旧バージョンから本バージョンへアップグレードする場合の、シングルサインオン環境の構築手順を説明します。
旧バージョンの認証方式によって、構築手順に違いがあります。以下の表を参照してください。
旧バージョンの認証方式
ServerView Resource Coordinator VE(以降、RCVE)で内部認証
(シングルサインオンによる認証をしない)
RCVEでシングルサインオンによる認証
RORで内部認証
RORでディレクトリサービスによる認証
RORでシングルサインオンによる認証
ROR VEで内部認証
ROR VEでシングルサインオンによる認証
番号 | 構築手順 | a | b | c | d | e | f | g |
|---|---|---|---|---|---|---|---|---|
1 | 本製品インストール | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
2 | ServerView Operations Managerの認証局証明書の登録1 | ○ | - | ○ | ○(*1) | - | ○ | - |
3 | ServerView Operations Managerの認証局証明書の登録2 | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
4 | 個別に構築したOpenDSまたはActive Directoryの認証局証明書の登録1(*1) | ○ | - | ○ | - | - | ○ | - |
5 | 個別に構築したOpenDSまたはActive Directoryの認証局証明書の登録2(*1) | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
6 | 管理者(特権ユーザー)の登録 | ○ | - | ○ | - | - | ○ | - |
7 | セットアップ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
8 | RORコンソールにログイン | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
9 | ライセンスの設定 | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
10 | 旧バージョンで利用していたディレクトリサービス内情報の移行 | - | ○ | - | ○ | ○ | - | - |
11 | ユーザーをディレクトリサービスに登録 | ○ | - | ○ | - | - | ○ | - |
12 | ディレクトリサービス接続情報を本製品に登録 | ○ | - | ○ | - | - | ○ | - |
13 | 登録済みのディレクトリサービス接続情報を変更 | - | - | - | ○ | - | - | - |
14 | テナント管理者にロールの割り当て | - | - | ○ | ○ | ○ | ○ | - |
15 | インストール後の設定 | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
16 | ブラウザへの証明書のインポート | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
○: 必要、- : 不要
*1: ディレクトリサービスとして、個別に構築したOpenDSまたはActive Directoryを使用する場合に必要な手順です。
本製品インストール
「インストールガイド CE」の「第4章 旧バージョンからのアップグレード」を参照してください。
ServerView Operations Managerの認証局証明書の登録1
「4.5.6.1 ServerView Operations Managerの認証局証明書の登録1」を参照してください。
ServerView Operations Managerの認証局証明書の登録2
「4.5.6.2 ServerView Operations Managerの認証局証明書の登録2」を参照してください。
個別に構築したOpenDSまたはActive Directoryの認証局証明書の登録1
「4.5.6.3 個別に構築したOpenDSまたはActive Directoryの認証局証明書の登録1」を参照してください。
個別に構築したOpenDSまたはActive Directoryの認証局証明書の登録2
「4.5.6.4 個別に構築したOpenDSまたはActive Directoryの認証局証明書の登録2」を参照してください。
管理者(特権ユーザー)の登録
「4.5.4 管理者の登録」を参照してください。
セットアップ
マネージャーのセットアップをします。「インストールガイド CE」の「2.1.4 セットアップ」を参照してください。
RORコンソールにログイン
「7.1 ログイン」を参照してください。
ライセンスの設定
旧バージョンで利用していたディレクトリサービス内情報の移行
「4.5.6.5 旧バージョンで利用していたディレクトリサービス内情報の移行」を参照してください。
ユーザーをディレクトリサービスに登録
「4.5.6.6 ユーザーをディレクトリサービスに登録」を参照してください。
ディレクトリサービス接続情報を本製品に登録
「4.5.6.7 ディレクトリサービス接続情報を本製品に登録」を参照してください。
登録済みのディレクトリサービス接続情報を変更
「4.5.6.8 登録済みのディレクトリサービス接続情報を変更」を参照してください。
テナント管理者にロールの割り当て
「4.5.6.9 テナント管理者にロールの割り当て」を参照してください。
インストール後の設定
「第6章 インストール後の設定」を参照してください。
ブラウザへの証明書のインポート
「7.4 ブラウザへの証明書のインポート」を参照してください。
以下の手順で、認証局証明書を本製品に登録します。
本製品のキーストアを退避(コピー)します。
【Windows】
コピーするファイル
インストールフォルダー\SVROR\Manager\runtime\jre6\lib\security\cacerts
