ここでは、内部認証機構からディレクトリサービスを利用したユーザー管理への移行方法を説明します。
Active Directoryへの移行
Active Directoryとマネージャーの間の通信をSSL暗号化する場合、SSL通信環境を作成してください。なお、Active Directoryのldifdeコマンドを使ってユーザー情報を登録するためには、SSL通信環境が必要です。ServerView Operations Managerとシングルサインオン運用をする場合もSSL通信環境が必要です。
Active Directoryのサーバ証明書インポート方法については、「ServerView Resource Coordinator VE 導入ガイド」の「H.3 シングルサインオン」を参照してください。
本製品の初期リソース情報および標準ロールを定義したldifファイルを、実際の環境に合わせて修正します。ldifファイルは、本製品のインストール媒体または以下に格納されています。
【Windows】
インストールフォルダー\Manager\etc\files
【Linux】
/etc/opt/FJSVrcvmr/files
Active Directory用のldifファイルは、"RORActiveDirectory.ldif"です。
ldifファイル内のベース名部分を、Active Directoryのベース名に合わせて修正します。
"ManagerHostname"の部分をマネージャーのホスト名に変更してください。ホスト名は、hostnameコマンドで表示される名前です。
RcxManager(cn=RcxManager,cn=users,dc=example,dc=local)のエントリーとその所属グループ(cn=Administrative,ou=ROR,ou=UserGroups,ou=SVS,dc=example,dc=local)のエントリーを削除します。
内部認証機構からユーザー情報をLDIF形式でエクスポートします。
例
>rcxadm user list -format ldif > myusers.ldif <RETURN> |
手順3.でエクスポートしたユーザー情報およびユーザーグループ情報のldifファイルを、Active Directory用に修正します。
各エントリーのベース名部分を、Active Directoryのベース名に合わせて修正します。
"ou=AuthorizationRoles"の前にある、ロール名が以下の場合、変更します。
ロール名変更前 | ロール名変更後 |
|---|---|
admin | administrator |
lserver_admin | service_admin |
dnおよびcn属性の値のロール名を変更します。
dnの次の行が"changetype: modify"となっているエントリーの最後の行(次のdnの直前の行)に、ハイフン("-")と空白行が入っているか確認してください。入っていない場合、追加してください。
手順2.で修正したldifファイルを、ldifdeコマンドを使ってActive Directoryに登録します。
例
>ldifde -i -e -k -t 636 -f RORActiveDirectory.ldif <RETURN> |
ldifdeコマンドの詳細は、Active Directoryのドキュメントを参照してください。
本製品のマネージャーを停止します。
マネージャーの停止方法については、「ServerView Resource Coordinator VE 導入ガイド」の「5.1 マネージャ」を参照してください。
本製品の外部認証機構として、Active Directoryを登録します。
例
>rcxadm authctl register -ip 192.168.1.1 -port 636 -base dc=example,dc=local -bind cn=Administrator,cn=Users,dc=example,dc=local -method SSL -passwd mypasswd -auth ldap <RETURN> |
本製品のマネージャーを起動します。
マネージャーの起動方法は、「ServerView Resource Coordinator VE 導入ガイド」の「5.1 マネージャ」を参照してください。
ディレクトリサーバのリソース情報に本製品で管理しているリソース情報を反映します。
リソース情報を反映するには、rcxadm authctl syncコマンドを実行します。コマンドの詳細は、「ServerView Resource Orchestrator リファレンスガイド」の「1.7.10 rcxadm authctl」を参照してください。
手順3.~4.で修正したldifファイルを、ldifdeコマンドを使ってActive Directoryに登録します。
例
>ldifde -i -e -k -t 636 -f myusers.ldif <RETURN> |
登録したユーザーのパスワードは以下の値に初期化されています。
ユーザー | 初期パスワード |
|---|---|
製品の特権ユーザー | rcxman@123 |
一般ユーザー | rcxuser@123 |
手順10.で登録したユーザーのパスワードを、適切な値に変更します。
ServerView Operations Managerとシングルサインオン運用をする場合、ServerView Operations Managerにもユーザー定義が必要です。ServerView Operations Managerへのユーザー定義の追加については、以下のマニュアルを参照してシングルサインオンの設定をしてください。
「ServerView Suite ServerView でのユーザ管理」の「ServerView ユーザ管理の Microsoft Active Directory への統合」の記述
OpenDSまたはOpenLDAPへの移行
SSL証明書をインポートします。
OpenDSの場合
「ServerView Resource Coordinator VE 導入ガイド」の「H.3 シングルサインオン」を参照してください。
OpenLDAPの場合
OpenLDAPのサーバ証明書をインポートします。必要に応じて、SSL通信環境を設定してください。
例
【Windows】
>"インストールフォルダー\Manager\runtime\jre6\bin\keytool.exe" -importcert -alias ror_ldap -trustcacerts -file 証明書のパス -keystore "インストールフォルダー\Manager\runtime\jre6\lib\security\cacerts" <RETURN> |
【Linux】
