリシーサービスのバインド DN ユーザです。ユーザ名は、amldapuser としてハードコードされ変更できません。このユーザは、読み取り権を持ち、Directory Server エントリを検索できます。

パスワード: amldap ユーザのパスワードを入力します。このパスワードは一意のもので、次のパネルで入力する最上位管理者のパスワードとは異なっている必要があります。このパスワードは、Identity Server とエージェント間の共有シークレットになります。

パスワードの確認: 確認のためにもう一度パスワードを入力します。

  1. 「次へ」をクリックし、「Sun ONE Identity Server の最上位管理者」パネルで次の情報を入力します。

図 5-14    「Sun ONE Identity Server の最上位管理者」パネル


ユーザ名: スーパー管理者のユーザ名は amAdmin です。最上位管理者には、Identity Server が管理するすべてのエントリに対して無制限のアクセス権があります。ユーザ名は、amAdmin としてハードコードされています。これにより、Identity Server 管理者ロールとその権限が作成され、適切に Directory Server に割り当てられるので、インストール直後に Identity Server にログインできます。これは管理者ロールなので、インストール後にほかのユーザをこのロールに追加できます。

パスワード: amAdmin ユーザのパスワードを入力します。パスワードの指定には 8 文字以上必要です。

パスワードの確認: 確認のため、amAdmin パスワードを再度入力します。

インストール後にサーバを起動: インストール後に Identity Server を自動的に起動する場合は、このオプションをクリックします。このオプションを選択しない場合は、インストール後に手動でサーバを起動できます。この実行手順については、「Identity Server の起動」を参照してください。

  1. 「次へ」をクリックし、「現在選択されている設定」パネルで、これまでのパネルで選択した項目を確認します。任意のパネルを再表示するには、「戻る」をクリックして必要なパネルに移動します。

  2. 「次へ」をクリックし、「インストールの準備完了」パネルで、Identity Server を使用してインストールしたコンポーネントを表示します。

  3. 「今すぐインストール」をクリックしてインストールを開始します。インストールの終了時に、「インストールの要約」パネルで、製品が正常にインストールされたかどうかが表示されます。このパネルで、「取消し」ボタンをクリックして、製品がインストールされた場所を確認します。詳細を確認したら、「インストールの要約」パネルで「閉じる」をクリックして、インストールプログラムを終了します。


コマンド行からのインストール

  1. 製品 CD から Identity Server をインストールする場合は、ソフトウェアをインストールするシステムのドライブに製品 CD を挿入します。

    製品をダウンロードした場合は、次のコマンドを使って製品バイナリファイルを解凍します。

    gunzip -dc binaryfile.tar.gz | tar -xvof -

  2. setup プログラムを実行します。このプログラムは、製品 CD の /cdrom/Identity Server_60 ディレクトリにあります。製品バイナリをダウンロードした場合、このプログラムはバイナリファイルを展開したディレクトリにあります。

    コマンド行から ./setup -nodisplay と入力します。

    Windows の場合は、次のコマンドを使用します。

    java am -nodisplay

  3. 画面に表示される手順を確認します。インストーラが示すさまざまなプロンプトに対する応答方法の説明が表示されます。手順を確認したら、Enter を押してソフトウェアライセンス契約を確認します。インストールのどの段階でも、< を入力して前のプロンプトに戻ることができます。また、! を入力してインストールプログラムを終了することができます。

  4. ライセンス契約を確認し、yes と入力してライセンス契約に同意します。

  5. 次のプロンプトで、1 を入力し Enter を押して、「Sun ONE Identity Server 管理サービスとポリシーサービス」を選択します。


    インストールするコンポーネントを次の中から選択してください。インストールす るコンポーネントの番号を入力し、ENTER キーを押してください
    1. Sun ONE Identity Server 管理サービスとポリシーサービス
    2. Sun ONE Identity Server 管理コンソールのみ
    3. Sun ONE Identity Server ドメイン間シングルサインオン
    4. 連合管理用の共通ドメインサービス
    コンポーネントを選択し ENTER キーを押します [1] {"<" 戻る, "!" 終了}

  6. 次のプロンプトで、使用する Java SDK を指定します。Identity Server がサポートする Java には、JDK バージョン 1.3.1_06 が必要です。


    Java 設定
    Sun ONE Identity Server が使用する JDK について次の情報を提供してくだ さい。
    カスタム JDK を使用しますか:
    すでにマシンに JDK がインストールされていて、JDK のバージョンが 1.3.1_06 の場合は、yes を選択してください
    JDK がまだインストールされていない場合、または JDK のバージョンが 1.3.1_06 でない場合は、no を選択してください
    JDK パス:
    既存の JDK の完全なパスを入力してください。
    カスタム JDK を使用しますか [n] {"<" 戻る, "!" 終了}

  7. このインストールプログラムに付属する JDK 1.3.1_06 を使用する場合は、Enter を押します。ただし、既存の JDK (バージョン 1.3.1_06) を使用することもできます。この場合は、y を入力し、その JDK へのパスを入力します。

  8. 次のプロンプトの情報を入力して Sun ONE Web Server をインストールし、設定します。


    Sun ONE Web Server 情報
    管理者 [admin] {"<" 戻る, "!" 終了}:
    ポート [58888] {"<" 戻る, "!" 終了}:
    パスワード:
    パスワードの確認:
    サーバを実行するユーザ [nobody] {"<" 戻る, "!" 終了}:
    サーバを実行するグループ [nobody] {"<" 戻る, "!" 終了}:

    管理者 [admin]: Sun ONE Web Server のサーバ管理者としてのユーザ名を入力します。Enter を押して、デフォルトのユーザ ID (admin) を選択します。

    ポート [58888]: Identity Server サービスを実行する Web Server のポート番号を入力します。デフォルトのポート番号は 58088 です。デフォルトのポート番号を選択する場合は Enter を押します。

    パスワード: Web Server 管理者のパスワードを入力します。パスワードの指定には 8 文字以上必要です。

    パスワードの確認: 確認のためにもう一度パスワードを入力します。

    サーバを実行するユーザ [nobody]: Web Server を実行するユーザアカウントを入力します。Enter を押して、デフォルトユーザ nobody を選択します。Windows 2000 にインストールする場合、このプロンプトは表示されません。

    サーバを実行するグループ [nobody]: 上述したユーザが属するグループを入力します。例: nobody など。Windows 2000 にインストールする場合、このプロンプトは表示されません。

  9. 次の情報を指定して、Sun ONE Identity Server サービスを実行する Web Server をインストールし、設定します。


    Sun ONE Identity Server サービスを実行する Web Server
    ホスト [nila.Siroe.COM] {"<" 戻る, "!" 終了}:
    ポート [58080] {"<" 戻る, "!" 終了}:
    サービス配備 URI [amserver] {"<" 戻る, "!" 終了}:
    共通ドメイン配備 URI [common] {"<" 戻る, "!" 終了}:
    サービスと一緒にコンソールをインストールする [yes] {"<" 戻る, "!" 終了}
    コンソール配備 URI [amconsole] {"<" 戻る, "!" 終了}:

    ホスト [nila.Siroe.COM]: Web Server を実行するコンピュータの完全指定のドメイン名を入力します。デフォルトの名前を使用するには、Enter を押します。

    ポート [58080]: Web Server が使用するポート番号を入力します。

    サービス配備 URI [/amserver]: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、サービスに関連付けられた HTML ページや Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。

    デフォルトの URI 接頭辞は amserver です。Enter を押してデフォルトの接頭辞を受け入れるか、あるいは別の名前を入力できます。

    共通ドメイン配備 URI: Web Server の共通ドメインサービスにアクセスする URIです。デフォルトの URI は common です。必要に応じて変更可能です。