コピー先
インストールフォルダー\SVROR\Manager\runtime\jre6\lib\security\cacerts.org
【Linux】
コピーするファイル
/opt/FJSVrcvmr/runtime/jre6/lib/security/cacerts
コピー先
/opt/FJSVrcvmr/runtime/jre6/lib/security/cacerts.org
注意
ディレクトリサービスを変更する際に必要になるため、必ず本製品のキーストアを退避(コピー)してください。
ServerView Operations Managerの認証局証明書(キーストア)を本製品のキーストアにインポートします。
ServerView Operations Managerの認証局証明書(キーストア)は以下に格納されています。
【Windows】
ServerView Suiteインストールフォルダー\jboss\server\serverview\conf\pki\keystore
【Linux】
/opt/fujitsu/ServerViewSuite/jboss/server/serverview/conf/pki/keystore
例
【Windows】
>C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\bin\keytool.exe -importkeystore -srckeystore " C:\Program Files\Fujitsu\ServerView Suite \jboss\server\serverview\conf\pki\keystore" -destkeystore "C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\lib\security\cacerts"<RETURN> |
【Linux】
# /opt/FJSVrcvmr/runtime/jre6/bin/keytool -importkeystore -srckeystore /opt/fujitsu/ServerViewSuite/jboss/server/serverview/conf/pki/keystore -destkeystore /opt/FJSVrcvmr/runtime/jre6/lib/security/cacerts <RETURN> |
コマンドを実行したあと、パスワードを入力してください。
本製品のキーストアのパスワードは、デフォルトで"changeit"が設定されています。
インポートが正常に完了すると、以下のメッセージが表示されます。
"別名"の部分を確認してください。
出力先キーストアのパスワードを入力してください: changeit |
keytoolコマンドを実行し、認証局証明書が正しくインポートされたか確認します。
-aliasオプションには、手順3.で確認した"別名"を指定します。
例
【Windows】
>C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\bin\keytool.exe -list -alias 別名 -keystore " C:\Fujitsu\ROR\Manager\runtime\jre6\lib\security\cacerts" <RETURN> |
【Linux】
# /opt/FJSVrcvmr/runtime/jre6/bin/keytool -list -alias 別名 -keystore /opt/FJSVrcvmr/runtime/jre6/lib/security/cacerts <RETURN> |
以下の手順で、認証局証明書を本製品に登録します。
本製品のキーストアを退避(コピー)します。
【Windows】
コピーするファイル
インストールフォルダー\IAPS\JDK5\jre\lib\security\cacerts
コピー先
インストールフォルダー\IAPS\JDK5\jre\lib\security\cacerts.org
【Linux】
コピーするファイル
/opt/FJSVawjbk/jdk5/jre/lib/security/cacerts
コピー先
/opt/FJSVawjbk/jdk5/jre/lib/security/cacerts.org
注意
ディレクトリサービスを変更する際に必要になるため、必ず本製品のキーストアを退避(コピー)してください。
ServerView Operations Managerの認証局証明書(キーストア)を本製品のキーストアにインポートします。
ServerView Operations Managerの認証局証明書(キーストア)は以下に格納されています。
【Windows】
ServerView Suiteインストールフォルダー\jboss\server\serverview\conf\pki\keystore
【Linux】
/opt/fujitsu/ServerViewSuite/jboss/server/serverview/conf/pki/keystore
例
【Windows】
>C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\bin\keytool.exe -importkeystore -srckeystore " C:\Program Files\Fujitsu\ServerView Suite \jboss\server\serverview\conf\pki\keystore" -destkeystore "C:\Fujitsu\ROR\IAPS\JDK5\jre\lib\security\cacerts"<RETURN> |
【Linux】
# /opt/FJSVrcvmr/runtime/jre6/bin/keytool -importkeystore -srckeystore /opt/fujitsu/ServerViewSuite/jboss/server/serverview/conf/pki/keystore -destkeystore /opt/FJSVawjbk/jdk5/jre/lib/security/cacerts<RETURN> |
コマンドを実行したあと、パスワードを入力してください。
