![]() |
Sun ONE Identity Server インストールおよび設定ガイド |
第 2 章 導入に関する検討事項
この章では、Identity Server の導入を計画する際に念頭に置いておく必要のある情報を提供します。
ディレクトリに関する問題
ディレクトリに関する問題
Identity Server をインストールして設定する方法は、会社の現在のディレクトリ環境とディレクトリに関する長期的なニーズによって異なります。Identity Server をインストールする前に、最善の性能と拡張性が得られるように、新しいディレクトリの作成を計画するか、既存のディレクトリを最適化する必要があります。以降の節では、Identity Server に付属のディレクトリ情報ツリー (DIT) を最大限に活用する方法について説明します。
Directory Server の一般的な計画と実装については、次の URL から入手可能な『Directory Server 導入ガイド』を参照してください。
http://docs.sun.com/db/doc/816-5609-10
既存のディレクトリへのインストール
ユーザデータがすでに存在する既存の Sun ONE Directory Server に対して Identity Server をインストールできます。ただし、Identity Server インストールプログラムの実行直後に、既存のディレクトリと Identity Server の設定の両方を変更して両方が連携するようにする必要があります。変更内容は DIT 構造によって異なりますが、次の処理が必要になることがあります。
Identity Server オブジェクトクラスを既存のディレクトリエントリに追加する (これは必須です。) これらのトピックについては、第 5 章「既存の Directory Server を使用する Identity Server のインストール」で詳しく説明します。
注
既存の Directory Server に Identity Server をインストールする場合は、複雑なディレクトリ変更が必要です。変更には LDAP の計画と実装に関する高度な専門知識が必要であり、また XML に精通している必要があります。この手続きは複雑であり、時間がかかることがあります。配備に関してはこの問題を考慮して計画を立てるようにしてください。
Identity Server スキーマ
インストールプログラムの実行時に、「既存の Directory Server を設定する」オプションを選択して、Identity Server スキーマをインストールすることができます。Identity Server スキーマは、Directory Server がインストールされているサーバにインストールされます。スキーマファイル ds_remote_schema.ldif は、Directory Server のスキーマディレクトリにロードされます。
ディレクトリにユーザがすでに存在するかどうかにかかわらず、次の Identity Server オブジェクトが作成され、ディレクトリに保存されます。
インストール時に作成される Identity Server のベース接尾辞は、ユーザデータの保存と管理のために設計されています。特別なオブジェクトクラスは、Identity Server が管理するディレクトリ内のユーザおよびグループのエントリを識別します。このオブジェクトクラスにより、Identity Server は選択したデータ、つまりユーザデータだけを管理し、サーバやハードウェアなど、ツリーのほかの部分には干渉しないようにできます。
図 2-1    デフォルト DIT
![]()
サポートされていない DIT
データが存在するほとんどの DIT は Identity Server とともに使えるように設定し直すことができますが、設定し直さないほうがよい場合もあります。一般に、既存の DIT が複数の種類のディレクトリエントリ (たとえば、dc、o、ou) を使って組織を定義している場合は、ユーザデータは特定の条件下でだけ Identity Server に認識されます。詳細は、『Programmer's Guide』を参照してください。
ディレクトリのレプリケーション
レプリケートされたディレクトリを Identity Server とともに使う予定の場合は、Identity Server インストールプログラムを実行する前に、データベースレプリケーションアグリーメントを定義する必要があります。詳細は、このマニュアルの「ディレクトリレプリケーションと高可用性のサポート」を参照してください。
ポリシー管理に関する問題
Identity Server の委託管理と Web アクセス管理は、特殊なロールとポリシーを使って実装されます。ロールおよびポリシーはインストール時に作成され、Identity Serverのグラフィカルユーザインタフェースで表示および管理できます。ディレクトリ構造を計画するときは、自社のニーズを満たすために、これらの事前定義された Identity Server オブジェクトを最大限に活用する方法を検討してください。
ロール
Identity Server のロールは、Directory Server のロール機能の拡張です。Directory Server では、ロールはエントリのグループ化メカニズムです。このグループ化メカニズムは、スタティックグループよりも柔軟性を高め、ダイナミックグループのように維持を容易にするために設計されています。
