ibm · テキスト・エンコード方式(コード・セット)...

IBM Tivoli Access Manager

Base インストール・ガイド

バージョン 4.1

SC88-9521-01

(英文原典：SC32-1131-01)

��

ご注意!

本書および本書で紹介する製品をご使用になる前に、 237ページの『付録 E. 特記事項』に記載されている情報をお読みください。

本書は、SC88-9521-00 の改訂版です。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： SC32–1131–01

IBM Tivoli Access Manager

Base Installation Guide

Version 4.1

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2003.8

この文書では、平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2001, 2003. All rights reserved.

© Copyright IBM Japan 2003

目次

本書について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix本書の対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix本書の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiリリース情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi基本情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiWebSEAL 情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiWeb セキュリティー情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii開発者の参照情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii技術上の補足情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii関連資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiiIBM DB2 ユニバーサル・データベース . . . . . . . . . . . . . . . . . . . . . . . . xivIBM Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xivIBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . xivIBM Tivoli Access Manager for Business Integration . . . . . . . . . . . . . . . . . . . . xivIBM Tivoli Access Manager for Operating Systems. . . . . . . . . . . . . . . . . . . . . xv

資料へのオンライン・アクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvアクセシビリティー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviソフトウェア・サポートへの問い合わせ . . . . . . . . . . . . . . . . . . . . . . . . . xvi本書の規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi書体規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviオペレーティング・システムの相違点 . . . . . . . . . . . . . . . . . . . . . . . . . xvi

第 1 章 Tivoli Access Manager のインストールの概要 . . . . . . . . . . . . . . . . 1デプロイメントの計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1セキュア・ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2インストール・コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4ユーザー・レジストリー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Tivoli Access Manager Policy Server. . . . . . . . . . . . . . . . . . . . . . . . . . . 5Tivoli Access Manager 許可サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . 5Tivoli Access Manager Java Runtime Environment . . . . . . . . . . . . . . . . . . . . . . 5Tivoli Access Manager Runtime . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Tivoli Access Manager Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . 6Tivoli Access Manager Application Development Kit. . . . . . . . . . . . . . . . . . . . . . 6

インストール・プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7簡易インストール・プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7ネイティブ・インストール・プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . 8

国際化対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11言語サポートの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12言語サポート・パッケージのインストール . . . . . . . . . . . . . . . . . . . . . . . . 12前提条件ソフトウェアの言語パッケージのインストール . . . . . . . . . . . . . . . . . . . 14言語サポート・パッケージのアンインストール . . . . . . . . . . . . . . . . . . . . . . 15ロケール環境変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

LANG 変数と UNIX システム . . . . . . . . . . . . . . . . . . . . . . . . . . . 17LANG 変数と Windows システム . . . . . . . . . . . . . . . . . . . . . . . . . . 17ロケール・バリアントの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

メッセージ・カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

© Copyright IBM Corp. 2001, 2003 iii

テキスト・エンコード方式 (コード・セット) のサポート . . . . . . . . . . . . . . . . . . . 19コード・セット・ファイルの場所 . . . . . . . . . . . . . . . . . . . . . . . . . . 20

第 2 章 Tivoli Access Manager 用のレジストリーの構成 . . . . . . . . . . . . . . 21LDAP サーバー構成の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21IBM Directory Server の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22iPlanet Directory Server の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Novell eDirectory の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32構成用 GSO サフィックスの Tivoli Access Manager への追加 . . . . . . . . . . . . . . . . . 33

z/OS および OS/390 セキュリティー・サーバーの構成 . . . . . . . . . . . . . . . . . . . . . 34TDBM バックエンド用の DB2 データベースの作成 . . . . . . . . . . . . . . . . . . . . . 34TDBM バックエンド用の LDAP 構成ファイルの作成 . . . . . . . . . . . . . . . . . . . . 35サーバーの始動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36スキーマ・ファイルの更新とロード . . . . . . . . . . . . . . . . . . . . . . . . . . 36新しい LDAP サフィックスへの ACL の適用 . . . . . . . . . . . . . . . . . . . . . . . 37LDAP 複製の使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37レプリカ LDAP サーバーの構成ファイルへのスタンザの追加 . . . . . . . . . . . . . . . . 37マスター LDAP サーバーのバックエンドへのオブジェクトの追加 . . . . . . . . . . . . . . . 38

LDAP 用の Tivoli Access Manager の構成 . . . . . . . . . . . . . . . . . . . . . . . . 38ネイティブ認証ユーザー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Active Directory の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Active Directory に関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Active Directory ドメインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Active Directory ドメインの結合 . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Active Directory 管理ユーザーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 43Active Directory 複製 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

ロータスドミノの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45ドミノサーバーへのロータスノーツクライアントのインストール . . . . . . . . . . . . . . . 45ドミノ用の Tivoli Access Manager 管理ユーザーの作成 . . . . . . . . . . . . . . . . . . . . 46

第 3 章 AIX での Tivoli Access Manager のインストール. . . . . . . . . . . . . . 47簡易インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47ネイティブ・インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

IBM Global Security Toolkit のインストール . . . . . . . . . . . . . . . . . . . . . . . 50IBM Directory Client のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 50Tivoli Access Manager コンポーネントのインストールと構成 . . . . . . . . . . . . . . . . . . 51プラットフォーム固有の JRE のインストール . . . . . . . . . . . . . . . . . . . . . . . 52Tivoli Access Manager Java Runtime Environment のインストールと構成 . . . . . . . . . . . . . . 52Web Portal Manager システムのインストールと構成 . . . . . . . . . . . . . . . . . . . . . 53

IBM WebSphere Application Server アドバンスド・シングル・サーバーのインストール . . . . . . . . 54IBM WebSphere Application Server FixPack 3 のインストール . . . . . . . . . . . . . . . . 55

Tivoli Access Manager のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . 56Tivoli Access Manager コンポーネントの構成解除 . . . . . . . . . . . . . . . . . . . . . 57Tivoli Access Manager パッケージの除去 . . . . . . . . . . . . . . . . . . . . . . . . 57

第 4 章 HP-UX での Tivoli Access Manager のインストール . . . . . . . . . . . . 59簡易インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59ネイティブ・インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

IBM Global Security Toolkit のインストール . . . . . . . . . . . . . . . . . . . . . . . 61IBM Directory Client のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 62Tivoli Access Manager コンポーネントのインストールと構成 . . . . . . . . . . . . . . . . . . 62プラットフォーム固有の JRE のインストール . . . . . . . . . . . . . . . . . . . . . . . 63Tivoli Access Manager Java Runtime Environment のインストールと構成 . . . . . . . . . . . . . . 64


iv IBM Tivoli Access Manager: Base インストール・ガイド

第 5 章 Linux での Tivoli Access Manager のインストール . . . . . . . . . . . . . 67簡易インストールの使用 (Red Hat Linux のみ) . . . . . . . . . . . . . . . . . . . . . . . 68ネイティブ・インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

IBM Global Security Toolkit のインストール . . . . . . . . . . . . . . . . . . . . . . . 70IBM Directory Client のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 71Tivoli Access Manager コンポーネントのインストールと構成 . . . . . . . . . . . . . . . . . . 72プラットフォーム固有の JRE のインストール . . . . . . . . . . . . . . . . . . . . . . . 74Tivoli Access Manager Java Runtime Environment のインストールと構成 (Red Hat Linux のみ) . . . . . . 74


第 6 章 Solaris での Tivoli Access Manager のインストール . . . . . . . . . . . . 77簡易インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77ネイティブ・インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79




第 7 章 Windows での Tivoli Access Manager のインストール . . . . . . . . . . . 89簡易インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89ネイティブ・インストールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91



Tivoli Access Manager のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . 102Tivoli Access Manager コンポーネントの構成解除 . . . . . . . . . . . . . . . . . . . . . 103Tivoli Access Manager パッケージの除去 . . . . . . . . . . . . . . . . . . . . . . . . 104

第 8 章 Tivoli Access Manager バージョン 4.1 へのアップグレード . . . . . . . . . 105LDAP レジストリーでのアップグレードに関する考慮事項 . . . . . . . . . . . . . . . . . . . 105Policy Server システムのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . 1062 つのシステムを使用した Policy Server のアップグレード . . . . . . . . . . . . . . . . . . . 108他の Tivoli Access Manager システムのアップグレード . . . . . . . . . . . . . . . . . . . . 110既存の Policy Server の使用終了 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112前レベルへのシステムの復元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

第 9 章 UNIX 簡易インストールのシナリオ . . . . . . . . . . . . . . . . . . . . 115IBM Directory Server システムのセットアップ . . . . . . . . . . . . . . . . . . . . . . . 115Tivoli Access Manager Policy Server システムのセットアップ . . . . . . . . . . . . . . . . . . 121Tivoli Access Manager Runtime システムのセットアップ . . . . . . . . . . . . . . . . . . . . 128Web Portal Manager システムのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . 134

目次 v

第 10 章 Windows 簡易インストールのシナリオ . . . . . . . . . . . . . . . . . . 143IBM Directory Server システムのセットアップ . . . . . . . . . . . . . . . . . . . . . . . 143Tivoli Access Manager Policy Server システムのセットアップ . . . . . . . . . . . . . . . . . . 149Tivoli Access Manager Runtime システムのセットアップ . . . . . . . . . . . . . . . . . . . . 158Web Portal Manager システムのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . 161

第 11 章簡易インストール応答ファイルの使用 . . . . . . . . . . . . . . . . . . 171応答ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171応答ファイルを使用したコンポーネントのインストール . . . . . . . . . . . . . . . . . . . . 172応答ファイルの例 (ezinstall) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

UNIX の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Windows の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

応答ファイルの例 (install_pdrte) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174UNIX の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Windows の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

応答ファイルのオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175UNIX 応答ファイルのオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Windows 応答ファイルのオプション . . . . . . . . . . . . . . . . . . . . . . . . . . 176

付録 A. Secure Sockets Layer の使用可能化 . . . . . . . . . . . . . . . . . . . 179SSL アクセスのための IBM Directory Server の構成 . . . . . . . . . . . . . . . . . . . . . 179鍵データベース・ファイルおよび証明書の作成 . . . . . . . . . . . . . . . . . . . . . . 180認証局からの個人証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . 181自己署名証明書の作成と抽出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182SSL アクセスの使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

SSL アクセスのための iPlanet Directory Server の構成 . . . . . . . . . . . . . . . . . . . . 186サーバー証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186サーバー証明書のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . 187SSL アクセスの使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

SSL アクセスのための OS/390 および z/OS LDAP サーバーの構成 . . . . . . . . . . . . . . . . 189セキュリティー・オプションのセットアップ . . . . . . . . . . . . . . . . . . . . . . . 189鍵データベース・ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 190

SSL アクセスのための Novell eDirectory Server の構成 . . . . . . . . . . . . . . . . . . . . 191組織の認証局オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 192自己署名証明書の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193LDAP サーバー用のサーバー証明書の作成 . . . . . . . . . . . . . . . . . . . . . . . 193SSL の使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194IBM キー・ファイルへの自己署名証明書の追加 . . . . . . . . . . . . . . . . . . . . . . 194

SSL アクセスのための IBM Directory Client の構成 . . . . . . . . . . . . . . . . . . . . . 195鍵データベース・ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 195署名者証明書の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197SSL アクセスのテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

LDAP サーバーおよびクライアント認証の構成 . . . . . . . . . . . . . . . . . . . . . . . 198鍵データベース・ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 198認証局からの個人証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . 199自己署名証明書の作成と抽出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200署名者証明書の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201SSL アクセスのテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Domino 用の SSL の使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203SSL 鍵リング・ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 203SSL アクセスの使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

付録 B. Tivoli Access Manager 構成リファレンス . . . . . . . . . . . . . . . . 207UNIX ネイティブ構成オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

Tivoli Access Manager Runtime . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Tivoli Access Manager Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . 207

vi IBM Tivoli Access Manager: Base インストール・ガイド

Tivoli Access Manager 許可サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . 209Windows ネイティブ構成オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Tivoli Access Manager Runtime . . . . . . . . . . . . . . . . . . . . . . . . . . . 210LDAP レジストリー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Tivoli Access Manager Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . 214Tivoli Access Manager 許可サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . 215

デフォルトのポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

付録 C. OS/390 および z/OS の LDAP 構成リファレンス . . . . . . . . . . . . . . 217サンプル LDAP 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217サンプル DB2 データベースおよび表スペース SPUFI 用スクリプト . . . . . . . . . . . . . . . . 218サンプル DB2 索引 SPUFI 用スクリプト . . . . . . . . . . . . . . . . . . . . . . . . . 223サンプル CLI バインド・バッチ・ジョブ . . . . . . . . . . . . . . . . . . . . . . . . . 226サンプル CLI 初期設定ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

付録 D. Common Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Tivoli Access Manager のセキュリティー・ポリシー . . . . . . . . . . . . . . . . . . . . . 229基本セキュリティー・ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . 230システム・セキュリティー・ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . 230Tivoli Access Manager ネットワーク・ポリシー . . . . . . . . . . . . . . . . . . . . . . 231ユーザーの動作に関する前提事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

CC 評価対応のインストールおよび構成 . . . . . . . . . . . . . . . . . . . . . . . . . 232Tivoli Access Manager のインストール . . . . . . . . . . . . . . . . . . . . . . . . . 233WebSEAL の保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233WebSEAL 認証機構の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233サポートされている暗号スイートの選択 . . . . . . . . . . . . . . . . . . . . . . . . 234監査の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234その他の WebSEAL 機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234ログイン・ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235パスワード・ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235暗号鍵管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

CC 対応構成ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

付録 E. 特記事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237XML Parser Toolkit License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Pluggable Authentication Module License. . . . . . . . . . . . . . . . . . . . . . . . . . 239Apache Axis Servlet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240JArgs command line option parsing suite for Java . . . . . . . . . . . . . . . . . . . . . . . 241Java DOM implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241商標 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

目次 vii

viii IBM Tivoli Access Manager: Base インストール・ガイド

本書について

IBM® Tivoli® Access Manager (Tivoli Access Manager) は、 IBM Tivoli Access

Manager 製品スイートのアプリケーションを実行するために必要な基本ソフトウェアです。このソフトウェアによって、広範囲の許可および管理ソリューションを提供する IBM Tivoli Access Manager アプリケーションを統合することができます。統合されたソリューションとして販売されているこれらの製品は、 e-business アプリケーションのネットワークおよびアプリケーション・セキュリティー・ポリシーを集中化するアクセス・コントロール管理ソリューションを提供します。

注: IBM Tivoli Access Manager とは、以前に Tivoli SecureWay® Policy Director という名前でリリースされていたソフトウェアの新しい名前です。また、Tivoli

SecureWay Policy Director のソフトウェアと資料に精通しているユーザーならご存じの、管理サーバーという用語は、新しく Policy Server という用語になりました。

この IBM Tivoli Access Manager Base インストール・ガイドでは、Tivoli Access

Manager 基本ソフトウェアのインストール、構成、およびアップグレードの方法について説明します。

本書の対象読者本書は、IBM Tivoli Access Manager のインストールとデプロイメントを担当するシステム管理者を対象にしています。

読者には以下の知識が必要です。

v PC および UNIX® オペレーティング・システム

v データベースのアーキテクチャーと概念

v セキュリティー管理

v HTTP、TCP/IP、ファイル転送プロトコル (FTP)、および Telnet を含む、インターネット・プロトコル

v Lightweight Directory Access Protocol (LDAP) とディレクトリー・サービス

v サポートされているレジストリー

v 認証と許可

Secure Sockets Layer (SSL) 通信を使用可能にする場合は、 SSL プロトコル、鍵交換 (公開鍵と秘密鍵)、ディジタル・シグニチャー、暗号アルゴリズム、および認証局についての知識も必要です。

本書の内容本書は、以下のセクションで構成されています。

v 1ページの『第 1 章 Tivoli Access Manager のインストールの概要』

Tivoli Access Manager のコンポーネント、および簡易インストールとネイティブ・インストールのプロセスについて説明し、Tivoli Access Manager セキュア・

© Copyright IBM Corp. 2001, 2003 ix

ドメインをセットアップするために実行する必要があるステップのリストを示します。また、この章では、Tivoli Access Manager を英語以外の環境で使用可能にするための言語パッケージのインストール方法についても説明しています。

v 21ページの『第 2 章 Tivoli Access Manager 用のレジストリーの構成』

サポートされているレジストリーを Tivoli Access Manager 用にセットアップし、構成する方法について説明します。

v 47ページの『第 3 章 AIX での Tivoli Access Manager のインストール』

v 59ページの『第 4 章 HP-UX での Tivoli Access Manager のインストール』

v 67ページの『第 5 章 Linux での Tivoli Access Manager のインストール』

v 77ページの『第 6 章 Solaris での Tivoli Access Manager のインストール』

v 89ページの『第 7 章 Windows での Tivoli Access Manager のインストール』

簡易インストール・スクリプトまたはネイティブ・オペレーティング・システム・ユーティリティーを使用して、Tivoli Access Manager コンポーネントのインストールと構成を行う方法について説明します。また、Tivoli Access Manager コンポーネントの構成解除と除去を行う手順についても説明します。

v 105ページの『第 8 章 Tivoli Access Manager バージョン 4.1 へのアップグレード』

既存の Tivoli Access Manager バージョン 3.8、またはバージョン 3.9 セキュア・ドメインを、IBM Tivoli Access Manager バージョン 4.1 にアップグレードする方法について説明します。

v 115ページの『第 9 章 UNIX 簡易インストールのシナリオ』

UNIX システムで、簡易インストール・ファイルを使用して Tivoli Access

Manager システムのインストールと構成を行う方法を、ステップごとに図を付けて説明します。

v 143ページの『第 10 章 Windows 簡易インストールのシナリオ』

Windows システムで、簡易インストール・ファイルを使用して Tivoli Access

Manager システムのインストールと構成を行う方法を、ステップごとに図を付けて説明します。

v 171ページの『第 11 章簡易インストール応答ファイルの使用』

応答ファイルを使用して、簡易インストール・スクリプトでサポートされているTivoli Access Manager コンポーネントのサイレントな無人インストールを行う方法について説明します。

v 179ページの『付録 A. Secure Sockets Layer の使用可能化』

LDAP サーバーと IBM Directory Client の間で、セキュア通信のための SSL データ暗号化を使用可能にする方法について説明します。また、 Lotus Domino

Server と IBM Directory Client の間で SSL を使用可能にする手順についても説明します。

v 207ページの『付録 B. Tivoli Access Manager 構成リファレンス』

ネイティブ・インストール・ユーティリティーを使用して Tivoli Access Manager

コンポーネントを構成するときに、入力を求められる構成オプションについて説明します。

v 217ページの『付録 C. OS/390 および z/OS の LDAP 構成リファレンス』

x IBM Tivoli Access Manager: Base インストール・ガイド

OS/390 または z/OS Security Server を Tivoli Access Manager 用に構成するときの参照情報を提供します。

v 229ページの『付録 D. Common Criteria』

v 237ページの『付録 E. 特記事項』

v 245ページの『用語集』

資料Tivoli Access Manager のライブラリーは、以下のカテゴリーに編成されています。

v 『リリース情報』

v 『基本情報』

v 『WebSEAL 情報』

v xiiページの『Web セキュリティー情報』

v xiiページの『開発者の参照情報』

v xiiiページの『技術上の補足情報』

リリース情報v IBM Tivoli Access Manager for e-business 最初にお読みください

GI88-8618-00 (am41_readme.pdf)

Tivoli Access Manager のインストールに関する情報と入門編の情報が記載されています。

v IBM Tivoli Access Manager for e-business リリース情報SC88-9520-00 (am41_relnotes.pdf)

ソフトウェアの制限、問題の回避、および資料の更新などの最新情報が記載されています。

基本情報v IBM Tivoli Access Manager Base インストール・ガイド

SC88-9521-01 (am41_install.pdf)

Tivoli Access Manager ソフトウェアのインストール、構成、およびアップグレードの方法を、Web Portal Manager インターフェースも含めて解説しています。

v IBM Tivoli Access Manager Base 管理者ガイドSC32-1132-01 (am41_admin.pdf)

Tivoli Access Manager のサービスの概念や使用手順について説明します。Web

Portal Manager インターフェースからタスクを実行したり、pdadmin コマンドを使用してタスクを実行したりする場合の手順が記載されています。

WebSEAL 情報v IBM Tivoli Access Manager WebSEAL インストール・ガイド

SC32-1133-01 (amweb41_install.pdf)

WebSEAL サーバーと WebSEAL アプリケーション開発キットのインストール、構成、および除去について説明しています。

本書について xi

v IBM Tivoli Access Manager WebSEAL 管理者ガイドSC32-1134-01 (amweb41_admin.pdf)

WebSEAL を使用してセキュア Web ドメインのリソースを管理することに関する背景情報、管理手順、および技術上の参照情報が記載されています。

Web セキュリティー情報v IBM Tivoli Access Manager for WebSphere Application Server ユーザーズ・ガイド

SC32-1136-01 (amwas41_user.pdf)

Tivoli Access Manager for IBM WebSphere® Application Server のインストール、除去、および管理について説明しています。

v IBM Tivoli Access Manager for WebLogic Server ユーザーズ・ガイドSC32-1137-01 (amwls41_user.pdf)

Tivoli Access Manager for BEA WebLogic Server のインストール、除去、および管理について説明しています。

v IBM Tivoli Access Manager Plug-in for Edge Server ユーザーズ・ガイドSC32-1138-01 (amedge41_user.pdf)

IBM WebSphere Edge Server アプリケーション用のプラグインのインストール、構成、および管理について説明しています。

v IBM Tivoli Access Manager Plug-in for Web Servers ユーザーズ・ガイドSC32-1139-01 (amws41_user.pdf)

Web サーバー用のプラグインを使用して Web ドメインを保護するためのインストール手順、管理手順、および技術参照情報が記載されています。

開発者の参照情報v IBM Tivoli Access Manager Authorization C API デベロッパーズ・リファレンス

SC32-1140-01 (am41_authC_devref.pdf)

Tivoli Access Manager 許可 C API と Access Manager サービス・プラグイン・インターフェースを使用して、Tivoli Access Manager セキュリティーをアプリケーションに追加する方法についての参照情報が記載されています。

v IBM Tivoli Access Manager Authorization Java Classes デベロッパーズ・リファレンスSC32-1141-01 (am41_authJ_devref.pdf)

許可 API の Java™ 言語インプリメンテーションを使用して、アプリケーションが Tivoli Access Manager セキュリティーを使用できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager Administration C API デベロッパーズ・リファレンスSC32-1142-01 (am41_adminC_devref.pdf)

管理 API を使用して、アプリケーションが Tivoli Access Manager の管理タスクを実行できるようにするための参照情報が記載されています。この資料では、管理 API の C インプリメンテーションについて説明されています。

v IBM Tivoli Access Manager Administration Java Classes デベロッパーズ・リファレンスSC32-1143-01 (am41_adminJ_devref.pdf)

xii IBM Tivoli Access Manager: Base インストール・ガイド

管理 API の Java 言語インプリメンテーションを使用して、アプリケーションがTivoli Access Manager の管理タスクを実行できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager WebSEAL デベロッパーズ・リファレンスSC32-1135-01 (amweb41_devref.pdf)

クロスドメイン認証サービス (CDAS)、クロスドメイン・マッピング・フレームワーク (CDMF)、およびパスワード・ストレングス・モジュールの管理とプログラミングに関する情報が記載されています。

技術上の補足情報v IBM Tivoli Access Manager コマンド・リファレンス

GC32-1107-01 (am41_cmdref.pdf)

Tivoli Access Manager で提供されているコマンド行ユーティリティーとスクリプトに関する情報が記載されています。

v IBM Tivoli Access Manager エラー・メッセージ・リファレンスSC32-1144-01 (am41_error_ref.pdf)

Tivoli Access Manager によって生成されるメッセージに関する説明と推奨処置が記載されています。

v IBM Tivoli Access Manager 問題判別ガイドGC32-1106-01 (am41_pdg.pdf)

Tivoli Access Manager についての問題判別情報が記載されています。

v IBM Tivoli Access Manager パフォーマンス・チューニング・ガイドSC32-1145-01 (am41_perftune.pdf)

Tivoli Access Manager と、ユーザー・レジストリーとして定義された IBM

Directory Server からなる環境でのパフォーマンス・チューニングに関する情報が記載されています。

関連資料Tivoli Access Manager ライブラリーに関連した資料を以下にリストします。

Tivoli Software Library は、白書、データ・シート、デモンストレーション、レッドブック、発表レターなど、さまざまな Tivoli 資料を提供します。 Tivoli Software

Library は、以下のサイトで利用できます。http://www.ibm.com/software/tivoli/library/

Tivoli Software Glossary では、Tivoli ソフトウェアに関連する多数の技術用語の定義を記載しています。Tivoli Software Glossary (英語のみ) は、Tivoli Software

Library Web page http://www.ibm.com/software/tivoli/library/ の左側にある Glossaryリンクから入手できます。

IBM Global Security ToolkitTivoli Access Manager は、IBM Global Security Toolkit (GSKit) を使用してデータを暗号化します。 GSKit は、各プラットフォーム向けの IBM Tivoli Access

Manager Base CD に組み込まれています。

GSKit パッケージは iKeyman 鍵管理ユーティリティーの gsk5ikm をインストールし、これにより、鍵データベース、公開鍵と秘密鍵のペア、および証明書要求の作

本書について xiii

http://www.ibm.com/software/tivoli/library/


成が可能になります。次の資料は、Tivoli Information Center Web サイトの、IBM

Tivoli Access Manager 製品資料と同じセクションにあります。

v Secure Sockets Layer Introduction and iKeyman User’s Guide

(gskikm5c.pdf)

ネットワークやシステムのセキュリティー管理者が、Tivoli Access Manager 環境で SSL 通信を使用可能にするよう計画している場合に利用できる情報が記載されています。

IBM DB2 ユニバーサル・データベースIBM DB2® Universal Database™ は、IBM Directory Server、z/OS™、およびOS/390® LDAP サーバーをインストールするときに必要です。 DB2 は、次のオペレーティング・システム・プラットフォーム用の製品 CD で提供されます。

v IBM AIX®

v Microsoft™ Windows™

v Sun Solaris オペレーティング環境

DB2 に関する情報は、次の Web サイトから入手できます。

http://www.ibm.com/software/data/db2/

IBM Directory ServerIBM Directory Server バージョン 4.1 は、Linux for zSeries™ を除くすべてのプラットフォーム用の IBM Tivoli Access Manager Base CD に組み込まれています。Linux for S/390 用の IBM Directory Server ソフトウェアは、次の Web サイトで入手できます。

http://www.ibm.com/software/network/directory/server/download/

IBM Directory Server をユーザー・レジストリーとして使用する計画の場合は、次の Web サイトの情報を参照してください。

http://www.ibm.com/software/network/directory/library/

IBM WebSphere Application ServerIBM WebSphere Application Server アドバンスド・シングル・サーバー版は、Web

Portal Manager CD に組み込まれており、Web Portal Manager インターフェースと共にインストールされます。 IBM WebSphere Application Server については、次のWeb サイトを参照してください。

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business IntegrationIBM Tivoli Access Manager for Business Integration は、別個にオーダー可能な製品として入手でき、IBM MQSeries® バージョン 5.2、および IBM WebSphere® MQ

バージョン 5.3 メッセージのセキュリティー・ソリューションを提供します。 IBM

Tivoli Access Manager for Business Integration を使用すると、WebSphere MQSeries

アプリケーションで送信および受信アプリケーションに関連する鍵を使用することにより、プライバシーと保全性を維持してデータを送信できます。 WebSEAL および IBM Tivoli Access Manager for Operating Systems と同様に、IBM Tivoli Access

xiv IBM Tivoli Access Manager: Base インストール・ガイド

http://www.ibm.com/software/data/db2/



http://www.ibm.com/software/webservers/appserv/infocenter.html

Manager for Business Integration は IBM Tivoli Access Manager for e-business の許可サービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Business Integration バージョン 4.1 に関連した以下の資料は、Tivoli Information Center Web サイトにあります。

v IBM Tivoli Access Manager for Business Integration 管理者ガイド (SC23-4831-00)

v IBM Tivoli Access Manager for Business Integration リリース情報 (GI11-0957-00)

v IBM Tivoli Access Manager for Business Integration 最初にお読みください(GI11-0958-00)

IBM Tivoli Access Manager for Operating SystemsIBM Tivoli Access Manager for Operating Systems は、別個にオーダー可能な製品として入手でき、UNIX システム上で、許可ポリシー適用レイヤーを (ネイティブ・オペレーティング・システムが提供するものに加えて) 提供します。 IBM Tivoli

Access Manager for Operating Systems は、WebSEAL および IBM Tivoli Access

Manager for Business Integration と同様に、IBM Tivoli Access Manager for

e-business の許可サービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Operating Systems バージョン 4.1 に関連した以下の資料は、Tivoli Information Center Web サイトにあります。

v IBM Tivoli Access Manager for Operating Systems インストール・ガイド(SC23-4829-00)

v IBM Tivoli Access Manager for Operating Systems 管理者ガイド (SC23-4827-00)

v IBM Tivoli Access Manager for Operating Systems 問題判別ガイド (SC23-4828-00)

v IBM Tivoli Access Manager for Operating Systems リリース情報 (GI11-0951-00)

v IBM Tivoli Access Manager for Operating Systems 最初にお読みください(GI11-0949-00)

資料へのオンライン・アクセス本製品に関する資料は、以下のサイトにある Tivoli Software Library で、PDF または HTML 形式、もしくは両方の形式でオンラインで入手できます。http://www.ibm.com/software/tivoli/library

製品資料をライブラリー内で見付けるには、Library ページの左側にある Productmanuals リンクをクリックしてください。次に、Tivoli Software Information Center

ページで、製品名を見付けてクリックしてください。

製品資料には、リリース情報、インストール・ガイド、ユーザーズ・ガイド、管理者ガイド、およびデベロッパーズ・リファレンスが含まれています。

注: PDF 資料を適切に印刷するために、Adobe Acrobat 印刷ダイアログ (「ファイル (File)」→「印刷 (Print)」をクリックすると、使用可能になる) で「用紙サイズに合わせる (Fit to page)」チェック・ボックスを選択してください。

本書について xv


アクセシビリティーアクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。これらの製品を使用することにより、インターフェースを耳で聴いて確認したり、ナビゲートしたりするための支援テクノロジーをご利用いただけます。また、グラフィカル・ユーザー・インターフェースのすべての機能は、マウスを使用しなくてもキーボードから操作できるようになっています。

ソフトウェア・サポートへの問い合わせ問題について IBM Tivoli Software サポートに問い合わせる前に、以下の IBM

Tivoli Software サポート Web サイトを参照してください。http://www.ibm.com/jp/software/support/

http://www.ibm.com/software/sysmgmt/products/support/

さらにヘルプが必要な場合は、以下のサイトの IBM Software Support Guide で説明されている方法でソフトウェア・サポートに問い合わせてください。http://techsupport.services.ibm.com/guides/handbook.html

このガイドでは、以下の情報を提供しています。

v サポートを受けるための登録および有資格の条件

v 所在地によっては、電話番号および電子メール・アドレス

v お客様サポートに問い合わせる前に収集する必要のある情報のリスト

本書の規則本書では、特殊用語、アクション、オペレーティング・システム依存のコマンドおよびパスに関して、いくつかの規則を使用しています。

書体規則次の情報を表すのに、以下のような書体の規則が適用されています。

太字周囲のテキスト、キーワード、パラメーター、オプション、Java クラス名、オブジェクトと区別するのが困難な小文字コマンドまたは大文字小文字混合コマンドは、太字で表示されます。

イタリック変数、資料のタイトル、および強調される特殊な用語または句もイタリックで表示されます。

モノスペースコード例、コマンド行、画面出力、周囲のテキストとの区別が困難なファイルおよびディレクトリー名、システム・メッセージ、ユーザーが入力する必要のあるテキスト、引数またはコマンド・オプションの値は、モノスペースで表示されます。

オペレーティング・システムの相違点本書は、環境変数およびディレクトリー表記を指定するために UNIX 規則を使用しています。Windows コマンド行を使用する場合、環境変数として $variable を

xvi IBM Tivoli Access Manager: Base インストール・ガイド

http://www-6.ibm.com/jp/software/support

http://www.ibm.com/software/sysmgmt/products/support/

http://techsupport.services.ibm.com/guides/handbook.html

%variable% に置換し、ディレクトリー・パスで、スラッシュ (/) をバックスラッシュ (\) に置換してください。Windows システム上で bash シェルを使用している場合は、UNIX 規則を使用できます。

本書について xvii

xviii IBM Tivoli Access Manager: Base インストール・ガイド

第 1 章 Tivoli Access Manager のインストールの概要

IBM Tivoli Access Manager のインストールを始める前に、そのコンポーネントとインストール・オプションをよく理解しておく必要があります。この章は、以下のセクションに分かれています。

v 『デプロイメントの計画』

v 2ページの『セキュア・ドメインの概要』

v 4ページの『インストール・コンポーネント』

v 7ページの『インストール・プロセス』

v 11ページの『国際化対応』

重要システム要件、サポートされるプラットフォーム、および前提となる製品については、IBM Tivoli Access Manager for e-business リリース情報を参照してください。

デプロイメントの計画特定の Tivoli Access Manager ソリューションをインプリメントする前に、ネットワークに必要な特定のセキュリティーおよび管理機能を判別する必要があります。

Tivoli Access Manager セキュリティー環境のデプロイメントを計画する際の最初のステップは、ご使用のコンピューティング環境でのセキュリティー要件の定義です。セキュリティー要件の定義とは、ユーザー、プログラム、およびデータに適用しなければならないビジネス・ポリシーの定義ということです。このステップには、以下の定義が含まれます。

v 保護するオブジェクト

v 各オブジェクトで許可されているアクション

v アクションの実行を許可されているユーザー

セキュリティー・ポリシーを実施するには、ご使用のネットワーク接続形態でのアクセス要求の流れを理解していなければなりません。これには、ファイアウォール、ルーター、およびサブネットの適切な役割および位置を識別することも含まれます。 Tivoli Access Manager セキュリティー環境 (セキュア・ドメインと呼ばれる) のデプロイメントでは、ユーザーのアクセス要求を評価し、要求されたアクセスを認可または拒否するソフトウェアをインストールするための、ネットワーク内の最適な位置を識別することも必要です。

セキュリティー・ポリシーのインプリメンテーションでは、ご使用のネットワークが処理する必要のあるユーザーおよびデータの量と、スループットを理解することが必要です。さらに、パフォーマンスの特性、スケーラビリティー、およびフェールオーバー機能の必要性も評価しなければなりません。 Tivoli Access Manager ソ

© Copyright IBM Corp. 2001, 2003 1

フトウェアへのレガシー・ソフトウェア、データベース、およびアプリケーションの組み込みも考慮しなければなりません。

配置する機能について理解したら、どの Tivoli Access Manager コンポーネントおよびアプリケーションを組み合わせれば、セキュリティー・ポリシーを最も適切にインプリメントできるかを決定できます。

計画に役立つ資料とビジネス・シナリオについては、以下の Web サイトを参照してください。

www.ibm.com/redbooks

http://www-3.ibm.com/software/sysmgmt/products/

support/Field_Guides_Technical.html

セキュア・ドメインの概要Tivoli Access Manager が認証、許可、およびアクセス・コントロールに関するセキュリティー・ポリシーを実施するセキュア・コンピューティング環境は、セキュア・ドメインと呼ばれます。セキュア・ドメインはレジストリーと許可サービスを必要とし、許可データベースと許可エンジンから構成されます。これらのコア・コンポーネントは、Tivoli Access Manager が基本的な操作、たとえば保護されたオブジェクト (リソース) へのユーザー・アクセスの許可または拒否などを実行するために存在しなければなりません。それ以外のすべての Tivoli Access Manager サービスおよびコンポーネントは、この基礎の上に構築されます。

図 1 は、典型的なセキュア・ドメイン内のシステムを表しています。この図では、わかりやすくするために、セットアップのタイプ (ユーザー・レジストリー、Policy

Server、許可サーバーなど) ごとに 1 つのシステムを示しています。しかし、Tivoli

Access Manager は、ここに示したように複数のシステムに配置できるだけでなく、セキュア・ドメインを構成および使用するために必要なすべてのソフトウェアを 1

台のスタンドアロン・マシンにインストールすることも可能であることを覚えておいてください。単一システム・セットアップは、デプロイメントのプロトタイピングやアプリケーションの開発とテストをする際に役立ちます。環境を確立した後、既存のセキュア・ドメインに、ランタイム・クライアントやアプリケーション開発システムなどの追加システムをセットアップできます。

セキュリティー要件の計画

2 IBM Tivoli Access Manager: Base インストール・ガイド

表 1 は、図 1 に示した Tivoli Access Manager システムの必須コンポーネントとオプショナル・コンポーネントのリストです。これらのコンポーネントについては、4ページの『インストール・コンポーネント』を参照してください。

表 1. Tivoli Access Manager のシステム・コンポーネント

システム必須コンポーネント

Tivoli Access Manager

Policy Serverv IBM Global Security Toolkit

v IBM Directory Client *

v Tivoli Access Manager Runtime

v Tivoli Access Manager Policy Server


Runtime システムv IBM Global Security Toolkit




開発システムv IBM Global Security Toolkit



v Tivoli Access Manager Application Development Kit

v Tivoli Access Manager Java Runtime Environment


許可サーバーv IBM Global Security Toolkit



v Tivoli Access Manager 許可サーバー


Java Runtime Environmentv Tivoli Access Manager Java Runtime Environment

v プラットフォーム固有の JRE

図 1. セキュア・ドメイン内のシステムの例


第 1 章 Tivoli Access Manager のインストールの概要 3

表 1. Tivoli Access Manager のシステム・コンポーネント (続き)

システム必須コンポーネント


Web Portal Manager システムv IBM Global Security Toolkit


v Tivoli Access Manager ランタイム環境

v IBM WebSphere Application Server アドバンスド・シングル・サーバー版 4.0 および FixPack 3

v Tivoli Access Manager Web Portal Manager


* Active Directory をレジストリーとしてインストールする計画の場合、セキュア・ドメイン内の Tivoli Access Manager システムに IBM Directory Client は必要ありません。

インストール・コンポーネントこのセクションでは、一般にすべての Tivoli Access Manager インストールに共通した基本コンポーネントを紹介します。

ユーザー・レジストリーTivoli Access Manager は、その許可機能の操作をサポートするために、ユーザー・レジストリーを必要とします。このレジストリーは、Tivoli Access Manager に既知のユーザー ID のデータベースとなります。また、ユーザーへ関連付けることができる Tivoli Access Manager 役割のグループを表します。

サポートされているレジストリーのリストは、IBM Tivoli Access Manager for

e-business リリース情報を参照してください。

IBM Directory ClientIBM Directory Client は Active Directory を除くすべての Tivoli Access Manager レジストリーをサポートします。このクライアントは、Tivoli Access Manager を実行する各システムにインストールおよび構成する必要がありますが、以下は例外です。

v Active Directory を Tivoli Access Manager レジストリーとして使用するシステムに IBM Directory Client は必要ありません。

v Tivoli Access Manager Java Runtime Environment システムに IBM Directory

Client は必要ありません。

IBM Directory Client は、各プラットフォーム向けの IBM Tivoli Access Manager

Base CD で、IBM Directory と共に提供されます。このインストール・パッケージには、2 つのグラフィカル・ユーザー・インターフェース (GUI) が組み込まれています。 Web ベースのサーバー管理インターフェースでは、 IBM Directory Server

のサーバー・タスクとデータベース・タスクを実行できます。 Directory

Management Tool (DMT) では、スキーマ定義、ディレクトリー・ツリー、およびデ



ータ・エントリーなど、ディレクトリー内の情報をブラウズおよび編集できます。インターフェースごとの詳細な文書は、オンライン・ヘルプ・システムから入手できます。

注: Web ベースのサーバー管理インターフェースは、Linux for zSeries ではサポートされません。

IBM Global Security ToolkitTivoli Access Manager は、IBM Global Security Toolkit (GSKit) を使用してデータを暗号化します。GSKit パッケージでは、鍵データベース、公開鍵と秘密鍵のペア、および証明書要求の作成を可能にする iKeyman 鍵管理ユーティリティー(gsk5ikm) がインストールされます。

このユーティリティーを使用した SSL の使用可能化については、Secure Sockets

Layer Introduction and iKeyman User’s Guide および 179ページの『付録 A. Secure

Sockets Layer の使用可能化』を参照してください。

Tivoli Access Manager Policy ServerTivoli Access Manager Policy Server は、旧バージョンで管理サーバーと呼ばれていたもので、セキュア・ドメインのマスター許可データベースを保守します。このサーバーは、アクセス・コントロール、認証、および許可要求の処理において重要な役割を果たします。また、許可データベースのレプリカを更新して、セキュア・ドメイン内の他の Tivoli Access Manager サーバーに関するロケーション情報を保守します。

1 つのセキュア・ドメイン内では、ポリシー・サーバーの単一のインスタンスとそのマスター許可データベースだけが存在できます。可用性を得るため、スタンバイ・サーバーを構成して、万一システム障害が起きたときに、Policy Server 機能を引き継がせることができます。

Tivoli Access Manager 許可サーバー許可サーバーはアクセス・コントロールおよび許可判断を引き受けて、ポリシー・サーバーの負担を軽減します。このサーバーは許可ポリシー・データベースのレプリカを保守して、許可意思決定エバリュエーターとして機能します。別個の許可サーバーにより、Tivoli Access Manager 許可 API をリモート・キャッシュ・モードで使用するサード・パーティー製のアプリケーションに、許可サービスへのアクセスを提供できます。このコンポーネントはオプションです。

Tivoli Access Manager Java Runtime EnvironmentTivoli Access Manager Java Runtime Environment は、Tivoli Access Manager セキュア・ドメインに Java アプリケーションを開発および配置するための、信頼できる環境を提供します。これを使用して、新規または既存の Java アプリケーションにTivoli Access Manager の許可サービスとセキュリティー・サービスを追加できます。このコンポーネントをインストールする前に、プラットフォーム固有の JRE をインストールしておく必要があることに注意してください。

他の Tivoli Access Manager コンポーネントとは対照的に、システム上で正しいJRE を使用するには、pdjrtecfg コマンドを使用して Tivoli Access Manager Java



Runtime Environment を構成する必要があります。必要であれば、同一のシステムで複数の異なる JRE を使用するように Tivoli Access Manager Java Runtime

Environment を構成することもできます。

Web Portal Manager インターフェースをインストールする計画の場合は、このコンポーネントが必要であることに注意してください。また、Tivoli Access Manager

Java Runtime Environment クラスを使用する開発者も、Tivoli Access Manager ADK

にこのコンポーネントを必要とします。詳しくは、IBM Tivoli Access Manager

Administration Java Classes デベロッパーズ・リファレンスおよび IBM Tivoli

Access Manager Authorization Java Classes デベロッパーズ・リファレンスを参照してください。

Tivoli Access Manager RuntimeTivoli Access Manager Runtime には、アプリケーションで Tivoli Access Manager

サーバーにアクセスするために使用できるランタイム・ライブラリーとサポート・ファイルが含まれています。

Tivoli Access Manager Runtime または Tivoli Access Manager Java Runtime

Environment は、セキュア・ドメイン内のすべてのシステムにインストールする必要があります。

Tivoli Access Manager Web Portal ManagerWeb Portal Manager は、Tivoli Access Manager 管理に使用される Web ベースのグラフィカル・ユーザー・インターフェース (GUI) です。 pdadmin コマンド行インターフェースと同じように、この GUI を使用して、ユーザー、グループ、役割、許可、ポリシー、およびその他の Tivoli Access Manager タスクを管理できます。重要な利点は、これらのタスクをリモート側で、特殊なネットワーク構成なしに行えることです。

また、Web Portal Manager には一連の代行管理サービスが組み込まれており、ユーザー管理、グループと役割の管理、セキュリティー管理、およびアプリケーション・アクセス・プロビジョニングをビジネス・システム内の参加プログラム (サブドメイン) に代行させることができます。これらのサブドメインでは、さらに制御下のトラステッド・サブドメインに管理を代行させることができるため、これによって、役割に基づく階層のマルチ・レベルでの代行と管理がサポートされています。

このコンポーネントは、IBM Tivoli Access Manager Web Portal Manager CD で別個に提供され、AIX、Solaris オペレーティング環境 (以後、Solaris と呼びます)、および Windows の各プラットフォームで使用できます。このコンポーネントはオプションです。

Tivoli Access Manager Application Development KitADK は、許可判断のために許可サーバーを照会するサード・パーティー製のアプリケーションをコーディングできる開発環境を提供します。 ADK には、許可機能や管理機能における、C API および Java クラス両方の使用のサポートが含まれています。このコンポーネントはオプションです。



インストール・プロセスTivoli Access Manager のシステムまたはコンポーネントをインストールするには、以下のステップを実行します。

1. Tivoli Access Manager のデプロイメントを計画します。Tivoli Access Manager

を配置するためのビジネス上のセキュリティー要件を必ず理解しておいてください。詳細については、 1ページの『デプロイメントの計画』を参照してください。

2. IBM Tivoli Access Manager for e-business リリース情報にリストされているすべてのソフトウェア要件が分かっており、それらを満たしていることを確認してください。

3. どのような組み合わせの Tivoli Access Manager システムをインストールするかを決めます。詳細については、 2ページの『セキュア・ドメインの概要』を参照してください。

4. 表 2 にリストしたインストール・オプションを選択し、説明に従ってください。

表 2. インストール・オプション

オプション目的説明

簡易インストールセキュア・ドメインに 1 つ以上の Tivoli

Access Manager システムを手早くインストールし、構成します。

『簡易インストール・プロセス』を参照してください。

ネイティブ・インストール

ネイティブ・オペレーティング・システム・ユーティリティーを使用して、Tivoli

Access Manager コンポーネントを 1 ステップずつインストールし、構成します。

8ページの『ネイティブ・インストール・プロセス』を参照してください。

アップグレード Tivoli SecureWay Policy Director バージョン 3.8 または Tivoli Access Manager バージョン 3.9 をアップグレードします。

105ページの『第 8 章Tivoli Access Manager

バージョン 4.1 へのアップグレード』を参照してください。

簡易インストール・プロセス簡易インストールを使用して Tivoli Access Manager システムをセキュア・ドメインに構成するには、以下の基本的なステップを実行します。

1. ご使用のプラットフォームに合ったインストールの章で『簡易インストールの使用』のセクションを参照してください。簡易インストール・プログラムが、Tivoli Access Manager システムをセットアップしたいプラットフォームに使用可能であることを確認してください。

2. 状況およびメッセージを英語 (デフォルト) 以外の言語で表示するには、簡易インストール・スクリプトを実行する前に、言語サポート・パッケージをインストールする必要があります。この手順については、 12ページの『言語サポート・パッケージのインストール』を参照してください。

3. サポートされているレジストリーを Tivoli Access Manager 用にインストールし、構成するには、以下のいずれかを実行します。

v Tivoli Access Manager に使用したい既存のレジストリーがある場合は、必ず、サーバーをこのリリースでサポートされているバージョンにアップグレー



ドしてください。その後、 21ページの『第 2 章 Tivoli Access Manager 用のレジストリーの構成』の説明に従って、レジストリーを Tivoli Access

Manager 用に構成します。

v IBM Tivoli Directory Server (Tivoli Access Manager に同梱) をインストールおよび構成するには、ezinstall_ldap_server プログラムを実行します。この簡易インストール・プログラムは、IBM Tivoli Directory Server とその前提ソフトウェアのインストールと構成を行い、同時に SSL も使用可能にします。

v IBM Tivoli Directory Server 以外のサポートされているレジストリーをインストールするには、その製品の資料を参照してください。その後、 21ページの『第 2 章 Tivoli Access Manager 用のレジストリーの構成』の説明に従って、レジストリーを Tivoli Access Manager 用に構成してください。

4. ezinstall_pdmgr スクリプトを実行して、Tivoli Access Manager Policy Server

システムをセットアップします。

5. Policy Server を構成した後、セキュア・ドメイン内に追加のシステムをセットアップすることができます。たとえば、以下のように行えます。

v ezinstall_pdauthADK スクリプトを実行して、開発システムと Application

Development Kit (ADK) をインストールします。

v ezinstall_pdacld スクリプトを実行して、許可サーバー・システムをセットアップします。

v ezinstall_pdwpm スクリプトを実行して、Runtime システムと Web Portal

Manager インターフェースをセットアップします。

v install_pdrte InstallShield プログラムを実行して、1 つ以上の Runtime クライアント・システムをインストールします。

6. オプション: Tivoli Access Manager セキュア・ドメイン内に Java アプリケーションを開発および配置する場合は、Tivoli Access Manager Java Runtime

Environment をインストールできます。このコンポーネントは簡易インストールでは選択可能でないため、ご使用のプラットフォームに合ったインストールの章に示されている、ネイティブ・インストールの説明に従ってください。

7. オプション: LDAP サーバーと IBM Directory Client の間で SSL を使用可能にすることをお勧めします。この手順については、 179ページの『付録 A. Secure


注: ezinstall_ldap_server スクリプトの実行中に SSL を使用可能にした場合は、このステップをスキップできます。

ネイティブ・インストール・プロセス以下の手順は、すべての Tivoli Access Manager コンポーネントを適切な順序でインストールする方法を示しています。ご使用のシステムの要件に基づいて、インストールの必要なコンポーネントだけを選択してください。特定の Tivoli Access

Manager システムに必要なコンポーネントのリストについては、3 ページの表 1 を参照してください。

ネイティブ・インストールを使用して Tivoli Access Manager コンポーネントをインストールおよび構成する場合は、以下の基本的なステップを実行します。

1. サポートされているレジストリーを Tivoli Access Manager 用にインストールし、構成するには、以下のいずれかを実行します。



注: IBM Directory Server をインストールする場合は、次の Web サイトで、IBM Directory Server Version 4.1 Installation and Configuration Guide for

Multiplatforms のインストール手順を参照してください。


v IBM Directory Server 以外のサポートされているレジストリーをインストールするには、その製品の資料を参照してください。

v Tivoli Access Manager に使用したい既存のレジストリーがある場合は、必ず、サーバーをこのリリースでサポートされているバージョンにアップグレードしてください。

v IBM Directory Server を AIX、Solaris、または Windows システムにインストールするには、以下のステップを実行します。

a. AIX、Solaris、または Windows 用の IBM Tivoli Access Manager Base CD

を使用して、IBM Directory Server をインストールします。 IBM Directory

Server をインストールするには、以下のいずれかを実行します。

– AIX システムの場合:

installp -c -a -g -X -d /dev/cd0 ldap.server

– Solaris システムの場合:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault \IBMldaps

– Windows システムの場合:

/windows/Directory/ismp/setup.exe

b. AIX、Solaris、および Windows 用の IBM Tivoli Access Manager Base CD

のルート・ディレクトリーにある IBM Directory LDAP パッチをインストールします。このパッチを適用するには、以下のいずれかを入力します。

– AIX および Solaris システムの場合:

apply_ldap41_patch.sh


apply_ldap41_patch.bat

c. AIX、Solaris、および Windows 用の IBM Tivoli Access Manager Base CD

のルート・ディレクトリーにある IBM HTTP Server パッチをインストールします。このパッチを適用するには、以下のいずれかを入力します。

– AIX および Solaris システムの場合:

http_1319_efix2.sh


http_1319_efix2.bat

v IBM Directory Server を Linux for zSeries システムにインストールするには、以下のステップを実行します。

a. 次の Web サイトにある IBM Directory Server for Linux on zSeries をインストールします。


b. Fixpack 1 for IBM Directory 4.1 をインストールします。 Linux 390 OS

Fixpack (FP410T-01.tar.Z) は、次の Web サイトにあります。



http://www.ibm.com/software/network/directory/

server/support/efixes.html

c. Bulkload patch for 4.1(.1) Fixpack 1 をインストールします。Linux 390 OS

Fixpack (P410T-001A.tar.Z) は、次の Web サイトにあります。

http://www.ibm.com/software/network/directory/

server/support/efixes.html

2. Lotus Domino レジストリーの場合に限り、この時点で Domino Server と IBM

Directory Client の間で SSL 通信を可能にすることをお勧めします。この手順については、 203ページの『Domino 用の SSL の使用可能化』を参照してください。

3. 以下のいずれかを行います。

v IBM Directory Server を Linux for zSeries にインストールした場合は、ステップ 4 へスキップしてください。 Tivoli Access Manager は、IBM Directory

Server を構成する前にインストールする必要があります。

v 使用するレジストリーを Tivoli Access Manager 用に構成します。この手順については、 21ページの『第 2 章 Tivoli Access Manager 用のレジストリーの構成』を参照してください。

4. セキュア・ドメインに Tivoli Access Manager システムをセットアップします。セットアップするシステムに応じ、以下のコンポーネントの 1 つ以上を、示されている順序でインストールおよび構成します。

v IBM Global Security Toolkit (GSKit) — GSKit は、他の Tivoli Access

Manager コンポーネントをインストールする前にインストールしておく必要があります。GSKit は Tivoli Access Manager 実行時環境の前提条件となっており、セキュア・ドメイン内のすべてのシステムに必要です。

v IBM Directory Client — このクライアントは、Active Directory を除き、Tivoli

Access Manager を実行する各システム上に必要です。







手順については、ご使用のプラットフォームに合ったインストールの章を参照してください。



注

v 特定のタイプのシステム・セットアップに必要なコンポーネントのリストについては、 3ページの表 1 を参照してください。

v それぞれのセキュア・ドメインごとに、1 つの Policy Server をインストールし、構成する必要があります。

v Policy Server をインストールするときは、最初に実行時環境をインストールする必要があります。ただし、Policy Server のインストールが済むまでは、実行時環境を構成してはなりません。

5. Linux for zSeries に IBM Directory をインストールした場合は、この時点でサーバーを Tivoli Access Manager 用に構成します。この手順については、 22ページの『IBM Directory Server の構成』を参照してください。

6. お使いのレジストリーと IBM Directory Client の間で SSL 通信を使用可能にすることをお勧めします。この手順については、 179ページの『付録 A. Secure


注: Tivoli Access Manager 用の Active Directory では、暗号化に SSL ではなくKerberos が使用されます。

7. 状況およびメッセージを英語 (デフォルト) 以外の言語で表示するには、Tivoli

Access Manager コンポーネントをインストールした後、しかもそれらを構成する前に、言語サポート・パッケージをインストールする必要があります。この手順については、 12ページの『言語サポート・パッケージのインストール』を参照してください。

