InfoDirectoryを利用してDSAを構築している環境からInterstage ディレクトリサービスへ移行するための手順を説明します。
Interstage ディレクトリサービスのリポジトリ設計に関して説明します。
■運用形態
以下の構成で運用しているInfoDirectoryを、Interstage ディレクトリサービスに移行する場合を中心に説明します。
スタンドアロン運用
InfoDirectoryを1台のマシンで1個のDSAを構築している。
シャドウイング運用
InfoDirectoryを2台のマシンでシャドウイング環境で構築している。各マシンに1個のDSAを構築している。
■設計項目
Interstage ディレクトリサービスに移行する場合、以下の項目を設計する必要があります。
データベースの選択
Interstage ディレクトリサービスでは、情報を格納するデータベースとして以下のデータベースから選択する必要があります。
Symfoware/RDB
Oracleデータベース
Interstage ディレクトリサービスを構築するマシン上でリポジトリを作成します。
リポジトリは、irepconfigコマンド、またはInterstage管理コンソールを使用して作成します。リポジトリの作成についての詳細は、“ディレクトリサービス運用ガイド”の“リポジトリの作成”を参照してください。
なお、リポジトリ作成時は、以下の値を指定してください。
suffix (公開ディレクトリ)
InfoDirectoryのDSAで指定されていたトップエントリを指定します。「DSA選択」ウィンドウでDSAを選択して「ログイン情報変更」で開かれる「DSA情報」の“ベースDN”の値を指定します。
database (リポジトリのデータベース)
“2.3.2.1 Interstage ディレクトリサービスのリポジトリ設計”で設計したデータベースを指定します。
open_port_type (使用するポートの種類)
InfoDirectory(DSA)で指定していたポートの種類から以下の値を指定します。InfoDirectroy管理ツールの「サーバ管理」ウィンドウの「サーバパラメタ」タブの“SSLの状態”を確認し、以下のいずれかを指定してください。
OFF(SSLなし):nonssl(非SSL通信)
ON(SSLあり):ssl(SSL通信)
nonssl_port (通常(非SSL)ポート番号)
ssl_port (SSLポート番号)
InfoDirectory(DSA)で指定していたポート番号を指定します。InfoDirectory管理ツールの「DSA運用管理」ウィンドウのDSA名に続いて表示されているポート番号を指定してください。
encrypt_type (ユーザパスワード暗号化方式)
InfoDirectroy管理ツールの「サーバ管理」ウィンドウの「パスワード」タブの“パスワード暗号化形式”で指定していた暗号化方式を指定してください。
ただし、Interstage ディレクトリサービスでは、より強度の強い暗号化方式をサポートしていますので、ユーザパスワード暗号化方式の変更を推奨します。
ユーザパスワード暗号化方式については、「ディレクトリサービス運用ガイド」の「概要」-「Interstage ディレクトリサービスの主な機能」-「パスワードの保護」を参照してください。
InfoDirectoryでシャドウイングを利用しており、Interstage ディレクトリサービスで負荷分散環境を構築する場合は、“ディレクトリサービス運用ガイド”の“負荷分散環境(レプリケーション形態)の作成”を参照して負荷分散環境を構築してください。
InfoDirectoryで、スキーマを拡張していた場合、以下の手順に従いInterstage ディレクトリサービスに移行してください。
また、Interstage ディレクトリサービスで、レプリケーションの環境を構築する場合、マスタサーバとスレーブサーバの両方でスキーマを拡張してください。
スキーマ拡張の詳細は、“ディレクトリサービス運用ガイド”の“リポジトリの作成”-“スキーマ拡張”を参照してください。
注意
Interstage ディレクトリサービスには「ネームバインド制御」に相当する機能はありません。アプリケーション、または運用にて対処してください。
■属性の定義
InfoDirectoryで拡張したスキーマ(属性)は、以下の手順でInterstage ディレクトリサービスの定義(ユーザ定義スキーマファイル)に移行してください。テキストエディタを使って、ユーザ定義スキーマファイルを編集します。
InfoDirectory管理ツールの「スキーマ制御」ウィンドウで「ツール」-「属性操作...」から「属性ウィンドウ」を開きます。
