3.3 インストール

3.3.1 LDAPドライバのインストール

メタディレクトリエンジンをインストールした後で、ドライバを別途インストールできます。

Windowsでのインストール

Windows NT* 2003サーバ、またはSupport Pack 2を適用したWindows NT 2000にLDAP用Identity Managerドライバをインストールします。

  1. Identity Manager 2.0のCDまたはダウンロードイメージからインストールプログラムを実行します。

    ダウンロードイメージは、ノベル用ダウンロードから入手できます。

    インストールプログラムが自動的に起動されない場合は、\nt\install.exeを実行できます。

  2. [ようこそ]ダイアログボックスで、[次へ]をクリックして、使用許諾契約書に同意します。

  3. 最初の[Identity Managerの概要]ダイアログボックスで、情報を確認して、[次へ]をクリックします。

    このダイアログボックスには、次の情報が表示されます。

    • メタディレクトリサーバ
    • Identity Manager接続サーバシステム

  4. 2番目の[Identity Managerの概要]ダイアログボックスで、情報を確認して、[次へ]をクリックします。

    このダイアログボックスには、次の情報が表示されます。

    • Webベースの管理サーバ
    • Identity Managerユーティリティ

  5. [インストールするコンポーネントを選択してください]のダイアログボックスで、[メタディレクトリサーバ]だけを選択し、[次へ]をクリックします。

    [メタディレクトリサーバ]チェックボックス

  6. エンジンインストールのドライバを選択するダイアログボックスで、[LDAP]だけを選択し、[次へ]をクリックします。

    [LDAP]チェックボックス

  7. [Identity Managerアップグレードの警告]ダイアログボックスで、[OK]をクリックします。

  8. [スキーマ拡張]ダイアログボックスで、ユーザ名とパスワードを入力して、[次へ]をクリックします。

    パスワードを有効にするために、ルートの権限が必要です。

  9. [概要]ダイアログボックスで、選択したオプションを確認して、[終了]をクリックします。

  10. [インストールが完了しました]ダイアログボックスで、[閉じる]をクリックします。

インストール後、ドライバの設定にある説明に従ってドライバを設定します。

NetWareでのインストール

  1. NetWare®サーバで、Identity Manager 3のCDをドライブに挿入して、CDをボリュームとしてマウントします。

    CDをマウントするには、「m cdrom」と入力します。

  2. (条件付き)グラフィカルユーティリティがロードされない場合は、「startx」と入力してユーティリティをロードします。

  3. グラフィカルユーティリティで、[Novell]アイコンをクリックして、[インストール]をクリックします。

  4. [インストール済みの製品]ダイアログボックスで、[追加]をクリックします。

  5. [ソースパス]ダイアログボックスで、product.niファイルを参照して選択します。

    [ソースパス]ダイアログボックス

    1. 以前にマウントしたCDボリュームを参照して展開します。

    2. nwディレクトリを展開し、product.niを選択して、[OK]を2回クリックします。

  6. [ようこそ]ダイアログボックスで、[次へ]をクリックして、使用許諾契約書に同意します。

  7. [Identity Managerのインストール]ダイアログボックスで、[メタディレクトリサーバ]だけを選択します。

    次の項目を選択解除します。

    • Identity Manager Webコンポーネント
    • ユーティリティ

  8. エンジンインストールのドライバを選択するダイアログボックスで、[区切りテキスト]だけを選択します。

    次の項目を選択解除します。

    • メタディレクトリエンジン
    • LDAP以外のすべてのドライバ

  9. [次へ]をクリックします。

  10. [Identity Managerアップグレードの警告]ダイアログボックスで、[OK]をクリックします。

    このダイアログボックスに、90日以内にドライバのライセンスを有効にするよう促すメッセージが表示されます。

  11. [スキーマ拡張]ダイアログボックスで、ユーザ名とパスワードを入力して、[次へ]をクリックします。

  12. [概要]ページで、選択したオプションを確認して、[終了]をクリックします。

  13. [閉じる]をクリックします。

インストール後、ドライバの設定にある説明に従ってドライバを設定します。

Linux、Solaris、またはAIXでのインストール

デフォルトでは、LDAP用Identity Managerドライバは、メタディレクトリエンジンをインストールするときにインストールされます。この節では、メタディレクトリエンジンのインストール時にドライバがインストールされなかった場合のドライバのインストール方法についても記載しています。