# /opt/FJSVrcvmr/runtime/jre6/bin/keytool -importcert -alias ror_ldap -trustcacerts -file 証明書のパス -keystore /opt/FJSVrcvmr/runtime/jre6/lib/security/cacerts <RETURN> |
本製品の初期リソース情報および標準ロールを定義したldifファイルを、実際の環境に合わせて修正します。ldifファイルは、本製品のインストール媒体または以下に格納されています。
【Windows】
インストールフォルダー\Manager\etc\files
【Linux】
/etc/opt/FJSVrcvmr/files
以下の表を参照し、必要なldifファイルを確認してください。
ディレクトリサービス | ldifファイル |
|---|---|
OpenDS | ROROpenDS.ldif |
OpenLDAP | ROROpenLDAP.ldif |
ldifファイル内のベース名部分を、ディレクトリサービスのベース名に合わせて修正します。
"ManagerHostname"の部分をマネージャーのホスト名に変更してください。ホスト名は、hostnameコマンドで表示される名前です。
RcxManager(cn=RcxManager,ou=users,dc=example,dc=local)のエントリーとその所属グループ(cn=Administrative,ou=ROR,ou=UserGroups,ou=SVS,dc=example,dc=local)のエントリーを削除します。
内部認証機構からユーザー情報およびユーザーグループ情報をLDIF形式でエクスポートします。
例
>rcxadm user list -format ldif > myusers.ldif <RETURN> |
Active Directory用のldifファイルが出力されます。
手順3.でエクスポートしたユーザー情報のldifファイルを、OpenDS、OpenLDAP用に修正します。
各エントリーのベース名部分を、ディレクトリサービスのベース名に合わせて修正します。
OpenDSのベース名は、ServerView Operations Managerのインストール時から変更していなければ、"dc=fujitsu,dc=com"です。
以下の属性を削除します。
samAccountName
userAccountControl
unicodePwd
instanceType
groupType
ユーザーのエントリーに以下の属性を追加します。
sn
uid(cn属性の値と同じにします。)
userPassword
objectclass属性の値を修正します。
"user"を"inetOrgPerson"に修正します。
"group"を"groupofnames"に修正します。
"cn=ユーザー名,cn=Users,dc=fujitsu,dc=com"の"cn=Users"を"ou=Users"に修正します。
2つある同一ロール名のエントリーを修正します。
ユーザーエントリーごとに、"ou=AuthorizationRoles"を含むロール名のdnが2ブロックずつ連続して記載されています。1ブロック目の最終行に、"member: cn=nil"を追加します。
"ou=AuthorizationRoles"の前にあるロール名が以下の場合、変更します。
ロール名変更前 | ロール名変更後 |
|---|---|
admin | administrator |
lserver_admin | service_admin |
dnおよびcn属性の値のロール名を変更します。
例
編集前(Active Directory用のldifファイル)
# User dn: cn=user01,cn=Users,dc=example,dc=local # cn=Usersをou=Usersに修正します。 changetype: add objectclass: user # objectclass: inetOrgPersonに修正します。 cn: user01 samAccountName: user01 # この行を削除します。 userAccountControl: 512 # この行を削除します。 unicodePwd:: IgByAGMAeAB1AHMAZQByAEAAMQAyADMAIgA= # この行を削除します。 # sn,uid,およびuserPassword属性を追加します。 # Roles dn: cn=admin,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=SVS,dc=example,dc=local # adminをadministratorに修正します。 changetype: add objectclass: group # objectclass: groupofnames に修正します。 cn: admin # administratorに修正します。 samAccountName: admin # この行を削除します。 instanceType: 4 # この行を削除します。 groupType: 2 # この行を削除します。 # "member: cn=nil"を追加します。 dn: cn=admin,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=SVS,dc=example,dc=local changetype: modify add: member member: cn=user01,cn=Users,dc=example,dc=local # cn=Usersをou=Usersに修正します。 |
編集後(OpenDSおよびOpenLDAP用のldifファイル)
# User dn: cn=user01,ou=Users,dc=example,dc=local changetype: add objectclass: inetOrgPerson cn: user01 sn: user01 uid: user01 userPassword: mypassword # Roles dn: cn=administrator,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=SVS,dc=example,dc=local changetype: add objectclass: groupofnames cn: administrator member: cn=nil dn: cn=administrator,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=SVS,dc=example,dc=local changetype: modify add: member member: cn=user01,ou=Users,dc=example,dc=local |
手順3.でエクスポートしたユーザーグループ情報のldifファイルを、OpenDS、OpenLDAP用に修正します。