スキーマ(属性)の定義内容を確認します。
Interstage ディレクトリサービスのユーザ定義スキーマファイルは、以下の形式です。
ユーザ定義スキーマファイルの詳細は、“ディレクトリサービス運用ガイド”の“リポジトリの作成” - “スキーマ拡張”- “属性型の定義”を参照してください。
attributetype (
(1)属性型のOID
NAME '(2)属性型の名前'
[DESC '(3)説明']
[SUP (4)基底属性型]
[EQUALITY (5)同値性の照合規則]
[ORDERING (6)順序性の照合規則]
[SUBSTR (7)部分文字列一致の照合規則]
[SYNTAX (8)属性構文{(9)長さ}]
[(10)SINGLE-VALUE] )例
attributetype (
1.2.392.2.101
NAME 'userAttr01'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} )
attributetype (
1.2.392.2.102
NAME 'userAttr02'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32} )InfoDirectoryとInterstage ディレクトリサービスの対応関係(属性の対応関係)を参照して、Interstage ディレクトリサービスのユーザ定義スキーマファイルを作成します。1属性単位に定義します。
InfoDirectoryの項目名 | Interstage ディレクトリサービスの項目名 | 備考 |
|---|---|---|
属性名 | (2)属性型の名前 | |
備考 | (3)説明 | |
オブジェクトID | (1)属性型のOID | |
シンタックス | (8)属性構文 | “表2.2 シンタックスの対応関係”を参照してください。 |
シングル値 | (10)SINGLE-VALUE | |
下限値 | - | |
上限値 | (9)長さ | |
属性ルール | (5)同値性の照合規則 (6)順序性の照合規則 (7)部分文字列一致の照合規則 | “表2.3 属性ルールの対応関係”を参照してください。 |
あいまい検索 | - | |
マッチングルール | - | |
インデックス | - | |
モニター | - | |
集合 | - | |
ユニーク | - | |
- | (4)基底属性型 |
InfoDirectoryの定義名 | Interstage ディレクトリサービスの定義名 |
|---|---|
Audio | 1.3.6.1.4.1.1466.115.121.1.4 |
Binary | 1.3.6.1.4.1.1466.115.121.1.5 |
Certificate | 1.3.6.1.4.1.1466.115.121.1.8 |
CertificateList | 1.3.6.1.4.1.1466.115.121.1.9 |
CertificatePair | 1.3.6.1.4.1.1466.115.121.1.10 |
DN | 1.3.6.1.4.1.1466.115.121.1.12 |
DirectoryString | 1.3.6.1.4.1.1466.115.121.1.15 |
FacsimileTelephoneNumber | 1.3.6.1.4.1.1466.115.121.1.22 |
GeneralizedTime | 1.3.6.1.4.1.1466.115.121.1.24 |
IA5String | 1.3.6.1.4.1.1466.115.121.1.26 |
INTEGER | 1.3.6.1.4.1.1466.115.121.1.27 |
JPEG | 1.3.6.1.4.1.1466.115.121.1.28 |
NameAndOptionalUID | 1.3.6.1.4.1.1466.115.121.1.34 |
NumericString | 1.3.6.1.4.1.1466.115.121.1.36 |
OID | 1.3.6.1.4.1.1466.115.121.1.38 |
OctetString | 1.3.6.1.4.1.1466.115.121.1.40 |
OtherMailbox | 1.3.6.1.4.1.1466.115.121.1.39 |
PostalAddress | 1.3.6.1.4.1.1466.115.121.1.41 |
PrintableString | 1.3.6.1.4.1.1466.115.121.1.44 |
SupportedAlgorithm | 1.3.6.1.4.1.1466.115.121.1.49 |