    サービスと一緒にコンソールをインストールする [yes]: サービスとともにコンソールを配備する場合は、Enter を押します。既存の Identity Server コンソールを使用している場合は、「いいえ」を入力します。この場合、次のプロンプトで Identity Server コンソールに関する情報を入力する必要があります。

    コンソール配備 URI [amconsole]: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Identity Server 管理コンソールに関連付けられた HTML ページや、その他の Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。デフォルトの URI 接頭辞は amconsole です。別の名前を入力することもできます。Identity Server コンソールを配備しないよう選択した場合、このフィールドは使用できません。

  10. 前のプロンプトで、Identity Server コンソールを配備しないよう選択した場合は、次のプロンプトで既存の Identity Server コンソールの詳細を指定する必要があります。


    Sun ONE Identity Server Console を実行する Web Server
       ホスト [nila.Siroe.COM] {"<" 戻る, "!" 終了}:
       ポート [58080] {"<" 戻る, "!" 終了}:
       コンソール配備 URI [amconsole] {"<" 戻る, "!" 終了}:

    コンソール配備 URI [amconsole]: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Identity Server 管理コンソールに関連付けられた HTML ページや、その他の Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。デフォルトの URI 接頭辞は amconsole です。別の名前を入力することもできます。

  11. 次のプロンプトで、インストールプログラムに付属する Sun ONE Directory Server 5.1 をインストールするか、または Identity Server が既存のバージョンの Directory Server を使用するかを指定します。


    ディレクトリスキーマ
    1. 新規 Sun ONE Directory Server をインストール
    2. 既存の DIT なしで既存の Sun ONE Directory Server を使用
    3. 既存の DIT とともに既存の Sun ONE Directory Server を使用
    上のオプションの 1 つを選択してください[1] {"<" 戻る, "!" 終了}

  12. DIT を使用しない既存のサーバを使用する場合、2 を入力します。DIT を使用する既存の Directory Server を選択するには、3 を入力します。

  13. 次のプロンプトで、情報を入力して DIT 設定します。


    ディレクトリのルートの接尾辞
    ディレクトリツリー内の Sun ONE Identity Server ルート [dc=Siroe,dc=COM] {"<" 戻る, "!" 終了}:

    ディレクトリツリー内の Sun ONE Identity Server ルート [dc=Siroe,dc=COM]: ルート接尾辞として設定する識別名 (DN) を入力します。識別名 (DN) には、最低 1 個の type=value ペアが必要です。たとえば、o=isp;o=madisonparc;dc=Siroe,dc=COM のようになります。

  14. 次のプロンプトで、Sun ONE Directory Server の情報を入力します。


    Sun ONE Directory Server 情報
    ホスト [nila.Siroe.COM] {"<" 戻る, "!" 終了}:
    ポート [389] {"<" 戻る, "!" 終了}:
    ディレクトリマネージャ [cn=Directory Manager] {"<" 戻る, "!" 終了}:
    パスワード:

    ホスト [nila.Siroe.COM]: Directory Server をインストールしたコンピュータの完全指定のドメイン名を入力します。通常、Directory Server は Identity Server とは異なるホストにインストールされます。

    ポート [389]: Directory Server が使用しているポート番号です。

    ディレクトリマネージャ [cn=Directory Manager]: Directory Server 管理ユーザ、つまりディレクトリマネージャは、Directory Server のデータおよび設定に対して無制限のアクセス権を持つ管理者です。ディレクトリマネージャのデフォルト DN は、cn=Directory Manager です。

    パスワード: Directory Server 管理者のパスワードを入力します。パスワードの指定には 8 文字以上必要です。

  15. 次のプロンプトで、Identity Server 6.0 に準拠する DIT をインストールするかどうかを指定します。


    この Directory Server には 6.0 準拠の DIT がありません。インストーラ で DIT を Directory Server 内にロードしますか?
    1. はい
    2. いいえ
       該当する番号を入力してください  [1] {"<" 戻る, "!" 終了}

    この Directory Server には 6.0 準拠の DIT がありません。インストーラで、Directory Server に DIT をロードしますか ?: 「はい」を選択すると、Directory Server に 6.0 準拠 DIT およびスキーマ (ldifxml) ファイルが自動的にロードされます。「いいえ」を選択すると、インストール後に手動でファイルをロードすることができます。

  16. 次のプロンプトで、既存の DIT およびスキーマの情報を入力します。


    既存の DIT およびスキーマ情報
    組織のマーカオブジェクトクラス [organization] {"<" 戻る, "!" 終了}:
    組織のネーミング属性 [o] {"<" 戻る, "!" 終了}:
    ユーザのマーカオブジェクトクラス [inetorgperson] {"<" 戻る, "!" 終了}:
    ユーザのネーミング属性 [uid] {"<" 戻る, "!" 終了}:

    組織のマーカオブジェクトクラス: 既存の DIT の組織用に定義されたオブジェクトクラスを入力します。

    組織のネーミング属性: 既存の DIT の組織を定義するために使用するネーミング属性を入力します。DIT が o=organization を使用している場合は、フィールドに表示されるデフォルトの値を使用することができます。

    ユーザのマーカオブジェクトクラス: DIT のユーザ用に定義されたオブジェクトクラスを入力します。

    ユーザのネーミング属性: 既存の DIT のユーザを定義するために使用するネーミング属性を入力します。DIT が uid を使用していない場合は、フィールドに表示されるデフォルト値を上書きできます。

  17. 次のプロンプトで、Sun ONE Identity Server 内部 LDAP 認証ユーザのインストールおよび設定に関する情報を入力します。


    Sun ONE Identity Server 内部 LDAP 認証ユーザ情報
    ユーザ名: amldapuser
    パスワード:
    パスワードの確認:

    ユーザ名: これは、LDAP、メンバーシップ、およびポリシーサービスのバインド DN ユーザです。ユーザ名は、amldapuser としてハードコードされ変更できません。このユーザは、読み取り権を持ち、Directory Server エントリを検索できます。

    パスワード: amldap ユーザのパスワードを入力します。このパスワードは一意のもので、次のパネルで入力する最上位管理者のパスワードとは異なっている必要があります。このパスワードは、Identity Server とエージェント間の共有シークレットになります。

    パスワードの確認: 確認のためにもう一度パスワードを入力します。

  18. 次のプロンプトで、Sun ONE Identity Server 最上位管理者に関する詳細情報を入力します。


    Sun ONE Identity Server の最上位管理者情報
    ユーザ名:amAdmin
       パスワード:
       パスワードの確認:
       インストール後にサーバを起動 [yes] {"<" 戻る, "!" 終了}:

    ユーザ名: スーパー管理者のユーザ名は amAdmin です。最上位管理者には、Identity Server が管理するすべてのエントリに対して無制限のアクセス権があります。ユーザ名は、amAdmin としてハードコードされています。これにより、Identity Server 管理者ロールとその権限が作成され、適切に Directory Server に割り当てられるので、インストール直後に Identity Server にログインできます。これは管理者ロールなので、インストール後にほかのユーザをこのロールに追加できます。

    パスワード: amAdmin ユーザのパスワードを入力します。パスワードの指定には 8 文字以上必要です。

    パスワードの確認: 確認のため、amAdmin パスワードを再度入力します。

    インストール後にサーバを起動: インストール後 Identity Server サーバを自動的に起動するには、Enter を押します。あるいは、no を入力し、後でサーバを手動で起動することができます。手順については、「Identity Server の起動」を参照してください。

