ページの先頭行へ戻る
Systemwalker共通 Systemwalker 共通ユーザー管理/Systemwalker シングル・サインオン使用手引書
FUJITSU Software
第4章 導入 > 4.2 Systemwalkerシングル・サインオンサーバの環境を構築する > 4.2.3 Systemwalker認証リポジトリの環境構築
前次

4.2.3 Systemwalker認証リポジトリの環境構築

Systemwalker認証リポジトリ構築手順について説明します。

Interstage ディレクトリサービスを利用する場合

以下の手順で、Systemwalker認証リポジトリの環境を構築します。

  1. [Interstage 管理コンソール]を起動します。

    起動方法は、“[Interstage 管理コンソール]の起動方法”を参照してください。

  2. [Interstage 管理コンソール]画面で、[システム]-[サービス]-[リポジトリ]-[新規作成]タブを選択します。

  3. 以下のように各項目を設定し、[作成]ボタンを選択します。

    • [簡易設定]

      • [リポジトリ名]

        Systemwalker認証リポジトリを識別するリポジトリ名を、8バイトまでの文字列で指定します。

        使用できる文字は以下のとおりです。

        ・半角英数字

        ・記号(「_」)

        先頭文字は半角英字にします。半角英大文字が指定された場合は、半角英小文字となります。初期値は“repnnn”(nnnは001、002、003、...)です。

        [リポジトリ名]は、必ず指定してください。新規作成時にだけ指定できます。

        注意

        Windowsの場合:リポジトリ名にDOSデバイス名は指定できません。

      • [管理者用DN]

        作成するSystemwalker認証リポジトリを管理するための管理者のDN(識別名)をDN形式で、512バイトまでの文字列で指定します。指定された管理者用のDNには[公開ディレクトリ]に指定した文字列が付加されます。

        DN形式を構成するRDN(相対識別名)の属性として、“cn”、“ou”、“o”、“c”、“l”、および“dc”が指定できます。

        DN形式を構成するRDN(相対識別名)の属性値として指定できる文字は以下のとおりです。

        ・半角英数字

        ・記号(「-」「.」「_」)が指定できます。

        DN形式を構成するRDN(相対識別名)の属性名と属性値の間は、"="を指定します。

        RDN(相対識別名)を複数指定する場合は、","で区切って指定します。

        初期値は“cn=manager”です。

        [管理者用DN]は、必ず指定してください。新規作成時にだけ指定できます。

        例)

        “cn=manager”

        “cn=manager,ou=managergroup”

        注意

        管理者用DNのRDN(相対識別名)には、複数の属性を使用して指定することはできません。たとえば、「cn=taro+sn=fujitsu」のように、プラス(+)を使用して複数の属性を指定することはできません。

      • [管理者用DNのパスワード]

        作成するSystemwalker認証リポジトリを管理するための管理者用のパスワードを、128バイトまでの文字列で指定します。使用できる文字は以下のとおりです。

        ・半角英数字

        ・記号(「,」「+」「=」「-」「.」「_」)

        [管理者用DNのパスワード]は、必ず指定してください。

      • [管理者用DNのパスワード(再) ]

        [管理者用DNのパスワード]に指定した文字列と同じ文字列を再度指定します。

        [管理者用DNのパスワード(再])は、必ず指定してください。

      • [公開ディレクトリ]

        Systemwalker認証リポジトリを公開するトップエントリをDN(識別名)形式で、512バイトまでの文字列で指定します。

        DN形式を構成するRDN(相対識別名)の属性として、“cn”、“ou”、“o”、“c”、“l”、および“dc”が指定できます。

        DN形式を構成するRDN(相対識別名)の属性値として使用できる文字は以下のとおりです。

        ・半角英数字

        ・記号(「-」「.」「_」)

        DN形式を構成するRDN(相対識別名)の属性名と属性値の間は、"="を指定します。

        RDN(相対識別名)を複数指定する場合は、","で区切って指定します。

        初期値は“ou=interstage,o=fujitsu,dc=com”です。

        [公開ディレクトリ]は、必ず指定してください。新規作成時にだけ指定できます。

        例)

        “ou=interstage,o=fujitsu,dc=com”

        “c=jp”

        注意

        公開ディレクトリのRDN(相対識別名)には複数の属性を使用して指定することはできません。たとえば、「cn=taro+sn=fujitsu」のように、プラス(+)を使用して複数の属性を指定することはできません。

