![]() |
Sun ONE Identity Server インストールおよび設定ガイド |
第 5 章 既存の Directory Server を使用する Identity Server のインストール
ユーザデータが存在する既存の Directory Server を使う場合、Sun ONE Identity Server がユーザデータを認識できるように、ディレクトリ情報ツリー (DIT) に対していくつかの変更を行う必要があります。必要な変更の数や範囲は、既存の DIT の構造、および Identity Server の使用方法によって異なります。
この章では、ユーザデータが存在する既存のディレクトリに対して Identity Server サービスをインストールするための手順について説明します。また、DIT と連携させるための Identity Server の設定方法、および既存のディレクトリエントリに必要な変更を加える方法についても説明します。
アイデンティティ管理のサポートなしで、ポリシー管理用の Identity Server をセットアップすることができます。ポリシー管理のためだけに設定を行うには、インストール時に「既存の DIT とともに既存の Sun ONE Directory Server を使用」オプションを選択して、Identity Server の管理およびポリシーサービスをインストールします。「はい」を選択して、インストール時に Identity Service Management エントリを自動的にロードします。インストール後、Identity Server コンソールからポリシー管理を実行できるようになります。インストール後にアイデンティティ管理を有効にする場合は、IS_root/SUNWam/migration/README を参照して実行手順の詳細を確認してください。
始める前に
既存の Directory Server を使用する Identity Server のインストール
カスタムのオブジェクトクラスの Identity Server スキーマへの追加 (オプション)
Identity Server LDIF のディレクトリへの読み込み
Identity Server サービス属性のディレクトリへの読み込み
Identity Server ACI のデフォルト組織への追加 (オプション)
始める前に
必要なディレクトリ変更は複雑です。変更には LDAP の計画と実装に関する高度な専門知識が必要であり、また XML に関する知識も必要です。この手続きは複雑であり、時間がかかることがあります。配備の際にはこの問題を考慮して計画を立てるようにしてください。
注
ユーザデータが存在する既存のディレクトリがない場合は、この章で説明されている手順を実行する必要はありません。第 4 章「新しい Directory Server を使用するインストール」を参照してください。
この章で使っている例に関する基本情報
ディレクトリに対して行う必要のある変更のタイプを例示するために、架空の会社の単純な DIT を使用します。o=madisonparc で表されるこの会社のディレクトリエントリには、2 つのカスタムオブジェクトクラスが含まれています。それらは、Identity Server スキーマでまだ定義されていないオブジェクトクラスです。使用している DIT にカスタムオブジェクトクラスが含まれている場合は、Identity Server の XML ファイルも変更する必要があります。
基本的な DIT の構造
この章で使っている例は、架空の会社の単純な DIT に基づいています。図 5-1 では、ルートの下に 2 つの組織、Engineering と Sales があります。この例の中のグループはすべてスタティックグループです。これは、これらのグループのエントリが、グループのメンバーを命名する値を含む groupOfUniqueNames オブジェクトクラスを使うことを意味します。
図 5-1    この章の例で使われるディレクトリ情報ツリー (DIT) ![]()
この DIT の例にあるグループの使用法について次に要約します。
Engineering の管理者を含むグループが 1 つ、Sales の管理者から成るグループが 1 つあります。
これらのグループのメンバーがそれぞれの組織を管理できるように、Engineering グループと Sales グループには単純な ACI が設定されています。
各組織には、管理者でないユーザを含むグループが 1 つあります。
ルートレベル、つまり最上位レベルにもう一つ別のグループがあります。このグループには、ディレクトリ内のすべてのユーザが含まれます。
カスタムオブジェクトクラス
この例に出てくる架空の会社では、Identity Server スキーマにも Directory Server 5.1 スキーマにも含まれていない 2 つのオブジェクトクラスを使用します。AUXILIARY オブジェクトクラス madisonparc-org はすべての組織エントリに存在し、AUXILIARY オブジェクトクラス madisonparc-user はすべてのユーザエントリに存在します。これらの拡張を管理するには、次の 3 つのファイルを変更する必要があります。
これらの変更の詳しい説明は、「カスタムのオブジェクトクラスの Identity Server スキーマへの追加 (オプション)」の節にあります。カスタムオブジェクトクラスを既存のディレクトリで使う場合は、同様の変更が必要です。
インストールの方法
既存のセットアップに基づくインストール方法を次の表で説明します。
シナリオ
方法
Identity Server 6.0 のすべてのコンポーネントをインストールします。手順については、第 4 章「新しい Directory Server を使用するインストール」を参照してください。
Directory Server のデータを Directory Server 5.1 に移行します。データ移行の手順は、「既存のデータの Directory Server 5.1 への移行」の節にあります。
インストールプログラムのオプション「既存の Directory Server を設定する」を使って、この Directory Server を設定します。
この手順を実行するには、第 4 章で説明するインストール手順に従ってください。ただし、「Sun ONE Directory Server 情報」パネルで、デフォルトのインストールディレクトリ /usr/iplanet/servers を、既存の Directory Server の場所に置き換える必要があります。
データを Identity Server 6.0 に移行します。この手順は、製品バイナリに付属のファイル migration.html にあります。
Identity Server と連携するよう設定されていない Directory Server 5.1 を使用している場合
Identity Server 6.0 と連携するよう設定します。実行手順の詳細は、「既存の Directory Server の設定」の節を参照してください。
Identity Server と連携するよう設定されている Directory Server 5.1 を使用している場合
インストールプログラムの「既存の DIT とともに既存の Sun ONE Directory Server を使用」オプションを選択して、Identity Server 6.0 管理およびポリシーサービスをインストールします。手順については、「既存の Directory Server を使用する Identity Server のインストール」を参照してください。
インストールプログラムの「既存の DIT なしで既存の Sun ONE Directory Server を使用」オプションを選択して、Identity Server 6.0 管理およびポリシーサービスをインストールします。手順については、「既存の Directory Server を使用する Identity Server のインストール」を参照してください。
インストールプログラムの「既存の DIT とともに既存の Sun ONE Directory Server を使用」オプションを選択して、Identity Server 6.0 管理およびポリシーサービスをインストールします。手順については、「既存の Directory Server を使用する Identity Server のインストール」を参照してください。
既存のデータの Directory Server 5.1 への移行
Identity Server 6.0 をインストールする前に、既存のユーザデータを Directory Server 5.1 に移行する必要があります。そうしないと、Identity Server は既存のユーザデータを認識できません。
この手順では、5.1 より前のデータを Directory Server 5.1 で使用できるように更新します。この処理は、Directory Server に付属の migrateInstance5 スクリプトを実行して行います。移行スクリプトにより、次のタスクが順に実行されます。
スキーマ設定ファイルを調べて、標準の設定ファイルとシステムに存在する設定ファイルの違いを通知します。
レガシー Directory Server に格納されている接尾辞ごとにデータベースを作成します。(Directory Server 5.0 では、複数のデータベースが可能ですが、データベース当たり 1 つの接尾辞です。)
サーバパラメータとデータベースパラメータを移行します。(Directory Server 5.0 では、これらは dse.ldif ファイルの LDAP エントリとして格納されています。)
証明書データベース、および SSL パラメータを移行します。
既存の Directory Server がインストールされているシステムでスクリプトを実行する必要があります。移行スクリプトを実行する前に、ディレクトリサービスを停止しておく必要があります。移行手順については、次の『Sun ONE Directory Server インストールガイド』を参照してください。
http://docs.sun.com/db/doc/816-5602-10
データを Directory Server 5.1 に移行してある場合は、「ディレクトリデータのバックアップ」に進んでください。
注
インストール後、適切な LDIF または XML ファイルをロードするまで、管理コンソールにはログインできません。手順については、この章の後述の節を参照してください。
ディレクトリデータのバックアップ
ディレクトリのバックアップについては、次の『Sun ONE Directory Server インストールガイド』を参照してください。
http://docs.sun.com/db/doc/816-5602-10
既存の Directory Server の設定
Identity Server と連携するように設定されていない Sun ONE Directory Server 5.1 を使用している場合は、最初に Identity Server スキーマをインストールして設定を行い、次に Identity Server 管理およびポリシーサービスをインストールします。Sun ONE Identity Server インストールプログラムを使って、Directory Server を設定する必要があります。
注
コンピュータの別のディレクトリに、Identity Server スキーマがインストール済みでないことを確認します。次のコマンドを使用して、既存のインスタンスを確認できます。
pkginfo | grep SUNWamdsc.