本製品のキーストアのパスワードは、デフォルトで"changeit"が設定されています。
インポートが正常に完了すると、以下のメッセージが表示されます。
"別名"の部分を確認してください。
出力先キーストアのパスワードを入力してください: changeit |
keytoolコマンドを実行し、認証局証明書が正しくインポートされたか確認します。
-aliasオプションには、手順3.で確認した"別名"を指定します。
例
【Windows】
>C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\bin\keytool.exe -list -alias 別名 -keystore " C:\Fujitsu\ROR\IAPS\JDK5\jre\lib\security\cacerts"<RETURN> |
【Linux】
# /opt/FJSVrcvmr/runtime/jre6/bin/keytool -list -alias 別名 -keystore /opt/FJSVawjbk/jdk5/jre/lib/security/cacerts <RETURN> |
ServerView Operations Managerへのサーバ証明書のインポートを行ってください。詳細は「6.3.5 ServerViewSSO認証サーバへの証明書のインポート」を参照してください。
個別に構築したディレクトリサービスを利用する場合は、ディレクトリサービスの認証局証明書を本製品のキーストアにインポートします。
ServerView Operations Managerに同梱されているOpenDS以外のディレクトリサービスを利用する場合、ディレクトリサービスの認証局証明書を本製品のキーストアにインポートします。
認証局証明書のフォーマットはDER encoded binary X.509(CER)形式です。
例
Active Directoryの場合
>C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\bin\keytool.exe -importcert -alias rcve_ldap -trustcacerts -file c:\myserver.serverview.local_svsca.crt -keystore "C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\lib\security\cacerts" |
OpenDSの場合
>C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\bin\keytool.exe -importkeystore -srckeystore "C:\win32app\OpenDS-2.2.0\config\keystore" -destkeystore C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\lib\security\cacerts |
個別に構築したディレクトリサービスを利用する場合は、ディレクトリサービスの認証局証明書を本製品のキーストアにインポートします。
ServerView Operations Managerに同梱されているOpenDS以外のディレクトリサービスを利用する場合、ディレクトリサービスの認証局証明書を本製品のキーストアにインポートします。
認証局証明書のフォーマットはDER encoded binary X.509(CER)形式です。
例
Active Directoryの場合
>C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\bin\keytool.exe -importcert -alias rcve_ldap -trustcacerts -file c:\myserver.serverview.local_svsca.crt -keystore "C:\Fujitsu\ROR\IAPS\JDK5\jre\lib\security\cacerts" |
OpenDSの場合
>C:\Fujitsu\ROR\SVROR\Manager\runtime\jre6\bin\keytool.exe -importkeystore -srckeystore "C:\win32app\OpenDS-2.2.0\config\keystore" -destkeystore C:\Fujitsu\ROR\IAPS\JDK5\jre\lib\security\cacerts |
ServerView Resource Orchestrator V2.3.0で、ディレクトリサービスによるユーザー管理を行っていた場合、ディレクトリサーバ内のリソース情報を、本製品の管理情報に移行します。
以下の情報を移行します。
ユーザーグループ情報と所属するユーザー
ユーザー情報は、ディレクトリサーバと本製品管理情報の両方に、同じ名前で登録されている必要があります。本製品にログインする際には、シングルサインオンによる認証を行います。ユーザーパスワードは、シングルサインオンで利用するディレクトリサービスで管理します。
ロール定義
アクセス範囲とロール
移行には、rcxadm authctl exportコマンドを使用します。OSの管理者で実行します。rcxadm authctl exportコマンドの詳細は、「リファレンスガイド (リソース管理) CE」の「1.7.10 rcxadm authctl」を参照してください。
ディレクトリサービスにユーザーを登録します。
Active Directoryを利用する場合
本製品に登録されているユーザー情報をLDIF形式でエクスポートします。
例
>rcxadm user list -format ldif > myusers.ldif <RETURN> |
手順1.でエクスポートしたユーザー情報のldifファイルを、実際の環境に合わせて修正します。
各エントリーのベース名部分を、Active Directoryのベース名に合わせて修正します。