インストールプログラムに従って進むときに、「previous」と入力すれば前のセクション(画面)に戻ることができます。

  1. 端末のセッションで、rootとしてログインします。

  2. Identity Manager 3.0のCDをドライブに挿入してマウントします。

    通常、CDは自動的にマウントされます。CDを手動でマウントすることもできます。たとえば、SUSE®の場合は、「mount /media/cdrom」と入力します。

  3. setupディレクトリに移動します。

    プラットフォーム

    パス

    Red Hat

    /mnt/cdrom/linux/setup/

    SUSE

    /media/cdrom/linux/setup/

    Solaris

    /cdrom/solaris/_idm_2/setup/

    AIX

    /media/cdrom/aix/setup/

  4. インストールプログラムを実行します。

    たとえば、SUSEの場合は、./dirxml_linux.binを実行します。

  5. [イントロダクション]セクションで、<Enter>キーを押します。

  6. [DO YOU ACCEPT THE TERMS OF THIS LICENSE AGREEMENT (この使用許諾契約書の条項に同意しますか?)]が表示されるまで<Enter>キーを押し、使用許諾契約書に同意するために「y」と入力して、<Enter>キーを押します。

    使用許諾契約への同意を求めるプロンプト

  7. インストールセットの選択]セクションで、[カスタマイズ]オプションを選択します。

    4」と入力して、<Enter>キーを押します。

    [カスタマイズ]オプションの選択を求めるプロンプト

  8. [Choose Product Features (製品の機能の選択)]セクションで、[LDAP]を除くすべての機能を選択解除して、<Enter>キーを押します。

    機能を選択解除するには、その番号を入力します。複数の機能を選択解除するには、各機能の間にカンマを入力します。

    [Choose Product Features (製品の機能の選択)]セクションのオプション

  9. [インストール前の概要]セクションで、オプションを確認します。

    [インストール前の概要]セクション

    前のセクションに戻るには、「previous」と入力して、<Enter>キーを押します。

    続行するには、<Enter>キーを押します。

  10. インストールが完了したら、<Enter>キーを押してインストールを終了します。

インストール後、ドライバの設定にある説明に従ってドライバを設定します。

3.3.2 ドライバの設定

既存のドライバをアップグレードしている場合、セットアップは不要です。

LDAPドライバを初めて使用した場合は、これ以降の節に記載されているセットアップタスクを実行します。

LDAPサーバの準備

アイデンティティボールトからLDAPサーバ(購読者チャネルで)へのデータの同期のみにこのドライバを使用するのであれば、ほとんどのLDAPサーバやアプリケーションは追加設定なしで機能します。

常に必要な権限を持つユーザオブジェクトを作成し、ドライバがLDAPサーバに対して認証できるようにしてください。

ただし、LDAPサーバのエントリに加えた変更を(発行者チャネルで)アイデンティティボールトに同期させる必要があり、その際に変更ログ方式を採用する場合は、LDAPサーバで別の設定タスクを少なくとも1つ実行してからでなければ、ドライバを実行することができません。LDAPサーバの変更ログメカニズムが有効になっていることを確認してください。

IMPORTANT:LDAPサーバに変更ログメカニズムがない場合は、LDAP検索方式を使用します。そうしなければ、ドライバからそのサーバのイベントを発行できません。

認証権限を備えたLDAPユーザオブジェクトの作成

購読者チャネルで発生するイベントは発行者チャネルのメタディレクトリエンジンに返送されますが、変更ログ発行方式を採用することで、ドライバはこうしたループバックの発生を回避しようとします。ただし、LDAP検索方式では、ループバックを防止するために、メタディレクトリエンジンが利用されます。