製品 CD から Identity Server スキーマをインストールする場合は、ソフトウェアをインストールするシステムのドライブに製品 CD を挿入します。
製品をダウンロードした場合は、次のコマンドを使って製品バイナリファイルを解凍します。
gunzip -dc binaryfile.tar.gz | tar -xvof -
この場合、binaryfile をダウンロードした製品バイナリの名前に置き換える必要があります。
別の端末ウィンドウを開き、xhost + と入力してマシンのアクセス制御を無効にします。
アプリケーションウィンドウで、次のコマンドのどちらかを使用して DISPLAY 変数を設定します。
コマンド ./setup を使用して、installation プログラムを実行します。開始パネルが開きます。「次へ」をクリックします。
「インストールディレクトリ」パネルで、Identity Server スキーマをインストールするディレクトリのパスを指定します。
「次へ」をクリックし、「インストール / アンインストールされるコンポーネント」パネルで、「既存の Directory Server を設定」をクリックします。 図 5-2    「インストール / アンインストールされるコンポーネント」パネル ![]()
図 5-3    「Sun ONE Directory Server 情報」パネル ![]()
ホスト: Directory Server がインストールされるコンピュータの完全指定のドメイン名を入力します。
ポート: Directory Server のポート番号を入力します。デフォルトのポート番号は 389 です。
ディレクトリマネージャ: Directory Server へのアクセスを制限されたユーザの DN を入力します。例: cn=Directory Manager など。
パスワード: ディレクトリマネージャのパスワードを入力します。パスワードの指定には 8 文字以上必要です。
これらのフィールドに入力する情報が不正確であると、インストールプログラムによりエラーメッセージが表示されます。入力した値を確認し、訂正してから次の手順に進んでください。
図 5-4    「現在選択されている設定」パネル ![]()
バイナリファイルを解凍したディレクトリに移動して、プロンプトから次のコマンドを入力し Enter を押します。
画面に表示される手順を確認します。インストーラが示すさまざまなプロンプトに対する応答方法の説明が表示されます。手順を確認したら、Enter を押してソフトウェアライセンス契約を確認します。インストールのどの段階でも、< を入力して前のプロンプトに戻ることができます。また、! を入力してインストールプログラムを終了することができます。
ライセンス契約を確認し、yes と入力してライセンス契約に同意します。
次のプロンプトで、ldif ファイルおよびユーティリティなどの設定ファイルをインストールするディレクトリを指定します。
次のプロンプトで、3 を入力して既存の Directory Server を設定します。
次のプロンプトで、設定する Directory Server に関する情報を入力します。
Sun ONE Directory Server 情報 ホスト [nila.Siroe.COM] {"<" 戻る, "!" 終了}: ポート [389] {"<" 戻る, "!" 終了}: ディレクトリマネージャ [cn=Directory Manager] {"<" 戻る, "!" 終了}: パスワード:
プロンプトで、Enter を押してインストールプログラムを終了します。
既存の Directory Server を使用する Identity Server のインストール
Identity Server と連携するように設定された既存の Directory Server を使用している場合は、次の手順に従って Identity Server 6.0 をインストールする必要があります。
Identity Server をインストールするマシンに、ルート (Windows 2000 の場合は管理者として) でログインします。このマシンをホストマシンと呼びます。
ホストマシンのドメイン名の設定が必要です。ドメイン名が設定されていない場合は、「ホストコンピュータのドメイン名の設定」の手順に従ってください。
ホストコンピュータのドメイン名の設定
Identity Server をインストールする前に、Identity Server をインストールするマシンにドメイン名が設定されていることを確認します。実行手順の詳細については、「ドメイン名の設定」を参照してください。
製品 CD から Identity Server をインストールする場合は、ソフトウェアをインストールするシステムのドライブに製品 CD を挿入します。
製品をダウンロードした場合は、次のコマンドを使って製品バイナリファイルを解凍します。
gunzip -dc binaryfile.tar.gz | tar -xvof -
この場合、binaryfile は製品バイナリファイルの名前です。
別の端末ウィンドウを開き、xhost + と入力してマシンのアクセス制御を無効にします。
アプリケーションウィンドウで、次のコマンドのどちらかを使用して DISPLAY 変数を設定します。
csh または tcsh を使用している場合、次のように入力します。
setenv DISPLAY host.domain.COM:0.0
sh、ksh、または bash を使用している場合、次のように入力します。
export DISPLAY=host.domain.COM:0.0
この場合、nila はインストールプログラムを実行しているマシンです。
setup プログラムを実行します。 図 5-5    開始パネル ![]()
「次へ」をクリックして、ソフトウェアライセンス契約に同意します。
「インストールディレクトリ」パネルで、Directory Server をインストールするディレクトリを指定します。このディレクトリに対する書き込み権限と実行権限が必要なことに注意してください。
このディレクトリに Sun ONE Identity Server をインストールします: Identity Server サービスをインストールするディレクトリのパスを入力します。
注
Identity Server サービスと Directory Server を別々のディレクトリにインストールするようにします。Identity Server サービスと Directory Server を別々のコンピュータシステムにインストールするのが理想的です。
「次へ」をクリックし、「インストール / アンインストールされるコンポーネント」パネルで、「Sun ONE Identity Server 管理サービスとポリシーサービス」を選択します。
図 5-6    「インストール / アンインストールされるコンポーネント」パネル ![]()
これらのサービスのコンポーネントの詳細については、第 1 章「Identity Server ソリューション」の節と「Sun ONE Identity Server の紹介」を参照してください。
図 5-7    「Java 設定」パネル ![]()
図 5-8    「Sun ONE Web Server 情報」パネル ![]()
「次へ」をクリックし、「Sun ONE Identity Server サービスを実行する Web Server」パネルで次の情報を入力します。
ホスト: Identity Server コンポーネントと専用 Web Server の両方をインストールするコンピュータの完全指定のホスト名を入力します。コンピュータのドメイン名が設定され、フィールドに正しく入力されていることを確認します。ドメイン名の設定方法に関する手順については、「ホストコンピュータのドメイン名の設定」の節を参照してください。
ポート: Identity Server サービスを実行する Web Server のポート番号を入力します。デフォルトのポート番号は 58080 です。
サービス配備 URI: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、サービスに関連付けられた HTML ページや Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。
デフォルトの URI 接頭辞は amserver です。別の名前を入力することもできます。
共通ドメイン配備 URI: Web Server の共通ドメインサービスにアクセスする URIです。デフォルトの URI は common です。必要に応じて変更可能です。