各エントリーのベース名部分を、ディレクトリサービスのベース名に合わせて修正します。
OpenDSのベース名は、ServerView Operations Managerのインストール時から変更していなければ、"dc=fujitsu,dc=com"です。
以下の属性を削除します。
samAccountName
instanceType
groupType
objectclass属性の値を修正します。
"group"を"groupofnames"に修正します。
member属性の値"cn=ユーザー名,cn=Users,dc=example,dc=local"の"cn=Users"を"ou=Users"に修正します。
2つある同じ名前のユーザーグループ名のエントリーを修正します。
ユーザーグループエントリーごとに、dnが2ブロックずつ連続して記載されています。1ブロック目の最終行に、"member: cn=nil"を追加します。
2つある同一ロール名のエントリーを修正します。
ユーザーグループエントリーごとに、"ou=AuthorizationRoles"を含むロール名のdnが2ブロックずつ連続して記載されています。1ブロック目の最終行に、"member: cn=nil"を追加します。
"ou=AuthorizationRoles"の前にある、ロール名が以下の場合、変更します。
ロール名変更前 | ロール名変更後 |
|---|---|
admin | administrator |
lserver_admin | service_admin |
dnおよびcn属性の値のロール名を変更します。
例
編集前(Active Directory用のldifファイル)
# UserGroup dn: cn=group01,ou=ROR,ou=UserGroups,ou=SVS,dc=example,dc=local changetype: add objectclass: group # objectclass: groupofnames に修正します。 cn: group01 samAccountName: group01 # この行を削除します。 instanceType: 4 # この行を削除します。 groupType: 2 # この行を削除します。 # "member: cn=nil"を追加します。 dn: cn=group01,ou=ROR,ou=UserGroups,ou=SVS,dc=example,dc=local changetype: modify add: member member: cn=user01,cn=Users,dc=example,dc=local # cn=Usersをou=Usersに修正します。 member: cn=user02,cn=Users,dc=example,dc=local # cn=Usersをou=Usersに修正します。 # Roles dn: cn=admin,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=SVS, dc=example,dc=local # adminをadministratorに修正します。 changetype: add objectclass: group # objectclass: groupofnamesに修正します。 cn: admin # adminをadministratorに修正します。 instanceType: 4 # この行を削除します。 groupType: 2 # この行を削除します。 # "member: cn=nil"を追加します。 dn: cn=admin,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=SVS, dc=example,dc=local # この行を削除します。 changetype: modify add: member member: cn=group01,ou=ROR,ou=UserGroups,ou=SVS,dc=example,dc=local |
編集後(OpenDSおよびOpenLDAP用のldifファイル)
# UserGroup dn: cn=group01,ou=ROR,ou=UserGroups,ou=SVS,dc=example,dc=local changetype: add objectclass: groupofnames cn: group01 member: cn=nil dn: cn=group01,ou=ROR,ou=UserGroups,ou=SVS,dc=example,dc=local changetype: modify add: member member: cn=user01,ou=Users,dc=example,dc=local member: cn=user02,ou=Users,dc=example,dc=local # Roles dn: cn=administrator,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=SVS,dc=example,dc=local changetype: add objectclass: groupofnames cn: administrator member: cn=nil dn: cn=administrator,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=SVS,dc=example,dc=local changetype: modify add: member member: cn=user01,ou=ROR,ou=Users,dc=example,dc=local |
手順2.で修正したldifファイルを、ディレクトリサービスのクライアント機能を使って、ディレクトリサービスに登録します。
コマンドの詳細は、各ディレクトリサービスのドキュメントを参照してください。
【Windows】
>"OpenDSインストールフォルダー\bat\ldapmodify.bat" -p ポート番号 -f ldifファイル -D 管理者ユーザーDN -w パスワード <RETURN> |
【Linux】
# "OpenDSインストールフォルダー/bin/ldapmodify" -p ポート番号 -f ldifファイル -D 管理者ユーザーDN -w パスワード <RETURN> |
例
OpenDSの場合
>"C:\Program Files\Fujitsu\ServerView Suite\opends\bat\ldapmodify.bat" -p 1473 -f ROROpenDS.ldif -D "cn=Directory Manager" -w admin -c <RETURN> |
OpenLDAPの場合