      • [リポジトリのデータベース]

        [標準DB]を選択します。

      • [データベース格納先]

        データベースの格納先を完全パスで指定します。

        Windows版の場合は192バイト以内、UNIX版の場合は242バイト以内で指定します。

        事前に作成したディレクトリを格納先のディレクトリとして指定してください。実際のデータベースの格納先は、指定された格納先に“/リポジトリ名/data”(Windows版の場合は、“\リポジトリ名\data”)が付加された格納先となります。

        指定可能な文字は以下のとおりです。

        【Windows版】

        ・半角英数字

        ・記号(「$」「&」「'」「+」「-」「.」「=」「@」「_」「`」「~」「[」「]」「{」「}」「:」「/」「\」)

        ・空白

        【UNIX版】

        ・半角英数字

        ・記号(「/」「-」「_」「~」)

        全角文字などのマルチバイトコード系は使用できません。Windows版の場合では、":"はドライブ文字を指定する場合にだけ、"\"はディレクトリのセパレータとして指定する場合にだけ指定できます。ドライブを指定する場合は、“C:\” のように“\”を含めて指定してください。初期値は以下のとおりです。

        OS

        格納先

        Windows

        Interstageインストールディレクトリ\Enabler\EnablerDStores\IREP

        Solaris

        /var/opt/FJSVena/EnablerDStores/FJSVirep

        Linux

        /var/opt/FJSVena/DStores/FJSVirep

        データベース格納先は、必ず指定してください。新規作成時にだけ指定できます。

        注意

        データベース格納先は、十分なディスク容量が確保されていることを確認してから設定してください。データベース格納先に、初期値以外の値を設定する場合、権限の設定に注意してください。

        【Windows】

        デフォルトで表示されるデータベース格納先以外を指定する場合、格納先に指定するすべてのディレクトリ(最上位のディレクトリから最下位のディレクトリ)に、「Administrators」グループ、フルコントロールのアクセス権を設定してください。

        【UNIX】

        初期値で表示されるデータベース格納先以外を指定する場合、格納先に指定するすべてのディレクトリ(最上位のディレクトリから最下位のディレクトリ)の所有者を“oms”に設定し、かつ、所有者に“読み取り”、“書き込み”および“実行”を許可するように設定してください。

        設定手順の例を以下に示します。(データベース格納先を“/data/user”としています。)

        a) 格納先が未作成の場合、データベース格納先を作成します。-p引数を指定することで存在しない親ディレクトリも作成されます。

        mkdir -p /data/user

        b) ディレクトリに“読み取り”、“書き込み”および“実行”の権限を設定します。-R引数を指定することでサブディレクトリも含めて再帰的に権限が設定されます。

        chmod -R 700 /data

        c) ディレクトリに所有者として"oms"を設定します。-R引数を指定することでサブディレクトリも含めて再帰的に所有者が設定されます。

        chown -R oms /data

      • [キャッシュサイズ]

        検索処理でキャッシュを行うサイズをページ単位で指定します。100から65535の数値で指定します。1ページは4KBになります。初期値は“1000”ページです。本項目は、必ず指定してください。

  4. [詳細設定]の[表示]をクリックします。

  5. 以下のように各項目を設定して、[作成]ボタンを選択します。

    • [使用するポートの種類]

      [両方]を選択します。

    • [通常(非SSL)ポート番号]

      非SSL通信で使用するポート番号を指定します。

    • [SSLポート番号]

      SSL通信で使用するポート番号を指定します。

    • [SSL定義]

      SSL通信で使用するSSL定義を決定します。

    • [ユーザパスワード暗号化方式]

      パスワード(userPassword属性)を格納する際の暗号化方式を指定します。

      リポジトリの新規作成時にだけ指定できます。作成後は値を変更できません。

      ユーザパスワード暗号化方式については、“Interstage Application Server ディレクトリサービス運用ガイド”の“パスワードの保護”を参照してください。