TelephoneNumber | 1.3.6.1.4.1.1466.115.121.1.50 |
TelexNumber | 1.3.6.1.4.1.1466.115.121.1.52 |
InfoDirectoryの定義名 | Interstage ディレクトリサービス | ||
|---|---|---|---|
(5)同値性の照合規則 | (6)順序性の照合規則 | (7)部分文字列一致の照合規則 | |
caseExactIA5Match | ○ | - | - |
caseIgnoreIA5Match | ○ | - | - |
caseIgnoreMatch | ○ | - | - |
caseIgnoreListMatch | ○ | - | - |
caseIgnoreOrderingMatch | - | ○ | - |
caseIgnoreSubstringsMatch | - | - | ○ |
distinguishedNameMatch | ○ | - | - |
generalizedTimeMatch | ○ | - | - |
generalizedTimeOrderingMatch | - | ○ | - |
integerMatch | ○ | - | - |
numericStringMatch | ○ | - | - |
numericStringSubstringsMatch | - | - | ○ |
objectIdentifierMatch | ○ | - | - |
octetStringMatch | ○ | - | - |
telephoneNumberMatch | ○ | - | - |
-:InfoDirectoryとInterstage ディレクトリサービスともにサポートしていません。
○:Interstage ディレクトリサービスでサポートしています。(Interstage ディレクトリサービスの定義名は、InfoDirectoryの定義名と同じ名前です。)
■オブジェクトクラスの定義
InfoDirectoryで拡張したスキーマ(オブジェクトクラス)は、以下の手順でInterstage ディレクトリサービスの定義(ユーザ定義スキーマファイル)に移行してください。テキストエディタを使って、ユーザ定義スキーマファイルを編集します。
InfoDirectoryの「スキーマ制御」ウィンドウの“オブジェクトクラス階層”から移行対象のオブジェクトクラスを選択します。
スキーマ(属性)の定義内容を確認します。
Interstage ディレクトリサービスのユーザ定義スキーマファイルは、以下の形式です。
ユーザ定義スキーマファイルの詳細は、“ディレクトリサービス運用ガイド”の“リポジトリの作成” - “スキーマ拡張”- “オブジェクトクラスの定義”を参照してください。
objectclass ( (1)オブジェクトクラスのOID NAME '(2)オブジェクトクラスの名前' [DESC '(3)説明'] SUP (4)基底オブジェクトクラス [(5)オブジェクトクラスの種別(ABSTRACT/STRUCTURAL/AUXILIARY)] [MUST (6)必須属性] [MAY (7)オプション属性] )
例
( 1.2.393.1.200 NAME 'userObj01' SUP top STRUCTURAL MUST cn MAY userAttr01 ( 1.2.393.1.201 NAME 'userObj02' SUP top AUXILIARY MUST ( userAttr01 $ userAttr02 $ userAttr03 $ userAttr04 $ userAttr05 $ userAttr06 $ userAttr07 $ userAttr08 ) MAY ( userAttr11 $ userAttr12 $ userAttr13 $ userAttr14 $ userAttr15 $ userAttr16 $ userAttr17 $ userAttr18 ) )
InfoDirectoryの項目名 | Interstage ディレクトリサービスの項目名 | 備考 | |
|---|---|---|---|
オブジェクトクラス階層 | (4)基底オブジェクトクラス | ||
オブジェクトクラス | (2)オブジェクトクラスの名前 | ||
日本語名 | - | ||
オブジェクトID | (1)オブジェクトクラスのOID | ||
備考 | (3)説明 | ||
オブジェクトクラスタイプ | (5)オブジェクトクラスの種別 | “表2.5 オブジェクトクラスタイプの対応関係”を参照してください。 | |
属性一覧タブ | |||
継承 | - | ||