国際化対応この章では、Tivoli Access Manager セキュア・ドメイン用の国際化対応フィーチャーについて説明します。このセクションには、以下のトピックが含まれています。

v 12ページの『言語サポートの概要』

v 12ページの『言語サポート・パッケージのインストール』

v 14ページの『前提条件ソフトウェアの言語パッケージのインストール』

v 15ページの『言語サポート・パッケージのアンインストール』

v 17ページの『ロケール環境変数』

v 18ページの『メッセージ・カタログ』

v 19ページの『テキスト・エンコード方式 (コード・セット) のサポート』

重要言語固有の制限または制約事項の有無については、IBM Tivoli Access Manager

for e-business リリース情報の国際化対応に関するセクションで必ず確認してください。



言語サポートの概要Tivoli Access Manager ソフトウェアは、以下の言語に翻訳されています。

v ブラジル・ポルトガル語

v チェコ語

v 中国語 (簡体字)

v 中国語 (繁体字)

v フランス語

v ドイツ語

v ハンガリー語

v イタリア語

v 日本語

v 韓国語

v ポーランド語

v スペイン語

v ロシア語

これらの言語への翻訳版は、各製品ごとに、IBM Tivoli Access Manager Language

Support CD で言語サポート・パッケージとして提供されています。Tivoli Access

Manager の言語サポートを入手するためには、その製品の言語サポート・パッケージをインストールすることが必要です。

簡易インストールを使用する場合は、構成メッセージをネイティブ言語で表示できるよう、Tivoli Access Manager をインストールする前に言語パッケージをインストールする必要があります。ネイティブ・インストールの場合は、Tivoli Access

Manager コンポーネントをインストールした後、ただし、それらのコンポーネントを構成する前に、言語パッケージをインストールしてください。言語サポート・パッケージがインストールされない場合、関連する製品では、テキストがすべて英語で表示されます。各言語は、別個にインストール可能な製品インストール・イメージとなっていますので、ご注意ください。

言語サポートがインストールされている製品をアップグレードするときは、やはり該当する言語サポート製品のインストールが必要になります (提供されている場合)。アップグレードに言語サポートが必要かどうかは、各製品のアップグレード資料で確認してください。なお、アップグレード後に言語サポートをインストールしない場合は、関連する製品の一部のフィールドやメッセージが英語で表示されることがあります。

言語サポート・パッケージのインストール言語サポート・パッケージをインストールするには、以下のステップを実行します。

1. システムに root または管理ユーザーとしてログインします。

2. IBM Tivoli Access Manager Language Support CD を挿入するかマウントし、CD

が置かれているルート・ディレクトリーへ移動します。



3. ご使用のオペレーティング・システムでサポートされているプラットフォーム固有の JRE をインストールします。手順については、以下のいずれを参照してください。

v AIX システムでは、52 ページを参照してください。

v HP-UX システムでは、63 ページを参照してください。

v Red Hat Linux または Linux for zSeries システムでは、74 ページを参照してください。

v Solaris システムでは、82 ページを参照してください。

v Windows システムでは、96 ページを参照してください。

4. インストールする Tivoli Access Manager 製品に応じて、以下の 1 つ以上のセットアップ・スクリプトを実行します。

重要

v スクリプトは、UNIX システムで使用されます。 Windows システムでは、バッチ・ファイル (.bat 拡張子) が使用されます。

v jre_path を指定せずにスクリプトを実行する場合は、かならず PATH ステートメントに Java 実行可能ファイルへのパスが含まれていることを確認してください。含まれていなければ、次のように jre_path を指定してスクリプトを実行します。

package jre_path

たとえば、Tivoli Access Manager Base 用の言語パッケージをインストールするには、次のように入力します。

install_pdrte_lp /usr/bin

ここで、/usr/bin は、JRE へのパスです。

言語パッケージは、以下のとおりです。

install_pdjrte_lp Tivoli Access Manager Java Runtime Environment

用の言語パッケージのインストールを指定します。

install_pdrte_lp Tivoli Access Manager Base 用の言語パッケージのインストールを指定します。

install_pdwas_lp WebSphere Application Server 用の言語パッケージのインストールを指定します。

install_pdwbpi_lp Tivoli Access Manager Plug-in for Web Servers


install_pdweb_lp Tivoli Access Manager WebSEAL 用の言語パッケージのインストールを指定します。

install_pdwls_lp WebLogic Server 用の言語パッケージのインストールを指定します。



install_pdwpm_lp Tivoli Access Manager Web Portal Manager 用の言語パッケージのインストールを指定します。

install_pdwsl_lp Tivoli Access Manager Plug-in for Edge Server


5. インストールを開始するには、「次へ (Next)」をクリックします。「ソフトウェアのご使用条件 (Software License Agreement)」ダイアログが表示されます。

6. ご使用条件を受け入れる場合は、「使用条件の条項に同意します (I accept theterms in the license agreement)」を選択して「次へ (Next)」をクリックします。言語パッケージのリストを示すダイアログが表示されます。

7. インストールしたい言語パッケージを選択して、「次へ (Next)」をクリックします。選択した言語パッケージの場所と機能を示すダイアログが表示されます。

8. 選択した言語パッケージを受け入れる場合は、「次へ (Next)」をクリックします。選択した言語パッケージがインストールされます。

9. Tivoli Access Manager 言語パックのインストールが正常に完了したら、「終了(Finish)」をクリックしてウィザードを終了し、システムを再始動してください。

前提条件ソフトウェアの言語パッケージのインストールAIX および Solaris システムの場合に限り、Tivoli Access Manager ソフトウェアの言語パッケージのほかに、IBM HTTP Server、IBM Directory、および IBM DB2 製品用の言語パッケージをインストールする必要があります。これらの言語パッケージも、IBM Tivoli Access Manager Language Support CD に入っています。

1. 前提条件ソフトウェアの言語パッケージをインストールするには、次のいずれかを行ってください。

v AIX システムでは、次のコマンドを入力します。

installp -c -a -g -X -d /dev/cd0 package

ここで、package は usr/sys/inst.images ディレクトリーにあり、次のいずれか 1 つ以上です。

http_server.html.lang IBM HTTP Server 文書を指定します。

http_server.msg.lang.admin IBM HTTP Server メッセージを指定します。

http_server.msg.lang.ssl.coreIBM HTTP Server SSL メッセージを指定します。

ldap.html.lang IBM Directory 文書を指定します。

ldap.msg.lang IBM Directory メッセージを指定します。

db2_07_01.msg.lang IBM DB2 製品メッセージを指定します。

ここで、lang は言語ファイルの省略形です。

たとえば、イタリア語の IBM HTTP Server 文書をインストールするには、次のように入力します。

installp -c -a -g -X -d /dev/cd0 http_server.html.it_IT



v Solaris システムでは、次のコマンドを入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault package

ここで、package は、/solaris ディレクトリーにあり、以下のいずれか 1 つ以上です。

IBMHAlang IBM HTTP Server メッセージを指定します。

IBMHSlang IBM HTTP Server 文書を指定します。

IBMHSSlang IBM HTTP Server SSL メッセージを指定します。

IBMldilang IBM Directory 文書を指定します。

IBMldmlang IBM Directory メッセージを指定します。

db2mslang1 IBM DB2 製品メッセージを指定します。

lang の部分には、言語ファイルの省略形が入ります。

たとえば、日本語の IBM Directory メッセージをインストールするには、次のように入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldmJa

2. IBM HTTP Server や IBM HTTP 管理デーモン (サービス) が実行されている場合は、これを停止させます。たとえば、UNIX システムの http_directory/bin

ディレクトリーから、以下のコマンドを入力します。

apachectl stop

adminctl stop

注: httpd プロセスが実行されているかどうかを確認するには、以下のコマンドを入力してください。

ps -ef | grep -i http

httpd プロセスが存在する場合は、次のようにして kill コマンドを実行してください。

kill -i http_process_id_(pid)

3. http_directory/bin ディレクトリーから、 setuplang コマンドを実行してください。このシェル・スクリプトは、新しい言語用に httpd.conf ファイルとadmin.conf ファイルを変更します。メニュー・テーブルから希望する言語を選択してください。

4. HTTP Server を再始動するには、以下のコマンドを実行します。

http_directory/bin/apachectl start

http_directory/bin/adminctl start

5. 希望した言語でサーバーが稼働するはずです。 Web ブラウザーからサーバーにアクセスし、該当する言語で画面が表示されることを確認してください。

言語サポート・パッケージのアンインストール言語サポート・パッケージをアンインストールするには、以下のステップを実行します。

1. 以下のいずれかのディレクトリーへ移動します。

v UNIX システムの場合:



/opt/location

v Windows システムの場合:

C:¥Program Files¥location

location には、次のような場所情報が入ります。

PDBLP/Lp_uninst Tivoli Access Manager Base 用の言語パッケージの場所を指定します。

PDJrtLP/lp_uninst Tivoli Access Manager Java Runtime Environment

用の言語パッケージの場所を指定します。

PDWasLP/lp_uninst WebSphere Application Server 用の言語パッケージの場所を指定します。

PDWpiLP/lp_uninst Tivoli Access Manager Plug-in for Web Servers


PDWebLP/lp_uninst Tivoli Access Manager WebSEAL 用の言語パッケージの場所を指定します。

PDWlsLP/lp_uninst WebLogic Server 用の言語パッケージの場所を指定します。

PDWpmLP/Lp_uninst Tivoli Access Manager Web Portal Manager 用の言語パッケージの場所を指定します。

PDWslLP/Lp_uninst Tivoli Access Manager Plug-in for Edge Server


2. 言語サポート・パッケージをアンインストールするには、次のいずれかを入力します。


jre_path/java package


jre_path\java -jar package

ここで、jre_path は Java 実行可能ファイルが置かれているパスで、package

は、次のいずれかです。

注: Java 実行可能ファイルが現在のパスにある場合は、 jre_path を指定する必要はありません。

pdrte_lp_uninstall.jar Tivoli Access Manager Base 用の言語パッケージを指定します。

pdjrte_lp_uninstall.jar Tivoli Access Manager Java Runtime Environment

用の言語パッケージを指定します。

pdwas_lp_uninstall.jar WebSphere Application Server 用の言語パッケージを指定します。

pdwbpi_lp_uninstall.jar Plug-in for Web Servers 用の言語パッケージを指定します。

pdweb_lp_uninstall.jar Tivoli Access Manager WebSEAL 用の言語パッケージを指定します。



pdwls_lp_uninstall.jar WebLogic Server 用の言語パッケージを指定します。

pdwsl_lp_uninstall.jar Tivoli Access Manager Plug-in for Edge Server

用の言語パッケージを指定します。

ロケール環境変数現在のほとんどのオペレーティング・システムの場合と同様に、希望するロケールを指定することによって、ローカライズされた振る舞いを得ることができます。Tivoli Access Manager ソフトウェアの場合は、 LANG 環境変数に、POSIX、X/Open、または他のオープン・システム規格で指定された希望するロケール名を指定します。

注: Windows 環境で使用している場合は、代わりに「コントロールパネル」の「地域のオプション」で言語の設定を変更することもできます。

LANG 環境変数を指定して、この地域の設定を変更した場合は、 LANG 環境変数がこの地域の設定を指定変更します。

オープン・システム規格で指定されているとおり、LANG は、他の環境変数によって、一部またはすべてのカテゴリーで指定変更されます。このような変数には、次のものがあります。

v LC_CTYPE

v LC_TIME

v LC_NUMERIC

v LC_MONETARY

v LC_COLLATE

v LC_MESSAGES

v LC_ALL

これら上に挙げた変数がいずれかでも設定されている場合は、 LANG 変数が完全な効果を持つようにするために、それらの設定を削除する必要があります。

LANG 変数と UNIX システムほとんどの UNIX システムでは、希望するロケールの指定に LANG 変数を使用します。とはいえ、UNIX オペレーティング・システムが異なると、同じ言語を指定する場合にも別のロケール名が必要になります。その場合は、必ず、ご使用のUNIX オペレーティング・システムでサポートされている LANG の値を使用するようにしてください。

ご使用の UNIX システムでのロケール名を確認するには、次のコマンドを入力します。

locale -a

LANG 変数と Windows システムほとんどのオペレーティング・システムでは、LANG 環境変数は使用されません。しかし、Tivoli Access Manager ソフトウェアでは、LANG を使用して希望の言語を



決定できます。これを行うためには、LANG を、 ISO の言語/地域コードに基づいた、コード・セット・サフィックスなしの正規ロケール名に設定する必要があります。たとえば、次のとおりです。

v fr は、標準フランス語のロケールを示します。

v ja は、日本語のロケールを示します。

v pt_BR は、ブラジル・ポルトガル語のロケールを示します。

v C は、英語の C ロケールを示します。

Windows システムの場合、Tivoli Access Manager は、LANG が設定されていないとき、Windows の「コントロールパネル」にある「地域のオプション」で現在選択されている内容を使用します。

ロケール・バリアントの使用現在、Tivoli Access Manager ソフトウェアには、各言語につき 1 つの翻訳版しかありませんが、ロケール・バリアントを選択して使用することにより、対応する言語翻訳を Tivoli Access Manager に検出させることが可能です。たとえば、Tivoli

Access Manager には、フランス語の翻訳が 1 つ用意されていますが、以下の各ロケール設定を使用すれば、適切な翻訳を選択できます。

v fr は、標準フランス語のロケール名です。

v fr_FR は、フランスで使用されるフランス語のロケール名です。

v fr_CA は、カナダで使用されるフランス語のロケール名です。

v fr_CH は、スイスで使用されるフランス語のロケール名です。

メッセージ・カタログ通常、メッセージ・カタログは msg サブディレクトリーにインストールされ、それぞれのメッセージ・カタログが次の言語固有のサブディレクトリーにインストールされます。


/opt/PolicyDirector/nls/msg/locale


install_dir/nls/msg/locale

Tivoli Access Manager は、UNIX ロケール名の違いを認識し、通常は、指定された値を該当するメッセージ・カタログにマップすることができます。

オープン・システム規格で指定されているように、該当するメッセージ・カタログ・ディレクトリーの検出には、NLSPATH 変数が使用されます。たとえば、メッセージ・カタログが /opt/PolicyDirector/nls/msg にある場合、NLSPATH 変数は次のように設定されます。

/opt/PolicyDirector/nls/msg/%L/%N.cat:/opt/PolicyDirector/nls/msg/%L/%N

注: Windows では、分離文字にコロン (:) でなくセミコロン (;) を使用します。

%L ディレクティブは、現在のユーザーによる言語選択に最も近いメッセージ・カタログ・ディレクトリーに展開され、 %N.cat は、希望するメッセージ・カタログに展開されます。



希望する言語のメッセージ・カタログが見つからない場合は、英語 C のメッセージ・カタログが使用されます。

たとえば、次のように、スイスで使われるドイツ語を AIX のロケールに指定したとします。

LANG=De_CH.IBM-850

%L ディレクティブは次のような順序で展開され、指定されたロケールが探し出されます。

1. de_CH

2. de

3. C

Tivoli Access Manager には、スイスで使われるドイツ語の言語パッケージがないため、 de_CH は見つかりません。 Tivoli Access Manager にドイツ語の言語パッケージがインストールされていれば、de が使用されます。しかし、ドイツ語がインストールされていなければ、デフォルトのロケール C が使用され、テキストは英語で表示されます。

テキスト・エンコード方式 (コード・セット) のサポートテキストのエンコード方式は、しばしば、オペレーティング・システムによって異なります。たとえば、Windows システムでは、日本語のテキストに SJIS (コード・ページ 932) が使用されますが、UNIX システムでは、しばしば eucJP が使用されます。

加えて、同じ言語に複数のロケールが存在するために、同じマシンの同じ言語に対して複数の異なるコード・セットが使用される場合もあります。このような状況は、システムからシステムへ、あるいは異なるロケール環境の間でテキストが移される場合に、問題を引き起こす可能性があります。

Tivoli Access Manager は、テキストの内部正規表現として Unicode と UTF-8 (マルチバイト形式の Unicode) を使用することにより、この問題に対処します。

メッセージ・カタログは UTF-8 を使用してエンコードされ、ユーザーに表示される前にテキストがロケールのエンコード方式に変換されます。この方法で、同じフランス語のメッセージ・カタログ・ファイルを、ISO8859-1、Microsoft 1252、IBM PC

850、および IBM MVS™

1047 といった、さまざまな Latin 1 コード・セットのサポートに使用することができます。

UTF-8 は、テキストのインターオペラビリティーを得るためにも使用されます。たとえば、Common Object Request Broker Architecture (CORBA) ストリングは、UTF-8 として伝送されます。これにより、ローカルのテキスト・エンコード方式がそれぞれ異なる可能性のある異種混合ネットワークでも、リモート管理が可能になります。たとえば、UNIX 日本語 EUC ロケールで操作を実行することにより、デスクトップから日本語 PC エンドポイント上で日本語のファイル名を扱うことができます。

セキュア・ドメイン全体でのテキストのインターオペラビリティーは、 Tivoli オブジェクト・データベース内でストリングを UTF-8 として保管することによっても得



られます。こうして保管されたストリングは、表示したり操作したりする際に、別のオペレーティング・システムのコード・セットで作業を実行するアプリケーションによって、ローカルのエンコード方式に変換されます。

コード・セット・ファイルの場所セキュア・ドメイン全体でのインターオペラビリティーは、 UTF-8 変換を実行したり、他のタイプのエンコード方式に固有のテキスト処理を実行するために使用される、コード・セットのファイルに依存しています。これらのファイルは以下のディレクトリーにインストールされます。


/opt/PolicyDirector/nls/msg/locale


install_dir/nls/msg/locale



第 2 章 Tivoli Access Manager 用のレジストリーの構成

この章では、サポートされているレジストリーを Tivoli Access Manager 用にセットアップする方法について説明します。インストール・プロセスのこのステップは、Tivoli Access Manager システムを ( 7ページの『インストール・プロセス』で指定されているように) セキュア・ドメインにインストールする前に実行する必要があります。特定のレジストリーのシステム要件については、IBM Tivoli Access

Manager for e-business リリース情報を参照してください。

この章には、以下の主なセクションがあります。

v 『LDAP サーバー構成の概要』

v 22ページの『IBM Directory Server の構成』

v 29ページの『iPlanet Directory Server の構成』

v 32ページの『Novell eDirectory の構成』

v 34ページの『z/OS および OS/390 セキュリティー・サーバーの構成』

v 39ページの『Active Directory の構成』

v 45ページの『ロータスドミノの構成』

LDAP サーバー構成の概要データは、ディレクトリー情報ツリー (DIT) と呼ばれる階層ツリー構造で、LDAP

サーバーに保管されます。ツリーの最上部はサフィックスと呼ばれます (命名コンテキストまたはルートとも呼ばれます)。 LDAP サーバーには複数のサフィックスを含めて、データ・ツリーを論理分岐または組織単位に編成できます。

以降のセクションでは、特定の LDAP サーバー用の Tivoli Access Manager サフィックスを作成する方法について説明します。構成プロセスの際に、Tivoli Access

Manager は自動的に、適切なアクセス・コントロール・リスト (ACL) を現在LDAP サーバー内に存在するすべてのサフィックスに追加しようとします。これは、これらのサフィックス内で定義されたユーザーおよびグループを管理するための許可を Tivoli Access Manager に付与するために必要です。 Tivoli Access

Manager を初期構成した後にサフィックスを追加する場合は、適切な ACL を手動で追加しなければなりません。この手順については、IBM Tivoli Access Manager

Base 管理者ガイドを参照してください。

Tivoli Access Manager では、 Tivoli Access Manager のメタデータを保守するsecAuthority=Default と呼ばれるサフィックスを作成する必要があります。このサフィックスは、LDAP サーバーを初めて構成したときに、1 度だけ追加しなければなりません。このサフィックスにより、Tivoli Access Manager はデータを容易に見つけて管理できるようになります。さらにデータへのアクセスがセキュアになるため、整合性や破壊の問題を回避できます。

さらに、Policy Server の構成時に、グローバル・サインオン (GSO) 識別名 (DN)

を入力するためのプロンプトが出されます。 GSO メタデータを保管するには、サフィックスを作成するか、または既存の LDAP DIT 位置の識別名を指定します。


GSO メタデータは LDAP DIT 内の任意の位置に保管できますが、その位置はすでに存在していなければなりません。サフィックスを作成する場合、GSO メタデータとユーザー定義の両方を単一のサフィックスに保管することを検討できます。たとえば、以下のセクションでは、GSO メタデータとユーザー定義の両方を保管するための例として、 o=tivoli,c=us を使用します。ユーザーとグループの定義を保守するための追加のサフィックスを作成することもできます。

サフィックスを作成した後、各サフィックスのディレクトリー・エントリーも作成しなければなりません。これは、サフィックスをインスタンス化するために必要です。これを行わないと、Tivoli Access Manager は構成時に ACL を添付できません。 ACL は、これらのサフィックス内で定義されたユーザーおよびグループを管理するための許可を Tivoli Access Manager に付与します。

注: サフィックスの完全な作成方法については、ご使用の LDAP サーバーに付属の製品資料を参照してください。以下の指示は、サフィックスを作成するための一般的なガイドとして役立ちます。組織の構造を反映するサフィックスを作成することをお勧めします。

以下のセクションでは、次のサポートされている LDAP レジストリーの構成方法について説明します。

v 『IBM Directory Server の構成』

v 29ページの『iPlanet Directory Server の構成』

v 32ページの『Novell eDirectory の構成』

v 34ページの『z/OS および OS/390 セキュリティー・サーバーの構成』

IBM Directory Server の構成

重要

v 簡易インストールの ezinstall_ldap_server スクリプトを使用して IBM

Directory Server のインストールと構成を行った場合は、この章の説明をスキップしてください。簡易インストールでは、IBM Directory Server が自動的に構成されます。

v IBM Directory Server を構成する前に、 8ページの『ネイティブ・インストール・プロセス』の説明に目を通し、その順序で各ステップを実行していることを確認してください。構成の前に、パッチが必要です。

v Linux for zSeries に IBM Directory をインストールしている場合は、必ず、Tivoli Access Manager を 8ページの『ネイティブ・インストール・プロセス』に示されている方法でインストールした後に、サーバーを構成してください。

IBM Directory Server を Tivoli Access Manager 用に構成するには、以下のステップを実行します。

1. IBM Directory Server がインストールされていることを確認します。



v Linux on zSeries を除くすべてのシステムでは、ステップ 3 へスキップします。

v Linux on zSeries システムの場合に限り、以下のステップを実行します。

a. Tivoli Access Manager スキーマを適用します。このファイルは、secschema.def という名前で、Tivoli Access Manager をインストールした etc ディレクトリーに置かれています。このスキーマを適用するには、次のコマンドを (1 行に) 入力します。

ldapmodify -h ldap_host -p port -D cn=root -w pswd -c -v -f secschema.def

b. Linux on zSeries 用の JRE をインストールします。この手順については、 74ページの『プラットフォーム固有の JRE のインストール』を参照してください。

注: IBM Directory Server の dmt および ldapcfg ツールを正しく実行するには、JRE 1.3.1 以上が必要です。

c. IBM Directory と一緒にインストールした JRE バージョンの代わりにJRE バージョン 1.3.1 を dmt および ldapcfg ツールに使用するには、次のものを更新します。

– /usr/ldap/bin/dmt スクリプトを編集し、以下の行をコメント化します。

find_java(){

# First, try to find the version of Java that we install with LDAP.

# if [ "${ENV_JAVA}" == "" ] ; then COMMENT THIS LINE# OVERRIDE=${LDAPIDIR}/java/bin/java COMMENT THIS LINE# fi COMMENT THIS LINE

– /usr/ldap/bin/ldapcfg スクリプトを編集し、以下の行をコメント化します。

find_java(){

# First, try to find the version of Java that we install with LDAP.# if [ "${OS}" != "HP-UX" ] ; then COMMENT THIS LINE# if [ "${ENV_JAVA}" == "" ] ; then COMMENT THIS LINE# OVERRIDE=${LDAPCIDIR}/java/bin/java COMMENT THIS LINE# fi COMMENT THIS LINE# fi COMMENT THIS LINE


v Linux on zSeries を除くすべてのシステムでは、次のアドレスで IBM

Directory Server の Web 管理ツールにアクセスしてから、ステップ 4 (24ページ) へ進みます。

http://servername:port/ldap/index.html

servername は LDAP サーバーの名前、 port は httpd.conf ファイルでリストされているポート番号です。

v Linux on zSeries システムの場合に限り、手動で slapd32.conf ファイルを変更し、必要なサフィックスを追加する必要があります。それを行うには、slapd32.conf ファイルの dn: cn=Directory セクションを変更し、次に示す必要な Tivoli Access Manager サフィックスと、GSO メタデータ用のサフィックス (または既存の DN)、およびユーザー定義 (たとえば、o=tivoli,c=us) を追加します。その後、ステップ 14 (26ページ) へスキップし、IBM Directory Server の構成を続行します。

IBM Directory Server

第 2 章サポートされているレジストリーの構成 23

dn: cn=Directory, cn=RDBM Backends, cn=IBM, cn=Schemas, cn=Configurationcn: Directoryibm-slapdDbAlias: ldapdb2bibm-slapdDbConnections: 30ibm-slapdDbInstance: ldapdb2ibm-slapdDbName: ldapdb2ibm-slapdDbUserId: ldapdb2ibm-slapdDbUserPW: >1aV1aFVp/G44POPw/p4ZkJAldiDt+GsRizdgwYF0F7tJYkcEUuBg4K7HnRFBgMev8jrleaPmiblTpnxb3br96RQ6ZjHeu75ZqCQ9/cIGqH/G6aDVCfbkmk3xyErW1eQdNt7i8iY9HHqgICIGQek6Qm1K<ibm-slapdPlugin: database /lib/libback-rdbm.so rdbm_backend_initibm-slapdReadOnly: FALSEibm-slapdSuffix: o=tivoli,c=usibm-slapdSuffix: secAuthority=Defaultibm-slapdSuffix: cn=localhostobjectclass: topobjectclass: ibm-slapdRdbmBackend

4. 以下に示すように、LDAP アドミニストレーターの名前およびパスワードを入力して、「ログオン (logon)」ボタンをクリックします。

「IBM Directory Server Web 管理」ページが表示されます。

5. IBM Directory Server が始動したことを確認するため、左方のナビゲーション・ペインで「現在の状態 (Current state)」→「サーバーの状況 (Serverstatus)」を選択します。以下のようなウィンドウが表示されます。



6. サーバーが停止されている場合は、「始動 / 停止 (Start/Stop)」をクリックしてから「始動 (Start)」をクリックして、サーバーを始動します。サーバーが正常に開始または停止したとき、メッセージが表示されます。

7. サフィックスを作成するには、左側のナビゲーション・ペインで「設定(Settings)」→「サフィックス (Suffixes)」と選択します。「サフィックス(Suffixes)」ウィンドウが表示されます。

8. Tivoli Access Manager がメタデータを保守するサフィックスを作成するには、以下に示すような必須のサフィックスを入力します。

secAuthority=Default

注: サフィックスの識別名では、大文字と小文字を区別しません。

9. 「更新 (Update)」をクリックします。「サフィックス (Suffixes)」ウィンドウが表示されます。新しいサフィックスが「現行サーバーのサフィックス(Current server suffixes)」テーブル内に表示されます。

10. GSO メタデータ用のサフィックスを作成することを選択した場合、新しいサフィックス識別名を「サフィックス識別名 (Suffix DN)」フィールドに入力します。たとえば、以下のように o=tivoli,c=us と入力することができます。

Tivoli Access Manager コンポーネントを構成するとき、 GSO サフィックスを入力するためのプロンプトが出されます。GSO サフィックスが必要とされる理由については、 21 ページの『LDAP サーバー構成の概要』を参照してください。

11. 「更新 (Update)」をクリックします。「サフィックス (Suffixes)」ウィンドウが再び表示されます。ここで、ユーザーとグループの定義を保守するための追加のサフィックスを作成することができます。

注: サフィックスの追加方法の詳細については、ウィンドウの右上のペインにある「ヘルプ (Help)」アイコンをクリックしてください。

12. サフィックスの追加が完了したら、以下のように、ウィンドウの上部ペインのメッセージにある「サーバーの再始動 (restart the server)」をクリックします。



数分後に次のメッセージが表示されます。

The directory server is running.

このメッセージが表示されない場合は、IBM Directory Server を再始動してください。たとえば、Windows システムでは、「スタート」→「設定」→「コントロールパネル」を順に選択して、「サービス」をクリックします。「IBM

Directory サービス (IBM Directory service)」を選択し、「開始」をクリックして LDAP サーバーを再始動します。


v secAuthority=Default 以外のサフィックスを追加しなかった場合は、ステップ 14 ～ 20 (28ページ) をスキップします。 Policy Server の構成時に、secAuthority=Default のディレクトリー・エントリーが自動的に追加されます。

v secAuthority=Default 以外のサフィックスを追加した場合は、ステップ 14

に進んで、サフィックスごとのディレクトリー・エントリーを作成します。

14. ディレクトリー・エントリーを作成するには、コマンド・プロンプトから dmtと入力して、Directory Management Tool (DMT) を始動します。次のようなウィンドウが表示されます。



15. 下部のペインにある「サーバーの追加 (Add server)」ボタンをクリックします。次に示すようなウィンドウが表示されます。


v DMT と LDAP サーバーの間で Secure Sockets Layer (SSL) を使用したい場合は、SSL を使用することを選択し、指定されたフィールドに必要な情報を入力します。これらのフィールドの説明については、「ヘルプ (Help)」をクリックしてください。

v DMT と LDAP サーバーの間で SSL を使用したくない場合は、認証タイプを選択します。

a. 「なし (None)」または「SASL 外部 (SASL External)」を選択した場合、追加情報は必要ありません。

b. 「単純 (Simple)」または「CRAM MD5」を選択した場合は、ユーザーDN とユーザー・パスワードを入力して「OK」をクリックします。

17. 左のペインから「ツリーのブラウズ (Browse Tree)」を選択します。作成したサフィックスにデータが含まれていないことを示す警告メッセージが表示され



ます。「OK」をクリックして、メッセージを閉じます。次に示すようなウィンドウが表示されます。

18. 右側のリストからホスト名を選択して、「追加 (Add)」をクリックします。たとえば、前の例のホスト名は ldap://dliburd2.tivoli.com:389 です。

19. 「LDAP エントリーの追加 (Add an LDAP Entry)」ウィンドウで、フィールドを完成させてから「OK」をクリックします。たとえば、GSO サフィックスのディレクトリー・エントリーを追加する場合は、次のようなウィンドウが表示されます。

20. 属性の値を入力してから、「追加 (Add)」をクリックします。たとえば、GSO

サフィックスの例は以下のようになります。



21. 作成したディレクトリー・エントリーの追加が完了したら、「終了 (Exit)」をクリックして「IBM Directory 管理ツール (IBM Directory Management Tool)」ウィンドウを閉じます。

iPlanet Directory Server の構成開始する前に、iPlanet Directory Server 製品の資料に記載されているように、サーバーの基本的なインストールと構成を確実に完了してください。詳細については、以下の Web アドレスで iPlanet Directory Server の資料を参照してください。

http://docs.iplanet.com/docs/manuals/directory.html

iPlanet Directory Server を Tivoli Access Manager 用に構成するには、以下のステップを実行します。

1. ディレクトリー・サーバー・デーモン (slapd-serverID) および管理サーバー・デーモン (admin-serv) が実行されていることを確認するため、以下のいずれかを行います。

v UNIX システムでは、以下のように入力します。

/usr/iplanet/servers/slapd-serverID/start-slapd

/usr/iplanet/servers/start-admin

v Windows システムでは、「スタート」→「設定」→「コントロールパネル」を選択してから、「サービス」アイコンをクリックします。「iPlanet

Administration Server 5.0」サービスおよび「iPlanet Directory Server 5」サービスを選択してから、「開始」をクリックします。

2. iPlanet Console を始動するため、以下のいずれかを入力します。

v UNIX システムでは、次のように入力します。

% /usr/iplanet/servers/startconsole

v Windows システムでは、「スタート」→「プログラム」→「iPlanet Server製品 (iPlanet Server Products)」→「iPlanet Console 5.0」を選択します。

構成ディレクトリー (o=NetscapeRoot ディレクトリー) が iPlanet Directory

Server の別個のインスタンスに保管されていなければ、「iPlanet Console ログイン (iPlanet Console Login)」ウィンドウが表示されます。この例では、アドミニストレーター・ユーザー ID、パスワード、およびそのディレクトリー・サーバーの管理サーバーの Web アドレスを入力するためのウィンドウが表示されます。

3. LDAP アドミニストレーターのユーザー ID とパスワードを使用してログインします。たとえば、次のように、cn=Directory Manager と適切なパスワードを入力します。

iPlanet コンソールが表示されます。



4. 「トポロジー (Topology)」タブで、「ディレクトリー・サーバー (DirectoryServer)」アイコンをクリックします。「iPlanet Directory Server Console」が表示されます。

5. 「iPlanet Directory Server Console」から、「構成 (Configuration)」タブを選択します。

6. 左側のナビゲーション・パネルで「データ (Data)」を右マウス・ボタン・クリックしてから、「新規のルート・サフィックス (New Root Suffix)」を選択します。新規のサフィックスを作成するには、次のように、「データ (Data)」を選択した後、メニュー・バーで「オブジェクト (Object)」→「サフィックス(Suffix)」を選択する方法もあります。

ポップアップ・ウィンドウが表示され、新規のサフィックスとデータベース名の入力を求められます。

7. Tivoli Access Manager データを保守するサフィックスを作成するには、「新規のサフィックス (New suffix)」フィールドに secAuthority=Default と入力します。その後、以下のように、新規のデータベース用に固有の名前を入力してから、「OK」をクリックします。

注: 「関連したデータベースを自動的に作成する (Create associateddatabase automatically)」チェック・ボックスは事前選択されています。これは、新規のルート・サフィックスと同時にデータベースが作成されるために必要です。新規のルート・サフィックスは、データベースを作成するまで使用不可になっています。

8. GSO データを保守するサフィックスを作成することを選択した場合、新しいサフィックス識別名を「新規のサフィックス (New suffix)」フィールドに入力して、固有のデータベース名を入力します。たとえば、以下のように、

iPlanet Directory Server


o=tivoli,c=us と入力して「OK」とクリックすることができます。

Tivoli Access Manager を構成するとき、GSO サフィックスを入力するためのプロンプトが出されます。 GSO について詳しくは、21 ページの『LDAP サーバー構成の概要』を参照してください。


v secAuthority=Default 以外のサフィックスを追加しなかった場合は、ステップ 10 から 13 をスキップします。ポリシー・サーバーの構成時に、secAuthority=Default のディレクトリー・エントリーが自動的に追加されます。

v secAuthority=Default 以外のサフィックスを追加した場合は、ステップ 10

に進んで、サフィックスごとのディレクトリー・エントリーを作成します。

10. 「ディレクトリー (Directory)」タブをクリックして、左側ペインの上部にあるサーバー名を強調表示します。

11. 「オブジェクト (Objects)」→「新規のルート・オブジェクト (New RootObject)」を選択します。まだエントリーが存在していない新規のサフィックスのリストが、以下のように表示されます。

12. 新規のサフィックス (secAuthority=Default を除く) ごとに、その新規のサフィックスを選択します。「新規のオブジェクト (New Object)」ペインが表示されます。スクロールダウンして、作成しているサフィックスに対応するエントリー・タイプを見付けます。たとえば、o=tivoli,c=us という名前のサフィックスに対して「組織 (organization)」を選択することができます。以下のように、エントリー・タイプを強調表示して、「OK」をクリックします。



13. 「プロパティー・エディター (Property Editor)」ウィンドウで、エントリーの値を入力します。 o=tivoli,c=us の例では、以下のように、 tivoli を「組織(organization)」の値として入力してから「OK」をクリックします。

14. 追加したサフィックスごとのエントリーを作成したら、「コンソール(Console)」→「終了 (Exit)」を選択してコンソールをクローズします。

Novell eDirectory の構成開始する前に、次の Web アドレスにある Novell 製品の資料に記載されているように、Novell eDirectory および ConsoleOne ツール用に基本的なサーバーのインストールと構成が完了していることを確認してください。

http://www.novell.com/documentation/lg/ndsedir86/index.html

また、IBM Tivoli Access Manager for e-business リリース情報にリストされているシステム要件と Tivoli Access Manager の前提条件についての検討が済んでおり、それらに準拠していることを確認してください。

Novell eDirectory を Tivoli Access Manager 用に構成するには、以下のステップを実行します。

1. Novell Client ワークステーションにログインし、ConsoleOne を開始します。



2. NDS ツリーを展開し、インストール時に作成したツリーを展開します。そのツリーの下に、2 つの子ツリーがあります。1 つは組織オブジェクトで、1 つは「セキュリティー (Security)」コンテナー・オブジェクトです。

3. 組織アイコン、たとえば、「AM」を選択します。ウィンドウの左のペインに、お客様の組織のオブジェクトが表示されます。

4. スキーマを、Tivoli Access Manager がインストールできるように更新するには、「LDAP グループ (LDAP Group)」を右マウス・ボタン・クリックし、「プロパティー (Properties)」を選択します。「プロパティー (Properties)」ノートブックが表示されます。

5. 「LDAP グループのプロパティー (Properties of the LDAP Group)」ウィンドウから、「クラス・マッピング (Class Mappings)」タブを選択します。

6. 「LDAP グループ・クラス・マッピングのテーブル (Table of LDAP Group

Class Mappings)」ウィンドウから以下のエントリーを削除し、「適用(Apply)」を選択します。

inetOrgPerson

groupOFNames

7. 「LDAP グループのプロパティー (Properties of the LDAP Group)」ウィンドウから、「属性マッピング (Attribute Mappings)」タブを選択します。「LDAP グループ属性マッピングのテーブル (Table of LDAP Group Attribute Mappings)」ウィンドウが表示されます。

8. テーブルをスクロールし、NDS 属性の Member 属性を選択します。対応するLDAP 属性の値も Member であることを確認します。 LDAP 属性値が Member

でない場合は、「変更 (Modify)」をクリックします。

9. 「属性マッピング (Attribute Mapping)」ウィンドウから、次のように入力し、「OK」を選択します。

v NDS Attribute = Member

v Primary LDAP Attribute = Member

v Secondary LDAP attribute = uniqueMember

10. 「LDAP グループのプロパティー (Properties of the LDAP Group)」ウィンドウから、「適用 (Apply)」および「閉じる (Close)」をクリックします。

構成用 GSO サフィックスの Tivoli Access Manager への追加構成プロセスの一部として、GSO サフィックスを追加する必要があります。これを行うには、以下のステップに従います。

1. ConsoleOne を開始します。

2. どのようなサフィックスを使用するかを決めます。これは、LDAP サーバー・ディレクトリー情報ツリー (DIT) 内のどこにグローバル・サインオン (GSO) メタデータを置きたいかを示す識別名です。サフィックスを入力するか、既存のLDAP DIT 位置の DN (ただし、コンテナー・オブジェクト) を指定できます。

3. 組織オブジェクトを右マウス・ボタン・クリックし、「新規 (New)」→「オブジェクト (Object)」→「国 (Country)」を順に選択して「OK」をクリックします。

4. 国別コードを入力します。たとえば、US と入力して「OK」をクリックします。国がコンソールの IBM ツリーの下に表示されます。

Novell eDirectory


5. 国 (US) を右マウス・ボタン・クリックし、「新規 (New) 」→「オブジェクト(Object)」→「組織 (Organization)」を順に選択して「OK」をクリックします。

6. お客様の組織を入力します。たとえば、Tivoli と入力して「OK」をクリックします。

z/OS および OS/390 セキュリティー・サーバーの構成このセクションでは、Tivoli Access Manager 用に z/OS または OS/390 上に LDAP

サーバーを準備するために必要な構成ステップについて説明します。ネイティブ・セキュリティー許可機能 (SAF) レジストリーに対する Tivoli Access Manager の構成が特に強調されています。

これらのガイドラインは、新しい LDAP サーバー・インスタンスが Tivoli Access

Manager レジストリー専用であることを前提としています。詳細については、ご使用の OS/390 または z/OS のリリースに合った LDAP サーバーの管理と使用に関する資料を参照してください。この資料は、次の Web サイトの z/OS ライブラリーから入手できます。

http://www-1.ibm.com/servers/eserver/zseries/zos/bkserv/

システム要件とアプリケーション・プログラム一時修正 (PTF) については、IBM

Tivoli Access Manager for e-business リリース情報を参照してください。

この章には、以下のセクションが含まれています。構成ファイルのサンプルも提供されています。

v TDBM バックエンド用の DB2 データベースの作成

v TDBM バックエンド用の LDAP 構成ファイルの作成

v サーバーの始動

v スキーマ・ファイルの更新とロード

v LDAP 複製の使用可能化

v LDAP 用の Tivoli Access Manager の構成

TDBM バックエンド用の DB2 データベースの作成TDBM バックエンド用の DB2 データベースを作成するには、以下の LDAP インストール・ディレクトリーにある README ファイルの指示に従います。

/usr/lpp/ldap/examples/sample_server

ステップは以下のとおりです。

1. コール・レベル・インターフェース (CLI) をバインドします。 CLI は SQL コマンドへの抽象層を提供します。このステップでは、CLI を使用するのに LDAP

サーバーが必要とする環境を確立します。サンプル・サーバーでは、CLI をバインドするジョブ・ファイルが提供されます。アドミニストレーターは、このジョブが実行可能になる前に、ファイルを MVS™ パーティションに移動しなければなりません。このファイルのコピーに関しては、 226ページの『サンプル CLI

バインド・バッチ・ジョブ』を参照してください。

2. CLI 初期設定ファイルを作成します。初期設定ファイルは、LDAP サーバーにCLI 用の機能とデータ・ソースを提供します。このファイルの例は、サンプル・

Novell eDirectory


サーバーと一緒になっています。 LDAP 構成ファイルで、このファイルが参照されています。このファイルのコピーに関しては、 227ページの『サンプル CLI

初期設定ファイル』を参照してください。

3. 新規データベースを作成します。ファイル入力式 SQL 処理プログラム (SPUFI)

スクリプトを使用し、 OS/390 上で DB2 対話機能 (DB2 I) と共に実行して、SQL コマンドを実行します。新規データベースおよび関連する表スペースを作成するには、 218ページの『サンプル DB2 データベースおよび表スペースSPUFI 用スクリプト』にある SPUFI ファイルを実行します。新規データベースの索引を作成するには、 223ページの『サンプル DB2 索引 SPUFI 用スクリプト』にある SPUFI ファイルを実行します。 SPUFI スクリプトを実行するには、DB2 I を呼び出して「基本オプション (Primary Option)」メニューからSPUFI を選択します。

TDBM バックエンド用の LDAP 構成ファイルの作成TDBM バックエンド用の LDAP 構成ファイルを作成するには、 217ページの『サンプル LDAP 構成』にあるサンプル構成ファイルを使用します。以下のエントリーが TDBM で必要となります。

database TDBM GLDBTDBMデータベース・タイプおよびライブラリー名を指定します。このエントリーは、構成ファイルの TDBM セクションの先頭にマークを付けます。

databasename dbname

バックエンドで使用される DB2 データベースの名前を指定します。データベースおよび表スペースを作成する、SPUFI の CREATE DATABASE オプションで指定されます。ステップ 3 (35 ページ) を参照してください。

dsnaoini dataset

DB2 初期設定ファイルを指定します。このファイルの作成に関する詳細は、ステップ 2 (34ページ) を参照してください。このオプションの値は、USERID.FILENAME という形式をとります。

dbuserid userid

DB2 テーブルを所有する OS/390 ユーザーを指定します。 userid は、SPUFI スクリプトを実行するアドミニストレーターと同じです (ステップ2 (34ページ) により)。

servername string

LDAP サーバー用のテーブルを管理する DB2 サーバー・ロケーションの名前を指定します。ストリングは、CLI 初期設定ファイルの DATA SOURCE

スタンザで指定される値です。

attrOverflowSize num_of_bytes

属性のエントリーが、別の DB2 表にロードされる際のサイズを指定します。ラージ・バイナリー・データが別の表スペースに保管されるように値を選択します。

suffix dn_suffix

このバックエンドのサーバーによって管理される、ネーム・スペース内のサブツリーのルートを指定します。使用するレジストリー用の組織サフィックス DN と、Tivoli Access Manager セキュリティー・レジストリー用の DN

を指定する secAuthority=Default の両方を組み込みます。

z/OS および OS/390 セキュリティー・サーバー


以下の追加のエントリーは、ネイティブ認証を使用できるようにするのに必要です。これらのエントリーに関する詳細は、OS/390 LDAP サーバー管理および使用の手引き資料を参照してください。

UseNativeAuth [SELECTED | ALL | OFF]SELECTED オプションは、 ibm-nativeId 属性の値を伴うユーザー・エントリーが SAF で認証されることを指定します。 SELECTED を選択すると、最も柔軟性に富み、管理上の追加の負荷が最小になります。 ALL オプションは、エントリーの UID 属性にあるユーザー名に対して SAF 認証を行うことを指定します (ibm-nativeId 属性が指定されていない場合)。

NativeAuthSubTree dn_suffix

ネイティブ認証を適用する、ネーム・スペースのサブツリーまたはツリーのルートを指定します。

nativeAuthUpdateAllowed YESTivoli Access Manager ユーザーが、Web ベースの pkmspasswd ユーティリティーを使用して、SAF パスワードを更新できるようにします。

サーバーの始動38ページの『LDAP 用の Tivoli Access Manager の構成』で作成した構成ファイルの場所を提供します。 LDAP サーバーは、始動プロセスのときに、いくつかのダイナミック・リンク・ライブラリー (DLL) を検索し、ロードします。 DLL は PDS

ファイル・システムに配置されています。 z/OS シェルから slapd を始動する場合、以下のように、正しい PDS が STEPLIB 環境変数で参照される必要があります。

export STEPLIB=GLD.SGLDLNKexport PATH=$PATH:/usr/lpp/ldap/sbinGLDSLAPD -f slapd.conf

スキーマ・ファイルの更新とロードスキーマ・ファイルを更新してロードするには、まず以下のスキーマ・ファイルを作業ディレクトリーにコピーする必要があります。

v schema.user.ldif

v schema.IBM.ldif

スキーマ・ファイルは、Tivoli Access Manager サービスのデータを編成するのに使用されるオブジェクトおよび属性のほか、SAF ネイティブ認証オブジェクト・クラスを含んでいます。

各スキーマ・ファイルを変更し、LDAP 構成ファイル内の組織識別名 (DN) サフィックスに一致させる必要があります。スキーマの識別名を記述する 1 行を変更する必要があります。

たとえば、各スキーマ・ファイルを編集し、

dn: cn=schema, suffix

を、次のように変更します。

dn: cn=schema,o=tivoli,c=us



これらのエントリーをロードするには、次のように、ldapmodify コマンドを使用します。

ldapmodify -h hostname -p port -D bind_DN -w bind_pwd -f schema_file

注: schema.user.ldif に続けて、schema.IBM.ldif をロードする必要があります。構成されたおのおののサフィックス識別名のスキーマを、再ロードする必要はありません。

新しい LDAP サフィックスへの ACL の適用Tivoli Access Manager がアクセスするすべてのサフィックスについて、次のように、ACL LDIF を適用する必要があります。 cn=securitygroup のメンバーには、新しい restricted 許可があることに注意してください。

ldapmodify コマンドは、次の通りです。

ldapmodify -h hostname -p port -D admin_DN -c -v -f ldif_filename

LDAP 複製の使用可能化このセクションでは、LDAP 複製を使用できるようにする方法について説明しています。 LDAP サーバーは、複製タスクに関してはマスター・スレーブ・モデルで動作します。マスター・サーバーは、スレーブにディレクトリー更新を転送します。スレーブ、または複製サーバーは、読み取り要求のロードを共有し、バックアップ・サーバーの役割を果たすことができます。

デフォルトでは、LDAP サーバーはマスター・サーバーとして実行されるように構成されます。オブジェクトのマスターに 1 つ以上のレプリカ・サーバーの位置の詳細を提供すると、複製が可能になります。

レプリカ LDAP サーバーの構成ファイルへのスタンザの追加レプリカ LDAP サーバーの構成ファイルにスタンザを追加するには、 217ページの『サンプル LDAP 構成』のスタンザ例を参照してください。レプリカ LDAP サーバーが必要とするエントリーは、以下のとおりです。

masterServer ldapURLLDAP URL を ldap://server_name:port という形式で指定します。このオプションは、FQDN およびマスター・サーバーのポートを参照します。

masterServerDN DN38ページの『マスター LDAP サーバーのバックエンドへのオブジェクトの追加』の replicaBindDN に提供する識別名 (DN) を指定します。

<suffix>aclpropagate=TRUEaclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=securitygroup,secauthority=default:object:ad:normal:cwsr:sensitive:cwsr:critical: \cwsr:restricted:cwsraclentry=access-id:<LDAP admin DN>:object:ad:normal:rwsc:sensitive:rwsc:critical:cwsr:restricted:cwsr

<suffix>ownerpropagate=TRUEentryOwner=group:cn=SecurityGroup,secAuthority=DefaultentryOwner=access-id:LDAP admin DN>



masterServerPW string『マスター LDAP サーバーのバックエンドへのオブジェクトの追加』のreplicaCredentials に提供するパスワードを指定します。

マスター LDAP サーバーのバックエンドへのオブジェクトの追加そのようなオブジェクトを表す ldif ファイルの例は、以下のとおりです。

dn: cn=replicasobjectclass: replicaObjectcn: replicasreplicaHost: hostnamereplicaPort: portreplicaBindDn: any_unique_DN_to_bind_withreplicaCredentials: password_to_bind_withdescription:"Description Here"

このオブジェクトは、以下のように、 ldapmodify コマンドを使用してロードできます。


LDAP 用の Tivoli Access Manager の構成ネイティブ認証を使用するには、auth-using-compare をオフにしなければなりません。そのためには、ivmgrd.conf および webseald.conf ファイルの [ldap] スタンザの行を編集し、次のように変更します。

auth-using-compare = no

デフォルトでは、LDAP への認証はバインド操作ではなく比較操作によって行われます。

Tivoli Access Manager は、LDAP フェイルオーバーおよび読み取り操作のロード・バランシングをサポートします。 Tivoli Access Manager 読み取り操作には、認証要求および GSO データの照会が含まれます。レプリカ・サーバーを構成した場合( 37ページの『LDAP 複製の使用可能化』を参照)、レプリカ・ホスト名を Tivoli

Access Manager の ldap.conf ファイル内に提供できます。

ネイティブ認証ユーザー管理追加のネイティブ認証の管理用タスクの大部分は未変更のままです。ユーザー作成、ユーザー表示、ACL エントリーまたはグループへのユーザーの追加といった操作や、全ユーザー変更コマンド (パスワードを除く) は、他の LDAP レジストリーに対して構成された Tivoli Access Manager と同じように動作します。ユーザーは、Web ベースの pkmspasswd ユーティリティーを使用して SAF パスワードを変更できます。

ネイティブ認証では、複数の Tivoli Access Manager ユーザーの SAF ユーザー ID

(複数) を複数から 1 つにマッピングする追加の機能が提供されます。複数のユーザーが同一の ibm-nativeId を持つことができ、全員が同じパスワードへバインドされます。このため、多対 1 にマップされたユーザーが SAF パスワードを変更できないようにした方が賢明な場合もあります (そうしないと、ユーザーが対等ユーザーを誤って自分のアカウントから締め出してしまうおそれが大きくなります)。



pdadmin> group modify SAFusers add user1pdadmin> acl create deny_pkmspdadmin> acl modify deny_pkms set group SAFusers Tpdadmin> acl attach /Webseal/server_name/pkmspasswd deny_pkms

OS/390 LDAP ネイティブ認証バインドには、パスワードをリセットする権限がありません。たとえば、ネイティブ認証が使用可能の場合には、以下の Tivoli Access

Manager 管理コマンドは作動しません。

pdadmin> user modify user1 password ChangeMe1

また、ユーザーが使用できる ibm-nativeId エントリーを設定する、そのまま使えるような管理コマンドはありません。そのため、以下の説明は、nativeId を使用して Tivoli Access Manager ユーザーの管理を支援するものです。

ユーザー作成コマンドには、変更はありません。

pdadmin> user create user1 cn=user1,o=tivoli,c=us user1 user1 ChangeMe1pdadmin> user modify user1 account-valid yes

パスワード (この例では ChangeMe1) は、 LDAP 内のユーザーの userpassword

エントリーに設定され、それはネイティブ認証が使用可能の場合には効力を持ちません。実動の際には、ネイティブ認証が意図せず使用不可になった場合に備え、パスワードをいくらか長くして、容易に推測できないようにしてください。

ユーザー用の ibm-nativeId エントリーを設定するには、以下のような ldif ファイルを作成します。

cn=user1,o=tivoli,c=usobjectclass=inetOrgPersonobjectclass=ibm-nativeAuthenticationibm-nativeId=SAF_username

以下のように、ldapmodify コマンドを使用して ldif ファイルをロードできます。


ユーザーのパスワードをリセットする SAF コマンドは、以下のとおりです。

subsystem_prefix ALTUSER userid PASSWORD password

Active Directory の構成Active Directory を Tivoli Access Manager 用にセットアップするには、以下のタスクをこの順序で実行する必要があります。

1. Active Directory ドメインを作成します。

2. Active Directory ドメインを結合します。

3. Active Directory 管理ユーザーを作成します。

Active Directory ドメインを Tivoli Access Manager 用にセットアップした後、セキュア・ドメインに Tivoli Access Manager システムをセットアップする次のステップに進みます。この手順については、 89ページの『第 7 章 Windows での Tivoli

Access Manager のインストール』を参照してください。 Active Directory を使用する場合は、IBM Directory Client をインストールする必要がないことに注意してくだ



さい。また、ネイティブ・インストール・プロセスのステップ 4 (10ページ) で指定されている順序で Tivoli Access Manager コンポーネントをインストールする必要があります。

Active Directory に関する考慮事項Tivoli Access Manager 用に Active Directory を構成する前に、以下の情報を検討することが重要です。

v Tivoli Access Manager は、Active Directory の単一ドメイン環境または複数ドメイン環境で構成できます。単一ドメイン環境または複数ドメイン環境に関する情報は、以下の Web アドレスの Active Directory 製品資料を参照してください。

http://www.microsoft.com/windows2000/en/server/help/

v 単一ドメイン環境では、非ドメイン・コントローラー・システムは、Tivoli

Access Manager が構成されている同一のドメインを結合する必要があります。複数ドメイン環境では、非ドメイン・コントローラー・システムは Active

Directory ドメインを結合する必要があります。

v Tivoli Access Manager をインストールするのに、簡易インストール・バッチ・ファイルは使用できません。

v セキュリティー・グローバル・グループだけがサポートされます。

v Active Directory ユーザーを Tivoli Access Manager ユーザーとしてインポートするには、 Active Directory ユーザーのログイン名を Tivoli Access Manager ユーザーのユーザー ID として使用します。

v Active Directory のクライアント上に Tivoli Access Manager をインストールして構成した場合 (たとえば、Tivoli Access Manager と Active Directory が別のシステム上にある場合) は、クライアント・システムでドメインを結合してから、アドミニストレーターとしてドメインにサインオンして、クライアント・システムで Tivoli Access Manager 構成を実行する必要があります。

v ネットワーク内の DNS で、クライアント・システムの TCP/IP 設定は、ドメイン・コントローラーのネットワーク TCP/IP 設定と同じでなければなりません。ルート・ドメイン・コントローラーを DNS サーバーとして使用することもできますし、別の DNS を使用することもできます。

v Tivoli Access Manager を単一ドメインで構成し、そのドメインが非ルート・ドメインの場合、ルート・ドメイン・コントローラーで adschema_update.exe を手動で実行する必要があります。