  6. [Interstage 管理コンソール]画面で、作成したSystemwalker認証リポジトリのチェックボックスをチェックし、[起動]ボタンを選択します。

  7. Systemwalker認証リポジトリの初期データが設定されているファイルを、任意のディレクトリにコピーして編集します。

    設定ファイルが格納されているSystemwalker製品と、格納先は以下のとおりです。

    【設定ファイルが格納されているSystemwalker製品】

    Systemwalker製品名

    インストール種別

    Systemwalker Centric Manager

    運用管理サーバ

    Systemwalker Operation Manager

    サーバ

    Systemwalker Service Quality Coordinator

    運用管理クライアント

    【格納先】

    OS

    格納先

    Windows

    %F4AM_INSTALL_PATH%\F4AMidmg\sample\ldif\schema_for_ids.ldf

    UNIX

    /opt/FJSVswaic/sample/ldif/schema_for_ids.ldf

    設定ファイルの"dn"から始まる行の"DC=X"を環境に合わせてすべて書き換えてください。

    たとえば、公開ディレクトリを"dc=fujitsu,dc=com"に設定した場合は、"DC=X"を"DC=fujitsu,DC=com"に書き換えます。

  8. 以下のコマンドでSystemwalker認証リポジトリへ初期データを移入します。

    ldapmodify -p ポート番号 -D 管理者DN -w 管理者DNパスワード -a -f 初期データファイルパス

    -p:

    リポジトリのTCPポート番号を指定します。

    本オプションを省略、または0を指定すると、389になります。

    -D:

    リポジトリの管理者用DNを指定します。

    ここでは、手順3の[管理者用DN]に指定した値を指定してください。

    -w:

    リポジトリの管理者用DNのパスワードを指定します。

    ここでは、手順3の[管理者用DNのパスワード]に指定した値を指定してください。

    -a:

    LDIFの変更の種別(changetype行)が省略されているとき、add指定時と同じ動作(エントリの追加)をします。

    -f:

    エントリの変更情報を記述したファイルをfileパラメタに指定します。

    ここでは、手順6で編集した初期データファイルパスを指定します。

    ldapmodifyコマンドの格納先は以下のとおりです。

    【コマンド格納先】

    OS

    格納先

    Windows

    Interstageインストールディレクトリ\bin

    UNIX

    /opt/FJSVirepc/bin


Active Directoryを利用する場合

以下の手順で、Systemwalker認証リポジトリの環境を構築します。

Systemwalkerシングル・サインオン機能を利用する場合は、“Interstage ディレクトリサービスを利用する場合”に記載されている作業も実施してください。

ポイント

  • Active Directoryをレプリケーション運用している場合は、それぞれのActive Directoryで設定が必要になります。

  • Active Directoryの検索最大数の上限は、既定では、1000に設定されています。Active Directoryで管理するユーザー、グループ、および組織が1000を超える場合は、Active DirectoryのLDAPポリシーのMaxPageSizeの上限を増やしてください。

  • Systemwalker共通ユーザーを登録する場合、Active DirectoryのLDAPポリシーのMaxPageSizeを超えてユーザーを登録しないでください。MaxPageSizeを超える場合は、上限を増やしてからユーザー登録を実施してください。

  1. Active Directory構築

    Active Directory構築方法は、Microsoft社のマニュアルを参照してください。

  2. Active Directory接続用証明書環境構築

    Active Directoryが動作するサーバ上で証明書サービスをインストールしてください。また証明書サービスの認証機関にはエンタープライズCAを使用してください。インストール方法は、Microsoft社のマニュアルを参照してください。

  3. Active Directoryスキーマ拡張

    以下の手順で、Active Directoryスキーマ拡張を行います。

    1. スキーマ拡張用の設定ファイルを、Active Directoryサーバ上の任意のディレクトリにコピーします。

      スキーマ拡張用の設定ファイルが格納されているSystemwalker製品と、格納先は以下のとおりです。

      【設定ファイルが格納されているSystemwalker製品】

      Systemwalker製品名

      インストール種別

      Systemwalker Centric Manager

      運用管理サーバ

      Systemwalker Operation Manager

      サーバ

      Systemwalker Service Quality Coordinator

      運用管理クライアント

      【格納先】

      OS

      格納先

      Windows

      %F4AM_INSTALL_PATH%\F4AMidmg\sample\ldif\schema_for_ad.ldf

      UNIX

      /opt/FJSVswaic/sample/ldif/schema_for_ad.ldf

    2. ldifdeコマンドをActive Directoryサーバ上で実行します。

      例)

      スキーマ拡張用の設定ファイルコピー先が“C:\tmp”で、ポート番号が“389”、ドメイン名が“ad.local”の場合

      ldifde -i -f C:\tmp\schema_for_ad.ldf -s localhost -t 389 -k -c "DC=X" "DC=ad,DC=local"


前次
Copyright 1995-2014 FUJITSU LIMITED