    インストールプログラムは、これまでのプロンプトで選択した設定を表示し、次に Identity Server でインストールするコンポーネントの一覧を表示します。


    現在選択されている設定
    Sun ONE Identity Server コンソール: http://nila.Siroe.COM:58080
    コンソール配備 URI:/amconsole
    Sun ONE Identity Server サービス: http://nila.Siroe.COM:58080
    サービス配備 URI:/amserver
    共通ドメイン配備 URI:/common
    Sun ONE Identity Server インストールディレクトリ: /is6install/dsame-20020925.2/opt
    管理者: admin
    ポート: 58888
    ディレクトリサーバ: nila.Siroe.COM:389
    ディレクトリマネージャ:cn=Directory Manager
    既存の DIT を使用 :  true
    組織のネーミング属性:o
    組織のマーカオブジェクトクラス:organization
    ユーザのネーミング属性:uid
    ユーザのマーカオブジェクトクラス:inetorgperson
    Sun ONE Identity Server ルート : dc=siroe,dc=COM

  19. 次のプロンプトで、1 を入力してインストールを開始します。


    次のコンポーネントがインストールされます:
    プロダクト: Sun ONE Identity Server
    場所: /opt
    サイズ:139.22MB
    --------------------------------
    JDK
    Sun ONE Web Server
    その他のパッケージ
    Sun ONE Identity Server 管理サービスとポリシーサービス
    Sun ONE Identity Server 管理コンソール
    共通ドメインサービス
    インストールの準備完了
    1. 今すぐインストール
    2. 開始
    3. 終了
       上のオプションを 1 つ選択してください [1] {"<" 戻る, "!" 終了}

  20. コピーしたファイルなどインストールの詳細を表示するには、次のプロンプトで 1 を入力します。


    インストール中 Sun ONE Identity Server
    |-1%--------------25%-----------------50%-----------------75%--- -----------100%|

    インストールの要約
    インストールの要約     要約の結果  詳細
    1.  Sun ONE Identity Server インストールされました       ログを表示する には 1、終了するには 2 を入力してください。
    終了
    オプションを 1 つ選択してください [2] {"!" 終了}

  21. 2 を入力してインストールプログラムを終了します。



カスタムのオブジェクトクラスの Identity Server スキーマへの追加 (オプション)

ユーザが作成した、Directory Server に付属していないオブジェクトクラスが既存の DIT にある場合は、それらのオブジェクトクラスおよび属性を Identity Server スキーマに追加する必要があります。基本情報については、『Programmer's Guide』の「Identity Server XMLs and DTDs」を参照してください。

DIT でカスタムのオブジェクトクラスを使わない場合は、この手順は不要です。「Identity Server LDIF のディレクトリへの読み込み」に進んでください。

この節の例では、Madison Park という会社が Identity Server スキーマに付属していない 2 つのオブジェクトクラスを使用します。AUXILIARY オブジェクトクラス madisonparc-org はすべての組織エントリに存在し、AUXILIARY オブジェクトクラス madisonparc-user はすべてのユーザエントリに存在します。



コード例 5-1    madisonparc のカスタマイズされたスキーマ
dn:cn=schema
attributeTypes:( madisonparc-org-description-oid NAME
'madisonparc-org-description' DESC 'org description'
SYNTAX 1.3.6.1.1466.115.121.1.15
SINGLE-VALUE X-ORIGIN 'madisonparc'
attributeTypes:( madisonparc-org-city-oid NAME
'madisonparc-org-city' DESC 'org city location'
SYNTAX 1.3.6.1.4.1.1666.115.121.1.15
SINGLE-VALUE X-ORIGIN 'madisonparc' )
attributeTypes:( madisonparc-user-id-oid NAME
'madisonparc-user-id' DESC 'user madisonparc id'
SYNTAX 1.3.6.1.4.1.1666.115.121.1.15
SINGLE-VALUE X-ORIGIN 'madisonparc' )
attributeTypes:( madisonparc-user-building-oid NAME
'madisonparc-user-building' DESC 'priority of a service
with respect to its siblings'
SYNTAX 1.3.6.1.4.1.1666.115.121.1.15
SINGLE-VALUE X-ORIGIN 'madisonparc' )
objectClasses:( madisonparc-org-oid NAME
'madisonparc-org' DESC 'custom attributes
for madisonparc org' SUP top MUST
(madisonparc-org-description $ madisonparc-org-city )
X-ORIGIN 'madisonparc' )
objectClasses:( madisonparc-user-oid NAME
'madisonparc-user' DESC 'custom attributes
for madisonparc user' SUP top MUST
( madisonparc-user-id $ madisonparc-user-building )
X-ORIGIN 'madisonparc' )

これらの拡張を管理するには、次の 3 つのファイルを変更する必要があります。

  • amEntrySpecific.xml (組織データ用)

  • amUser.xml (ユーザデータ用)

  • ums.xml


組織スキーマへの属性の追加

組織スキーマに属性を追加するには、2 つのサービスファイルを変更する必要があります。

  • amEntrySpecific.xml

  • amEntrySpecific.properties

Identity Server コンソールは、表示のために amEntrySpecific.xml 内の情報を使用します。各 Identity Server 抽象エントリは、この XML ファイル内にサブスキーマを持つことがあります。次の例では、2 つの属性を madisonparc-org オブジェクトクラスから組織サブスキーマに追加します。カスタマイズされた組織単位、グループ、またはピープルコンテナが DIT に含まれる場合は、同じ XML ファイルのそれらのサブスキーマを追加または変更します。

組織単位のサブスキーマ名は OrganizationalUnit です。ピープルコンテナのサブスキーマ名は PeopleContainer です。

.


User サブスキーマは、amEntrySpecific.xml ファイルではなく、amuser.xml ファイル (「ユーザスキーマへの属性の追加」を参照) で設定されます。どのサービス XML ファイルでもユーザ専用の属性を記述できますが、amentryspecific.xml ファイルは、特定のサービスに結び付けられていないユーザ属性のデフォルトの可変部分として機能します。




属性をカスタムの組織から Organization サブスキーマに追加するには



XML では、属性名はすべて小文字にする必要があります。Identity Server では、属性名を Directory Server から取得するときに、すべての名前を小文字に変換します。



  1. 次のファイルで、属性をカスタムのオブジェクトクラスからサブスキーマ Organization に追加します。

    IS_root/SUNWam/config/xml/amEntrySpecific.xml

    Windows の場合、このファイルへのパスは次のとおりです。

    IS_root¥config¥xml¥amEntrySpecific.xml

    たとえば、次の 2 つの属性がカスタムのオブジェクトクラス madisonparc-org からファイルに追加されています。


    <AttributeSchema name="madisonparc-org-description"
        type="single"
        syntax="string"
        any="required"
    />
    <AttributeSchema name="madisonparc-org-city"
        type="single"
        syntax="string"
        any="required|filter"
    />

  2. また、amEntrySpecific.xml ファイルで、各属性に対して国際化 (i18n) キー (インデックスキーまたは地域対応化キーとも呼ばれる) を作成します。組織内のすべての i18n キーは、一意の文字列で構成する必要があります。Identity Server 管理コンソールでは、このキーを使って属性の表示名を検索します。


    <AttributeSchema name="madisonparc-org-description"
        type="single"
        syntax="string"
        any="required"
        i18nKey="o3"
    />
    <AttributeSchema name="madisonparc-org-city"
        type="single"
        syntax="string"
        any="required|filter"
        i18nKey="o4"
    />

  3. 次のファイルでは、手順 2 で作成した i18n キーの値を追加します。

    IS_root/SUNWam/locale/amEntrySpecific.properties

    Windows の場合、このファイルの場所は次のとおりです。

    IS_root¥locale¥amEntrySpecific.properties


    iplanet-am-entry-specific-service-description=Identity Server Entry Specific
    g1=Member List
    g2=Users Can Subscribe to this Group
    dg1=Membership Filter
    r1=Membership Filter
    o1=Full DNS name
    o2=Organization Status
    o3=Org Description
    o4=Organization Location