Active Directory ドメインの作成Active Directory 構成ウィザードを使用して、 Windows 2000 サーバー・システムをドメイン・コントローラーにプロモートします。ドメイン・コントローラーを作成すると、Active Directory ドメインも作成されます。

始める前に、新規ドメイン用のドメイン・コントローラーを作成するのか、既存のドメイン用に追加のドメイン・コントローラーを作成するのかを決定しなければなりません。新規ドメイン用のドメイン・コントローラーを作成する場合には、この新規ドメインを以下のいずれかにするかどうかも決める必要があります。

v 新規フォレスト内の第 1 ドメイン

v 既存フォレスト内の新規ドメイン・ツリーの第 1 ドメイン

Active Directory


v 既存のドメイン・ツリー内の子ドメイン

注: DNS の「前方参照ゾーン (Forward Lookup Zones)」に新規ドメイン・ネームがない場合には、新規ドメイン・コントローラーを構成する前に新規ゾーンとして作成する必要があります。ドメイン・コントローラー、ドメイン・ツリー、およびフォレストの詳細については、 Windows 2000 サーバーの資料を参照してください。

ドメインを作成する、または追加のドメイン・コントローラーを既存のドメインに追加するには、以下のステップを実行します。

v 『Active Directory ドメインの結合』

v 43ページの『Active Directory 管理ユーザーの作成』

Active Directory ドメインの結合Active Directory ドメインを作成した後、以下のステップを実行して、Windows

2000 Advanced Server を Active Directory ドメインに結合します。

注: ローカル・システムに管理者としてログオンしており、有効なユーザー名とパスワードを持っていることを確認します。また、クライアントおよびサーバー・システムが同じ DNS 内にあることを確認してから、システムをドメインに追加してください。

1. 「マイコンピュータ」を右マウス・ボタン・クリックしてから、ポップアップ・ダイアログから「プロパティ」をクリックします。「システムのプロパティ」ノートブックが表示されます。

2. 「ネットワーク ID」タブをクリックします。

Active Directory


3. 「プロパティ」をクリックします。「次のメンバ」の下で「ドメイン」を選択し、結合したいドメインの名前を入力します。「OK」をクリックして続行します。

4. 「ドメイン・ユーザー名およびパスワード (Domain Username AndPassword)」ウィンドウで、有効なユーザー名とパスワードを入力して「OK」をクリックし、システムをドメインに結合します。

5. 結合操作が成功すると、次に示すような「ようこそ」ウィンドウが表示されます。「OK」をクリックして続行します。

Active Directory


6. システムのリブートが必要であることを示すダイアログが表示されます。「OK」をクリックして続行します。

7. 「システムのプロパティ」ノートブックが表示され、結合操作が完了したことを示します。「OK」をクリックしてシステムを再始動します。

注: システムを再始動した後、結合したばかりの AD ドメインにサインインしていることを確認します。通常、ローカル・ドメインが Windows 2000 のログイン・ウィンドウのデフォルト・ドメインです。

Active Directory 管理ユーザーの作成Tivoli Access Manager の初期設定用の Active Directory 管理ユーザーを作成するには、以下のステップを実行します。

1. Active Directory サーバー・システムで、「スタート」 → 「プログラム」→ 「管理ツール」→ 「Active Directory ユーザーとコンピュータ (Active DirectoryUsers and Computers)」を選択します。

2. 新規ユーザーを作成し、この新規ユーザーを Administrators、Domain

Admins、Enterprise Admins および Schema Admins のグループに追加します。このユーザーは、単なる Active Directory ユーザーであり、Tivoli Access Manager

ユーザーではありません。 Tivoli Access Manager アドミニストレーター用に予約済みの sec_master 以外は、どの名前もユーザー・ログイン名として選択できます。

Active Directory


Active Directory 複製ドメイン・コントローラーが Active Directory のローカル・コピーに変更を書き込む場合、ドメイン・コントローラーの複製パートナーにその変更を通知すべき時間を判別するタイマーが開始されます。デフォルトでは、その間隔は 300 秒 (5 分)

です。この間隔が経過すると、ドメイン・コントローラーは、各サイト内複製パートナーに伝搬する必要のある変更の通知を開始します。構成可能な別のパラメーターで、通知と通知の間の休止時間を秒数を判別します。このパラメーターを使用すると、複製パートナー同士が同時に応答するのを回避できます。デフォルトでは、この間隔は 30 秒です。これら両方の間隔は、レジストリーを編集すると変更できます。

Active Directory の変更と複製パートナーへの最初の通知との間の遅延を変更するには、「レジストリエディタ」を使用して、以下のレジストリー・キーの「変更後のレプリケーター通知の一時停止 (秒) (Replicator notify pause after modify(secs))」 DWORD 値の値データを変更します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

重要: 「レジストリエディタ」を使用してデータを変更するときは、注意が必要です。誤って使用すると深刻な問題を起こすおそれがあり、オペレーティング・システムの再インストールが必要になる場合もあります。

「変更後のレプリケーター通知の一時停止 (秒) (Replicator notify pause aftermodify (secs))」DWORD 値のデフォルト値データは、16 進形式で 0x12c、10 進数で 300 (5 分) です。

ドメイン・コントローラー間の通知の遅延を変更するには、「レジストリエディタ」を使用して、以下のレジストリー・キーの「DSA 間のレプリケーター通知の一時停止 (秒) (Replicator notify pause between DSAs (secs))」の DWORD 値の値データを変更します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

「DSA 間のレプリケーター通知の一時停止 (秒) (Replicator notify pausebetween DSAs (secs))」の DWORD 値のデフォルト値データは 16 進形式で0x1e、10 進数で 30 (30 秒) です。

注: レジストリーを編集する前に Policy Server を停止し、その後にシステムを再始動する必要があります。

Active Directory 複数ドメインの構成中には、デフォルトで 5 分のデータ伝搬遅延が生じます。非ルート・ドメインに作成されたばかりのユーザーまたはグループは、ユーザー・リスト・コマンドまたはグループ・リスト・コマンドの発行時には不可視かもしれません。同様に、プライマリー・ルート・ドメイン・コントローラーに新規作成されたユーザーまたはグループも、セカンダリー・ルート・ドメインではすぐに可視にならない可能性があります。 Windows 2000 システム・レジストリーの「変更後のレプリケーター通知の一時停止 (Replicator notify pause aftermodify)」および「DSA 間のレプリケーター通知の一時停止 (Replicator notifypause between DSAs)」の値を変更すると、ご使用の環境に最も合う動作に変更できます。

Active Directory


ロータスドミノの構成Domino™ サーバーを Tivoli Access Manager 用のレジストリーとして構成するには、Domino サーバー上に Lotus Notes® クライアントをインストールする必要があります。ドミノサーバーも、使用可能な Lightweight Directory Access Protocol

(LDAP) インターフェースも持っていなければなりません。それによって、Tivoli

Access Manager は、インターネット・パスワードを使用してユーザーを認証できるようになります。システム要件については、IBM Tivoli Access Manager Base 管理者ガイドを参照してください。

ドミノレジストリーを使用する Tivoli Access Manager は、Windows プラットフォームでのみサポートされます。その理由は、Tivoli Access Manager がノーツクライアントを必要とし、Notes クライアントはサポートされている Windows プラットフォーム上でのみ使用可能であるからです。 LDAP 通信が必要となるので、Tivoli

Access Manager システムを使用するには、お客様のシステムに IBM Directory

Client がインストールされている必要もあります。

IBM Directory Client は、ドミノ LDAP サーバーに対してリモート認証を実行するために使用され、ユーザ名およびパスワード情報を検査します。 Notes クライアントは、ユーザー情報の表示や更新など他のすべてのタスクのドメインに (事前定義済みの特権のあるアカウントを使用して) 直接アクセスするのに使用されます。

ドミノサーバーへのロータスノーツクライアントのインストール

Notes クライアントを Domino サーバーにインストールするには、以下のステップに従います。

1. Windows 用の Notes/Domino CD に入っているノーツクライアントのセットアップ・ファイルを実行します。

2. Notes の「インストールオプション」ウィンドウで、「標準インストール(Typical)」を選択してノーツクライアントだけをインストールします。Notes

クライアントのインストールの詳細については、Lotus Notes Installation Guide

を参照してください。

3. インストールが完了してから、ノーツクライアントを立ち上げて構成を実行します。

4. 「Domino Server に接続 (Connect to a Domino Server)」を選択します。

5. 「ネットワーク接続 (LAN 経由) (Network connection (via LAN))」を選択します。

6. 完全修飾されたドミノサーバー名を入力します。たとえば、次のように入力します。

domino1/Tivoli

7. 「自分の名前を ID オプションとして使用する (Use my name asidentification option)」ラジオ・ボタンを選択して、Tivoli Access Manager 管理ユーザー ID (たとえば、AMDaemons) を入力します。 ID ファイルを提供する場合には、「ユーザー ID はファイルで供給する (User ID was suppliedto you in a file)」チェック・ボックスを選択して、 ID ファイルをc:¥lotus¥notes¥data ディレクトリーに配置します。

Domino


8. 続行する場合、「OK」をクリックします。追加の構成情報を入力するプロンプトが出る場合には、すべてデフォルト値を受け入れることができます。「終了(Finish)」をクリックして、ノーツクライアント構成ステップを続行します。

9. 適切なら、「インターネット・プロキシー・サーバーへは接続しない (Do notconnect to an internet proxy server)」ラジオ・ボタンを選択します。

ノーツクライアントがリモートドミノサーバーにアクセスできると、パスワードを入力するプロンプト・ウィンドウが現れます。

10. Tivoli Access Manager 管理ユーザーのパスワードを入力します。パスワードが正しいと、ノーツクライアントは続行して残りの構成を終了させます。

構成が完了すると、管理ユーザーのノーツ ID ファイルはローカル・システムのノーツ・インストール・ディレクトリーにインストールされます。

ドミノ用の Tivoli Access Manager 管理ユーザーの作成1. Domino 管理者ワークスペース GUI から、右側の「ユーザー (People)」メニューを選択します。

2. プルダウン・メニューから「登録 (Register)」を選択します。

3. ドミノサーバーの認証者 ID (デフォルトの場所は C:¥Lotus¥Domino¥data)

を選択します。

4. 認証者のパスワード (これはサーバー構成中に設定されます) を入力します。

5. 「詳細 (Advanced)」チェック・ボックスを選択し、 Tivoli Access Manager 管理ユーザーの情報およびパスワードを入力します。たとえば、次のとおりです。

v 名: PD

v 姓: Daemons

v パスワード: password

6. 「ID 情報 (ID Info)」をクリックしてノーツ ID ファイルがドミノ・ディレクトリーにあることを確かめます。

7. 「ユーザーの追加 (Add person)」ボタンをクリックして、Tivoli Access

Manager 管理ユーザーを登録キューに追加します。ユーザー文書がキューに表示されます。

8. キュー内のユーザー文書を強調表示し、「登録 (Register)」をクリックしてユーザーをドミノサーバーに追加します。

9. 「表示 (View)」メニューから「更新 (Refresh)」をクリックし、Tivoli Access

Manager ユーザーのユーザー文書が Domino サーバー内に作成されたことを確認します。

Domino


第 3 章 AIX での Tivoli Access Manager のインストール

この章では、AIX システムへの Tivoli Access Manager コンポーネントのインストールと構成について説明します。簡易インストール方式とネイティブ・インストール方式の両方について説明します。以下の主なセクションがあります。

v 『簡易インストールの使用』

v 49ページの『ネイティブ・インストールの使用』

v 56ページの『Tivoli Access Manager のアンインストール』

簡易インストールの使用

始める前に

v IBM Tivoli Access Manager for e-business リリース情報にリストされているオペレーティング・システム・パッチをすべてインストールし、リストにあるシステム要件を検討してください。

v Tivoli Access Manager システムを 7ページの『インストール・プロセス』にリストされている順序でセットアップしてあることを確認してください。

v 構成に関して、簡易インストールのときに決定する必要がある事項をよく理解しておいてください。簡易インストールの構成オプションと、ステップごとの図入りの説明については、 115ページの『第 9 章 UNIX 簡易インストールのシナリオ』を参照してください。

セキュア・ドメインの作成、または既存のセキュア・ドメインへのシステムまたはコンポーネントの追加には、簡易インストール・スクリプトを使用します。簡易インストールでは、各ソフトウェア前提条件を一度に自動でインストールできるので、Tivoli Access Manager を簡単にインストールできます。たとえば、ezinstall_ldap_server を実行して IBM Directory Server を Tivoli Access Manager

レジストリーとしてインストールし、構成する場合は、このスクリプトにより、IBM Directory Server と前提となる製品およびパッチがインストールされます。また、簡易インストール・スクリプトは必要な製品がインストールされているとそれを検知し、それらの製品の再インストールを行いません。たとえば、ezinstall_ldap_server を実行したシステム上に Policy Server をセットアップするために ezinstall_pdmgr を実行した場合、GSKit や IBM Directory Client は再インストールされません。

簡易インストール・スクリプトは、最初に、構成情報の入力を求めるプロンプトを表示します。その情報を提供すると、それ以上介入しなくても各コンポーネントがインストールされ、構成されます。これらのコンポーネントを再インストールする必要が生じた場合は、簡易インストール・スクリプトを実行するときに生成される関連応答ファイルを使用することができます。応答ファイルには、入力した構成情報が自動的に保管されるので、それらの情報の再入力は必要ありません。詳細については、 171ページの『第 11 章簡易インストール応答ファイルの使用』を参照してください。


表 3 は、AIX プラットフォーム用の簡易インストール・スクリプトのリストです。すべてのプログラムは、IBM Tivoli Access Manager Base for AIX CD のルート・ディレクトリーに置かれていますが、ezinstall_wpm だけは例外で、これは、 IBM

Tivoli Access Manager Web Portal Manager for AIX CD のルート・ディレクトリーに置かれています。

表 3. AIX 用の簡易インストール・スクリプト

ファイル名説明

ezinstall_ldap_server 以下のソフトウェア・パッケージを使用して IBM Directory

Server システムをセットアップします。

v IBM DB2

v IBM Global Security Toolkit

v IBM HTTP Server

v IBM Directory Client

v IBM Directory Server

注: 既存のバージョンの IBM Directory Server が存在する場合は、このスクリプトを実行する前に、それを除去してください。

ezinstall_pdacld 以下のソフトウェア・パッケージを使用して許可サーバー・システムをセットアップします。





ezinstall_pdauthadk 以下のソフトウェア・パッケージを使用して Tivoli Access

Manager 開発システムをセットアップします。





ezinstall_pdmgr 以下のソフトウェア・パッケージを使用して Tivoli Access

Manager Policy Server システムをセットアップします。





AIX


表 3. AIX 用の簡易インストール・スクリプト (続き)

ファイル名説明

ezinstall_pdwpm 以下のソフトウェア・パッケージを使用して Web Portal

Manager システムをセットアップします。




v IBM WebSphere Application Server アドバンスド・シングル・サーバー版 4.0 および FixPack 3



install_pdrte 以下のソフトウェア・パッケージを使用して Tivoli Access

Manager Runtime システムをセットアップします。




ネイティブ・インストールの使用

始める前に

v IBM Tivoli Access Manager Base 管理者ガイドにリストされているオペレーティング・システム・パッチをすべてインストールし、リストにあるシステム要件を検討してください。

v 7ページの『インストール・プロセス』の説明に従い、そこにリストされている順序で Tivoli Access Manager システムをセットアップしてあることを確認してください。

v 構成に関して、ネイティブ・インストールのときに決定する必要がある事項をよく理解しておいてください。この手順については、 207ページの『UNIX ネイティブ構成オプション』を参照してください。

このセクションには、ネイティブ・オペレーティング・システム・ユーティリティーを使用して Tivoli Access Manager をインストールおよび構成する方法についての情報が記載されています。簡易インストールで使用される自動化されたスクリプトとは異なり、正しい順序で各コンポーネントおよび前提となるソフトウェアを手動でインストールしなければなりません。

このセクションには、以下の主なトピックが含まれています。

v 50ページの『IBM Global Security Toolkit のインストール』

v 50ページの『IBM Directory Client のインストール』

v 51ページの『Tivoli Access Manager コンポーネントのインストールと構成』

v 52ページの『プラットフォーム固有の JRE のインストール』

v 52ページの『Tivoli Access Manager Java Runtime Environment のインストールと構成』

AIX

第 3 章 AIX での Tivoli Access Manager のインストール 49

v 53ページの『Web Portal Manager システムのインストールと構成』

IBM Global Security Toolkit のインストールGSKit を AIX システム上にインストールするには、以下のステップを実行します。

1. システムに root としてログインします。

2. IBM Tivoli Access Manager Base for AIX CD を挿入します。

3. コマンド・プロンプトで、以下のように入力します。

installp -c -a -g -X -d /dev/cd0 gskkm.rte

4. iKeyman ユーティリティーが正しく実行されるようにするためには、以下のAIX 変数を設定しなければなりません。

export JAVA_HOME=path

ここで、path は、Tivoli Access Manager Java Runtime Environment がインストールされているパスです。

GSKit をインストールした後、構成作業は必要ありません。

iKeyman 鍵管理ユーティリティー (gsk5ikm) が GSKit パッケージと共にインストールされることに注意してください。これにより、SSL キー・ファイル、公開鍵と秘密鍵のペア、および証明書要求の作成が可能になります。詳細については、 179

ページの『付録 A. Secure Sockets Layer の使用可能化』、および Secure Sockets

Layer Introduction and iKeyman User’s Guide を参照してください。

IBM Directory Client のインストールIBM Directory Client を AIX システムにインストールするには、以下のステップを実行します。




installp -c -a -g -X -d /dev/cd0 ldap.clientldap.max_crypto_client

IBM Directory Client をインストールした後、構成作業は必要ありません。

AIX


Tivoli Access Manager コンポーネントのインストールと構成

始める前に

v IBM Tivoli Access Manager Base 管理者ガイドにリストされているオペレーティング・システム・パッチをすべてインストールし、リストにあるシステム要件を検討してください。


v 構成に関して、ネイティブ・インストールのときに決定する必要がある事項をよく理解しておいてください。ネイティブの構成オプションについては、207ページの『UNIX ネイティブ構成オプション』を参照してください。

Tivoli Access Manager コンポーネントをインストールするには、以下のステップを実行します。


2. Tivoli Access Manager コンポーネントをインストールするには、以下のいずれかを実行します。

v IBM Tivoli Access Manager Base for AIX CD を挿入します。

v Web Portal Manager コンポーネントの場合に限り、IBM Tivoli Access

Manager Web Portal Manager for AIX CD を挿入します。


installp -c -a -g -X -d /dev/cd0 package

ここで、/dev/cd0 はディレクトリーで、package は以下の 1 つ以上のコンポーネントです。

PD.RTE Tivoli Access Manager Runtime を示します。

PD.Mgr Tivoli Access Manager Policy Server を示します。

PD.AuthADK Tivoli Access Manager Application Development Kit を示します。

PD.Acld Tivoli Access Manager 許可サーバーを示します。

PD.WPM Tivoli Access Manager Web Portal Manager を示します。必ず、53ページの『Web Portal Manager システムのインストールと構成』の説明に従ってください。このコンポーネントは、Web

Portal Manager インストール手順の一部にすぎません。

PDJ.rte Tivoli Access Manager Java Runtime Environment を示します。必ず、 52ページの『Tivoli Access Manager Java Runtime

Environment のインストールと構成』の説明に従ってください。このコンポーネントは、Java Runtime Environment のインストール手順の一部にすぎません。

4. 構成ユーティリティーを開始するために、次のコマンドを入力します。

pdconfig

AIX


「Tivoli Access Manager セットアップ・メニュー (Tivoli Access ManagerSetup Menu)」が表示されます。

5. 「パッケージの構成 (Configure Package)」のメニュー番号を入力します。「Tivoli Access Manager 構成メニュー (Tivoli Access ManagerConfiguration Menu)」が表示されます。インストール済みの Tivoli Access

Manager パッケージのリストが表示されます。

6. 構成するコンポーネントを一度に 1 つずつ選択します。

選択したコンポーネントに応じて、構成オプションを入力するプロンプトが出されます。これらの構成オプションについては、 207ページの『UNIX ネイティブ構成オプション』を参照してください。

7. パッケージが正常に構成されたことを示すメッセージが表示されたら、 Enterを押して他のコンポーネントを構成するか、 x オプションを 2 回選択して構成ユーティリティーをクローズします。

プラットフォーム固有の JRE のインストールプラットフォーム固有の JRE は、Tivoli Access Manager Java Runtime コンポーネントおよび言語サポート・パッケージをインストールするときに必要です。 AIX 用の前提条件 JRE パッケージをインストールするには、以下のコマンドを入力します。

installp -c -a -g -X -d /dev/cd0 Java131.rte

環境変数のパスを設定するために、次のように入力します。

export PATH=jre_path:$PATH

使用しているシステムの JRE レベルがサポートされているかどうかを検査するには、IBM Tivoli Access Manager Base 管理者ガイドを参照してください。

Tivoli Access Manager Java Runtime Environment のインストールと構成

Tivoli Access Manager Java Runtime Environment をインストールして構成するには、以下のステップを実行します。



3. サポートされているプラットフォーム固有の JRE をインストールします。この手順については、『プラットフォーム固有の JRE のインストール』を参照してください。

4. Tivoli Access Manager Java Runtime Environment をインストールするために、次のように入力します。

installp -c -a -g -X -d /dev/cd0 PDJ.rte

5. 現在の JRE 内で使用できるよう Tivoli Access Manager Java Runtime

Environment を構成するために、install_dir/sbin ディレクトリーへ移動して、次のコマンドを入力します。

pdjrtecfg -action config

AIX


注: pdjrtecfg コマンドについて詳しくは、IBM Tivoli Access Manager コマンド・リファレンスを参照してください。

Web Portal Manager システムのインストールと構成Web Portal Manager システムをインストールして構成するには、以下のステップを実行します。

1. GSKit をインストールします。 50ページの『IBM Global Security Toolkit のインストール』を参照してください。

2. IBM Directory Client をインストールします。 50ページの『IBM Directory

Client のインストール』を参照してください。

3. IBM WebSphere Application Server アドバンスド・シングル・サーバー版 4.0

をインストールします。 54ページの『IBM WebSphere Application Server アドバンスド・シングル・サーバーのインストール』を参照してください。

4. IBM WebSphere Application Server FixPack 3 をインストールします。 55ページの『IBM WebSphere Application Server FixPack 3 のインストール』を参照してください。

5. Tivoli Access Manager Java Runtime コンポーネントをインストールします。そのためには、次のように入力します。

installp -c -a -g -X -d /dev/cd0 PDJ.rte

注: Tivoli Access Manager Java Runtime コンポーネントの構成作業は必要ありません。また、プラットフォーム固有の JRE を手動でインストールする必要もありません。 WebSphere はプラットフォーム固有の JRE をインストールし、Tivoli Access Manager Java Runtime Environment を現在の JRE

内で使用できるように構成します。

6. Tivoli Access Manager Runtime および Web Portal Manager コンポーネントをインストールして構成します。 51ページの『Tivoli Access Manager コンポーネントのインストールと構成』を参照してください。

注: Tivoli Access Manager Runtime および Web Portal Manager コンポーネントは、IBM WebSphere Application Server と同じシステムにインストールする必要があります。また、Tivoli Access Manager Runtime をインストールした後に IBM WebSphere Application Server をインストールする場合は、Tivoli Access Manager によってサポートされる GSKit がインストールされていることを確認してください。

7. Web Portal Manager インターフェースを開始する前に、WebSphere Application

Server が実行されていることを確認します。そのためには、/usr/WebSphere/AppServer/bin ディレクトリーにある startServer.sh スクリプトを実行します。

注: 構成プロセスは、SSL 通信用に IBM WebSphere Application Server をポート 443 上に自動的に構成します。

8. SSL サポートは、デフォルトの SSL キー・ファイルおよび stash ファイルを使用して、ご使用のブラウザーと IBM HTTP Server の間で自動的に使用可能になります。これらのファイルは、評価用にのみ提供されています。ユーザーは、独自の証明書を取得し、ご使用のシステムにある以下のファイルを置き換える必要があります。

AIX


/var/PolicyDirector/keytab/pdwpm.kdb

鍵データベース・ファイルを示します。このファイルのパスは、httpd.conf ファイルの中で指定されています。

/var/PolicyDirector/keytab/pdwpm.sth

鍵データベース・パスワードが保管されるファイルを示します。

9. IBM HTTP Server を使用しない LDAP サーバーをインストールしてあり、しかも、同じシステム上に Web Portal Manager をインストールする場合は、必ず Web サーバーのポートを異なるものにしてください。 IBM HTTP Server

のデフォルト・ポートを変更するには、/usr/HTTPServer/conf/httpd.conf ファイルを編集し、次のようにデフォルト・ポートの 80 を 8080 に変更します。

# Port: The port the standalone listens to.Port 8080

10. Web Portal Manager インターフェースにアクセスするには、Web ブラウザーに次のアドレスを入力します。

https://hostname/pdadmin

ここで、hostname は IBM HTTP Server を実行しているホストの名前です。

注: IBM HTTP Server との通信を保護するため、この時点で http でなくhttps を使用する必要があります。

セキュア接続ダイアログが、Web Portal Manager の「ようこそ」画面と共に表示されます。

IBM WebSphere Application Server アドバンスド・シングル・サーバーのインストールIBM WebSphere Application Server アドバンスド・シングル・サーバー版 4.0 をインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager Web Portal Manager for AIX CD を挿入します。

3. CD を入れたドライブの usr/sys/inst.images/WebSphere ディレクトリーへ移動します。


v GUI を使用して IBM WebSphere Application Server をインストールするには、次のように入力します。

./install.sh

v 応答ファイルを使用するには、次のようにして install.sh スクリプトを実行した後、 55ページの『IBM WebSphere Application Server FixPack 3 のインストール』へスキップします。

./install.sh -silent -responseFile ./install.script \-prereqfile ./prereq.properties

「WebSphere Application Server アドバンスド・シングル・サーバー版(WebSphere Application Server, Advanced Single Server Edition)」ウィンドウが表示されます。「次へ (Next)」をクリックして先へ進みます。

AIX


注: 指示のプロンプトが出されたり、エラーが生じる場合に備え、インストール・プロセスの際には画面の表示内容を確認します。

5. 「標準インストール (Typical installation)」(デフォルト選択) を選択し、「次へ (Next)」をクリックします。

6. WebSphere Application Server 宛先ディレクトリーおよび IBM HTTP Server 用のデフォルトのパスが表示されます。サポートされているバージョンの IBM

HTTP Server がすでにシステムにインストールされている場合、この選択項目は表示されません。これらのパスを書き留めておき、「次へ (Next)」を選択してデフォルト値を受け入れます。

注: WebSphere Application Server FixPack 3 のインストールのときに、以下のパスの入力を求められます。デフォルトのパスは以下のとおりです。

v WebSphere Application Server: /usr/WebSphere/AppServer

v IBM HTTP Server: /usr/HTTPServer

選択したインストール方法を示すダイアログが表示されます。「インストール(Install)」を選択して、インストール・プロセスを開始します。

7. IBM WebSphere Application Server が IBM HTTP Server をインストールします。 IBM Tivoli Access Manager Web Portal Manager for AIX CD のルート・ディレクトリーにある次のパッチをインストールする必要があります。そのためには、次のように入力します。

http_1319_efix2.sh

8. FixPack をインストールするには、『IBM WebSphere Application Server FixPack

3 のインストール』を参照してください。

IBM WebSphere Application Server FixPack 3 のインストールIBM WebSphere Application Server FixPack 3 をインストールするには、以下のステップを実行します。

1. WebSphere Application Server、HTTP Server、および LDAP サーバーを停止します (同じシステム上にインストールされている場合)。

2. IBM Tivoli Access Manager Web Portal Manager for AIX CD を挿入します。

3. CD を入れたドライブの /usr/sys/inst.images/WebSphere_PTF3 ディレクトリーへ移動し、次のスクリプトを実行します。

install.sh

4. IBM WebSphere Application Server のホーム・ディレクトリーを入力して、Enter を押します。たとえば、以下のように入力します。

/usr/WebSphere/AppServer

5. 「はい (Yes)」を選択して Application Server を使用します。

6. 「はい (Yes)」を選択して JDK の更新を行います。

7. iPlanet Directory をレジストリーとして使用している場合は、「はい (Yes)」を選択して iPlanet Web サーバーの構成を更新し、WebSphere でサポートされるようにします。それ以外の場合は、「いいえ (No)」を選択します。

8. 「はい (Yes)」を選択して IBM HTTP Server を更新します。

AIX


9. IBM HTTP Server を使用している場合は、IBM HTTP Server のホーム・ディレクトリーを入力して Enter を押します。たとえば、以下のように入力します。

/usr/HTTPServer

10. 「はい (Yes)」を選択して Application Server Logs ディレクトリーを使用します。

11. 「はい (Yes)」を選択して、バックアップを WebSphere Application Server のホーム・ディレクトリーに置きます。

アップグレードが開始されます。プロンプトに「IBM JDK のアップグレード(Upgrading IBM JDK)」というメッセージが表示されます。このアップグレードでは、IBM Developer Kit for AIX® が WebSphere ディレクトリーにインストールされます。このツールキットがシステムのどこかにすでにインストールされている場合でも、競合は起こりません。

アップグレードが完了すると、プロンプトには「エラーが発生せずにインストールが完了しました。詳細についてはアクティビティー・ログを表示してください。任意のキーを押して続行してください。(Installation completed with

no errors. Please view the activity log for details. Press any key to

continue.)」というメッセージが表示されます。

12. 任意のキーを押して続行します。

これで、WebSphere Application Server アドバンスド・シングル・サーバー版4.0、および FixPack 3 がインストールされました。

13. 変更を有効にするには、システムを再始動します。

Tivoli Access Manager のアンインストール

始める前に

v コンポーネントをアンインストールする前に、すべての Tivoli Access

Manager サービスおよびアプリケーションを停止します。

v Tivoli Access Manager Policy Server および Runtime コンポーネントを構成解除する前に、WebSEAL などの Tivoli Access Manager アプリケーションを構成解除します。

v Policy Server システムは、最後に構成解除して除去します。

Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。アップグレード・プロセスのときのように他の方法を指示されているのでなければ、コンポーネントを構成解除してから、それらを除去する必要があります。


v 57ページの『Tivoli Access Manager コンポーネントの構成解除』

v 57ページの『Tivoli Access Manager パッケージの除去』

AIX


Tivoli Access Manager コンポーネントの構成解除Tivoli Access Manager パッケージを除去する前に、コンポーネントが構成解除されていることを確認する必要があります。これを行うには、以下のステップを実行します。


2. 構成ユーティリティーを開始するために、次のように入力します。

pdconfig

「Access Manager for e-business セットアップ・メニュー(AccessManager for e-business Setup Menu)」が表示されます。

3. コンポーネントを構成解除するために、Tivoli Access Manager コンポーネントのメニュー項目番号を入力します。構成解除したいパッケージごとに、この手順を繰り返します。

注:

v コンポーネントが構成されていない場合は、そのコンポーネントを単純に除去できます。『Tivoli Access Manager パッケージの除去』へスキップしてください。

v サーバーを構成解除する場合、LDAP 管理ユーザーの識別名とパスワードを入力するためのプロンプトが出されます。

v Policy Server を構成解除すると、すべての構成情報と許可情報がセキュア・ドメインから除去されます。これには、WebSEAL などの Tivoli Access Manager

アプリケーションによって使用される情報が含まれます。続行するには、y を入力します。

4. Tivoli Access Manager Java Runtime Environment を構成解除するには、pdjrtecfg コマンドを使用します。たとえば、jre_path 変数によって指定されたJRE を構成解除するには、次のように入力します。

pdjrtecfg -action unconfig -java_home jre_path

注: 必ず、構成した JRE ごとに pdjrtecfg コマンドを使用してください。詳しくは、IBM Tivoli Access Manager コマンド・リファレンスを参照してください。

Tivoli Access Manager パッケージの除去コンポーネントを AIX システムから除去するには、以下のステップを実行します。

1. コンポーネントが構成解除されていることを確認します。 57 ページの『Tivoli

Access Manager コンポーネントの構成解除』の指示に従います。

2. 1 つ以上のパッケージおよび従属ソフトウェアを除去するには、以下のように入力します。

installp -u -g package

package は以下のいずれかです。

注: 指定されたパッケージの従属ソフトウェアを除去したい場合にのみ、 -g オプションを使用します。

AIX


PD.AuthADK Tivoli Access Manager Application Development Kit を示します。

PD.Mgr Tivoli Access Manager Policy Server を示します。

PD.Acld Tivoli Access Manager 許可サーバーを示します。

PD.RTE Tivoli Access Manager Runtime を示します。

PDJ.rte Tivoli Access Manager Java Runtime Environment を示します。

PD.WPM Tivoli Access Manager Web Portal Manager を示します。

ldap.client IBM Directory Client を示します。

ldap.max_crypto_clientIBM Directory Client の最高水準の暗号化を示します。

gskkm.rte GSKit を示します。

AIX


第 4 章 HP-UX での Tivoli Access Manager のインストール

この章では、HP-UX システムへの Tivoli Access Manager コンポーネントのインストールと構成について説明します。簡易インストール方式とネイティブ・インストール方式の両方について説明します。以下の主なセクションがあります。





始める前に




セキュア・ドメインの作成、または既存のセキュア・ドメインへのシステムまたはコンポーネントの追加には、簡易インストール・スクリプトを使用します。簡易インストールでは、各ソフトウェア前提条件を一度に自動でインストールできるので、Tivoli Access Manager を簡単にインストールできます。たとえば、ezinstall_pdmgr を実行して Tivoli Access Manager Policy Server システムをセットアップすると、Policy Server コンポーネントと前提となるソフトウェアおよびパッチがインストールされます。また、簡易インストール・スクリプトは必要な製品がインストールされているとそれを検知し、それらの製品の再インストールを行いません。たとえば、すでに install_pdrte でセットアップされているシステムでezinstall_pdacld を実行しても、GSKit、IBM Directory Client、または Tivoli

Access Manager Runtime の再インストールは行われません。



表 4 は、HP-UX プラットフォーム用の簡易インストール・スクリプトのリストです。これらのスクリプトは、IBM Tivoli Access Manager Base for HP-UX CD のルート・ディレクトリーに置かれています。

表 4. HP-UX 用の簡易インストール・スクリプト

スクリプト名説明
























始める前に




HP-UX


このセクションでは、ネイティブ・オペレーティング・システム・ユーティリティーを使用して、 Tivoli Access Manager コンポーネントをインストールし、構成する方法に関する情報を記載しています。簡易インストールで使用される自動化されたスクリプトとは異なり、適切な順序で各コンポーネントおよび必要なパッチを手動でインストールしなければなりません。


v 『IBM Global Security Toolkit のインストール』





IBM Global Security Toolkit のインストールGSKit を HP-UX システム上にインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager Base for HP-UX CD を挿入します。

3. pfs_mountd と pfsd が実行されていなければ、それらを順にバックグラウンドで開始します。 pfs_mount コマンドを使用して CD をマウントします。たとえば、次のように入力します。

/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

/dev/dsk/c0t0d0 は CD デバイス、 /cd-rom はマウント・ポイントです。


swinstall -s /cd-rom/hp gsk5bas

/cd-rom/hp はディレクトリーです。

5. SHLIB_PATH が /usr/lib または /opt/ibm/gsk5/lib に設定されていることを確認してください。設定されていない場合は、次のように入力します。

export SHLIB_PATH=/usr/lib;$SHLIB_PATH

この変数が設定されていないと、Tivoli Access Manager 許可サービスが GSKit

ライブラリーにアクセスできなくなるおそれがあります。


SHLIB_PATH は iKeyman 鍵管理ユーティリティー (gsk5ikm) を実行する場合に必要であり、これは GSKit パッケージと共にインストールされます。これにより、SSL キー・ファイル、公開鍵と秘密鍵のペア、および証明書要求の作成が可能になります。 gsk5ikm の詳細については、 179ページの『付録 A. Secure Sockets

Layer の使用可能化』および Secure Sockets Layer Introduction and iKeyman User’s

Guide を参照してください。

HP-UX

第 4 章 HP-UX での Tivoli Access Manager のインストール 61

IBM Directory Client のインストールIBM Directory Client を HP-UX システムにインストールするには、以下のステップを実行します。

1. このバージョンをインストールする前に、以前の LDAP クライアント・パッケージがあれば、必ずそれらを除去してください。







swinstall -s /cd-rom/hp LDAPClient

ここで、/cd-rom/hp はディレクトリーで、LDAPClient は IBM Directory Client

パッケージの名前です。

6. IBM Tivoli Access Manager Base for HP-UX CD のルート・ディレクトリーから、次のように入力して IBM Directory Client パッチをインストールします。

apply_ldap41_patch.sh



始める前に




Tivoli Access Manager を HP-UX にインストールするには、以下のステップを実行します。




HP-UX





swinstall -s /cd-rom/hp package

/cd-rom/hp はディレクトリー、package は以下の 1 つ以上です。

PDRTE Tivoli Access Manager Runtime を示します。

PDMgr Tivoli Access Manager Policy Server を示します。

PDAuthADK Tivoli Access Manager Application Development Kit を示します。

PDAcld Tivoli Access Manager 許可サーバーを示します。

PDJrte Tivoli Access Manager Java Runtime Environment を示します。必ず、 64ページの『Tivoli Access Manager Java Runtime



pdconfig






8. パッケージが正常に構成されたことを示すメッセージが表示されたら、Enter を押して他のコンポーネントを構成するか、x オプションを 2 回選択して構成ユーティリティーをクローズします。

プラットフォーム固有の JRE のインストールプラットフォーム固有の JRE は、Tivoli Access Manager Java Runtime コンポーネントおよび言語サポート・パッケージをインストールするときに必要です。 HP-UX

用の前提条件の JRE パッケージをインストールするには、次のコマンドを入力します。

swinstall -s /cd_drive/hp rte_13101os11.depot B9789AA

ここで、/cd_drive は CD マウント・ポイントで、/cd_drive/hp はディレクトリーです。


PATH=java_path:$PATH

HP-UX


使用しているシステムの JRE レベルがサポートされているかどうかを検査するには、IBM Tivoli Access Manager for e-business リリース情報を参照してください。





3. pfs_mountd と pfsd が実行されていなければ、それらを順にバックグラウンドで開始します。 pfs_mount コマンドを使用して CD をマウントします。

4. サポートされているプラットフォーム固有の JRE をインストールします。この手順については、 63ページの『プラットフォーム固有の JRE のインストール』を参照してください。

5. Tivoli Access Manager Java Runtime Environment をインストールするために、次のように入力します。

swinstall -s /cd-rom/hp PDJrte

6. 現在の JRE 内で使用できるよう Java Runtime Environment を構成するために、install_dir/sbin ディレクトリーへ移動して、次のコマンドを入力します。

pdjrtecfg -action config -java_home jre_path



始める前に





Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。まずコンポーネントを構成解除し、その後、それらを除去する必要があります。ただし、アップグレード・プロセスのときのように他の方法を指示されている場合は除きます。

このセクションには、以下のトピックが含まれています。



HP-UX


Tivoli Access Manager コンポーネントの構成解除Tivoli Access Manager パッケージを UNIX システムから除去する前に、コンポーネントを構成解除しなければなりません。これを行うには、以下のステップを実行します。



pdconfig


3. 2 を押して「構成解除 (Unconfiguration)」メニューを表示します。その後、構成解除したい Tivoli Access Manager コンポーネントのメニュー項目番号を入力します。構成解除したいパッケージごとに、この手順を繰り返します。

注:

v コンポーネントが構成されていない場合は、そのコンポーネントを単純に除去できます。『Tivoli Access Manager パッケージの除去』へスキップしてください。







Tivoli Access Manager パッケージの除去コンポーネントを HP-UX システムから除去するには、以下のステップを実行します。

1. コンポーネントが構成解除されていることを確認します。『Tivoli Access

Manager コンポーネントの構成解除』の手順に従います。

2. 1 つ以上のパッケージを除去するには、以下のように入力します。

swremove package

package は、以下の 1 つ以上です。

PDAuthADK ADK を示します。




HP-UX


PDJrte Tivoli Access Manager Java Runtime Environment を示します。

LDAPClient IBM Directory Client を示します。

gsk5bas GSKit を示します。

除去前のスクリプトが実行されていることを示すプロンプトが表示されます。各ファイルは除去されるごとにリストされます。

HP-UX


第 5 章 Linux での Tivoli Access Manager のインストール

この章では、Red Hat Linux および Linux on zSeries システムへの Tivoli Access

Manager コンポーネントのインストールと構成について説明します。簡易インストール方式とネイティブ・インストール方式の両方について説明します。以下の主なセクションがあります。

v 68ページの『簡易インストールの使用 (Red Hat Linux のみ)』



表 5 は、サポートされている Tivoli Access Manager コンポーネントとインストール方式のリストです。

表 5. サポートされている Tivoli Access Manager コンポーネント

コンポーネント Red Hat Linux Linux on zSeries

簡易ネイティブ簡易ネイティブ

Tivoli Access Manager Application

Development Kit

U U U

Tivoli Access Manager 許可サーバー

U

Tivoli Access Manager Java

Runtime Environment

U

Tivoli Access Manager Policy

Server

U

Tivoli Access Manager Runtime U U U


簡易インストールの使用 (Red Hat Linux のみ)

始める前に




v 簡易インストール・スクリプトを実行する前に、ksh がインストール済みであることを確認するか、または以下のように bash へのソフト・リンクを作成します。

ln -s /bin/bash /bin/ksh

v コンポーネントをインストールする前に、 nss_ldap-149.1 パッケージまたは他の競合 LDAP パッケージがインストール済みであればそれを除去します。

セキュア・ドメインの作成、または既存のセキュア・ドメインへのシステムまたはコンポーネントの追加には、簡易インストール・スクリプトを使用します。簡易インストールでは、各ソフトウェア前提条件を一度に自動でインストールできるので、Tivoli Access Manager を簡単にインストールできます。たとえば、install_pdrte を実行してランタイム環境をセットアップしてから、別のシステム上で ezinstall_pdauthadk を実行して別個の許可サーバーをインストールする場合もあります。あるいは、両方のスクリプトを実行し、同じシステム上にこれらのコンポーネントをインストールして構成する場合もあります。また、簡易インストール・スクリプトは必要な製品がインストールされているとそれを検知し、それらの製品の再インストールを行いません。


69ページの表 6 は、Red Hat Linux プラットフォーム用の簡易インストール・スクリプトのリストです。これらのスクリプトは、IBM Tivoli Access Manager Base for

Linux CD のルート・ディレクトリーに置かれています。

Linux


表 6. Red Hat Linux 用の簡易インストール・スクリプト














始める前に




このセクションでは、ネイティブ・オペレーティング・システム・ユーティリティーを使用して、Red Hat Linux および Linux on zSeries システムに Tivoli Access

Manager コンポーネントをインストールし、構成する方法に関する情報を記載しています。簡易インストールで使用される自動化されたスクリプトとは異なり、適切な順序で各コンポーネントおよび必要なパッチを手動でインストールしなければなりません。






v 74ページの『Tivoli Access Manager Java Runtime Environment のインストールと構成 (Red Hat Linux のみ)』

Linux

第 5 章 Linux での Tivoli Access Manager のインストール 69

IBM Global Security Toolkit のインストールGSKit を Linux システム上にインストールするには、以下のステップを実行します。


2. SuSE SLES-7 31 ビット・システムの場合のみ: compat-libstdc++ パッケージがインストールされていることを確認します。このパッケージ、つまりcompat.rpm は、GSKit に必要な既存の C++ サポートを提供し、SuSE SLES-7

developer CD 1 の /suse/a1 ディレクトリーに入っています。

注: SuSE SLES-7 64 ビット・システムは、compat-libstdc++ パッケージに同梱されています。

3. IBM Tivoli Access Manager Base for Linux または IBM Tivoli Access Manager

Base for Linux on zSeries の CD を挿入します。


v Red Hat Linux システムの場合は、/mnt/cdrom/linux ディレクトリーへ移動します。ただし、/mnt/cdrom は CD のマウント・ポイントです。

v Linux on zSeries システムの場合は、Tivoli Access Manager Base for Linux on

zSeries の rpm ファイルへのアクセス権を取得します。

注: Linux on zSeries は、この時点では CD ドライブの接続をサポートしていません。必要なファイルを入手するには、次のいずれかを実行します。

– Tivoli Access Manager Base for Linux on zSeries の rpm ファイルを別のワークステーションにロードします。その後、ftp を使用して、これらのファイルを現在のシステムのディレクトリーへ転送します。

– Tivoli Access Manager Base for Linux on zSeries CD を別のワークステーションにマウントします。その後、NFS を使用して、現在のシステムからそれにアクセスします。

5. GSKit をデフォルトの場所にインストールするために、次のようにします。

v Red Hat Linux の場合は、次のように入力します。

rpm -i gsk5bas-5.0.5.46.i386.rpm

v Linux on zSeries の場合は、次のように入力します。

rpm -i gsk5bas-5.0.5.46.s390.rpm

注: GSKit をアップグレードする場合は、-U オプションを使用します。たとえば、次のように入力します。

rpm -U gsk5bas-5.0.5.46.s390.rpm

6. Red Hat Linux システムまたは SuSE SLES-7 31 ビット・システムでは、LD_PRELOAD 環境変数を設定してあることを確認します。そのためには、次のコマンドを入力します。

export LD_PRELOAD=/usr/lib/libstdc++-libc6.1-2.so.3

これは、GSKit および LDAP コマンド行ユーティリティーを使用する前に必要です。

Linux


GSKit をインストールした後、構成作業は必要ありません。 GSKit の詳細については、 179ページの『付録 A. Secure Sockets Layer の使用可能化』、および Secure

Sockets Layer Introduction and iKeyman User’s Guide を参照してください。

IBM Directory Client のインストールIBM Directory Client を Linux システムにインストールするには、以下のステップを実行します。

注: 既存のバージョンの IBM Directory Client があれば、それを除去してからこのバージョンをインストールしてください。


2. nss_ldap-149-1 パッケージまたはその他の競合する LDAP パッケージをインストールしてある場合は、それらを除去してください。




a. Red Hat Linux システムの場合は、/mnt/cdrom/linux ディレクトリーへ移動します。ただし、/mnt/cdrom は CD のマウント・ポイントです。

b. Linux on zSeries システムの場合は、Tivoli Access Manager Base for Linux

on zSeries の rpm ファイルへのアクセス権を取得します。


v Tivoli Access Manager Base for Linux on zSeries の rpm ファイルを別のワークステーションにロードします。その後、ftp を使用して、これらのファイルを現在のシステムのディレクトリーへ転送します。

v Tivoli Access Manager Base for Linux on zSeries CD を別のワークステーションにマウントします。その後、NFS を使用して、現在のシステムからそれにアクセスします。

5. IBM Directory Client をデフォルトの場所にインストールするために、次のようにします。

a. Red Hat Linux の場合は、次のように入力します。

rpm -i ldap-clientd-4.1-1.i386.rpmrpm -i ldap-dmtjavad-4.1-1.i386.rpm

b. Linux on zSeries の場合は、次のように入力します。

rpm -i ldap-clientd-4.1-1.s390.rpm

6. Red Hat Linux システムまたは SuSE SLES-7 31 ビット・システムでは、LD_PRELOAD 環境変数を設定してあることを確認します。そのためには、次のコマンドを入力します。

export LD_PRELOAD=/usr/lib/libstdc++-libc6.1-2.so.3

これは、SSL を使用する GSKit および LDAP コマンド行ユーティリティーを使用する前に必要です。


Linux



始める前に




Red Hat Linux または Linux on zSeries に Tivoli Access Manager コンポーネントをインストールするには、以下のステップを実行します。





a. Red Hat Linux システムの場合は、/mnt/cdrom/linux ディレクトリーへ移動します。ただし、/mnt/cdrom は CD のマウント・ポイントです。

b. Linux on zSeries システムの場合は、Tivoli Access Manager Base for Linux

on zSeries の rpm ファイルへのアクセス権を取得します。


v Tivoli Access Manager Base for Linux on zSeries の rpm ファイルを別のワークステーションにロードします。その後、ftp を使用して、これらのファイルを現在のシステムのディレクトリーへ転送します。

v Tivoli Access Manager Base for Linux on zSeries CD を別のワークステーションにマウントします。その後、NFS を使用して、現在のシステムからそれにアクセスします。

4. コンポーネントをデフォルトの場所にインストールするために、以下のいずれかを入力します。

v Tivoli Access Manager コンポーネントをインストールするには、次のようにします。

rpm -i package

v Tivoli Access Manager コンポーネントをアップグレードするには、次のようにします。

rpm -U package

ここで、package は以下のいずれかです。

v Red Hat Linux の場合:

Linux


PDRTE-PD-4.1.0-0.i386.rpm Tivoli Access Manager Runtime を示します。

PDAuthADK-PD-4.1.0-0.i386.rpmTivoli Access Manager Application

Development Kit を示します。

PDJrte-PD-4.1.0-0.i386.rpm Tivoli Access Manager Java Runtime

Environment を示します。

必ず、 74ページの『Tivoli Access Manager

Java Runtime Environment のインストールと構成 (Red Hat Linux のみ)』の説明に従ってください。このコンポーネントは、Java

Runtime Environment のインストール手順の一部にすぎません。

v Linux on zSeries の場合:

PDRTE-PD-4.1.0-0.s390.rpm Tivoli Access Manager Runtime を示します。

PDMgr-PD-4.1.0-0.s390.rpm Tivoli Access Manager Policy Server を示します。

PDAcld-PD-4.1.0-0.s390.rpm Tivoli Access Manager 許可サーバーを示します。

PDAuthADK-PD-4.1.0-0.s390.rpmTivoli Access Manager Application


注: Linux システムでのアップグレード・プロセスのときは、次のようなメッセージは無視してかまいません。

The Access Manager Runtime is still configured.Please unconfigre the runtime package before uninstalling.