変更ログ方式では、ドライバによるループバックの発生を防止する1つの方法として、変更ログを調べて変更したユーザを確認します。変更を行ったユーザが、ドライバで認証に使用されるユーザと同じ場合、発行者は、ドライバの購読者チャネルにより変更が行われたと仮定します。

NOTE:Critical Path InJoin Serverを使用する場合、変更を開始したオブジェクトのDNは提供されないため、該当するサーバでの変更ログの実装は一部制限されます。したがって、作成者/変更者DNを使用して、変更がアイデンティティボールトから生じたかどうかを決定することはできません。

その場合、変更ログで検出されるすべての変更は、発行者によってメタディレクトリエンジンに送信され、最適化または変更により、不要な変更や繰り返しの変更は破棄されます。

発行者チャネルでの正当な変更を破棄させないようにするために、ドライバでの認証に使用するユーザオブジェクトが他の目的に使用されていないことを確認します。

たとえば、Netscape Directory Serverを使用しており、管理者アカウントCN=Directory Managerを使用するようドライバを設定しているとします。Netscape Directory Serverに手動で変更を加えて、その変更を同期させた場合は、CN=Directory Managerでログインおよび変更が実行できなくなります。このような場合には別のアカウントを使用しなければなりません。

この問題を回避するには、次のようにします。

  1. ドライバで排他的に使用されるユーザアカウントを作成します。

  2. そのユーザアカウントに、変更ログを確認する権限と、ドライバで変更を加えるために必要な権限を割り当てます。

    たとえば、VMP社で、uid=ldriver,ou=Directory Administrators,o=lansing.vmp.comというドライバのユーザアカウントを作成するとします。次に、そのユーザアカウントに適切な権限を割り当てるために、LDAPModifyツールまたはNovellインポート/エクスポート変換ユーティリティを使用して、次のLDIFをサーバに適用します。

    # give the new user rights to read and search the changelog

    dn: cn=changelog

    changetype: modify

    add: aci

    aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (compare,read,search) userdn = "ldap:///uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com"; )

    - 

    # give the new user rights to change anything in the o=lansing.vmp.com container

    dn: o=lansing.vmp.com

    changetype: modify

    add: aci

    aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (all) userdn = "ldap:///uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com"; )

    -
変更ログの有効化

変更ログはLDAPサーバの一部であり、このログにより、LDAPディレクトリからアイデンティティボールトに発行する必要がある変更をドライバで認識できます。このドライバでサポートされているLDAPディレクトリは、変更ログメカニズムをサポートしています。

Critical Path InJoinおよびOracle Internet Directoryは、デフォルトで変更ログが有効になっています。変更ログを無効にしない限り、さらに手順を実行して変更ログを有効にする必要はありません。

IBM SecureWay、Netscape Directory Server、およびiPlanet Directory Serverでは、インストール後に変更ログを有効にする必要があります。変更ログを有効にする方法の詳細については、LDAPディレクトリをサポートしている製品のマニュアルを参照してください。

HINT:iPlanetの変更ログでは、Retro Changelogプラグインを有効にする必要があります。

サンプルのドライバ環境設定ファイルのインポート

iManagerを使用したインポート

LDAPドライバ環境設定をインポートするには、『Novell Identity Manager 3.0管理ガイド』の「ドライバの作成と設定」に記載されているドライバのインポート手順に従います。

インポート中に、ドライバ環境設定の次の情報を指定します。

Table 3-1 LDAPドライバの設定

フィールド

説明

ドライバ名

このドライバに割り当てられるアイデンティティボールトブジェクト名、または環境設定を更新する既存のドライバ。

配置タイプ

単純配置オプションでは、LDAPディレクトリに作成される新規ユーザオブジェクトは、ドライバ環境設定のインポート時に指定するアイデンティティボールト内のコンテナに格納されます。ユーザオブジェクトには、cnの値で名前が付けられます。