サービスと一緒にコンソールを配備: デフォルトでは、このチェックボックスをオンにすると、Identity Server サービスによりコンソールがインストールされます。ただし、既存のコンソールを使用しているため、ここでコンソールを配備する必要がない場合は、チェックボックスをオフにして選択を取り消します。この場合、インストールプログラムにより、既存のコンソールに関する追加情報を要求する別のパネルが表示されます。詳細は、次の手順を参照してください。
コンソール配備 URI: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Identity Server コンソールに関連付けられた HTML ページや、その他の Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。デフォルトの URI 接頭辞は amconsole です。別の名前を入力することもできます。「サービスと一緒にコンソールを配備」チェックボックスをオフにした場合、このフィールドは使用できません。
前のパネルで、このサービスでコンソールを配備しないように選択した場合は、「Sun ONE Identity Server Console を実行する Web Server」パネルで、既存のコンソールに関する次の情報を入力する必要があります。 図 5-9    「Sun ONE Identity Server Console を実行する Web Server」パネル ![]()
ホスト: Identity Server コンソールがインストールされるコンピュータの完全指定のドメイン名を入力します。
ポート: Identity Server サービスを実行する Web Server のポート番号を入力します。デフォルトのポート番号は 58080 です。
コンソール配備 URI: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Identity Server コンソールに関連付けられた HTML ページや、その他の Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。デフォルトの URI 接頭辞は amconsole です。別の名前を入力することもできます。
図 5-10    「ディレクトリスキーマ」パネル ![]()
「次へ」をクリックし、「ディレクトリのルートの接尾辞」パネルで次の情報を入力します。
ディレクトリツリー内の Sun ONE Identity Server ルート: ルート接尾辞として設定する識別名 (DN) を入力します。識別名 (DN) には、最低 1 個の type=value ペアが必要です。たとえば、o=isp,o=madisonparc,dc=siroe,dc=COM のようになります。
「次へ」をクリックし、「Sun ONE Directory Server 情報」パネルで次の情報を入力します。 図 5-11    「Sun ONE Directory Server 情報」パネル ![]()
ホスト: Directory Server がインストールされるコンピュータの完全指定のドメイン名を入力します。
ポート: Directory Server のポート番号を入力します。デフォルトのポート番号は 389 です。
ディレクトリマネージャ: Directory Server へのアクセスを制限されたユーザの DN を入力します。例: cn=Directory Manager など。
パスワード: ディレクトリマネージャのパスワードを入力します。パスワードの指定には 8 文字以上必要です。
これらのフィールドに入力する情報が不正確であると、インストールプログラムによりエラーメッセージが表示されます。入力した値を確認し、訂正してから次の手順に進んでください。
「次へ」をクリックします。インストールプログラムにより、次のメッセージが表示されます。
この Directory Server には 6.0 準拠の DIT がありません。インストーラで DIT を Directory Server 内にロードしますか?: 「はい」をクリックすると、Directory Server に 6.0 準拠 DIT およびスキーマ (ldif と xml) ファイルが自動的にロードされます。「いいえ」をクリックした場合は、インストール後に手動でファイルをロードできます。
「既存の DIT およびスキーマ情報」パネルで、次の情報を入力します。 図 5-12    「既存の DIT およびスキーマ情報」パネル ![]()
組織のマーカオブジェクトクラス: 既存の DIT の組織用に定義されたオブジェクトクラスを入力します。
組織のネーミング属性: 既存の DIT の組織を定義するために使用するネーミング属性を入力します。DIT が o=organization を使用している場合は、フィールドに表示されるデフォルトの値を使用することができます。
ユーザのマーカオブジェクトクラス: DIT のユーザ用に定義されたオブジェクトクラスを入力します。
ユーザのネーミング属性: 既存の DIT のユーザを定義するために使用するネーミング属性を入力します。DIT が uid を使用していない場合は、フィールドに表示されるデフォルト値を上書きできます。
図 5-13    「Sun ONE Identity Server 内部 LDAP 認証ユーザ情報」パネル ![]()
図 5-14    「Sun ONE Identity Server の最上位管理者」パネル ![]()
ユーザ名: スーパー管理者のユーザ名は amAdmin です。最上位管理者には、Identity Server が管理するすべてのエントリに対して無制限のアクセス権があります。ユーザ名は、amAdmin としてハードコードされています。これにより、Identity Server 管理者ロールとその権限が作成され、適切に Directory Server に割り当てられるので、インストール直後に Identity Server にログインできます。これは管理者ロールなので、インストール後にほかのユーザをこのロールに追加できます。
パスワード: amAdmin ユーザのパスワードを入力します。パスワードの指定には 8 文字以上必要です。
パスワードの確認: 確認のため、amAdmin パスワードを再度入力します。
インストール後にサーバを起動: インストール後に Identity Server を自動的に起動する場合は、このオプションをクリックします。このオプションを選択しない場合は、インストール後に手動でサーバを起動できます。この実行手順については、「Identity Server の起動」を参照してください。
「次へ」をクリックし、「現在選択されている設定」パネルで、これまでのパネルで選択した項目を確認します。任意のパネルを再表示するには、「戻る」をクリックして必要なパネルに移動します。
「次へ」をクリックし、「インストールの準備完了」パネルで、Identity Server を使用してインストールしたコンポーネントを表示します。
「今すぐインストール」をクリックしてインストールを開始します。インストールの終了時に、「インストールの要約」パネルで、製品が正常にインストールされたかどうかが表示されます。このパネルで、「取消し」ボタンをクリックして、製品がインストールされた場所を確認します。詳細を確認したら、「インストールの要約」パネルで「閉じる」をクリックして、インストールプログラムを終了します。
製品 CD から Identity Server をインストールする場合は、ソフトウェアをインストールするシステムのドライブに製品 CD を挿入します。
setup プログラムを実行します。このプログラムは、製品 CD の /cdrom/Identity Server_60 ディレクトリにあります。製品バイナリをダウンロードした場合、このプログラムはバイナリファイルを展開したディレクトリにあります。
画面に表示される手順を確認します。インストーラが示すさまざまなプロンプトに対する応答方法の説明が表示されます。手順を確認したら、Enter を押してソフトウェアライセンス契約を確認します。インストールのどの段階でも、< を入力して前のプロンプトに戻ることができます。また、! を入力してインストールプログラムを終了することができます。
ライセンス契約を確認し、yes と入力してライセンス契約に同意します。
次のプロンプトで、1 を入力し Enter を押して、「Sun ONE Identity Server 管理サービスとポリシーサービス」を選択します。
