3.2 NrfCaseUpdateユーティリティの実行

このセクションでは、NrfCaseUpdateユーティリティの詳細について説明します。主なトピックは次のとおりです。

3.2.1 NrfCaseUpdateの概要

役割とリソースで大文字と小文字が混在する検索をサポートするには、NrfCaseUpdateプロシージャが必要です。このプロシージャはnrfLocalizedDescrsおよびnrfLocalizedNames属性(ユーザアプリケーションで使用される)を変更することによってスキーマを更新します。eDirectoryのツリーがRBPMの3.6.1以前のリリースを使用して作成された場合、RBPM 4.0.1をインストールする前、およびDesigner 4.0.1で既存のドライバをマイグレートする前にこのプロシージャが必要になります。バージョン4.0.1の新規インストールを実施する場合、または3.7からアップグレードする場合、この手順は必要はありません。

3.2.2 インストールの概要

このセクションでは、既存のRBPM環境を更新し移行するための手順の概要を説明します。この概要は、すべての更新を開始する前にユーザアプリケーションドライバのバックアップを作成するDesigner 4.0.1の使用法に重点を置きます。

  1. Designer 4.0.1のインストール

  2. 識別ボールトのヘルスチェックを実行し、スキーマが適切に拡張されていることを確認します。TID 3564075を使用してヘルスチェックを完了します。

  3. 既存のユーザアプリケーションドライバをDesigner 4.0.1にインポートします。

  4. Designerプロジェクトをアーカイブします。これはRBPM 4.0.1以前のドライバの状態を表します。

  5. NrfCaseUpdateプロセスを実行します。

  6. 新しいDesigner 4.0.1プロジェクトを作成し、移行に備えてユーザアプリケーションドライバをインポートします。

  7. RBPM 4.0.1をインストールします。

  8. Designer 4.0.1を使用してドライバを移行します。

  9. 移行したドライバを展開します。

3.2.3 NrfCaseUpdateのスキーマへの影響

NrfCaseUpdateユーティリティはeDirectoryの既存の属性を更新し、これらの属性の既存インスタンスは実質的にすべて削除されます。ユーザアプリケーションはこれらの属性を使用しており、したがってこのスキーマ更新により影響を受けます。特に、役割と権限の分割名と説明、カスタムの構成証明要求、およびレポートなどです。

NrfCaseUpdateプロシージャは、スキーマ更新を実行する前に、既存のユーザアプリケーションドライバをLDIFファイルにエクスポートするユーティリティを指定することによって、ユーザアプリケーションドライバを更新します。スキーマ更新後にLDIFファイルをインポートすると、スキーマ更新時に削除されたすべてのオブジェクトは実質的に再作成されます。

既存のユーザアプリケーションドライバを予防措置として必ずバックアップすることは重要です。スキーマ更新はすべてのIdentity Managerパーティションに影響することを覚えておいてください。したがってユーザアプリケーションドライバをそのツリーにエクスポートするためにNrfCaseUpdateを使用することは大変重要です。

3.2.4 ユーザアプリケーションドライバのバックアップの作成

ユーザアプリケーションドライバのバックアップを作成する場合、Designerを使用することをお奨めします。NrfCaseUpdateプロシージャを実行する前に、次の手順に従ってユーザアプリケーションドライバをバックアップしてください。

  1. Designer 4.0.1をインストールします。これはRBPM 4.0.1に同梱されています。

  2. 識別ボールトを作成し、それをユーザアプリケーションドライバを含むIdentity Managerドライバにマップします。

  3. [ライブ]>[インポート]コマンドの順に使用して、ドライバセットとユーザアプリケーションドライバをインポートします。

  4. このDesignerプロジェクトを保存しアーカイブします。

3.2.5 NrfCaseUpdateの使用

NrfCaseUpdateはドライバをエクスポートするように促してから、スキーマ更新を実行します。既存のユーザアプリケーションドライバの存在または場所について不明確な場合、スキーマ更新がユーザアプリケーションドライバを無効にする可能性があるので、続行しないでください。

Identity Managerインストールディレクトリ(通常/root/idm/jre)の下に表示されるJREは、NrfCaseUpdateを実行するために使用されます。eDirectoryへのSSL接続が必要な場合、セクション 3.2.7, SSL接続のJREの有効化の指示に従ってSSL接続のJREを有効にする必要があります。

あるいは、eDirectory証明書を含むJREを持つホスト(ユーザアプリケーションサーバホストなど)からリモートでNrfCaseUpdateユーティリティを実行することもできます。この場合、すべてのドライバをLDIFにエクスポートした後でスキーマ更新の前に、<CTRL>+<C>を使用してNrfCaseUpdateユーティリティを終了する必要があります。次に、ndsschコマンドを使用して、次に示すようにeDirectoryホストのスキーマを手動で更新します。

ndssch -h hostname adminDN update-nrf-case.sch

メモ:NrfCaseUpdateはコマンドラインに複数の引数を受け入れることができます。Pass -help or -?を参照してください。

NrfCaseUpdateを実行するには、次の手順に従います。

  1. NrfCaseUpdateユーティリティを実行する前に、識別ボールトのヘルスチェックが完了していることを確認します。 TID 3564075を使用してヘルスチェックを完了します。

  2. このユーティリティを起動する前に、既存のユーザアプリケーションドライバのすべてのDNを識別します。これらのドライバをLDIFにエクスポートするためには認証資格情報が必要です。