>ldapadd -f ROROpenLDAP.ldif -x -D "cn=Manager,dc=example,dc=local" -w passwd <RETURN> |
本製品のマネージャーを停止します。
マネージャーの停止方法は、「ServerView Resource Coordinator VE 導入ガイド」の「5.1 マネージャ」を参照してください。
本製品の外部認証機構として、OpenDSまたはOpenLDAPを登録します。
例
OpenDSの場合
>rcxadm authctl register -ip 192.168.1.1 -port 1474 -base dc=fujitsu,dc=com -bind "cn=Directory Manager" -method SSL -passwd admin -auth serverview <RETURN> |
OpenLDAPの場合
>rcxadm authctl register -ip 192.168.1.1 -port 636 -base dc=example,dc=local -bind cn=manager,dc=example,dc=local -method SSL -passwd mypasswd -auth ldap <RETURN> |
本製品のマネージャーを起動します。
マネージャーの起動方法は、「ServerView Resource Coordinator VE 導入ガイド」の「5.1 マネージャ」を参照してください。
ディレクトリサーバのリソース情報を、本製品で管理しているリソース情報に反映します。
リソース情報を反映するには、rcxadm authctl syncコマンドを実行します。
コマンドの詳細は、「ServerView Resource Orchestrator リファレンスガイド」の「1.7.10 rcxadm authctl」を参照してください。
手順3.~5.で修正したldifファイルを、ディレクトリサービスのクライアント機能を使って、ディレクトリサービスに登録します。
コマンドの詳細は、各ディレクトリサービスのドキュメントを参照してください。
【Windows】
>"OpenDSインストールフォルダー\bat\ldapmodify.bat" -p ポート番号 -f ldifファイル -D 管理者ユーザーDN -w パスワード <RETURN> |
【Linux】
# "OpenDSインストールフォルダー/bin/ldapmodify" -p ポート番号 -f ldifファイル -D 管理者ユーザーDN -w パスワード <RETURN> |
例
OpenDSの場合
>"C:\Program Files\Fujitsu\ServerView Suite\opends\bat\ldapmodify.bat" -p 1473 -f myusers.ldif -D "cn=Directory Manager" -w admin -c <RETURN> |
OpenLDAPの場合
>ldapadd -f myusers.ldif -x -D "cn=Manager,dc=example,dc=local" -w passwd <RETURN> |
OpenDSで、ServerView Operations Managerとシングルサインオン運用をする場合、ServerView Operations Managerにすでに定義されているユーザーを、本製品のユーザー情報として設定します。
ldifファイルの例を示します。
例
dn: cn=administrator,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=Departments,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: administrator member: cn=ServerView Administrator,ou=users,dc=fujitsu,dc=com dn: cn=operator,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=Departments,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: operator member: cn=ServerView Operator,ou=users,dc=fujitsu,dc=com dn: cn=monitor,ou=AuthorizationRoles,ou=OrchestrationTree,ou=myhost,ou=ROR,ou=Departments,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: monitor member: cn=ServerView Monitor,ou=users,dc=fujitsu,dc=com dn: cn=administrators,ou=ROR,ou=UserGroups,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: administrators member: cn=ServerView Administrator,ou=users,dc=fujitsu,dc=com dn: cn=operators,ou=ROR,ou=UserGroups,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: operators member: cn=ServerView Operator,ou=users,dc=fujitsu,dc=com dn: cn=monitors,ou=ROR,ou=UserGroups,ou=SVS,dc=fujitsu,dc=com changetype: add objectclass: top objectclass: groupofnames cn: monitors member: cn=ServerView Monitor,ou=users,dc=fujitsu,dc=com |
本製品のユーザーが、ServerView Operations Managerにログインする場合、ServerView Operations Managerにもユーザー定義が必要です。ServerView Operations Managerへのユーザー定義の追加については、以下のマニュアルを参照してシングルサインオンの設定をしてください。
「ServerView Suite ServerView でのユーザ管理」の「ServerView ユーザ管理の Microsoft Active Directory への統合」の記述
Active Directoryでの設定手順を参照して、OpenDSに対して、同様に設定してください。