ミラー配置オプションでは、LDAPディレクトリに作成される新規ユーザオブジェクトは、オブジェクトのLDAPコンテナをミラーリングするアイデンティティボールトコンテナに格納されます。

eDirectoryコンテナ

新規ユーザを作成する必要があるアイデンティティボールト内のコンテナ。

このコンテナが存在しない場合は、コンテナを作成してから、ドライバを起動する必要があります。

LDAPMirrorSample.xmlの環境設定の場合、このディレクトリは、ドライバの配置ポリシーの起点となります。サブオーディネイトコンテナには、LDAPミラーコンテナ内のサブオーディネイトコンテナと同じ名前を付ける必要があります。

平面環境設定の場合、このコンテナにはすべてのユーザオブジェクトが収容されます。

LDAPコンテナ

新しいユーザを作成する必要があるLDAPディレクトリ内のコンテナ。

このコンテナが存在しない場合は、コンテナを作成してから、ドライバを起動する必要があります。

平面環境設定の場合、このディレクトリは、ドライバの配置ポリシーの起点となります。

LDAPSimplePlacementSample.xmlの環境設定の場合、このコンテナにはすべてのユーザオブジェクトが収容されます。

LDAPサーバ

LDAPサーバのホスト名またはIPアドレスおよびポート。

LDAP認証DN

LDAPドライバ用に作成された管理者アカウントのLDAP DNを指定します。

LDAP認証パスワード

LDAPドライバ管理者アカウントのパスワード。隣のフィールドにパスワードを再入力して、パスワードを確認します。

これは、認証ユーザに必要なパスワードです。

LDAPドライバがディレクトリマネージャを排他的に使用する場合は、デフォルトの認証ユーザが適しています。ただし、このユーザを他の目的に使用するには、場合によって、ドライバの起動後にデフォルトを変更する必要があります。認証権限を備えたLDAPユーザオブジェクトの作成を参照してください。

SSL

LDAPプロトコルの通信を暗号化します。

データフローの設定
  • 双方向は、LDAPとアイデンティティボールトの両方が、両者間で同期されるデータの信頼されるソースであることを示します。
  • LDAP to eDirectory (LDAPからeDirectoryへ)は、LDAPが信頼されるソースであることを示します。
  • eDirectory to LDAP (eDirectoryからLDAPへ)は、アイデンティティボールトが信頼されるソースであることを示します。

リモート/ローカルとしてのドライバのインストール

[リモート]を選択してリモートローダサービス用にドライバを設定するか、または[ローカル]を選択して、ローカル用にドライバを設定します。

リモートホスト名とポート

リモートローダサービスがインストールされてこのドライバ用に実行しているホストの名前またはIPアドレスとポート番号を指定します。デフォルトのポートは8090です。

ドライバパスワード

ドライバオブジェクトパスワードは、リモートローダがメタディレクトリサーバに対して自身の認証を求めるときに使用されます。ドライバオブジェクトパスワードには、Identity Managerリモートローダのドライバオブジェクトパスワードと同じパスワードを指定する必要があります。

リモートパスワード

このパスワードは、リモートローダ環境設定でのみ使用されます。このパスワードを使用することで、リモートローダがメタディレクトリエンジンに対して自身を認証できるようになります。

リモートローダインスタンスへのアクセスを制御するために、リモートローダのパスワードが使用されます。リモートローダパスワードには、Identity Managerリモートローダのリモートローダパスワードと同じパスワードを指定する必要があります。

パスワードの障害を通知するユーザ

パスワードのエラー時に、指定したサーバに電子メール通知を送信します。

エンタイトルメントの有効化

[はい]または[いいえ]を選択します。これは設計段階で決定しなければならないため、エンタイトルメントを十分に理解した上で使用するかどうかを選択する必要があります。