組織が表示されるときに、サブスキーマに含まれているすべての属性が管理コンソールに表示されます。サブスキーマに含まれていない属性は管理コンソールに表示されません。



ヒント

属性に i18n キーがない場合、その属性は管理コンソールに表示されません。属性を追加してもその属性が管理コンソールに表示されない場合は、i18n キーおよびプロパティを確認してください。




any 属性

XML 記述内の any 属性は、filterdisplayadminDisplayuserReadOnlyrequired optional の 5 つの値のいずれかをとることができます。これらの値は、この属性を GUI に表示する必要があるかどうかを管理コンソールに指示します。通常、requiredoptional の両方が同時に表示されることはありません。この 2 つは相互に排他的です。

filter: この属性は、「検索」ページに表示されます。

display: この属性は、管理者と一般ユーザに対して読み取りと書き込みを許可します。

adminDisplay: この属性は、管理者の読み取り / 書き込み用であり、通常のユーザ用には表示されません。

userReadOnly: この属性は、管理者の読み取り / 書き込み用ですが、通常のユーザには読み取り専用です。この属性は、編集できないように、通常のユーザにはラベルとして表示されます。たとえば、displayadminDisplayuserReadOnly の設定は、ユーザプロファイルページを表示するときに使用され、ページをカスタマイズするために使用できます。

required: この属性は作成ページに表示されます。エントリの作成時に値を必要とします。any=required の場合、この属性には値が必要です。値がないと、コンソールが作成処理を許可しません。空白文字列 (" ") を使って、何も表示しないよう管理コンソールに指示できます。

optional: この属性は作成ページに表示されますが、エントリの作成時に値は不要です。any=optional の場合、属性はアスタリスクなしで「作成」ページに表示されます。これは、エントリを作成するのに値を指定する必要がないことを示します。「Create User (新規ユーザ)」ページでは、UserID (ユーザ ID) は必須属性ですが First Name (名前) はオプションです。

次の例では、両方の属性が「組織」ページに表示され、両方とも作成に必要です。このことは、required 値の使用によって示されています。filter 値の使用が示すように、Identity Server コンソールの「検索」ページでは madisonparc-org-city 属性だけが使用されます。


<AttributeSchema name="madisonparc-org-description"
    type="single"
    syntax="string"
    any="required"
    i18nKey="o3"
/>
<AttributeSchema name="madisonparc-org-city"
    type="single"
    syntax="string"
    any=required|filter
    i18nKey="o4"
/>


type 属性

type 属性には、文字列、文字列リスト、単一選択肢、複数選択肢、またはブール値を使用できます。たとえば、madisonparc-org-city 属性に Concord、San Francisco、または Palo Alto のどれか 1 つの都市だけを有効な値として指定できる場合は、この属性を単一選択肢にすることができ、各都市は選択肢の 1 つになります。Identity Server コンソールには、それらの都市だけを含む一覧が表示されます。複数の都市が許可される場合、属性は複数選択肢になります。


ユーザスキーマへの属性の追加

この手順では、サービス用に次の 2 つのファイルを変更します。

  • amUser.xml

  • amUser.properties

組織およびグループのスキーマが amEntrySpecific.xml に記述されているように、amUser.xml ファイルにはユーザ属性が記述されています (手順 2 を参照)。ファイル amUser.xml には、Identity Server のユーザサービスが記述されています。どのサービスでも、ユーザ専用の属性を記述できます。このファイルは、特定のサービスに結び付けられていない user 属性のためのデフォルトの可変部分です。

ユーザの属性を表示するときは、Identity Server 管理コンソールはサブスキーマタイプが User であるすべてのサービスからすべての属性を取得し、amEntrySpecific.xml ファイルで使われているのと同じ値を使ってそれらの属性を表示します (「any 属性」および「type 属性」を参照)。次の例では、いくつかの属性が madisonparc-user オブジェクトクラスからファイルに追加されるので、新しいサービスを作成する必要はありません。iplanetamuserservice サービスを変更または拡張するだけですみます。


amUser.xml ファイルに関する追加情報

ファイル amUser.xml には、特別な属性が含まれています。any=display 属性は、この属性をユーザプロファイルページに表示するかどうかを Identity Server に指示します。これは、アクセス制御を暗に示すので、誤解を与えやすい名前です。これは表示だけに使用されます。この属性が no に設定されている場合、コンソールにはこの属性は表示されません。

また、属性は、サブスキーマ Dynamic ではなく User の下に定義されます。User の下に定義される属性は、物理的にユーザエントリの属性です。属性をロールベースまたは組織ベースの属性にする場合は、属性を Dynamic サブスキーマの下に定義します。基本情報については、『Programmer's Guide』の「Identity Server XMLs and DTDs」を参照してください。

たとえば、madison-user-building 属性を Dynamic にして、Identity Server でこの属性を使ってロールを作成することができます。このようにすると、ある部門のすべての社員が別の建物に移動した場合、すべての個々のユーザエントリを変更する必要はなく、そのロール属性を変更するだけですみます。


属性をカスタムの組織から User サブスキーマに追加するには

  1. 次のファイルでは、カスタムのオブジェクトクラスから User サブスキーマに属性を追加します。

    IS_root/SUNWam/config/xml/amUser.xml

    Windows の場合、このファイルは次の場所にあります。

    IS_root¥config¥xml¥amUser.xml

  2. たとえば、次の 2 つの属性がカスタムのオブジェクトクラス madisonparc-user からファイルに追加されています。



    <AttributeSchema name="madisonparc-user_id"
        type=single
        syntax=string
        any=required|display
        i18nKey=u13
    />
    <AttributeSchema name="madisonparc-user-building"
        type=single
        syntax=string
        any=required|filter|display
        i18nKey=u14

  3. amUser.xml ファイルで、各属性に対して i18n キー (インデックスキーまたは地域対応化キーとも呼ばれる) を作成します。組織内のすべての i18n キーは、一意の文字列で構成する必要があります。Identity Server コンソールでは、このキーを使って属性の表示名を検索します。上述した例を参照してください。

  4. 前の手順で作成した i18n キーの値を次のファイルに追加します。IS_root/SUNWam/locale/amUser.properties

    Windows の場合、このファイルは次の場所にあります。

    IS_root¥locale¥amUser.properties

    次に例を示します。


    iplanet-am-user-service-description=Identity Server User
    iwtUser-desc=Default User Profile
    u1=User Name
    u2=First Name
    u3=Last Name
    u4=Full Name
    u5=Password
    u6=Email Address
    u7=Employee Number
    u8=Telephone Number
    u9=Manager
    u10=Home Address
    u11=User Status
    u12=User Auth Modules
    u13=User Id
    u14=Employee Building

    この値は、管理コンソールページに表示されるフィールドそのものです。このキーは、ロケールに応じてローカライズされます。この例では、管理コンソールには、テキストフィールド「User Id」と「Employee Building」が表示されます。


作成テンプレートの変更

この手順では、ums.xml ファイルを変更します。

図 5-16 の DIT の例では、ユーザと組織の両方に新しいオブジェクトクラスがあります。UI にそれらの新しいオブジェクトクラスを表示するには、ums.xml ファイル内のユーザと組織の両方の作成テンプレートを変更します。作成テンプレートは、エントリの作成時に特定のオブジェクトクラスを追加または許可するように Identity Server を設定します。


作成テンプレートを変更するには

  1. ファイル IS_root/SUNWam/config/ums/ums.xml で次の変更を行います。

    Windows の場合、このファイルは次の場所にあります。

    IS_root¥config¥ums¥ums.xml

  2. <SubConfiguration name="BasicOrganization" id="CreationUmsObjects"> の下の <AttributeValuePair> <Attribute name="required" /> 要素に、次の行を追加します。

