Windows 2000またはServer 2003へのNovell eDirectory 8.8のインストールまたは更新

eDirectory 8.8 for Windowsでは、Novell Clientを含めずにインストールできます。すでにNovell Clientを含んだコンピュータにeDirectory 8.8をインストールすると、eDirectoryで既存のクライアントが使用されるか、最新バージョンでない場合は更新されます。

1. Windowsサーバで、管理者または管理権を持つユーザとしてログインします。

2. ツリー名を解決するには、ネットワーク上でSLPが正しく設定されていること、およびSLP DAが安定していることを確認してください。

   詳細については、次のいずれかを参照してください。

   • OpenSLP for eDirectoryの設定
   • DHCP Options for Service Location Protocol
   • OpenSLP Documentation

3. 自動実行をオフにしている場合は、Novell eDirectory 8.8 CDまたはダウンロードファイルにあるsetup.batを実行します。

   eDirectoryをインストールする前に、インストールプログラムによって次のコンポーネントがチェックされます。コンポーネントが検出されなかったり、バージョンが正しくない場合は、該当するコンポーネントのインストールが自動的に開始されます。

   • NICI 2.7

     Novell International Cryptographic Infrastructure (NICI)の詳細については、『NICI 2.7 Administration Guide(NICI管理ガイド)』を参照してください。

     NICIのインストール後にサーバの再起動が必要になる場合があります。eDirectoryのインストールは再起動後に再開されます。

   • Novell Client for Widows 2000/XP。

     重要:  コンピュータに古いバージョンのNovell Clientが存在する場合は、自動的に更新されます。Novell Clientの詳細については、Novell Client for Windowsのオンラインマニュアルを参照してください。

4. 使用許諾契約を表示し、［同意する］をクリックします。

5. インストールで使用する言語を選択し、［次へ］をクリックします。

6. インストールパスを指定または確認し、［次へ］をクリックします。

7. DIBパスを指定または確認し、［次へ］をクリックします。

8. (新規インストールの場合のみ)eDirectoryインストールタイプを選択し、［次へ］をクリックします。

   • 既存のツリーへのeDirectoryのインストール このサーバをeDirectoryネットワークに組み入れます。サーバはツリーのどのレベルにでもインストールできます。

   • 新しいeDirectoryツリーの作成 新しいツリーを作成します。ツリーに最初のサーバをインストールする場合、またはこのサーバに個別のツリーが必要となる場合は、このオプションを使用します。新しいツリー上で使用可能となるリソースは、別のツリーにログインしているユーザからは使用できません。

9. eDirectoryのインストール画面で必要な情報を入力し、［次へ］をクリックします。

   • 新しいeDirectoryサーバをインストールする場合は、新しいツリーのツリー名、サーバオブジェクトのコンテキスト、および管理者のログイン名とパスワードを指定します。
   • eDirectoryサーバを既存のツリーにインストールする場合は、既存のツリーのツリー名、サーバオブジェクトのコンテキスト、および管理者のログイン名とパスワードを指定します。
   • eDirectoryサーバをアップグレードする場合は、管理者のパスワードを指定します。

     注:  eDirectory 8.8およびそれ以降では、すべてのユーティリティについて大文字/小文字を区別したパスワードが使用できます。詳細については、『Novell eDirectory 8.8新機能ガイド』を参照してください。

   コンテナ名にドットを使用する場合の詳細については、「コンテナ名にドットを使用したツリーへのインストール」を参照してください。

10. (新規インストールの場合のみ)［HTTPサーバポートの設定］ページで、eDirectoryの管理用HTTPサーバで使用するポートを指定し、［次へ］をクリックします。

    重要:  eDirectoryインストールの実行中に設定するHTTPスタックポートには、Novell iManagerで使用している、または使用を予定しているHTTPスタックポートとは別のポートを指定してください。詳細については、『Novell iManager 2.5管理ガイド』を参照してください。

11. (新規インストールの場合のみ)［LDAP環境設定］ページで、使用するLDAPポートを指定し、［次へ］をクリックします。

    詳細については、「LDAPを介したeDirectoryとの通信」を参照してください。

12. インストールするNMAS^TMログインメソッドを選択し、［次へ］をクリックします。

    詳細については、NMASサーバソフトウェアのインストールおよびNMASクライアントソフトウェアのインストールを参照してください。

13. ［完了］をクリックして、eDirectoryのインストールを完了します。

サーバのヘルスチェック

eDirectory 8.8では、eDirectoryのアップグレードの際に、2つのサーバヘルスチェックをデフォルトで実行し、サーバをアップグレードしても安全かどうかを確認します。