Execution of PDRTE-PD-3.9.0-0 script failed, exit status 1


pdconfig







Linux


プラットフォーム固有の JRE のインストールプラットフォーム固有の JRE は、Tivoli Access Manager Java Runtime コンポーネントおよび言語サポート・パッケージをインストールするときに必要です。 Linux

用の前提条件の JRE パッケージをインストールするには、次のコマンドを入力します。


1. JRE をインストールするために、次のように入力します。

rpm -i IBMJava2-JRE-1.3-10.0.i386.rpm

2. 環境変数のパスを設定するために、次のように入力します。

export PATH=jre_path:$PATH

v Linux for zSeries の場合:

1. JRE を IBM Tivoli Access Manager Language Support CD から入手します。次の IBM Java for Linux サイトから IBM Java Runtime Environment バージョン 1.3.1 をダウンロードすることもできます。

https://www6.software.ibm.com/dl/lxdk/lxdk-p

2. JRE をインストールするために、次のように入力します。

rmp -i IBMJava2-JRE-1.3.1-2.0.s390.rpm

3. JRE が PATH 環境変数によってアクセスできることを確認するために、次のように入力します。

export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH


Tivoli Access Manager Java Runtime Environment のインストールと構成 (Red Hat Linux のみ)

Tivoli Access Manager Java Runtime Environment を Red Hat Linux システムにインストールするには、以下のステップを実行します。

注: このコンポーネントを Linux on zSeries で使用することはできません。


2. IBM Tivoli Access Manager Base for Linux CD を挿入します。

3. ディレクトリー /mnt/cdrom/linux に移動します。 /mnt/cdrom は CD のマウント・ポイントです。


5. Tivoli Access Manager Java Runtime Environment をデフォルトの場所にインストールするために、次のように入力します。

rpm -i PDJrte-PD-4.1.0-0.i386.rpm

6. 現在の JRE 内で使用できるよう Tivoli Access Manager Java Runtime

Environment を構成するために、opt/PolicyDirector/sbin ディレクトリーへ移動して、次のコマンドを入力します。

./pdjrtecfg -action config -java_home jre_path

Linux



Tivoli Access Manager のアンインストールTivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除してから、Tivoli Access Manager パッケージを除去する必要があります。


v 『Tivoli Access Manager コンポーネントの構成解除』


Tivoli Access Manager コンポーネントの構成解除

始める前に





Tivoli Access Manager パッケージを Linux システムから除去する前に、コンポーネントを構成解除しなければなりません。これを行うには、以下のステップを実行します。



pdconfig


3. 2 を押して「構成解除 (Unconfiguration)」メニューを表示します。その後、構成解除したい Tivoli Access Manager コンポーネントのメニュー項目番号を入力します。構成解除したいパッケージごとに、この手順を繰り返します。


/opt/PolicyDirector/sbin/pdjrtecfg -action unconfig -java_home jre_path


Linux


Tivoli Access Manager パッケージの除去コンポーネントを Linux システムから除去するには、以下のステップを実行します。

1. コンポーネントが構成解除されていることを確認します。 75ページの『Tivoli

Access Manager コンポーネントの構成解除』の指示に従います。


rpm -e package



PDAuthADK-PD Tivoli Access Manager Application


PDRTE-PD Tivoli Access Manager Runtime を示します。

ldap_clientd IBM Directory Client を示します。

ldap_dmtjavad Directory Management Tool (DMT) を示します。

gsk5bas-5.0.5.46 GSKit を示します。

v Linux on zSeries の場合:

PDRTE-PD-4.1.1-0 Tivoli Access Manager Runtime を示します。

PDAcld-PD-4.1.0-0 Tivoli Access Manager 許可サーバーを示します。

PDMgr-PD-4.1.0-0 Tivoli Access Manager Policy Server を示します。

PDAuthADK-PD-4.1.0-0 Tivoli Access Manager Application


ldap_clientd-4.1.0-0 IBM Directory Client を示します。

gsk5bas-5.0.5.46 GSKit を示します。

Linux


第 6 章 Solaris での Tivoli Access Manager のインストール

この章では、Solaris システムへの Tivoli Access Manager コンポーネントのインストールと構成について説明します。簡易インストール方式とネイティブ・インストール方式の両方について説明します。以下の主なセクションがあります。





始める前に




セキュア・ドメインの作成、または既存のセキュア・ドメインへのシステムまたはコンポーネントの追加には、簡易インストール・スクリプトを使用します。簡易インストールでは、各ソフトウェア前提条件を一度に自動でインストールできるので、Tivoli Access Manager を簡単にインストールできます。たとえば、ezinstall_ldap_server を実行して IBM Directory Server を Tivoli Access Manager

レジストリーとしてインストールし、構成する場合は、このスクリプトにより、LDAP サーバーと前提となるソフトウェアおよびパッチがインストールされます。また、簡易インストール・スクリプトは必要な製品がインストールされているとそれを検知し、それらの製品の再インストールを行いません。たとえば、ezinstall_ldap_server を実行したシステム上に Policy Server をセットアップするために ezinstall_pdmgr を実行した場合、GSKit や IBM Directory Client は再インストールされません。

簡易インストール・スクリプトは、最初に、構成情報の入力を求めるプロンプトを表示します。その情報を提供すると、それ以上介入しなくても各コンポーネントがインストールされ、構成されます。これらのコンポーネントを再インストールする必要が生じた場合は、簡易インストール・スクリプトを実行するときに生成される関連応答ファイルを使用することができます。応答ファイルには、入力した構成情


報が自動的に保管されるので、それらの情報の再入力は必要ありません。詳細については、 171ページの『第 11 章簡易インストール応答ファイルの使用』を参照してください。

表 7 は、Solaris プラットフォーム用の簡易インストール・スクリプトのリストです。すべてのプログラムは、IBM Tivoli Access Manager Base for Solaris CD のルート・ディレクトリーに置かれていますが、ezinstall_pdwpm だけは例外で、これは、IBM Tivoli Access Manager Web Portal Manager for Solaris CD のルート・ディレクトリーに置かれています。

表 7. Solaris 用の簡易インストール・スクリプト


ezinstall_ldap_server 以下のソフトウェア・パッケージを使用して IBM Directory


v IBM DB2


v IBM HTTP Server


v IBM Directory Server

注: 既存のバージョンの IBM Directory Server が存在する場合は、このスクリプトを実行する前に、それを除去してください。


















Solaris


表 7. Solaris 用の簡易インストール・スクリプト (続き)


ezinstall_pdwpm 以下のソフトウェア・パッケージを使用して Web Portal





v IBM WebSphere Application Server シングル・サーバーおよび FixPack 3









始める前に




このセクションでは、ネイティブ・オペレーティング・システム・ユーティリティーを使用して、 Tivoli Access Manager コンポーネントをインストールし、構成する方法に関する情報を記載しています。簡易インストールで使用される自動化されたスクリプトとは異なり、正しい順序で各コンポーネントおよび前提となるソフトウェアを手動でインストールしなければなりません。








Solaris

第 6 章 Solaris での Tivoli Access Manager のインストール 79

IBM Global Security Toolkit のインストールGSKit を Solaris システム上にインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager Base for Solaris CD を挿入します。

3. /cdrom/cdrom0/solaris ディレクトリーに変更します。

4. 必要な GSKit ファイルをインストールするには、以下のように入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault gsk5bas


iKeyman 鍵管理ユーティリティー (gsk5ikm) が GSKit パッケージと共にインストールされることに注意してください。これにより、SSL キー・ファイル、公開鍵と秘密鍵のペア、および証明書要求の作成が可能になります。 gsk5ikm の詳細については、 179ページの『付録 A. Secure Sockets Layer の使用可能化』およびSecure Sockets Layer Introduction and iKeyman User’s Guide を参照してください。

IBM Directory Client のインストールIBM Directory Client を Solaris システムにインストールするには、以下のステップを実行します。



3. /cdrom/cdrom0/solaris ディレクトリーに変更します。

4. IBM Directory Client をインストールするために、次のように入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapc

5. インストール中に、基本ディレクトリーとして /opt を使用するかどうか尋ねられます。スペースに余裕があれば、/opt を基本インストール・ディレクトリーとして使用してください。 /opt を基本ディレクトリーとして受け入れるには、Enter を押します。



始める前に




Solaris




2. Tivoli Access Manager をリモート・ファイルシステムからインストールしていない場合は、以下のいずれかを実行します。

v IBM Tivoli Access Manager Base for Solaris CD を挿入します。


Manager Web Portal Manager for Solaris CD を挿入します。

3. Tivoli Access Manager パッケージをインストールするために、次のコマンドを入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault package

ここで、-d /cdrom/cdrom0/solaris はパッケージの場所を指定し、 -a

/cdrom/cdrom0/solaris/pddefault はインストール管理スクリプトの場所を示します。

インストール可能なパッケージは以下のとおりです。これらのパッケージの 1

つ以上を以下に示す順序でインストールしなければなりません。





PDWPM Tivoli Access Manager Web Portal Manager を示します。必ず、83ページの『Web Portal Manager システムのインストールと構成』の説明に従ってください。このコンポーネントは、Web

Portal Manager インストール手順の一部にすぎません。

PDJrte Tivoli Access Manager Java Runtime Environment を示します。必ず、 82ページの『Tivoli Access Manager Java Runtime


各パッケージのインストール・プロセスが完了するたびに、以下のメッセージが表示されます。

Installation of package successful.


pdconfig

「Access Manager for e-business セットアップ・メニュー (AccessManager for e-business Setup Menu)」が表示されます。



Solaris




注: インストール・ディレクトリーの入力を求めるプロンプトは表示されません。デフォルト・ディレクトリーは /opt です。


プラットフォーム固有の JRE のインストールプラットフォーム固有の JRE は、Tivoli Access Manager Java Runtime コンポーネントおよび言語サポート・パッケージをインストールするときに必要です。 Solaris

用の前提条件 JRE パッケージをインストールするには、以下のコマンドを入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault SUNWj3rt

ここで、/cdrom/cdrom0/solaris は JRE パッケージが置かれているディレクトリーです。


PATH=jre_path:$PATHexport PATH







4. Tivoli Access Manager Java Runtime Environment をインストールするために、次のコマンドを入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte



5. 現在の JRE 内で使用できるよう Java Runtime Environment を構成するために、install_dir/sbin ディレクトリーへ移動して、次のコマンドを入力します。

pdjrtecfg -action config -java_home jre_path

Solaris




1. GSKit をインストールします。 80ページの『IBM Global Security Toolkit のインストール』を参照してください。

2. IBM Directory Client をインストールします。 80ページの『IBM Directory




4. IBM WebSphere Application Server、FixPack 3 をインストールします。 85ページの『IBM WebSphere Application Server FixPack 3 のインストール』を参照してください。

5. Tivoli Access Manager Java Runtime コンポーネントをインストールします。そのためには、次のように入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte





6. Tivoli Access Manager Runtime および Web Portal Manager コンポーネントをインストールして構成します。 80ページの『Tivoli Access Manager コンポーネントのインストールと構成』を参照してください。



Server が実行されていることを確認します。そのためには、/opt/WebSphere/AppServer/bin ディレクトリーにある startServer.sh スクリプトを実行します。


Solaris








のデフォルト・ポートを変更するには、/usr/HTTPServer/conf/httpd.conf ファイルを編集し、次のようにデフォルト・ポートの 80 を 8080 に変更します。


10. Web Portal Manager を開始するには、Web ブラウザーに次のアドレスを入力します。





IBM WebSphere Application Server アドバンスド・シングル・サーバーのインストールIBM WebSphere Application Server をインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager Web Portal Manager for Solaris CD を挿入します。

3. CD を入れたドライブの /solaris/WebSphere ディレクトリーへ移動します。


v GUI を使用して IBM WebSphere Application Server をインストールするには、次のように入力します。

./install.sh

v 応答ファイルを使用するには、次のようにして install.sh スクリプトを実行した後、 85ページの『IBM WebSphere Application Server FixPack 3 のインストール』へスキップします。

./install.sh -silent -responseFile ./install.script \-prereqfile ./prereq.properties

Solaris


「WebSphere Application Server アドバンスド・シングル・サーバー版v4.0」ウィンドウが表示されます。続行する場合、「次へ (Next)」をクリックします。

注: 指示を入力するためのプロンプトが出される場合や、またはエラーが発生する場合に備え、画面の表示内容を確認します。

5. 「標準インストール (Typical installation)」(デフォルト選択) を選択し、「次へ (Next)」をクリックします。

6. WebSphere Application Server 宛先ディレクトリーおよび IBM HTTP Server 用のデフォルトのパスが表示されます。 IBM HTTP Server がすでにシステムにインストールされている場合、この選択項目は表示されません。これらのパスを書き留めておき、「次へ (Next)」を選択してデフォルト値を受け入れます。

注: WebSphere Application Server FixPack のインストールのときに、以下のパスの入力を求められます。デフォルトのパスは以下のとおりです。

v WebSphere Application Server: /opt/WebSphere/AppServer

v IBM HTTP Server: /opt/IBMHTTPD

選択したインストール方法を示すダイアログが表示されます。「インストール(Install)」を選択して、インストール・プロセスを開始します。

7. IBM WebSphere Application Server が IBM HTTP Server をインストールします。 IBM Tivoli Access Manager Web Portal Manager for Solaris CD のルート・ディレクトリーにある次のパッチをインストールする必要があります。そのためには、次のように入力します。

http_1319_efix2.sh

8. FixPack をインストールするには、『IBM WebSphere Application Server FixPack

3 のインストール』を参照してください。



2. IBM Tivoli Access Manager Web Portal Manager for Solaris CD を挿入します。

3. /usr/sys/inst.images/solaris/WebSphere_PTF3 ディレクトリーへ移動し、次のスクリプトを実行します。

install.sh


/opt/WebSphere/AppServer




Solaris




/opt/IBMHTTP


11. 「はい (Yes)」を選択して、バックアップを WebSphere Application Server のホーム・ディレクトリーに置きます。

アップグレードが開始されます。プロンプトに、「IBM JDK をアップグレードしています (Upgrading IBM JDK)」というメッセージが表示されます。このアップグレードでは、IBM Developer Kit for Solaris が WebSphere ディレクトリーにインストールされます。このツールキットがシステムのどこかにすでにインストールされている場合でも、競合は起こりません。





これで、WebSphere Application Server シングル・サーバー 4.0、およびFixPack 3 がインストールされました。



始める前に









Solaris


Tivoli Access Manager コンポーネントの構成解除Tivoli Access Manager パッケージを UNIX システムから除去する前に、コンポーネントを構成解除しなければなりません。これを行うには、以下のステップを実行します。


2. 以下のディレクトリーに移動します。

cd /opt/PolicyDirector/bin


pdconfig


4. 構成解除したい Tivoli Access Manager コンポーネントに対応するメニュー項目の番号を入力します。コンポーネントを構成したのとは逆の順序でコンポーネントを構成解除しなければなりません。たとえば、以下の順序でコンポーネントを構成解除します。


PDWPM Tivoli Access Manager Web Portal Manager を示します。




5. 構成解除したいパッケージごとに、この手順を繰り返します。

注:

v コンポーネントが構成されていない場合は、そのコンポーネントを単純に除去できます。 88ページの『Tivoli Access Manager パッケージの除去』へスキップしてください。







Solaris


Tivoli Access Manager パッケージの除去コンポーネントを Solaris システムから除去するには、以下のステップを実行します。

1. コンポーネントが構成解除されていることを確認します。コンポーネントを構成解除するには、 87ページの『Tivoli Access Manager コンポーネントの構成解除』の手順に従います。


pkgrm package


PDAuthADK ADK を示します。

PDMgr Policy Server を示します。

PDAcld 許可サーバーを示します。


PDJrte Tivoli Access Manager Java Runtime Environment を示します。

PDWPM Web Portal Manager を示します。

IBMldapc IBM Directory Client を示します。

gsk5bas GSKit を示します。

3. これらのコンポーネントの除去を確認するためのプロンプトが出されたら、 y

を入力します。

除去前のスクリプトが実行されていることを示すプロンプトが表示されます。各ファイルは除去されるごとにリストされます。

Solaris


第 7 章 Windows での Tivoli Access Manager のインストール

この章では、Windows システムへの Tivoli Access Manager コンポーネントのインストールと構成について説明します。簡易インストール方式とネイティブ・インストール方式の両方について説明します。以下の主なセクションがあります。





始める前に



v 構成に関して、簡易インストールのときに決定する必要がある事項をよく理解しておいてください。簡易インストールの構成オプションと、ステップごとの図入りの説明については、 143ページの『第 10 章 Windows 簡易インストールのシナリオ』を参照してください。

セキュア・ドメインの作成、または既存のセキュア・ドメインへのシステムまたはコンポーネントの追加には、簡易インストール・バッチ・ファイルを使用します。簡易インストールでは、各ソフトウェア前提条件を一度に自動でインストールできるので、Tivoli Access Manager を簡単にインストールできます。たとえば、ezinstall_ldap_server.bat を実行して IBM Directory Server を Tivoli Access

Manager レジストリーとしてインストールし、構成する場合は、このプロセスにより、LDAP サーバーと前提となるソフトウェアおよびパッチがインストールされます。また、このプロセスは、必要な製品がインストールされているとそれを検知し、それらの製品の再インストールを行いません。たとえば、ezinstall_ldap_server.bat を実行したシステム上にポリシー・サーバーをセットアップするために ezinstall_pdmgr.bat を実行した場合、GSKit や IBM Directory

Client は再インストールされません。

簡易インストール・ファイルは、最初に、構成情報の入力を求めるプロンプトを表示します。その情報を提供すると、それ以上介入しなくても各コンポーネントがインストールされ、構成されます。これらのコンポーネントを再インストールする必要が生じた場合は、簡易インストール・スクリプトを実行するときに生成される関連応答ファイルを使用することができます。応答ファイルには、入力した構成情報


が自動的に保管されるので、それらの情報の再入力は必要ありません。詳細については、 171ページの『第 11 章簡易インストール応答ファイルの使用』を参照してください。

Windows システム上での簡易インストール・プロセスでは、何度かシステムの再始動が必要になることに注意してください。インストール・プロセス中に、一部のサービスが開始しなかったという通知を受け取る場合もあります。アクションは不要です。インストール・プロセスを続行してください。

表 8 は、Windows プラットフォーム用の簡易インストール・スクリプトのリストです。すべての簡易インストール・ファイルは、IBM Tivoli Access Manager Base for

Windows のルート・ディレクトリーに置かれていますが、ezinstall_pdwpm.bat ファイルだけは例外で、これは、IBM Tivoli Access Manager Web Portal Manager for

Windows CD のルート・ディレクトリーに置かれています。

表 8. Windows 用の簡易インストール・プログラム


ezinstall_ldap_server.bat 以下のソフトウェア・パッケージを使用して IBM Directory


v IBM DB2


v IBM HTTP Server

v IBM Directory Server (IBM Directory Client が含まれています)

注: 既存のバージョンの IBM Directory Server が存在する場合は、このプログラムを実行する前に、それを除去してください。

ezinstall_pdacld.bat 以下のソフトウェア・パッケージを使用して許可サーバー・システムをセットアップします。



v Access Manager Runtime

v Access Manager 許可サーバー

ezinstall_pdauthadk.bat 以下のソフトウェア・パッケージを使用して Tivoli Access





v Access Manager Application Developer Kit

ezinstall_pdmgr.bat 以下のソフトウェア・パッケージを使用して Tivoli Access





v Access Manager Policy Server

Windows


表 8. Windows 用の簡易インストール・プログラム (続き)


ezinstall_pdwpm.bat 以下のソフトウェア・パッケージを使用して Web Portal





v IBM WebSphere Application Server シングル・サーバーおよび FixPack 3


v Access Manager Java Runtime

install_pdrte.exe 以下のソフトウェア・パッケージを使用して Tivoli Access






始める前に



v 構成に関して、ネイティブ・インストールのときに決定する必要がある事項をよく理解しておいてください。ネイティブの構成オプションについては、210ページの『Windows ネイティブ構成オプション』を参照してください。

このセクションでは、ネイティブ・オペレーティング・システム・ユーティリティーを使用して、 Tivoli Access Manager コンポーネントをインストールし、構成する方法に関する情報を記載しています。簡易インストールで使用される自動化されたスクリプトとは異なり、各コンポーネントおよび必要なパッチを手動でインストールしなければなりません。







Windows

第 7 章 Windows での Tivoli Access Manager のインストール 91


IBM Global Security Toolkit のインストールGSKit を Windows システム上にインストールするには、以下のステップを実行します。

1. 管理者特権のあるユーザーとしてシステムにログインします。

2. IBM Tivoli Access Manager Base for Windows CD を挿入します。

3. コマンド・プロンプトから、CD が入っているドライブ上の windows¥gskit ディレクトリーに変更し、以下のように入力します。

setup.exe PolicyDirector

「ようこそ (Welcome)」ダイアログが表示されます。

4. 「次へ (Next)」をクリックします。「宛先ロケーションの選択 (Choose

Destination Location)」ダイアログが表示されます。

5. デフォルトの宛先ディレクトリーを受け入れるか、または「ブラウズ(Browse)」をクリックしてローカル・システム上の他のディレクトリーへのパスを選択します。そのディレクトリーが存在しない場合は、そのディレクトリーを作成することを確認するか、または存在するディレクトリーを指定します。

6. 「次へ (Next)」をクリックして、GSKit をインストールします。「セットアップの完了 (Setup Complete)」ダイアログが表示されます。

7. 「終了 (Finish)」をクリックして、インストール・プログラムを終了します。

8. システムを再始動します。


iKeyman 鍵管理ユーティリティー (gsk5ikm) が GSKit パッケージと共にインストールされることに注意してください。これにより、SSL キー・ファイル、公開鍵と秘密鍵のペア、および証明書要求の作成が可能になります。 gsk5ikm の詳細については、 179ページの『付録 A. Secure Sockets Layer の使用可能化』およびSecure Sockets Layer Introduction and iKeyman User’s Guide を参照してください。

IBM Directory Client のインストールIBM Directory Client を Windows システムにインストールするには、以下のステップを実行します。

注: ユーザー・レジストリーとして Active Directory をインストールした場合、IBM

Directory Client は必要ありません。



3. 以下のディレクトリーにある setup.exe ファイルを実行します。

windows\Directory\ismp

「セットアップ言語の選択 (Choose Setup Language)」ダイアログが表示されます。

4. インストールに使用したい言語を選択して、「OK」をクリックします。

Windows


5. 「ようこそ (Welcome)」ダイアログが表示されます。「次へ (Next)」をクリックして続行します。

6. ご使用条件を読んでください。条件に同意することを選択し、「次へ (Next)」をクリックします。

7. 実行中の Windows プログラムがすべてクローズされたことを確認してから、「次へ (Next)」をクリックして続行します。すでにインストールされているパッケージと、必要な処置があれば、それを示すダイアログが表示されます。要件を満たし、「次へ (Next)」をクリックします。

8. 「次へ (Next)」をクリックして、IBM Directory を指定されたデフォルト・ディレクトリーへインストールします。別のディレクトリーを指定するには、ディレクトリー・パスを入力するか、「ブラウズ (Browse)」をクリックしてディレクトリーを選択します。

9. IBM Directory 用の言語を選択し、「次へ (Next)」をクリックします。

10. 「標準 (Typical)」を選択して IBM Directory をインストールします。

Windows


11. Client SDK と Directory Management Tool (DMT) のインストールを選択して、「次へ (Next)」をクリックします。

12. 現行の設定を確認してから、「次へ (Next)」をクリックしてファイルのコピーを開始します。

13. ファイルがインストールされた後、README ファイルが表示されます。README を検討した後、「次へ (Next)」をクリックして続行します。

14. すぐにシステムを再始動するか、または後で再始動するかを選択してから、「次へ (Next)」をクリックします。



始める前に



v 構成に関して、ネイティブ・インストールのときに決定する必要がある事項をよく理解しておいてください。ネイティブの構成オプションについては、210ページの『Windows ネイティブ構成オプション』を参照してください。


1. Windows 管理者特権を持つユーザーとして Windows ドメインにログインします。

Windows


2. Tivoli Access Manager コンポーネントをインストールするには、以下のいずれかを実行します。

v IBM Tivoli Access Manager Base for Windows CD を挿入します。


Manager Web Portal Manager for Windows CD を挿入します。

3. 以下のディレクトリーにある setup.exe ファイルを実行します。

windows\PolicyDirector\Disk Images\Disk1

「言語セットアップの選択 (Choose Language Setup)」ダイアログが表示されます。

4. インストールに使用したい言語を選択して、「OK」をクリックします。「ようこそ (Welcome)」ダイアログが表示されます。

5. 「次へ (Next)」をクリックします。「ご使用条件 (License Agreement)」ダイアログが表示されます。

6. ご使用条件を読み、その条件を受け入れるのであれば「はい (Yes)」をクリックします。「パッケージの選択 (Select Packages)」ダイアログが表示されます。

7. システムにインストールしたいパッケージを選択して、「次へ (Next)」をクリックします。 Tivoli Access Manager Runtime または Java Runtime Environment

のインストールを選択した場合は、「Tivoli Access Manager Runtime のセットアップ (Tivoli Access Manager Runtime Setup)」ダイアログが表示されます。Runtime のセットアップ・ファイルをインストールしたい宛先フォルダーを選択し、「次へ (Next)」をクリックします。

インストールが完了すると、「Tivoli Access Manager のインストールが完了(Tivoli Access Manager Installation Complete)」ダイアログが表示されます。

重要Tivoli Access Manager Web Portal Manager または Java Runtime

Environment コンポーネントをインストールするには、必ず、 97ページの『Web Portal Manager システムのインストールと構成』または 96ページの『Tivoli Access Manager Java Runtime Environment のインストールと構成』の説明に従ってください。


9. システムを再始動した後、「スタート」→「プログラム」→「Access Managerfor e-business」→「構成 (Configuration)」を順に選択します。「Access

Manager for e-business の構成 (Access Manager for e-business Configuration)」ダイアログが表示されます。

10. 構成するコンポーネントを選択して、「構成 (Configure)」をクリックします。各コンポーネントを個別に、かつリストされている順序で構成する必要があります。

11. 選択したコンポーネントに応じて、構成オプションを入力するプロンプトが出されます。これらの構成オプションについては、 210ページの『Windows ネイ

Windows


ティブ構成オプション』を参照してください。構成が完了した後、「Access

Manager for e-business の構成 (Access Manager for e-business Configuration)」ダイアログが再び表示されます。

12. 選択を確認して、「終了 (Finish)」をクリックします。「Access Manager for

e-business の構成 (Access Manager for e-business Configuration)」ダイアログが表示されます。他のコンポーネントをリストから選択して構成するか、または「クローズ (Close)」をクリックしてツールを終了します。

プラットフォーム固有の JRE のインストールプラットフォーム固有の JRE は、Tivoli Access Manager Java Runtime コンポーネントおよび言語サポート・パッケージをインストールするときに必要です。

Tivoli Access Manager 同梱の、サポートされている JRE パッケージをインストールするには、次のようにします。

1. CD を入れたドライブの \windows\JRE ディレクトリーへ移動し、次のように入力します。

install

2. オンラインの指示に従ってください。Java Runtime Environment を System JVM

としてインストールするようプロンプトが出されたら、「はい (Yes)」をクリックします。

3. 環境変数のパスを設定するために、次のように入力します。

set PATH=install_dir;%PATH%

たとえば、IBM Developer Kit for Windows, Java 2 Technology Edition, Version

1.3.1 を C ドライブのデフォルトのディレクトリーにインストールした場合、次のように入力します。

set PATH=C:\Program Files\IBM\Java131\jre;%PATH%



1. Windows 管理者特権を持つユーザーとして Windows ドメインにログインします。



4. Tivoli Access Manager Java Runtime Environment をインストールするために、次のディレクトリーにある setup.exe ファイルを実行します。

windows\PolicyDirector\Disk Images\Disk1\PDJRTE\Disk Images\Disk1



Windows


6. 「ようこそ (Welcome)」画面が表示されます。「次へ (Next)」をクリックして先に進みます。

7. ご使用条件を読み、その条件を受け入れるのであれば「はい (Yes)」をクリックします。サポートされるランタイム環境をインストールしていない場合には、「宛先ロケーションの選択 (Choose Destination Location)」ダイアログが表示されます。

8. デフォルトの宛先ディレクトリーを受け入れるか、または「ブラウズ(Browse)」をクリックしてローカル・システム上の他のディレクトリーへのパスを選択します。そのディレクトリーが存在しない場合は、そのディレクトリーを作成することを確認するか、または存在するディレクトリーを指定します。

9. 宛先フォルダーへのファイルのコピーを開始するには、「次へ (Next)」をクリックします。設定値を検討または変更する場合には、「戻る (Back)」をクリックします。

「セットアップの状況 (Setup Status)」ダイアログが表示されます。

10. ランタイムのインストールが完了したら、「はい (Yes)」を選択して、コンピューターを再始動します。

11. 現在の JRE 内で使用できるよう Java Runtime Environment を構成するために、install_dir¥sbin ディレクトリーへ移動して、次のコマンドを入力します。

pdjrtecfg -action config



1. GSKit をインストールします。92 ページの『IBM Global Security Toolkit のインストール』を参照してください。

2. IBM Directory Client をインストールします。92 ページの『IBM Directory




4. IBM WebSphere Application Server、FixPack 3 をインストールします。101 ページの『IBM WebSphere Application Server FixPack 3 のインストール』を参照してください。

5. Tivoli Access Manager Java Runtime コンポーネントをインストールします。そのためには、次のディレクトリーにある setup.exe ファイルを実行します。

windows\PolicyDirector\Disk Images\Disk1

オンラインの指示に従って、Access Manager Java Runtime パッケージをインストールします。

Windows




6. Tivoli Access Manager Runtime および Web Portal Manager コンポーネントをインストールして構成します。94 ページの『Tivoli Access Manager コンポーネントのインストールと構成』を参照してください。



Server が実行されていることを確認します。そのためには、「スタート」→「プログラム」→「IBM WebSphere」→「Application Server 4.0」→「アプリケーション・サーバーの開始 (Start Application Server)」を順にクリックします。



C:¥Program Files¥Tivoli¥Policy Director¥keytab¥pdwpm.kdb


C:¥Program Files¥Tivoli¥Policy Director¥keytab¥pdwpm.sth



のデフォルト・ポートを変更するには、C:¥Program Files¥IBM HTTP

Server¥conf¥httpd.conf ファイルを編集し、次のようにデフォルト・ポートの80 を 8080 に変更します。


10. Web Portal Manager を開始するには、Web ブラウザーに次のアドレスを入力します。



Windows




IBM WebSphere Application Server アドバンスド・シングル・サーバーのインストールIBM WebSphere Application Server をインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager Web Portal Manager for Windows CD を挿入します。

3. CD を入れたドライブの windows¥WebSphere ディレクトリーへ移動し、次のように入力します。

setup.exe



5. 実行中の Windows プログラムがすべてクローズされたことを確認してから、「次へ (Next)」をクリックして続行します。

6. 「標準インストール (Typical Installation)」 (デフォルト選択項目) を選択し、「次へ (Next)」をクリックします。

7. 「セキュリティー・オプション (Security Options)」ウィンドウでユーザー名とパスワードを入力し、「次へ (Next)」を選択します。これは、WebSphere 用のユーザー名およびパスワードであり、ローカル・システム上のユーザー ID およびパスワードでなければなりません。

Windows


8. InstallShield プログラムは、 WebSphere Application Server 宛先ディレクトリーおよび IBM HTTP Server 用のデフォルトのパスを表示します。IBM HTTP

Server がすでにシステムにインストールされている場合、この選択項目は表示されません。「次へ (Next)」を選択して、これらのデフォルトを受け入れます。

注: これらのパスを書き留めておいてください。WebSphere Application Server

のインストールのときに、これらのパスの入力を求められます。デフォルトのパスは以下のとおりです。

v WebSphere Application Server: C:¥WebSphere¥AppServer

v IBM HTTP Server: C:¥IBM HTTP Server (WebSphere インストールの一部としてインストールされた場合) または c:¥Program Files¥IBM HTTP

Server (Web Portal Manager の一部としてインストールされた場合)

9. Windows プログラム・フォルダーの位置を選択します。デフォルトは、IBMWebSphere¥Application Server V4.0 AES です。「次へ (Next)」を選択します。

Windows


インストール・プロセスが開始されます。

10. インストールが完了すると、Windows の再始動を求められます。「いいえ、後でコンピュータを再起動します。(No, do not restart Windows)」を選択します。FixPack 3 をインストールした後に、システムを再始動します。

11. IBM WebSphere Application Server が IBM HTTP Server をインストールします。 IBM Tivoli Access Manager Web Portal Manager for Windows CD のルート・ディレクトリーにある次のパッチをインストールする必要があります。そのためには、次のように入力します。

http_1319_efix2.bat install_path

ここで、install_path には IBM HTTP Server のインストール・パスを指定します。デフォルトのパスは、C:¥Program Files¥IBM HTTP Server です。

12. FixPack をインストールするには、『IBM WebSphere Application Server

FixPack 3 のインストール』を参照してください。



2. IBM Tivoli Access Manager Web Portal Manager for Windows CD を挿入します。

3. コマンド・プロンプトから、CD のあるドライブの windows¥WebSphere¥ptf403

ディレクトリーへ移動します。

4. ptf403 ディレクトリーの内容を、ご使用のシステムの一時ディレクトリーにコピーし、次のバッチ・ファイルを実行します。

install.bat


C:\WebSphere\AppServer


Windows






C:\Program Files\IBM HTTP Server


12. 「はい (Yes)」を選択して、バックアップを WebSphere Application Server のホーム・ディレクトリーに置きます。アップグレードが開始されます。プロンプトに、「IBM JDK をアップグレードしています (Upgrading IBM JDK)」というメッセージが表示されます。このアップグレードでは、IBM Developer Kit

for Windows が WebSphere ディレクトリーにインストールされます。このツールキットがシステムのどこかにすでにインストールされている場合でも、競合は起こりません。





これで、WebSphere Application Server シングル・サーバー 4.0、およびFixPack 3 がインストールされました。



始める前に


Manager アプリケーションを停止します。




Windows



v 『Tivoli Access Manager コンポーネントの構成解除』


Tivoli Access Manager コンポーネントの構成解除Windows システムで Tivoli Access Manager コンポーネントを構成解除するには、以下のステップを実行します。

注: すでに Tivoli Access Manager コンポーネントの構成解除を行った場合は、この構成解除プロセスでは、アドミニストレーター名とパスワード情報を求めるプロンプトは出されません。構成ユーティリティーは、この情報をキャッシュに入れています。

1. 管理者特権を持つ Windows ユーザーとしてログインします。

2. ご使用のレジストリー・サーバーと Policy Server が実行されていることを確認します (Tivoli Access Manager Policy Server をアンインストールする場合は除きます)。

3. 「スタート」→「プログラム」→「Access Manager for e-business」→「構成(Configuration)」を順に選択するか、コマンド・プロンプトから pdconfig コマンドを入力します。

4. 「Access Manager for e-business の構成 (Access Manager for e-business

Configuration)」ダイアログから、リストされている Tivoli Access Manager コンポーネントの 1 つをクリックします。コンポーネントは以下の順序で構成解除する必要があります。




v Access Manager Web Portal Manager

注: Active Directory レジストリー・ユーザーの場合に限り、Tivoli Access

Manager Policy Server を構成解除する前に、管理コンソール・アプリケーションがクローズされていることを確認してください。

5. 「構成解除 (Unconfigure)」をクリックします。

6. 許可サーバーの構成解除を選択した場合は、セキュリティー・マスター・パスワードを指定します。

7. Policy Server の構成解除を選択した場合は、LDAP アドミニストレーター名(cn=root など) と該当するパスワードを入力します。このパッケージを構成解除するとセキュア・ドメイン内のすべての Tivoli Access Manager サーバーに関する構成情報と許可情報が除去されることを示す警告メッセージが表示されます。除去するには「はい (Yes)」をクリックします。このタスクを終了するには「いいえ (No)」をクリックします。

8. 他のコンポーネントを構成解除するには、ステップ 4 から 7 を繰り返します。



Windows



Tivoli Access Manager パッケージの除去コンポーネントを Windows システムから除去するには、以下のステップを実行します。

1. 管理者特権を持つ Windows ユーザーとしてログインします。

2. 「スタート (Start)」→「設定 (Settings)」→「コントロールパネル (ControlPanel)」を選択してから、「プログラムの追加と削除 (Add/RemovePrograms) 」アイコンをクリックします。

3. 以下のコンポーネントのいずれかを選択して、「変更/削除」をクリックします。

v IBM Directory V4.1.1


v Access Manager Application Development Kit

v Access Manager Java Runtime Environment



v Access Manager Web Portal Manager

v WebSphere Application Server

「言語セットアップの選択 (Choose Language Setup)」ダイアログが表示されます。

4. Tivoli Access Manager 除去プロセスに使用したい言語を選択して、「OK」をクリックします。

5. 「コンポーネントの除去を確認します (Confirm Component Removal)」メッセージ・ボックスから、「はい (Yes)」をクリックします。

Tivoli Access Manager コンポーネントが除去されます。

6. リストから他のコンポーネントを選択するか、または「OK」をクリックして、このプログラムを終了します。

7. ご使用のシステムから GSKit を除去するには、以下のコマンドを入力します。

isuninst -f"c:\program files\ibm\gsk\ibm\gsk5\gsk5bui.isu"

ここで、c:¥program files¥ibm¥gsk¥ibm¥gsk5 は、gsk5BUI.isu ファイルがある完全修飾パスです。

注: その他の Tivoli Access Manager コンポーネントに類似した「アプリケーションの追加と削除 (Add/Remove Programs)」アイコンを使用して GSKit

をアンインストールすることはできません。

Windows


第 8 章 Tivoli Access Manager バージョン 4.1 へのアップグレード

この章では、Tivoli Access Manager のバージョン 3.8 およびバージョン 3.9 システムを Tivoli Access Manager バージョン 4.1 にアップグレードする方法について説明します。以下の手順は、本資料の発行の時点におけるコンポーネントについての推奨ステップです。アップグレード・プロセスに関するシステム要件および最新情報については、Tivoli Customer Support Web サイトの IBM Tivoli Access

Manager for e-business リリース情報を参照してください。

注: Tivoli SecureWay Policy Director バージョン 3.7.x またはそれより前のソフトウェアからセキュア・ドメインをアップグレードしたい場合は、最初に Tivoli

Access Manager バージョン 3.8 または 3.9 にアップグレードしてからバージョン 4.1 をインストールする必要があります。

この章は、以下のセクションに分かれています。

v 『LDAP レジストリーでのアップグレードに関する考慮事項』

v 106ページの『Policy Server システムのアップグレード』

v 108ページの『2 つのシステムを使用した Policy Server のアップグレード』

v 110ページの『他の Tivoli Access Manager システムのアップグレード』

v 112ページの『既存の Policy Server の使用終了』

バージョン 3.8 またはバージョン 3.9 の Policy Server からのアップグレードを計画している場合には、同じ Policy Server システム上でアップグレードするか、2 つのシステム、すなわち、現在の Policy Server システムと 2 番目のバージョン 4.1

用のクリーンなシステムを使用するかを選択することができます。この 2 つのシステムのアプローチを使うと、2 番目のバージョン 4.1 の Policy Server システムをセットアップしてテストしている間、現在の Policy Server を継続して機能させることができます。 2 つのシステムを使用したアップグレードで問題が起きたら、バージョン 4.1 サーバーをオフラインにすれば済みます。

LDAP レジストリーでのアップグレードに関する考慮事項バージョン 4.1 にアップグレードする前に、以下の考慮事項を検討してください。

v バージョンをアップグレードする際の標準的な予防措置として、作業を始める前に、Tivoli Access Manager のすべてのサーバーのバックアップを必ずとってください。また、LDAP データのバックアップとその後の復元には、LDAP コマンドを使用することをお勧めします。この手順については、LDAP 製品の資料を参照してください。

v セキュア・ドメイン内のすべてのシステムをバージョン 4.1 レベルにアップグレードすることが必要なわけではありません。バージョン 4.1 の Policy Server と後方互換性のあるバージョン 3.8 および 3.9 システムのリストについては、IBM

Tivoli Access Manager for e-business リリース情報を参照してください。


v アップグレード・プロセスでは、レジストリー・タイプの変更はサポートされません。たとえば、LDAP レジストリーから Domino レジストリーにアップグレードすることはできません。

v 既存の Tivoli Access Manager アプリケーションがインストールされているシステムをアップグレードする場合、アップグレード・プロセス中の追加の要件および推奨事項について、Tivoli Support Web サイトにあるアプリケーションの資料を参照してください。

v UNIX システムにだけ、以下が当てはまります。

– すべてのコマンドは root ユーザーとして実行します。

– 一時ディレクトリーは /tmp です。

– インストール・パスは、/opt/PolicyDirector と /var/PolicyDirector です。

v Windows システムにだけ、以下が当てはまります。

– コマンドは Administrator グループに所属するユーザーが実行します。

– 一時ディレクトリーは TMP 変数で指定される値です。 TMP 変数が存在しない場合は、TEMP 変数によって指定された値が使用されます。これらの変数がどちらも設定されていない場合は、system ディレクトリーが一時ディレクトリーになります。

– インストール・パスは決まっておらず、インストール時に指定されたディレクトリーによって決まります。

– レジストリーのアップグレードは、Tivoli Access Manager のアップグレードの前か後の任意の時点で行うことができますが、Tivoli Access Manager コンポーネントを備えたシステムに IBM Directory Server がインストールされている場合は除きます。その場合は、IBM Directory Client のアップグレードと同時にレジストリーをアップグレードする必要があります。

Policy Server システムのアップグレード既存の Policy Server システムを Tivoli Access Manager バージョン 4.1 にアップグレードするには、以下のステップを実行します。

1. すべての Tivoli Access Manager サービスを停止するために、以下のいずれかを行います。

v Windows システムでは、「スタート」→ 「設定」→「コントロールパネル」→「管理ツール」(Windows 2000 のみ) を選択してから、「サービス」アイコンをダブルクリックします。 WebSEAL などのアプリケーションも含め、ローカル・システム上で実行中のすべての Tivoli Access Manager サービスを停止します。

v UNIX システムでは、pd_start コマンドを使用します。たとえば、次のように入力します。

pd_start stop

すべての Tivoli Access Manager サービスおよびアプリケーションが停止したことを確認するには、ps コマンドを実行します。まだ実行中の Tivoli Access

Manager サービスまたはアプリケーションがある場合は、kill コマンドを実行します。

Tivoli Access Manager バージョン 4.1 へのアップグレード


2. Tivoli Access Manager バージョン 4.1 およびその前提条件製品に必要なすべてのオペレーティング・システムのパッチをインストールします。前提条件製品と必要なオペレーティング・システムのパッチについての情報は、 IBM Tivoli

Access Manager for e-business リリース情報のソフトウェア要件を参照してください。

3. サポートされているバージョンの IBM Global Security Toolkit (GSKit) をインストールし、IBM Directory Client をアップグレードします。手順については、お使いのプラットフォーム用の章の『ネイティブ・インストールの使用』セクションを参照してください。ネイティブ・インストールのステップを完了した後、この手順に戻ってください。

注:

v GSKit アップグレード中にリブートするようプロンプトが出たら、確実にリブートしてからこの手順を続けてください。

v IBM Directory Client が IBM Directory Server と同じシステム上に存在する場合は、サーバーをアップグレードする必要があります。サーバーのアップグレード方法については、IBM Directory の資料を参照してください。

4. 現在の Policy Server 上にある重要な Tivoli Access Manager 情報のバックアップをとるために、pdbackup コマンドを使用します。たとえば、次のように入力します。

pdbackup -action backup -file archive_name -list /path/pdbackup.lst

ここで、archive_name は Tivoli Access Manager のデータ・アーカイブ・ファイル名で、/path/ は次のいずれかのディレクトリー (pdbackup.lst ファイルが存在する場所) です。

v AIX システムの場合:

cd_drive/usr/sys/inst.images/migrate

v HP-UX システムの場合:

cd_drive/HP/migrate

v Red Hat Linux システムの場合:

cd_drive/linux/migrate

v Linux for zSeries システムの場合:

cd_drive/zSeries/migrate

v Solaris システムの場合:

cd_drive/solaris/migrate


cd_drive\windows\migrate

注: pdbackup コマンドについて詳しくは、IBM Tivoli Access Manager コマンド・リファレンスを参照してください。

5. LDAP サーバーが稼働していることを確認してから、Tivoli Access Manager バージョン 4.1 のコンポーネントをインストールします。手順については、ご使用のプラットフォーム用の章のネイティブ・インストール手順を参照してください。


第 8 章 Tivoli Access Manager バージョン 4.1 へのアップグレード 107

6. Tivoli Access Manager Policy Server が稼働していることを確認します。 Tivoli

Access Manager アプリケーションを開始し、必要な製品固有の作業を実行します。

2 つのシステムを使用した Policy Server のアップグレード既存の Policy Server システムを引き続き機能させながら、新規に 2 番目のシステムにバージョン 4.1 Policy Server をセットアップするには、以下のステップを実行します。

1. 既存の Policy Server 上のすべての Tivoli Access Manager サービスを停止するには、以下のいずれかを行います。


v UNIX システムでは、pd_start ユーティリティーを使用します。たとえば、次のように入力します。

pd_start stop

すべての Tivoli Access Manager サービスおよびアプリケーションが停止したことを確認するには、ps コマンドを発行します。まだ実行中のサービスまたはアプリケーションがある場合は、kill コマンドを発行します。

2. 既存の Policy Server 上にある重要な Tivoli Access Manager 情報のバックアップをとるために、pdbackup コマンドを使用します。たとえば、以下のいずれかを入力します。

v バージョン 3.8 の場合:

pdbackup -action backup -file archive_name -list mig38to41.lst -path path

v バージョン 3.9 の場合:

pdbackup -action backup -file archive_name -list mig39to41.lst -path path

ここで、archive_name は、UNIX では Tivoli Access Manager データ・アーカイブ・ファイル名、Windows ではアーカイブ・ディレクトリー名で、 path

は、それらのアーカイブ・ファイルまたはアーカイブ・ディレクトリーが作成されるパスです。 pdbackup コマンドが完了すると、Tivoli Access Manager

データ・アーカイブ・ファイルまたはデータ・アーカイブ・ディレクトリーが、指定したパスに作成されます。


3. 既存の Policy Server 上で Policy Server デーモン (pdmgrd) またはサービスを再始動するために、次のいずれかを行います。

v Windows システムでは、「スタート」→ 「設定」→「コントロールパネル」→「管理ツール」(Windows 2000 のみ) を選択してから、「サービス」アイコンをダブルクリックします。 WebSEAL などのアプリケーションも含め、ローカル・システム上で実行するすべての Tivoli Access Manager サービスを開始します。




pd_start start

4. pdbackup コマンドが既存の Policy Server から作成したアーカイブを新しい4.1 Policy Server にコピーします。 Windows システムを使用している場合は、アーカイブ・ディレクトリーとそのすべての内容を新規の 4.1 Policy Server にコピーします。さらに、LDAP サーバーで SSL を使用している場合は、SSL

クライアントのキー・ファイルを新しいシステムにコピーします。その際、最初のシステムでキー・ファイルのソースに使用したのと同じターゲット・パスとファイル名を使用します。

注: 新しい 4.1 Policy Server は、クリーンなシステムでなければなりません。既存のシステムは使用できません。

5. 新しいシステム上で、Tivoli Access Manager バージョン 4.1 およびその前提条件製品に必要なすべてのオペレーティング・システムのパッチをインストールします。前提条件製品と必要なオペレーティング・システムのパッチについての情報は、 IBM Tivoli Access Manager コマンド・リファレンスのソフトウェア要件を参照してください。

6. LDAP サーバーが稼働していることを確認してから、Tivoli Access Manager バージョン 4.1 とその前提条件ソフトウェアを新しい 4.1 Policy Server にインストールします。手順については、お使いのプラットフォーム用の章の『ネイティブ・インストールの使用』セクションを参照してください。

7. レジストリー・データを新しい 4.1 Policy Server へ抽出するために、pdbackup コマンドを使用します。たとえば、次のように入力します。

pdbackup -action extract -path restore_directory -file archive_name

ここで、restore_directory はアーカイブ・データの抽出先にしたい新しい 4.1

Policy Server 上の一時ディレクトリーで、archive_name は、Tivoli Access

Manager のデータ・アーカイブ・ファイルまたはアーカイブ・ディレクトリーの名前です。


8. 新しい 4.1 Policy Server 上に Runtime を構成します。 LDAP サーバーの入力を求めるプロンプトが出たら、既存の Policy Server が使用している LDAP サーバーの名前を指定してください。

9. 新しい 4.1 Policy Server を構成します。マイグレーションの目的でポリシーを構成するのかどうかを尋ねるプロンプトが出たら、「はい (yes)」を選択し、ステップ 7 の -path オプションで指定した restore_directory を入力してください。



注意構成に問題がある場合、このシステムを構成解除しないでください。構成解除すると、既存の Policy Server に必要な重要データが破棄されます。新しいサーバーに対して、 112ページの『既存の Policy Server の使用終了』の手順を実行してください。新しいシステムは、既存のシステムの複製であることに注意してください。したがって、証明書ファイルなど、重要なファイルの配置は、既存のシステムと同一でなければなりません。たとえば、既存の Policy Server の /certs ディレクトリーに入っている証明書ファイルは、新しいシステムの /certs ディレクトリーに置かれていなければなりません。

10. システムの準備ができました。 pdadmin を実行し、ACL データベースとレジストリーの両方を照会し、それらの状況を検査してください。

11. その他の Tivoli Access Manager コンポーネントを必要に応じて新しいシステムにインストールし、構成します。

12. マイグレーション・プロセス中にデータベースの更新または変更を行った場合は、データベース・ファイルを以前の Policy Server から新しい 4.1 Policy

Server へコピーする必要があります。コピーするファイルのデフォルトの場所は以下の通りです。

v UNIX システムの場合: /var/PolicyDirector/db/master_authzn.db

v Windows システムの場合: install_dir¥db¥master_authzn.db

13. 次のセクション、『他の Tivoli Access Manager システムのアップグレード』へ進み、他のシステムをバージョン 4.1 へアップグレードします。すべてのTivoli Access Manager システムを更新した後、 112ページの『既存の Policy

Server の使用終了』の手順を実行して既存の Policy Server の使用を終了します。

他の Tivoli Access Manager システムのアップグレードTivoli Access Manager システム (Policy Server 以外) を Tivoli Access Manager バージョン 4.1 へマイグレーションするには、以下のステップを実行します。

1. システム上で稼働している Tivoli Access Manager アプリケーションおよびサービスを停止し、製品固有の手順を実行します。すべてのアプリケーションおよびサービスを停止するには、以下のいずれかを行います。



pd_start stop



注: すべての Tivoli Access Manager サービスおよびアプリケーションが停止したことを確認するには、ps コマンドを実行します。まだ実行中のTivoli Access Manager サービスまたはアプリケーションがある場合は、kill コマンドを実行します。

2. Tivoli Access Manager バージョン 4.1 およびその前提条件製品に必要なすべてのオペレーティング・システムのパッチをインストールします。前提条件製品と必要なオペレーティング・システムのパッチについての情報は、 IBM Tivoli

Access Manager コマンド・リファレンスのソフトウェア要件を参照してください。

3. サポートされているバージョンの IBM Global Security Toolkit (GSKit) をインストールし、IBM Directory Client をアップグレードします。手順については、お使いのプラットフォーム用の章の『ネイティブ・インストールの使用』セクションを参照してください。以前の IBM Global Security Toolkit 製品バージョンの除去は必要ありません。ネイティブ・インストールのステップを完了したら、この手順に戻り、確実に手順を実行してください。

注:

v GSKit のアップグレード中にリブートを求めるプロンプトが出たら、リブートしてからこの手順を続けてください。

v IBM Directory Client が IBM Directory Server と同じシステム上に存在する場合は、サーバーをアップグレードする必要があります。サーバーのアップグレード方法については、IBM Directory の資料を参照してください。

4. 現在の Policy Server 上にある重要な Tivoli Access Manager 情報のバックアップをとるために、pdbackup コマンドを使用します。たとえば、次のように入力します。

pdbackup -action backup -file archive_name -list /path/pdbackup.lst

ここで、archive_name は Tivoli Access Manager のデータ・アーカイブ・ファイル名で、/path/ は次のいずれかのディレクトリー (pdbackup.lst ファイルが存在する場所) です。


cd_drive/usr/sys/inst.images/migrate

v HP-UX システムの場合:

cd_drive/HP/migrate

v Red Hat Linux システムの場合:

cd_drive/linux/migrate

v Linux for zSeries システムの場合:

cd_drive/zSeries/migrate


cd_drive/solaris/migrate


cd_drive\windows\migrate




5. LDAP サーバーと Policy Server が稼働していることを確認してから、Tivoli

Access Manager バージョン 4.1 のコンポーネントをインストールします。手順については、ご使用のプラットフォーム用の章のネイティブ・インストール手順を参照してください。

6. 任意の Tivoli Access Manager アプリケーションを開始し、製品固有の作業を実行します。

既存の Policy Server の使用終了2 つのシステムによる方法で Policy Server をアップグレードした場合は、既存のPolicy Server のデータとクライアント/サーバーをバージョン 4.1 の Policy Server

システムへ正しくマイグレーションした後、以下のステップを実行して既存のPolicy Server の使用を終了します。

1. 次のファイルを、バージョン 4.1 の Policy Server から既存の Policy Server 上の一時ディレクトリーにコピーします。

v UNIX システムの場合: opt/PolicyDirector/sbin/pdmgr_ucf

v Windows システムの場合: pd_install_path/sbin/pdmgr_ucf.exe

ここで、pd_install_path は Tivoli Access Manager のインストール・パスです。

2. 既存の Policy Server 上で、pdmgr_ucf (Windows では pfmgr_ucf.exe) という実行可能ファイルを実行します。

3. 前バージョンの Tivoli Access Manager をアンインストールします。アンインストール手順については、Tivoli Access Manager バージョン 3.8 またはバージョン 3.9 の資料を参照してください。

注: アップグレード・プロセスのどの時点でも、既存の Policy Server または新規の Policy Server を構成解除してはなりません。既存の Policy Server または新規の Policy Server を構成解除すると、Tivoli Access Manager 環境が機能しなくなります。

前レベルへのシステムの復元単一システムの方法によるバージョン 4.1 へのマイグレーションで問題が起きたときは、システムを前のレベルに復元しなければならない場合があります。これを行うには、以下のステップを実行します。

注: 既存のデータのバックアップ中に問題が発生した場合は、アップグレード・プロセスを続行する前に Tivoli Support に援助を要求してください。

1. すべての Tivoli Access Manager アプリケーションおよび基本サービスが停止していることを確認します。

2. Tivoli Access Manager バージョン 4.1 を除去するために、以下のいずれかを実行します。

v AIX システムでは、smitty を使用してシステムから Tivoli Access Manager

パッケージを除去します。

v HP-UX システムでは、以下のコマンドをこの順序で入力します。



rm -f /opt/PolicyDirector/.configure/*swremove -x enforce_dependencies=false package_namerm -fR /opt/PolicyDirectorrm -fR /var/PolicyDirector

v Linux では、以下のコマンドを入力します。

rm -f /opt/PolicyDirector/.configure/*rpm -e package_namerm -fR /opt/PolicyDirectorrm -fR /var/PolicyDirector

v Solaris システムでは、以下のコマンドを入力します。

rm -f /opt/PolicyDirector/.configure/*pkgrm package_namerm -fR /opt/PolicyDirectorrm -fR /var/PolicyDirector

pkgrm コマンドでは、コンポーネントがまだ構成されている場合にその除去を続行するかどうかを尋ねるプロンプトが出されます。続行する場合、yes と入力します。 WebSEAL などの従属ソフトウェアをインストールしてある場合は、Tivoli Access Manager の基本コンポーネントを、それに依存するアプリケーションが存在していてもアンインストールするかどうかを尋ねるプロンプトが出ます。続行する場合、yes と入力します。

v Windows システムでは、以下のステップを実行します。

a. 管理者特権を持つ Windows ユーザーとしてログインします。

b. 「スタート (Start)」→「設定 (Settings)」→「コントロールパネル(Control Panel)」を選択してから、「プログラムの追加と削除(Add/Remove Programs) 」アイコンをクリックします。

c. 「追加/削除 (Add/Remove)」ボタンを使用して、Tivoli Access Manager

パッケージを除去します。

3. 前バージョンの Tivoli Access Manager をインストールします。手順については、ご使用のバージョンの Base インストール・ガイドを参照してください。

注: AIX システムの場合だけ、-F オプションを指定して installp コマンドを実行しなければなりません。あるいは、SMIT を使用してバージョン 3.8 または 3.9 のパッケージをインストールする場合は、同じバージョンまたは新しいバージョンを上書きするかどうか尋ねるプロンプトに「はい (yes)」と応答し、前提となるソフトウェアを自動的にインストールするかどうかを尋ねるプロンプトに「いいえ (no)」と応答します。

4. バージョン 4.1 にアップグレードする前に、システム上に存在していた Tivoli

Access Manager フィックスパックがあれば、それを適用します。

5. 以前のデータを復元するために、一時ディレクトリーに移動し、pdbackup-action restore コマンドを使用します。 pdbackup オプションの例と説明については、IBM Tivoli Access Manager コマンド・リファレンスを参照してください。



第 9 章 UNIX 簡易インストールのシナリオ

この付録では、UNIX プラットフォームで簡易インストール・スクリプトを使用する以下のシナリオについて説明します。

v 『IBM Directory Server システムのセットアップ』

v 121ページの『Tivoli Access Manager Policy Server システムのセットアップ』

v 128ページの『Tivoli Access Manager Runtime システムのセットアップ』

v 134ページの『Web Portal Manager システムのセットアップ』

始める前に



v ご使用のプラットフォームに合った Tivoli Access Manager のインストールの章で『簡易インストールの使用』のセクションを検討し、どのような簡易インストール・スクリプトがサポートされているかを調べてください。

セキュア・ドメインの必須コンポーネントは、サポートされているレジストリーとTivoli Access Manager Policy Server です。以下のシナリオでは、以下の条件が存在するものとします。

v IBM Directory Server が Tivoli Access Manager レジストリーとしてインストールされ、構成されている。

v IBM Directory Server とその LDAP クライアントの間で、SSL (Secure Sockets

Layer) 通信が使用可能になっている。

IBM Directory Server システムのセットアップ次のシナリオでは、ezinstall_ldap_server スクリプトを使用して IBM Directory

Server を Tivoli Access Manager レジストリーとしてインストールし、構成します。このスクリプトは、前提条件製品、Tivoli Access Manager コンポーネント、および関連のパッチも含め、必要なすべてのソフトウェアをご使用のシステム上にインストールし、構成します。

