リポジトリサーバを複数台構築する場合、リポジトリサーバ(参照系)を構築します。

  SSOリポジトリに標準データベースを使用したリポジトリサーバ(参照系)を構築するための作業を説明します。

  SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合は、“ディレクトリサービス運用ガイド”の“環境構築”を参照してSSOリポジトリを作成し、“2.3.6.6 リポジトリサーバ(参照系)を追加する場合の構築”を参照してリポジトリサーバ(参照系)を構築してください。

  リポジトリサーバ(参照系)に標準データベースを使用したSSOリポジトリ(スレーブ)を作成するには、リポジトリサーバ(更新系)の標準データベースを使用したSSOリポジトリ(マスタ)のデータをバックアップし、リポジトリサーバ(参照系)のマシンにリストアします。
  ここでは、リポジトリサーバ(更新系)の標準データベースを使用したSSOリポジトリ(マスタ)のデータをバックアップする方法について説明します。

  リポジトリサーバ(更新系)のSSOリポジトリ(マスタ)のデータのバックアップは、以下の手順で行います。

1. リポジトリサーバ(更新系)のSSOリポジトリ(マスタ)を以下の手順で停止します。

   1. リポジトリサーバ(更新系)のマシンのInterstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]をクリックします。

   2. [リポジトリ:状態]画面でマスタ運用を行うSSOリポジトリのチェックボックスをチェックし、[停止]ボタンをクリックして、SSOリポジトリを停止します。

2. リポジトリサーバ(更新系)のマシン上でirepbacksysコマンドに-dataonlyオプションを指定して実行し、SSOリポジトリのデータをディレクトリにバックアップします。irepbacksysコマンドは管理者権限で実行してください。

1. リポジトリサーバ(更新系)のSSOリポジトリ(マスタ)を以下の手順で停止します。

   1. リポジトリサーバ(更新系)のマシンのInterstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]をクリックします。

   2. [リポジトリ:状態]画面でマスタ運用を行うSSOリポジトリのチェックボックスをチェックし、[停止]ボタンをクリックして、SSOリポジトリを停止します。

2. リポジトリサーバ(更新系)のマシン上でirepbacksysコマンドに-dataonlyオプションを指定して実行し、SSOリポジトリのデータをファイルにバックアップします。irepbacksysコマンドは管理者権限で実行してください。

  irepbacksysコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。

  バックアップ先ディレクトリ  C:\WINDOWS\temp\backup
  SSOリポジトリ名             ssorep

  バックアップ先ディレクトリには、SSOリポジトリのデータをバックアップするディレクトリを指定します。
  irepbacksysコマンド実行後、C:\WINDOWS\tempフォルダ配下にbackupフォルダが作成されます。

  バックアップファイル名(拡張子は含まない)  /home/user1/backup
  SSOリポジトリ名                           ssorep

  バックアップファイル名には、SSOリポジトリのデータをバックアップするファイル名を指定します。なお、拡張子を含まない形で指定してください。
  irepbacksysコマンド実行後、/home/user1/backup.tar.gzが作成されます。

  標準データベースを使用したSSOリポジトリ間のレプリケーションをSSL通信で行う場合は、リポジトリサーバ(参照系)のマシンにSSOリポジトリ(スレーブ)のSSL通信環境を構築する必要があります。

  リポジトリサーバ(参照系)のマシンにすでにSSL通信環境が構築されている場合、SSL通信環境を構築する必要はありません。

  SSL通信環境の構築は、以下の手順で行います。

1. SSL通信の設定

   1. SSL通信を行うための準備(SSLサイト証明書の取得と、Interstage証明書環境への登録)
      リポジトリサーバ(更新系)とリポジトリサーバ(参照系)でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ(更新系)でサイト証明書を発行する認証局の証明書もリポジトリサーバ(参照系)のマシンに登録する必要があります。
      詳細については、“2.4.1.1 SSL通信を行うための準備”を参照してください。

   2. SSL通信を行うための設定(レプリケーション用のSSL定義の作成)
      Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [SSL] > [新規作成]タブでSSL通信を行うための設定を行います。

      • 定義名
          SSL定義を識別する名前を設定してください。

      • サイト証明書のニックネーム
          1-1)の“SSL通信を行うための準備”で、Interstage証明書環境にSSLサイト証明書を登録した際に指定したニックネームを設定してください。登録したSSLサイト証明書はInterstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面で参照できます。