次のプロンプトで、使用する Java SDK を指定します。Identity Server がサポートする Java には、JDK バージョン 1.3.1_06 が必要です。
このインストールプログラムに付属する JDK 1.3.1_06 を使用する場合は、Enter を押します。ただし、既存の JDK (バージョン 1.3.1_06) を使用することもできます。この場合は、y を入力し、その JDK へのパスを入力します。
次のプロンプトの情報を入力して Sun ONE Web Server をインストールし、設定します。
Sun ONE Web Server 情報
管理者 [admin] {"<" 戻る, "!" 終了}:
ポート [58888] {"<" 戻る, "!" 終了}:
パスワード:
パスワードの確認:
サーバを実行するユーザ [nobody] {"<" 戻る, "!" 終了}:
サーバを実行するグループ [nobody] {"<" 戻る, "!" 終了}:
管理者 [admin]: Sun ONE Web Server のサーバ管理者としてのユーザ名を入力します。Enter を押して、デフォルトのユーザ ID (admin) を選択します。
ポート [58888]: Identity Server サービスを実行する Web Server のポート番号を入力します。デフォルトのポート番号は 58088 です。デフォルトのポート番号を選択する場合は Enter を押します。
パスワード: Web Server 管理者のパスワードを入力します。パスワードの指定には 8 文字以上必要です。
パスワードの確認: 確認のためにもう一度パスワードを入力します。
サーバを実行するユーザ [nobody]: Web Server を実行するユーザアカウントを入力します。Enter を押して、デフォルトユーザ nobody を選択します。Windows 2000 にインストールする場合、このプロンプトは表示されません。
サーバを実行するグループ [nobody]: 上述したユーザが属するグループを入力します。例: nobody など。Windows 2000 にインストールする場合、このプロンプトは表示されません。
次の情報を指定して、Sun ONE Identity Server サービスを実行する Web Server をインストールし、設定します。
ホスト [nila.Siroe.COM]: Web Server を実行するコンピュータの完全指定のドメイン名を入力します。デフォルトの名前を使用するには、Enter を押します。
ポート [58080]: Web Server が使用するポート番号を入力します。
サービス配備 URI [/amserver]: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、サービスに関連付けられた HTML ページや Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。
デフォルトの URI 接頭辞は amserver です。Enter を押してデフォルトの接頭辞を受け入れるか、あるいは別の名前を入力できます。
共通ドメイン配備 URI: Web Server の共通ドメインサービスにアクセスする URIです。デフォルトの URI は common です。必要に応じて変更可能です。
サービスと一緒にコンソールをインストールする [yes]: サービスとともにコンソールを配備する場合は、Enter を押します。既存の Identity Server コンソールを使用している場合は、「いいえ」を入力します。この場合、次のプロンプトで Identity Server コンソールに関する情報を入力する必要があります。
コンソール配備 URI [amconsole]: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Identity Server 管理コンソールに関連付けられた HTML ページや、その他の Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。デフォルトの URI 接頭辞は amconsole です。別の名前を入力することもできます。Identity Server コンソールを配備しないよう選択した場合、このフィールドは使用できません。
前のプロンプトで、Identity Server コンソールを配備しないよう選択した場合は、次のプロンプトで既存の Identity Server コンソールの詳細を指定する必要があります。
Sun ONE Identity Server Console を実行する Web Server
ホスト [nila.Siroe.COM] {"<" 戻る, "!" 終了}:
ポート [58080] {"<" 戻る, "!" 終了}:
コンソール配備 URI [amconsole] {"<" 戻る, "!" 終了}:
コンソール配備 URI [amconsole]: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Identity Server 管理コンソールに関連付けられた HTML ページや、その他の Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。デフォルトの URI 接頭辞は amconsole です。別の名前を入力することもできます。
次のプロンプトで、インストールプログラムに付属する Sun ONE Directory Server 5.1 をインストールするか、または Identity Server が既存のバージョンの Directory Server を使用するかを指定します。
ディレクトリスキーマ
1. 新規 Sun ONE Directory Server をインストール
2. 既存の DIT なしで既存の Sun ONE Directory Server を使用
3. 既存の DIT とともに既存の Sun ONE Directory Server を使用
上のオプションの 1 つを選択してください[1] {"<" 戻る, "!" 終了}
DIT を使用しない既存のサーバを使用する場合、2 を入力します。DIT を使用する既存の Directory Server を選択するには、3 を入力します。
ディレクトリのルートの接尾辞
ディレクトリツリー内の Sun ONE Identity Server ルート [dc=Siroe,dc=COM] {"<" 戻る, "!" 終了}:
ディレクトリツリー内の Sun ONE Identity Server ルート [dc=Siroe,dc=COM]: ルート接尾辞として設定する識別名 (DN) を入力します。識別名 (DN) には、最低 1 個の type=value ペアが必要です。たとえば、o=isp;o=madisonparc;dc=Siroe,dc=COM のようになります。
次のプロンプトで、Sun ONE Directory Server の情報を入力します。
Sun ONE Directory Server 情報
ホスト [nila.Siroe.COM] {"<" 戻る, "!" 終了}:
ポート [389] {"<" 戻る, "!" 終了}:
ディレクトリマネージャ [cn=Directory Manager] {"<" 戻る, "!" 終了}:
パスワード:
ホスト [nila.Siroe.COM]: Directory Server をインストールしたコンピュータの完全指定のドメイン名を入力します。通常、Directory Server は Identity Server とは異なるホストにインストールされます。
ポート [389]: Directory Server が使用しているポート番号です。
ディレクトリマネージャ [cn=Directory Manager]: Directory Server 管理ユーザ、つまりディレクトリマネージャは、Directory Server のデータおよび設定に対して無制限のアクセス権を持つ管理者です。ディレクトリマネージャのデフォルト DN は、cn=Directory Manager です。
パスワード: Directory Server 管理者のパスワードを入力します。パスワードの指定には 8 文字以上必要です。
次のプロンプトで、Identity Server 6.0 に準拠する DIT をインストールするかどうかを指定します。
この Directory Server には 6.0 準拠の DIT がありません。インストーラ で DIT を Directory Server 内にロードしますか?