属性名 | (6)必須属性 (7)オプション属性 | “表2.6 優先度の対応関係”を参照してください。 | |
優先度 | |||
オブジェクトID | - | ||
備考 | - | ||
InfoDirectoryの定義値 | Interstage ディレクトリサービスの定義値 |
|---|---|
抽象型オブジェクトクラス | ABSTRACT |
構造型オブジェクトクラス | STRUCTURAL |
補助オブジェクトクラス | AUXILIARY |
InfoDirectoryの定義値 | Interstage ディレクトリサービスの定義値 |
|---|---|
必須 | “(6)必須属性”に“属性名”を列挙します。 |
選択 | “(7)オプション属性”に“属性名”列挙します。 |
■拡張スキーマの登録
“属性の定義”、“オブジェクトクラスの定義”で作成したスキーマ定義を、irepschemaコマンドを使用してInterstage ディレクトリサービスに登録します。
コマンドの詳細は、“リファレンスマニュアル(コマンド編)”の“Interstage ディレクトリサービス運用コマンド”- “irepschema”を参照してください。
InfoDirectory(DSA)に登録されているエントリを以下の手順でLDIFファイルへ移出します。
DSAをチューニングします。
DSAに1000エントリ以上のエントリが登録されている場合、DSAのチューニングが必要になります。
チューニング方法は、ご使用になっている製品のマニュアル“InfoDirectory使用手引書”を参照してください。
DSAを起動します。
InfoDirectory管理ツールクライアントからDSAを起動します。
DSAからエントリを移出します。
ldapsearchコマンドを使用してエントリを移出します。コマンドの詳細は、ご使用になっている製品のマニュアル“InfoDirectory使用手引書”を参照してください。
ldapsearchコマンドは、InfoDirectory(DSA)が動作するホスト上で実行してください。
LDAPポート番号、管理者DN、およびトップエントリは、InfoDirectory管理ツールクライアントで確認してください。
例
以下の例では、InfoDirectory(DSA)に登録されているエントリをLDIFファイル「dir.ldif」へ移出しています。
C:\Interstage\ID\Dir\sdk\C\bin\ldapsearch -h ホスト名 -p LDAPポート番号 -D 管理者DN -w 管理者DNのパスワード -b トップエントリ "(objectclass=*)" > dir.ldif
/opt/FJSVidsdk/C/bin/ldapsearch -h ホスト名 -p LDAPポート番号 -D 管理者DN -w 管理者DNのパスワード -b トップエントリ "(objectclass=*)" > dir.ldif
InfoDirectoryから取り出したエントリを以下の手順でInterstage ディレクトリサービスへ移入します。
Interstage ディレクトリサービスのリポジトリ起動
作成したリポジトリを起動します。リポジトリの起動は、irepstartコマンド、またはInterstage管理コンソールを使用します。コマンドの詳細は、“リファレンスマニュアル(コマンド編)”の“Interstage ディレクトリサービス運用コマンド”- “irepstart”を参照してください。Interstage管理コンソールからの起動は[システム] > [サービス] > [リポジトリ] > [リポジトリ:状態]画面から行います。
Interstage ディレクトリサービスへエントリを移入します。
ldapmodifyコマンドを使用してエントリを移入します。コマンドの詳細は、“リファレンスマニュアル(コマンド編)”の“Interstage ディレクトリサービス運用コマンド”-“ldapmodify”を参照してください。
ldapsearchコマンドは、Interstage ディレクトリサービスが動作するホスト上で実行してください。
通常ポート番号(またはSSLポート番号)、リポジトリの管理者用DNには、リポジトリの作成時に指定した値を指定してください。
例
以下の例では、InfoDirectoryから移出したLDIFファイル「dir.ldif」を使用してエントリを移入しています。
C:\Interstage\bin\ldapmodify -h ホスト名 -p 通常ポート番号 -D 管理者用DN -w 管理者用DNのパスワード -c -a -f dir.ldif