      • プロトコルバージョン
          “SSL 3.0”、および“TLS 1.0”を選択してください。

      • クライアント認証
          “する(クライアント証明書が提示された場合、認証する)”を選択してください。

      • 暗号化方法
          必要に応じて変更してください。

      • 認証局証明書のニックネーム
          必要に応じて変更してください。

      各項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

2. 証明書の有効性を確認する場合
     上記の設定に加え、証明書認証の有効性確認を行うための準備(CRLの取得と、Interstage証明書環境への登録)を行います。リポジトリサーバ(更新系)とリポジトリサーバ(参照系)でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ(更新系)でサイト証明書を発行する認証局からCRLを取得し、リポジトリサーバ(参照系)のマシンに登録してください。
     詳細については、“2.4.1.3 証明書の有効性確認を行うための準備”を参照してください。

• レプリケーションをSSL通信で行うと、各SSOリポジトリ間の通信をSSLのクライアント・サーバ認証と暗号化通信で行い、盗聴／改ざん／なりすましなどの危険を回避し、情報のプライバシーを守ることができます。セキュリティ上、SSL通信で行うことを強く推奨します。

• リポジトリサーバ(参照系)のマシンにSSL通信環境を構築する際には、テスト用サイト証明書を使用しないでください。

  リポジトリサーバ(参照系)を構築するマシンに、レプリケーションのスレーブ運用を行う標準データベースを使用したSSOリポジトリを作成します。リポジトリサーバ(参照系)を構築するマシンのInterstage管理コンソールを使用して、以下の手順で行います。

1. [システム] > [サービス] > [リポジトリ] > [新規作成]タブを選択してください。

2. 以下のように各項目を設定し、[作成]ボタンをクリックします。
   以下の太字部分は、SSOリポジトリ(マスタ)と同じ設定にする必要があります。
   (注)の記述がある項目はSSOリポジトリ作成時だけ指定可能で、SSOリポジトリ作成後は変更できません。設定値には十分注意してください。
   ほかの項目については、設定値を確認し、必要に応じて変更してください。
   ＜簡易設定＞

   • リポジトリ名(注)
       リポジトリサーバ(更新系)で作成したSSOリポジトリ(マスタ)と同じ名前を設定します。

   • 管理者用DN(注)
       作成するSSOリポジトリを管理する管理者のDN(識別名)をDN(識別名)形式で設定します(例：cn=manager)

   • 管理者用DNのパスワード
       SSO管理者用のパスワードを設定します。

   • 管理者用DNのパスワード(再入力)
       SSO管理者用のパスワードを再入力します。

   • 公開ディレクトリ(注)
       リポジトリサーバ(更新系)で作成したSSOリポジトリ(マスタ)と同じ設定をします。

   • リポジトリのデータベース(注)
       リポジトリサーバ(更新系)で作成したSSOリポジトリ(マスタ)と同じ設定をします。

   • データベース格納先(注)
       リポジトリサーバ(更新系)で作成したSSOリポジトリ(マスタ)と同じ設定をします。

   • キャッシュサイズ
       “1000”ページが設定されています。1ページは4KBになります。必要に応じて変更してください。

   ＜詳細設定＞
     接続設定

   • 使用するポートの種類
       “両方”を選択してください。

   • 通常(非SSL)ポート番号
       非SSL通信で使用するポート番号を指定します。

   • SSLポート番号
       SSL通信で使用するポート番号を指定します。
       “636”が設定されています。必要に応じて変更してください。

   • SSL定義
       “2.3.6.2 SSOリポジトリ(スレーブ)のSSL通信環境の構築”で定義したレプリケーション用のSSL定義を選択します。

   • コネクションアイドル時間
       “900”秒が設定されています。必要に応じて変更してください。

     セキュリティ設定

   • ユーザパスワード暗号化方式(注)
       “SHA256”が設定されています。必要に応じて変更してください。

     検索設定

   • 検索可能最大エントリ数
       “500”件が設定されています。必要に応じて変更してください。

   • 検索タイムアウト時間
       “3600”秒が設定されています。必要に応じて変更してください。

     アクセスログ定義

   • 出力の指定
       必ず“出力する”を選択してください。

   • 出力レベル
       “クライアントのリクエスト情報を出力”、および“サーバのエラー応答を出力”を選択し、それ以外については必要に応じて選択してください。

   • 格納先
       必要に応じて変更してください。

   • ローテーションタイプ
       必要に応じて変更してください。

   • サイズ
       必要に応じて変更してください。

   • 世代管理数
       必要に応じて変更してください。

3. SSOリポジトリ(スレーブ)の状態が表示されますので、内容を確認してください。

  SSOリポジトリ(マスタ)の設定を確認する場合は、リポジトリサーバ(更新系)を構築したマシンのInterstage管理コンソールを使用して確認してください。[システム] > [サービス] > [リポジトリ]をクリックし、[リポジトリ:状態]画面でマスタ用に作成したSSOリポジトリをクリックしてください。[簡易設定]、または[詳細設定[表示]]をクリックして、設定内容を確認してください。