1. はい
2. いいえ
該当する番号を入力してください [1] {"<" 戻る, "!" 終了}
この Directory Server には 6.0 準拠の DIT がありません。インストーラで、Directory Server に DIT をロードしますか ?: 「はい」を選択すると、Directory Server に 6.0 準拠 DIT およびスキーマ (ldif と xml) ファイルが自動的にロードされます。「いいえ」を選択すると、インストール後に手動でファイルをロードすることができます。
次のプロンプトで、既存の DIT およびスキーマの情報を入力します。
既存の DIT およびスキーマ情報
組織のマーカオブジェクトクラス [organization] {"<" 戻る, "!" 終了}:
組織のネーミング属性 [o] {"<" 戻る, "!" 終了}:
ユーザのマーカオブジェクトクラス [inetorgperson] {"<" 戻る, "!" 終了}:
ユーザのネーミング属性 [uid] {"<" 戻る, "!" 終了}:
組織のマーカオブジェクトクラス: 既存の DIT の組織用に定義されたオブジェクトクラスを入力します。
組織のネーミング属性: 既存の DIT の組織を定義するために使用するネーミング属性を入力します。DIT が o=organization を使用している場合は、フィールドに表示されるデフォルトの値を使用することができます。
ユーザのマーカオブジェクトクラス: DIT のユーザ用に定義されたオブジェクトクラスを入力します。
ユーザのネーミング属性: 既存の DIT のユーザを定義するために使用するネーミング属性を入力します。DIT が uid を使用していない場合は、フィールドに表示されるデフォルト値を上書きできます。
次のプロンプトで、Sun ONE Identity Server 内部 LDAP 認証ユーザのインストールおよび設定に関する情報を入力します。
Sun ONE Identity Server 内部 LDAP 認証ユーザ情報
ユーザ名: amldapuser
パスワード:
パスワードの確認:
ユーザ名: これは、LDAP、メンバーシップ、およびポリシーサービスのバインド DN ユーザです。ユーザ名は、amldapuser としてハードコードされ変更できません。このユーザは、読み取り権を持ち、Directory Server エントリを検索できます。
パスワード: amldap ユーザのパスワードを入力します。このパスワードは一意のもので、次のパネルで入力する最上位管理者のパスワードとは異なっている必要があります。このパスワードは、Identity Server とエージェント間の共有シークレットになります。
パスワードの確認: 確認のためにもう一度パスワードを入力します。
次のプロンプトで、Sun ONE Identity Server 最上位管理者に関する詳細情報を入力します。
Sun ONE Identity Server の最上位管理者情報
ユーザ名:amAdmin
パスワード:
パスワードの確認:
インストール後にサーバを起動 [yes] {"<" 戻る, "!" 終了}:
ユーザ名: スーパー管理者のユーザ名は amAdmin です。最上位管理者には、Identity Server が管理するすべてのエントリに対して無制限のアクセス権があります。ユーザ名は、amAdmin としてハードコードされています。これにより、Identity Server 管理者ロールとその権限が作成され、適切に Directory Server に割り当てられるので、インストール直後に Identity Server にログインできます。これは管理者ロールなので、インストール後にほかのユーザをこのロールに追加できます。
パスワード: amAdmin ユーザのパスワードを入力します。パスワードの指定には 8 文字以上必要です。
パスワードの確認: 確認のため、amAdmin パスワードを再度入力します。
インストール後にサーバを起動: インストール後 Identity Server サーバを自動的に起動するには、Enter を押します。あるいは、no を入力し、後でサーバを手動で起動することができます。手順については、「Identity Server の起動」を参照してください。
インストールプログラムは、これまでのプロンプトで選択した設定を表示し、次に Identity Server でインストールするコンポーネントの一覧を表示します。
次のプロンプトで、1 を入力してインストールを開始します。
コピーしたファイルなどインストールの詳細を表示するには、次のプロンプトで 1 を入力します。
カスタムのオブジェクトクラスの Identity Server スキーマへの追加 (オプション)
ユーザが作成した、Directory Server に付属していないオブジェクトクラスが既存の DIT にある場合は、それらのオブジェクトクラスおよび属性を Identity Server スキーマに追加する必要があります。基本情報については、『Programmer's Guide』の「Identity Server XMLs and DTDs」を参照してください。
DIT でカスタムのオブジェクトクラスを使わない場合は、この手順は不要です。「Identity Server LDIF のディレクトリへの読み込み」に進んでください。
この節の例では、Madison Park という会社が Identity Server スキーマに付属していない 2 つのオブジェクトクラスを使用します。AUXILIARY オブジェクトクラス madisonparc-org はすべての組織エントリに存在し、AUXILIARY オブジェクトクラス madisonparc-user はすべてのユーザエントリに存在します。
これらの拡張を管理するには、次の 3 つのファイルを変更する必要があります。
組織スキーマへの属性の追加
組織スキーマに属性を追加するには、2 つのサービスファイルを変更する必要があります。
Identity Server コンソールは、表示のために amEntrySpecific.xml 内の情報を使用します。各 Identity Server 抽象エントリは、この XML ファイル内にサブスキーマを持つことがあります。次の例では、2 つの属性を madisonparc-org オブジェクトクラスから組織サブスキーマに追加します。カスタマイズされた組織単位、グループ、またはピープルコンテナが DIT に含まれる場合は、同じ XML ファイルのそれらのサブスキーマを追加または変更します。
組織単位のサブスキーマ名は OrganizationalUnit です。ピープルコンテナのサブスキーマ名は PeopleContainer です。
.
注
User サブスキーマは、amEntrySpecific.xml ファイルではなく、amuser.xml ファイル (「ユーザスキーマへの属性の追加」を参照) で設定されます。どのサービス XML ファイルでもユーザ専用の属性を記述できますが、amentryspecific.xml ファイルは、特定のサービスに結び付けられていないユーザ属性のデフォルトの可変部分として機能します。
属性をカスタムの組織から Organization サブスキーマに追加するには
注
XML では、属性名はすべて小文字にする必要があります。Identity Server では、属性名を Directory Server から取得するときに、すべての名前を小文字に変換します。
次のファイルで、属性をカスタムのオブジェクトクラスからサブスキーマ Organization に追加します。
IS_root/SUNWam/config/xml/amEntrySpecific.xml
Windows の場合、このファイルへのパスは次のとおりです。
IS_root¥config¥xml¥amEntrySpecific.xml
たとえば、次の 2 つの属性がカスタムのオブジェクトクラス madisonparc-org からファイルに追加されています。
<AttributeSchema name="madisonparc-org-description"
type="single"
syntax="string"
any="required"
/>
<AttributeSchema name="madisonparc-org-city"
type="single"
syntax="string"
any="required|filter"
/>
また、amEntrySpecific.xml ファイルで、各属性に対して国際化 (i18n) キー (インデックスキーまたは地域対応化キーとも呼ばれる) を作成します。組織内のすべての i18n キーは、一意の文字列で構成する必要があります。Identity Server 管理コンソールでは、このキーを使って属性の表示名を検索します。
次のファイルでは、手順 2 で作成した i18n キーの値を追加します。
IS_root/SUNWam/locale/amEntrySpecific.properties
Windows の場合、このファイルの場所は次のとおりです。
IS_root¥locale¥amEntrySpecific.properties
組織が表示されるときに、サブスキーマに含まれているすべての属性が管理コンソールに表示されます。サブスキーマに含まれていない属性は管理コンソールに表示されません。
ヒント
属性に i18n キーがない場合、その属性は管理コンソールに表示されません。属性を追加してもその属性が管理コンソールに表示されない場合は、i18n キーおよびプロパティを確認してください。
any 属性
XML 記述内の any 属性は、filter、display、adminDisplay、userReadOnly、required、 optional の 5 つの値のいずれかをとることができます。これらの値は、この属性を GUI に表示する必要があるかどうかを管理コンソールに指示します。通常、required と optional の両方が同時に表示されることはありません。この 2 つは相互に排他的です。
display: この属性は、管理者と一般ユーザに対して読み取りと書き込みを許可します。
adminDisplay: この属性は、管理者の読み取り / 書き込み用であり、通常のユーザ用には表示されません。
userReadOnly: この属性は、管理者の読み取り / 書き込み用ですが、通常のユーザには読み取り専用です。この属性は、編集できないように、通常のユーザにはラベルとして表示されます。たとえば、display、adminDisplay、userReadOnly の設定は、ユーザプロファイルページを表示するときに使用され、ページをカスタマイズするために使用できます。
required: この属性は作成ページに表示されます。エントリの作成時に値を必要とします。any=required の場合、この属性には値が必要です。値がないと、コンソールが作成処理を許可しません。空白文字列 (" ") を使って、何も表示しないよう管理コンソールに指示できます。
optional: この属性は作成ページに表示されますが、エントリの作成時に値は不要です。any=optional の場合、属性はアスタリスクなしで「作成」ページに表示されます。これは、エントリを作成するのに値を指定する必要がないことを示します。「Create User (新規ユーザ)」ページでは、UserID (ユーザ ID) は必須属性ですが First Name (名前) はオプションです。