Identity Server では、ロールの概念は Directory Server の場合と同じですが、抽象化のレベルが高くなっています。Identity Server をインストールすると、いくつかの管理者ロールが自動的に作成されます。各管理者ロールは、範囲の異なるアクセス制御を指定し、ユーザアカウント管理の委託の手段を提供します。ロールは、ACI (アクセス制御命令)、ポリシールール、またはサービス属性の任意の組み合わせを含むように設定できます。ロールは管理コンソールの「ロール」ページで設定します。特定のアクセス権を持ったロールを作成して、顧客委譲モデルを提供することもできます。
次の表は、Identity Server の管理者ロールとそれぞれのロールに対応する書き込み権限の範囲を要約したものです。
ツリーのこのレベルのディレクトリエントリを変更する権限がある
ベース接尾辞
ロールの定義
組織
グループ
ユーザ
個人のエントリ
ディレクトリエントリを作成すると、適切な管理者ロールと ACI が作成され、ディレクトリエントリに割り当てられます。その後、個々のユーザにロールを割り当てることができます。
たとえば、Identity Server を使って新しい組織を作成すると、自動的に次の 2 つのロールが作成されてディレクトリに保存されます。
組織内で組織の管理者ロールをユーザ mikeb に割り当てると、mikeb は組織管理者に付与されたすべての権限を継承します。ヘルプデスクの管理者ロールをユーザ ginac に割り当てると、ginac は限定されたヘルプデスク管理者の権限を継承します。最終的には、グループに基づく ACI の代わりにロールを使うほうが、効率が良く維持の手間も少なくてすみます。
ポリシーとポリシーエージェント
ロールおよび組織にポリシーを適用して、自社の Web リソースへのアクセスを制御できます。ポリシーはルールで設定されます。ルールは、サーバに格納されているサービスやコンテンツページなど、指定したリソースへのユーザアクセスを許可または拒否します。自社の Web Server にインストールするポリシーエージェントは、定義したポリシーを評価および適用します。
ユーザが会社のサーバに格納されている Web ページなどの保護されたリソースへのアクセスを試みると、Identity Server ポリシーサービスは、ユーザの組織、ロール、またはユーザ ID に適用されているルールを評価します。ユーザに割り当てられたルールとポリシーを組み合わせた結果に基づいて、個々のユーザは Web ページへのアクセスを許可または拒否されます。ルールおよびポリシーは、Identity Server 管理コンソールで設定できます。ポリシーの設定に関する詳細は、『Sun ONE Identity Server Administration Guide』を参照してください。Identity Server ポリシーエージェントとポリシーエージェントのインストールおよび設定方法に関する総合的な情報については、http://docs.sun.com/db/prod/s1.ipdirsame にある『Sun ONE ポリシーエージェントガイド』を参照してください。
サービス属性
サービス属性を使って、サービスを Identity Server と連携させる方法を定義できます。サービス属性には、グローバルレベルで設定されて DIT 全体に影響するもの、個々のユーザにだけ影響するもの、複数のレベルで設定可能なものなどがあります。属性の値を指定するには、属性の効果の範囲を理解することが重要です。この理解を容易にするために、サービス属性は、グローバル、ダイナミック、ポリシー、およびユーザの各カテゴリに分かれています。
グローバル: グローバル属性は、DIT 全体に適用されます。グローバル属性の値は、サービス管理表示で設定できます。
ダイナミック: ダイナミック属性は、組織またはロールの、グローバルレベルのサービス管理、またはユーザ管理表示で設定できます。ポリシー属性の値は、親オブジェクトから継承することもできます。
ポリシー: ポリシー属性は、ポリシー管理表示で設定できます。定義されたポリシーは、1 つ以上のロールや組織に適用できます。ポリシー属性の値は、親オブジェクトから継承することもできます。
ユーザ: ユーザ属性は、個々のユーザエントリに適用されます。ユーザ属性の値は、組織管理表示で設定できます。
管理コンソールを使って、サービスのポリシーを設定できます。詳細は、http://docs.sun.com/db/prod/s1.ipdirsame にある『Sun ONE Identity Server Administration Guide』を参照してください。
アイデンティティ管理サービスを使用するための製品のインストール
Identity Server は、リモート Web Server、Sun ONE Directory Access Router などの LDAP 負荷均衡アプリケーションとともに、またはマルチマスターレプリケーションで配備できます。Identity Server インストールプログラムを実行する前に、それらの製品が配備条件にどのように適合するかを検討してください。多くの場合、Identity Server をインストールする前に、それらの製品をインストールして設定しておく必要があります。