  レプリケーション運用中に、SSOリポジトリ(スレーブ)の[管理者用DNのパスワード]を変更した場合は、SSOリポジトリ(マスタ)の[レプリケーション先ホスト情報]の編集が必要になります。詳細については、“ディレクトリサービス運用ガイド”を参照してください。

  リポジトリサーバ(参照系)に標準データベースを使用したSSOリポジトリ(スレーブ)を作成するには、リポジトリサーバ(更新系)の標準データベースを使用したSSOリポジトリ(マスタ)のデータをバックアップし、リポジトリサーバ(参照系)のマシンにリストアします。
  ここでは、リポジトリサーバ(更新系)の標準データベースを使用したSSOリポジトリ(マスタ)のデータをリポジトリサーバ(参照系)にリストアする方法について説明します。

  リポジトリサーバ(更新系)のSSOリポジトリ(マスタ)のデータのリストアは、以下の手順で行います。

1. “2.3.6.1 リポジトリサーバ(更新系)のSSOリポジトリのバックアップ”で作成したバックアップ先ディレクトリを、リポジトリサーバ(参照系)のマシンに転送します。
   転送する場合には、第三者に盗聴などされないように注意してください。また、使用後は必ず削除してください。

2. リポジトリサーバ(参照系)のマシン上でireprestsysコマンドを-dataonlyオプションを指定して実行し、バックアップ先ディレクトリのデータをリストアします。コマンドに指定するSSOリポジトリ名は、バックアップしたSSOリポジトリの名前と同じものを指定してください。

1. “2.3.6.1 リポジトリサーバ(更新系)のSSOリポジトリのバックアップ”で作成したバックアップファイルを、リポジトリサーバ(参照系)のマシンに転送します。
   転送する場合には、第三者に盗聴などされないように注意してください。また、使用後は必ず削除してください。

2. リポジトリサーバ(参照系)のマシン上でireprestsysコマンドを-dataonlyオプションを指定して実行し、バックアップファイルのデータをリストアします。コマンドに指定するSSOリポジトリ名は、バックアップしたSSOリポジトリの名前と同じものを指定してください。

  ireprestsysコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。

  バックアップ先ディレクトリ    C:\WINDOWS\temp\backup
  SSOリポジトリ名               ssorep
  データベース格納先            C:\Interstage\Enabler\EnablerDStores\IREP\ssorep\data

  SSOリポジトリ名は、バックアップしたSSOリポジトリの名前と同じものを指定してください。
  データベースの置き換えを行うかどうかの確認メッセージが表示されますので“y”を入力してください。

  バックアップファイル名    /home/user1/backup.tar.gz
  SSOリポジトリ名           ssorep
  データベース格納先        /var/opt/FJSVena/EnablerDStores/FJSVirep/ssorep/data

  SSOリポジトリ名は、バックアップしたSSOリポジトリの名前と同じものを指定してください。
  データベースの置き換えを行うかどうかの確認メッセージが表示されますので“y”を入力してください。

  バックアップファイル名    /home/user1/backup.tar.gz
  SSOリポジトリ名           ssorep
  データベース格納先        /var/opt/FJSVena/DStores/FJSVirep/ssorep/data

  SSOリポジトリ名は、バックアップしたSSOリポジトリの名前と同じものを指定してください。
  データベースの置き換えを行うかどうかの確認メッセージが表示されますので“y”を入力してください。

  “2.3.6.4 リポジトリサーバ(参照系)へのSSOリポジトリのリストア”でリストアした標準データベースを使用したSSOリポジトリに、レプリケーションのスレーブ運用を行うための設定を行います。リポジトリサーバ(参照系)のマシンのInterstage管理コンソールを使用して、以下の手順で行います。

1. [システム] > [サービス] > [リポジトリ]をクリックし、[リポジトリ:状態]画面でスレーブ運用を行うSSOリポジトリをクリックしてください。

2. [詳細設定[表示]]をクリックし、[レプリケーション定義]の[運用形態の指定]に“スレーブで運用する”を選択します。

3. 新たに表示される[スレーブ運用定義]にリポジトリサーバ(更新系)のマシンのホスト名を設定します。

4. [適用]ボタンをクリックします。

5. 設定変更を行ったSSOリポジトリのチェックボックスをチェックし、[起動]ボタンをクリックして、SSOリポジトリを起動してください。

  ここでは、リポジトリサーバ(参照系)の構築方法を説明します。リポジトリサーバを構築するマシンのInterstage管理コンソールを使用して、以下の手順で行います。Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