Windows の簡易インストール・ファイルとは異なり、インストール・ディレクトリーを変更することはできません。デフォルトのディレクトリーは、以下のとおりです。


– IBM DB2 — /usr/ldap/db2

– IBM HTTP Server — /usr/HTTPServer


– LDAP — /usr/ldap

– GSKit — /usr/opt/ibm/gskkm


– IBM DB2 — /opt/IBMdb2

– IBM HTTP Server — /opt/IBMHTTP

– LDAP サーバー — /opt/IBMldaps

– LDAP クライアント — /opt/IBMldapc

– GSKit — /opt/ibm/gsk5

表 9 は、IBM Directory Server とその前提条件ソフトウェアの構成オプションをリストにしたものです。次のシナリオを読み、指定する値を空欄に記入してください。後で、インストールのときに、これらの値の入力を求められます。

表 9. IBM Directory Server のインストール・ワークシート

IBM HTTP Server の構成デフォルト値指定する値

管理 ID

システムへのサインオンに使用する管理 ID は、簡易インストールによって検出されます。

____________________________

管理パスワード ____________________________

HTTP ポート 80 ____________________________

IBM Directory Server の構成デフォルト値指定する値

LDAP アドミニストレーター ID (DN) cn=root ____________________________

LDAP アドミニストレーター・パスワード

____________________________

LDAP サーバー・ホスト名システムのホスト名は、簡易インストールによって検出され、入力されます。

____________________________

GSO データベースの LDAP DN案:

o=tivoli,c=us____________________________

LDAP サーバー・ポート 389 ____________________________

LDAP SSL キー・ファイル cd_drive/common/pd_ldapkey.kdb ____________________________

LDAP SSL キー・ファイル・パスワード gsk4ikm ____________________________

SSL クライアント証明書ラベル PDLDAP ____________________________

IBM Directory Server とその前提条件ソフトウェアをインストールし、構成するには、以下のステップを実行します。

注: 既存のバージョンの IBM Directory Server が存在する場合は、それを除去してください。また、簡易インストール・スクリプトを開始する前に、実行中のすべてのプログラムを必ず終了してください。


2. 簡易インストールのときに、デフォルトの SSL LDAP キー・ファイル(pd_ldapkey.kdb) がシステムへコピーされます。 SSL を使用可能にしてあ

UNIX 簡易インストールのシナリオ


り、別の SSL キー・ファイルを使用する予定がある場合は、使用する予定のSSL キー・ファイルを、システムのいずれかのディレクトリーへ手動でコピーしてください。

3. ご使用のプラットフォームに合った Tivoli Access Manager Base CD のルート・ディレクトリーにある ezinstall_ldap_server ファイルを実行します。

以前にこのシステムで簡易インストール・ファイルを実行した場合は、保管されている応答ファイルを使用することを求めるプロンプトが表示されます。このシナリオを続行するために、N を押します。応答ファイルの詳細については、 171ページの『第 11 章簡易インストール応答ファイルの使用』を参照してください。

次のようなウィンドウが表示されます。これは、IBM Directory Server に必要な製品の現在の状況を示しています。インストールのプロセスを開始するには、 Enter を押して、プロンプトで要求される構成情報を入力します。

注: 簡易インストールでは、デフォルト値の変更を求められません。しかし、構成オプションの各セットの終わりに、それらの値を変更できます。プロンプトが出たら、オプションに関連付けられている番号を単に入力し、その値を変更し、Enter を押してください。


第 9 章 UNIX での簡易インストールのシナリオ 117

4. このシステムへのログオンに使用した root ID に関連したパスワードを入力し、Enter を押します。

5. 続行するために、Y を入力して Enter を押します。次に、LDAP アドミニストレーター ID 用のパスワードを作成し、確認のために再度入力します。

6. GSO データベースの LDAP DN を入力するよう求められます。これは、LDAP

サーバー・ディレクトリー情報ツリー (DIT) 内のどこにグローバル・サインオン (GSO) メタデータを置きたいかを示す識別名です。サフィックスを入力するか、既存の LDAP DIT 位置の DN を指定できます。たとえば、GSO メタデータの新しいサフィックスを作成するには、o=tivoli,c=us と入力します。



注: GSO データベースの LDAP DN は、Tivoli Access Manager でシングル・サインオン・ソリューションをインプリメントするかどうかに関係なく、必要です。 GSO データベースの LDAP DN の詳細については、 21ページの『LDAP サーバー構成の概要』を参照してください。

7. GSO データベースの LDAP DN を入力した後、IBM Directory Server のすべての構成オプションを変更できます。たとえば、デフォルトの LDAP SSL キー・ファイル (オプション 7) を使用したくない場合は、7 を入力して Enterを押し、値を変更します。 SSL キー・ファイルの値を変更した場合は、必ずオプション 8 と 9 の値もそれに合わせて変更してください。

8. オプション 7 (LDAP SSL キー・ファイル) のデフォルト値を変更しなかった場合は、Enter を押して cd_drive/common/pd_ldapkey.kdb ファイルをシステムの var/ldap/keytab/pd_ldapkey.kdb ディレクトリーへコピーするよう求められます。続行するために、Y を入力して Enter を押してください。

注:

v オプション 8 (LDAP SSL キー・ファイル・パスワード) は、デフォルトのpd_ldapkey.kdb ファイルに関連するパスワードです。このデフォルト・パスワードは、gsk4ikm です。 gsk5ikm ユーティリティーを使用してこのパスワードを変更する場合、このパスワードを思い出す必要があります。

v オプション 7 のデフォルトの pd_ldapkey.kdb ファイルを変更した場合は、このキー・ファイルをコピーするよう求めるプロンプトは出ません。



9. IBM Directory Server とその前提条件製品のインストール・プロセスが開始されます。

10. IBM Directory Server とその前提条件製品のインストール作業と構成作業のモニターを続行します。このプロセスには、数分かかる場合があります。プロセスが完了するのを待ってください。インストールが完了すると、すべての製品の状況が、図のように「構成済み (Configured)」と表示されます。



注: インストール中にエラーが起きた場合は、/var/ezinstall_ldap_server.log ファイルを表示できます。

Tivoli Access Manager Policy Server システムのセットアップLDAP レジストリーのインストールが正常に完了した後、次のステップは Policy

Server をセットアップすることです。次のシナリオでは、ezinstall_pdmgr スクリプトを使用して Policy Server のインストールと構成を行います。このスクリプトは、前提条件製品、Tivoli Access Manager コンポーネント、および関連のパッチも含め、必要なすべてのソフトウェアをご使用のシステム上にインストールし、構成します。

このシナリオでは、Policy Server を、 115ページの『IBM Directory Server システムのセットアップ』でインストールしたレジストリーと同じシステムにインストールします。これは、デプロイメントのプロトタイピングやアプリケーションの開発とテストをする際に役立ちます。しかし、実際のデプロイメントでは、これらのサーバーを別々のシステムにインストールすることをお勧めします。別々のシステムにセットアップする場合、唯一の違いは、インストール・プロセスで IBM Global

Security Toolkit と IBM Directory Client もインストールすることです。

表 10 は、Tivoli Access Manager Policy Server とその前提条件ソフトウェアの構成オプションをリストにしたものです。次のシナリオを読み、指定する値を空欄に記入してください。後で、インストールのときに、これらの値の入力を求められます。

表 10. Tivoli Access Manager Policy Server のインストール・ワークシート

IBM Tivoli Access Manager Runtime構成

デフォルト値指定する値

このレジストリー・タイプを使用して構成

ldap この時点では LDAP だけがサポートされています。

____________________________

LDAP サーバー・ホスト名 ____________________________



表 10. Tivoli Access Manager Policy Server のインストール・ワークシート (続き)

LDAP サーバー・ポート 389 ____________________________

IBM Tivoli Access Policy Server 構成デフォルト値指定する値

LDAP サーバー・ホスト名 ____________________________



____________________________

Policy Server-LDAP 間の SSL を有効にする

推奨: Y ____________________________

LDAP サーバーで SSL を使用可能にした場合は、次の値を入力するプロンプトが出ます。

LDAP SSL クライアント・キー・ファイル

____________________________

LDAP クライアント証明書ラベルデフォルトの SSL キー・ファイルを使用する場合、値は不要。

____________________________

SSL キー・ファイル・パスワード gsk4ikm ____________________________

LDAP サーバー SSL ポート 636 ____________________________

GSO データベースの LDAP DN必ず、LDAP サーバーを構成するために使用した DN を指定してください。

____________________________

AM Policy Server の SSL サーバー・ポート

7135 ____________________________

Policy Server SSL 証明書の存続期間 365 ____________________________

証明書をダウンロードできるようにする推奨: Y ____________________________

Tivoli Access Manager Policy Server をインストールして構成するには、以下のステップを実行します。

1. システムに root 管理者としてログオンしていることを確認します。


v Policy Server を別個のシステムにインストールしようとしている場合は、LDAP サーバーを構成するために使用した SSL キー・ファイルを、このシステムのいずれかのディレクトリーに手動でコピーします。たとえば、デフォルトの pd_ldapkey.kdb ファイルを、IBM Directory Server システムのvar/ldap/keytab ディレクトリーから、このシステムの /var/ldap/keytab

ディレクトリーへコピーします。

v IBM Directory Server をインストールした同じシステムに Policy Server をインストールしようとしている場合は、ステップ 3 へスキップしてください。

3. ご使用のプラットフォームに合った Tivoli Access Manager Base CD のルート・ディレクトリーにある ezinstall_pdmgr ファイルを実行します。




次のようなウィンドウが表示されます。インストールのプロセスを開始するには、 Enter を押して、プロンプトで要求される構成情報を入力します。

Policy Server を LDAP サーバーと同じシステムにインストールすることを計画している場合は、ezinstall_pdmgr スクリプトによって、IBM Global Security

Toolkit と IBM Directory Client がすでにインストールされていることが検出されます。

4. LDAP サーバーのホスト名を入力し、Enter を押します。これは、IBM

Directory Server をインストールしたホスト・システムの名前です。たとえば、前のシナリオでは、IBM Directory Server に使用したホスト名は pdsun3 でした。この短いホスト名と、pdsun3.dev.company.com のような完全修飾ホスト名のどちらを入力してもかまいません。

5. 続行するために、Y を入力して Enter を押します。セキュリティー上の理由から、LDAP サーバーとの SSL 通信を使用可能にすることをお勧めします。そのためには、Y を入力して Enter を押します。そうしない場合は、N を入力



し、ステップ 8 (125ページ) へスキップします。

6. ステップ 2 (122ページ) で LDAP SSL クライアント・キー・ファイルのコピー先にした完全修飾パスを入力し、Enter を押します。たとえば、デフォルトの pd_ldapkey.kdb ファイルを /var/ldap/keytab ディレクトリーへコピーした場合は、/var/ldap/keytab/pd_ldapkey.kdb と入力します。

7. LDAP SSL クライアント・キー・ファイルのパスワードを入力し、Enter を押します。簡易インストールによって組み込まれているデフォルトのpd_ldapkey.kdb ファイルには、gsk4ikm というデフォルト・パスワードがあります。このデフォルト・パスワードは、ezinstall_ldap_server スクリプトを使用して IBM Directory Server のインストールと構成を行った場合、または、このデフォルト・キー・ファイルをネイティブ・インストールのときに指定した場合にだけ、使用してください。 gsk5ikm ユーティリティーを使用してこのパスワードを変更する場合、このデフォルト・パスワードを思い出す必要があります。



注: オプション 7 は、LDAP サーバーへ送信されるクライアント証明書の (クライアント GSKit 鍵データベース・ファイル内にある) ラベルを指定します。デフォルト値を使用して SSL を使用可能にする場合、この値は必要ありません。この値を指定する必要があるのは、SSL の確立時にクライアント認証を必要とするようにサーバーを構成する場合か、キー・ファイルの中でデフォルト以外の証明書を使用したい場合だけです。通常、LDAP サーバーに必要なのはクライアントの .kdb ファイルの作成時に指定されたサーバー側の証明書だけです。

8. LDAP サーバーをインストールしたときに作成した LDAP アドミニストレーター ID のパスワードを入力し、Enter を押します。



9. セキュリティー・マスター ID (sec_master) のパスワードを作成し、確認のために再度入力します。この管理 ID は、独自の管理 ID、グループ、およびそれらの能力を定義するために使用します。

10. LDAP サーバーの構成時に入力した GSO データベースの LDAP DN 値を入力し、Enter を押します。たとえば、前のシナリオで使用したサフィックスは、o=tivoli,c=us でした。



11. Tivoli Access Manager Policy Server の構成によって pdcacert.b64 という名前のデフォルト SSL CA 証明書ファイルが作成され、このファイルにより、サーバーと他の Tivoli Access Manager Runtime システムとの間の通信が可能になります。このファイルを Tivoli Access Manager Runtime システムが自動的にダウンロードできるようにすれば、構成を単純化できます。そのようにしない場合は、このファイルを後続の各 Tivoli Access Manager Runtime システムへ手動でコピーしてから、そのシステムを構成する必要があります。

SSL CA 証明書ファイルの自動ダウンロードを使用可能にするには、Y を入力して Enter を押します。

注: 自動ダウンロードを使用可能にしなかった場合、SSL 証明書ファイルは次のディレクトリーに置かれます。

/var/PolicyDirector/keytab/pdcacert.b64

12. 続行するために、Y を入力して Enter を押します。インストールの進行状況をモニターします。インストールが完了すると、すべての製品の状況が、図のように「構成済み (Configured)」と表示されます。



13. Policy Server を構成した後、セキュア・ドメイン内に追加の Tivoli Access

Manager システムをセットアップできます。たとえば、以下のように行えます。

v install_pdrte InstallShield プログラムを実行して、1 つ以上の Runtime クライアント・システムを (Policy Server なしで) インストールします。この手順については、『Tivoli Access Manager Runtime システムのセットアップ』を参照してください。

v ezinstall_pdwpm スクリプトを実行して、Tivoli Access Manager Runtime

クライアントと Web Portal Manager インターフェースをインストールします。この手順については、 134ページの『Web Portal Manager システムのセットアップ』を参照してください。

v ezinstall_pdacld スクリプトを実行して、許可サーバー・システムをセットアップします。

v ezinstall_pdauthADK スクリプトを実行して、開発システムと Application

Development Kit (ADK) をインストールします。

注: インストール中にエラーが起きた場合は、/var/ezinstall_pdmgr.log ファイルを表示できます。

Tivoli Access Manager Runtime システムのセットアップ次のシナリオでは、install_pdrte InstallShield ウィザードを使用して Tivoli Access

Manager Runtime システムのインストールと構成を行います。他の簡易インストール・スクリプトと異なり、install_pdrte プログラムは、InstallShield ウィザードを使用して Runtime システムのインストールをステップごとにガイドします。すべての前提条件製品と Tivoli Access Manager コンポーネントがインストールされ、構成されますが、JRE だけは例外で、これは手動でインストールする必要があります。



表 11 は、Tivoli Access Manager Runtime とその前提条件ソフトウェアの構成オプションをリストにしたものです。次のシナリオを読み、指定する値を空欄に記入してください。後で、インストールのときに、これらの値の入力を求められます。

注: ある製品がすでにインストールされている場合、InstallShield はインストール・ディレクトリーの入力を求めてきません。また、簡易インストールは LDAP ベースのレジストリーを使用する場合にのみサポートされることに注意してください。

表 11. Tivoli Access Manager Runtime システムのインストール・ワークシート

IBM Tivoli Access Manager Runtime デフォルト値指定する値

Policy server のホスト名 ____________________________

Policy server の SSL ポート 7135 ____________________________

Policy Server CA 証明書のファイル名

Policy Server のインストール時に、他の Tivoli Access Manager Runtime システムがデフォルトの証明書ファイルをダウンロードできることを選択した場合、値は不要です。

____________________________

LDAP サーバー・ホスト名 ____________________________

LDAP サーバー・ポート 389 ____________________________

LDAP サーバーとの SSL は、デフォルトで使用可能になっています。以下の値の入力を求めるプロンプトが出ます。

絶対パスでのキー・ファイル

デフォルトのpd_ldapkey.kdb ファイルを、IBM Directory Server から、このシステム上のディレクトリーへコピーする必要があります。

____________________________

キー・ファイルのパスワード gsk4ikm ____________________________

LDAP SSL キー・ファイル DN (必要な場合)

デフォルトのpd_ldapkey.kdb キー・ファイルを使用する場合、値は不要です。

____________________________

SSL ポート番号 636 ____________________________

注: GSKit および IBM Directory Client の構成オプションを入力するプロンプトは出ません。また、SSL は IBM Directory Server と共に自動的に使用可能になります。

Tivoli Access Manager Runtime システムをインストールし構成するには、以下のステップを実行します。

1. LDAP サーバーと Policy Server が稼働していることを確認し、root 管理者としてログオンしていることを確認します。

2. LDAP サーバーを構成するために使用した SSL キー・ファイルを、このシステムのいずれかのディレクトリーに手動でコピーします。たとえば、デフォルトの pd_ldapkey.kdb ファイルを、IBM Directory Server システムの/var/ldap/keytab ディレクトリーから、このシステムの var/ldap/keytab ディレクトリーへコピーします。

3. サポートされているプラットフォーム固有の JRE をインストールします。手順については、以下のいずれを参照してください。



v AIX システムでは、52 ページを参照してください。

v HP-UX システムでは、63 ページを参照してください。

v Red Hat Linux システムでは、74 ページを参照してください。

v Solaris システムでは、82 ページを参照してください。


5. Tivoli Access Manager Runtime の InstallShield ウィザードを開始するために、「次へ (Next)」をクリックします。




7. 以下のフィールドに入力し、「次へ (Next)」をクリックします。

v 「Policy server のホスト名 (Policy server host name)」— Policy Server

システムのホスト名を入力します。

v 「Policy server の SSL ポート (Policy server SSL port)」— Policy

Server の SSL ポートには、デフォルト値が表示されます (7135)。このポート番号を変更した場合は、この値を変更します。

v 「Policy Server CA 証明書のファイル (Policy server CA CertificateFile)」— Tivoli Access Manager Runtime は、接続先の別の Tivoli Access

Manager サーバーを認証するためには、Policy Server が構成時に作成したpdcacert.b64 ファイルのコピーを備えている必要があります。以下のいずれかを行います。

– Policy Server に pdcacert.b64 ファイルのダウンロードを許可してある場合、値は不要です。

– Policy Server にこの証明書ファイルのダウンロードを許可しなかった場合は、pdcacert.b64 ファイルをコピーしたこのシステム上の完全修飾パスを入力します。



8. LDAP サーバー・システムのホスト名を入力します。 LDAP サーバー・ポートには、デフォルト値が表示されます (389)。必要であれば、このポートを変更し、「次へ (Next)」を押して先へ進みます。



9. 構成オプションを検討します。「次へ (Next)」を選択してインストールを開始します。

10. インストール・プロセスが開始されます。このプロセスには、数分かかる場合があります。

11. Tivoli Access Manager Runtime のインストール作業と、アンインストール・プログラム作成作業のモニターを続行します。インストールが完了すると、Runtime のインストールが正常に完了したことを通知されます。このプログラ



ムを終了するために、図に示した「終了 (Finish)」をクリックします。

インストール中にエラーが起きた場合は、/tmp/msg__amismp.log ファイルを表示できます。

Web Portal Manager システムのセットアップ次のシナリオでは、ezinstall_pdwpm スクリプトを使用して、Tivoli Access

Manager Runtime システムと Web Portal Manager インターフェースのインストールと構成を行います。このスクリプトは、前提条件製品、Tivoli Access Manager コンポーネント、および関連のパッチも含め、必要なすべてのソフトウェアをご使用のシステム上にインストールし、構成します。

表 12 は、Web Portal Manager とその前提条件ソフトウェアの構成オプションをリストにしたものです。次のシナリオを読み、指定する値を空欄に記入してください。後で、インストールのときに、これらの値の入力を求められます。

表 12. Web Portal Manager システムのインストール・ワークシート


管理 ID


____________________________

管理パスワード ____________________________

HTTP ポート 80 ____________________________



ldap ____________________________

LDAP サーバー・ホスト名 ____________________________



表 12. Web Portal Manager システムのインストール・ワークシート (続き)

LDAP サーバー・ポート 389 ____________________________

Access Manager Policy Server のホスト名

____________________________

SSL サーバー・ポート 7135 ____________________________

Policy Server CA 証明書のファイル名Policy Server に証明書ファイルのダウンロードを許可してある場合、値は不要です。

____________________________

IBM Tivoli Access Manager WebPortal Manager


PDADMIN ログイン名 sec_master ____________________________

セキュリティー・マスター・パスワード ____________________________

Tivoli Access Manager Runtime システムと Web Portal Manager インターフェースのインストールと構成を行うには、以下のステップを実行します。

1. LDAP サーバーと Policy Server が稼働していることを確認し、root 管理者としてログオンしていることを確認します。

2. Web Portal Manager インターフェースをサポートする Web ブラウザーがインストールされていることを確認します。サポートされるブラウザーについて詳しくは、IBM Tivoli Access Manager for e-business リリース情報を参照してください。

3. ご使用の UNIX プラットフォームに合ったIBM Tivoli Access Manager Web

Portal Manager CD のルート・ディレクトリーにある ezinstall_pdwpm スクリプトを実行します。




次のようなウィンドウが表示されます。インストールのプロセスを開始するために Enter を押し、プロンプトが表示されたら、構成情報を入力します。

注: 以前にこのシステムに Tivoli Access Manager Runtime コンポーネントをインストールしてある場合は、「状況 (Status)」の列に、IBM Global Security

Toolkit、IBM Directory Client、および Tivoli Access Manager Runtime コンポーネントがすでにインストールされていることが示されます。

4. このシステムへのログオンに使用した root ID に関連したパスワードを入力し、Enter を押します。簡易インストールでは、IBM WebSphere Application

Server と共にインストールされた IBM HTTP Server のバージョンがアップグレードされることに注意してください。また、必要な IBM HTTP Server パッチもインストールされます。

注: オプション 3 は、IBM HTTP Server によって使用されるポートを指定します。 IBM HTTP Server を使用しない LDAP サーバーをインストールしてあり、しかも、同じシステム上に Web Portal Manager をインストールする場合は、必ずポートを異なるものにしてください。簡易インストールでオプション 3 の値を変更するか、次に示すように、/usr/HTTPServer/conf/httpd.conf ファイルを編集し、デフォルト・ポートの 80 を 8080 に変更できます。




5. 続行するために、Y を入力して Enter を押します。次に、LDAP サーバーのホスト名を入力し、Enter を押します。これは、IBM Directory Server をインストールしたホスト・システムの名前です。たとえば、前のシナリオで使用した IBM Directory Server のホスト名は pdsun3 でした。この短いホスト名と、pdsun3.dev.company.com のような完全修飾ホスト名のどちらを入力してもかまいません。



6. Policy Server のホスト名を入力し、Enter を押します。

7. Tivoli Access Manager Runtime は、接続先の別の Tivoli Access Manager サーバーを認証するためには、Policy Server が構成時に生成した CA 証明書ファイルのコピーを備えている必要があります。

以下のいずれかを行います。

v Policy Server に pdcacert.b64 ファイルのダウンロードを許可してある場合は、Enter を押します。値は必要ありません。

v Policy Server にこの証明書ファイルの自動ダウンロードを許可しなかった場合は、pdcacert.b64 ファイルをコピーしたこのシステム上の完全修飾パスを入力し、Enter を押します。

8. 続行するために、Y を入力して Enter を押します。次に、セキュリティー・マスター ID (sec_master) のパスワードを入力します。このパスワードは、



Policy Server のインストール時に作成されたものです。続行するために、Y を入力して Enter を押します。

9. インストール・プロセスが開始されます。各製品が、リストされた順序でインストールされます。

その後、各コンポーネントが構成され、Web Portal Manager がインストールされます。Tivoli Access Manager Java Runtime Environment も Web Portal

Manager コンポーネントと共に完全自動方式でインストールされます。

10. リストされている製品のインストール作業のモニターを続行します。このプロセスには、数分かかる場合があります。プロセスが完了するのを待ってください。インストールが完了すると、すべての製品の状況が、図のように「構成済み (Configured)」と表示されます。




Server が実行されていることを確認します。そのためには、次のいずれかのディレクトリーにある startServer.sh スクリプトを実行します。


/usr/WebSphere/AppServer/bin


/opt/WebSphere/AppServer/bin














注: インストール中にエラーが起きた場合は、/var/ezinstall_pdwpm.log ファイルを表示できます。



第 10 章 Windows 簡易インストールのシナリオ

この付録では、Windows プラットフォームで簡易インストール・ファイルを使用する以下のシナリオについて説明します。

v 『IBM Directory Server システムのセットアップ』

v 149ページの『Tivoli Access Manager Policy Server システムのセットアップ』

v 158ページの『Tivoli Access Manager Runtime システムのセットアップ』

v 161ページの『Web Portal Manager システムのセットアップ』

始める前に



セキュア・ドメインの必須コンポーネントは、サポートされているレジストリーとTivoli Access Manager Policy Server です。以下のシナリオでは、以下の条件が存在するものとします。

v IBM Directory Server が Tivoli Access Manager レジストリーとしてインストールされ、構成されている。

v IBM Directory Server とその LDAP クライアントの間で、SSL (Secure Sockets

Layer) 通信が使用可能になっている。

IBM Directory Server システムのセットアップ次のシナリオでは、ezinstall_ldap_server.bat ファイルを使用して IBM Directory

Server を Tivoli Access Manager レジストリーとしてインストールし、構成します。このバッチ・ファイルは、前提条件製品、Tivoli Access Manager コンポーネント、および関連のパッチも含め、必要なすべてのソフトウェアをご使用のシステム上にインストールし、構成します。

表 13 は、IBM Directory Server とその前提条件ソフトウェアの構成オプションをリストにしたものです。次のシナリオを読み、指定する値を空欄に記入してください。後で、インストールのときに、これらの値の入力を求められます。

表 13. IBM Directory Server のインストール・ワークシート

IBM DB2 の構成デフォルト値指定する値

管理 ID db2admin ____________________________

管理パスワード ____________________________

インストール・ディレクトリー C:¥Program Files¥SQLLIB ____________________________



表 13. IBM Directory Server のインストール・ワークシート (続き)

管理 ID


____________________________

管理パスワード ____________________________

HTTP ポート 80 ____________________________

インストール・ディレクトリー C:¥Program Files¥IBM HTTP Server ____________________________

IBM Global Security Toolkit デフォルト値指定する値

インストール・ディレクトリー C:¥Program Files¥IBM¥GSK ____________________________

IBM Directory Server の構成デフォルト値指定する値



____________________________

LDAP サーバー・ホスト名システムのホスト名は、簡易インストールによって検出され、入力されます。

____________________________

GSO データベースの LDAP DN案:

o=tivoli,c=us____________________________

LDAP サーバー・ポート 389 ____________________________

LDAP SSL キー・ファイル cd_drive:¥common¥pd_ldapkey.kdb ____________________________


SSL クライアント証明書ラベル PDLDAP ____________________________

インストール・ディレクトリー C:¥Program Files¥IBM¥LDAP ____________________________

IBM Directory Server とその前提条件ソフトウェアをインストールし、構成するには、以下のステップを実行します。

注:

v 既存のバージョンの IBM Directory Server が存在する場合は、それを除去してください。

v Windows システムでは、何度かシステムの再始動を求められます。簡易インストールを実行する前に、実行中のすべてのプログラムを終了してください。

1. Administrator ユーザーとして、または、 Administrator グループのメンバーである ID を使用して Windows システムにログオンします。

2. 簡易インストールのときに、デフォルトの SSL LDAP キー・ファイル(pd_ldapkey.kdb) がシステムへコピーされます。 SSL を使用可能にしてあり、別の SSL キー・ファイルを使用する予定がある場合は、使用する予定のSSL キー・ファイルを、システムのいずれかのディレクトリーへ手動でコピーしてください。

3. IBM Tivoli Access Manager Base for Windows CD のルート・ディレクトリーにある ezinstall_ldap_server.bat ファイルを実行します。

以前にこのシステムで簡易インストール・ファイルを実行した場合は、保管されている応答ファイルを使用することを求めるプロンプトが表示されます。こ

Windows 簡易インストールのシナリオ


のシナリオを続行するために、N を押します。応答ファイルの詳細については、 171ページの『第 11 章簡易インストール応答ファイルの使用』を参照してください。

次のようなウィンドウが表示されます。これは、IBM Directory Server に必要な製品の現在の状況を示しています。インストールのプロセスを開始するために Enter を押し、プロンプトが表示されたら、構成情報を入力します。

4. DB2 管理 ID 用のパスワードを作成し、確認のために再度入力します。

注: すべての新規パスワードを確認のために再入力するようプロンプトが出されます。

注: 簡易インストールでは、デフォルト値の変更を求められません。しかし、構成オプションの各セットの終わりに (ステップ 6 (146ページ) に示すように) それらの値を変更できます。オプションへ関連付けられている番号を単に入力し、その値を変更し、Enter を押してください。

5. 続行するために、Y を入力して Enter を押します。次に、このシステムへのログオンに使用した管理 ID (オプション 1 で指定した値) に関連したパスワードを入力し、Enter を押します。


第 10 章 Windows での簡易インストールのシナリオ 145

6. 続行するために、Y を入力して Enter を押します。 GSKit をデフォルト・ディレクトリーにインストールするために、Y を入力して Enter を押します。

7. LDAP アドミニストレーター ID 用のパスワードを作成し、確認のために再度入力します。



8. GSO データベースの LDAP DN を入力するよう求められます。これは、グローバル・サインオン (GSO) メタデータを置きたい LDAP サーバー・ディレクトリー情報ツリー (DIT) 内の位置の識別名です。サフィックスを入力するか、既存の LDAP DIT 位置の DN を指定できます。たとえば、GSO メタデータの新しいサフィックスを作成するには、o=tivoli,c=us と入力します。

注: GSO データベースの LDAP DN は、Tivoli Access Manager でシングル・サインオン・ソリューションをインプリメントするかどうかに関係なく、必要です。 GSO データベースの LDAP DN の詳細については、 21ページの『LDAP サーバー構成の概要』を参照してください。

9. GSO データベースの LDAP DN を入力した後、IBM Directory Server のすべての構成オプションを変更できます。たとえば、デフォルトの LDAP SSL キー・ファイル (オプション 6) を使用したくない場合は、6 を入力して Enterを押し、値を変更します。 SSL キー・ファイルの値を変更した場合は、必ずオプション 7 と 8 の値もそれに合わせて変更してください。

10. オプション 6 (LDAP SSL キー・ファイル) のデフォルト値を変更しなかった場合は、Enter を押して cd_drive:¥common¥pd_ldapkey.kdb ファイルをシステムの c:¥keytabs ディレクトリーへコピーするよう求められます。

注:

v オプション 7 (LDAP SSL キー・ファイル・パスワード) は、デフォルトのpd_ldapkey.kdb ファイルに関連するパスワードです。このデフォルト・パスワードは、gsk4ikm です。 gsk5ikm ユーティリティーを使用してこのパスワードを変更する場合、このパスワードを思い出す必要があります。

v オプション 6 のデフォルトの pd_ldapkey.kdb ファイルを変更した場合は、このキー・ファイルをコピーするよう求めるプロンプトは出ません。したがって、このキー・ファイルを手動で LDAP サーバー・システムへコピーする必要があります。



11. 続行するために、Y を入力して Enter を押します。 IBM Directory Server とその前提条件製品のインストール・プロセスが開始されます。 DB2 がインストールされたら、Enter を押してシステムを再始動してください。

12. システムを再始動した後、図のように IBM Directory Server が必要な LDAP

パッチと一緒にインストールされます。 IBM Directory Server がインストールされたら、再び Enter を押してシステムを再始動します。



13. システムを再始動した後、IBM Directory Server とその前提条件製品のインストール作業のモニターを続行します。このプロセスには、数分かかる場合があります。プロセスが完了するのを待ってください。インストールが完了すると、すべての製品の状況が、図のように「構成済み (Configured)」と表示されます。

インストール中にエラーが起きた場合は、%TEMP% 変数で指定した一時ディレクトリーに置かれている ezinstall.log ファイルを表示できます。

Tivoli Access Manager Policy Server システムのセットアップLDAP レジストリーのインストールが正常に完了した後、次のステップは Policy

Server をセットアップすることです。次のシナリオでは、ezinstall_pdmgr.bat ファイルを使用して Policy Server のインストールと構成を行います。このバッチ・ファイルは、前提条件製品、Tivoli Access Manager コンポーネント、および関連のパッチも含め、必要なすべてのソフトウェアをご使用のシステム上にインストールし、構成します。



このシナリオでは、Policy Server を、 143ページの『IBM Directory Server システムのセットアップ』でインストールしたレジストリーと同じシステムにインストールします。これは、デプロイメントのプロトタイピングやアプリケーションの開発とテストをする際に役立ちます。しかし、実際のデプロイメントでは、これらのサーバーを別々のシステムにインストールすることをお勧めします。別々のシステムにセットアップする場合、唯一の違いは、インストール・プロセスで IBM Global

Security Toolkit と IBM Directory Client もインストールすることです。

表 14 は、Tivoli Access Manager Policy Server とその前提条件ソフトウェアの構成オプションをリストにしたものです。次のシナリオを読み、指定する値を空欄に記入してください。後で、インストールのときに、これらの値の入力を求められます。

表 14. Tivoli Access Manager Policy Server のインストール・ワークシート

IBM Tivoli Access Manager Runtime構成



ldap ____________________________

LDAP サーバー・ホスト名 ____________________________

LDAP サーバー・ポート 389 ____________________________


____________________________

LDAP サーバーで SSL を使用可能にします

推奨: Y ____________________________


LDAP SSL キー・ファイル ____________________________

LDAP SSL キー・ファイル DNデフォルトの SSL キー・ファイルを使用する場合、値は不要。

____________________________


LDAP サーバー SSL ポート 636 ____________________________

インストール・ディレクトリーC:¥Program Files¥Tivoli¥Policy

Director____________________________

IBM Tivoli Access Manager PolicyServer 構成


LDAP 管理 ID (DN) cn=root ____________________________

LDAP 管理パスワード ____________________________

セキュリティー・マスター・パスワード ____________________________

SSL サーバー・ポート 7135 ____________________________

Policy Server SSL 証明書の存続期間 365 ____________________________

証明書をダウンロードできるようにする推奨: Y ____________________________

Tivoli Access Manager Policy Server をインストールして構成するには、以下のステップを実行します。

1. Administrator ユーザーとして、または、 Administrator グループのメンバーである ID を使用して Windows システムにログオンしていることを確認します。




v Policy Server を別個のシステムにインストールしようとしている場合は、SSL キー・ファイルを、このシステムのいずれかのディレクトリーに手動でコピーします。たとえば、デフォルトの pd_ldapkey.kdb ファイルを、IBM

Directory Server システムの c:¥keytabs ディレクトリーから、このシステムの c:¥keytabs ディレクトリーへコピーします。

v IBM Directory Server をインストールした同じシステムに Policy Server をインストールしようとしている場合は、ステップ 3 へスキップしてください。

3. IBM Tivoli Access Manager Base for Windows CD のルート・ディレクトリーにある ezinstall_pdmgr.bat ファイルを実行します。



Policy Server を LDAP サーバーと同じシステムにインストールすることを計画している場合は、ezinstall_pdmgr.bat ファイルによって、IBM Global

Security Toolkit と IBM Directory Client がすでにインストールされていることが検出されます。


Directory Server をインストールしたホスト・システムの名前です。たとえば、前のシナリオでは、IBM Directory Server に使用したホスト名は dliburdi2 でした。この短いホスト名と、dliburdi2.dev.company.com のような完全修飾ホスト名のどちらを入力してもかまいません。




6. セキュリティー上の理由から、LDAP サーバーとの SSL 通信を使用可能にすることをお勧めします。そのためには、Y を入力して Enter を押します。そうしない場合は、N を入力し、ステップ 9 (154ページ) へスキップします。



7. ステップ 2 (150ページ) で LDAP SSL クライアントのキー・ファイルをコピーした完全修飾パスを入力し、Enter を押します。たとえば、デフォルトのpd_ldapkey.kdb ファイルを c:¥keytabs ディレクトリーへコピーした場合は、c:¥keytabs¥pd_ldapkey.kdb と入力します。



8. LDAP SSL クライアント・キー・ファイルのパスワードを入力し、Enter を押します。簡易インストールに添付されるデフォルトの pd_ldapkey.kdb ファイルには、gsk4ikm というデフォルト・パスワードがあります。このデフォルト・パスワードを使用できるのは、このデフォルト・キー・ファイルを使用して IBM Directory Server のインストールと構成を行った場合だけです。

注: オプション 7 は、LDAP サーバーへ送信されるクライアント証明書の (クライアント GSKit 鍵データベース・ファイル内にある) ラベルを指定します。デフォルト値を使用して SSL を使用可能にする場合、この値は必要ありません。この値を指定する必要があるのは、SSL の確立時にクライアント認証を必要とするようにサーバーを構成する場合か、キー・ファイルの中でデフォルト以外の証明書を使用したい場合だけです。通常、LDAP サーバーに必要なのはクライアントの .kdb ファイルの作成時に指定されたサーバー側の証明書だけです。

9. 続行するために、Y を入力して Enter を押します。次に、LDAP サーバーをインストールしたときに作成した LDAP アドミニストレーター ID のパスワードを入力し、Enter を押します。



10. セキュリティー・マスター ID (sec_master) のパスワードを作成し、確認のために再度入力します。この管理 ID は、独自の管理 ID、グループ、およびそれらの能力を定義するために使用します。

11. 続行するために、Y を入力して Enter を押します。 Tivoli Access Manager

Policy Server の構成によって pdcacert.b64 という名前のデフォルト SSL CA

証明書ファイルが作成され、このファイルにより、サーバーと他の Tivoli

Access Manager Runtime システムとの間の通信が可能になります。このファイルを Tivoli Access Manager Runtime システムが自動的にダウンロードできるようにすれば、構成を単純化できます。そのようにしない場合は、このファイルを後続の各 Tivoli Access Manager Runtime システムへ手動でコピーしてから、そのシステムを構成する必要があります。

SSL CA 証明書ファイルの自動ダウンロードを使用可能にするには、Y を入力して Enter を押します。

注: 自動ダウンロードを使用可能にしなかった場合、SSL 証明書ファイルは次のディレクトリーに置かれます。

install_dir\keytab\pdcacert.b64

たとえば、次のとおりです。

c:¥Program Files¥Tivoli¥Policy Director¥keytab¥pdcacert.b64



12. 続行するために、Y を入力して Enter を押します。リストされている製品のインストール・プロセスが開始されます。

13. Enter を押して、システムを自動的に再始動させます。



14. システムを再始動した後、リストされている製品の進行状況のモニターを続行します。次に示すように、Runtime は Policy Server をインストールした後でのみ構成できます。

15. インストールが完了すると、すべての製品の状況が、図のように「構成済み(Configured)」と表示されます。

インストール中にエラーが起きた場合は、TEMP 変数で指定した一時ディレクトリーに置かれている ezinstall.log ファイルを表示できます。

16. Policy Server を構成した後、セキュア・ドメイン内に追加の Tivoli Access

Manager システムをセットアップできます。たとえば、以下のように行えます。

v install_pdrte.exe InstallShield プログラムを実行して、1 つ以上の Runtime

クライアント・システムを (Policy Server なしで) インストールします。この手順については、 158ページの『Tivoli Access Manager Runtime システムのセットアップ』を参照してください。

v ezinstall_pdwpm.bat ファイルを実行して、Tivoli Access Manager Runtime

クライアントと Web Portal Manager インターフェースをインストールします。この手順については、 161ページの『Web Portal Manager システムのセットアップ』を参照してください。



v ezinstall_pdacld.bat ファイルを実行して、許可サーバー・システムをセットアップします。

v ezinstall_pdauthADK.bat ファイルを実行して、 Application Development

Kit (ADK) を持つ開発システムをインストールします。

Tivoli Access Manager Runtime システムのセットアップ次のシナリオでは、install_pdrte.exe InstallShield ウィザードを使用して Tivoli

Access Manager Runtime システムのインストールと構成を行います。他の簡易インストール・スクリプトと異なり、install_pdrte.exe プログラムは、InstallShield ウィザードを使用して Runtime システムのインストールをステップごとにガイドします。すべての前提条件製品と Tivoli Access Manager コンポーネントがインストールされ、構成されますが、プラットフォーム固有の JRE だけは例外で、これは手動でインストールする必要があります。

表 15 は、Tivoli Access Manager Runtime とその前提条件ソフトウェアの構成オプションをリストにしたものです。次のシナリオを読み、指定する値を空欄に記入してください。後で、インストールのときに、これらの値の入力を求められます。

注: ある製品がすでにインストールされている場合、InstallShield はインストール・ディレクトリーの入力を求めてきません。また、簡易インストールは LDAP ベースのレジストリーを使用する場合にのみサポートされることに注意してください。

表 15. Tivoli Access Manager Runtime システムのインストール・ワークシート


ディレクトリー名 C:¥Program Files¥IBM¥GSK ____________________________

IBM Directory Client デフォルト値指定する値

ディレクトリー名 C:¥Program Files¥IBM¥ldapc ____________________________


ディレクトリー名C:¥Program Files¥Tivoli¥Policy

Director____________________________

Policy server のホスト名 ____________________________

Policy server の SSL ポート 7135 ____________________________

Policy Server CA 証明書のファイル名

Policy Server のインストール時に、他の Tivoli Access Manager Runtime システムが証明書ファイルをダウンロードできることを選択した場合、値は不要です。

____________________________

ユーザー・レジストリーの選択 LDAP ____________________________

LDAP サーバー・ホスト名 ____________________________

LDAP サーバー・ポート 389 ____________________________


____________________________

SSL を IBM Directory Server で稼動可能にする

推奨: Y ____________________________

LDAP サーバーで SSL を使用可能にした場合は、以下の値を入力するプロンプトが出ます。



表 15. Tivoli Access Manager Runtime システムのインストール・ワークシート (続き)

絶対パスでのキー・ファイル

デフォルトのpd_ldapkey.kdb ファイルを、IBM Directory Server から、このシステム上のディレクトリーへコピーする必要があります。

____________________________

キー・ファイルのパスワード gsk4ikm ____________________________

LDAP SSL キー・ファイル DN (必要な場合)

デフォルトのpd_ldapkey.kdb キー・ファイルを使用する場合、値は不要です。

____________________________

SSL ポート番号 636 ____________________________

Tivoli Access Manager Runtime システムをインストールし構成するには、以下のステップを実行します。

1. LDAP サーバーと Policy Server が稼働していることを確認し、Windows システムに、 Administrator ユーザーとして (または、Administrator グループのメンバーである ID を使用して) ログオンしていることを確認します。

2. LDAP サーバーを構成するために使用した SSL キー・ファイルを、このシステムのいずれかのディレクトリーに手動でコピーします。たとえば、デフォルトの pd_ldapkey.kdb ファイルを IBM Directory Server システムのc:¥keytabs ディレクトリーから、このシステムの c:¥keytabs ディレクトリーへコピーします。

3. サポートされているプラットフォーム固有の JRE をインストールします。この手順については、 96ページの『プラットフォーム固有の JRE のインストール』を参照してください。


5. Tivoli Access Manager Runtime の InstallShield ウィザードを開始するために、「次へ (Next)」をクリックします。


7. GSKit をデフォルト・ディレクトリーにインストールするために、「次へ(Next)」をクリックします。

8. IBM Directory Client をデフォルト・ディレクトリーにインストールするために、「次へ (Next)」をクリックします。

9. Tivoli Access Manager ランタイム環境をデフォルト・ディレクトリーにインストールするために、「次へ (Next)」をクリックします。


v 「Policy server のホスト名 (Policy server host name)」— Policy Server

システムのホスト名を入力します。

v 「Policy server の SSL ポート (Policy server SSL port)」— Policy

Server の SSL ポートには、デフォルト値が表示されます (7135)。このポート番号を変更した場合は、この値を変更します。

v 「Policy Server CA 証明書のファイル (Policy server CA CertificateFile)」— Tivoli Access Manager Runtime は、接続先の別の Tivoli Access



Manager サーバーを認証するためには、Policy Server が構成時に作成したpdcacert.b64 ファイルのコピーを備えている必要があります。以下のいずれかを行います。

– Policy Server に pdcacert.b64 ファイルのダウンロードを許可してある場合、値は不要です。

– Policy Server にこの証明書ファイルのダウンロードを許可しなかった場合は、pdcacert.b64 ファイルをコピーしたこのシステム上の完全修飾パスを入力します。

注: ユーザー・レジストリーの選択は、「LDAP」です。このオプションは変更できません。


v 「LDAP サーバー・ホスト名 (LDAP server host name)」— LDAP サーバー・システムのホスト名を入力します。

v 「LDAP サーバー・ポート (LDAP server port)」— LDAP サーバー・ポートは、すでに提供されています（389)。必要であれば、このポート番号を変更してください。

v 「GSO データベースの LDAP DN (LDAP DN for GSO database)」—

LDAP サーバーの構成時に入力したサフィックスまたは既存の DN 値を入力します。たとえば、前のシナリオで使用したサフィックスは、o=tivoli,c=usでした。

v 「Secure Sockets Layer (SSL) を IBM Directory Server で稼動可能にする (Enable Secure Sockets Layer (SSL) with the IBM Directoryserver)」— セキュリティー上の理由から、LDAP サーバーとの SSL 通信を使用可能にすることをお勧めします。そのためには、このチェック・ボックスにチェックマークを付けて、ステップ 12 でリストされる SSL オプションのプロンプトが表示されるようにします。そのようにしない場合は、ステップ 13 へスキップします。

12. LDAP サーバーとの SSL を使用可能にすることを選択した場合は、以下のフィールドに入力し、「次へ (Next)」を選択します。

v 「絶対パスでのキー・ファイル (Key file with full path)」— LDAP SSL

クライアント・キー・ファイルが置かれている完全修飾パスを入力します。たとえば、pd_ldapkey.kdb ファイルを c:¥keytabs ディレクトリーへコピーした場合は、c:¥keytabs¥pd_ldapkey.kdb と入力します。

v 「キー・ファイル・パスワード（Key file password)」— キー・ファイルに関連付けられているパスワードを入力します。 pd_ldapkey.kdb ファイルのデフォルト・パスワードは、gsk4ikm です。将来、gsk5ikm ユーティリティーを使用してこのパスワードを変更する場合は、このデフォルト・パスワードを思い出す必要があります。

v 「LDAP SSL キー・ファイル DN (必要な場合) (LDAP SSL key file DN(if required))」— 簡易インストールのデフォルト・キー・ファイル(pd_ldapkey.kdb) を使用している場合、SSL 証明書ラベルは必要ありません。

v 「SSL ポート番号 (SSL port number)」— SSL ポート番号には、デフォルト値が表示されます (636)。必要であれば、このポート番号を変更してください。



13. 表示されている構成オプションを確認します。「次へ (Next)」を選択してインストールを開始します。

14. インストール・プロセスが開始されます。このプロセスには、数分かかる場合があります。 Runtime インストール・プロセスが完了するのを待ちます。

15. 「次へ (Next)」をクリックして、システムを自動的に再始動させます。

16. システムを再始動した後、使用したい言語を選択してインストールを続行し、「OK」をクリックします。

17. Tivoli Access Manager Runtime のインストール作業と、アンインストール・プログラム作成作業のモニターを続行します。インストールが完了すると、Runtime のインストールが正常に完了したことを通知されます。このプログラムを終了するために、「終了 (Finish)」をクリックします。

インストール中にエラーが起きた場合は、TEMP 変数で指定した一時ディレクトリーに置かれている msg__amismp.log ファイルを表示できます。

Web Portal Manager システムのセットアップ次のシナリオでは、ezinstall_pdwpm.bat ファイルを使用して、Tivoli Access

Manager Runtime システムと Web Portal Manager インターフェースのインストールと構成を行います。このバッチ・ファイルは、前提条件製品、Tivoli Access

Manager コンポーネント、および関連のパッチも含め、必要なすべてのソフトウェアをご使用のシステム上にインストールし、構成します。

表 16 は、Web Portal Manager とその前提条件ソフトウェアの構成オプションをリストにしたものです。次のシナリオを読み、指定する値を空欄に記入してください。後で、インストールのときに、これらの値の入力を求められます。

表 16. Web Portal Manager システムのインストール・ワークシート


ディレクトリー名 C:¥Program Files¥IBM¥GSK ____________________________


管理 ID


____________________________

管理パスワード ___________________ ____________________________HTTP ポート 80 ____________________________インストール・ディレクトリー C:¥Program Files¥IBM HTTP Server ____________________________

IBM Directory Client デフォルト値指定する値デフォルト値指定する値

インストール・ディレクトリー C:¥Program Files¥IBM¥LDAP ____________________________

IBM Tivoli Access Manager Runtime デフォルト値指定する値デフォルト値指定する値


ldap ____________________________

LDAP サーバー・ホスト名 ____________________________LDAP サーバー・ポート 389 ____________________________



表 16. Web Portal Manager システムのインストール・ワークシート (続き)


____________________________

SSL を LDAP サーバーで稼動可能にする

推奨: Y ____________________________


LDAP SSL キー・ファイル ____________________________

LDAP SSL キー・ファイル DNデフォルトの SSL キー・ファイルを使用する場合、値は不要。

____________________________

LDAP SSL キー・ファイル・パスワード gsk4ikm ____________________________LDAP サーバー SSL ポート 636 ____________________________

インストール・ディレクトリーC:¥Program Files¥Tivoli¥Policy

Director____________________________

Access Manager Policy Server のホスト名

____________________________

AM Policy Server の SSL サーバー・ポート

7135 ____________________________

Policy Server CA 証明書のファイル名Policy Server に証明書ファイルのダウンロードを許可してある場合、値は不要です。

____________________________

Tivoli Access Manager Runtime システムと Web Portal Manager インターフェースのインストールと構成を行うには、以下のステップを実行します。

1. LDAP サーバーと Policy Server が稼働していることを確認し、Windows システムに、 Administrator ユーザーとして (または、Administrator グループのメンバーである ID を使用して) ログオンしていることを確認します。

2. LDAP サーバーを構成するために使用した SSL キー・ファイルを、このシステムのいずれかのディレクトリーに手動でコピーします。たとえば、デフォルトの pd_ldapkey.kdb ファイルを IBM Directory Server システムのc:¥keytabs ディレクトリーから、このシステムの c:¥keytabs ディレクトリーへコピーします。

3. Web Portal Manager インターフェースをサポートする Web ブラウザーがインストールされていることを確認します。サポートされているブラウザーについては、IBM Tivoli Access Manager for e-business リリース情報を参照してください。

4. IBM Tivoli Access Manager Web Portal Manager for Windows CD のルート・ディレクトリーにある ezinstall_pdwpm.bat を実行します。





注: 以前にこのシステムに Tivoli Access Manager Runtime コンポーネントをインストールしてある場合は、「状況 (Status)」の列に、IBM Global Security

Toolkit、IBM Directory Client、および Tivoli Access Manager Runtime コンポーネントがすでにインストールされていることが示されます。その場合は、ステップ 15 (168ページ) へスキップします。

5. GSKit をデフォルト・ディレクトリーにインストールするために、Y を入力して Enter を押します。

6. このシステムへのログオンに使用した管理 ID (オプション 1 で指定した値) に関連したパスワードを入力し、Enter を押します。簡易インストールでは、IBM WebSphere Application Server と共にインストールされた IBM HTTP

Server のバージョンがアップグレードされることに注意してください。また、必要な IBM HTTP Server パッチもインストールされます。



注: オプション 3 は、IBM HTTP Server によって使用されるポートを指定します。 IBM HTTP Server を使用しない LDAP サーバーをインストールしてあり、しかも、同じシステム上に Web Portal Manager をインストールする場合は、必ず Web サーバーのポートを異なるものにしてください。簡易インストールでオプション 3 の値を変更するか、次に示すように、C:¥Program Files¥IBM HTTP Server¥conf¥httpd.conf ファイルを編集し、デフォルト・ポートの 80 を 8080 に変更できます。


7. 続行するために、Y を入力して Enter を押します。次に、Enter を押してIBM Directory Client をデフォルト・ディレクトリーにインストールします。


Directory Server をインストールしたホスト・システムの名前です。たとえば、前のシナリオで使用した IBM Directory Server のホスト名は dliburdi2 でし



た。この短いホスト名と、dliburdi2.dev.company.com のような完全修飾ホスト名のどちらを入力してもかまいません。




10. LDAP サーバーとの SSL を使用可能にするために Y を入力して Enter を押します。

11. LDAP SSL クライアント・キー・ファイルが置かれている完全修飾パスを入力し、Enter を押します。たとえば、pd_ldapkey.kdb ファイルを c:¥keytabs ディレクトリーへコピーした場合は、c:¥keytabs¥pd_ldapkey.kdb と入力してEnter を押します。

12. LDAP SSL クライアント・キー・ファイルのパスワードを入力し、Enter を押します。簡易インストールに組み込まれている pd_ldapkey.kdb ファイルには、gsk4ikm というデフォルト・パスワードがあります。このデフォルト・パスワードは、ezinstall_ldap_server.bat ファイルを使用して IBM Directory

Server のインストールと構成を行った場合、または、このデフォルト・キー・ファイルをネイティブ・インストールのときに指定した場合にだけ、使用してください。



注: gsk5ikm ユーティリティーを使用してこのパスワードを変更する場合、このデフォルト・パスワードを思い出す必要があります。

13. 続行するために、Y を入力して Enter を押します。次に、Policy Server のホスト名を入力し、Enter を押します。

14. Tivoli Access Manager Runtime は、接続先の別の Tivoli Access Manager サーバーを認証するためには、Policy Server が構成時に生成した CA 証明書ファイルのコピーを備えている必要があります。

以下のいずれかを行います。

v Policy Server に pdcacert.b64 ファイルのダウンロードを許可してある場合は、Enter を押します。値は必要ありません。

v Policy Server にこの証明書ファイルの自動ダウンロードを許可しなかった場合は、pdcacert.b64 ファイルをコピーしたこのシステム上の完全修飾パスを入力し、Enter を押します。



15. 続行するために、Y を入力して Enter を押します。次に、このシステムへのログオンに使用した管理 ID (オプション 1 で指定した値) に関連したパスワードを入力し、Enter を押します。

16. 続行するために、Y を入力して Enter を押します。インストール・プロセスが開始されます。各製品が、リストされた順序でインストールされます。 IBM

WebSphere Application Server のインストールが開始されると、次のように、通知とメッセージが表示されます。



17. その後、インストールされたコンポーネントが構成され、Web Portal Manager

がインストールされます。 Tivoli Access Manager Java Runtime Environment もWeb Portal Manager コンポーネントと共に完全自動方式でインストールされます。

Runtime クライアント・システムと Web Portal Manager のインストールを完了するために、Enter を押し、システムを自動的に再始動させます。


Server が実行されていることを確認します。そのためには、「スタート」→「プログラム」→「IBM WebSphere」→「Application Server 4.0」→「アプリケーション・サーバーの開始 (Start Application Server)」を順にクリックします。