    <Value>objectClass=madisonparc-org</Value>

    次に例を示します。

    <SubConfiguration name="BasicOrganization" id="CreationUmsObjects">

    <AttributeValuePair> <Attribute name="name" />
    <Value>BasicOrganization</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="javaclass" />
    <Value>com.iplanet.ums.Organization</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="required" />
    <Value>objectClass=top</Value>
    <Value>objectClass=organization</Value>
    <Value>objectClass=nsManagedDomain</Value>
    <Value>objectClass=inetDomain</Value>
    <Value>objectClass=iplanet-am-managed-org</Value>
    <Value>objectClass=madisonparc-org</Value>
    <Value>o</Value>
    <Value>inetdomainstatus=Active</Value>
    </AttributeValuePair>

  3. <SubConfiguration name="BasicUser" id="CreationUmsObjects"> の下の <AttributeValuePair><Attribute name="optional" /> 要素に、次の行を追加します。

    <Value>objectClass=madisonparc-user</Value>

    次に例を示します。 (続き)


    <SubConfiguration name="CreationTemplates" >
    <SubConfiguration name="BasicUser" id="CreationUmsObjects">
    <AttributeValuePair> <Attribute name="name" />
    <Value>BasicUser</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="javaclass" />
    <Value>com.iplanet.ums.User</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="required" />
    <Value>objectClass=top</Value>
    <Value>objectClass=person</Value>
    <Value>objectClass=organizationalPerson</Value>
    <Value>objectClass=inetOrgPerson</Value>
    <Value>objectClass=iPlanetPreferences</Value>
    <Value>objectClass=iplanet-am-user-service</Value>
    <Value>objectClass=inetuser</Value>
    <Value>objectClass=iplanet-am-managed-person</Value>
    <Value>objectClass=madisonparc-user</Value>
    <Value>cn=default</Value>
    <Value>sn=default</Value>
    <Value>uid</Value>
    <Value>inetuserstatus=Active</Value>
    </AttributeValuePair>

  4. <SubConfiguration name="BasicOrganization" id="CreationUmsObjects"> の下の <AttributeValuePair> <Attribute name="optional" /> 要素に、次の行を追加します。

    <Value>madisonparc-org-description</Value>

    <Value>madisonparc-org-city</Value>

    次に例を示します。


    <SubConfiguration name="BasicOrganization" id="CreationUmsObjects">
    <AttributeValuePair> <Attribute name="name" />
    <Value>BasicOrganization</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="javaclass" />
    <Value>com.iplanet.ums.Organization</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="required" />
    <Value>objectClass=top</Value>
    <Value>objectClass=organization</Value>
    <Value>objectClass=nsManagedDomain</Value>
    <Value>objectClass=inetDomain</Value>
    <Value>objectClass=iplanet-am-managed-org</Value>
    <Value>objectClass=madisonparc-org</Value>
    <Value>o</Value>
    <Value>inetdomainstatus=Active</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="namingattribute" />
    <Value>o</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="optional" />
    <Value>*</Value>
    <Value>madisonparc-org-description</Value>
    <Value>madisonparc-org-city</Value>
    </AttributeValuePair>

  5. <SubConfiguration name="BasicUser" id="CreationUmsObjects"> の下の <AttributeValuePair> <Attribute name="optional" /> 要素に、次の行を追加します。

    <Value>madisonparc-user-id</Value>

    <Value>madisonparc-user-building</Value>


    <SubConfiguration name="CreationTemplates" >
    <SubConfiguration name="BasicUser" id="CreationUmsObjects">
    <AttributeValuePair> <Attribute name="name" />
    <Value>BasicUser</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="javaclass" />
    <Value>com.iplanet.ums.User</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="required" />
    <Value>objectClass=top</Value>
    <Value>objectClass=person</Value>
    <Value>objectClass=organizationalPerson</Value>
    <Value>objectClass=inetOrgPerson</Value>
    <Value>objectClass=iPlanetPreferences</Value>
    <Value>objectClass=iplanet-am-user-service</Value>
    <Value>objectClass=inetuser</Value>
    <Value>objectClass=iplanet-am-managed-person</Value>
    <Value>objectClass=madisonparc-user</Value>
    <Value>cn=default</Value>
    <Value>sn=default</Value>
    <Value>uid</Value>
    <Value>inetuserstatus=Active</Value>
    </AttributeValuePair>
    <AttributeValuePair> <Attribute name="optional" />
    <Value>nsroledn</Value>
    <Value>madisonparc-user-id</Value>
    <Value>madisonparc-user-building</Value>
    <Value>*</Value>



代替ネーミング属性の設定 (オプション)

o=organization 以外のネーミング属性を使って DIT で組織を定義した場合は、ums.xml ファイルを変更して標準でないネーミング属性に対応させる必要があります。uid=username 以外のネーミング属性を使って DIT でユーザを定義した場合は、ums.xml ファイルで同様の変更を行う必要があります。


組織の代替ネーミング属性を設定するには

次の手順では、組織に使用するネーミング属性が dc であることを前提としています。次のファイルで変更を行ないます。

IS_root/SUNWam/config/ums/ums.xml

Windows の場合、このファイルは次の場所にあります。

IS_root¥config¥ums¥ums.xml

  1. o=orgdc=org に置き換えます。

  2. BasicOrganization セクションで、o の値を dc に置き換えます。

  3. BasicOrganizationSearch SubConfiguration セクションで、o の値を dc に置き換えます。

  4. BasicOrganization セクションで、organization のオブジェクトクラスを domain に変更します。組織に ou を使う場合は、organizationalUnit に変更する必要があります。


ユーザの代替ネーミング属性を設定するには

次の手順では、ユーザに使用するネーミング属性が cn であることを前提としています。

  1. 次のディレクトリで、次のように変更を行います。

    IS_root/SUNWam/config/ums

    IS_root/SUNWam/config/xml

  2. Windows の場合は、次のディレクトリで変更を行います。

    IS_root¥config¥ums

    IS_root¥config¥xml

  3. ファイル ldif/installExisting.ldif で、2 つの例外を除いて、uidcn に置き換えます。例外は次のとおりです。

    • ACI の下で使う場合

    • amAdmin エントリ内の uid: amAdmin 属性

  4. xml/amAuth.xml で、uid をユーザネーミング属性の cn に置き換えます。

  5. xml/amMembership.xml で、uid をユーザネーミング属性の cn に置き換えます。

  6. xml/amAuthLDAP.xml で、uid をユーザネーミング属性の cn に置き換えます。

  7. AMConfig.properties で、uid=amAdmincn=amAdmin に置き換えます。

  8. ums/ums.xmlBasicUser subconfiguration で、uidnamingattributecn に置き換えます。

  9. ums/ums.xmlBasicUser 必須値で、cn=defaultcn に、uiduid=default に変更します。



Identity Server LDIF のディレクトリへの読み込み

installExisting.ldif ファイルには、インストール時に Directory Server に読み込まれる Identity Server 固有のエントリが含まれています。通常、インストール処理時に読み込む前にこのファイルを変更する必要はありません。

Directory Server に付属の ldapmodify ユーティリティを使用して、installExisting.ldif を読み込むことができます。MadisonParc の例では、LDIF の読み込み時に、次のように行われます。

  • Identity Server に必要なユーザおよびマーカーオブジェクトクラスは、o=madisonparc および o=Engineeringo=madisonparc に追加される