• 基本的なサーバの状態
• パーティションとレプリカの状態

ヘルスチェックの結果に基づいて、次のようにアップグレードが継続または中止されます。

• すべてのヘルスチェックに成功すると、アップグレードは継続されます。
• あまり重大でないエラーの場合、アップグレードを継続するか中止するかを問うメッセージが表示されます。
• 重大なエラーの場合、アップグレードは中止されます。

あまり重大でないエラーと重大なエラーの一覧については「サーバのヘルスチェック」を参照してください。

サーバのヘルスチェックのスキップ

サーバのヘルスチェックをスキップするには、インストールウィザードでサーバのヘルスチェックについてメッセージが表示されたときに、サーバのヘルスチェックを無効にします。

詳細については、「サーバのヘルスチェック」を参照してください。

LDAPを介したeDirectoryとの通信

eDirectoryをインストールする場合、LDAPサーバが監視するポートを選択して、LDAP要求を処理できるようにする必要があります。次の表では、さまざまなインストールオプションを示します。

ポート389(業界標準のLDAPクリアテキストポート)

ポート389を通じた接続は暗号化されません。このポートへの接続を通して送信されるすべてのデータはクリアテキストです。このため、セキュリティの問題が伴います。たとえば、単純バインド要求でLDAPパスワードが見られる可能性があります。

LDAP単純バインドでは、DNおよびパスワードのみが要求されます。パスワードはクリアテキスト形式です。ポート389を使用する場合、すべてのパケットはクリアテキスト形式です。デフォルトでは、eDirectoryインストールの実行中にこのオプションは使用できません。

ポート389ではクリアテキストが使用できるため、LDAPサーバサービスではこのポートを通じてeDirectoryへの読み込みおよび書き込みを処理します。このポートの使用は開放性が高く、通信に妨害を受けることがなく、パケットが不正受信されない信頼性の高い環境に適しています。

クリアテキストパスワードおよびその他のデータの使用を禁止するには、インストールの実行中に［パスワードとの単純バインドにTLSを必要とする］オプションを選択します。

次の図に示すように、このページでは、389、636、および［パスワードとの単純バインドにTLSを必要とする］オプションがデフォルトで表示されます。

図 2
LDAP環境設定画面のデフォルト

シナリオ:［単純バインドにTLSを必要とする］オプションが有効の場合: ユーザはパスワードを要求するクライアントを使用しています。パスワードを入力した後、クライアントはサーバに接続します。ただし、LDAPサーバではクリアテキストポートからサーバにバインドする接続は許可されていません。誰でもユーザのパスワードを見ることができますが、ユーザはバインド接続できません。

［単純バインドにTLSを必要とする］オプションを有効にすると、ユーザは閲覧可能なパスワードを送信できなくなります。この設定を無効にしている(チェックボックスがオフになっている)場合、ユーザは別の人がパスワードを閲覧しても気が付きません。このオプションは接続を許可しないように設定するもので、クリアテキストポートにのみ適用できます。

ポート636に対してセキュリティ保護された接続を行い、単純バインドを実行する場合は、接続はその時点ですでに暗号化されています。このため、パスワード、データパケット、またはバインド要求を閲覧することはできません。

ポート636(業界標準のセキュリティ保護されたポート)

ポート636を通じた接続は暗号化されます。TLS(以前のSSL)によって暗号化が管理されます。デフォルトでは、eDirectoryのインストールではこのポートが選択されます。

次の図で、選択されるポートを示します。

図 3
iManagerのLDAPサーバ接続ページ

ポート636への接続では、自動的にハンドシェークをインスタンス生成します。ハンドシェークが失敗した場合、接続は拒否されます。

重要:  この設定をデフォルトで選択することで、ローカルLDAPサーバに問題が発生する場合があります。eDirectoryがインストールされる前にホストサーバにロードされているサービスがポート636を使用している場合は、別のポートを指定する必要があります。

eDirectory 8.7以前のバージョンのインストールでは、この競合は致命的なエラーとみなされ、nldap.nlmファイルはアンロードされます。eDirectory 8.7.3以降のインストールでは、nldap.nlmファイルがロードされ、dstrace.logファイルにエラーメッセージが記録され、セキュリティ保護されたポートを使用せずに実行されます。

