複数のセキュリティコンテナを持つツリーのマージ

一方のツリーまたは両方のツリーにセキュリティコンテナがインストールされているeDirectoryツリーをマージする場合、特に注意が必要です。この手順を本当に実行する必要があるかどうか確認してください。この手順は、時間を要する複雑な作業になる場合があります。

重要:  この説明では、Novell^(R) Certificate Server^TM 2.02以前、Novell Single Sign-on 1.x、およびNMAS 1.xのツリーを対象としています。

複数のセキュリティコンテナを持つツリーをマージするには次を実行します。

1. Console One^TMで、マージするツリーを指定します。

2. ソースツリーにするツリーと、ターゲットツリーにするツリーを指定します。

   ソースツリーにするツリーと、ターゲットツリーにするツリーを選択するときには、次に示すセキュリティ上の考慮事項に注意します。

   • ソースツリーの組織の認証局によって署名された証明書は削除すること。
   • ソースツリーの組織の認証局は削除すること。
   • ソースツリー上のSecret Storeに保存されたユーザのシークレットは削除すること。
   • ソースツリー内のすべてのNMASログインメソッドを削除し、ターゲットツリーに再インストールすること。
   • ツリーをマージする場合、ソースツリー内に存在したすべてのNMASユーザを再登録すること。
   • ツリーをマージする場合、ソースツリー内に存在したすべてのユーザおよびサーバが、専用に作成された新しい証明書を保持していること。
   • ソースツリー内に存在したすべてのユーザが、そのSecret Storeに再インストールされたシークレットを保持していること。

ソースツリーおよびターゲットツリーの両方がSecurityというコンテナをツリーのルート直下に保持していない場合、またはツリーのうち一方だけがSecurityコンテナを保持している場合、これ以上の処置は不要です。その他の場合には、このセクションの残りの手順を続けます。

ツリーのマージ前に実行する製品固有の操作

Novell Certificate Server

Novell Certificate Serverがソースツリー内のサーバにインストールされている場合、次の手順を実行する必要があります。

製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。次の手順で指定されたオブジェクトや項目が存在しない場合には、手順を省略します。

注:  Novell Certificate Serverの旧バージョンは、Public Key Infrastructure Services (PKIS)と呼ばれていました。

1. ソースツリー内のルート認証局証明書は、ターゲットツリーにインストールする必要があります。

   ルート認証局証明書は、ルート認証局コンテナに含まれる、ルート認証局オブジェクトに格納されています。ルート認証局コンテナはツリー内の任意の場所に作成されます。ただし、セキュリティコンテナ内のルート認証局コンテナに存在するルート認証局証明書は、ソースツリーからターゲットツリーに手動で移動する必要があります。

2. ターゲットツリーにルート認証局証明書をインストールします。

   1. ソースツリーのセキュリティコンテナでルート認証局を選択します。

   2. ソースツリーで使用されている正確な名前(ステップ 2.a)で、ルート認証局コンテナをターゲットツリーのセキュリティコンテナに作成します。

   3. ソースツリーで、選択したルート認証局コンテナのルート認証局オブジェクトを開き、証明書をエクスポートします。

      重要:  次の手順で使用するため、選択した場所とファイル名を記憶しておきます。

   4. ターゲットツリーで、ステップ 2.bで作成したコンテナのルート認証局オブジェクトを作成します。ソースツリーと同じ名前を指定し、証明書を求められたら、ステップ 2.cで作成したファイルを指定します。

   5. ソースツリーのルート認証局オブジェクトを削除します。

   6. 選択したルート認証局コンテナ内のすべてのルート認証局オブジェクトがターゲットツリーにインストールされるまで、ステップ 2.cからステップ 2.eを繰り返します。

   7. ソースツリーのルート認証局コンテナを削除します。

   8. すべてのルート認証局コンテナがソースツリー内で削除されるまで、ステップ 2.aからステップ 2.gを繰り返します。

3. ソースツリーの組織の認証局を削除します。組織の認証局オブジェクトは、セキュリティコンテナ内に存在します。

   ソースツリーの組織の認証局によって署名された証明書は、次のステップ 3では使用できません。これには、ソースツリーの組織の認証局によって署名された、サーバ証明書とユーザ証明書も含まれます。

4. ソースツリーの組織の認証局によって署名された証明書を持つ、ソースツリー内の暗号化キーオブジェクトをすべて削除します。

   他の組織の認証局によって署名された証明書を持つ、ソースツリー内の暗号化キーオブジェクトは引き続き有効で、削除する必要はありません。

   暗号化オブジェクトに署名したCAの識別情報について確信を持てない場合、暗号化オブジェクトのプロパティページにある［証明書］タブの［ルート認証局証明書］セクションを参照します。

5. ソースツリーの組織の認証局によって署名された、ソースツリー内のユーザ証明書をすべて削除します。

   ソースツリー内のユーザがすでに証明書とプライベートキーをエクスポートしている場合、エクスポートされた各証明書とキーは引き続き使用できます。ステップ 3を実行した後では、eDirectory内に残っているプライベートキーと証明書は使用できません。

   証明書を持つユーザごとに、ユーザオブジェクトのプロパティを開きます。［セキュリティ］タブの［証明書］セクションの下に、そのユーザのすべての証明書を示すテーブルが表示されます。発行者として組織の認証局が設定されている証明書はすべて削除すること。

   ソースツリーの組織の認証局のホストとなっているサーバに、Novell Certificate Server 2.0以降がインストールされている場合にのみ、ユーザ証明書はソースツリーに存在します。