リモート Web Server
このマニュアルでは、Identity Server のポリシーサービスおよび管理サービスを実行する Web Server からみて離れたところにある Web Server を「リモート」と呼んでいます。会社のコンテンツページを提供するために、すでにリモート Web Server が導入されている場合があります。追加の Web Server をインストールできます。リモートサーバにポリシーエージェントをインストールした場合だけ、そのリモートサーバは Identity Server と統合されます。詳細は、「ポリシーエージェント」を参照してください。
Web Server のインストールと管理の詳細については、サーバに付属のマニュアルを参照するか、あるいはインターネット上の http://docs.sun.com/db/prod/s1websrv にあるマニュアルにアクセスしてください。
ポリシーエージェント
Identity Server ポリシーエージェントは、企業に導入されているさまざまな Web サーバにインストールできます。このエージェントは、サーバに格納されている特定のページに設定されたアクセスルールとポリシーを適用します。このエージェントは、設定された Web Server が受け取る要求を傍受し、ポリシーサービスと通信します。ポリシーサービスはユーザの資格を認証し、ユーザのロールとポリシーを調べます。ユーザの資格と割り当てられているポリシーが正当な場合、エージェントはユーザに HTTP を介して URL にアクセスすることを許可します。
Identity Server ポリシーエージェントは個別に入手する製品であり、次の URL でダウンロードできます。
http://wwws.sun.com/software/download/developer/5256.html
ポリシーエージェントをインストールするには、製品に付属の説明書を参照してください。
複数の Directory Server によるフェイルオーバと高可用性
アップグレード、フェイルオーバディレクトリのセットアップ、またはマルチマスターレプリケーションのセットアップのために、Identity Server インストールプログラムを使って Directory Server をインストールできます。Identity Server を使用するには、Directory Server を適切にインストールして、設定し、導入する必要があります。詳細は、「ディレクトリレプリケーションと高可用性のサポート」を参照してください。
Directory Server の導入とインストールの詳細については、サーバに付属のマニュアルを参照するか、あるいはインターネット上の http://docs.sun.com/prod/s1dirsrv にあるマニュアルにアクセスしてください。
LDAP 負荷均衡アプリケーション
Sun ONE Directory Access Router などの負荷均衡アプリケーションと連携するように Identity Server を設定できます。このように設定すると、ディレクトリの高可用性を正確に管理したい場合に役に立つことがあります。詳細は、「ディレクトリレプリケーションと高可用性のサポート」を参照してください。
Sun ONE Directory Access Router のインストールと管理の詳細については、インターネット上の http://docs.sun.com/db/prod/s1.ipdirar にあるマニュアルにアクセスしてください。
その他の負荷均衡アプリケーションについては、製品に付属のマニュアルを参照してください。
ハードウェア要件
Identity Server をインストールする予定のシステムが、最小ハードウェア要件を満たしていることを確認する必要があります。理論上は、すべての Identity Server コンポーネントを 1 台のサーバマシンにインストールできますが、そうすることはあまりないでしょう。Identity Server の導入を設計する前に、各コンポーネントのマニュアルでインストールと導入に関する情報を確認してください。Sun ONE Identity Server のインストールを設計および導入する前に、Sun ONE プロフェッショナルサービスまたは Sun ONE 認定システムインテグレータに相談することをお勧めします。
最適なハードウェア要件
最善の性能とスケーラビリティを得るためのハードウェア要件を次に示します。
Directory Server 用に、512M バイト〜2G バイトの RAM を搭載したコンピュータシステム
Sun ONE Identity Server 用に、512M バイト〜1G バイトの RAM を備えたコンピュータシステム
保護する必要のある既存の Web サーバがある場合は、ポリシー適用ポイントエージェントまたはポリシーエージェントを各 Web サーバにインストールする必要がある。このためには 10M バイトの空きディスク容量が必要 一般に、ディレクトリリソース要件は高くなります。実際の要件は、顧客固有の条件、データ、用途によって決定されるため、上記とは異なります。
推奨ハードウェア構成
一般的なインストールのハードウェア構成を次に示します。