C:¥Program Files¥Tivoli¥Policy Director¥keytab¥pdwpm.kdb


C:¥Program Files¥Tivoli¥Policy Director¥keytab¥pdwpm.sth







注: インストール中にエラーが起きた場合は、TEMP 変数で指定した一時ディレクトリーに置かれている ezinstall.log ファイルを表示できます。



第 11 章簡易インストール応答ファイルの使用

Tivoli Access Manager では、応答ファイルを作成して、簡易インストール・コンポーネントのインストールと構成を簡素化できます。応答ファイルは、コンポーネントのインストールと構成に必要な製品およびシステム情報が入っているテキスト・ファイルです。これは、無人 (サイレント) インストールを実行するのに役立ちます。このインストール・プロセスは、空欄に値を入力することを要求するプロンプトを出す代わりに、応答ファイルから情報を読み取ります。また、テキスト・エディターを使用してコンポーネントを追加したり、オプションをカスタマイズすることにより、将来のインストールで応答ファイルを再使用することができます。

このセクションには、以下のセクションが含まれています。

v 『応答ファイルの作成』

v 172ページの『応答ファイルを使用したコンポーネントのインストール』

v 172ページの『応答ファイルの例 (ezinstall)』

v 175ページの『応答ファイルのオプション』

注: 応答ファイルに関する考慮事項は、簡易インストールに関する考慮事項と同じです。

応答ファイルの作成任意のテキスト・エディターを使用して応答ファイルを最初から作成するか、または、ezinstall スクリプトを使用して、インストール時に指定した応答に基づいて応答ファイルを自動的に生成できます。

UNIX システムでは、応答ファイルの名前は、インストールして構成したパッケージに基づいて付けられます。たとえば、ezinstall_ldap_server スクリプトを実行した場合、生成される応答ファイルの名前は、ezinstall_ldap_server.rsp になります。実行した各パッケージの応答ファイルは、/var/tmp ディレクトリーに保管されます。

Windows システムでは、簡易インストールにより、ezinstall.rsp という応答ファイルが生成されます。この応答ファイルは、%TEMP% 変数で指定された値である一時ディレクトリー内にあります。たとえば、ezinstall_ldap_server.bat ファイルを実行した場合、生成される応答ファイルの名前は、%TEMP%¥ezinstall.rsp になります。

install_pdrte InstallShield プログラムによる処理は、ezinstall スクリプトやバッチ・ファイルとわずかながら異なることに注意してください。 Tivoli Access

Manager Runtime 応答ファイルを作成するには、Tivoli Access Manager Base CD で提供されるテンプレートをハード・ディスクにコピーし、値を編集する必要があります。テンプレートの名前と置かれているディレクトリーは、次のとおりです。


/common/unixismp.rsp.template



\common\winismp.rsp.template

応答ファイルを使用したコンポーネントのインストール応答ファイルを使用して Tivoli Access Manager コンポーネントをインストールするには、以下の基本ステップを実行します。

1. 応答ファイルを編集してその構文を検査し、情報が正確であることを確認します。応答ファイルのスタンザに関する説明は、175 ページの『応答ファイルのオプション』を参照してください。すべての ezinstall プロセス (ただし、install_pdrte は除く) で、応答ファイルを使用して ezinstall を実行したときは、値に実際のパスワードを提供するか、またはパスワードの入力を求めるプロンプトが表示されるまで待つことができます。 install_pdrte を使用する場合は、必要なすべての値を提供する必要があり、そうしないとプロセスが失敗します。

2. 簡易インストール・スクリプトを実行し、応答ファイルを指定します。たとえば、次のとおりです。

v UNIX システムでは、次のように入力します。

ezinstall_ldap_server /tmp/ezinstall_ldap_server.rsp

/tmp/ezinstall_ldap_server.rsp は応答ファイルの完全修飾名です。

v Windows システムでは、次のように入力します。

ezinstall_ldap_server c:\temp\ezinstall.rsp

c:¥temp¥ezinstall.rsp は応答ファイルの完全修飾名です。

3. 応答ファイルを使用して install_pdrte プロセスを実行するために、次のように入力します。

install_pdrte -options response_file

response_file は、応答ファイルへの完全修飾パスです。この使用法は、Windows

と UNIX システムの両方に適用できます。

注: インストール後、生成された応答ファイルを保護するか消去することをお勧めします。

応答ファイルの例 (ezinstall)応答ファイルには、attribute=value のペアのスタンザが含まれます。スタンザは、大括弧で囲まれたスタンザ名 ([LDAPS] など) を含む行で始まり、大括弧で囲まれた他のスタンザ名を使用する他の行によって終わるか、またはファイルの終わりに到達したときに終わります。各スタンザは 0 または 1 個以上のattribute=value ペアを含んでいます。応答ファイル内で 1 つのスタンザ名を複数回繰り返して使用することはできません。応答ファイルにコメントを追加するには、文字 # をコメントの前に使用します。

以下に、簡易インストール・スクリプトによって生成された応答ファイルの例を示します。簡易インストールは、欠落値を指定できるようにするために、構成中に一時停止することに注意してください。

簡易インストール応答ファイルの使用


注: IBM Directory Client のデフォルトのキー・ファイル・パスワードは、gsk4ikmです。

UNIX の例[HTTPD]http-admin-id = roothttp-admin-pwd = secrethttp-port = 80

[LDAPS]ldap-adminid = cn=rootldap-password = secretsuffix = o=tivoli,c=ushost = ldapserv.tivoli.comport = 389ldap-ssl-client-keyfile = /cdrom/common/pd_ldapkey.kdbldap-ssl-client-keyfile-pwd = gsk4ikmldap-label = PDLDAP

[PDRTE]ldap-or-domino = 1host = ldapserv.tivoli.comport = 389ldap-server-ssl-port = 636master-host = pdmgr.tivoli.compd-cacert =enable-ssl = Yssl-client-keyfile = /var/ldap/keytab/pd_ldapkey.kdbssl-keyfile-pwd = gsk4ikmssl-port = 7135

[PDMGR]ldap-adminid = cn=rootldap-password = secretssl-life = 365ssl-port = 7135sec-master-pwd = secretenable-cert-download = Yprompt-languages = N

Windows の例[PDRTE]registry-type=ldapldap-server=ldapserv.tivoli.comldap-port=389ldap-ssl-port=636pdmgr-host=pdmgr.tivoli.comcacert=enable-ssl=Yssl-client-keyfile=c:\keytabs\pd_ldapkey.kdbssl-client-keyfile-dn=suffix=o=tivoli,c=uspdmgr_ssl_port=7135pdc_dir=C:\Program Files\Tivoli\Policy Directorssl-client-keyfile-pwd=gsk4ikm

[PDMGR]ldap-admin-id=cn=rootldap-admin-pwd=secretssl-port=7135cert-life=365enable-cert-download=Ysec-master-pwd=secret


第 11 章簡易インストール応答ファイルの使用 173

[DB2]admin-pwd=db2admininstall_dir=C:\SQLDIR

[HTTPD]admin-id=administratoradmin-pwd=secretport=80install_dir=C:\Program Files\IBM HTTP Server

[LDAPS]admin-id=cn=rootadmin-pwd=secrethostname=ldapserv.tivoli.comserver-port=389suffix=o=tivoli,c=usssl-client-keyfile=c:\keytabs\pd_ldapkey.kdbssl-client-keyfile-pwd=gsk4ikmlabel=PDLDAP

[PDACLD]admin-id=cn=rootadmin-pwd=secretsec-master-pwd=secret

[LDAP]install_dir=C:\Program Files\IBM\LDAP

応答ファイルの例 (install_pdrte)応答ファイルには、-w attribute=value ペアが含まれています。 attribute は、ウィザード・パネルの Bean 名の後にピリオドを付け、さらにオプション名を続けたものです。 Bean 名は install_pdrte プロセスに組み込まれており、変更することはできません。応答ファイルにコメントを追加するには、文字 # をコメントの前に使用します。以下の例は、CD の /common ディレクトリーに入っている応答テンプレートを示しています。読みやすくするために、必要なオプションの説明が、より小 (<) 文字とより大 (>) 文字の間に置かれています。必ず、ストリング全体を等号(=) の右側に置いてください。

注: IBM Directory Client のデフォルトのキー・ファイル・パスワードは、gsk4ikmです。

UNIX の例# To run the process in silent mode, specify -silent either here or on the cmd line.-silent-W AMRTE_ServerOptions_Panel.hostName=<Policy Server Hostname>-W AMRTE_ServerOptions_Panel.listeningPort=7135-W AMRTE_ServerOptions_Panel.certFile=-W AMRTE_LDAP_Options_Panel.ldapHostName=<LDAP Server Hostname>-W AMRTE_LDAP_Options_Panel.ldapPortNumber=389-W AMRTE_LDAP_Options_Panel.enableSSL=N-W AMRTE_LDAPSSLOptions_Panel.sslPort=636-W AMRTE_LDAPSSLOptions_Panel.keyFile=-W AMRTE_LDAPSSLOptions_Panel.keyFilePasswd=-W AMRTE_LDAP_Options_Panel.ldapDNGSO=<dn for gso database - example: o=tivoli,c=us>



Windows の例# To run the process in silent mode, specify -silent either here or on the cmd line.-silent-W GSKIT_Panel.installDirectory=c:\Program Files\IBM\gskit-W LDAPC_Panel.installDirectory=c:\Program Files\LDAP-W AMRTE_Panel.installDirectory=c:\Program Files\Tivoli\Policy Director-W AMRTE_ServerOptions_Panel.hostName=<Policy Server Hostname>-W AMRTE_ServerOptions_Panel.listeningPort=7135-W AMRTE_ServerOptions_Panel.certFile=-W AMRTE_LDAP_Options_Panel.ldapHostName=<LDAP Server Hostname>-W AMRTE_LDAP_Options_Panel.ldapPortNumber=389-W AMRTE_LDAP_Options_Panel.enableSSL=N-W AMRTE_LDAPSSLOptions_Panel.sslPort=636-W AMRTE_LDAPSSLOptions_Panel.keyFile=-W AMRTE_LDAPSSLOptions_Panel.keyFilePasswd=-W AMRTE_LDAP_Options_Panel.ldapDNGSO=<dn for gso database - example: o=tivoli,c=us>

応答ファイルのオプション以下の表には、応答ファイルで使用できるさまざまなスタンザ・キーワード・オプションが示されています。スタンザ名は、UNIX プラットフォーム上で読みやすくするために使用されます。

UNIX 応答ファイルのオプション

スタンザ名キーワード説明

[HTTPD] http-admin-id 管理者のユーザー名を指定します。デフォルトは、Administrator です。

[HTTPD] http-admin-pwd 管理者のパスワードを指定します。

[HTTPD] http-port HTTPD が使用するポートを指定します。

[LDAPS] ldap-adminid LDAP アドミニストレーター ID または識別名 (DN) を指定します。デフォルトは、cn=root です。

[LDAPS] ldap-password LDAP アドミニストレーター・パスワードを指定します。

[LDAPS] host LDAP サーバー・ホスト名を指定します。デフォルトは、構成されているシステムのホスト名です。

[LDAPS] server-port LDAP サーバーの非 SSL ポート番号を指定します。デフォルトのポート番号は389 です。

[LDAPS] suffix グローバル・サインオン (GSO) データベースの LDAP 識別名を指定します。たとえば、o=tivoli,c=us となります。

[LDAPS] ldap-ssl-client-keyfile LDAP SSL キー・ファイルへのパスを指定します。デフォルトは、CD に含まれている /common/pd_ldapkey.kdb です。このファイルを使用する場合、必要なパスワードは gsk4ikm で、サーバー側ラベルは PDLDAP です。



スタンザ名キーワード説明

[LDAPS] ldap-ssl-client-keyfile-pwd キー・ファイルに関連するパスワードを指定します。デフォルトのmedia/common/pd_ldapkey.kdb を使用する場合、パスワードは gsk4ikm です。

[LDAPS] ldap-label SSL キー・ファイルに関連するラベルを指定します。デフォルトのmedia/common/pd_ldapkey.kdb を使用する場合、ラベルは PDLDAP です。

[PDMGR] ldap-adminid LDAP アドミニストレーター ID を指定します。デフォルトは、cn=root です。この ID は、LDAP サーバーの構成時に作成されます。

[PDMGR] ldap-password LDAP アドミニストレーター・パスワードを指定します。

[PDMGR] port LDAP サーバーの非 SSL ポートを指定します。デフォルトのポート番号は 389

です。

[PDMGR] ssl-life 証明書ファイル (pdcacert.b64) の存続期間を指定します。デフォルトは 365

日です。

[PDMGR] enable-cert- download Tivoli Access Manager Runtime 環境を他のシステムで使用可能にし、証明書ファイル (pdcacert.b64) を自動ダウンロードするように指定します。有効な値はY (使用可能) または N (使用不可) です。

[PDMGR] sec-master-pwd セキュリティー・マスターのパスワードを指定します。

[PDACLD] ldap-adminid LDAP アドミニストレーター ID を指定します。デフォルトは、cn=root です。この ID は、LDAP サーバーの構成時に作成されます。

[PDACLD] ldap-password LDAP アドミニストレーター・パスワードを指定します。

[PDACLD] sec-master-pwd セキュリティー・マスターのパスワードを指定します。このパスワードは、Policy Server の構成時に作成されます。

Windows 応答ファイルのオプション

スタンザ名Win32キーワード説明

[DB2] admin-pwd 管理者のパスワードを指定します。 Administrator

として Windows システムにログインする場合、db2admin というデフォルトのパスワードを使用します。




[DB2] admin-uid 管理者のユーザー名を指定します。Administrator として Windows システムにログインする場合、db2admin というデフォルトのパスワードを使用します。

[DB2] install_dir インストール・ディレクトリーを指定します(WIN32 のみ)。ドライブおよびディレクトリーを指定します。例: C:¥SQLDIR

[HTTPD] admin-id 管理者のユーザー名を指定します。デフォルトは、Administrator です。

[HTTPD] admin-pwd 管理者のパスワードを指定します。

[HTTPD] port HTTPD が使用するポートを指定します。

[HTTPD] install_dir インストール・ディレクトリーを指定します。ドライブおよびディレクトリーを指定します。例:

C:¥Program Files¥IBM HTTP Server

[LDAP] install_dir インストール・ディレクトリーを指定します(WIN32 のみ)。ドライブおよびディレクトリーを指定します。例: C:¥Program Files¥IBM¥LDAP。 LDAP

クライアントおよびサーバー・ソフトウェアは、このディレクトリー内にあります。

[LDAPS] admin-id LDAP アドミニストレーター ID または識別名(DN) を指定します。デフォルトは、cn=root です。

[LDAPS] admin-pwd LDAP アドミニストレーター・パスワードを指定します。

[LDAPS] hostname LDAP サーバー・ホスト名を指定します。デフォルトは、構成されているシステムのホスト名です。

[LDAPS] server-port LDAP サーバーの非 SSL ポート番号を指定します。デフォルトのポート番号は 389 です。

[LDAPS] suffix グローバル・サインオン (GSO) データベースのLDAP 識別名を指定します。たとえば、o=tivoli,c=us となります。

[LDAPS] ssl-client-keyfile LDAP SSL キー・ファイルへのパスを指定します。デフォルトは、/common/pd_ldapkey.kdb で、 CD

に添付されています。このファイルが使用される場合、 gsk4ikm のパスワードおよび PDLDAP のサーバー側のラベルが必要です。

[LDAPS] ssl-client-keyfile-

pwd

キー・ファイルに関連するパスワードを指定します。デフォルトの media/common/pd_ldapkey.kdb

を使用する場合、パスワードは gsk4ikm です。

[LDAPS] label SSL キー・ファイルに関連するラベルを指定します。デフォルトの media/common/pd_ldapkey.kdb

を使用する場合、ラベルは PDLDAP です。

[GSKIT] install_dir インストール・ディレクトリーを指定します(WIN32 のみ)。ドライブおよびパスを指定します。例: C:¥Program Files¥IBM¥GSK




[PDMGR] ldap-admin-id LDAP アドミニストレーター ID を指定します。デフォルトは、cn=root です。この ID は、LDAP サーバーの構成時に作成されます。

[PDMGR] ldap-admin-pwd LDAP アドミニストレーター・パスワードを指定します。

[PDMGR] ssl-port LDAP サーバーの非 SSL ポートを指定します。デフォルトのポート番号は 389 です。

[PDMGR] cert-life 証明書ファイル (pdcacert.b64) の存続期間を指定します。デフォルトは 365 日です。

[PDMGR] enable-cert-

download

Tivoli Access Manager Runtime 環境を他のシステムで使用可能にし、証明書ファイル (pdcacert.b64)

を自動ダウンロードするように指定します。有効な値は Y (使用可能) または N (使用不可) です。

[PDMGR] sec-master-pwd セキュリティー・マスターのパスワードを指定します。

[PDACLD] admin-id LDAP アドミニストレーター ID を指定します。デフォルトは、cn=root です。この ID は、LDAP サーバーの構成時に作成されます。

[PDACLD] admin-pwd LDAP アドミニストレーター・パスワードを指定します。

[PDACLD] sec-master-pwd セキュリティー・マスターのパスワードを指定します。このパスワードは、Policy Server の構成時に作成されます。

[WEB] install_dir IBM WebSphere Application Server アドバンスド・シングル・サーバーのインストール・ディレクトリーを指定します。これは、Web Portal Manager の前提条件です。ドライブおよびディレクトリーを指定します。例: C:¥WebSphere¥AppServer



付録 A. Secure Sockets Layer の使用可能化

LDAP サーバーまたは Domino Server と、IBM Tivoli Access Manager ソフトウェアをサポートする IBM Directory Client との間で、Secure Sockets Layer (SSL) 通信を使用可能にすることをお勧めします。

注: 簡易インストールを使用して IBM Directory Server をインストールした場合は、この付録にある手順をスキップできます。 ezinstall_ldap_server スクリプトは、LDAP サーバーとその前提条件ソフトウェアをインストールして構成するときに、SSL を使用可能にするプロセスも手順ごとにガイドします。

SSL を使用可能にするには、まずサーバー上に SSL を構成し、その後、IBM

Directory Client 上に SSL を構成する必要があります。 SSL を構成するときは、以下の認証タイプのうちのどちらかを選択するようにプロンプトが出されます。

サーバー認証サーバーがその証明書をクライアントに送信して、クライアントがそのサーバーを認証します。

サーバーおよびクライアント認証サーバーは、証明書をクライアントに送信してそのクライアントに認証された後で、クライアントの証明書を要求します。この場合は、クライアント・システムでもサーバーと同様に証明書が作成されている必要があります。

サーバー認証だけをインプリメントすることを選択した場合、サーバーおよび IBM

Directory Client を SSL アクセス用に構成しなければなりません。ただし、サーバーおよびクライアント認証をインプリメントすることを選択した場合、サーバー上で SSL を構成し、クライアント上で SSL を構成してから、 198ページの『LDAP

サーバーおよびクライアント認証の構成』の指示に従う必要があります。

この章は、以下の主なセクションに分かれています。

v 『SSL アクセスのための IBM Directory Server の構成』

v 186ページの『SSL アクセスのための iPlanet Directory Server の構成』

v 191ページの『SSL アクセスのための Novell eDirectory Server の構成』

v 195ページの『SSL アクセスのための IBM Directory Client の構成』

v 189ページの『SSL アクセスのための OS/390 および z/OS LDAP サーバーの構成』

v 198ページの『LDAP サーバーおよびクライアント認証の構成』

v 203ページの『Domino 用の SSL の使用可能化』

SSL アクセスのための IBM Directory Server の構成SSL の使用を可能にすると、Tivoli Access Manager サーバーと LDAP サーバー間の通信を保護することができます。このステップは、LDAP サーバーと IBM

Directory Client 間に SSL 通信を初めてセットアップするときにだけ実行する必要があります。


すでに LDAP サーバー構成の際に LDAP サーバーへの SSL アクセスを使用可能にしてある場合は、クライアントとサーバーの鍵リングのペアを、SSL アクセスを使用する他の各 Tivoli Access Manager システムへコピーする必要があります。

ご使用の LDAP サーバーに SSL アクセスが必要な場合は、GSKit を使用して SSL

鍵管理を行ってください。 GSKit は、gsk5ikm と呼ばれるグラフィカルな鍵管理ユーティリティーを提供しています。

注: gsk5ikm ユーティリティーを使用して SSL を使用可能にする方法についての詳細は、 IBM SecureWay Installation and Configuration Guide を参照してください。

IBM Directory Server 上で SSL アクセスを使用可能にするには、以下のセクションの手順を実行します。

v 180 ページの『鍵データベース・ファイルおよび証明書の作成』

v 181 ページの『認証局からの個人証明書の取得』または 182ページの『自己署名証明書の作成と抽出』

v 183ページの『SSL アクセスの使用可能化』

鍵データベース・ファイルおよび証明書の作成LDAP サーバー上で SSL サポートを使用可能にするためには、サーバーを識別して、個人証明書として使用することのできる証明書がサーバーになければなりません。この個人証明書は、クライアントがサーバーを認証できるようにするために、サーバーがクライアントに送信する証明書です。証明書、および公開鍵と秘密鍵のペアは鍵データベース・ファイルに保管されています。ユーザーは普通、認証局から VeriSign などの署名付き証明書を取得します。

ユーザーは代わりに自己署名証明書を使用できます。自己署名証明書を使用する場合は、その証明書が生成されるシステムが認証局となります。

鍵データベース・ファイルと証明書は、gsk5ikm ユーティリティーを使用して作成してください。鍵データベース・ファイルと証明書 (自己署名付きまたは署名付き)

を作成するには、以下のステップを実行します。

1. LDAP サーバーと、SSL を使用する予定の IBM Directory Client クライアントの両方に、サポートされているバージョンの GSKit および gsk5ikm がインストールされていることを確認します。

注: SuSE SLES-7 2.4 カーネル・システムの場合に限り、GSKit ユーティリティーが確実に正しい C++ ライブラリーを使用するようにします。そのためには、次のコマンドを入力します。

export LD_PRELOAD=/usr/lib/libstdc++libc6.1-2.so.3

この環境変数は、2.2 カーネル・システム上で gsk5ikm を実行する場合は必要ありません。

2. 次のいずれかのデフォルト・ディレクトリーに置かれている gsk5ikm ユーティリティーを開始します。

SSL — IBM Directory Server


システムパス

AIX /usr/opt/lpp/ibm/gsk5/bin/gsk5ikm

HP-UX /opt/ibm/gsk5/bin/gsk5ikm

Linux /usr/local/ibm/gsk5/bin/gsk5ikm

Solaris /opt/IBM/GSK5/bin/gsk5ikm

Windows C:¥Program Files¥IBM¥GSK5¥bin¥GSK5ikm.exe

注: Linux for zSeries の場合に限り、gsk5ikm ユーティリティーを実行するには、X Window システム・セッションが必要であり、次のように、IBM

Java バージョン 1.3.1 が PATH 環境変数を通じてアクセス可能でなければなりません。

export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH

IBM Java Runtime Environment バージョン 1.3.1 は、次の IBM Java for

Linux サイトからダウンロードできます。

http://www6.software.ibm.com/dl/lxdk/lxdk-p

3. 新規の鍵データベース・ファイルを作成するには、「キー・データベース・ファイル (Key Database File)」→「新規 (New)」を選択します。

4. 選択された鍵データベース・タイプが「CMS キー・データベース・ファイル(CMS key database file)」であることを確認します。

5. 鍵データベース・ファイルの「ファイル名 (File Name)」と「位置(Location)」のフィールドに情報を入力します。鍵データベース・ファイルの拡張子は、.kdb です。

6. 「OK」をクリックします。

7. 鍵データベース・ファイルのパスワードを入力し、それを確認します。このパスワードは、鍵データベース・ファイルを編集するときに必要ですので、覚えておいてください。

8. デフォルトの有効期限を受け入れるか、組織の必要に応じてそれを変更します。

9. パスワードをマスクして stash ファイルに保管する場合は、「ファイルに対してパスワードを隠しておく (Stash the password to a file)」を選択します。

stash ファイルは、幾つかのアプリケーションによる使用が可能なので、アプリケーションが鍵データベース・ファイルを使用するためのパスワードを知る必要はありません。 stash ファイルの場所と名前は鍵データベース・ファイルと同じで、拡張子は .sth です。

10. 「OK」をクリックします。これで、鍵データベース・ファイルの作成は完了です。デフォルトの署名者証明書が設定されています。これらの署名者証明書は、認識されているデフォルトの認証局です。

認証局からの個人証明書の取得認証局からの証明書を使用することを計画している場合は、自己署名証明書の代わりに、認証局からの証明書を要求し、完成してからそれを受け取る必要があります。


付録 A. SSL の使用可能化 181

自己署名証明書を使用することを計画している場合は、このセクションは読まずに、『自己署名証明書の作成と抽出』に進んでください。

証明書を要求して受け取るには、以下のステップを実行します。

1. gsk5ikm を使用して、認証局 (CA) に証明書を要求し、次に新しい証明書を鍵データベース・ファイル内に受信します。

2. 鍵データベース・ファイルの「個人の認証要求 (Personal CertificateRequests)」セクションをクリックします。

3. 「新規 (New)」をクリックします。

4. 認証局に送信可能な要求を作成するには、情報を完成させてから「OK」をクリックします。

5. 認証局から証明書が返送されてきた後で、それを鍵データベース・ファイルにインストールするには、「個人の証明書 (Personal Certificates)」セクションをクリックしてから「受取 (Receive)」をクリックします。

6. 鍵データベース・ファイル内に LDAP サーバーの証明書をインストールしたら、LDAP サーバーを構成して SSL を使用可能にします。

183ページの『SSL アクセスの使用可能化』に進んでください。

自己署名証明書の作成と抽出181ページの『認証局からの個人証明書の取得』の説明のように、既知の認証局から証明書を入手した場合は、このセクションをスキップし、 183ページの『SSL アクセスの使用可能化』に進んでください。

新しい自己署名証明書を作成して、それを鍵データベース・ファイルに保管するには、以下のステップを実行します。

1. 「作成 (Create)」→ 「新規自己署名証明書 (New Self-Signed Certificate)」を選択します。

2. 「キー・ラベル (Key Label)」フィールドに、GSKit が鍵データベース内でこの新しい証明書を識別するために使用できる名前を入力します。このラベルは、たとえば、LDAP サーバーのシステム名にすることができます。

3. 「バージョン (Version)」フィールド (デフォルトは X509 V3) と「キー・サイズ (Key Size)」フィールドのデフォルトを受け入れます。

4. 「共通名 (Common Name)」フィールドで、この認証に対するデフォルトのシステム名を受け入れるか、別の識別名を入力します。

5. 「組織 (Organization)」フィールドに会社名を入力します。

6. 任意のオプショナル・フィールドを入力するか、ブランクのままにしておきます。

7. 「国 (Country)」フィールドのデフォルトと、「妥当性期間 (ValidityPeriod)」フィールドの 365 を受け入れるか、組織の必要に応じてこれらを変更します。

8. 「OK」をクリックします。 GSKit が新しい公開鍵と秘密鍵のペアを生成し、証明書を作成します。

鍵データベース・ファイル内に 2 つ以上の個人証明書がある場合は、GSKit

が、この鍵をデータベース内のデフォルトの鍵にするかどうか尋ねます。その



うちのいずれかをデフォルトとして受け入れることができます。デフォルトの証明書は、どの証明書を使用するかを選択するためのラベルが提供されない場合に実行時に使用されます。

これで、LDAP サーバーの個人証明書の作成は完了です。これは、鍵データベース・ファイルの「個人の証明書 (Personal Certificates)」セクションに表示されます。鍵管理ユーティリティーの中央のバーを使用して、鍵データベース・ファイル内に保管されている証明書のタイプを選択してください。

証明書は、鍵データベース・ファイルの「署名者証明書 (Signer Certificates)」セクションにも表示されます。鍵データベースの「署名者の証明書 (Signer

Certificates)」セクションに、新しい証明書があることを確認してください。

次に、LDAP サーバーの証明書を Base64-encoded ASCII データ・ファイルに抽出する必要があります。

9. gsk5ikm を使用して LDAP サーバーの証明書を Base64-encoded ASCII データ・ファイルに抽出します。このファイルは、197 ページの『署名者証明書の追加』で使用されます。

10. 作成した自己署名証明書を強調表示します。

11. 「証明書の抽出 (Extract Certificate)」をクリックします。

12. データ・タイプとして「Base64 コード化 ASCII データ (Base64-encodedASCII data)」をクリックします。

13. 新しく抽出された証明書の証明書ファイル名を入力します。証明書ファイルの拡張子は、通常 .arm です。

14. 抽出された証明書を保管する場所を入力します。


16. この抽出された証明書を IBM Directory Client システムへコピーします。

これで、LDAP サーバーを構成して SSL を使用可能にすることができます。『SSL

アクセスの使用可能化』に進んでください。

SSL アクセスの使用可能化SSL を使用可能にするよう LDAP サーバーを構成するには、LDAP サーバーがインストールされて稼働していることを確認し、以下のステップを実行します。

Linux on zSeries システムの場合に限り、手動で slapd32.conf ファイルを更新し、SSL が使用可能となるように LDAP サーバーを構成する必要があります。そのためには、slapd32.conf ファイル内の cn=SSL,cn=Configuration エントリーを次の例のように更新します。



これ以上のアクションは必要ありません。

Linux on zSeries を除くすべてのシステムでは、次のようにします。

1. 次のアドレスにある IBM Directory Server Web 管理ツールにアクセスします。

http://servername/ldap

servername は、LDAP サーバー・システムの名前です。

2. まだログオンしていない場合は、LDAP アドミニストレーター (たとえばcn=root) としてログオンします。

3. 「セキュリティー (Security)」→「SSL」→ 「設定 (Settings)」と選択します。

4. 設定したい SSL 状況に応じて「SSL オン (SSL On)」(これは SSL を使用可能にします) または「SSL のみ (SSL Only)」のどちらかをクリックしてください。たとえば、次の図のようになります。

5. 以下のいずれかの認証メソッドを選択してください。

v サーバー認証 (Server Authentication)

dn: cn=SSL, cn=Configurationcn: SSLibm-slapdSecurePort: 636#ibm-slapdSecurity must be one of none/SSL/SSLOnlyibm-slapdSecurity: SSL#ibm-slapdSslAuth must be one of serverAuth/serverClientAuthibm-slapdSslAuth: serverauthibm-slapdSslCertificate: ldapcert#ibm-slapdSslCipherSpecs must be decimal value of bits in the mask 0x3F00ibm-slapdSslCipherSpecs: 12288#ibm-slapdSslKeyDatabase must be location of the key database# If a password stash file is present, the password need not be specifiedibm-slapdSslKeyDatabase: /usr/ldap/etc/key.kdbobjectclass: topobjectclass: ibm-slapdSSL



サーバー認証では、サーバーがその証明書をクライアントに送信して、クライアントがそのサーバーを認証します。

v サーバーおよびクライアント認証 (Server and Client Authentication)

サーバーおよびクライアント認証では、サーバーは、証明書をクライアントに送信してそのクライアントに認証された後で、クライアントの証明書を要求します。この場合は、クライアント・システムでも証明書が作成されている必要があります。

クライアントの SSL アクセスを使用可能にする ( 198ページの『LDAP サーバーおよびクライアント認証の構成』を参照) 際にクライアントの証明書を作成する必要があります。

6. ポート番号を入力するか、デフォルトのポート番号 636 を受け入れます。

7. 180 ページの『鍵データベース・ファイルおよび証明書の作成』で指定した鍵データベースのパスとファイル名を入力します。

鍵データベース・ファイルの拡張子は、.kdb です。

8. 「キー・ラベル (Key Label)」フィールドに、 LDAP サーバーの証明書を鍵データベースに保管する際これを識別するために使用した名前を入力します。このラベルは、たとえば、LDAP サーバーのシステム名にすることができます。

9. 鍵データベース・ファイルのパスワードを入力し、それを確認します。 LDAP

サーバーが stash ファイルを使用するようにする場合は、パスワード・フィールドはブランクにすることができます。

10. 「適用 (Apply)」をクリックします。

11. 「サーバーの再始動 (restart the server)」リンクをクリックし、LDAP サーバーを再始動してこの変更を有効にします。

SSL が使用可能にされたかどうかテストするには、LDAP サーバーのコマンド行から以下のコマンドを入力します。

ldapsearch -h servername -Z -K keyfile -P key_pw -b ""-s base objectclass=*

コマンド変数は以下のとおりです。

変数説明

servername LDAP サーバーの DNS ホスト名。

keyfile 生成された鍵リングの完全修飾パス名。

key_pw 生成された鍵リングのパスワード。

ldapsearch コマンドは、LDAP サーバーのサフィックスを含む LDAP 基本情報を返します。

LDAP サーバーの SSL セットアップはこれで終了です。

次に、SSL アクセスのための IBM Directory Client のセットアップを行います。195ページの『SSL アクセスのための IBM Directory Client の構成』に進んでください。



SSL アクセスのための iPlanet Directory Server の構成SSL を使用することによって、Tivoli Access Manager サービスと iPlanet Directory

Server との間で送信されるデータを暗号化して、データのプライバシーと保全性を維持することができます。管理者は、ユーザー・パスワードや専用データなどの情報を保護するために、SSL を使用可能にすることが勧められています。ただし、Tivoli Access Manager の操作に SSL は必須ではありません。

この手順は、iPlanet Directory Server と IBM Directory Client の間に SSL 通信を最初にセットアップするときにだけ実行する必要があります。 SSL 通信を使用可能にするには、iPlanet Directory Server と IBM Directory Client の両方を構成する必要があります。

iPlanet Directory Server での SSL アクセスの使用に関する詳細な情報については、iPlanet Directory Server の資料を参照してください。

以下のセクションにある手順を実行してください。

v 186 ページの『サーバー証明書の取得』

v 187ページの『サーバー証明書のインストール』

v 188ページの『SSL アクセスの使用可能化』

サーバー証明書の取得SSL サポートを使用可能にするには、iPlanet Directory Server はクライアント・システムに対して識別情報を示すために証明書が必要です。サーバーはクライアントに証明書を送って、クライアントがサーバーを認証できるようにします。この証明書は、Server-Cert と呼ばれます。

Server-Cert を設定するには、iPlanet Console 5.0 および証明書セットアップ・ウィザード (Certificate Setup Wizard) を使用します。

1. iPlanet Console 5.0 を始動します。

2. LDAP アドミニストレーターのユーザー ID を入力します。

3. パスワードを入力します。

4. 管理 Web アドレスを入力します。

5. Tivoli Access Manager によって使用されるドメインを選択します。

6. サーバー名を展開します。

7. 「サーバー・グループ (Server Group)」を展開します。

8. Directory Server というラベルの付いたエントリーを選択します。

iPlanet Directory Server に関する構成情報が表示されます。

9. 「開く (Open)」をクリックします。 iPlanet Directory Server にアクセスします。

10. 「構成 (Configuration)」タブをクリックします。

11. 「暗号化 (Encryption)」タブをクリックします。

12. 「このサーバーに SSL を使用可能にする (Enable SSL for this server)」チェック・ボックスにチェックが付いていないことを確認します。

SSL — iPlanet Directory Server


13. 「タスク (Tasks)」タブをクリックしてから、「証明書の管理 (ManageCertificates)」をクリックします。

注: 証明書用の秘密鍵は、パスワードで保護されたトークンと呼ばれる内部セキュリティー・デバイス上に保存されています。「証明書の管理 (ManageCertificates)」ボタンを初めてクリックするとき、このトークン用にパスワードを作成するためのプロンプトが出されます。

14. セキュリティー・パスワードを 2 回入力してから、「OK」をクリックします。「証明書の管理 (Manage Certificates)」ウィンドウが表示されます。

15. 「セキュリティー・デバイス (Security Device)」プルダウンで、「内部 (ソフトウェア) (internal (software))」が選択されていることと、「サーバー証明書(Server Certs)」タブが選択されていることを確認します。

16. ウィンドウの下部にある「要求 (Request)」ボタンをクリックします。「証明書要求ウィザード (Certificate Request Wizard)」パネルが表示されます。

17. 「証明書を手動で要求する (Request certificate manually)」ボタンが選択されていることを確認して、「次へ (Next)」をクリックします。

18. 要求情報を入力してから、「次へ (Next)」をクリックします。すべてのフィールドが完成していることを確認してください。続行するかどうかを尋ねるプロンプトが出されたら、「はい (Yes)」をクリックします。

19. 「アクティブな暗号化トークン (Active Encryption token)」フィールドが「内部 (ソフトウェア) (internal (software))」になっていることを確認します。

20. セキュリティー・デバイスのパスワードを入力してから、「次へ (Next)」をクリックします。

21. 証明書要求をファイルに保存するには、「ファイルに保存 (Save to File)」をクリックします。要求をクリップボードにコピーするには、「クリップボードにコピー (Copy to Clipboard)」をクリックします。その後、「完了(Done)」をクリックして要求を完了します。

22. 認証局管理者に、要求を E メールで送信するか、保管したファイルを要求に添付して送信します。

サーバー証明書のインストール認証局から証明書を受け取ったら、以下に示す手順を実行して証明書をインストールします。

1. iPlanet Directory Server Console をオープンします。

2. 「タスク (Tasks)」タブをクリックしてから、「証明書の管理 (ManageCertificates)」をクリックします。

3. 「サーバー証明書 (Server Certs)」が選択されていることを確認して、「インストール (Install)」をクリックします。


v 証明書をファイルからインストールするには、「ローカル・ファイルから (Inthis local file)」を選択します。

v ウィンドウ内にテキストを貼り付けるには、「以下のエンコードされたテキスト・ブロックから (In the following encoded text block)」を選択し、証明



書のテキストをコピーしてから、「クリップボードから貼り付ける (Pastefrom Clipboard)」をクリックします。

5. 「次へ (Next)」をクリックします。

6. 証明書の情報が正しいことを検証してから、「次へ (Next)」をクリックします。

7. 「この証明書の名前 (This certificate will be named)」フィールドで、証明書の名前を入力するかデフォルト名 server-cert を受け入れてから、「次へ(Next)」をクリックします。

8. トークンのパスワードを入力してから、「完了 (Done)」をクリックします。プロセスが正常に終了した場合、「証明書の管理 (Manage Certificate)」パネルが表示されて、サーバー証明書の名前が「サーバー証明書 (Server Certs)」タブの下にリストされます。

9. 『SSL アクセスの使用可能化』に進んでください。

SSL アクセスの使用可能化「証明書セットアップ・ウィザード (Certificate Setup Wizard)」を終了すると、以下に示すように iPlanet Console 5.0 の「暗号化 (Encryption)」タブに戻ります。

1. 「SSL の使用可能化 (Enable SSL)」を選択します。

2. 「RSA 暗号ファミリー (RSA Cipher Family)」にチェックマークを付けます。

3. 証明書に基づくクライアント認証を必要としない場合は、「クライアント認証を使用可能にしない (Do not allow client authentication)」を選択します。

4. 「保存 (Save)」をクリックします。

5. iPlanet Directory Server を再始動して、変更を有効にします。

注: サーバーを始動するごとに、トラスト・データベース・パスワードを入力する必要があります。

これで、SSL は iPlanet Directory Server で有効となりました。次に、iPlanet

Directory Server に対して LDAP クライアントとして機能する IBM Directory

Client システムで SSL を有効にする必要があります。



195 ページの『SSL アクセスのための IBM Directory Client の構成』を参照してください。

SSL アクセスのための OS/390 および z/OS LDAP サーバーの構成Tivoli Access Manager と LDAP サービスが同一の保護されたネットワーク上にない場合、 LDAP サーバーと Tivoli Access Manager ソフトウェアをサポートするクライアントの間で SSL 通信を使用可能にすることをお勧めします。このプロトコルは各サーバーおよびクライアント間に安全な暗号化された通信を提供します。Tivoli Access Manager はこうした通信チャネルを、認証および許可の決定を下すプロセスの一部として使用します。

SSL 通信用に LDAP サーバーを OS/390 または z/OS 上に構成するには、ご使用の OS/390 または z/OS のリリースに合った LDAP サーバーの管理と使用に関する資料を参照してください。この資料は、次の Web サイトに置かれています。

http://www-1.ibm.com/servers/eserver/zseries/zos/bkserv/

以下の高レベルのステップは、z/OS リリース 1.2 ～ 1.4 上で LDAP のためのSSL サポートを使用可能にするために必要です。これらのステップは、すでにLDAP ディレクトリー・サーバーのインストールと構成、および z/OS

Cryptographic Services System SSL のインストールが済んでいることを前提としています。

1. サーバー認証と、オプショナルのクライアント認証のために、SSL ポート上でLDAP 要求を listen するよう LDAP サーバーを構成します。

2. LDAP サーバーの秘密鍵とサーバー証明書を生成し、それをデフォルトとして鍵データベース内でマークを付けるか、そのラベルを sslCertificate 構成ファイル・オプションで使用します。

3. LDAP サーバーを再始動します。

セキュリティー・オプションのセットアップ以下の SSL 用オプションを slapd.conf ファイルの中で設定できます。

listen ldap_URLLDAP サーバーが着信クライアント要求を listen する IP アドレス (またはホスト名) とポート番号を、LDAP URL フォーマットで指定します。このパラメーターは、構成ファイルの中で複数回指定することができます。

sslAuth {serverAuth | serverClientAuth}SSL 認証方式を指定します。serverAuth 方式では、 LDAP クライアントは LDAP サーバーの妥当性を、クライアントとサーバー間の初期接触時に検査できます。serverAuth 方式がデフォルトです。

sslCertificate {certificateLabel | none}サーバー認証に使用される証明書のラベルを指定します。このラベルは鍵データベース・ファイルに保管され、このファイルは gskkyman ツールを使用して作成され、管理されます。

sslCipherSpecs intクライアントから受け入れられる SSL 暗号仕様を指定します。



表 17. サポートされる暗号

暗号 16 進値 10 進値

SLAPD_SSL_RC4_MD5_US 0x0800 2048

SLAPD_SSL_RC4_SHA_US 0x0400 1024

SLAPD_SSL_TRIPLE_DES_SHA_US 0x0100 256

SLAPD_SSL_DES_SHA_EXPORT 0x0200 512

SLAPD_SSL_RC2_MD5_EXPORT 0x1000 4096

SLAPD_SSL_RC4_MD5_EXPORT 0x2000 8192

sslCipherSpecs キーワードで使用される整数値は、表 17 の 16 進値を論理和演算して定義されたビット・マスクを 10 進数で表したものです。たとえば、米国内で使用可能なすべての暗号を使用するには、値を 15104 にします。 (米国外では、有効なすべての暗号仕様を示す値は 12288 です。) この場合、これらの暗号のいずれかをサポートするクライアントは、サーバーとの SSL 接続を確立できます。

sslKeyRingFile ファイル名サーバー用の SSL 鍵データベース・ファイルのパスおよびファイル名を指定します。このファイル名は、gskkyman ツールを使用して作成された鍵データベース・ファイル名に一致する必要があります。

sslKeyRingFilePW ストリングSSL 鍵データベース・ファイルへのアクセスを保護するパスワードを指定します。このパスワード・ストリングは、gskkyman ツールを使用して作成された鍵データベース・ファイルのパスワードに一致する必要があります。

注: sslKeyRingFilePW 構成オプションを使用しないことを強くお勧めします。その代わりに、RACF 鍵リング・サポートまたはsslKeyRingPWStashFile 構成オプションを使用してください。それによって、このパスワードを構成ファイルから除去できます。

sslKeyRingPWStashFile ファイル名サーバーの鍵データベース・ファイルのパスワードを隠しておくファイルの名前を指定します。このオプションが存在する場合は、この stash ファイルに入っているパスワードによって、sslKeyRingFilePW 構成オプションが存在しても指定変更されます。鍵データベース・パスワード stash ファイルを作成するには、gskkyman ユーティリティーと -s オプションを使用してください。

鍵データベース・ファイルの作成次の例では、gskkyman ユーティリティーを使用して鍵データベース・ファイルを作成する方法を示します。

1. シェル・プロンプト (OMVS または rlogin セッション) から、次のようにしてgskkyman ユーティリティーを開始します。

$ gskkyman

SSL — OS/390 および z/OS サーバー


gskkyman ユーティリティーはメニュー形式のインターフェースを提供します。機能を実行するには、実行したいオプションの番号を選択して、コマンド・プロンプトに入力します。

2. 新規の鍵データベース・ファイルを作成するために、オプション 1 を選択します。

3. 鍵データベース・ファイル名 (key.kdb がデフォルトです) を入力します。

4. 鍵データベースを保護するためのパスワードを入力します。

5. 確認のためにパスワードを再入力します。

6. パスワードの有効期限の日数を入力するか、有効期限がないことを示すためにEnter を押します。

7. データベース・レコードの長さを入力するか、2500 を使用するために Enter を押します。

鍵データベースが作成され、この操作の成否を示すメッセージが表示されます。

8. 「鍵管理メニュー (Key Management Menu)」で、自己署名証明書を作成するためにオプション 6 を選択し、プロンプトに従います。

9. 証明書が作成された後、この証明書が LDAP クライアント・システムへ送信されてトラステッド CA 証明書として追加されるよう、抽出する必要があります。これを行うには、以下のステップを実行します。

a. キーと証明書を管理するために、オプション 1 を選択します。

b. 「鍵および証明書のリスト (Key and Certificate List)」から、ラベル番号を入力します。

c. 「鍵および証明書のメニュー (Key and Certificate Menu)」で、証明書をファイルへエクスポートするためにオプション 6 を入力します。

d. 「エクスポート・ファイル・フォーマット (Export File Format)」ダイアログで、エクスポート・フォーマットを選択します。たとえば、Binary ASN.1

DER へエクスポートするには、オプション 1 を選択します。

証明書がエクスポートされます。この時点で、エクスポートされたファイルを LDAP クライアント・システムへ転送し、トラステッド CA 証明書として追加できます。エクスポートで binary DER のファイル・フォーマットを指定した場合、「追加 (Add)」操作を行うとき、LDAP クライアント・システムで、gsk5ikm ユーティリティーに対して同じファイル・タイプを指定する必要があります。

SSL アクセスのための Novell eDirectory Server の構成Secure Socket Layer (SSL) を使用することによって、Tivoli Access Manager サービスと NDS eDirectory との間で伝送されるデータを暗号化して、データのプライバシーと保全性を維持することができます。管理者は、ユーザー・パスワードや専用データなどの情報を保護するために、SSL を使用可能にすることが推奨されます。ただし、Tivoli Access Manager の操作に SSL は必須ではありません。使用するTivoli Access Manager 環境に SSL が必要でなければ、このセクションをスキップしてください。

SSL — OS/390 および z/OS サーバー


Tivoli Access Manager は、NDS eDirectory では、サーバー側の認証のみをサポートします。 NDS eDirectory Server を SSL 用に構成するには、ConsoleOne ツールがインストールされていることを確認し、以下のセクションの手順を実行します。

v 『組織の認証局オブジェクトの作成』

v 193ページの『自己署名証明書の作成』

v 193ページの『LDAP サーバー用のサーバー証明書の作成』

v 194ページの『SSL の使用可能化』

v 194ページの『IBM キー・ファイルへの自己署名証明書の追加』

注: 詳細については、次の Web サイトで Novell 製品資料を参照してください。

http://www.novell.com/documentation/lg/ndsedir86/index.html

組織の認証局オブジェクトの作成eDirectory のインストール時に、デフォルトで「NDSPKI: 認証局(NDSPKI:Certificate Authority)」オブジェクトが (ネットワーク内にまだ存在していなければ) 作成されます。サブジェクト名 (オブジェクト名でなく) が有効な署名者であることが重要です。サブジェクト名は、Tivoli Access Manager によって有効と認識される組織フィールドと国フィールドを備えている必要があります。デフォルトのサブジェクト名は、次のとおりです。

0=<organizational entry name>.OU=Organizational CD

これは、有効な署名者ではありません。これを変更するには、有効なサブジェクト名を使用して、「認証局 (Certificate Authority)」オブジェクトを再作成する必要があります。これを行うには、以下のステップを実行します。

1. ConsoleOne を開始します。

2. 「セキュリティー (Security)」コンテナー・オブジェクトを選択します。オブジェクトがウィンドウの右側のペインに表示されます。

3. 「組織 CA (Organization CA)」オブジェクトを選択し、削除します。

4. 「セキュリティー (Security)」コンテナー・オブジェクトを再び右マウス・ボタンでクリックし、「新規 (New)」→「オブジェクト (Object)」を順にクリックします。

5. 「新規オブジェクト (New Object)」ダイアログのリスト・ボックスで、「NDSPKI: 認証局 (NDSPKI: Certificate Authority)」をダブルクリックします。「組織認証局オブジェクトの作成 (Create an Organizational Certificate

Authority Object)」ダイアログが表示されます。オンラインの指示に従ってください。

6. ターゲット・サーバーを選択し、eDirectory オブジェクト名を入力します。次に例を示します。

「ホスト・サーバー (Host Server)」フィールド = C22Knt_NDS.AM

「オブジェクト名 (Object Name)」フィールド = C22KNT-CA

7. 「作成方式 (Creation Method)」に「カスタム (Custom)」を選択して「次へ(Next)」をクリックします。

8. 「サブジェクト名 (Subject name)」を編集し、サフィックスを入力します。たとえば、次のように入力します。

SSL — Novell eDirectory Server


.o=tivoli.c=us

9. 「組織認証局 (Organizational Certificate Authority)」が ConsoleOne にC22KNT-CA として表示されます。

自己署名証明書の作成自己署名証明書を作成するには、次のようにします。

1. 「組織認証局 (Organizational Certificate Authority)」(C22KNT-CA) のプロパティーへ進みます。「プロパティー (Properties)」ウィンドウが表示されます。

2. 「証明書 (Certificate)」タブを選択し、ドロップダウン・メニューから「自己署名証明書 (Self Signed Certificate)」を選択します。

3. 証明書の妥当性検査を行います。

4. 証明書をエクスポートします。「証明書のエクスポート (Export a Certificate)」ウィンドウが表示されます。

5. デフォルト値を受け入れ、自己署名証明書が保管される場所を書き留めます。次に例を示します。

c:\c22knt\CA-SelfSignedCert.der

6. ファイルを Tivoli Access Manager ホスト・ディレクトリーへ転送 (FTP) します。次に例を示します。

c:\Program Files\Tivoli\Policy Directory\keytab

これがバイナリー・ファイルであることに注意してください。

LDAP サーバー用のサーバー証明書の作成Novell eDirectory Server 用のサーバー証明書を作成するには、以下のステップを実行します。

1. LDAP サーバー用のサーバー証明書を作成するために、「組織 (Organization)」エントリーを右マウス・ボタン・クリックし、「新規 (New)」→「オブジェクト(Object)」をクリックします。「新規オブジェクト (New Object)」ウィンドウが表示されます。

2. 「NDSPKI: Key Material」を選択し、「OK」をクリックします。「Create

Server Certificate (Key Material)」ウィンドウが表示されます。

3. 証明書の名前 (たとえば「AM」) を入力し、作成方式に「カスタム (Custom)」を選択して「次へ (Next)」をクリックします。

4. 証明書に署名する「認証局の指定 (Specify the Certificate Authority)」オプションにデフォルト値を使用して「次へ (Next)」をクリックします。

5. キーサイズ (デフォルトの 1024 ビット) を指定し、その他のすべてのオプションにデフォルト値を使用して「次へ (Next)」をクリックします。

6. 「証明書パラメーターの指定 (Specify the Certificate Parameters)」ウィンドウで、「サブジェクト名 (Subject name)」フィールドの横にある「編集 (Edit)」ボタンをクリックします。「サブジェクトの編集 (Edit Subject)」ウィンドウが表示されます。

7. サブジェクト名を入力します。サブジェクト名に「組織 (Organization)」と「国(Country)」のフィールドがあることを確認し、「OK」をクリックします。「サーバー証明書 (鍵素材) の作成 (Create Server Certificate (Key Material))」ウィン



ドウが、更新された「サブジェクト名 (Subject Name)」フィールドと共に表示されます。「次へ (Next)」をクリックして先へ進みます。

8. 続くウィンドウでデフォルト値を受け入れるために「次へ (Next)」を 2 回クリックし、「終了 (Finish)」をクリックして Key Material を作成します。

「証明書を作成中 (Creating Certificate)」ウィンドウが一時的に表示されます。このウィンドウが消去されると、ConsoleOne の右側のペインが、「AM」という名前の「Key Material」エントリーによって更新されます。これがサーバー証明書です。

SSL の使用可能化SSL を Novell LDAP サーバーに使用可能にするには、次のようにします。

1. ConsoleOne の右側のペインで、「LDAP サーバー - hostname (LDAP Server -hostname)」という名前のエントリーを見つけ、それを右マウス・ボタン・クリックします。

2. ドロップダウン・メニューから「プロパティー (Properties)」を選択します。「プロパティー (Properties)」ノートブックから、「SSL 構成 (SSL

Configuration)」タブを選択します。

3. 「SSL 証明書 (SSL Certificate)」フィールドの横にある「ツリー構造探索 (Tree

Search)」アイコンをクリックします。「SSL 証明書の選択 (Select SSL

Certificate)」ウィンドウが表示されます。「SSL 証明書リスト (SSL Certificate

List)」ペインに、組織にとって既知の証明書が表示されます。

4. 「AM」証明書を選択し、「OK」をクリックします。「LDAP サーバー -

hostname のプロパティー (Properties of LDAP Server - hostname)」ウィンドウが再表示され、「SSL 証明書 (SSL Certificate)」フィールドが更新されています。

注: 「相互認証を使用可能にし、必要にする (Enable and Require Mutual

Authentication)」は選択しないでください。

IBM キー・ファイルへの自己署名証明書の追加Tivoli Access Manager サーバー上の IBM キー・ファイルに自己署名証明書を追加するには、以下のステップを実行します。

1. gsk5ikm ユーティリティーを開始します。「IBM キー管理」ウィンドウが表示されます。

2. 「キー・データベース・ファイル (Key Database File)」→ 「新規 (New)」を選択します。「新規 (New)」ウィンドウが表示されます。

3. 各フィールドを以下の値に更新し、「OK」をクリックします。

Key database type: CMS key database fileFile name: key.kdbLocation: /var/PolicyDirector/keytabs

「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。

4. パスワードを作成し、確認のために 2 回入力してから、「OK」をクリックします。「IBM キー管理」ウィンドウが表示され、「署名者証明書 (Signer

Certificates)」ダイアログが表示されます。



5. 「Add (追加)」ボタンをクリックします。「ファイルから CA の証明書の追加(Add CA’s Certificate from a File)」ウィンドウが表示されます。以下のフィールドを更新し、「OK」をクリックします。

Data type: Binary der dataCertificate file name: <hostname>CA-SelfSignedCert.derLocation: /var/PolicyDirector/keytabs

これで、「署名者証明書 (Signer Certificates)」ダイアログが「AM」という名前の証明書によって更新されました。

SSL アクセスのための IBM Directory Client の構成SSL アクセスのために LDAP クライアントをセットアップする前に、まず SSL アクセスのための LDAP サーバーをセットアップしなければなりません。まだ SSL