  リポジトリサーバ(参照系)を構築するには、認証基盤構築ファイルが必要になります。認証基盤構築ファイルの生成方法については、“認証基盤構築ファイルのダウンロード”を参照してください。
  また、リポジトリサーバ(参照系)を構築するには、事前にSSOリポジトリ(スレーブ)を作成しておく必要があります。標準データベースを使用したSSOリポジトリ(スレーブ)の作成方法については、“2.3.6.3 リポジトリサーバ(参照系)のSSOリポジトリ(スレーブ)の作成”を参照してください。

1. リポジトリサーバ(参照系)を作成するWebサーバ(Interstage HTTP Server)を選定します。
   リポジトリサーバ(参照系)を作成するWebサーバがない場合は、新規にInterstage シングル・サインオン専用のWebサーバを作成します。

2. リポジトリサーバ(参照系)でSSL通信を行う場合は、手順1.で選定、または作成したWebサーバにSSLの設定を行ってください。SSL定義の作成については“D.1 リポジトリサーバのSSL通信環境の構築”を参照してください。

3. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブを選択してください。

4. [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択して、[次へ]ボタンをクリックしてください。

5. 作成するサーバの選択画面が表示されます。

6. [リポジトリサーバの作成]の[リポジトリサーバ(参照系)]を選択して、[次へ]ボタンをクリックしてください。

7. [ファイルの指定]が表示されますので、リポジトリサーバ(更新系)からダウンロードした認証基盤構築ファイルを[認証基盤構築ファイル]に指定します。

8. 認証基盤構築ファイルに設定したパスワードを入力し、[次へ]ボタンをクリックしてください。

9. [簡易設定]が表示されますので、[使用するWebサーバ]には手順1.で選定、または作成したWebサーバ名を、[リポジトリ名]には使用するSSOリポジトリを選択して、[作成]ボタンをクリックしてください。

10. リポジトリサーバの作成が行われます。作成されたサーバの一覧が表示されますので、サーバが使用するWebサーバ名、およびポート番号を確認することができます。

11. リポジトリサーバの作成後、リポジトリサーバを起動してください。
    リポジトリサーバの起動方法については、“4.1.1 リポジトリサーバの起動”を参照してください。

12. 認証基盤構築ファイルを削除してください。

• WebブラウザにMicrosoft(R) Internet Explorerを使用している場合には、絶対パスの長さが200バイトを超えるような認証基盤構築ファイルは、参照ボタンを使用して指定できないことがあります。その場合には、絶対パスが短くなるように認証基盤構築ファイルを配置してください。

• 認証基盤構築ファイルはセキュリティ上重要なファイルです。リポジトリサーバ(参照系)の構築後は必ず削除してください。

  リポジトリサーバ(更新系)の標準データベースを使用したSSOリポジトリ(マスタ)に、追加したリポジトリサーバ(参照系)の標準データベースを使用したSSOリポジトリ(スレーブ)の情報を設定します。
  リポジトリサーバ(更新系)のマシンのInterstage管理コンソールを使用して、以下の手順で行います。

1. [システム] > [サービス] > [リポジトリ]をクリックし、[リポジトリ:状態]画面でマスタ運用を行うSSOリポジトリをクリックしてください。

2. [詳細設定[表示]]をクリックし、[レプリケーション定義]の[運用形態の指定]が“マスタで運用する”に設定されている場合は、手順3に進んでください。
   “マスタで運用する”に設定されていない場合は、“マスタで運用する”を選択します。新たに[レプリケーション先ホスト一覧]が表示されます。

3. [追加]ボタンをクリックし、以下のように新たに表示される[レプリケーション先ホスト情報]の各項目に追加するリポジトリサーバ(参照系)のマシンの情報を設定し、[適用]ボタンをクリックします。

   • ホスト名
       SSOリポジトリ(スレーブ)のホスト名を設定します。

   • ポート番号
       SSOリポジトリ(スレーブ)で設定した[SSLポート番号]を設定します。

   • SSLの使用
       “使用する”を選択します。

   • クライアント証明書の提示
       “提示する”、または“提示しない”を選択します。

   • SSL定義
       [クライアント証明書の提示]で“提示する”を選択した場合、“2.3.5 SSOリポジトリ(マスタ)のSSL通信環境の構築”で定義したレプリケーション用のSSL定義を選択します。

   • 接続用DN
       SSOリポジトリ(スレーブ)で設定した管理者用DNと同じ設定をします。

   • 接続用パスワード
       SSOリポジトリ(スレーブ)で設定した管理者用DNのパスワードと同じ設定をします。

4. 設定変更を行ったSSOリポジトリのチェックボックスをチェックし、[起動]ボタンをクリックして、SSOリポジトリを起動してください。