手順2.で修正したldifファイルを、ldifdeコマンドを実行してActive Directoryに登録します。
例
>ldifde -i -e -k -t 636 -f myusers.ldif <RETURN> |
ldifdeコマンドについては、Active Directoryのドキュメントを参照してください。
登録したユーザーのパスワードは、以下の値に初期化されています。
rcxuser@123 |
手順3.で登録したユーザーのパスワードを適切な値に変更します。Active Directoryの機能を利用し、変更してください。
ServerView Operations Managerとシングルサインオン運用をする場合、ServerView Operations Managerにもユーザー定義が必要です。ServerView Operations Managerのユーザー定義の追加については、以下のマニュアルを参照してシングルサインオンの設定をしてください。
「ServerView Suite ServerView でのユーザ管理」の「ServerView ユーザ管理の Microsoft Active Directory への統合」の記述
OpenDSを利用する場合
本製品に登録されているユーザー情報とユーザーグループ情報をLDIF形式でエクスポートします。
例
>rcxadm user list -format ldif > myusers.ldif <RETURN> |
Active Directory用のldifファイルが出力されます。
手順1.でエクスポートしたユーザー情報のldifファイルを、OpenDS用に修正します。
各エントリーのベース名部分を、ディレクトリサービスのベース名に合わせて修正します。
以下の属性を削除します。
samAccountName
userAccountControl
unicodePwd
ユーザーのエントリーに以下の属性を追加します。
sn
uid(cn属性の値と同じにします。)
userPassword
objectclass属性の値を修正します。
"user"を"inetOrgPerson"に修正します。
"cn=ユーザー名,cn=Users,dc=fujitsu,dc=com"の"cn=Users"を"ou=Users"に修正します。
例
編集前(Active Directory用のldifファイル)
# User dn: cn=user01,cn=Users,dc=example,dc=local # cn=Usersをou=Usersに修正します。 changetype: add objectclass: user # objectclass: inetOrgPersonに修正します。 cn: user01 samAccountName: user01 # この行を削除します。 userAccountControl: 512 # この行を削除します。 unicodePwd:: IgByAGMAeAB1AHMAZQByAEAAMQAyADMAIgA= # この行を削除します。 # sn,uid,およびuserPassword属性を追加します。 |
編集後(OpenDS用のldifファイル)
# User dn: cn=user01,ou=Users,dc=fujitsu,dc=com changetype: add objectclass: inetOrgPerson cn: user01 sn: user01 uid: user01 userPassword: mypassword |
ディレクトリサービスのクライアント機能を利用して、手順3.で修正したldifファイルをディレクトリサービスに登録します。
OpenDSのldapmodifyコマンドを実行する前に環境変数JAVA_HOMEにJava SE 6のパスを設定してください。
コマンドの詳細は、各ディレクトリサービスのドキュメントを参照してください。
【Windows】
>"OpenDSインストールフォルダー\bat\ldapmodify.bat" -p ポート番号 -f ldifファイル -D 管理者ユーザーDN -w パスワード <RETURN> |
【Linux】
# "OpenDSインストールフォルダー/bin/ldapmodify" -p ポート番号 -f ldifファイル -D 管理者ユーザーDN -w パスワード <RETURN> |
OpenDSへのユーザー登録には、SSL通信は必要ありません。ServerView Operations Manager に同梱されているOpenDSでは、SSL通信をしない場合のポート番号の初期値は、"1473" です。
ServerView Operations Managerに同梱されているOpenDSの接続設定内容は、ServerView Operations Manager の README、および、マニュアル「ServerView Suite ServerViewでのユーザ管理」を参照してください。
例
>"C:\Program Files\Fujitsu\ServerView Suite\opends\bat\ldapmodify.bat" -p 1473 -f myusers.ldif -D "cn=Directory Manager" -w admin -c <RETURN> |
ServerView Operations Managerとシングルサインオン運用をする場合、ServerView Operations Managerに定義されているユーザーを本製品のユーザー情報として設定します。
ユーザー情報の登録については、「運用ガイド CE」の「付録C ディレクトリサービスによるユーザー管理」を参照してください。
本製品のユーザーがServerView Operations Managerにログインする場合、ServerView Operations Managerにもユーザー定義が必要です。詳細は、「4.5.2.2 ServerView Operations Manager画面起動時のシングルサインオン」を参照してください。
シングルサインオンで利用するディレクトリサービス接続情報を本製品に登録します。
ディレクトリサービスの接続情報を確認してください。
接続情報 | 説明 |