Novell Single Sign-On

Novell Single Sign-onがソースツリー内のサーバにインストールされている場合、次の手順を実行する必要があります。

製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、手順を省略します。

1. ソースツリーのユーザ用Novell Single Sign-onシークレットをすべて削除します。

   ソースツリーでNovell Single Sign-onを使用するすべてのユーザについて、ユーザオブジェクトのプロパティを開きます。［セキュリティ］タブの［Secret Store］セクションの下に、そのユーザのすべてのシークレットがリスト表示されます。リスト表示されたシークレットをすべて削除します。

NMAS

NMASがソースツリー内のサーバにインストールされている場合、次の手順を実行する必要があります。

製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、手順を省略します。

1. ターゲットツリーに、ソースツリーには存在するがターゲットツリーには存在しない、NMASログインメソッドをインストールする。

   必要なすべてのクライアントとサーバのログインコンポーネントをターゲットツリーに適切にインストールするには、Novellのオリジナルソースやベンダー提供のソースを使用して、新しいログインメソッドをインストールすることを推奨します。

   メソッドは既存のサーバファイルから再インストールできますが、通常、Novellのパッケージやベンダー提供のパッケージを使用してクリーンインストールを行う方が簡単で確実です。

2. ソースツリーで以前に確立されたログインシーケンスをターゲットツリーで使用できるようにするには、対象のログインシーケンスを移行します。

   1. ConsoleOneで、ソースツリーのセキュリティコンテナを選択します。

   2. ログインポリシーオブジェクトを右クリックし、［プロパティ］をクリックします。

   3. 定義済みログインシーケンスドロップダウンメニューにリスト表示されたログインシーケンスごとに、使用するログインメソッド(右側のウィンドウに表示)を指定します。

   4. ターゲットツリー内のセキュリティコンテナを選択し、ステップ 2.cで設定したログインメソッドと同じものを使用して、ログインシーケンスを複製します。

   5. 手順が終了したら、［OK］をクリックします。

3. ソースツリーのNMASログインセキュリティ属性を削除します。

   1. ソースツリーのセキュリティコンテナで、ログインポリシーオブジェクトを削除します。

   2. ソースツリーの許可されたログインメソッドコンテナで、ログインポリシーオブジェクトを削除します。

   3. ソースツリーの許可されたログインメソッドコンテナを削除します。

Novellセキュリティドメインインフラストラクチャ

Novell Certificate Server、Novell Single Sign-on、またはNMASがソースツリー内のサーバにインストールされている場合、Novellセキュリティドメインインフラストラクチャ(SDI)がインストールされます。SDIがインストールされている場合、次の手順を実行します。

製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、手順を省略します。

1. W0オブジェクトを削除してから、ソースツリーのKAPコンテナを削除します。

   KAPコンテナは、セキュリティコンテナ内に存在します。W0オブジェクトは、KAPコンテナ内に存在します。

2. ソースツリー内のすべてのサーバで、SYS:\SYSTEM\NICI\NICISDI.KEYファイルを削除し、セキュリティドメインインフラストラクチャ(SDI)キーを削除します。

   重要:  ソースツリー内のすべてのサーバで、このファイルを削除したことを確認します。

その他のセキュリティ固有の操作

ソースツリー内にセキュリティコンテナが残っている場合、ツリーをマージする前に、セキュリティコンテナを削除します。

ツリーのマージを実行する

DSMERGEユーティリティを使用して、eDirectoryツリーをマージします。詳細については、『DSMERGEマニュアル』を参照してください。

ツリーのマージ後に実行する製品固有の操作

Novellセキュリティドメインインフラストラクチャ

W0オブジェクトがマージ前にターゲットツリーに存在していた場合、ターゲットツリー内に存在していたサーバによって使用されるセキュリティドメインインフラストラクチャ(SDI)キーが、ソースツリー内に存在していたサーバにインストールされています。

この手順を実行する一番簡単な方法は、SDIキー(SYS:\SYSTEM\NICI\NICISDI.KEYファイル)を保持していたソースツリー内のすべてのサーバに、Novell Certificate Server 2.0以降をインストールすることです。この手順は、Novell Certificate Serverがすでにサーバにインストールされている場合でも、実行する必要があります。

マージ前に、ターゲットツリーにW0オブジェクトが存在せず、ソースツリー内に存在していた場合、作成されたツリーにSDIを再インストールする必要があります。

この手順を実行する一番簡単な方法は、作成されたツリー内のサーバに、Novell Certificate Server ｖ2.0以降をインストールすることです。Novell Certificate Serverは、SDIキー(SYS:\SYSTEM\NICI\NICISDI.KEYファイル)を保持していたサーバにインストールする必要があります。また、作成されたツリー内の他のサーバにもインストールできます。

Novell Certificate Server

ツリーのマージ後にNovell Certificate Serverを使用している場合

1. 必要に応じて、ソースツリー内に存在していたサーバとユーザに証明書を再発行します。

   ユーザオブジェクトを含むパーティションのレプリカを保持していたすべてのサーバに、Novell Certificate Server 2.0以降をインストールすることを推奨します。

   サーバに証明書を発行するには、Novell Certificate Server 2.0がインストールされている必要があります。

   Novell Certificate Server 2.0以降が、組織の認証局のホストとなっているサーバにインストールされている必要があります。

Novell Single Sign-On

ツリーのマージ後にNovell Single Sign-onを使用している場合

1. 必要に応じて、ソースツリー内に存在していたサーバとユーザにSecret Storeシークレットを再作成します。

NMAS

ツリーのマージ後にNMASを使用している場合

1. 必要に応じて、ソースツリー内に存在していたNMASユーザを再登録します。