RORが使用しているServerView Operations Managerのバージョンが6.10以降の場合、ServerView Operations Managerが使用するTLS/SSL通信について設定の変更が必要になります。連携対象のRORサーバ上で、以下の手順に従って変更を行ってください。
注意
変更を行うファイルについては、事前にバックアップを行ってください。
ファイル”standalone.xml”は、ServerView Operations Managerを再起動すると、内容が変更前の状態に戻ります。ServerView Operations Managerを再起動後にファイルを再度修正してください。
ServerView Resource Orchestratorのマネージャーを停止します。
停止方法については、ServerView Resource Orchestratorのマニュアルを参照してください。
以下のファイルを編集します。
【Windows】
<ServerView Suiteのインストールフォルダ>\jboss\standalone\configuration\standalone.xml
【Linux】
/opt/fujitsu/ServerViewSuite/jboss/standalone/configuration/standalone.xml
XMLセクション<subsystem xmlns="urn:jboss:domain:web:1.1" …>を探して、XMLタグ<ssl …>に、属性cipher-suiteを以下のように追加してください。
[変更前]
<subsystem xmlns="urn:jboss:domain:web:1.1" default-virtual-server="default-host" native="false">
<configuration>
<jsp-configuration x-powered-by="false" display-source-fragment="false"/>
</configuration>
<connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/>
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
<ssl name="https" password="changeit" certificate-key-file="../standalone/svconf/pki/keystore" verify-client="false"/>
</connector>
<virtual-server name="default-host" enable-welcome-root="false"/>
</subsystem>[変更後]
<subsystem xmlns="urn:jboss:domain:web:1.1" default-virtual-server="default-host" native="false">
<configuration>
<jsp-configuration x-powered-by="false" display-source-fragment="false"/>
</configuration>
<connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/>
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
<ssl name="https" password="changeit" certificate-key-file="../standalone/svconf/pki/keystore" cipher-suite="TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_RC4_128_MD5,TLS_EMPTY_RENEGOTIATION_INFO_SCSV,TLS_RSA_WITH_NULL_SHA256,SSL_RSA_WITH_NULL_SHA,SSL_RSA_WITH_DES_CBC_SHA,SSL_RSA_WITH_NULL_MD5,SSL_RSA_EXPORT_WITH_RC4_40_MD5,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,TLS_KRB5_WITH_RC4_128_SHA,TLS_KRB5_WITH_RC4_128_MD5,TLS_KRB5_WITH_3DES_EDE_CBC_SHA,TLS_KRB5_WITH_3DES_EDE_CBC_MD5,TLS_KRB5_WITH_DES_CBC_SHA,TLS_KRB5_WITH_DES_CBC_MD5,TLS_KRB5_EXPORT_WITH_RC4_40_SHA,TLS_KRB5_EXPORT_WITH_RC4_40_MD5,TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA,TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5" verify-client="false"/>
</connector>
<virtual-server name="default-host" enable-welcome-root="false"/>
</subsystem>以下のファイルを編集します。
【Windows】
<ServerView Suiteのインストールフォルダ>\opends\config\schema\02-config.ldif
【Linux】
/opt/fujitsu/ServerViewSuite/opends/config/schema/02-config.ldif
"ds-cfg-administration-connector"のobjectclasses宣言で、MAY行を以下のように変更してください。
[変更前]
objectClasses: ( 1.3.6.1.4.1.26027.1.2.183
NAME 'ds-cfg-administration-connector'
SUP top
STRUCTURAL
MUST ( cn $
ds-cfg-listen-port $
ds-cfg-key-manager-provider $
ds-cfg-trust-manager-provider $
ds-cfg-ssl-cert-nickname )
MAY ( ds-cfg-listen-address )
X-ORIGIN 'OpenDS Directory Server' )[変更後]
objectClasses: ( 1.3.6.1.4.1.26027.1.2.183
NAME 'ds-cfg-administration-connector'
SUP top
STRUCTURAL
MUST ( cn $
ds-cfg-listen-port $
ds-cfg-key-manager-provider $
ds-cfg-trust-manager-provider $
ds-cfg-ssl-cert-nickname )
MAY ( ds-cfg-listen-address )
MAY ( ds-cfg-listen-address $ ds-cfg-ssl-cipher-suite $ ds-cfg-ssl-protocol )
X-ORIGIN 'OpenDS Directory Server' )以下のファイルを編集します。
【Windows】
<ServerView Suiteのインストールフォルダ>\opends\config\config.ldif
【Linux】
/opt/fujitsu/ServerViewSuite/opends/config/config.ldif
エントリ cn=LDAPS Connection Handler,cn=Connection Handlers,cn=configに対して、属性ds-cfg-ssl-cipher-suiteとds-cfg-ssl-protocolを以下のように追加します。
[変更前]