シナリオ:ポート636がすでに使用されている場合: ローカルサーバでActive Directory*を実行しています。Active Directoryでは、ポート636を使用してLDAPプログラムを実行しています。eDirectoryをインストールします。インストールプログラムによってポート636がすでに使用されていることが検出されるため、このポート番号はNovell LDAPサーバに割り当てられません。LDAPサーバはロードを開始し、実行されているように見えますが、LDAPサーバではすでに開いているポートを複製または使用できないため、複製されたポートでの要求はLDAPサーバで処理されません。

ポート389またはポート636がNovell LDAPサーバに割り当てられているかどうか不明な場合は、ICEユーティリティを実行してください。［ベンダバージョン］フィールドにNovellが指定されていない場合は、eDirectoryのLDAP Serverを再設定し、別のポートを選択する必要があります。詳細については、『Novell eDirectory 8.8管理ガイド』の「 LDAPサーバが実行されているか確認する」を参照してください。

シナリオ:Active Directoryが実行中です。 Active Directoryが実行中です。クリアテキストポート389が開かれています。ポート389にICEコマンドを実行して、ベンダバージョンを確認してください。レポートにMicrosoft*が表示されます。次に、別のポートを選択してNovell LDAPサーバを再設定します。eDirectory LDAPサーバがLDAPの要求を処理できるようになります。

またNovell iMonitorでは、ポート389または636がすでに開かれていることも表示されます。LDAPサーバが動作しない場合は、Novell iMonitorを使用して詳細を確認してください。詳細については、『Novell eDirectory 8.8管理ガイド』の「 LDAPサーバが実行されているか確認する」を参照してください。

NMASサーバソフトウェアのインストール

NMAS (Novell Modular Authentication Service^TM)サーバコンポーネントは、eDirectoryインストールプログラムを実行すると自動的にインストールされます。その際、インストールするログインメソッドを選択する必要があります。

該当するチェックボックスをオンにして、eDirectoryにインストールするログインメソッドを選択します。ログインメソッドを選択すると、コンポーネントの説明が［説明］ボックスに表示されます。ログインメソッドの詳細については、『Novell Modular Authentication Service Administration Guide(Novell Modular Authentication Service管理ガイド)』の「Managing Login and Post-Login Methods and Sequences」を参照してください。

すべてのログインメソッドをeDirectoryにインストールする場合は、［すべて選択］をクリックします。選択したメソッドをすべてクリアするには、［すべてクリア］をクリックします。

NDSログインメソッドはデフォルトでインストールされます。

NMASクライアントソフトウェアのインストール

NMASクライアントソフトウェアは、NMASログインメソッドを使用する各クライアントワークステーションにインストールされている必要があります。

1. WindowsクライアントワークステーションにNovell eDirectory 8.8 CDを挿入します。

2. NMASディレクトリからnmasinstall.exeを実行します。

3. ［NMASクライアントコンポーネント］チェックボックスをオンにします。

   オプションで、NICIコンポーネントをインストールする場合はチェックボックスをオンにします。

4. ［OK］をクリックして、画面の指示に従います。

5. インストールの完了後、クライアントワークステーションを再起動します。

コンテナ名にドットを使用したツリーへのインストール

Windowsサーバは、名前にドット(.)が含まれるコンテナ(O=novell.comまたはC=u.s.aなど)を保持しているeDirectoryツリーにインストールできます。名前にドットが含まれているコンテナを使用するには、ドットを円記号(\)でエスケープする必要があります。ドットをエスケープするには、コンテナ名に含まれるすべてのドットの前に円記号を挿入します。例については、「図 4」を参照してください。

名前の最初にドットを使用することはできません。たとえば、ドット(「.」)から始まる".novell"という名前のコンテナを作成することはできません。

重要:  ツリー内に名前にドットが含まれるコンテナが存在する場合は、iMonitor、iManagerおよびDHost iConsoleなどのユーティリティにログインするときには、それらの名前を必ずエスケープしてください。たとえば、ツリー内に"novell.com"という名前の組織が存在する場合、iMonitorにログインするときは［ユーザ名］フィールドにusername.novell\.comのように入力します(「図 5」を参照してください)。