エンタイトルメントについては、『Novell Identity Manager 3.0管理ガイド』の「エンタイトルメントの作成と使用」を参照してください。
Identity ManagerのDesignerを使用したインポート

LDAPドライバの基本的なドライバ環境設定ファイルをインポートするには、Identity ManagerのDesignerを使用できます。この基本的なファイルを使用して、ドライバを正しく機能させるために必要なオブジェクトやポリシーを作成および設定します。

次の手順は、サンプル環境設定ファイルをインポートする方法の1つを示しています。

  1. Designerでプロジェクトを開きます。

  2. モデラーで、[ドライバセット]オブジェクトを右クリックして、[Add Connected Application (接続アプリケーションの追加)]を選択します。

  3. ドロップダウンリストから、[LDAP.xml]を選択して、[実行]をクリックします。

  4. [Perform Prompt Validation (プロンプト検証の実行)]ウィンドウで、[はい]をクリックします。

  5. フィールドに入力してドライバを設定します。

    環境に特有の情報を指定します。設定については、iManagerを使用したインポートの表を参照してください。

  6. パラメータを指定したら、[OK]をクリックしてドライバをインポートします。

  7. ドライバをカスタマイズおよびテストします。

  8. アイデンティティボールトにドライバを展開します。

    Designer for Identity Manager 3: Administration Guide』の「Deploying a Project to an Identity Vault」を参照してください。

ドライバの起動

環境設定中にデフォルトのデータの場所を変更した場合は、新しい場所が存在することを確認してからドライバを起動します。

  1. iManagerで、[Identity Manager]>[Identity Managerの概要]の順に選択します。

  2. ドライバセット内でドライバを検索します。

  3. ドライバアイコンの右上隅にあるドライバステータスインジケータをクリックして、[ドライバの起動]をクリックします。

    変更ログが使用可能な場合は、ドライバにより変更ログ内のすべての変更が処理されます。最初の同期を強制的に実行するには、データの移行と再同期化を参照してください。

データの移行と再同期化

Identity Managerでは、データが変化するとデータの同期を行います。すべてのデータを即時に同期する場合は、次のオプションから選択できます。

  • eDirectoryからのデータの移行: アイデンティティボールトからLDAPサーバに移行するコンテナまたはオブジェクトを選択できます。オブジェクトを移行すると、メタディレクトリエンジンによって、一致、配置、および作成のすべてのポリシーと、購読者フィルタがそのオブジェクトに適用されます。

    NOTE:データをアイデンティティボールトからLDAPディレクトリに移行する場合は、多量のオブジェクトを移動できるようにLDAPサーバの設定変更が必要になる可能性があります。Section 5.1, アイデンティティボールトへのユーザの移行を参照してください。

  • eDirectoryへのデータの移行: LDAPサーバからアイデンティティボールトにオブジェクトを移行する際にIdentity Managerが使用する条件を定義できます。オブジェクトを移行すると、メタディレクトリエンジンによって、一致、配置、および作成のすべてのポリシーと、購読者フィルタがそのオブジェクトに適用されます。オブジェクトは、クラス一覧で指定した順序で、アイデンティティボールトに移行されます。

  • 同期: Identity Managerでは、購読者クラスフィルタが調べられ、そうしたクラスのすべてのオブジェクトが処理されます。関連付けられたオブジェクトはマージされます。関連付けられていないオブジェクトは追加イベントとして処理されます。

次のオプションのいずれかを使用します。

  1. iManagerで、[Identity Manager]>[Identity Managerの概要]の順に選択します。

  2. LDAP用Identity Managerドライバを含むドライバセットを探し、ドライバのアイコンをダブルクリックします。

  3. 適切なマイグレーションボタンをクリックします。

ドライバの有効化

インストール後90日以内にドライバを有効化(アクティベーション)します。そうしなければ、ドライバは機能しません。

有効にする方法については、『Identity Manager 3.0インストールガイド』の「Novell Identity Manager製品を有効にする」を参照してください。