/opt/FJSVirepc/bin/ldapmodify -h ホスト名 -p 通常ポート番号 -D 管理者用DN -w 管理者用DNのパスワード -c -a -f dir.ldif
ポイント
InfoDirectoryから移出した大量のLDIFを、RDBの機能を利用して高速に移入できます。ただし、Symfoware Server Lite Editionを使用している環境では、本機能を使用できません。詳細は“ディレクトリサービス運用ガイド”の“リポジトリの運用・保守”-“Symfoware/RDBへの高速な移入”を参照してください。
注意
属性のシンタックスが、"Audio"のエントリを移入する場合
InfoDirectoryから移出したLDIFファイルからシンタックスが、"Audio"の属性をすべて検索します。以下のように、";binary:"の部分を削除したあとに、Interstage ディレクトリサービスへエントリを移入してください。
[audio属性(シンタックス:Audio)の変更前]
audio;binary:: BIMEY5QEgwRjj//Y/+AAEEpGSUYAAQIBAGAAYAAA/+EQWEV4aWYAAE1NACoAAA AIAARHRgADAAAAAQADAABHSQADAAAAAQAyAACHaQAEAAAAAQAACDLqHAAHAAAH9AAAAD4AAAAAHO oAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA[audio属性(シンタックス:Audio)の変更後]
audio: BIMEY5QEgwRjj//Y/+AAEEpGSUYAAQIBAGAAYAAA/+EQWEV4aWYAAE1NACoAAA AIAARHRgADAAAAAQADAABHSQADAAAAAQAyAACHaQAEAAAAAQAACDLqHAAHAAAH9AAAAD4AAAAAHO oAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Interstage ディレクトリサービスへ移入したエントリのパスワード(userPassword属性)を再登録します。
以下の条件に該当する場合、エントリのパスワード(userPassword属性)を再登録します。
InfoDirectoryのパスワード暗号化方式は、"ClearText"以外、かつ
InfoDirectoryとInterstage ディレクトリサービスとの間でパスワード暗号化方式を変更した場合。
InfoDirectoryからInterstage ディレクトリサービスへ移行する場合、InfoDirectoryの機能別に以下のことに注意してください。
■認証
Interstage ディレクトリサービスは、以下の認証方法をサポートしていません。
パスワードなし (パスワード(userPassword属性)を指定せずに、DNだけを指定して認証する)
証明書認証
Interstage ディレクトリサービスを使用する場合、以下の認証方法で認証してください。
クレデンシャルなし(DN、およびパスワード(userPassword属性)を指定せずに認証する)
パスワードあり(DN、およびパスワード(userPassword属性)を指定して認証する)
■パスワード
InfoDirectoryで使用していた暗号化方式からInterstage ディレクトリサービスの暗号化方式を変更する場合、「Interstage ディレクトリサービスへエントリ移入」のあとに、テキスト形式のパスワードを指定してパスワード(userPassword属性)を再登録する必要があります。
ただし、InfoDirectoryの暗号化方式で「ClearText」を設定していた場合、パスワード(userPassword属性)の再登録は必要ありません。
■シャドウイング
シャドウイング方法
InfoDirectoryは、「サプライヤの変更に依存」、または「サプライヤの契約値に依存」を選択できます。
Interstage ディレクトリサービスは、「サプライヤの変更に依存」のみサポートしています。
サブツリーベース
InfoDirectoryは、任意のDNをサブツリーベースに指定できます。
Interstage ディレクトリサービスは、リポジトリのトップエントリを指定する必要があります。
選択属性
InfoDirectoryは、特定の属性を指定してシャドウイングできます。
Interstage ディレクトリサービスは、常にすべての属性をシャドウイングします。
スケジューリング
InfoDirectoryは、サプライヤDSAからコンシューマDSAに対して指定した時間にエントリをシャドウイングできます。
Interstage ディレクトリサービスは、「スケジューリング」をサポートしていません。