dn: cn=LDAPS Connection Handler,cn=Connection Handlers,cn=config objectClass: ds-cfg-ldap-connection-handler objectClass: top objectClass: ds-cfg-connection-handler ds-cfg-ssl-client-auth-policy: optional ds-cfg-key-manager-provider: cn=JKS,cn=Key Manager Providers,cn=config ds-cfg-ssl-cert-nickname: svs_cms ds-cfg-trust-manager-provider: cn=JKS,cn=Trust Manager Providers,cn=config ds-cfg-max-blocked-write-time-limit: 2 minutes ds-cfg-allow-tcp-reuse-address: true ds-cfg-allow-start-tls: false ds-cfg-send-rejection-notice: true ds-cfg-allow-ldap-v2: true cn: LDAPS Connection Handler ds-cfg-use-tcp-no-delay: true ds-cfg-enabled: true ds-cfg-java-class: org.opends.server.protocols.ldap.LDAPConnectionHandler ds-cfg-keep-stats: true ds-cfg-max-request-size: 5 megabytes ds-cfg-accept-backlog: 128 ds-cfg-buffer-size: 4096 bytes ds-cfg-listen-address: 0.0.0.0 ds-cfg-num-request-handlers: 2 ds-cfg-listen-port: 1474 ds-cfg-use-ssl: true ds-cfg-use-tcp-keep-alive: true
[変更後]
dn: cn=LDAPS Connection Handler,cn=Connection Handlers,cn=config objectClass: ds-cfg-ldap-connection-handler objectClass: top objectClass: ds-cfg-connection-handler ds-cfg-ssl-client-auth-policy: optional ds-cfg-key-manager-provider: cn=JKS,cn=Key Manager Providers,cn=config ds-cfg-ssl-cert-nickname: svs_cms ds-cfg-trust-manager-provider: cn=JKS,cn=Trust Manager Providers,cn=config ds-cfg-max-blocked-write-time-limit: 2 minutes ds-cfg-allow-tcp-reuse-address: true ds-cfg-allow-start-tls: false ds-cfg-send-rejection-notice: true ds-cfg-allow-ldap-v2: true cn: LDAPS Connection Handler ds-cfg-use-tcp-no-delay: true ds-cfg-enabled: true ds-cfg-java-class: org.opends.server.protocols.ldap.LDAPConnectionHandler ds-cfg-keep-stats: true ds-cfg-max-request-size: 5 megabytes ds-cfg-accept-backlog: 128 ds-cfg-buffer-size: 4096 bytes ds-cfg-listen-address: 0.0.0.0 ds-cfg-num-request-handlers: 2 ds-cfg-listen-port: 1474 ds-cfg-use-ssl: true ds-cfg-ssl-cipher-suite: TLS_RSA_WITH_AES_128_CBC_SHA256
ds-cfg-ssl-cipher-suite: TLS_RSA_WITH_AES_128_CBC_SHA
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_3DES_EDE_CBC_SHA
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_RC4_128_MD5
ds-cfg-ssl-cipher-suite: TLS_EMPTY_RENEGOTIATION_INFO_SCSV
ds-cfg-ssl-cipher-suite: TLS_RSA_WITH_NULL_SHA256
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_NULL_SHA
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_DES_CBC_SHA
ds-cfg-ssl-cipher-suite: SSL_RSA_WITH_NULL_MD5
ds-cfg-ssl-cipher-suite: SSL_RSA_EXPORT_WITH_RC4_40_MD5
ds-cfg-ssl-cipher-suite: SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
ds-cfg-ssl-cipher-suite: TLS_KRB5_WITH_RC4_128_SHA
ds-cfg-ssl-cipher-suite: TLS_KRB5_WITH_RC4_128_MD5
ds-cfg-ssl-cipher-suite: TLS_KRB5_WITH_3DES_EDE_CBC_SHA
ds-cfg-ssl-cipher-suite: TLS_KRB5_WITH_3DES_EDE_CBC_MD5
ds-cfg-ssl-cipher-suite: TLS_KRB5_WITH_DES_CBC_SHA
ds-cfg-ssl-cipher-suite: TLS_KRB5_WITH_DES_CBC_MD5
ds-cfg-ssl-cipher-suite: TLS_KRB5_EXPORT_WITH_RC4_40_SHA
ds-cfg-ssl-cipher-suite: TLS_KRB5_EXPORT_WITH_RC4_40_MD5
ds-cfg-ssl-cipher-suite: TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA
ds-cfg-ssl-cipher-suite: TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5
ds-cfg-ssl-protocol: SSLv2Hello
ds-cfg-ssl-protocol: SSLv3
ds-cfg-ssl-protocol: TLSv1
ds-cfg-use-tcp-keep-alive: true
同じ設定ファイルで、エントリ dn: cn=Administration Connector,cn=config の属性ds-cfg-listen-addressを以下のように修正します。
[変更前]
dn: cn=Administration Connector,cn=config objectClass: ds-cfg-administration-connector objectClass: top ds-cfg-listen-address: 0.0.0.0 ds-cfg-listen-port: 4444 cn: Administration Connector ds-cfg-key-manager-provider: cn=Administration,cn=Key Manager Providers,cn=config ds-cfg-ssl-cert-nickname: svs_cms ds-cfg-trust-manager-provider: cn=Administration,cn=Trust Manager Providers,cn=config
[変更後]
dn: cn=Administration Connector,cn=config
objectClass: ds-cfg-administration-connector
objectClass: top
ds-cfg-listen-address: 127.0.0.1
ds-cfg-listen-port: 4444
cn: Administration Connector
ds-cfg-key-manager-provider: cn=Administration,cn=Key Manager Providers,cn=config
ds-cfg-ssl-cert-nickname: svs_cms
ds-cfg-trust-manager-provider: cn=Administration,cn=Trust Manager Providers,cn=configServerView Operations Managerを再起動します。以下のコマンドを実行してください。
【Windows】
net stop "SVJBASSVC" net start "SVJBASSVC"
【Linux】
/etc/init.d/sv_jboss restart
ServerView Resource Orchestratorのマネージャーを起動します。
起動方法については、ServerView Resource Orchestratorのマニュアルを参照してください。