アクセスのための LDAP サーバーを構成していない場合は、 179ページの『SSL

アクセスのための IBM Directory Server の構成』に進んでください。

サーバー用に鍵データベース・ファイルを作成したように、クライアント・システム上に鍵データベース・ファイルを作成しなければなりません。クライアントがLDAP サーバーを認証するためには、 LDAP サーバーの証明書を作成した認証局(署名者) を識別できなければなりません。 LDAP サーバーが自己署名証明書を使用しているなら、クライアントは、その LDAP サーバーの証明書を生成したシステムをトラステッド・ルート (認証局) として認識できなければなりません。

LDAP サーバーへの SSL アクセスを行うための LDAP クライアントを構成するには、以下のセクションの手順に従ってください。

v 195 ページの『鍵データベース・ファイルの作成』

v 197ページの『署名者証明書の追加』

v 197ページの『SSL アクセスのテスト』

鍵データベース・ファイルの作成鍵データベース・ファイルと証明書は、gsk5ikm ユーティリティーを使用して作成してください。鍵データベース・ファイルと証明書 (自己署名付きまたは署名付き)

を作成するには、以下のステップを実行します。

1. SSL を使用することになる LDAP サーバーと LDAP クライアントの両方に、GSKit および gsk5ikm ユーティリティーがインストールされていることを確認します。


システムパス








注: Linux for zSeries の場合に限り、gsk5ikm ユーティリティーを実行するには、X Window システム・セッションが必要であり、次のように、IBM

Java バージョン 1.3.1 が PATH 環境変数を通じてアクセス可能でなければなりません。

export PATH=/opt/java/IBMJava2-s390-131/jre/bin:$PATH

IBM Java Runtime Environment バージョン 1.3.1 は、次の IBM Java for

Linux Web サイトからダウンロードできます。

http://www6.software.ibm.com/dl/lxdk/lxdk-p

さらに、SuSE SLES-7 31 ビット・システム上の gsk5ikm ユーティリティーによって正しい C++ ライブラリーが確実に使用されるよう、次のようにLD_PRELOAD 環境変数を設定する必要があります。

LD_PRELOAD=/usr/lib/libstdc++libc6.1-2.so.3

3. 新規の鍵データベース・ファイルを作成するには、「キー・データベース・ファイル (Key Database File)」→「新規 (New)」を選択します。




7. 鍵データベース・ファイルのパスワードを入力し、それを確認します。

このパスワードは、鍵データベース・ファイルを編集するときに必要ですので、覚えておいてください。




10. 「OK」をクリックします。これで、鍵データベース・ファイルの作成は完了です。デフォルトの署名者証明書が設定されています。これらの署名者証明書は、認識されているデフォルトの認証局です。

クライアントが LDAP サーバーを認証するためには、LDAP サーバーの証明書を作成した認証局 (署名者) を識別できなければなりません。 LDAP サーバーが自己署名証明書を使用しているなら、クライアントは、その LDAP サーバーの証明書を生成したシステムをトラステッド・ルート (認証局) として認識できなければなりません。

11. 鍵データベース・ファイルの作成後に、鍵データベース・ファイルの所有権をivmgr に変更します。適切なオペレーティング・システム・コマンドを使用して、ファイルの所有権を変更してください。たとえば、 UNIX システムでは以下のように入力します。

SSL — iPlanet Directory Client


# chown ivmgr keyfile

署名者証明書の追加鍵データベース・ファイルを作成した後に署名者証明書を追加するには、以下のステップを実行します。

1. LDAP サーバーに自己署名証明書を使用している場合、鍵データベース・ファイルから抽出した証明書 ( 182ページの『自己署名証明書の作成と抽出』を参照) がクライアント・システムにコピーされていることを確認します。コピーされていない場合は、ここでそれをコピーします。その他の場合、LDAP サーバーの証明書を作成した認証局の証明書があることを確認します。

2. クライアントの CMS 鍵データベース・ファイルの「署名者証明書 (SignerCertificates)」セクションをクリックします。

3. 「追加 (Add)」をクリックします。

4. 「Base64 コード化 ASCII データ (Base64-encoded ASCII data)」をクリックしてデータ・タイプを設定します。

5. 証明書のファイル名とその場所を指定します。証明書ファイルの拡張子は、通常 .arm です。


7. 追加しようとしている署名者証明書のラベルを入力します。ラベルには、たとえば、LDAP サーバーのシステム名を用いることができます。 LDAP サーバーの証明書が認証局によって作成された場合、その認証局の名前をラベルとして使用できます。

8. 「OK」をクリックします。証明書がクライアントの鍵データベースに署名者証明書として表示されます。

9. 新しく追加された署名者証明者を強調表示し、「表示/編集 (View/Edit)」をクリックします。

10. 「証明書をトラステッド・ルートとして設定 (Set the certificate as a trustroot)」が選択されていて、そのためにこれがトラステッド・ルートとしてマークされていることを確認します。

LDAP サーバーの証明書が正規の認証局によって生成されている場合は、その認証局が署名者証明書としてリストされ、トラステッド・ルートとしてマークされていることを確認してください。そうでなければ、その認証局の証明書を署名者証明書として追加し、それがトラステッド・ルートであることを明らかにしてください。

これで、クライアントは LDAP サーバーとの SSL セッションを確立することができます。

SSL アクセスのテストSSL アクセスが使用可能にされたかどうかをテストするには、LDAP クライアントから以下のコマンドを入力します。

ldapsearch -h servername -Z -K client_keyfile -P key_pw-b "" -s base objectclass=*




変数説明


client_keyfile 生成されたクライアント鍵リングの完全修飾パス名


このコマンドは、LDAP サーバーのサフィックスを含む LDAP 基本情報を戻します。

LDAP サーバー構成 ( 179ページの『SSL アクセスのための IBM Directory Server

の構成』を参照) の際は、サーバー認証かサーバーおよびクライアント認証のいずれかの認証メソッドを選択しました。

v サーバー認証を選択した場合は、SSL セットアップはこれで完了です。

v サーバーおよびクライアント認証を選択した場合は、『LDAP サーバーおよびクライアント認証の構成』に進んでください。

LDAP サーバーおよびクライアント認証の構成SSL アクセスを使用可能にするための LDAP サーバーの構成 ( 183ページの『SSL

アクセスの使用可能化』を参照) では、サーバー認証かサーバーおよびクライアント認証のいずれかを選択することを促すプロンプトが出されました。

サーバー認証を選択した場合は、SSL 構成は完了です。

サーバーおよびクライアント認証を選択した場合は、ここでクライアント・システムの証明書を作成する必要があります。この認証モードでは、サーバーがクライアントの証明書を要求し、それを使用してクライアントの ID を認証します。

クライアント・システムの証明書を作成するには、以下のセクションの手順に従ってください。

v 198 ページの『鍵データベース・ファイルの作成』

v 199ページの『認証局からの個人証明書の取得』

v 200ページの『自己署名証明書の作成と抽出』

v 201ページの『署名者証明書の追加』

v 202ページの『SSL アクセスのテスト』

鍵データベース・ファイルの作成クライアントの鍵データベース・ファイルをまだ作成していない場合、 gsk5ikmユーティリティーを使用して鍵データベース・ファイルと証明書を作成してください。鍵データベース・ファイルをすでに作成している場合、 199ページの『認証局からの個人証明書の取得』に進んでください。

鍵データベース・ファイルと証明書 (自己署名付きまたは署名付き) を作成するには、以下のステップを実行します。

1. SSL を使用することになる LDAP サーバーとクライアントの両方に、 GSKit

および gsk5ikm がインストールされていることを確認します。




システムパス





Windows C:¥Program Files¥IBM¥GSK5¥bin¥ GSK5ikm.exe

3. 「キー・データベース・ファイル (Key Database File)」→ 「新規 (New)」を選択します。




7. 鍵データベース・ファイルのパスワードを入力し、それを確認します。このパスワードは、鍵データベース・ファイルを編集するときに必要ですので、覚えておいてください。





これで、鍵データベース・ファイルの作成は完了です。デフォルトの署名者証明書が設定されています。これらの署名者証明書は、認識されているデフォルトの認証局です。

11. 鍵データベース・ファイルの作成後に、鍵データベース・ファイルの所有権をivmgr に変更します。適切なオペレーティング・システム・コマンドを使用して、ファイルの所有権を変更してください。たとえば、 UNIX システムでは以下のように入力します。

# chown ivmgr keyfile

認証局からの個人証明書の取得認証局 (VeriSign など) からの証明書を使用することを計画している場合は、自己署名証明書の代わりに、認証局からの証明書を要求し、完成してからそれを受け取る必要があります。

SSL — サーバーおよびクライアント認証


自己署名証明書を使用することを計画している場合は、このセクションは読まずに、『自己署名証明書の作成と抽出』に進んでください。

証明書を要求して受け取るには、以下のステップを実行します。

1. gsk5ikm を使用して、認証局 (CA) に証明書を要求し、次に新しい証明書を鍵データベース・ファイル内に受信します。

2. 鍵データベース・ファイルの「個人の認証要求 (Personal CertificateRequests)」セクションをクリックします。

3. 「新規 (New)」をクリックします。

4. 認証局に送信可能な要求を作成するには、情報を完成させてから「OK」をクリックします。

5. 認証局から証明書が返送されてきた後で、それを鍵データベース・ファイルにインストールするには、「個人の証明書 (Personal Certificates)」セクションをクリックしてから「受取 (Receive)」をクリックします。

6. 鍵データベース・ファイル内に LDAP クライアントの証明書をインストールしたら、 LDAP サーバーに対するクライアントの証明書を作成した認証局の証明書を追加することができます。

7. 201ページの『署名者証明書の追加』に進んでください。

自己署名証明書の作成と抽出既知の認証局から証明書を取得している ( 199ページの『認証局からの個人証明書の取得』を参照) 場合は、このセクションは読まずに、 201ページの『署名者証明書の追加』に進んでください。

新しい自己署名証明書を作成して、それを鍵データベース・ファイルに保管するには、以下のステップを実行します。


システムパス






2. 「作成 (Create)」→ 「新規自己署名証明書 (New Self-Signed Certificate)」を選択します。

3. 「キー・ラベル (Key Label)」フィールドに、GSKit が鍵データベース内でこの新しい証明書を識別するために使用できる名前を入力します。

このラベルは、たとえば、LDAP クライアントのシステム名にすることができます。

4. 「バージョン (Version)」フィールド (デフォルトは X509 V3) と「キー・サイズ (Key Size)」フィールドのデフォルトを受け入れます。



5. 「共通名 (Common Name)」フィールドで、この認証に対するデフォルトのシステム名を受け入れるか、別の識別名を入力します。

6. 「組織 (Organization)」フィールドに会社名を入力します。

7. 任意のオプショナル・フィールドを入力するか、ブランクのままにしておきます。

8. 「国 (Country)」フィールドのデフォルトと、「妥当性期間 (ValidityPeriod)」フィールドの 365 を受け入れるか、組織の必要に応じてこれらを変更します。

9. 「OK」をクリックします。 GSKit が新しい公開鍵と秘密鍵のペアを生成し、証明書を作成します。

鍵データベース・ファイル内に 2 つ以上の個人証明書がある場合は、GSKit

が、この鍵をデータベース内のデフォルトの鍵にするかどうか尋ねます。そのうちのいずれかをデフォルトとして受け入れることができます。デフォルトの証明書は、どの証明書を使用するかを選択するためのラベルが提供されない場合に実行時に使用されます。

これで、LDAP クライアントの個人証明書の作成は完了です。これは、鍵データベース・ファイルの「個人の証明書 (Personal Certificates)」セクションに表示されます。鍵管理ユーティリティーの中央のバーを使用して、鍵データベース・ファイル内に保管されている証明書のタイプを選択してください。

証明書は、鍵データベース・ファイルの「署名者証明書 (Signer Certificates)」セクションにも表示されます。鍵データベースの「署名者の証明書 (Signer

Certificates)」セクションに、新しい証明書があることを確認してください。

次に、LDAP サーバーの証明書を Base64-encoded ASCII データ・ファイルに抽出する必要があります。

10. gsk5ikm を使用して LDAP サーバーの証明書を Base64-encoded ASCII データ・ファイルに抽出します。

11. 作成した自己署名証明書を強調表示します。

12. 「証明書の抽出 (Extract Certificate)」をクリックします。

13. データ・タイプとして「Base64 コード化 ASCII データ (Base64-encodedASCII data)」をクリックします。

14. 新しく抽出された証明書の証明書ファイル名を入力します。証明書ファイルの拡張子は、通常 .arm です。

15. 抽出された証明書を保管する場所を入力してから、「OK」をクリックします。

16. 抽出されたこの証明書を LDAP サーバー・システムにコピーします。

LDAP サーバーでは、クライアントの個人証明書が作成されてクライアントの鍵データベース・ファイルに追加された後で、そのクライアント証明書を作成した認証局が署名者証明書 (トラステッド・ルート) として認識されなければなりません。

署名者証明書の追加LDAP サーバー上で以下のステップを実行してください。

鍵データベース・ファイルを作成した後に署名者証明書を追加するには、以下のステップを実行します。




v クライアントに自己署名証明書を使用している場合、鍵データベース・ファイルから抽出した証明書 ( 200ページの『自己署名証明書の作成と抽出』を参照) がサーバー・システムにコピーされていることを確認します。コピーされていない場合は、ここでそれをコピーして以下のステップを省略します。

v クライアントの証明書が認証局によって作成された場合、以下のステップを使用して、その認証局の証明書をトラステッド署名者として追加します。

2. クライアントの CMS 鍵データベース・ファイルの「署名者証明書 (SignerCertificates)」セクションをクリックします。

3. 「追加 (Add)」をクリックします。

4. 「Base64 コード化 ASCII データ (Base64-encoded ASCII data)」をクリックしてデータ・タイプを設定します。

5. 証明書のファイル名とその場所を指定します。証明書ファイルの拡張子は、通常 .arm です。


7. 追加しようとしている署名者証明書のラベルを入力します。ラベルには、たとえば、LDAP クライアントのシステム名や、クライアントの証明書を生成した認証局の名前を用いることができます。

8. 「OK」をクリックします。自己署名証明書がクライアントの鍵データベースに署名者証明書として表示されます。

9. 新しく追加された署名者証明者を強調表示し、「表示/編集 (View/Edit)」をクリックします。

10. 「証明書をトラステッド・ルートとして設定 (Set the certificate as a trustroot)」が選択されていて、そのためにこれがトラステッド・ルートとしてマークされていることを確認します。

LDAP クライアントの証明書が正規の認証局によって生成されている場合は、その認証局が署名者証明書としてリストされ、トラステッド・ルートとしてマークされていることを確認してください。そうでなければ、その認証局の証明書を署名者証明書として追加し、それがトラステッド・ルートであることを明らかにしてください。

これで、サーバーは LDAP クライアントとの SSL セッションを確立することができます。

11. 『SSL アクセスのテスト』に進んでください。

SSL アクセスのテストLDAP サーバーが、クライアントの個人証明書を作成した認証局を認識したら、LDAP クライアント上で以下のコマンドを使用して SSL アクセスをテストしてください。

ldapsearch -h servername -Z -K client_keyfile -P key_pw -N ¥client_label -b "" -s base objectclass=*


変数説明




変数説明

client_keyfile 生成されたクライアント鍵リングの完全修飾パス名


client_label あれば、鍵と関連したラベル。このフィールドはオプションで、LDAP サーバーがサーバーとクライアントの両方の認証を実行するよう構成されている場合にのみ必要です。

ldapsearch コマンドは、LDAP サーバーのサフィックスを含む LDAP 基本情報を返します。 -N パラメーターは、クライアントの個人証明書がクライアントの鍵データベース・ファイルに追加されたときに指定されたラベルを示している点に注意してください。

注: LDAP サーバーの署名者証明書のラベルを指定しないようにしてください。 -Nオプションは、要求時にどのクライアント証明書をサーバーに送信するかをGSKit に指示します。ラベルが指定されないと、サーバーがクライアントの証明書を要求するときは、デフォルトの個人証明書が送信されます。

SSL セットアップはこれで完了です。

Domino 用の SSL の使用可能化ロータスドミノサーバーと、Tivoli Access Manager ソフトウェアをサポートしている IBM Directory Client との間で Secure Sockets Layer (SSL) 通信を使用可能にすることをお勧めします。

この章は、以下のセクションに分かれています。

1. 『SSL 鍵リング・ファイルの作成』

2. 204ページの『SSL アクセスの使用可能化』

3. 46ページの『ドミノ用の Tivoli Access Manager 管理ユーザーの作成』

SSL 鍵リング・ファイルの作成ドミノサーバーで SSL をサポートするには、サーバー側のディジタル証明書を持つドミノサーバー鍵リング・ファイルを作成しなければなりません。これを行うには、以下のステップに従います。

1. ドミノサーバーで Notes クライアントを開始してから「ファイル」→「データベース」→ 「開く」を選択してください。ドミノサーバー上の「サーバー証明書管理」データベースをオープンします。

注: Notes client system に Domino Designer クライアントをインストールしなければなりません。

2. 環境によって以下のいずれかを行ってください。

v SSL 鍵リングを作成し、証明書と共に取り込む

「鍵リングの作成」、「証明書要求の作成」、「ルートの証明書のインストール(Install Root Certificate)」、および「証明書の鍵リングへのインストール」の各オプションを完了してください。



v テスト目的で自己認証証明書を使って鍵リングを作成する

「自己認証証明書を使った鍵リングの作成」オプションをダブルクリックします。鍵リング・ファイル名および他の必要フィールドに入力してください。「自己認証証明書による鍵リングの作成」ボタンをクリックして処理を完了します。

この鍵リング・ファイルと stash ファイルを次のドミノサーバー・パスにコピーします。

\Lotus\Domino\Data

SSL アクセスの使用可能化ドミノがサポートするのはクライアント側の認証だけです。 SSL を使用可能にするには、以下のステップに従います。

1. ドミノ管理クライアントを開始し、「設定」タブを選択します。

2. GUI の左側にある「サーバー」カテゴリー下の「すべてのサーバー文書」オプションを選択します。 LDAP を構成したいサーバー文書をオープンします。

3. 「サーバーの編集」をクリックして、サーバー構成のアップデートの準備をします。

4. サーバー文書上の「ポート」タブを選択します。

5. 「インターネットポート」タブを選択して、 203ページの『SSL 鍵リング・ファイルの作成』で作成したドミノサーバー鍵リング・ファイル名を入力します。「SSL サイト証明を受け入れる」で「はい」を選択します。

6. 「ディレクトリー」を選択して LDAP 構成を更新してから、「SSL ポートステータス」の「有効」を選択します。確実に以下の設定にしてください。

v 「クライアント認証」に「いいえ」を設定。

v 「名前とパスワード」に「はい」を設定。

v 「匿名」に「はい」と「いいえ」のどちらかを設定。

7. 「OK」をクリックしてサーバー文書を更新します。 LDAP SSL セットアップは完了しました。

ドミノサーバーの証明書がドミノサーバーのデフォルトの信頼された認証者によって認証されたのでない場合、ドミノサーバー鍵リング・ファイルにその認証者を登録する必要があります。これを行うには、以下のステップに従います。

1. サーバー文書を強調表示して、右側にある「登録」メニューをプルダウンします。

2. プルダウン・メニューから「インターネット認証者」を選択します。

3. ドミノサーバー鍵リング・ファイルを探し出し、「開く」をクリックしてインターネット認証者登録処理を行います。

4. 上記の登録を確認するには、「ユーザーとグループ」メニューを選択し、「認証」タブをクリックし、新しいドミノサーバーの認証者がインターネット認証者リストに挿入されたことを確認します。

5. サーバー文書を保存します。

6. ドミノサーバーのコンソールから、以下のコマンドを入力して LDAP を再始動します。

tell ldap quit

Domino 用の SSL の使用可能化


load ldap



付録 B. Tivoli Access Manager 構成リファレンス

この付録は、以下のセクションに分かれています。

v 『UNIX ネイティブ構成オプション』

v 210ページの『Windows ネイティブ構成オプション』

UNIX ネイティブ構成オプションこのセクションでは、ネイティブ・インストールのプロセスに必要な構成情報をリストしています。インストールを開始してプロンプトが出される前に、これらの値を識別しておくことをお勧めします。 Secure Sockets Layer (SSL) を使用可能にする計画である場合、構成オプションも提供されます。

Policy Server に関する構成オプションは、その他の Tivoli Access Manager コンポーネントを構成するために使用されることに注意してください。

Tivoli Access Manager RuntimeAIX、HP-UX、Linux または Solaris システム上に Tivoli Access Manager Runtime

を構成しているとき、以下の情報を入力するためのプロンプトが出されます。

v 「レジストリーの選択 (registry Selection)」— Tivoli Access Manager 用に構成したレジストリーのタイプを選択するためにクリックします。「LDAP レジストリー (LDAP registry)」だけがサポートされている選択項目であることに注意してください。

v 「LDAP サーバー・ホスト名」— LDAP サーバーの完全修飾ホスト名を指定します。たとえば、以下のようにします。

ldapserver.tivoli.com

v 「LDAP サーバー・ポート番号 (LDAP server port number)」 — LDAP サーバーが listen するポート番号を指定します。デフォルトのポート番号は 389 です。

Tivoli Access Manager Policy Server が Tivoli Access Manager Runtime と同じシステムにインストールされていない場合、以下の情報も入力するよう求められます。

v 「Policy Server マシンのホスト名 (Hostname of the Policy Servermachine)」— Policy Server の完全修飾ホスト名を指定します。たとえば、以下のようにします。

pdmgr.tivoli.com

v 「Policy Server により使用される SSL listen ポート (SSL listening portused by Policy Server)」 — Policy Server が SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は 7135 です。

Tivoli Access Manager Policy ServerAIX、HP-UX、Linux on zSeries、Solaris システム上に Policy Server を構成しているとき、以下の情報を入力するためのプロンプトが出されます。


v 「LDAP 管理ユーザー識別名 (LDAP administrative user DN)」— LDAP アドミニストレーターの識別名を指定します。デフォルトの名前は、cn=root です。

v 「LDAP 管理ユーザー・パスワード (LDAP administrative user password)」— LDAP アドミニストレーター ID に関連したパスワードを指定します。

v 「Access Manager Policy Server と LDAP サーバー間の SSL 通信を使用可能にする Enable SSL communication between the Access Manager PolicyServer and the LDAP server」— SSL の使用可能化を「はい (yes)」または「いいえ (no)」で指定します。yes を指定した場合、以下の情報が要求されます。

– 「LDAP SSL クライアント・キー・ファイルの場所 (Location of the LDAPSSL client key file)」— Policy Server 上におけるクライアント LDAP 鍵データベース・ファイルの場所を示す、完全修飾パス名を指定します。 Policy

Server と LDAP サーバーの間の SSL サポートを使用可能にするため、Tivoli

Access Manager Base CD は、次の評価用のサンプル・キー・ファイルを提供します。

/common/pd_ldapkey.kdb

このファイルは、実稼働環境での使用は意図していません。独自の証明書を獲得するには、 179ページの『付録 A. Secure Sockets Layer の使用可能化』にある鍵データベース・ファイルおよび証明書の作成に関する情報を参照してください。

– 「SSL クライアント証明書ラベル (必要な場合) (SSL Client CertificateLabel (if required))」— サーバーに送られるクライアント証明書のラベル(クライアント LDAP 鍵データベース・ファイル内にある) を指定します。このラベルが必要となるのは、サーバーが SSL 確立中にクライアント認証を必要とするように構成されている場合、またはキー・ファイルの中でデフォルト以外の証明書を使用したい場合です。 ezinstall_ldap_server スクリプトとデフォルト・キー・ファイル (pd_ldapkey.kdb) を使用する場合は、このラベルをブランクのままにしてください。通常、LDAP サーバーに必要なのはクライアント .kbd ファイルの作成時に指定されたサーバー側の証明書だけです。加えて、SSL クライアント・キー・ファイル・ラベルが必要でない場合には、Policy Server を構成する際にこのフィールドはブランクにしておきます。

– 「LDAP SSL クライアント・キー・ファイルのパスワード (LDAP SSLclient key file password)」— クライアント LDAP 鍵データベース・ファイルのパスワードを指定します。簡易インストールに同梱されるpd_ldapkey.kdb ファイルのデフォルト・パスワードは gsk4ikm です。これらのデフォルトは、ezinstall_ldap_server スクリプトを使用して IBM

Directory Server のインストールと構成を行う場合に使用できます。 gsk5ikmユーティリティーを使用してこのパスワードを変更する場合、デフォルト・パスワードを思い出す必要があります。

– 「LDAP サーバーの SSL ポート番号 (LDAP server SSL port number)」— LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は 636 です。

v 「GSO データベースの LDAP DN (LDAP DN for GSO database)」— LDAP

サーバー・ディレクトリー情報ツリー (DIT) 内のどこにグローバル・サインオン(GSO) データベースがあるかを示す識別名を指定します。たとえば、以下のようにします。


o=tivoli,c=us

GSO サフィックスについて詳しくは 21ページの『LDAP サーバー構成の概要』を参照してください。

v 「Access Manager アドミニストレーターのパスワード (Access ManagerAdministrator password)」 — sec_master プライマリー・アドミニストレーター ID に関連したパスワードを指定します。確認のため、このパスワードを再入するようにプロンプトが出されます。

v 「Access Manager Policy Server の SSL サーバー・ポート (SSL serverport for Access Manager Policy Server)」— Policy Server が SSL 要求をlisten するポート番号を指定します。デフォルトのポート番号は 7135 です。

v 「Policy Server SSL 証明書の存続期間 (Policy Server SSL certificatelifetime)」 — SSL 証明書ファイルが有効な日数を指定します。デフォルトの日数は 365 です。

v 「ルート CA 証明書ダウンロードを使用可能にする」— yes を指定すると、SSL CA 証明書ファイルが自動的にダウンロードされます。 yes と no のどちらを指定するかに関係なく、SSL CA 証明書ファイルは次のディレクトリーに置かれます。


このオプションを「いいえ (no)」に設定した場合は、pdcacert.b64 ファイルをセキュア・ドメイン内の各 Tivoli Access Manager Runtime システムにコピーする必要があります。

Tivoli Access Manager 許可サーバーAIX、HP-UX、Linux on zSeries、または Solaris システム上に許可サーバーを構成しているとき、以下の情報を入力するためのプロンプトが出されます。

v 「LDAP 管理ユーザー識別名 (LDAP administrative user DN)」— LDAP アドミニストレーターの識別名を指定します。デフォルトの名前は、cn=root です。

v 「LDAP アドミニストレーター・ユーザー・パスワード (LDAP administratoruser password)」 — LDAP アドミニストレーター ID に関連したパスワードを指定します。

v 「Access Manager Policy Server と LDAP サーバー間の SSL 通信を使用可能にする Enable SSL communication between the Access Manager PolicyServer and the LDAP server」— SSL の使用可能化を yes または no に指定します。yes を指定した場合、以下の情報が要求されます。

– 「LDAP SSL クライアント・キー・ファイルの場所 (Location of the LDAPSSL client key file)」— Policy Server 上におけるクライアント LDAP 鍵データベース・ファイルの場所を示す、完全修飾パス名を指定します。 Policy

Server と LDAP サーバーの間の SSL サポートを使用可能にするため、Tivoli

Access Manager Base CD は、次の評価用のサンプル・キー・ファイルを提供します。

/common/pd_ldapkey.kdb

付録 B. Tivoli Access Manager 構成リファレンス 209

このファイルは、実稼働環境での使用は意図していません。独自の証明書を獲得するには、 179ページの『付録 A. Secure Sockets Layer の使用可能化』にある鍵データベース・ファイルおよび証明書の作成に関する情報を参照してください。

– 「SSL クライアント証明書ラベル (必要な場合) (SSL Client CertificateLabel (if required))」— サーバーに送られるクライアント証明書のラベル(クライアント LDAP 鍵データベース・ファイル内にある) を指定します。このラベルが必要となるのは、サーバーが SSL 確立中にクライアント認証を必要とするように構成されている場合、またはキー・ファイルの中でデフォルト以外の証明書を使用したい場合です。 ezinstall_ldap_server スクリプトおよびデフォルト・キー・ファイル (pd_ldapkey.kdb ) を使用する場合には、LDAP サーバーの構成用のラベルは PDLDAP にしてください。通常、LDAP

サーバーに必要なのはクライアント .kbd ファイルの作成時に指定されたサーバー側の証明書だけです。

注: SSL クライアント・キー・ファイル・ラベルが要求されない場合、許可サーバーの構成時にこのフィールドはブランクのままにしてください。

– 「LDAP SSL クライアント・キー・ファイルのパスワード (LDAP SSLclient key file password)」— クライアント LDAP 鍵データベース・ファイルのパスワードを指定します。簡易インストールに同梱されるpd_ldapkey.kdb ファイルのデフォルト・パスワードは gsk4ikm です。これらのデフォルトは、ezinstall_ldap_server スクリプトを使用して IBM

Directory Server のインストールと構成を行う場合に使用できます。 gsk5ikmユーティリティーを使用してこのパスワードを変更する場合、デフォルト・パスワードを思い出す必要があります。

– 「LDAP サーバーの SSL ポート番号 (LDAP server SSL port number)」— LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は 636 です。

v 「Access Manager アドミニストレーターのパスワード (Password for theAccess Manager Administrator)」— sec_master プライマリー・アドミニストレーター ID に関連したパスワードを指定します。

Windows ネイティブ構成オプションこのセクションでは、ネイティブ・インストールのプロセスに必要な構成情報をリストしています。インストールを開始してプロンプトが出される前に、これらの値を識別しておくことをお勧めします。 Secure Sockets Layer (SSL) を使用可能にする計画である場合、構成オプションも提供されます。

Policy Server に関する構成オプションは、その他の Tivoli Access Manager コンポーネントを構成するために使用されることに注意してください。 GSKit、IBM

Directory Client、ADK、および Web Portal Manager コンポーネント用の構成オプションを入力するためのプロンプトは表示されません。

Tivoli Access Manager RuntimeTivoli Access Manager Runtime コンポーネントの構成中に、以下の情報を入力するためのプロンプトが出されます。


v 「レジストリーの選択 (registry Selection)」— Tivoli Access Manager 用に構成したレジストリーのタイプを選択するためにクリックします。選択項目は、以下のとおりです。

– 「LDAP レジストリー (LDAP Registry )」 (『LDAP レジストリー』を参照)

– 「Active Directory」( 212ページの『Active Directory』を参照)

– 「Domino レジストリー」( 213ページの『Lotus Domino』を参照)

LDAP レジストリーWindows システム上で Tivoli Access Manager Runtime を構成しているときに、以下の情報を入力するためのプロンプトが出されます。

v 「LDAP サーバー・ホスト名 (LDAP Server Hostname)」— LDAP サーバーの完全修飾ホスト名を指定します。たとえば、以下のようにします。

ldapserver.tivoli.com

v 「LDAP サーバー・ポート (LDAP Server Port)」— LDAP サーバーが listen

するポート番号を指定します。デフォルトのポート番号は 389 です。

v 「GSO データベースの LDAP DN (LDAP DN for GSO database)」— LDAP

サーバー・ディレクトリー情報ツリー (DIT) 内のどこにグローバル・サインオン(GSO) データベースがあるかを示す識別名を指定します。たとえば、以下のようにします。

o=tivoli,c=us

GSO サフィックスについて詳しくは 21ページの『LDAP サーバー構成の概要』を参照してください。

v 「Tivoli Access Manager と LDAP の間で SSL を使用可能にする (EnableSSL between Tivoli Access Manager and LDAP)」— SSL を使用可能にするかどうか (「はい (yes)」または「いいえ (no)」) を指定します。 yes を指定した場合、以下の情報が要求されます。

– 「LDAP SSL クライアント・キー・ファイル (LDAP SSL Client KeyFile)」— クライアント・システム上におけるクライアント LDAP 鍵データベース・ファイルの位置を示す完全修飾パス名を指定します。

LDAP サーバーと、Tivoli Access Manager ソフトウェアをサポートする IBM

Directory Client との間で SSL 通信を使用可能にする計画の場合は、C:¥keytabs¥pd_ldapkey.kdb ファイルを LDAP サーバー上の位置からクライアント・システム上のいずれかのディレクトリーへ手動でコピーする必要があります。

– 「SSL クライアント証明ラベル (必要な場合) (SSL Client Certificate Label(if required))」— サーバーへ送られるクライアント証明書のラベル (クライアント LDAP 鍵データベース・ファイル内にある) を指定します。このラベルが必要となるのは、サーバーが SSL 確立中にクライアント認証を必要とするように構成されている場合、またはキー・ファイルの中でデフォルト以外の証明書を使用したい場合です。 ezinstall_ldap_server スクリプトおよびデフォルト・キー・ファイル (pd_ldapkey.kdb ) を使用する場合には、LDAP サーバーの構成用のラベルは PDLDAP にしてください。通常、LDAP サーバーに必要なのはクライアント .kbd ファイルの作成時に指定されたサーバー側の証明書だけです。


注: SSL クライアント・キー・ファイル・ラベルが必要でない場合には、ランタイムの構成時にこのフィールドをブランクのままにしておいてください。

– 「SSL キー・ファイル・パスワード (SSL Key File Password)」— クライアント LDAP 鍵データベース・ファイルのパスワードを指定します。簡易インストールに同梱される pd_ldapkey.kdb ファイルのデフォルト・パスワードは gsk4ikm です。これらのデフォルトは、ezinstall_ldap_server スクリプトを使用して IBM Directory Server のインストールと構成を行う場合に使用できます。 gsk5ikm ユーティリティーを使用してこのパスワードを変更する場合、デフォルト・パスワードを思い出す必要があります。

– 「LDAP サーバー SSL ポート (LDAP Server SSL Port)」 — LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は 636 です。

v 「インストール・ディレクトリー (Installation Directory)」— Tivoli Access

Manager をインストールするディレクトリーを指定します。

Tivoli Access Manager Policy Server が Tivoli Access Manager Runtime と同じシステムにインストールされていない場合、以下の情報も入力するよう求められます。

v 「Policy Server のホスト名 (Policy Server Hostname)」 — Policy Server の完全修飾ホスト名を指定します。たとえば、以下のようにします。

pdmgr.tivoli.com

v 「SSL サーバー・ポート (SSL Server Port)」 — Policy Server が SSL 要求をlisten するポート番号を指定します。デフォルトのポート番号は 7135 です。

v 「Tivoli Access Manager CA 証明書のファイル名 (Tivoli Access ManagerCA Certificate Filename)」— Tivoli Access Manager Policy Server の構成時にCA 証明書ファイルが自動ダウンロードされるように指定した場合、このオプションはブランクのままにしておきます。 CA 証明書ファイルは、Tivoli Access

Manager Runtime を構成するときに、自動的に取り出されます。

CA 証明書ファイルの自動ダウンロードが可能になっていなければ、 SSL 証明書ファイルを Policy Server システムから入手しなければなりません。これを行うには、ftp などのファイル転送プログラムを使用して、ファイルのコピーを任意の場所に置きます。 Policy Server では、証明書ファイルは次の場所に置かれています。


このファイルを、Runtime コンポーネントのインストール後、そのコンポーネントを構成する前にコピーしてください。

Active DirectoryActive Directory をレジストリーとして選択した場合は、以下の情報を入力するためのプロンプトが出されます。

v 「複数ドメイン (Multiple domains)」— 複数ドメインを使用するには「はい(Yes)」を選択し、単一ドメインを構成するには「いいえ (No)」を選択します。

– 複数ドメインを使用するために「Yes (はい)」を選択した場合、以下の構成情報を入力するためのプロンプトが出されます。


- 「暗号化された接続を使用可能にする (Enable encrypted connection)」— Kerberos プロトコルを AD サーバーへのセキュア接続の暗号化メカニズムとして使用可能にするかどうかを指定します。これは、構成プロセスでのオプショナル・ステップです。 Kerberos を使用可能にするには、「はい(Yes)」を選択します。

– 複数ドメインを使用するために「いいえ (No)」を選択した場合、以下の情報を入力するためのプロンプトが出されます。

- 「ホスト名 (Host name)」— Active Directory ドメイン・コントローラー・サーバー名を指定します。たとえば、以下のようにします。

adserver.tivoli.com

- 「ドメイン名 (Domain name)」— ドメイン名を指定します。たとえば、以下のようにします。

dc=adpd,dc=com

- 「暗号化された接続を使用可能にする (Enable encrypted connection)」— Kerberos プロトコルを AD サーバーへのセキュア接続の暗号化メカニズムとして使用可能にするかどうかを指定します。これは、構成プロセスでのオプショナル・ステップです。 Kerberos を使用可能にするには、「はい(Yes)」を選択します。

v 「Active Directory に関するその他の情報 (Active Directory OtherInformation)」 — 43 ページの『Active Directory 管理ユーザーの作成』で作成した管理 ID およびパスワードを入力し、「次へ (Next)」をクリックします。

注:

– 複数ドメインに No を指定した場合、「Active Directory データ情報 (Active

Directory Data Information)」パネルが表示されます。 Tivoli Access Manager

データを保管する場所の識別名を入力します。たとえば、以下のように入力します。

dc=wsm,dc=com

– Active Directory をレジストリーとして使用する場合は、次のディレクトリーに activedir.conf ファイルが作成されます。

%PD_INSTALL_DIR%¥etc

ここで、PD_INSTALL_DIR は、Tivoli Access Manager がインストールされるディレクトリーです。 C:¥Program Files¥Tivoli¥Policy Director は、デフォルトのディレクトリーです。

Lotus DominoDomino をレジストリーとして選択した場合は、以下の情報を入力するためのプロンプトが出されます。

v 「完全修飾 Domino Server 名 (Fully qualified domino server name)」—

Domino サーバーの完全修飾名を指定します。たとえば、以下のようにします。

Domino/tivoli

v 「Domino Server TCP/IP ホスト名 (Domino server TCP/IP hostname)」—

Domino サーバーの TCP/IP ホスト名を指定します。たとえば、以下のようにします。

domino.tivoli.com


v 「Domino LDAP サーバー・ポート番号 (Domino LDAP server port)」—

Domino サーバーが listen する LDAP サーバー・ポートを指定します。 SSL を使用可能にする場合、ポート番号は 636 です。 SSL 通信でない場合には、デフォルトのポート番号は 389 です。

v 「Domino Server への SSL 通信を使用可能にする (Enable SSLcommunication to Domino server)」— Domino サーバーへの SSL クライアント認証を使用可能にするには、「はい (Yes)」または「いいえ (No)」を選択します。これは、インストール・プロセスの際のオプションのステップです。Domino のセットアップの際にクライアント証明書をインストールした場合には、「はい (Yes)」を選択します。 SSL 通信の使用可能化についての詳細は、179ページの『付録 A. Secure Sockets Layer の使用可能化』を参照してください。

「はい (Yes)」を選択した場合、以下の情報を入力するためのプロンプトが出されます。

– 「ポート番号 (Port number)」— SSL ポート番号を指定します。デフォルトのポート番号は 636 です。

– 「絶対パスでのキー・ファイル (Key file with full path)」— SSL を使用可能にするときに作成したクライアント・キー・ファイルを指定します。Domino サーバーのキー・ファイルを入力するためのプロンプトが出されたら、 LDAP クライアントの鍵データベース・ファイルの名前を入力してください。たとえば、以下のようにします。

d:¥cert¥dominoc.kdb

– 「証明書ラベル (Certificate label)」— SSL クライアントの証明書ラベルを指定します。このフィールドには、いずれかの文字を入力する必要があります。クライアント側の証明書の認証をセットアップする必要がないので、指定した文字は無視されます。

– 「キー・ファイルのパスワード (Key file password)」— キー・ファイルと関連のあるパスワードを指定します。

v 「Notes クライアント・パスワード (Notes client password)」— Domino データベースにアクセスするための Notes クライアント・パスワードを指定します。

v 「Tivoli Access Manager メタデータ・データベース名 (Tivoli AccessManager Meta-data Database name)」— Tivoli Access Manager データに関連するデータベース名を指定します。たとえば、以下のようにします。

PDdata.nsf

Tivoli Access Manager Policy ServerWindows システム上に Policy Server の構成中に、以下の情報を入力するためのプロンプトが出されます。

v 「LDAP アドミニストレーター ID (DN) (LDAP Administrator ID (DN))」—

LDAP アドミニストレーターの識別名を指定します。デフォルトの名前は、cn=root です。

v 「LDAP アドミニストレーター・パスワード (LDAP AdministratorPassword)」— LDAP アドミニストレーター ID に関連したパスワードを指定します。


v 「セキュリティー・マスター・パスワード (Security Master Password)」—

sec_master プライマリー・アドミニストレーター ID に関連したパスワードを指定します。

v 「Policy Server の SSL サーバー・ポート (SSL Server Port for PolicyServer)」 — Policy Server が SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は 7135 です。

v 「Policy Server SSL 証明書の存続期間 (Policy Server SSL CertificateLifetime)」 — SSL 証明書ファイルが有効な日数を指定します。デフォルトの日数は 365 です。

v 「証明書をダウンロードできるようにする (Enable Download ofCertificates)」— yes を指定すると、 SSL 証明書の認証局ファイルが自動的にダウンロードされます。 yes と no のどちらを指定するかに関係なく、SSL 認証局ファイルは次のディレクトリーに置かれます。

install_dir/keytab/pdcacert.b64

このオプションが no に設定される場合、 pdcacert.b64 ファイルを、それぞれの Tivoli Access Manager 実行時クライアント・システムにコピーしなければなりません。

Tivoli Access Manager 許可サーバーWindows システム上に許可サーバーを構成中に、以下の情報を入力するためのプロンプトが出されます。

v 「LDAP アドミニストレーター ID (DN) (LDAP Administrator ID (DN))」—

LDAP アドミニストレーターの識別名を指定します。デフォルトの名前は、cn=root です。

v 「LDAP アドミニストレーター・パスワード (LDAP AdministratorPassword)」— LDAP アドミニストレーター ID に関連したパスワードを指定します。

v 「セキュリティー・マスター・パスワード (Security Master Password)」—

sec_master プライマリー・アドミニストレーター ID に関連したパスワードを指定します。

デフォルトのポートデフォルトのポート番号は以下のとおりです。

v LDAP サーバーの非 SSL ポート: 389

v LDAP サーバーの SSL ポート: 636

v Policy Server の SSL ポート: 7135

v WebSphere Application Server の SSL ポート: 443


付録 C. OS/390 および z/OS の LDAP 構成リファレンス

この付録には以下のサンプルが含まれます。

v 『サンプル LDAP 構成』

v 218ページの『サンプル DB2 データベースおよび表スペース SPUFI 用スクリプト』

v 223ページの『サンプル DB2 索引 SPUFI 用スクリプト』

v 226ページの『サンプル CLI バインド・バッチ・ジョブ』

v 227ページの『サンプル CLI 初期設定ファイル』

これらのサンプルは 34ページの『z/OS および OS/390 セキュリティー・サーバーの構成』で説明されている構成プロセス中に使用します。

サンプル LDAP 構成##########################################################################The values provided in this configuration file may reflect the##generic values given in the example DB2 setup files.Make sure you##use values appropriate for a production installation.########################################################################

##########################################################################Global definitions########################################################################adminDN "cn=root"adminPW password1########################################################################## port & securePort directives deprecated, now using listen########################################################################listen ldap://:389listen ldaps://:636##########################################################################tdbm database definitions########################################################################database tdbm GLDBTDBMservername LOC1dbuserid LDAPSRVdatabaseName LDAPR10dsnaoini SUADMIN.DSNAOINI.DB2INIsuffix "o=ibm,c=us"suffix "secAuthority=Default"AttrOverflowSize 80##########################################################################Native (SAF)Authentication for TDBM########################################################################useNativeAuth SELECTEDnativeAuthSubtree "o=ibm,c=us"nativeUpdateAllowed YES##########################################################################SSL definitions########################################################################sslAuth serverAuthsslKeyRingFile "/usr/lpp/ldap/etc/ldapserver.kdb"sslKeyRingPWStashFile "usr/lpp/ldap/etc/ldapserver.sth"sslCertificate ldapcertsslCipherSpecs 15104########################################################################


##Replica definitions########################################################################masterServer "ldap://jeff.endicott.ibm.com:3389"masterServerDN cn=mastermasterServerPW password1

サンプル DB2 データベースおよび表スペース SPUFI 用スクリプト

--*********************************************************************/--* This file contains sample code. IBM PROVIDES THIS CODE ON AN */--* ’AS IS’ BASIS WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS */--* OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE IMPLIED WARRANTIES */--* OF MERCHANT ABILITY OR FITNESS FOR A PARTICULAR PURPOSE. */--*********************************************************************/

-- Use the following statements to create your LDAP Server DB2 database-- and tablespaces in SPUFI. The database and tablespace names you-- create will be used to update the database section of the LDAP-- Server configuration file. You also need to make DB2 decisions,-- in terms of buffer pool size selection for tablespaces and column-- size selection, all of which will be directly related to the data that-- will be stored in the database. See the instructions below for-- more information.---- *************************-- Database Name Information-- *************************-- Change LDAPR10 to the name of the LDAP database name you want to create.-- Be sure this name is updated to match what is defined for databasename in-- the server configuration file.---- **************************-- DataBase Owner Information-- **************************-- Change the LDAPSRV to the MVS database owner id. This ID will be the-- highlevel qualifier for the tables---- **********************-- Tablespace Information-- **********************---- *********************************************************************-- NOTE: Refer to the DB2 manuals for a complete listing of valid buffer-- pool names.-- *********************************************************************---- Change the ENTRYTS to the LDAP entry tablespace name you want to create.---- Change the BP0 to the buffer pool name for the LDAP entry tablespace.-- The size of the buffer pool can be determined with the formula:---- result = 62 bytes + <dn column trunc size (from below)> +-- <maximum full size of a DN (from below)> +-- <size of entry data (which includes creator’s DN and modifiers DN)>---- There is also a concept of a "spill over" table, where if the entry-- data does not fit into the row size, it will be broken up in order-- to fit into a row. Entry data may be spread across multiple rows-- if needed. So in the above formula, the <size of entry data>-- does not need to be the maximum size of the data, maybe the median-- size of the data would be a better choice. See the long entry-- tablespace description below.---- The default suggested size is 4K.--

OS/390 および z/OS の LDAP 構成リファレンス


-- Change the LENTRYTS to the LDAP long entry tablespace name you want to-- create.---- Change the BP0 to the buffer pool name for the LDAP long entry-- tablespace. The long entry table space will hold "spill over" rows-- for entry data that does not fit into the entry table tablespace.-- To minimize the number of spill over rows, choose a large buffer-- pool size.---- The default suggested size is 4K.---- Change the LATTRTS to the LDAP long attribute tablespace name you want to-- create.---- Change the BP0 to the buffer pool name for the LDAP long attribute-- tablespace. The long attribute table space will hold "spill over" rows-- for attribute data that does not fit into the entry table tablespace.-- To minimize the number of spill over rows, choose a large buffer-- pool size.---- The default suggested size is 4K.---- Change the MISCTS to the LDAP miscellaneous tablespace name you want to-- create.---- Change the DESCTS to the LDAP descendants tablespace name you want to-- create.---- Change the SEARCHTS to the LDAP search tablespace name you want to create.---- Change the BP0 to the buffer pool name for the LDAP search tablespace.-- The size of the buffer pool can be determined with the simple formula:---- result = 16 bytes + <search column trunc size (from below)> +-- <maximum size of attribute value you would like to search for>---- The result value is the maximum number of bytes a row in the search-- table containing an attribute value will occupy. Choose a buffer pool-- size which will accommodate this size.---- The default suggested size is 4K.---- Change the REPTS to the LDAP replica tablespace name you want to create.---- *********************************-- Column Size Selection Information-- *********************************-- All searchable attributes of a given entry will be stored in two forms.-- The first will be a truncated version, which will be used as part of-- a DB2 index. The second version will be the entire attribute value,-- potentially truncated by the buffer pool size you choose. The reason-- two versions are stored is so that LDAP/DB2 can use indexes to increase-- search performance. The reason we do not index the entire searchable-- attribute value is because the cost (in terms of DASD) associated with-- having indexes on a large column where there is a large amount of data.---- The choice of the search column trunc size should take into account system-- limits you may have (as described in the above), and should account-- for the typical size of the attribute values that are stored in-- LDAP. For example, if most of your data is only 20 bytes long,-- choosing 20 for this trunc size would be wise.---- Change 32 to the search column trunc size you determine best fits your-- attribute data.---- The default suggested size is 32.--


付録 C. OS/390 および z/OS の LDAP 構成リファレンス 219

-- Another search performance enhancement is related to the DN attribute.-- The DN attribute value is stored separately from the entry data to allow-- a fast path lookup. It is also stored in two versions as well. The-- reasons are similar to those mentioned above for the attribute column.-- Since the DN data is stored in it’s own column, you need to define the-- maximum DN attribute value size here. You also need to choose a dn-- column trunc size that best fits your data.---- Change 32 to the dn trunc size you determine best fits your dn data.---- The default suggested size is 32.---- Change 512 to the maximum size of a DN. This value includes the null-- terminator, so the actual maximum length of a DN will be one less than-- this value.---- The default suggested size is 512.------ *************************-- Storage Group Information-- *************************-- Change the SYSDEFLT to the storage group you want to contain the-- LDAP DB2 tablespaces. Use SYSDEFLT to choose the default storage group.-- NOTE: The values provided below for PRIQTY and SECQTY probably need to be-- modified depending on the projected size of the Directory information to-- be stored.--

-- ***************************************************************************-- Use the following statements if you need to delete your LDAP Server DB2-- database and tablespaces in SPUFI. You need to remove the ’--’-- from each line before you can run these statements.-- Change the ENTRYTS to the LDAP entry tablespace name you want to delete.-- Change the LENTRYTS to the LDAP long entry tablespace name you want to-- delete.-- Change the LATTRTS to the LDAP long attr tablespace name you want to-- delete.-- Change the MISCTS to the LDAP miscellaneous tablespace name you want to-- delete.-- Change the SEARCHTS to the LDAP search tablespace name you want to delete.-- Change the REPTS to the LDAP replica tablespace name you want to delete.-- Change the DESCTS to the LDAP descendants tablespace name you want to-- delete.-- Change the LDAPR10 to the LDAP database name you want to delete.-- ***************************************************************************

--DROP TABLESPACE LDAPR10.ENTRYTS;--DROP TABLESPACE LDAPR10.LENTRYTS;--DROP TABLESPACE LDAPR10.LATTRTS;--DROP TABLESPACE LDAPR10.MISCTS;--DROP TABLESPACE LDAPR10.SEARCHTS;--DROP TABLESPACE LDAPR10.REPTS;--DROP TABLESPACE LDAPR10.DESCTS;--DROP DATABASE LDAPR10;--COMMIT;

-- ************************-- Create the LDAP database-- ************************CREATE DATABASE LDAPR10 STOGROUP SYSDEFLT;

-- ********************************-- Create the LDAP entry tablespace-- ********************************CREATE TABLESPACE ENTRYTS IN LDAPR10

USING STOGROUP SYSDEFLT



BUFFERPOOL BP0;

-- *************************************-- Create the LDAP long entry tablespace-- *************************************CREATE TABLESPACE LENTRYTS IN LDAPR10

USING STOGROUP SYSDEFLTBUFFERPOOL BP0;

-- ************************************-- Create the LDAP long attr tablespace-- ************************************CREATE TABLESPACE LATTRTS IN LDAPR10


-- *****************************-- Create the LDAP 4K tablespace-- *****************************CREATE TABLESPACE MISCTS IN LDAPR10

SEGSIZE 4USING STOGROUP SYSDEFLTBUFFERPOOL BP0;

-- *********************************-- Create the LDAP search tablespace-- *********************************CREATE TABLESPACE SEARCHTS IN LDAPR10


-- *********************************-- Create the LDAP replica tablespace-- *********************************CREATE TABLESPACE REPTS IN LDAPR10


-- *****************************-- Create the LDAP descendants tablespace-- *****************************CREATE TABLESPACE DESCTS IN LDAPR10


-- *********************-- Create the DB2 tables-- *********************

-- **************************-- Create the DIR_ENTRY table-- **************************CREATE TABLE LDAPSRV.DIR_ENTRY (

EID DECIMAL(15 , 0) NOT NULL,PEID DECIMAL(15 , 0),ENTRY_SIZE INTEGER,LEVEL INTEGER,ACLSRC DECIMAL(15 , 0),ACLPROP CHAR(1),OWNSRC DECIMAL(15 , 0),OWNPROP CHAR(1),CREATE_TIMESTAMP TIMESTAMP,MODIFY_TIMESTAMP TIMESTAMP,DN_TRUNC CHAR(32) FOR BIT DATA,DN VARCHAR(512) FOR BIT DATA,ENTRYDATA LONG VARCHAR FOR BIT DATA,PRIMARY KEY( EID ) )



IN LDAPR10.ENTRYTS;

-- ******************************-- Create the DIR_LONGENTRY table-- ******************************CREATE TABLE LDAPSRV.DIR_LONGENTRY (

EID DECIMAL(15 , 0) NOT NULL,SEQ INTEGER NOT NULL,ENTRYDATA LONG VARCHAR FOR BIT DATA,PRIMARY KEY( EID, SEQ ) )

IN LDAPR10.LENTRYTS;

-- *****************************-- Create the DIR_LONGATTR table-- *****************************CREATE TABLE LDAPSRV.DIR_LONGATTR (

EID DECIMAL(15 , 0) NOT NULL,ATTR_ID INTEGER NOT NULL,VALUENUM INTEGER NOT NULL,SEQ INTEGER NOT NULL,ATTRDATA LONG VARCHAR FOR BIT DATA,PRIMARY KEY( EID, ATTR_ID, VALUENUM, SEQ ) )

IN LDAPR10.LATTRTS;

-- *****************************-- Create the DIR_MISC table-- *****************************CREATE TABLE LDAPSRV.DIR_MISC (

NEXT_EID DECIMAL(15 , 0),NEXT_ATTR_ID INTEGER,DB_VERSION CHAR(10),DB_CREATE_VERSION CHAR(10) )

IN LDAPR10.MISCTS;

-- **************************-- Create the DIR_CACHE table-- **************************CREATE TABLE LDAPSRV.DIR_CACHE (

CACHE_NAME CHAR(25) NOT NULL,MODIFY_TIMESTAMP TIMESTAMP NOT NULL,PRIMARY KEY( CACHE_NAME, MODIFY_TIMESTAMP ) )

IN LDAPR10.MISCTS;

-- ***************************-- Create the DIR_ATTRID table-- ***************************CREATE TABLE LDAPSRV.DIR_ATTRID (

ATTR_ID INTEGER,ATTR_NOID VARCHAR(200) NOT NULL,PRIMARY KEY( ATTR_NOID ) )

IN LDAPR10.MISCTS;