■ログ
アクセスログのデフォルト値は、以下のように異なっています。必要に応じて、Interstage ディレクトリサービスのデフォルト値を変更してください。
アクセスログの設定方法の詳細は“ディレクトリサービス運用ガイド”の“リポジトリの運用・保守”-“リポジトリの運用監視”-“アクセスログの設定方法”を参照してください。
項目値 | InfoDirectory デフォルト値 | Interstage ディレクトリサービス デフォルト値 |
|---|---|---|
アクセスログの格納ディレクトリ | DSAディレクトリ/logs |
C:\Interstage\IREP\var(インストールパスはデフォルト)
/var/opt/FJSVirep |
トレースレベル | request,error | |
バックアップディレクトリ | DSAディレクトリ/logs |
C:\Interstage\IREP\var\<リポジトリ名>\log
/var/opt/FJSVirep/<リポジトリ名>/log |
バックアップの世代数 | 7世代 | 2世代 |
ログファイルサイズ | 10Mバイト | 5Mバイト |
ログファイルサイズ合計 | 80Mバイト | 設定項目はありません。 |
必要な空きディスク容量 | 100Mバイト | 設定項目はありません。 |
バックアップ作成間隔 | 1日 | デフォルトは、ファイルサイズでバックアップします。 バックアップ作成間隔を月、または日に設定できます。 |
バックアップ保有間隔 | 7日 | 設定項目はありません。 |
ログファイル監視間隔 | 60秒 | 設定項目はありません。 |
■バックアップ/リストア
Interstage ディレクトリサービスは、リポジトリの資源をバックアップ/リストアする必要があります。
Interstage ディレクトリサービスのバックアップ・リストアの対象ファイル、手順は、“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ/他サーバへの資源移行/ホスト情報の変更)”を参照してください。
■検索
Interstage ディレクトリサービスでは、「近似」は未サポートです。ユーザアプリケーション、およびLDAPコマンドを利用する場合、注意してください。
■比較
Interstage ディレクトリサービスは、ユーザパスワード暗号化方式を“暗号化しない”に設定した場合だけ、パスワード(userPassword属性)を比較できます。
■その他-チューニング
項目値 | InfoDirectory デフォルト値 | Interstage ディレクトリサービス デフォルト値 |
|---|---|---|
無通信セション時間 | 900秒 | 900秒 |
データベースのサイズ | 500Mバイト | なし(制限なし) |
無通信セション時間
Interstage ディレクトリサービスでは「コネクションアイドル時間」として、irepconfigコマンド、またはInterstage管理コンソールで設定します。
■その他-運用監視(プロセス)
項目値 | InfoDirectory | Interstage ディレクトリサービス |
|---|---|---|
監視対象のプロセス名 | odssched | irepslapd ireplog |
■その他-機能差異
Interstage ディレクトリサービスとInfoDirectoryでは、エントリを管理するうえで、以下の点が異なります。InfoDirectoryからディレクトリ環境を移行する場合は、注意してください。
Interstage ディレクトリサービスでは、公開ディレクトリのDNを構成するRDNの属性値として指定できる文字は、半角英数字、マイナス(-)、ピリオド(.)、およびアンダーライン(_)です。
InfoDirectoryのトップエントリを構成するRDNの属性値に、これらの値以外を使用している場合は、データを修正してください。
Interstage ディレクトリサービスでは、RDNに特殊文字「=」を指定する場合は、エスケープしないで指定します。
InfoDirectoryでは、エスケープして指定します。
RDNに、特殊文字 「+」、「,」、「\」が含まれているエントリを検索した場合、特殊文字は以下の形式で通知されます。
特殊文字 | Interstage ディレクトリサービスでの検索結果 | InfoDirectoryでの検索結果 |
|---|---|---|
「+」 | 「\2B」 | 「\+」 |
「,」 | 「\2C」 | 「\,」 |
「\」 | 「\5C」 | 「\\」 |
なお、上記特殊文字をRDNに指定する際は、エスケープする必要があります。