  3. NrfCaseUpdateユーティリティを実行します。必要に応じて-vオプションを渡して、より詳細な出力を取得することもできます。

    /root/idm/jre/bin/java -jar NrfCaseUpdate.jar -v
    
  4. 既存のユーザアプリケーションドライバを持っているかどうか聞かれます。既存のユーザアプリケーションドライバを持っている場合は、[True]と答えます。そうでなければ、[False]と答えてステップ 15にスキップします。

    Do you currently have a User Application Driver configured [DEFAULT true] :
    
  5. 次に、ユーティリティによってユーザアプリケーションドライバを複数持っているかどうか聞かれます。複数のユーザアプリケーションドライバを持っている場合は、[True]と答えます。

    Do you currently have more than one (1) User Application Driver configured [DEFAULT false] :
    
  6. ユーザアプリケーションドライバをエクスポートする適切な資格情報を持つ管理者のDNを指定します。

    Specify the DN of the Identity Vault administrator user.
    This user must have inherited supervisor rights to the user application driver specified above.
    (e.g. cn=admin,o=acme):
    
  7. この管理者のパスワードを入力します。

    Specify the Identity Vault administrator password:
    
  8. ユーザアプリケーションドライバをホストするIdentity Managerサーバのホスト名またはIPアドレスを入力します。

    Specify the DNS address of the Identity Vault (e.g acme.com):
    
  9. 接続に使用するポートを指定します。

    Specify the Identity Vault port [DEFAULT 389]:
    
  10. 次の質問では、接続にSSLを使用するかどうかを聞かれます。SSLを使用する場合、JREはトラステッドストアに存在するためのeDirectory証明書が必要です。証明書を保持するには、セクション 3.2.7, SSL接続のJREの有効化の指示に従ってください。

    Use SSL to connect to Identity Vault: [DEFAULT false] :
    
  11. エクスポートするユーザアプリケーションドライバの完全修飾識別名を指定します。

    Specify the fully qualified LDAP DN of the User Application driver located in the Identity Vault
    (e.g. cn=UserApplication,cn=driverset,o=acme):
    

    DNにスペースが含まれる場合は、次に示すように一重引用符で囲む必要があります。

    'cn=UserApplication driver,cn=driverset,o=acme' 
    
  12. ユーザアプリケーションをエクスポートするLDIFファイルの名前を指定します。

    Specify the LDIF file name where the restore data will be written (enter defaults to nrf-case-restore-data.ldif):
    
  13. ユーティリティはLDIFに保存されるオブジェクトについての情報をポストします。

  14. 複数ドライバを持っていることを示した場合、次のプロンプトが表示されます。

    You indicated you have more than one (1) User Application Driver to configure.
    Do you have another driver to export? [DEFAULT false] :
    
    If you have another driver to export then specify true. The utility will repeat Steps 5 through 12 for each driver. 
    
    If you do not have another driver to export then specify false. Ensure that you have exported all existing drivers before proceeding as the utility will proceed with the schema update.
    
  15. 通常の場所が表示されるとともに、ndsschユーティリティの場所の入力を促されます。ndsschユーティリティはスキーマの更新に使用されます。

    Please enter the path to the schema utility:
    For Unix/Linux typically /opt/novell/eDirectory/bin/ndssch
    For Windows C:\Novell\NDS\schemaStart.bat:
    
  16. このユーティリティは、次のようなスキーマ更新のステータスメッセージをポストします。

    Schema has successfully been updated for mixed case compliance!
    

    メモ:eDirectoryがスキーマの変更と同期する時間を十分に確保します。十分な時間を与えないと、LDIFファイルのインポートが失敗します。

  17. 識別ボールト上で別のヘルスチェックを実行し、LDIFファイルのインポート前にスキーマが適切に拡張されていることを確認します。TID 3564075を使用してヘルスチェックを完了します。

  18. すべてのドライバがエクスポートされスキーマ更新が正常に適用された後に、LDIFファイルをインポートする必要があります。iceコマンドで前方参照を許可することを指示してください。推奨されるコマンドラインは次のとおりです。

    ice -l [mylogfile.log] -v -SLDIF -f [your_created_ldif] -c -DLDAP -s [hostname] -p [389/636] -d [cn=myadmin,o=mycompany] -w [MYPASSWORD] -F -B
    
  19. すべてのドライバがインポートし直された後で、NrfCaseUpdateプロセスが正常であったことを確認します。詳細については、セクション 3.2.6, NrfCaseUpdateプロセスの確認を参照してください。