  • 組織およびヘルプデスク管理者用のデフォルトのロールが作成される

  • それらの管理者エントリ用のデフォルトアクセス制御命令 (ACI) が設定される


始める前に

  1. 適切なバージョンの ldapmodify を使っていることを確認してください。次の手順に従います。

    • Sun ONE Directory Server 5.1 に付属の ldapmodify コマンドを使うようにパスが設定されていることを確認します。/bin または /usr/bin にある、Solaris に付属のバージョンは使用しないでください。

    • また、Directory Server ライブラリを取り込むために、/usr/iplanet/servers/libLD_LIBRARY_PATH に追加する必要があります。コマンド行に次のように入力します。

      which ldapmodify

      Directory_Server_root/shared/bin/ldapmodify が表示されます。

    Windows の場合、ldapmodify は Identity Server をインストールした次のディレクトリにあります。

    IS_root¥tools

    DOS プロンプトウィンドウを開き、ldapmodify ツールのパスを入力します。たとえば次のようになります。

    set PATH=IS_root¥tools;%PATH%

  2. Identity Server は、必要な変更を加えるのに役立つ 2 つの異なる LDIF ファイルを提供します。使用するファイルと手順を決めます。


installExisting.ldif ファイルを読み込むには

  1. 次のディレクトリに移動します。

    cd IS_root/SUNWam/web-apps/services/WEB-INF/config/ldif

    Windows の場合は、次のディレクトリに移動します。

    cd IS_root¥web-apps¥services¥WEB-INF¥config¥ldif

  2. コマンド行に次のコマンドを入力します。

    ldapmodify -v -c -D "cn=Directory manager" -w password -a -f installExisting.ldif



    -c オプションを指定する必要があります。installExisting.ldif だけをインストールし、他のどのファイルも同じディレクトリにインストールしないでください。



    デフォルトの組織の「すでに存在している」エントリまたは値に関するエラーメッセージが表示される場合は、「Identity Server ACI のデフォルト組織への追加 (オプション)」を参照してください。

Identity Server の管理ユーザ amAdmin が、ou=People,o=Engineering,o=madisonparc ピープルコンテナの下に作成されます。これは、Identity Server の最上位レベルの管理者です。この管理者は、o=madisonparc のサブツリー全体に対する読み取りおよび書き込みアクセス権を持ちます。Identity Server コンソールの起動後に、ユーザの 1 人をこの最上位レベルの管理者ロールに追加できます。

図 5-15    この章の例で使われているディレクトリ情報ツリー (DIT)



install.ldif ファイルを読み込むには

  1. 次のディレクトリに移動します。

    cd IS_root/SUNWam/web-apps/services/WEB-INF/config/ldif

    Windows の場合は、次のディレクトリに移動します。

    cd IS_root¥web-apps¥services¥WEB-INF¥config¥ldif

  2. コマンド行に次のコマンドを入力します。

    ldapmodify -v -c -D "cn=Directory manager" -w password -a -f install.ldif



    -c オプションを指定する必要があります。install.ldif だけをインストールし、他のどのファイルも同じディレクトリにインストールしないでください。





Identity Server サービス属性のディレクトリへの読み込み

同じコマンドを使って ums.xml ファイルとすべてのサービスファイルを読み込むことができます。

  1. 次のディレクトリに移動します。

    cd IS_root/SUNWam/config/ums

    Windows の場合は、次のディレクトリに移動します。

    cd IS_root¥config¥ums

  2. 次のコマンドを実行します。

    amadmin amAdmin_DN password ums.xml

構文解析エラーが発生した場合は、前の手順で行なった変更をもう一度確認する必要があります。また、amUser.xml ファイルと amEntrySpecific.xml ファイルの構文を調べて、正しい構文を使っていることを確認します。構文の例を参照する場合は、次のディレクトリにあるほかのサービス XML ファイルを参照してください。

IS_root/SUNWam/config/xml (Solaris の場合)

IS_root¥config¥xml (Windows の場合)



Identity Server ACI のデフォルト組織への追加 (オプション)



インストール時に既存の組織をデフォルトの組織として指定した場合だけ、この手順を実行する必要があります。デフォルトでは、Identity Server は DN o=iplanet を使って新しい組織を 1 つ作成します。デフォルトの RDN を受け入れた場合は、「Identity Server の起動」の節に進みます。

この手順では、Identity Server のデフォルト ACI をデフォルトの組織、つまり最初の組織として指定した組織に手動で追加します。

  1. Identity Server のデフォルト組織の ACI をコピーします。

    • ファイル installExisting.ldif を読み込んだ場合は、次のファイルから ACI をコピーします。

      IS_root/SUNWam/web-apps/services/WEB-INF/config/ldif

    • ファイル install.ldif を読み込んだ場合は、次のファイルから ACI をコピーします。

      IS_root/SUNWam/web-apps/services/WEB-INF/config/ldif

  2. ldapmodify ユーティリティがあるディレクトリで、次のコマンドを入力します。

    ldapmodify -D bind_DN -w password -p port_number -h hostname -a -f textfile_name



Identity Server の起動

この時点で、Identity Server サーバを起動し、amAdmin ユーザとして Identity Server コンソールにログインできます。インストール時に指定したルート接尾辞と組織が表示されます。MadisonParc の例では、o=madisonparco=Engineering が表示されます。残りのエントリにはまだ Identity Server マーカーオブジェクトクラスが含まれていないので、それらのエントリは表示されません。


Solaris で Identity Server を起動するには

Identity Server を手動で起動するには、コマンド行に次のコマンドを入力します。

/IS_root/SUNWam/bin/amserver start


Windows で Identity Server を起動するには

次の方法のいずれかを使って、Identity Server を起動できます。

  1. 「コマンドプロンプト」ウィドウに次のコマンドを入力します。

    cd Is_root¥bin

    amserver start

  2. 「スタート」メニューから、「設定」>「コントロールパネル」>「管理ツール」>「サービス」を選択します。

  3. 「サービス」ウィンドウで、「SunONEIS-hostname」を右クリックし、「開始」をクリックします。


Identity Server コンソールにログインするには

  1. 次の形式でログインのための URL を入力します。

    http://host.domain:port/amconsole

    この場合、host はシステムのホスト名、domain は Identity Server サービスを実行するサーバのドメイン名、port は Identity Server サービスのポート番号です。

    例: http://nila.eng.siroe.com:58080/amconsole

  2. 「ログイン」ページで、インストール時に指定した最上位管理者のユーザ ID とパスワードを入力します。



Identity Server のオブジェクトクラスと属性の既存のディレクトリエントリへの追加

この手順では、既存のディレクトリエントリを変更して、必要な Identity Server のオブジェクトクラスと属性を含めます。Identity Server オブジェクトクラスは、Identity Server によって管理するディレクトリエントリを示す marker とみなすことができます。この marker により、Identity Server はディレクトリ内のエントリを認識できます。オブジェクトクラスには、委託管理に必要な特別な属性が含まれています。


始める前に

既存のディレクトリを使うための残りの手順を容易にするために利用できるリソースがいくつかあります。


この節で使われている例

この章で使っている例は、MadisonParc の DIT に基づいています。図 5-16 では、ルートの下に 2 つの組織、EngineeringSales があります。この例の中のグループはすべてスタティックグループです。

図 5-16    MadisonParc ディレクトリ情報ツリー (DIT)



利用できるユーティリティとスクリプト

Sun ONE Directory Server コンソールを使って、または Directory Server に付属の ldapmodify または db2ldif ユーティリティを使って、これらの変更を行うことができます。Sun ONE Directory Server コンソールを使って、またはこれらのユーティリティを使ってディレクトリを変更する方法については、次の Sun ONE Directory Server のマニュアルを参照してください。

http://docs.sun.com/db/prod/s1dirsrv

また、この製品に含まれるサンプルスクリプトを使うこともできます。サンプルスクリプトには、Perl 5.x 以降が必要です。サンプルスクリプトは、次の場所にあります。