|---|---|
IPアドレス | 接続するディレクトリサーバのIPアドレスです。 |
ポート番号 | 接続するディレクトリサーバのSSL通信用ポート番号です。 ServerView Operations Manager 同梱のOpenDSを使用する場合、初期状態では、1474です。 |
ベース名(DN) | 接続するディレクトリサーバのベース名(DN)です。 ServerView Operations Manager同梱のOpenDSを使用する場合、初期状態では、"dc=fujitsu,dc=com"です。 |
ディレクトリサーバ管理者名(DN) | 接続するディレクトリサーバの管理者名(DN)です。 ServerView Operations Manager同梱のOpenDSを使用する場合、"cn=Directory Manager"です。 |
ディレクトリサーバ管理者パスワード | 接続するディレクトリサーバのパスワードです。ServerView Operations Manager 同梱のOpenDSを使用する場合は、以下のマニュアルを参照してください。 ServerView Operations Managerのマニュアル 「ServerView Suite ServerView でのユーザ管理」の「OpenDS を使用する ServerView ユーザ管理」 |
以下の手順で、ディレクトリサービス接続情報を本製品に登録します。
マネージャーを停止します。
マネージャーの停止については、「7.2 マネージャーの起動と停止」を参照してください。
シングルサインオンで利用するディレクトリサービス接続情報を登録します。
rcxadm authctlコマンドを使用して、ディレクトリサービス接続情報を登録します。
rcxadm authctl コマンドについては、「リファレンスガイド (リソース管理) CE」の「1.7.10 rcxadm authctl」を参照してください。
例
Active Directoryを利用する場合の例
>rcxadm authctl register -ip 192.168.1.1 -port 636 -base dc=example,dc=local -bind cn=Administrator,cn=Users,dc=example,dc=local -method SSL -passwd mypasswd <RETURN> |
ServerView Operations Manager同梱のOpenDSを利用する場合の例
>rcxadm authctl register -ip 192.168.1.1 -port 1474 -base dc=fujitsu,dc=com -bind "cn=Directory Manager" -method SSL -passwd admin <RETURN> |
マネージャーを起動します。
マネージャーの起動については、「7.2 マネージャーの起動と停止」を参照してください。
登録済みのディレクトリサービス接続情報を、ディレクトリサービスによる認証から、シングルサインオン運用に変更します。
マネージャーを停止します。
マネージャーの停止については、「7.2 マネージャーの起動と停止」を参照してください。
ディレクトリサービス接続情報を、シングルサインオン運用に変更します。
rcxadm authctlコマンドを使用して、ディレクトリサービス接続情報を変更します。
rcxadm authctl コマンドについては、「リファレンスガイド (リソース管理) CE」の「1.7.10 rcxadm authctl」を参照してください。
>rcxadm authctl modify -auth serverview |
マネージャーを起動します。
マネージャーの起動については、「7.2 マネージャーの起動と停止」を参照してください。
旧バージョンで運用していたユーザーのうち、テナント管理者、テナントオペレーター、およびテナント監視者として運用するユーザーに対して、適切なロールを割り当てます。
以下の手順で、ユーザーにロールを割り当てます。
ユーザー情報をXML形式で、ファイルに出力します。
>rcxadm user list -format xml > myusers.xml |
rcxadm userコマンドについては、「リファレンスガイド (リソース管理) CE」の「1.6.1 rcxadm user」を参照してください。
XMLファイルを編集します。
テナント管理者、テナントオペレーター、およびテナント監視者として運用するユーザーだけを残し、他のユーザー情報をXMLファイルから削除します。
テナント管理ロールを割り当てるように定義します。
また、以下の情報を追加します。
メールアドレス
氏名(名)
氏名(姓)
フリガナ(名)
フリガナ(姓)
テナント管理ユーザーのXML定義については、「リファレンスガイド (リソース管理) CE」の「2.8.1 テナント管理ロールおよびテナント利用者ロール」を参照してください。
例
ユーザー"taro"に、テナント"tenantA"のテナント管理者ロールを割り当てるXML定義例
<?xml version="1.0" encoding="utf-8"?>
<Users>
<User name="taro">
<Roles>
<Role name="tenant_admin">
<Scopes>
<Scope>tenantA</Scope>
</Scopes>
</Role>
</Roles>
<MailAddress>taro@mail.example.com</MailAddress>
<ActualName>
<FirstName>taro</FirstName>
<LastName>fujitsu</LastName>
<FirstNameKana>タロウ</FirstNameKana>
<LastNameKana>フジツウ</LastNameKana>
</ActualName>
</User>
</Users> |
rcxadm userコマンドに、編集したXMLファイルを指定して、ユーザーに対して、テナント管理ロールを割り当てます。
>rcxadm user modify -file my_tenantadmins.xml |