  20. NrfCaseUpdateプロセスが正常であったことを確認した後に、RBPM 4.0.1インストールを続行します。

3.2.6 NrfCaseUpdateプロセスの確認

すべてのドライバがインポートし直された後で、ユーザアプリケーションで次の項目を調べることによって、復元が成功したことを確認します。

  • 役割名と説明

  • 権限の分割名と説明

  • カスタム要求を含む、構成証明要求

  • レポート機能

確認が完了した後、RBPM 4.0.1のインストールを続行し更新できます。

3.2.7 SSL接続のJREの有効化

このセクションでは、SSL接続を使用するためにJREを設定する方法について説明します。

まず、識別ボールトの認証局から自己署名証明書をエクスポートします。

  1. iManagerから、[役割とタスク]ビューで、[ディレクトリ管理]>[オブジェクトの変更]の順にクリックします。

  2. 識別ボールトの認証局オブジェクトを選択してから、[OK]をクリックします。これは通常セキュリティコンテナにあり、TREENAME CA.Securityと名付けられます。

  3. [証明書]>[自己署名証明書]をクリックします。

  4. [エクスポート]をクリックします。

  5. 証明書とともに秘密鍵をエクスポートするかどうか聞かれた場合、[いいえ]をクリックしてから、[次へ]をクリックします。

  6. バイナリのDERフォーマットを選択します。

  7. リンク[エクスポートした証明書の保存]をクリックします。

  8. ファイルを保存するコンピュータの場所をブラウズして[保存]をクリックします。

  9. [閉じる]をクリックします。

次に、自己署名証明書をJREのトラステッドストアにインポートします。

  1. JREに含まれているkeytoolユーティリティを使用します。

  2. コマンドプロンプトで次のコマンドを入力することにより役割マッピング管理者の認証ストアに証明書をインポートします。

    keytool -import -file name_of_cert_file -trustcacerts -noprompt -keystore filename -storepass password
    

    次に例を示します。

    keytool -import -file tree_ca_root.b64 -trustcacerts -noprompt -keystore cacerts -storepass changeit
    

3.2.8 無効にされたユーザアプリケーションドライバの復元

NrfCaseUpdateを使用してドライバが処理される前にスキーマ更新が既存のユーザアプリケーションドライバに適用された場合、これは無効にされ、バックアップを使用してそのドライバを復元する必要があります。

重要:無効にされたユーザアプリケーションドライバを削除または名前変更しないことが重要です。そうした場合、すべてのドライバの関連付けが無効になるためです。また、役割およびリソースサービスドライバが実行中で、ユーザアプリケーションドライバを削除した場合、役割およびリソースサービスドライバは役割の削除を検出し、割り当てられたユーザからその役割を削除します。

また、スキーマの変更はこの方法では元に戻せないので、バックアップされているドライバをIdentity Managerに展開し直すだけでは十分ではありません。次のプロシージャは、復元するデータを生成するために、名前変更されたドライバのコピーを展開することによって復元を実行します。

次のプロシージャはDesigner 4.0.1を使用してユーザアプリケーションドライババックアップを復元するプロセスを概説しています。

  1. eDirectoryを再起動して、有効にしたスキーマの変更を確認します。

  2. ユーザアプリケーションドライバ、UserAppDriverのバックアップを含む、Designer 4.0.1プロジェクトのコピーを開きます。このプロシージャはドライバ名を変更するので、プロジェクトのコピーを使用することが重要です。

  3. ユーザアプリケーションドライバと識別ボールトの間の接続を選択し、右クリックしてから[プロパティ]を選択します。

  4. UserAppDriver_restore」などの新しい名前を指定します。[適用]および[OK]を選択します。

  5. [保存]をクリックしてプロジェクトを保存します。

  6. 識別ボールトを選択することによって識別ボールト同期させ、[ライブ]>[スキーマ]>[比較]を選択し、[元に戻すアクションのためにDesignerを更新]

  7. プロジェクトを保存します。

  8. ドライバを選択し、[ドライバ]>[展開]を選択することによって、名前変更したドライバを展開します。

  9. NrfCaseUpdateを実行し、新しく名付けたドライバをLDIFファイルにエクスポートします。

  10. 編集用にLDIFファイルのコピーを作成します。

  11. 復元するユーザアプリケーションドライバを示すために参照するLDIFファイルを編集し、すべてのドライバを名前変更します。たとえば、元のユーザアプリケーションドライバが「cn=UserAppDriver」の場合、「cn=UserAppDriver_restore」から「cn=UserAppDriver」へ名前変更します。この手順は、本物のユーザアプリケーションドライバを反映するLDIFファイルを実質的に構築します。

  12. iceを使用して、変更したLDIFファイルをインポートします。

    ice -l[mylogfile.log] -v -SLDIF -f[your_created_ldif] -c -DLDAP -s[hostname] -p[389/636] -d[cn=myadmin,o=mycompany] -w[MYPASSWORD] -F -B
    
  13. iceを使用したインポートが成功したことを確認するためには、そのステータスに注意してください。

  14. ドライバの復元を確認するには、セクション 3.2.6, NrfCaseUpdateプロセスの確認の下の指示に従います。

  15. 名前変更したドライバをドライバセットから削除します。