次の例では、両方の属性が「組織」ページに表示され、両方とも作成に必要です。このことは、required 値の使用によって示されています。filter 値の使用が示すように、Identity Server コンソールの「検索」ページでは madisonparc-org-city 属性だけが使用されます。
type 属性
type 属性には、文字列、文字列リスト、単一選択肢、複数選択肢、またはブール値を使用できます。たとえば、madisonparc-org-city 属性に Concord、San Francisco、または Palo Alto のどれか 1 つの都市だけを有効な値として指定できる場合は、この属性を単一選択肢にすることができ、各都市は選択肢の 1 つになります。Identity Server コンソールには、それらの都市だけを含む一覧が表示されます。複数の都市が許可される場合、属性は複数選択肢になります。
ユーザスキーマへの属性の追加
この手順では、サービス用に次の 2 つのファイルを変更します。
組織およびグループのスキーマが amEntrySpecific.xml に記述されているように、amUser.xml ファイルにはユーザ属性が記述されています (手順 2 を参照)。ファイル amUser.xml には、Identity Server のユーザサービスが記述されています。どのサービスでも、ユーザ専用の属性を記述できます。このファイルは、特定のサービスに結び付けられていない user 属性のためのデフォルトの可変部分です。
ユーザの属性を表示するときは、Identity Server 管理コンソールはサブスキーマタイプが User であるすべてのサービスからすべての属性を取得し、amEntrySpecific.xml ファイルで使われているのと同じ値を使ってそれらの属性を表示します (「any 属性」および「type 属性」を参照)。次の例では、いくつかの属性が madisonparc-user オブジェクトクラスからファイルに追加されるので、新しいサービスを作成する必要はありません。iplanetamuserservice サービスを変更または拡張するだけですみます。
amUser.xml ファイルに関する追加情報
ファイル amUser.xml には、特別な属性が含まれています。any=display 属性は、この属性をユーザプロファイルページに表示するかどうかを Identity Server に指示します。これは、アクセス制御を暗に示すので、誤解を与えやすい名前です。これは表示だけに使用されます。この属性が no に設定されている場合、コンソールにはこの属性は表示されません。
また、属性は、サブスキーマ Dynamic ではなく User の下に定義されます。User の下に定義される属性は、物理的にユーザエントリの属性です。属性をロールベースまたは組織ベースの属性にする場合は、属性を Dynamic サブスキーマの下に定義します。基本情報については、『Programmer's Guide』の「Identity Server XMLs and DTDs」を参照してください。
たとえば、madison-user-building 属性を Dynamic にして、Identity Server でこの属性を使ってロールを作成することができます。このようにすると、ある部門のすべての社員が別の建物に移動した場合、すべての個々のユーザエントリを変更する必要はなく、そのロール属性を変更するだけですみます。
属性をカスタムの組織から User サブスキーマに追加するには
次のファイルでは、カスタムのオブジェクトクラスから User サブスキーマに属性を追加します。
たとえば、次の 2 つの属性がカスタムのオブジェクトクラス madisonparc-user からファイルに追加されています。
amUser.xml ファイルで、各属性に対して i18n キー (インデックスキーまたは地域対応化キーとも呼ばれる) を作成します。組織内のすべての i18n キーは、一意の文字列で構成する必要があります。Identity Server コンソールでは、このキーを使って属性の表示名を検索します。上述した例を参照してください。
前の手順で作成した i18n キーの値を次のファイルに追加します。IS_root/SUNWam/locale/amUser.properties
Windows の場合、このファイルは次の場所にあります。
IS_root¥locale¥amUser.properties
次に例を示します。
この値は、管理コンソールページに表示されるフィールドそのものです。このキーは、ロケールに応じてローカライズされます。この例では、管理コンソールには、テキストフィールド「User Id」と「Employee Building」が表示されます。
作成テンプレートの変更
この手順では、ums.xml ファイルを変更します。
図 5-16 の DIT の例では、ユーザと組織の両方に新しいオブジェクトクラスがあります。UI にそれらの新しいオブジェクトクラスを表示するには、ums.xml ファイル内のユーザと組織の両方の作成テンプレートを変更します。作成テンプレートは、エントリの作成時に特定のオブジェクトクラスを追加または許可するように Identity Server を設定します。
ファイル IS_root/SUNWam/config/ums/ums.xml で次の変更を行います。
<SubConfiguration name="BasicOrganization" id="CreationUmsObjects"> の下の <AttributeValuePair> <Attribute name="required" /> 要素に、次の行を追加します。
<Value>objectClass=madisonparc-org</Value>
次に例を示します。
<SubConfiguration name="BasicUser" id="CreationUmsObjects"> の下の <AttributeValuePair><Attribute name="optional" /> 要素に、次の行を追加します。
<Value>objectClass=madisonparc-user</Value>
次に例を示します。 (続き)
<SubConfiguration name="BasicOrganization" id="CreationUmsObjects"> の下の <AttributeValuePair> <Attribute name="optional" /> 要素に、次の行を追加します。
<Value>madisonparc-org-description</Value>
<Value>madisonparc-org-city</Value>
次に例を示します。
<SubConfiguration name="BasicUser" id="CreationUmsObjects"> の下の <AttributeValuePair> <Attribute name="optional" /> 要素に、次の行を追加します。
<Value>madisonparc-user-id</Value>
<Value>madisonparc-user-building</Value>
代替ネーミング属性の設定 (オプション)
o=organization 以外のネーミング属性を使って DIT で組織を定義した場合は、ums.xml ファイルを変更して標準でないネーミング属性に対応させる必要があります。uid=username 以外のネーミング属性を使って DIT でユーザを定義した場合は、ums.xml ファイルで同様の変更を行う必要があります。
組織の代替ネーミング属性を設定するには
次の手順では、組織に使用するネーミング属性が dc であることを前提としています。次のファイルで変更を行ないます。
IS_root/SUNWam/config/ums/ums.xml
o=org を dc=org に置き換えます。
BasicOrganization セクションで、o の値を dc に置き換えます。
BasicOrganizationSearch SubConfiguration セクションで、o の値を dc に置き換えます。
BasicOrganization セクションで、organization のオブジェクトクラスを domain に変更します。組織に ou を使う場合は、organizationalUnit に変更する必要があります。
ユーザの代替ネーミング属性を設定するには
次の手順では、ユーザに使用するネーミング属性が cn であることを前提としています。
次のディレクトリで、次のように変更を行います。
Windows の場合は、次のディレクトリで変更を行います。
ファイル ldif/installExisting.ldif で、2 つの例外を除いて、uid を cn に置き換えます。例外は次のとおりです。
xml/amAuth.xml で、uid をユーザネーミング属性の cn に置き換えます。
xml/amMembership.xml で、uid をユーザネーミング属性の cn に置き換えます。
xml/amAuthLDAP.xml で、uid をユーザネーミング属性の cn に置き換えます。
AMConfig.properties で、uid=amAdmin を cn=amAdmin に置き換えます。
ums/ums.xml の BasicUser subconfiguration で、uid を namingattribute の cn に置き換えます。
ums/ums.xml の BasicUser 必須値で、cn=default を cn に、uid を uid=default に変更します。
Identity Server LDIF のディレクトリへの読み込み
installExisting.ldif ファイルには、インストール時に Directory Server に読み込まれる Identity Server 固有のエントリが含まれています。通常、インストール処理時に読み込む前にこのファイルを変更する必要はありません。
Directory Server に付属の ldapmodify ユーティリティを使用して、installExisting.ldif を読み込むことができます。MadisonParc の例では、LDIF の読み込み時に、次のように行われます。
Identity Server に必要なユーザおよびマーカーオブジェクトクラスは、o=madisonparc および o=Engineering、o=madisonparc に追加される
適切なバージョンの ldapmodify を使っていることを確認してください。次の手順に従います。
Sun ONE Directory Server 5.1 に付属の ldapmodify コマンドを使うようにパスが設定されていることを確認します。/bin または /usr/bin にある、Solaris に付属のバージョンは使用しないでください。
また、Directory Server ライブラリを取り込むために、/usr/iplanet/servers/lib を LD_LIBRARY_PATH に追加する必要があります。コマンド行に次のように入力します。
Windows の場合、ldapmodify は Identity Server をインストールした次のディレクトリにあります。
IS_root¥tools
DOS プロンプトウィンドウを開き、ldapmodify ツールのパスを入力します。たとえば次のようになります。
set PATH=IS_root¥tools;%PATH%