IS_root/SUNWam/migration (Solaris の場合)

IS_root/migration (Windows の場合)

これらのサンプルスクリプトは役に立ちますが、DIT やその他のデータを適切にフォーマットするのを支援するツールにすぎません。各スクリプトには、スクリプトを実行する前に編集する必要がある 1 つ以上の変数がファイルの一番上にあります。各スクリプトを実行すると、LDIF (LDAP Data Interchange Format) ファイルが生成されます。

「すでに存在している」エントリまたは値に関するエラーメッセージが表示される場合は、オブジェクトクラスまたは属性を手動で追加する必要があります。詳細は、Sun ONE Directory Server のマニュアルを参照してください。

各サンプルスクリプトを使うための手順は、この章の各オブジェクトクラスにマークを付ける手順の中に記述されています。



サンプルスクリプトを使うための手順を実行する前に、次のサンプルスクリプトを IS_root/SUNWam/migration からディレクトリ Directory_Server_root/shared/bin にコピーする必要があります。

  • update-users.pl

  • update-static-groups.pl

  • update-assignable-dynamic-groups.pl

  • update-filtered-groups.pl

  • update-people.pl

  • update-ou.pl

  • update-o.pl

  • update-groups.pl

これらのスクリプトを使って行う変更は、自動的に元に戻すことができないことに注意してください。必ずデータをバックアップしてからスクリプトを実行してください。




既存の DIT を変更する 2 つの方法

DIT を変更する 2 つの方法のいずれかを利用できます。1 つの方法では、Identity Server の LDIF および XML の設定ファイルを読み込む前に、必要なすべての変更を DIT に加えます。この方法は間違いが起きやすい方法ですが、LDAP を使った経験があれば速い方法です。

もう 1 つの方法では、LDIF および XML ファイルでいくつかの変更を行なってから、Identity Server を起動して変更が正しく行われたかどうかを確認します。この 2 番目の方法をお勧めします。たとえば、各組織の Identity Server オブジェクトクラスを追加し、Identity Server を再起動して、Identity Server 管理コンソールに組織が表示されることを確認することができます。次に、グループの marker クラスを追加して、確認その他の作業を行うことができます。


組織のマーク付け

インストール時に既存の組織をデフォルトの組織として使った場合は、これらの変更を行う必要はありません。これらのオブジェクトクラスおよび属性は、インストールプログラムによって自動的に追加されています。「ピープルコンテナのマーク付け」に進んでください。

この手順では、次の操作を実行します。

  1. 次のオブジェクトクラスを各組織エントリに追加します。

    • iplanet-am-managed-org

    • inetDomain

  2. 次の属性を各組織エントリに追加します。

    • inetDomainStatus

MadisonParc の例では、これらのオブジェクトクラスと属性は、『インストールおよび設定ガイド』のインストール時に指定および作成されたデフォルトの組織 o=Engineering に自動的に追加されています。オブジェクトクラスと属性は、手動で o=Sales 組織に追加されています。

次に例を示します。

dn:o=Engineering,o=madisonparc
objectClass:top
objectClass:organization
objectClass:madisonparc-org
madisonparc-org-description:Engineering Organization
madisonparc-org-city:Santa Clara
aci:(targetattr = "*")(version 3.0; acl "madisonparc Org admin"; allow (all) groupdn="ldap:///cn=Engineering Admins,o=Engineering,o=madisonparc";)
objectclass:iplanet-am-managed-org
objectlcass:inetDomain
inetDomainStatus:Active
dn:o=Sales,o=madisonparc
objectClass:top

objectClass:organization
objectClass:madisonparc-org
madisonparc-org-description:Sales Organization
madisonparc-org-city:Menlo Park
aci:(targetattr = "*")(version 3.0; acl "madisonparc Org admin"; allow (all) groupdn="ldap:///cn=Sales Admins,o=Sales,o=madisonparc";)
objectclass:iplanet-am-managed-org
objectlcass:inetDomain
inetDomainStatus:Active


サンプルスクリプトを使って組織にマークを付けるには

  1. update-o.pl を次のディレクトリにコピーします。

    Directory_Server_root/shared/bin

  2. $base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  3. スクリプトがあるディレクトリで、次のコマンドを入力します。

    perl update-o.pl

  4. プロンプトが表示されたら、次の情報を入力します。

    ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。

    バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。

    バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。

    ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。

  5. 結果を確認するには、作成された ldif ファイル (たとえば、o-update.ldif) を開いて、適切な変更が行われたことを確認します。


ピープルコンテナのマーク付け

各ピープルコンテナに iplanet-am-managed-people-container オブジェクトクラスを追加します。

次に例を示します。


dn:ou=Engineering Users,o=Engineering,o=madisonparc
objectClass:top
objectClass:organizationalunit
objectclass:iplanet-am-managed-people-container

...

dn:ou=Sales Users,o=Sales,o=madisonparc
objectClass:top
objectClass:organizationalunit
objectclass:iplanet-am-managed-people-container

...



サンプルスクリプトを使ってピープルコンテナにマークを付けるには

  1. update-people.pl を次のディレクトリにコピーします。

    Directory_Server_root/shared/bin

  2. $base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  3. スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。

    perl update-people.pl

  4. プロンプトが表示されたら、次の情報を入力します。

    ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。

    バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。

    バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。

    ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。

    ピープルコンテナを入力: 変更対象の uid が含まれているピープルコンテナの名前を入力します。例: People など。

  5. 結果を確認するには、作成された LDIF ファイル (たとえば、people-update.ldif) を開いて、適切な変更が行われたことを確認します。


組織単位のマーク付け

組織単位である各コンテナに、次のオブジェクトクラスを追加します。

iplanet-am-managed-org-unit

次に例を示します。

dn:ou=Groups,o=Engineering, o=madisonparc

objectClass:top
objectClass:organizationalunit
objectClass:inetAdmin
objectclass:iplanet-am-managed-org-unit
dn:cn=Engineering Admins,o=Engineering,o=madisonparc
objectClass:top
objectClass:groupofuniquenames
uniquemember:uid=engadmin,ou=Engineering Users,o=Engineering,o=madisonparc
dn:cn=Engineering Users,o=Engineering,o=madisonparc
objectClass:top
objectClass:groupofuniquenames
uniquemember:uid=enguser1,ou=Engineering Users,o=eng,o=madisonparc
uniquemember:uid=enguser2,ou=Engineering Users,o=eng,o=madisonparc

uniquemember:uid=enguser3,ou=Engineering Users,o=eng,o=madisonparc
uniquemember:uid=enguser4,ou=Engineering Users,o=eng,o=madisonparc
dn:ou=Groups,o=Sales, o=madisonparc
objectClass:top
objectClass:organizationalunit
objectClass:inetAdmin
objectclass:iplanet-am-managed-org-unit


