4.2 安全なIdentity Managerデータ転送の設定

すべてのeDirectoryドライバ通信は、SSLで保護されます。eDirectoryシステムで安全なIdentity Managerデータ転送を扱うように設定するには、Novell iManagerでNDS to NDS間ウィザードを実行します。

4.2.1 eDirectoryドライバセキュリティの理解

次の項目は、eDirectoryドライバセキュリティを理解する上で役立ちます。

  • ドライバは、SSLソケットを使用して、認証と安全な接続を提供します。SSLは、デジタル証明書を使用して、SSL接続される双方が互いに認証できるようにします。さらに、Identity Managerは、機密データの保護管理にNovell Certificate Server証明書を使用します。
  • ドライバを使用するには、各ツリーでNovell Certificate Serverを実行する必要があります。ドライバを含むツリーのいずれかの認証局を使用して、SSLで使用される証明書を発行することをお勧めします。ツリーに認証局がない場合は作成する必要があります。外部の認証局を使用することもできます。
  • Novellでは、ドライバが使用するSSLを、Novell Secure Authentication Services (SAS) for eDirectoryおよびNTLS for eDirectory 8.7.xに基づいて実装します。これらをドライバが動作しているサーバにインストールし設定する必要があります。通常は、eDirectoryによってインストールと設定は自動的に行われます。
  • ドライバセキュリティを設定するには、ドライバを使用して接続されるeDirectoryツリーに証明書を作成し参照する必要があります。eDirectoryでの証明書オブジェクトは、暗号化キーオブジェクト(KMO)と呼ばれます。これは、証明書データ(公開鍵を含む)と、その証明書に関連付けられている秘密鍵の両方を安全に保持するからです。

    eDirectory用のIdentity Managerドライバで使用するために、最小で2つのKMO(ツリーごとに1つのKMO)を作成する必要があります。この節では、ツリーごとに1つのKMOを使用して説明します。

    NDS to NDS間ドライバ証明書ウィザードでKMOを設定します。

  • 詳細については、次を参照してください。

4.2.2 KMOの設定

アイデンティティボールトシステムを設定してIdentity Managerデータの安全な転送を処理するには、次の手順を実行します。

  1. ターゲットサーバのツリー名またはIPアドレスを調べます。

  2. iManagerを起動し、最初のツリーを認証します。

  3. [Identity Managerユーティリティ]>[NDS to NDS間ドライバ証明書]の順にクリックします。

  4. 最初の画面で、1つ目のツリーに必要な情報を入力します。

    デフォルト値は、iManagerを起動したときに認証したツリー内のオブジェクトを使用して提供されます。次の情報を入力するか確認する必要があります。

    • ドライバDN: eDirectoryドライバの識別名(たとえば、EDir-Workforce.Employee Provisioning.Services.YourOrgName)を入力します。
    • ツリー名: ワークフォースツリーのIPアドレスを指定します。
    • 管理特権を持つアカウントのユーザ名(Adminなど)。
    • そのユーザのパスワード。
    • ユーザのコンテキスト(Services.YourOrgNameなど)。

  5. [次へ]をクリックします。

    ウィザードは、入力された情報を使用して1つ目のツリーを認証し、ドライバDNを検証し、ドライバがサーバに関連付けられていることを検証します。

  6. 2つ目のツリーに必要な情報を指定します。

    最初の画面で、1つ目のツリーに必要な情報を入力します。

    次の情報を指定するか確認する必要があります。

    • ドライバDN: eDirectoryドライバの識別名(たとえば、EDir-Account.DriverSet.YourOrgName)を入力します。
    • ツリー名: アカウントツリーのツリー名またはIPアドレスを入力します。
    • 管理特権を持つアカウントのユーザ名(Adminなど)。
    • そのユーザのパスワード。
    • ユーザのコンテキスト(London.YourOrgNameなど)。

  7. [次へ]をクリックします。

    ウィザードは、入力された情報を使用して2つ目のツリーを認証し、ドライバDNを検証し、ドライバがサーバに関連付けられていることを検証します。

  8. [概要]ページで情報を確認し、[終了]をクリックします。

    これらのツリーにKMOがすでに存在する場合、ウィザードはそれらを削除して次を実行します。

    • 1つ目のツリーのCAのルート認証局をエクスポートします。
    • KMOオブジェクトを作成します。
    • 証明書署名要求を発行します。
    • 証明書の鍵のペアの名前をドライバの認証IDに配置します。