Identity Server は、必要な変更を加えるのに役立つ 2 つの異なる LDIF ファイルを提供します。使用するファイルと手順を決めます。
Identity Server のデフォルト組織がディレクトリツリーのルート接尾辞の下のレベルにある場合は、「installExisting.ldif ファイルを読み込むには」の節の手順を使用します。
Identity Server のデフォルト組織のルート接尾辞がピリオド (.) として入力されている場合は、「install.ldif ファイルを読み込むには」の節の手順を使用します。
installExisting.ldif ファイルを読み込むには
次のディレクトリに移動します。
cd IS_root/SUNWam/web-apps/services/WEB-INF/config/ldif
Windows の場合は、次のディレクトリに移動します。
cd IS_root¥web-apps¥services¥WEB-INF¥config¥ldif
コマンド行に次のコマンドを入力します。
ldapmodify -v -c -D "cn=Directory manager" -w password -a -f installExisting.ldif
注
-c オプションを指定する必要があります。installExisting.ldif だけをインストールし、他のどのファイルも同じディレクトリにインストールしないでください。
デフォルトの組織の「すでに存在している」エントリまたは値に関するエラーメッセージが表示される場合は、「Identity Server ACI のデフォルト組織への追加 (オプション)」を参照してください。
Identity Server の管理ユーザ amAdmin が、ou=People,o=Engineering,o=madisonparc ピープルコンテナの下に作成されます。これは、Identity Server の最上位レベルの管理者です。この管理者は、o=madisonparc のサブツリー全体に対する読み取りおよび書き込みアクセス権を持ちます。Identity Server コンソールの起動後に、ユーザの 1 人をこの最上位レベルの管理者ロールに追加できます。
図 5-15    この章の例で使われているディレクトリ情報ツリー (DIT) ![]()
次のディレクトリに移動します。
cd IS_root/SUNWam/web-apps/services/WEB-INF/config/ldif
Windows の場合は、次のディレクトリに移動します。
cd IS_root¥web-apps¥services¥WEB-INF¥config¥ldif
コマンド行に次のコマンドを入力します。
Identity Server サービス属性のディレクトリへの読み込み
同じコマンドを使って ums.xml ファイルとすべてのサービスファイルを読み込むことができます。
構文解析エラーが発生した場合は、前の手順で行なった変更をもう一度確認する必要があります。また、amUser.xml ファイルと amEntrySpecific.xml ファイルの構文を調べて、正しい構文を使っていることを確認します。構文の例を参照する場合は、次のディレクトリにあるほかのサービス XML ファイルを参照してください。
IS_root/SUNWam/config/xml (Solaris の場合)
IS_root¥config¥xml (Windows の場合)
Identity Server ACI のデフォルト組織への追加 (オプション)
インストール時に既存の組織をデフォルトの組織として指定した場合だけ、この手順を実行する必要があります。デフォルトでは、Identity Server は DN o=iplanet を使って新しい組織を 1 つ作成します。デフォルトの RDN を受け入れた場合は、「Identity Server の起動」の節に進みます。
この手順では、Identity Server のデフォルト ACI をデフォルトの組織、つまり最初の組織として指定した組織に手動で追加します。
Identity Server のデフォルト組織の ACI をコピーします。
ファイル installExisting.ldif を読み込んだ場合は、次のファイルから ACI をコピーします。
ファイル install.ldif を読み込んだ場合は、次のファイルから ACI をコピーします。
ldapmodify ユーティリティがあるディレクトリで、次のコマンドを入力します。
Identity Server の起動
この時点で、Identity Server サーバを起動し、amAdmin ユーザとして Identity Server コンソールにログインできます。インストール時に指定したルート接尾辞と組織が表示されます。MadisonParc の例では、o=madisonparc と o=Engineering が表示されます。残りのエントリにはまだ Identity Server マーカーオブジェクトクラスが含まれていないので、それらのエントリは表示されません。
Solaris で Identity Server を起動するには
Identity Server を手動で起動するには、コマンド行に次のコマンドを入力します。
/IS_root/SUNWam/bin/amserver start
Windows で Identity Server を起動するには
次の方法のいずれかを使って、Identity Server を起動できます。
Identity Server コンソールにログインするには
Identity Server のオブジェクトクラスと属性の既存のディレクトリエントリへの追加
この手順では、既存のディレクトリエントリを変更して、必要な Identity Server のオブジェクトクラスと属性を含めます。Identity Server オブジェクトクラスは、Identity Server によって管理するディレクトリエントリを示す marker とみなすことができます。この marker により、Identity Server はディレクトリ内のエントリを認識できます。オブジェクトクラスには、委託管理に必要な特別な属性が含まれています。
始める前に
既存のディレクトリを使うための残りの手順を容易にするために利用できるリソースがいくつかあります。
この節で使われている例
この章で使っている例は、MadisonParc の DIT に基づいています。図 5-16 では、ルートの下に 2 つの組織、Engineering と Sales があります。この例の中のグループはすべてスタティックグループです。
図 5-16    MadisonParc ディレクトリ情報ツリー (DIT) ![]()
利用できるユーティリティとスクリプト
Sun ONE Directory Server コンソールを使って、または Directory Server に付属の ldapmodify または db2ldif ユーティリティを使って、これらの変更を行うことができます。Sun ONE Directory Server コンソールを使って、またはこれらのユーティリティを使ってディレクトリを変更する方法については、次の Sun ONE Directory Server のマニュアルを参照してください。
また、この製品に含まれるサンプルスクリプトを使うこともできます。サンプルスクリプトには、Perl 5.x 以降が必要です。サンプルスクリプトは、次の場所にあります。
IS_root/SUNWam/migration (Solaris の場合)
IS_root/migration (Windows の場合)
これらのサンプルスクリプトは役に立ちますが、DIT やその他のデータを適切にフォーマットするのを支援するツールにすぎません。各スクリプトには、スクリプトを実行する前に編集する必要がある 1 つ以上の変数がファイルの一番上にあります。各スクリプトを実行すると、LDIF (LDAP Data Interchange Format) ファイルが生成されます。
「すでに存在している」エントリまたは値に関するエラーメッセージが表示される場合は、オブジェクトクラスまたは属性を手動で追加する必要があります。詳細は、Sun ONE Directory Server のマニュアルを参照してください。
各サンプルスクリプトを使うための手順は、この章の各オブジェクトクラスにマークを付ける手順の中に記述されています。
注
サンプルスクリプトを使うための手順を実行する前に、次のサンプルスクリプトを IS_root/SUNWam/migration からディレクトリ Directory_Server_root/shared/bin にコピーする必要があります。
これらのスクリプトを使って行う変更は、自動的に元に戻すことができないことに注意してください。必ずデータをバックアップしてからスクリプトを実行してください。
既存の DIT を変更する 2 つの方法
DIT を変更する 2 つの方法のいずれかを利用できます。1 つの方法では、Identity Server の LDIF および XML の設定ファイルを読み込む前に、必要なすべての変更を DIT に加えます。この方法は間違いが起きやすい方法ですが、LDAP を使った経験があれば速い方法です。
もう 1 つの方法では、LDIF および XML ファイルでいくつかの変更を行なってから、Identity Server を起動して変更が正しく行われたかどうかを確認します。この 2 番目の方法をお勧めします。たとえば、各組織の Identity Server オブジェクトクラスを追加し、Identity Server を再起動して、Identity Server 管理コンソールに組織が表示されることを確認することができます。次に、グループの marker クラスを追加して、確認その他の作業を行うことができます。
組織のマーク付け
インストール時に既存の組織をデフォルトの組織として使った場合は、これらの変更を行う必要はありません。これらのオブジェクトクラスおよび属性は、インストールプログラムによって自動的に追加されています。「ピープルコンテナのマーク付け」に進んでください。
MadisonParc の例では、これらのオブジェクトクラスと属性は、『インストールおよび設定ガイド』のインストール時に指定および作成されたデフォルトの組織 o=Engineering に自動的に追加されています。オブジェクトクラスと属性は、手動で o=Sales 組織に追加されています。
次に例を示します。
update-o.pl を次のディレクトリにコピーします。
$base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
例: o=madisonparc など。
プロンプトが表示されたら、次の情報を入力します。
ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。
バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。
バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。
ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。
結果を確認するには、作成された ldif ファイル (たとえば、o-update.ldif) を開いて、適切な変更が行われたことを確認します。
ピープルコンテナのマーク付け
各ピープルコンテナに iplanet-am-managed-people-container オブジェクトクラスを追加します。