サンプルスクリプトを使って組織単位にマークを付けるには

  1. update-ou.pl を次のディレクトリにコピーします。

    Directory_Server_root/shared/bin

  2. $base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  3. スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。

    perl update-ou.pl

  4. プロンプトが表示されたら、次の情報を入力します。

    ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。

    バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。

    バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。

    ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。

  5. 結果を確認するには、作成された LDIF ファイル (たとえば、ou-update.ldif) を開いて、適切な変更が行われたことを確認します。


ユーザのマーク付け

各ユーザエントリに、次のオブジェクトクラスを追加します。

    • iplanet-am-web-agent-service

    • iplanet-am-managed-person

    • iplanet-am-user-service

    • inetuser

    • iPlanetPreferences

    • inetOrgPerson

次に例を示します。


dn:ou=Engineering Users,o=Engineering,o=madisonparc
objectClass:top
objectClass:organizationalunit

dn:uid=engadmin,ou=Engineering Users,o=Engineering,o=madisonparc
objectClass:inetorgperson
objectClass:organizationalperson
objectClass:person
objectClass:top
objectClass:iplanet-am-web-agent-service
objectClass:iplanet-am-managed-person
objectClass:iplanet-am-user-service
objectClass:inetuser
objectClass:iPlanetPreferences
objectClass:inetOrgPerson
inetuserstatus:active
cn:engadmin
sn:engadmin
userPassword:engadmin

dn:uid=enguser1,ou=Engineering Users,o=Engineering,o=madisonparc
objectClass:inetorgperson
objectClass:organizationalperson
objectClass:person
objectClass:top
objectClass:madisonparc-user
objectClass:iplanet-am-web-agent-service
objectClass:iplanet-am-managed-person
objectClass:iplanet-am-user-service
objectClass:inetuser
objectClass:iPlanetPreferences
objectClass:inetOrgPerson
inetuserstatus:active
madisonparc-user-id: 11111
madisonparc-user-building:SCA16
cn:enguser1
sn:enguser1
userPassword:enguser1



サンプルスクリプトを使ってユーザにマークを付けるには

  1. udpate-users.pl を次のディレクトリにコピーします。

    Directory_Server_root/shared/bin

  2. $base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  3. $base-component 変数を DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  4. スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。

    perl udpate-users.pl

  5. プロンプトが表示されたら、次の情報を入力します。

    ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。

    バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。

    バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。

    ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。

  6. 結果を確認するには、作成された LDIF ファイル (たとえば、users-update.ldif) を開いて、適切な変更が行われたことを確認します。


スタティックグループのマーク付け

uniquemember 属性の値を含む各グループエントリに、次のオブジェクトクラスを追加します。

  • iplanet-am-managed-static-group

  • iplanet-am-managed-group

次に例を示します。


dn:cn=Engineering Users,o=Engineering,o=madisonparc
objectClass:top
objectClass:groupofuniquenames
objecClass:iplanet-am-managed-static-group
objecClass:ipanet-am-managed-group
uniquemember:uid=enguser1,ou=Engineering  Users,o=eng,o=madisonparc
uniquemember:uid=enguser2,ou=Engineering Users,o=eng,o=madisonparc
uniquemember:uid=enguser3,ou=Engineering Users,o=eng,o=madisonparc
uniquemember:uid=enguser4,ou=Engineering Users,o=eng,o=madisonparc

dn:ou=Groups,o=Sales, o=madisonparc
objectClass:top
objectClass:organizationalunit

dn:cn=Sales Admins,o=Sales,o=madisonparc
objectClass:top
objectClass:groupofuniquenames
objecClass:iplanet-am-managed-static-group
objecClass:ipanet-am-managed-group
uniquemember:uid=salesadmin,ou=Sales Users,o=Sales,o=madisonparc

dn:cn=Sales Users,o=Sales,o=madisonparc
objectClass:top
objectClass:groupofuniquenames
objecClass:iplanet-am-managed-static-group
objecClass:ipanet-am-managed-group
uniquemember:uid=salesuser1,ou=Sales Users,o=sales,o=madisonparc
uniquemember:uid=salesuser2,ou=Sales Users,o=sales,o=madisonparc
uniquemember:uid=salesuser3,ou=Sales Users,o=sales,o=madisonparc
uniquemember:uid=salesuser4,ou=Sales Users,o=sales,o=madisonparc




サンプルスクリプトを使ってスタティックグループにマークを付けるには

  1. update-static-groups.pl を次のディレクトリにコピーします。

    Directory_Server_root/shared/bin

  2. $base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  3. スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。

    perl update-static-groups.pl

    プロンプトが表示されたら、次の情報を入力します。

    ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。

    バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。

    バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。

    ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。

  4. 結果を確認するには、作成された LDIF ファイル (たとえば、static-groups-update.ldif) を開いて、適切な変更が行われたことを確認します。


フィルタが適用された (ダイナミック) グループへのマーク付け

フィルタが適用されたグループでは、ユーザは DN に基づいて 1 つのグループに入れられます。

次のオブジェクトクラス (属性なし) をフィルタが適用された各グループに追加します。

  • iplanet-am-managed-group

  • iplanet-am-managed-filtered-group


サンプルスクリプトを使ってフィルタが適用されたグループにマークを付けるには

  1. update-filtered-groups.pl を次のディレクトリにコピーします。

    Directory_Server_root/shared/bin

  2. $base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  3. スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。

    perl update-filtered-groups.pl

  4. プロンプトが表示されたら、次の情報を入力します。

    ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。

    バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。

    バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。

    ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。

  5. 結果を確認するには、作成された LDIF ファイル (たとえば、update-filtered-groups-update.ldif) を開いて、適切な変更が行われたことを確認します。


割り当て可能なダイナミックグループへのマーク付け

割り当て可能なダイナミックグループは、フィルタが適用されたグループに似ていますが、ユーザエントリの DN を使ってグループを指定します。

割り当て可能な各ダイナミックグループに次のオブジェクトクラスを追加します。

  • iplanet-am-managed-group

  • iplanet-am-managed-assignable-group


サンプルスクリプトを使って割り当て可能なダイナミックグループにマークを付けるには

  1. update-assignable-dynamic-groups.pl を次のディレクトリにコピーします。

    Directory_Server_root/shared/bin

  2. $base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  3. スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。

    perl update-assignable-dynamic-groups.pl

  4. プロンプトが表示されたら、次の情報を入力します。

    ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。

    バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。

    バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。

    ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。

  5. 結果を確認するには、作成された LDIF ファイル (たとえば、assignable-dynamic-groups-update.ldif) を開いて、適切な変更が行われたことを確認します。


グループコンテナへのマーク付け

グループコンテナは、グループを含む組織単位 (ou) です。各グループコンテナに、次のオブジェクトクラスを追加します。

iplanet-am-managed-group-container


サンプルスクリプトを使ってグループコンテナにマークを付けるには

  1. update-groups.pl を次のディレクトリにコピーします。

    Directory_Server_root/shared/bin

  2. $base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
    例: o=madisonparc など。

  3. スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。

    perl update-groups.pl

  4. プロンプトが表示されたら、次の情報を入力します。

    ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。

    バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。

    バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。

    ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。

  5. 結果を確認するには、作成された LDIF ファイル (たとえば、groups-update.ldif) を開いて、適切な変更が行われたことを確認します。



変更された LDIF ファイルの読み込み

ここまでの手順でスクリプトを実行した後には、さまざまな LDIF ファイルが Perl スクリプトを実行した同じディレクトリに作成されます。実際にはこれまで、ディレクトリではなんの変更も行われていません。変更されたファイルをディレクトリに読み込む前に、ファイルを調べて、すべての Identity Server オブジェクトクラスおよび属性が既存のディレクトリエントリに正しく追加されたことを確認するようお勧めします。正しく変更されたことを確認したら、次の ldapmodify コマンドを使って各ファイルを読み込みます。

ldapmodify -h hostname -p port -D bind_user, -w password -a -c -f filename.ldif



Identity Server とディレクトリの変更の結果



ここまでの手順を実行して変更が完了すると、DIT 内のすべてのエントリを Identity Server で管理できるようになります。組織管理者の既存の ACI を変更する必要はありません。Identity Server はデフォルトでロールと ACI を使いますが、既存のグループと ACI はまだ有効です。

グループベースの DIT は、ロールおよび ACI を活用する DIT に変換できます。これを選択する場合は、Identity Server の組織管理者ロールを使って、そのロールを既存の organizationList 管理者に割り当てることができます。


前へ     目次     索引     次へ     
Copyright 2002   Sun Microsystems, Inc. All rights reserved.