Directory Server 用に、512M バイト〜1G バイトのメモリと、Directory Server 内の最小限のデータ用に約 300M バイトの空きディスク容量を持つコンピュータシステム
Identity Server (および Sun ONE Web Server)、および場合によっては Sun ONE Application Server およびポリシーエージェント用に、512M バイト〜1G バイトのメモリと、25M バイト〜100M バイトの空きディスク容量を持つコンピュータシステム。後で、ログファイルやデバッグファイル用に追加の空きディスク容量 (G バイト単位) が必要な場合がある
大規模なインストールの場合は、製品バイナリ、データベース、およびログファイル (ログファイルにはデフォルトで 1G バイトが必要) をサポートするために最小 2G バイトの空きディスク容量を確保する必要があり、非常に大きなディレクトリの場合は 4G バイト以上が必要になる場合もある
保護する必要のある既存の Web サーバがある場合は、各 Web サーバにポリシーエージェントをインストールする必要がある。このエージェントには、10M バイトの空きディスク容量が必要
表 2-2 に、Directory Server が管理するエントリ数に応じたディスク容量とメモリの要件に関するガイドラインの一部を示す
表 2-2    Directory Server のディスク容量に関するガイドライン
エントリの数
必要なディスク容量とメモリ
ソフトウェア要件
システムが、次のソフトウェアおよびオペレーティングシステムの要件を満たしていることを確認してください。
オペレーティングシステム要件
Identity Server は次のプラットフォームでサポートされています。
Solaris 用パッチクラスタ
Sun ONE Directory Server を Solaris 8 オペレーティングシステム上で実行する場合は、推奨パッチクラスタがインストールされていることを確認する必要があります。Solaris のパッチは、たとえば 108827-15 のように、2 つの番号で識別されます。最初の番号 (108827) は、パッチ自体を示します。2 番目の番号は、パッチのバージョン (15) を示します。最新の修正内容が適用されるように、最新バージョンのパッチをインストールすることをお勧めします。
showrev -p コマンドを使って、現在マシンにインストールされているパッチを一覧表示できます。すべてのパッチは、http://sunsolve.sun.com からダウンロードできます。この Web サイトで、「Patches」>「Recommended & Security Patches」に移動すると、「Recommended & Security Patch Clusters for Solaris」のリストを参照することができます。
前述したリストにないパッチの場合は、http://sunsolve.sun.com で「Patches」>「Patchfinder」に移動してください。
Sun ONE Certificate Server 4.7 用パッチのインストール
Identity Server セキュリティサービスを設定するには、Sun ONE Certificate Server バージョン 4.7 のパッチをインストールする必要があります。このパッチをインストールする前に、システムに Certificate Server をインストールする必要があります。
Certificate Server のインストール手順については、次の Web サイトにある『Sun ONE Certificate Server Installation and Setup Guide』を参照してください。
http://docs.sun.com/prod/s1certsrv
Certificate Server 4.7 パッチのインストール
CMS47sp1.jar ファイルを次の場所にコピーします。
次のコマンドを実行して jar ファイルの内容を展開します。
SSOBasedAuthentication インスタンスを作成するか、すでにある場合は再設定します。 パッチをインストールしたら、Identity Server コンソールで Identity Server セキュリティサービスを設定します。
Java の要件
Identity Server インストールプログラムには Java バージョン 1.3.1_06 が必要です。
リモート Web Server の要件
Identity Server の Web エージェントは、約 10M バイトのディスク容量を使用します。Identity Server Web エージェントの Web Server の要件に関する詳細は、次の URL にある『Sun ONE ポリシーエージェントガイド』を参照してください。
http://docs.sun.com/prod/s1.ipdirsame
Web ブラウザの要件
管理者とエンドユーザは、Web ブラウザを使ってユーザ管理タスクを実行します。Identity Server は、次の Web ブラウザをサポートしています。
前へ 目次 索引 次へ
Copyright 2002 Sun Microsystems, Inc. All rights reserved.