サンプルスクリプトを使ってピープルコンテナにマークを付けるには
update-people.pl を次のディレクトリにコピーします。
$base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
例: o=madisonparc など。
スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。
プロンプトが表示されたら、次の情報を入力します。
ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。
バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。
バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。
ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。
ピープルコンテナを入力: 変更対象の uid が含まれているピープルコンテナの名前を入力します。例: People など。
結果を確認するには、作成された LDIF ファイル (たとえば、people-update.ldif) を開いて、適切な変更が行われたことを確認します。
組織単位のマーク付け
組織単位である各コンテナに、次のオブジェクトクラスを追加します。
次に例を示します。
update-ou.pl を次のディレクトリにコピーします。
$base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
例: o=madisonparc など。
スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。
プロンプトが表示されたら、次の情報を入力します。
ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。
バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。
バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。
ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。
結果を確認するには、作成された LDIF ファイル (たとえば、ou-update.ldif) を開いて、適切な変更が行われたことを確認します。
ユーザのマーク付け
各ユーザエントリに、次のオブジェクトクラスを追加します。
次に例を示します。
udpate-users.pl を次のディレクトリにコピーします。
$base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
例: o=madisonparc など。
$base-component 変数を DIT のベース接尾辞に設定します。
例: o=madisonparc など。
スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。
プロンプトが表示されたら、次の情報を入力します。
ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。
バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。
バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。
ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。
結果を確認するには、作成された LDIF ファイル (たとえば、users-update.ldif) を開いて、適切な変更が行われたことを確認します。
スタティックグループのマーク付け
uniquemember 属性の値を含む各グループエントリに、次のオブジェクトクラスを追加します。
次に例を示します。
サンプルスクリプトを使ってスタティックグループにマークを付けるには
update-static-groups.pl を次のディレクトリにコピーします。
$base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
例: o=madisonparc など。
スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。
perl update-static-groups.pl
プロンプトが表示されたら、次の情報を入力します。
ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。
バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。
バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。
ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。
結果を確認するには、作成された LDIF ファイル (たとえば、static-groups-update.ldif) を開いて、適切な変更が行われたことを確認します。
フィルタが適用された (ダイナミック) グループへのマーク付け
フィルタが適用されたグループでは、ユーザは DN に基づいて 1 つのグループに入れられます。
次のオブジェクトクラス (属性なし) をフィルタが適用された各グループに追加します。
サンプルスクリプトを使ってフィルタが適用されたグループにマークを付けるには
update-filtered-groups.pl を次のディレクトリにコピーします。
$base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
例: o=madisonparc など。
スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。
プロンプトが表示されたら、次の情報を入力します。
ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。
バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。
バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。
ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。
結果を確認するには、作成された LDIF ファイル (たとえば、update-filtered-groups-update.ldif) を開いて、適切な変更が行われたことを確認します。
割り当て可能なダイナミックグループへのマーク付け
割り当て可能なダイナミックグループは、フィルタが適用されたグループに似ていますが、ユーザエントリの DN を使ってグループを指定します。
割り当て可能な各ダイナミックグループに次のオブジェクトクラスを追加します。
サンプルスクリプトを使って割り当て可能なダイナミックグループにマークを付けるには
update-assignable-dynamic-groups.pl を次のディレクトリにコピーします。
$base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
例: o=madisonparc など。
スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。
プロンプトが表示されたら、次の情報を入力します。
ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。
バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。
バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。
ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。
結果を確認するには、作成された LDIF ファイル (たとえば、assignable-dynamic-groups-update.ldif) を開いて、適切な変更が行われたことを確認します。
グループコンテナへのマーク付け
グループコンテナは、グループを含む組織単位 (ou) です。各グループコンテナに、次のオブジェクトクラスを追加します。
サンプルスクリプトを使ってグループコンテナにマークを付けるには
update-groups.pl を次のディレクトリにコピーします。
$base 変数を Identity Server が管理する DIT のベース接尾辞に設定します。
例: o=madisonparc など。
スクリプトがあるディレクトリに移動して、コマンド行に次のコマンドを入力します。
プロンプトが表示されたら、次の情報を入力します。
ホスト名を入力: Directory Server がインストールされているコンピュータシステムの名前を入力します。
バインドユーザ名を入力: ディレクトリ全体にアクセスする十分な権限を持つユーザ名を入力します。例: cn=Directory Manager など。
バインドパスワードを入力: 上で指定したユーザのパスワードを入力します。
ポート番号を入力: Directory Server のポート番号を入力します。例: 389 など。
結果を確認するには、作成された LDIF ファイル (たとえば、groups-update.ldif) を開いて、適切な変更が行われたことを確認します。
変更された LDIF ファイルの読み込み
ここまでの手順でスクリプトを実行した後には、さまざまな LDIF ファイルが Perl スクリプトを実行した同じディレクトリに作成されます。実際にはこれまで、ディレクトリではなんの変更も行われていません。変更されたファイルをディレクトリに読み込む前に、ファイルを調べて、すべての Identity Server オブジェクトクラスおよび属性が既存のディレクトリエントリに正しく追加されたことを確認するようお勧めします。正しく変更されたことを確認したら、次の ldapmodify コマンドを使って各ファイルを読み込みます。
ldapmodify -h hostname -p port -D bind_user, -w password -a -c -f filename.ldif
Identity Server とディレクトリの変更の結果
ここまでの手順を実行して変更が完了すると、DIT 内のすべてのエントリを Identity Server で管理できるようになります。組織管理者の既存の ACI を変更する必要はありません。Identity Server はデフォルトでロールと ACI を使いますが、既存のグループと ACI はまだ有効です。
グループベースの DIT は、ロールおよび ACI を活用する DIT に変換できます。これを選択する場合は、Identity Server の組織管理者ロールを使って、そのロールを既存の organizationList 管理者に割り当てることができます。
前へ 目次 索引 次へ
Copyright 2002 Sun Microsystems, Inc. All rights reserved.