-- *************************-- Create the DIR_DESC table-- *************************CREATE TABLE LDAPSRV.DIR_DESC (

DEID DECIMAL(15 , 0) NOT NULL,AEID DECIMAL(15 , 0) NOT NULL,PRIMARY KEY( DEID, AEID ) )

IN LDAPR10.DESCTS;

-- ***************************-- Create the DIR_SEARCH table-- ***************************CREATE TABLE LDAPSRV.DIR_SEARCH (

EID DECIMAL(15 , 0) NOT NULL,ATTR_ID INTEGER NOT NULL,



VALUE CHAR(32) FOR BIT DATA,LVALUE LONG VARCHAR FOR BIT DATA )

IN LDAPR10.SEARCHTS;

-- *****************************-- Create the DIR_REGISTER table-- *****************************CREATE TABLE LDAPSRV.DIR_REGISTER (

ID INTEGER NOT NULL,SRV VARCHAR(125) NOT NULL,PRIMARY KEY( ID, SRV ) )

IN LDAPR10.MISCTS;

-- *****************************-- Create the DIR_PROGRESS table-- *****************************CREATE TABLE LDAPSRV.DIR_PROGRESS (

ID INTEGER NOT NULL,PRG VARCHAR(125) NOT NULL,SRV VARCHAR(125) NOT NULL,PRIMARY KEY( ID, PRG, SRV ) )

IN LDAPR10.MISCTS;

-- ***************************-- Create the DIR_CHANGE table-- ***************************CREATE TABLE LDAPSRV.DIR_CHANGE (

ID INTEGER NOT NULL,TYPE INTEGER NOT NULL,LONGENTRY_SIZE INTEGER,DIN VARCHAR(512) NOT NULL,LDIF LONG VARCHAR NOT NULL,PRIMARY KEY( ID ) )

IN LDAPR10.REPTS;

-- *******************************-- Create the DIR_LONGCHANGE table-- *******************************CREATE TABLE LDAPSRV.DIR_LONGCHANGE (

ID INTEGER NOT NULL,SEQ INTEGER NOT NULL,LDIF LONG VARCHAR,PRIMARY KEY( ID, SEQ ) )

IN LDAPR10.REPTS;

-- ***********************************-- Commit all the above SQL statements-- ***********************************COMMIT;

サンプル DB2 索引 SPUFI 用スクリプト

--*********************************************************************/--* This file contains sample code. IBM PROVIDES THIS CODE ON AN */--* ’AS IS’ BASIS WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS */--* OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE IMPLIED WARRANTIES */--* OF MERCHANT ABILITY OR FITNESS FOR A PARTICULAR PURPOSE. */--*********************************************************************/---- Use the following statements to create your LDAP Server DB2-- indexes in SPUFI. See the instructions below for more information.---- **************************-- DataBase Owner Information-- **************************



-- Change the LDAPSRV to the MVS database owner id. This ID will be the-- highlevel qualifier for the tables. This value should correspond-- with the value chosen in the LDAP Server DB2 database and tablespace-- SPUFI script.---- *************************-- Storage Group Information-- *************************-- Change the SYSDEFLT to the storage group you want to contain the-- LDAP DB2 indexes. Use SYSDEFLT to choose the default storage group.-- NOTE: The values provided below for PRIQTY and SECQTY probably need-- to be modified depending on the projected size of the Directory-- information to be stored.---- *************************-- Miscellaneous Information-- *************************-- All indexes have been defined DEFER YES, which means they need to be-- recovered at some point. It is suggested to do the recovery after-- the database has been populated for databases with large amounts of-- data. Use of this option is strictly optional though.---- To NOT use the DEFER YES option, simply remove DEFER YES globally.--

-- ****************************-- Create the DIR_ENTRY indexes-- ****************************CREATE UNIQUE INDEX LDAPSRV.DIR_ENTRYX0 ON LDAPSRV.DIR_ENTRY( EID )

USING STOGROUP SYSDEFLTDEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX1 ON LDAPSRV.DIR_ENTRY( PEID, EID )USING STOGROUP SYSDEFLTDEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX2 ON LDAPSRV.DIR_ENTRY( EID, DN_TRUNC )USING STOGROUP SYSDEFLTDEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX3 ON LDAPSRV.DIR_ENTRY( DN_TRUNC, EID )USING STOGROUP SYSDEFLTDEFER YES;

-- ********************************-- Create the DIR_LONGENTRY indexes-- ********************************CREATE UNIQUE INDEX LDAPSRV.DIR_LONGENTRYX1

ON LDAPSRV.DIR_LONGENTRY( EID, SEQ )USING STOGROUP SYSDEFLTDEFER YES;

-- *******************************-- Create the DIR_LONGATTR indexes-- *******************************CREATE UNIQUE INDEX LDAPSRV.DIR_LONGATTRX1

ON LDAPSRV.DIR_LONGATTR( EID, ATTR_ID, VALUENUM, SEQ )USING STOGROUP SYSDEFLTDEFER YES;

-- ****************************-- Create the DIR_CACHE indexes-- ****************************CREATE UNIQUE INDEX LDAPSRV.DIR_CACHEX1

ON LDAPSRV.DIR_CACHE( CACHE_NAME, MODIFY_TIMESTAMP )USING STOGROUP SYSDEFLTDEFER YES;

-- *****************************



-- Create the DIR_ATTRID indexes-- *****************************CREATE UNIQUE INDEX LDAPSRV.DIR_ATTRIDX1

ON LDAPSRV.DIR_ATTRID( ATTR_NOID )USING STOGROUP SYSDEFLTDEFER YES;

-- ***************************-- Create the DIR_DESC indexes-- ***************************CREATE UNIQUE INDEX LDAPSRV.DIR_DESCX1

ON LDAPSRV.DIR_DESC( DEID, AEID )USING STOGROUP SYSDEFLTDEFER YES;

-- *****************************-- Create the DIR_SEARCH indexes-- *****************************CREATE INDEX LDAPSRV.DIR_SEARCHX1

ON LDAPSRV.DIR_SEARCH( ATTR_ID, VALUE, EID )USING STOGROUP SYSDEFLTDEFER YES;

CREATE INDEX LDAPSRV.DIR_SEARCHX2ON LDAPSRV.DIR_SEARCH( EID, ATTR_ID )USING STOGROUP SYSDEFLT CLUSTERDEFER YES;

-- *******************************-- Create the DIR_REGISTER indexes-- *******************************CREATE UNIQUE INDEX LDAPSRV.DIR_REGISTERX1

ON LDAPSRV.DIR_REGISTER( ID, SRV )USING STOGROUP SYSDEFLTDEFER YES;

-- *******************************-- Create the DIR_PROGRESS indexes-- *******************************CREATE UNIQUE INDEX LDAPSRV.DIR_PROGRESSX1

ON LDAPSRV.DIR_PROGRESS( ID, PRG, SRV )USING STOGROUP SYSDEFLTDEFER YES;

-- *****************************-- Create the DIR_CHANGE indexes-- *****************************CREATE UNIQUE INDEX LDAPSRV.DIR_CHANGEX1 ON LDAPSRV.DIR_CHANGE( ID )

USING STOGROUP SYSDEFLTDEFER YES;

-- *********************************-- Create the DIR_LONGCHANGE indexes-- *********************************CREATE UNIQUE INDEX LDAPSRV.DIR_LONGCHANGEX1

ON LDAPSRV.DIR_LONGCHANGE( ID, SEQ )USING STOGROUP SYSDEFLTDEFER YES;

-- ***********************************-- Commit all the above SQL statements-- ***********************************COMMIT;



サンプル CLI バインド・バッチ・ジョブ

//DSNTIJCL JOB (DB2),// ’PGMRNAME’,// CLASS=A,MSGCLASS=H,MSGLEVEL=(1,1),// REGION=4M//*//*********************************************************************///* This file contains sample code. IBM PROVIDES THIS CODE ON AN *///* ’AS IS’ BASIS WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS *///* OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE IMPLIED WARRANTIES *///* OF MERCHANT ABILITY OR FITNESS FOR A PARTICULAR PURPOSE. *///*********************************************************************///*********************************************************************///* JOB NAME = DSNTIJCL *///* DESCRIPTIVE NAME = INSTALLATION JOB STREAM *///* LICENSED MATERIALS - PROPERTY OF IBM *///* 5655-DB2 *///* (C) COPYRIGHT 1982, 1997 IBM CORP. ALL RIGHTS RESERVED. *///* STATUS = VERSION 5 *///* FUNCTION = SAMPLE CLI BIND *///* PSEUDOCODE = BINDCLI STEP BIND CLI DEFAULT PACKAGES AND PLAN *///* DEPENDENCIES = CLI MUST BE INSTALLED *///* MEMBER DSNCLIQR CAN ONLY BE BOUND SUCCESSFULLY TO DRDA SERVERS *///* THAT SUPPORT QUERY RESULT SET SQL (I.E. DESCRIBE PROCEDURE). *///* CURRENTLY THAT IS DB2 FOR OS/390 V5. *///* *///* NOTES = *///* BEFORE RUNNING THIS JOB: *///* - CHANGE ALL OCCURRENCES OF DSN5 TO THE PREFIX OF YOUR DB2 V5.1 *///* SDSNLOAD AND SDSNDBRM DATA SETS *///* - CHANGE THE SYSTEM(DSN5) STATEMENT TO MATCH YOUR DB2 V5.1 SSID *///* *///* CLI CAN BE BOUND TO REMOTE SERVERS BY INCLUDING THE LOCATION NAME.*///* *///* FOR REMOTE SERVERS OTHER THAN DB2 FOR OS/390, ALSO ADD THE *///* APPROPRIATE BIND PACKAGE MEMBER STATEMENTS, LISTED BELOW, *///* BASED ON THE SERVER TYPE: *///* BIND PACKAGE (<COMMON SERVER V1 LOCATION NAME>.DSNAOCLI) - *///* MEMBER(DSNCLIV1) *///* BIND PACKAGE (<COMMON SERVER V2 LOCATION NAME>.DSNAOCLI) - *///* MEMBER(DSNCLIV2) *///* BIND PACKAGE (<AS400 LOCATION NAME>.DSNAOCLI) - *///* MEMBER(DSNCLIAS) *///* BIND PACKAGE (<SQLDS LOCATION NAME>.DSNAOCLI) - *///* MEMBER(DSNCLIVM) *///* ALSO INCLUDE ANY ADDED PACKAGE NAMES TO THE PKLIST KEYWORD OF *///* BIND PLAN STATEMENT FOLLOWING THE BIND PACKAGE STATEMENTS. *///* *///*********************************************************************///JOBLIB DD DISP=SHR,// DSN=DB2710.SDSNLOAD//BINDCLI EXEC PGM=IKJEFT01,DYNAMNBR=20//DBRMLIB DD DISP=SHR,// DSN=DB2710.SDSNDBRM//SYSTSPRT DD SYSOUT=*//SYSPRINT DD SYSOUT=*//SYSUDUMP DD SYSOUT=*//SYSTSIN DD *DSN SYSTEM(DSN5)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLICS) ISOLATION(CS)BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLINC) ISOLATION(NC)BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIRR) ISOLATION(RR)BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIRS) ISOLATION(RS)BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIUR) ISOLATION(UR)



BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIC1)BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIC2)BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIF4)BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIMS)BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIQR)

BIND PLAN(DSNACLI) -PKLIST(DSNAOCLI.DSNCLICS -

DSNAOCLI.DSNCLINC -DSNAOCLI.DSNCLIRR -DSNAOCLI.DSNCLIRS -DSNAOCLI.DSNCLIUR -DSNAOCLI.DSNCLIC1 -DSNAOCLI.DSNCLIC2 -DSNAOCLI.DSNCLIF4 -DSNAOCLI.DSNCLIMS -DSNAOCLI.DSNCLIQR )

END/*

サンプル CLI 初期設定ファイル; This is a comment line...;/*********************************************************************/;/* This file contains sample code. IBM PROVIDES THIS CODE ON AN */;/* ’AS IS’ BASIS WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS */;/* OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE IMPLIED WARRANTIES */;/* OF MERCHANT ABILITY OR FITNESS FOR A PARTICULAR PURPOSE. */;/*********************************************************************/; Example COMMON stanza;; The MVSDEFAULTSSID option indicates what DB2; subsystem should be used for interacting with; DB2 tables. This value is installation dependent.; It is assumed to be DSN5 for this example.[COMMON]MVSDEFAULTSSID=DSN5; Example SUBSYSTEM stanza for DSN5 subsystem;; NOTE: the PLANNAME option below must match the; plan name that was specified when running the; DSNTIJCL batch job to create the plan. It is; assumed to be DSNACLI for this example.[DSN5];MVSATTACHTYPE=CAFMVSATTACHTYPE=RRSAFPLANNAME=DSNACLI; Example DATA SOURCE stanza;; The DATA SOURCE name is installation dependent.; It is assumed to be LOC1 for this example.[LOC1]AUTOCOMMIT=0CONNECTTYPE=1



付録 D. Common Criteria

Common Criteria (CC) 評価システムは、IT 製品の保証評価に対して、国際的に認められている ISO 標準 (ISO 15408) である共通基準に基づいて評価されているシステムです。IBM Tivoli Access Manager (バージョン 4.1、修正パッケージ 5 インストール済み) は、CC 保証レベル EAL3+ の要件を満たすテクノロジーを備えています。これらの要件を満たすシステム構成は、本書では CC 評価システムと呼ばれます。

注: CC 評価に使用される認証ステータスおよびプラットフォームを含む、この付録以降に発表される更新情報に関しては、IBM Tivoli Access Manager バージョン4.1、修正パッケージ 5 README ファイルを参照してください。

評価は、このセクションで説明される特定の構成で実行されました。この構成を変更すると、評価されていないシステムとなります。ただし、それによってシステムのセキュリティーが低減することはありません。ただ、このカスタマイズされた構成が評価の対象とならないことを意味します。

この付録では、CC 評価の要件を満たす必要のあるシステムの制約について説明します。IBM Tivoli Access Manager、バージョン 4.1 の CC 評価システムは、以下の Tivoli Access Manager システムにより構成されています。

ポリシー・サーバー (pdmgrd)以下のコンポーネントがインストールされています。

v Tivoli Access Manager ランタイム



v IBM Global Security Kit (GSKit)

WebSEAL サーバー (webseald)以下のコンポーネントがインストールされています。

v Tivoli Access Manager ランタイム

v Tivoli Access Manager WebSEAL サーバー


v IBM Global Security Kit (GSKit)

以下のセクションでは、CC 準拠システムを達成するために、上記のコンポーネントおよび操作環境が構成されるべき方法を説明します。

Tivoli Access Manager のセキュリティー・ポリシーTivoli Access Manager の CC 構成は、セキュアな操作を達成、維持するために順守すべきセキュリティー・ポリシーに基づいています。


基本セキュリティー・ポリシーシステムは、許可されたアドミニストレーターのみがアクセス権を持つ、アクセスが制御された機構でインストール、操作される必要があります。Tivoli Access

Manager サーバー・コンポーネントが実行されるプラットフォームは、許可されたアドミニストレーターのみにアクセスを許可するように保護される必要があります。

以下は、Tivoli Access Manager を CC と互換性のある方法で操作するために満たす必要のある、非排他的なセキュリティー・ポリシーのリストです。

v システム上の情報を扱う仕事をすることを許可されたユーザーのみに、システム上でユーザー ID が与えられている。

v 管理者とユーザーは、高品質なパスワードを使用する必要がある (可能な限りランダムで、ユーザーまたは組織と関連性のないもの)。

v ユーザーと管理者は自分のパスワードを他人に公開しない。

v 管理者は、信頼があり、勤勉で、システム資料が提供するガイドに従って作業する必要がある。

v 管理者によりシステムのユーザー用に生成されたパスワードは、ユーザーにセキュアな方法で伝送される必要がある。

v リモート端末またはリモート・ワークステーションを使用して管理用のポリシー・サーバーに接続する管理者は、リモート端末またはワークステーションが、機密保護機能のある環境にあり、安全に管理されていることを確認する必要がある。ポリシー・サーバーでオペレーティング・システムと通信するために、機密保護機能のある接続をセットアップして管理を実行します。そこで、管理者はpdadmin コマンド行インターフェースを呼び出し、自分を認証します。

システム・セキュリティー・ポリシー『基本セキュリティー・ポリシー』に説明されている基本セキュリティー・ポリシーに加えて、Tivoli Access Manager の操作に使用されるシステムとネットワークは、さらに以下のポリシー・ステートメントを満たす必要があります。

v Tivoli Access Manager がデプロイされているマシンは、Tivoli Access Manager 専用マシンである。 (Tivoli Access Manager アプリケーションは、基本オペレーティング・システム上で実行される唯一のアプリケーションである必要があります。)

注: すべてのオペレーティング・システム・サービスを、特に Tivoli Access

Manager の実行、運用、管理において重要ではないネットワーク・サービスをオフにします。

v オペレーティング・システムは、訓練を受けた、信頼できる人員が構成する。

v オペレーティング・システムは、Tivoli Access Manager アプリケーションに正確な時間を提供する。

v Tivoli Access Manager の構成ファイルおよびログ/監査ファイルは、オペレーティング・システム・アクセス制御メカニズムを使用して保護する。

v LDAP アクセスは、SSL バージョン 3、または TLS バージョン 1 を使用して実行する。

Common Criteria


v LDAP サーバーは、提供するエントリーに対するアクセス制御の実行に加えて、ユーザー識別および認証を実行する。

この付録では、基本オペレーティング・システムの詳細な運用および管理の問題と機構については説明しません。

Tivoli Access Manager ネットワーク・ポリシー以下は、各コンポーネントの通信プロファイルに関するリストです。この通信プロファイルは、Tivoli Access Manager を安全に操作するために、ネットワーク環境で実施される必要があります。

通常、ネットワークは、WebSEAL がリソース・アクセス・ポリシーの制約ポイントであるように構成される必要があります。こうすることにより、ユーザーがほかの方法によって、Tivoli Access Manager により保護されているリソースにアクセスできなくなります。オペレーティング・システムの運用および管理機構は、このルールに従う必要があります。

v ポリシー・サーバー (pdmgrd)

– Tivoli Access Manager 通信

– レジストリーへの LDAP

v WebSEAL サーバー (webseald)

– 外部ユーザーの場合、HTTPS のみ

– バックエンド・リソースへの HTTPS

– 許可、データベース複製、管理、監査用の Tivoli Access Manager 通信

– レジストリーへの LDAP

下記のダイアグラムは、ネットワーク・ポリシーの概要を示しています。

注: このポリシーは、特定のネットワーク・セットアップを暗黙指定しません。最良実例に従い、内部と外部ネットワーク・インターフェースを明確に分離し

Common Criteria

付録 D. Common Criteria 231

て、外部ユーザーのみに HTTPS アクセスを生成する必要があります。その他すべてのネットワーク・サービスは、外部ネットワークからアクセスできないようにします。

ユーザーの動作に関する前提事項各セキュア・システムには、セキュリティーが前提事項 (したがって信頼) を基盤とするエリアがあります。Tivoli Access Manager のセキュリティーは、外部ユーザーの動作に関する以下の前提事項に基づいています。

v クライアント・サイドの暗号鍵の生成は安全に実行され、したがって強力な暗号鍵を生成する。

v Tivoli Access Manager の認証に使用されるユーザーの秘密鍵と鍵交換は、安全に保管され、許可されていない使用およびアクセスから保護されている。

v ユーザーは、敵意を持たず、故意にセキュリティー機能を攻撃する (すなわち、システムのポリシーを回避しようと試みる) ことは行わない。また、ユーザーは操作環境の認証情報を注意深く保護します。

上記の前提事項のいずれかが該当しなくなくなった場合は、いかなるアタッカーも、そのユーザーの偽名を使用できるため、管理者は、問題のユーザーに成り代わってアクセスできる状況を認識する必要があります。

CC 評価対応のインストールおよび構成CC 評価は、この付録にリストされているセキュリティー構成オプションのみを対象とします。インストールと構成の要件は以下のとおりです。

v Tivoli Access Manager の前のバージョンがインストールされていない、クリーン」なシステムを使用していることを確認する。旧リリースから現行の修正パッケージにアップグレードして、そのアップグレードされたシステムを評価構成の基本として使用できません。

v pdmgrd と webseald システムは、別のマシンにインストールする。

v Tivoli Access Manager コンポーネントは、同じオペレーティング・システムを使用して評価されている。混合構成は評価されていません。たとえば、pdmgrd とwebseald は両方とも AIX マシンにインストールされました。

v Web Portal Manager (WPM) は、評価構成ではサポートされていない。 pdadminコマンド行インターフェースと C API のみがサポートされています。

v ディレクトリー・サーバーへのアクセスでは、LDAP のみがサポートされている。Active Directory または他のプロトコルはサポートされていません。

v LDAP レプリカはサポートされていない。

v ハードウェア暗号化デバイスはサポートされていない。

v 英語サポートのみが評価されている。

v 簡易インストール・プログラムのみが、CC 評価構成でサポートされている。

v すべての WebSEAL システムは、相互に独立して作動するように構成され、中央ポリシー・サーバーにのみ接続されている。したがって、WebSEAL システムのロード・バランシングとフェイルオーバー構成は、評価構成ではサポートされていません。

Common Criteria


Tivoli Access Manager のインストールTivoli Access Manager 基本コンポーネントの CC 対応インストールについては、本書で説明されています。WebSEAL コンポーネントのインストールについては、IBM

Tivoli Access Manager WebSEAL インストール・ガイドで説明されています。

Tivoli Access Manager コンポーネントの初期インストールの後、CC 対応の状態を達成するには、さらなる構成ステップが必要です。

重要説明されるステップは、Tivoli Access Manager コンポーネントのインストール・デフォルト構成で delta として指定されます。デフォルト構成にその他の変更を加えた場合、システムは評価構成を保守しません。

WebSEAL の保護評価構成は、WebSEAL への HTTPS アクセスのみをサポートします。webseald.conf の以下の構成ディレクティブは、以下を確認します。

[server]http = nohttps = yes

WebSEAL が以下のように標準 HTTPS ポートを使用することをお勧めしますが、必須ではありません。

[server]https-port = 443

評価構成に SSL バージョン 2 は含まれていません。SSL バージョン 3 と TLS バージョン 1 がサポートされています。

[ssl]disable-ssl-v2 = yesdisable-ssl-v3 = nodisable-tls-v1 = no

注: WebSEAL からバックエンド・サーバーへの接続は、SSL ベース (SSL バージョン 3 または TLS バージョン 1) である必要があります。 WebSEAL は、SSL と非 SSL が混在している場合、ジャンクションに応じて URL を再書き込みしません。

WebSEAL 認証機構の構成評価構成は、以下のサブセットに対して、ユーザー認証機構の使用を制限します。

v 証明書に基づく認証

v ユーザー ID とパスワードに基づく認証

したがって、以下の構成パラメーターが webseald.conf で設定される必要があります。

[ba]ba-auth = https

[forms]

Common Criteria


forms-auth = https

[certificate]accept-client-certs = optional

[authentication-mechanisms]cert-ssl = ssl_client_side_certificate_authentication_library

サポートされている暗号スイートの選択以下の SSL バージョン 3/TLS バージョン 1 の暗号スイートは、評価構成で使用される必要があります。

v SSL_RSA_WITH_RC4_128_SHA

v SSL_RSA_WITH_RC4_128_SHA

v SL_RSA_WITH_3DES_EDE_CBC_SHA

以下のパラメーターは、webseald.conf で設定される必要があります。

[ssl-qop-mgmt-default]default = RC4-128default = DES-168

監査の構成イベント・ログ機構により、ログと監査エントリーのさまざまなターゲットを使用できます。

webseald または pdmgrd の場合、以下のエントリーが構成ファイル内に配置される必要があります。

logcfg = audit.azn: file=audit_file,\log_id=audit,\flush_interval=1,\rollover=size=-10000000,\buffer_size=0,\queue_size=1,\hi_water=1

logcfg = audit.authn:file log_id=auditlogcfg = audit.mgmt:file log_id=auditlogcfg = audit.http:file log_id=audit

audit_file は、監査ログ・ファイルの完全修飾パスです。

この例では、すべての監査イベントをすべての監査カテゴリーから 1 つの監査ログ・ファイルに送信します。ファイルが 10,000,000 バイトまで大きくなるか、24

時間 (最大限) 経過すると、新しいログ・ファイルが作成されます。タイム・スタンプは、古いファイルに付加されます。

管理者は、監査証跡が書き込まれるファイル・システムに常に十分なスペースがあることを確認する必要があります。この例では、監査をサポートするすべてのサブクラスの監査証跡を作成します。

その他の WebSEAL 機能不要な機能をオフに切り替えるには、以下のパラメーターを変更する必要があります。

[ltpa]ltpa-cache-enabled = no

Common Criteria


ログイン・ポリシーCC 要件に従うには、pdadmin コマンドを使用して、ユーザーと管理 ID のデフォルト・ログイン・ポリシーを次のように変更します。

policy set max-login-failures 3

これにより、試みが 3 回連続で失敗するとログイン・ポリシーが適用され、10 回の試み (デフォルト) の後には適用されなくなります。デフォルトのペナルティー、180 秒を変更する必要がない点にご注意ください。

注: 複数の WebSEAL サーバー・インスタンスを同時に構成できます。各インスタンスは、アタッカーがパスワードを推測できる、追加のエントリー・ポイントを提示します。多くのインスタンスが構成される場合、パスワード・セキュリティーの最適なレベルを維持するように注意する必要があります。このような場合、ほかの WebSEAL セキュリティー設定を調整します。たとえば、連続した試みの失敗に対するデフォルト・ペナルティーを増やすと、アタッカーが暴力的なパスワード・アタックを実行するのに必要な時間を大幅に延長することになります。

CC 評価は 2 つの WebSEAL インスタンスを対象としました。WebSEAL セキュリティー設定が、この付録に指定されている値から変更されていない場合、CC 構成を維持するために、4 つ以上の WebSEAL インスタンスを追加しないことをお勧めします。

WebSEAL セキュリティー設定について詳しくは、IBM Tivoli Access Manager

WebSEAL Administration Guide を参照してください。

パスワード・ポリシーCC 要件に従うには、pdadmin コマンドを使用して、デフォルトのパスワード・ポリシーを次のように変更します。

policy set password-spaces no

暗号鍵管理Tivoli Access Manager の評価は、暗号鍵生成プロセスも対象としています。つまり、Tivoli Access Manager ユーティリティー (mgrsslcfg、bassslcfg、およびsvrsslcfg) により生成された鍵のセキュリティー状況が検証されます。ユーザーにより生成された証明書 (たとえば、WebSEAL サーバーに対する証明書) が、少なくとも 1024 ビットの長さの鍵を持つようにご注意ください。WebSEAL 証明書管理について詳しくは、IBM Tivoli Access Manager WebSEAL Administration Guide を参照してください。

CC 対応構成ファイル以下の構成ファイルが、Tivoli Access Manager の CC 評価に使用されました。これらのファイルのスタンザ、パラメーター情報を含む詳細は、IBM Tivoli Access

Manager Base 管理者ガイドを参照してください。webseald.conf ファイルについては、IBM Tivoli Access Manager WebSEAL 管理者ガイドを参照してください。

v ivmgrd.conf

Common Criteria


v ldap.conf

v pd.conf

v webseald.conf

Common Criteria


付録 E. 特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒106-0032

東京都港区六本木 3-2-31

IBM World Trade Asia Corporation

Licensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。 IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。


本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム (本プログラムを含む）との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。

IBM Corporation2Z4A/10111400 Burnet RoadAustin, TX 78758U.S.A.

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、 IBM より提供されます。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

著作権使用許諾:

本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・プラットフォームのアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。お客様は、IBM のアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、 IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。

それぞれの複製物、サンプル・プログラムのいかなる部分、またはすべての派生的創作物にも、次のように、著作権表示を入れていただく必要があります。


© (お客様の会社名) (西暦年). このコードの一部は、IBM Corp. のサンプル・プログラムから取られています。 © Copyright IBM Corp. _年を入れる_. All rights

reserved.

この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示されない場合があります。

製品と共に配布されているコードの一部は第三者から提供されており、これらには別の使用許諾条件があります。以下は、その条件です。

XML Parser Toolkit LicenseCopyright © 1998, 1999, 2000 Thai Open Source Software Center Ltd

Permission is hereby granted, free of charge, to any person obtaining a copy of this

software and associated documentation files (the ″Software″), to deal in the Software

without restriction, including without limitation the rights to use, copy, modify, merge,

publish, distribute, sublicense, and/or sell copies of the Software, and to permit

persons to whom the Software is furnished to do so, subject to the following

conditions:

The above copyright notice and this permission notice shall be included in all copies

or substantial portions of the Software.

THE SOFTWARE IS PROVIDED ″AS IS″, WITHOUT WARRANTY OF ANY

KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE

WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR

PURPOSE AND NONINFRINGEMENT.

IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE

FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN

ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR

IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS

IN THE SOFTWARE.

Pluggable Authentication Module LicenseCopyright © 1995 by Red Hat Software, Marc Ewing Copyright (c) 1996-8, Andrew

G. Morgan <[email protected]>

All rights reserved

Redistribution and use in source and binary forms, with or without modification, are

permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, and the

entire permission notice in its entirety, including the disclaimer of warranties.

2. Redistributions in binary form must reproduce the above copyright notice, this list

of conditions and the following disclaimer in the documentation and/or other

materials provided with the distribution.

付録 E. 特記事項 239

3. The name of the author may not be used to endorse or promote products derived

from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED ″AS IS″’ AND ANY EXPRESS OR IMPLIED

WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED

WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR

PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE

FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR

CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,

DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND

ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT

LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING

IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF

THE POSSIBILITY OF SUCH DAMAGE.

Apache Axis ServletCopyright ©2002 The Apache Software Foundation. All rights reserved.



1. Redistributions of source code must retain the above copyright notice, this list of

conditions and the following disclaimer.




3. The end-user documentation included with the redistribution, if any, must include

the following acknowledgment: ″This product includes software developed by the

Apache Software Foundation (http://www.apache.org/).″ Alternately, this

acknowledgment may appear in the software itself, if and wherever such third-party

acknowledgments normally appear.

4. The names ″Apache Forrest″ and ″Apache Software Foundation″ must not be used

to endorse or promote products derived from this software without prior written

permission. For written permission, please contact [email protected].

5. Products derived from this software may not be called ″Apache″, nor may

″Apache″ appear in their name, without prior written permission of theApache

Software Foundation.

THIS SOFTWARE IS PROVIDED ``AS IS’’ AND ANY EXPRESSED OR IMPLIED



PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE APACHE SOFTWARE

FOUNDATION OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT,

INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL

DAMAGES (INCLU- DING, BUT NOT LIMITED TO, PROCUREMENT OF

SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR

BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF


LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT

(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF

THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF

SUCH DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf

of the Apache Software Foundation. For more information on the Apache Software

Foundation, please see http://www.apache.org/.

JArgs command line option parsing suite for JavaCopyright ©2001, Stephen Purcell All rights reserved.




conditions and the following disclaimer.




3. Neither the name of the copyright holder nor the names of its contributors may be

used to endorse or promote products derived from this software without specific

prior written permission.

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND

CONTRIBUTORS ″AS IS″ AND ANY EXPRESS OR IMPLIED WARRANTIES,

INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF

MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE

DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE

LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY,

OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,

DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND

ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT

LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING

IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF

THE POSSIBILITY OF SUCH DAMAGE.

Java DOM implementationCopyright © 2000-2002 Brett McLaughlin & Jason Hunter. All rights

reserved.Redistribution and use in source and binary forms, with or without

modification, are permitted provided that the following conditions are met:


conditions, and the following disclaimer.


of conditions, and the disclaimer that follows these conditions in the documentation

and/or other materials provided with the distribution.


3. The name ″JDOM″ must not be used to endorse or promote products derived from

this software without prior written permission. For written permission, please

contact [email protected].

4. Products derived from this software may not be called ″JDOM″, nor may ″JDOM″appear in their name, without prior written permission from the JDOM Project

Management ([email protected]).

5. In addition, we request (but do not require) that you include in the end-user

documentation provided with the redistribution and/or in the software itself an

acknowledgement equivalent to the following: ″This product includes software

developed by the JDOM Project (http://www.jdom.org/).″

6. In addition, we request (but do not require) that you include in the end-user

documentation provided with the redistribution and/or in the software itself an

acknowledgement equivalent to the following: ″This product includes software

developed by the JDOM Project (http://www.jdom.org/).″ Alternatively, the

acknowledgment may be graphical using the logos available at

http://www.jdom.org/images/logos.

THIS SOFTWARE IS PROVIDED ``AS IS’’ AND ANY EXPRESSED OR IMPLIED



PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE JDOM AUTHORS OR

THE PROJECT CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT,

INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES

(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE

GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,

WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING

NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF

THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH

DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf

of the JDOM Project and was originally created by Brett McLaughlin

([email protected]) and Jason Hunter ([email protected]). For more information on the

JDOM Project, please see http://www.jdom.org/.

商標以下は、IBM Corporation の商標です。

AIX

DB2

IBM

IBM ロゴMVS

OS/390

SecureWay

Tivoli


Tivoli ロゴUniversal Database

WebSphere

zSeries

z/OS

Lotus、Lotus Notes、および Notes は、IBM Corporation の商標です。

Domino は、IBM Corporation の商標です。

Java およびすべての Java 関連の商標およびロゴは、Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。 Java およびすべての Java 関連の商標およびロゴは、Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

UNIX は、The Open Group がライセンスしている米国およびその他の国における登録商標です。

他の会社名、製品名およびサービス名などはそれぞれ各社の商標または登録商標です。


用語集

［ア行］アクション (action). アクセス・コントロール・リスト (ACL) 許可属性。

アクセス許可 (access permission). そのオブジェクト全体に適用されるアクセス権。または、属性アクセス・クラスに適用される許可。

アクセス・コントロール (access control). コンピューター・セキュリティーで、許可ユーザーが許可された方法でのみコンピューター・システムのリソースにアクセスできるようにするプロセス。

アクセス・コントロール・グループ (access controlgroups). アクセス・コントロールで使用されるグループ。各グループには、メンバー識別名で構成される複数値属性が含まれています。アクセス・コントロール・グループのオブジェクト・クラスは AccessGroup です。

アクセス・コントロール・リスト (access controllist). コンピューター・セキュリティーにおいて、オブジェクトへ関連付けられているリスト。そのオブジェクトにアクセスできるすべてのサブジェクトと、そのアクセス権限を識別する。たとえば、ファイルに関連付けられているアクセス・コントロール・リストは、ファイルにアクセスできるユーザーを識別し、さらに、そのファイルへのユーザーのアクセス権限を識別する。

暗号 (cipher). 鍵を使用してプレーン・データに変換(暗号化解除) されるまで判読できない、暗号化されたデータ。

暗号化 (encryption). コンピューター・セキュリティーにおいて、データを理解不能な形式に変換して、オリジナルのデータを入手できないか、または暗号化解除プロセスを使用しなければ入手できないようにするプロセス。

インターネット・プロトコル (IP) (Internet protocol(IP)). インターネット・プロトコル・スイートで、データをネットワークまたは相互接続ネットワーク内で経路指定して、高位プロトコル・レイヤーと物理ネットワークとの間の仲介者として機能する、コネクションレス・プロトコル。

インターネット・プロトコル・スイート (Internet suiteof protocols). インターネット上で使用するために開発され、 Internet Engineering Task Force (IETF) からRequests for Comment (RFC) として公開されている、プロトコルのセット。

応答ファイル (response file). プログラムからの質問に対する応答セットを事前定義したファイル。それらの値を一度に 1 つずつ答える代わりに使用されます。

［カ行］外部許可サービス (external authorization service).Access Manager の許可決定チェーンの一部として、アプリケーションまたは環境固有の許可決定を行うために使用できる許可 API ランタイム・プラグイン。ユーザーは、権限 ADK を使用して、これらのサービスを開発できます。

鍵 (key). コンピューター・セキュリティーにおいて、暗号アルゴリズムでデータを暗号化または暗号化解除するために使用する、シンボルのシーケンス。秘密鍵(private key) および公開鍵 (public key) を参照。

鍵データベース・ファイル (key database file). 鍵リング (key ring) を参照。

鍵ペア (key pair). コンピューター・セキュリティーにおいて、公開鍵と秘密鍵のこと。鍵ペアを暗号化に使用する場合、送信側は公開鍵を使用してメッセージを暗号化し、受信側は秘密鍵を使用してそのメッセージを暗号化解除します。鍵ペアを署名に使用する場合、署名者は秘密鍵を使用してメッセージの表現を暗号化し、受信側は公開鍵を使用してそのメッセージの表現を暗号化解除して、署名を検証します。

鍵リング (key ring). コンピューター・セキュリティーにおいて、公開鍵、秘密鍵、トラステッド・ルート、および証明書が入ったファイル。

仮想ホスト機能 (virtual hosting). 1 台の Web サーバーがインターネットに対して複数のホストとして現れる機能。

管理サーバー (management server). 廃止された用語。 Policy server を参照。

管理サービス (administration service). Access

Manager リソース・マネージャー・アプリケーションで


管理要求を実行するために使用できる許可 API ランタイム・プラグイン。管理サービスは、pdadmin コマンドからのリモート要求に応答して、保護されたオブジェクト・ツリー内の特定のノードにあるオブジェクトをリストするなどのタスクを実行します。ユーザーは、権限ADK を使用して、これらのサービスを開発できます。

キー・ファイル (key file). 鍵リング (key ring) を参照。

基本認証 (basic authentication). 有効なユーザー名とパスワードを入力しなければ、保護されたオンライン・リソースへのアクセスを認可されないようにする認証方式。

許可 (authorization). (1) コンピューター・セキュリティーで、ユーザーがコンピューター・システムと通信したり、それを使用するための権限。 (2) ユーザーにオブジェクト、リソース、または機能に対する完全または制限付きアクセスを認可するプロセス。

許可 (permission). ファイルまたはディレクトリーなど、保護されたオブジェクトへアクセスする機能。オブジェクトについての許可の数と意味は、アクセス・コントロール・リストによって定義されます。

許可サービス・プラグイン (authorization serviceplug-in). Access Manager 許可 API ランタイム・クライアントが、許可 API 内のサービス・インターフェースを拡張する操作を行うために初期化時にロードできる動的ロード可能ライブラリー (DLL または共用ライブラリー)。現在使用可能なサービス・インターフェースには、管理、外部許可、信任状変更、資格付与、およびPAC 変更の各インターフェースがあります。ユーザーは、権限 ADK を使用して、これらのサービスを開発できます。

グローバル・サインオン (GSO) (global signon(GSO)). ユーザーがバックエンド Web アプリケーション・サーバーに代替のユーザー名とパスワードを提供できるようにする柔軟なシングル・サインオン・ソリューション。グローバル・サインオンは、ユーザーに、許可されたコンピューター・リソースへのアクセス権を 1

回のログインで付与します。 GSO は、複数のシステムおよびアプリケーションからなる異機種混合の分散コンピューティング環境を持つ大規模エンタープライズ向けに設計されており、ユーザーが複数のユーザー名とパスワードを管理しないで済むようにします。シングル・サインオン (single signon) も参照。

クロスドメイン認証サービス (CDAS) (cross domainauthentication service (CDAS)). 共用ライブラリー・メカニズムを提供する WebSEAL サービス。これにより、デフォルトの WebSEAL 認証メカニズムを、

WebSEAL に Tivoli Access Manager ID を戻すカスタム・プロセスで代用できます。 WebSeal も参照。

クロスドメイン・マッピング・フレームワーク (CDMF)(cross domain mapping framework (CDMF)).WebSEAL e-Community SSO 機能が使用されたときに、開発者がユーザー ID のマッピングとユーザー属性の処理をカスタマイズできるようにするプログラミング・インターフェース。

公開鍵 (public key). コンピューター・セキュリティーにおいて、誰でも使用できる鍵。秘密鍵 (private key)

と対比。

構成 (configuration). (1) 情報処理システムのハードウェアとソフトウェアが編成され、相互接続される方法。 (2) システム、サブシステム、またはネットワークを形成する装置とプログラム。

コモン・ゲートウェイ・インターフェース (CGI)(common gateway interface (CGI)). Web サーバー上で実行され、コモン・ゲートウェイ・インターフェース (CGI) を使用して、Web サーバーが通常では実行しないタスク (データベース・アクセスやフォーム処理など) を行うコンピューター・プログラム。 CGI スクリプトは、Perl などのスクリプト記述言語で書かれた CGI

プログラムです。

コンテナー・オブジェクト (container object). 特殊な機能領域内にオブジェクト・スペースを編成する構造上の指定。

［サ行］サービス (service). サーバーによって実行される作業。サービスは、データを (ファイル・サーバー、HTTP

サーバー、E メール・サーバー、および finger サーバーを使用して) 送信または保管する単純な要求の場合もあれば、プリント・サーバーやプロセス・サーバーの場合のように、より複雑な作業の場合もあります。

サイレント・インストール (silent installation). コンソールにメッセージを送る代わりに、メッセージとエラーをログ・ファイルに保管するインストール。また、サイレント・インストールでは、データ入力に応答ファイルを使用できます。応答ファイル (response file) も参照。

サフィックス (suffixes). ローカル側に保持されているディレクトリー階層の最上位エントリーを識別する識別名。 Lightweight Directory Access Protocol (LDAP) では相対命名方式が使用されるため、このサフィックスは、そのディレクトリー階層内にあるすべてのエントリーに適用されます。 1 つのディレクトリー・サーバーが複


数のサフィックスを持ち、それぞれがローカルに保持されているディレクトリー階層を識別する場合もあります。

資格サービス (entitlement service). プリンシパルの外部ソースまたは一連の条件から資格付与を戻すために使用できる許可 API ランタイム・プラグイン。通常、資格付与はアプリケーション固有のデータであり、何らかの方法でリソース・マネージャー・アプリケーションによって消費されるか、プリンシパルの信任状へ追加され、その後の許可プロセスで使用されます。ユーザーは、権限 ADK を使用して、これらのサービスを開発できます。

資格付与 (entitlement). 外部化されたセキュリティー・ポリシー情報が入ったデータ構造。資格付与には、特定のアプリケーションにだけ分かる方法でフォーマットされたポリシー・データまたは機能が入っています。

識別名 (DN) (distinguished name (DN)). ディレクトリー内のエントリーを一意に識別する名前。識別名は、複数の属性 : 値の対をコンマで区切ったものからなっています。

自己登録 (self-registration). ユーザーがアドミニストレーターの介入なしに、必要なデータを入力して Tivoli

Access Manager の登録ユーザーになるプロセス。

ジャンクション (junction). フロントエンド WebSEAL

サーバーとバックエンド Web アプリケーション・サーバーの間の HTTP または HTTPS 接続。ジャンクションは、バックエンド・サーバーの Web スペースとWebSEAL サーバーの Web スペースを論理的に結合し、結果として Web オブジェクト・スペース全体を 1

つの統合されたビューにします。 WebSEAL は、ジャンクションにより、バックエンド・サーバーのために保護サービスを提供できます。 WebSEAL は、すべてのリソース要求について認証と許可検査を行い、その後、ジャンクションを通じて、それらの要求をバックエンド・サーバーへ引き渡します。また、ジャンクションを使用すると、クライアントと、ジャンクションで接合されたバックエンド・アプリケーションの間で、さまざまなシングル・サインオン・ソリューションが可能になります。

証明書 (certificate). コンピューター・セキュリティーにおいて、公開鍵を証明書の所有者の ID に結合して、証明書の所有者を認証可能にするディジタル文書。証明書は認証局から発行されます。

シングル・サインオン (SSO) (Single Signon(SSO)). ユーザーが、一度だけログオンすれば複数のアプリケーションにアクセスできるようになり、それら

のアプリケーションに別々にログオンしなくても済む機能。グローバル・サインオン (global signon) も参照。

信任状 (credentials). ユーザー、すべてのグループ・アソシエーション、および他のセキュリティー関連の一致属性を記述する、認証の際に獲得される詳細情報。信任状を使用すると、認証、監査、代行といった多数のサービスを実行できます。

信任状変更サービス (credentials modificationservice). Access Manager 信任状を変更するために使用できる許可 API ランタイム・プラグイン。ユーザーによって外部で開発された信任状変更サービスは、信任状属性リストへの追加や削除を行うだけに制限され、変更可能と見なされている属性だけを操作できます。

スキーマ (schema). データベースの構造を完全に記述する、データ定義言語で表現されたステートメントの集合。

スケーラビリティー (scalability). リソースにアクセスするユーザー数の増加に対するネットワーク・システムの対応能力。

ステップアップ認証 (step-up authentication). 事前に構成された認証レベル階層に基づき、リソースに設定されたポリシーに従って特定のレベルの認証を実行する保護オブジェクト・ポリシー (POP)。ステップアップ認証では、ユーザーは複数レベルの認証の使用せずに任意のリソースにアクセスできますが、リソースを保護しているポリシーによって必要とされるレベルか、それ以上のレベルで認証を行う必要があります。

セキュア・ドメイン (secure domain). 共通の目的で共通のサービス (通常は機能も) を共用するユーザー、システム、およびリソースのグループ。

セキュリティー管理 (security management). ビジネスを成功させる上で重要なアプリケーションやデータへのアクセスを制御する組織の能力を対象にした、管理規律。

接続 (connection). (1) データ通信で、情報を伝達するために機能単位の間で確立される関連付け。 (2)

TCP/IP で、2 つのプロトコル・アプリケーション間で信頼性のあるデータ・ストリーム送達サービスを提供するパス。インターネットでは、あるシステム上の TCP

アプリケーションから別のシステム上の TCP アプリケーションに接続が拡張されます。 (3) システム通信で、2 つのシステム間またはシステムと装置との間でデータを渡すための回線。

用語集 247

属性リスト (attribute list). Tivoli Access Manager では、権限を決定するための拡張情報が入ったリンク・リスト。属性リストは、一連の keyword = value のペアで構成されます。

［タ行］多重プロキシー・エージェント (MPA) (multiplexingproxy agent (MPA)). 複数のクライアント・アクセスに対応できるゲートウェイ。これらのゲートウェイは、クライアントが Wireless Access Protocol (WAP) を使用してセキュア・ドメインにアクセスする場合には、WAP

ゲートウェイと呼ばれることもあります。ゲートウェイは、起点サーバーへの単一の認証済みチャネルを確立し、そのチャネルを通じたすべてのクライアント要求と応答の「トンネル」になります。

デーモン (daemon). 標準サービスを実行するために無人で稼働するプログラム。自動的に起動されてタスクを実行するデーモンと、定期的に実行されるデーモンがあります。

ディジタル・シグニチャー (digital signature).e-commerce では、データ単位に付加されたデータ、またはデータ単位を暗号に変換したデータ。データ単位の受信側はこれを使用して、そのデータ単位のソースや保全性を検証したり、偽造の可能性を検知したりできます。

ディレクトリー・スキーマ (directory schema). ディレクトリーに存在できる有効な属性タイプとオブジェクト・クラス。これらの属性タイプとオブジェクト・クラスは、属性値の構文と、どの属性が存在する必要があるか、およびどの属性がディレクトリーについて存在できるかを定義します。

トークン (token). (1) ローカル・エリア・ネットワークで、伝送メディアを一時的に制御しているステーションを識別するために、 1 つのデータ・ステーションから別のデータ・ステーションに継続的に渡される権限のシンボル。各データ・ステーションには、トークンを取得してメディアを制御するために使用する機会があります。トークンは、伝送の許可を表す特定のメッセージまたはビット・パターンです。 (2) ローカル・エリア・ネットワーク (LAN) で、伝送メディアに沿って 1 つの装置から別の装置に渡されるビットのシーケンス。トークンにデータが付加されると、フレームになります。

特権属性証明書 (privilege attribute certificate).Tivoli Access Manager セキュア・ドメインの外部で定義される、データ・コンテナーに関する記述。これには、プリンシパルの認証属性、許可属性、能力が含まれています。

特権属性証明書サービス (privilege attributecertificate service). (1) Tivoli Access Manager では、特権属性証明書サービスは、Tivoli Access Manager 信任状をテキスト専用環境で伝送可能なフォーマットにエンコード、またはそのフォーマットからデコードするために使用されます。そのフォーマットは、ASN1 と MIME

エンコード方式を結合したものです。このサービスは、Tivoli Access Manager 許可 API に組み込まれています。 (2) 所定のフォーマットの PAC を Access

Manager 信任状に、またはその逆に変換する許可 API

ランタイム・クライアント・プラグイン。これらのサービスを使用して、Access Manager 信任状を他のセキュア・ドメイン・メンバーへの伝送用にパッケージしたりマーシャルしたりすることもできます。ユーザーは、権限 ADK を使用して、これらのサービスを開発できます。

ドメイン (domain). (1) コンピューター・ネットワークで、データ処理リソースが共通制御される部分。 (2)

ドメイン名 (domain name) を参照。

ドメイン名 (domain name). インターネット・プロトコル・スイートにおける、ホスト・システムの名前。ドメイン名は、区切り文字で区切られた一連のサブネームで構成されます。たとえば、ホスト・システムの完全修飾ドメイン名が ralvm7.vnet.ibm.com である場合、以下のそれぞれはドメイン名です。

v ralvm7.vnet.ibm.com

v vnet.ibm.com

v ibm.com

トラステッド・ルート (trusted root). Secure Sockets

Layer (SSL) において、公開鍵とそれに関連付けられた認証局 (CA) の識別名。

［ナ行］認証 (authentication). (1) コンピューター・セキュリティーにおける、ユーザーの ID の確認、またはオブジェクトにアクセスするユーザーの適格性の確認。 (2) コンピューター・セキュリティーにおける、メッセージが変更または破壊されていないことの確認。 (3) コンピューター・セキュリティーにおいて、情報システムまたは保護リソースのユーザーを確認するプロセス。マルチファクター認証 (multi-factor authentication)、ネットワーク型認証 (network-based authentication)、およびステップアップ認証 (step-up authentication) も参照。

認証局 (CA) (certificate authority (CA)). e-commerce

で、証明書を発行する組織。認証局は、証明書の所有者の ID とその所有者が使用を許可されているサービスと


の認証、新規の証明書の発行、既存の証明書の更新、および使用が許可されなくなったユーザーに属する証明書の取り消しを行います。

ネットワーク型認証 (network-basedauthentication). ユーザーのインターネット・プロトコル (IP) アドレスに基づいて、オブジェクトへのアクセスを制御する保護オブジェクト・ポリシー (POP)。保護オブジェクト・ポリシー (protected object policy) も参照。

［ハ行］バインド (bind). ID をプログラム内の他のオブジェクトに関連付けること。たとえば、ID を値、アドレス、または他の ID に関連付けたり、形式的なパラメーターと実パラメーターとを関連付けること。

ビジネス資格付与 (business entitlement). リソースについての許可要求に使用できる細分化された条件を記述したユーザー信任状の補足的な属性。

秘密鍵 (private key). コンピューター・セキュリティーにおいて、所有者だけが知っている鍵。公開鍵 (public

key) と対比。

ファイル転送プロトコル (FTP) (File TransferProtocol (FTP)). インターネット・プロトコル・スイートにおいて、伝送制御プロトコル (TCP) およびTelnet サービスを使用してマシンまたはホスト相互間でバルク・データ・ファイルを転送するためのアプリケーション・レイヤー・プロトコル。

ブレード (blade). アプリケーション固有のサービスとコンポーネントを提供するコンポーネント。

プロセス間通信 (IPC) (interprocess communication(IPC)). 1 つのオペレーティング・システム内で並行して実行される個別のプログラム・プロセスを作成して管理することにより、1 つのプログラムで多数のユーザー要求を同時に処理できるようにする方式の 1 つ。

ポータル (portal). リンク、コンテンツ、またはサービスなど、特定のユーザーが使用できる Web リソースのカスタマイズされたリストを、そのユーザーのアクセス許可に基づいて動的に生成する統合 Web サイト。

ポーリング (polling). データ要求を作成するチャネル・アクセス方式 (CAM) プロトコル。マスター/スレーブのシナリオでは、マスターは、伝送すべきデータがあるかどうかを各スレーブ装置に順に照会します。スレーブ装置は、「はい」と回答した場合、データの伝送を許可されます。スレーブが「いいえ」と回答した場合、マスターは次のスレーブ装置へ進み、ポーリングを続行し

ます。このプロセスが絶えず繰り返されます。Tivoli

Access Manager では、マスター認証 (ポリシー) データベースに更新情報があるかどうかを定期的にポーリングするよう、WebSEAL サーバーを構成できます。

保護オブジェクト・スペース (protected objectspace). ACL と POP の適用や許可サービスに使用される実際のシステム・リソースを表す、仮想オブジェクト。

保護オブジェクト・ポリシー (POP) (protected objectpolicy (POP)). セキュリティー・ポリシーの一種。ACL ポリシー・チェックが正常に行われた後の保護されたリソースへのアクセスに関して、追加の条件を宣言します。 POP の例としては、アクセスする時刻や保護レベルの品質などがあります。

保護品質 (quality of protection). 認証、保全性、およびプライバシー条件の組み合わせによって決定される、データ・セキュリティーのレベル。

ホスト (host). ネットワーク (インターネットや SNA

ネットワークなど) に接続されて、そのネットワークへのアクセス・ポイントを提供するコンピューター。環境によっては、ホストはネットワークを中央制御することもあります。ホストは、クライアントまたはサーバー、あるいは同時にクライアントとサーバーになることができます。

ポリシー (policy). 管理対象リソースに適用される規則の集合。

ポリシー・データ (policy data). パスワード・ストレングス・ポリシー・データおよびログイン・データの両方を含みます。

［マ行］マイグレーション (migration). プログラムの新しいリリースやバージョンをインストールして、以前のバージョンやリリースを置き換えること。

マルチファクター認証 (multi-factor authentication).ユーザーが複数のレベルの認証を使用して認証を行うことを強制する保護オブジェクト・ポリシー (POP)。たとえば、保護リソースについてのアクセス・コントロールでは、ユーザー名/パスワードおよびユーザー名/トークン・パスコードの両方を使用した認証を必要とすることができます。保護オブジェクト・ポリシー (protected

object policy) も参照。

メタデータ (metadata). 保管されたデータの特性を記述したデータ。

用語集 249

［ヤ行］役割の活動化 (role activation). 役割にアクセス許可を適用するプロセス。

役割の割り当て (role assignment). ユーザーに役割を割り当てるプロセス。たとえば、ユーザーにその役割用に定義されたオブジェクトへの適切なアクセス許可を持たせるなど。

ユーザー (user). 他者が提供するサービスを使用する、個人、組織、プロセス、装置、プログラム、プロトコル、またはシステム。

ユーザー・レジストリー (user registry). レジストリー (registry) を参照。

［ラ行］ランタイム (run time). コンピューター・プログラムが実行されている期間。ランタイム環境は、実行環境です。

リソース・オブジェクト (resource object). サービス、ファイル、プログラムなど、実ネットワーク・リソースを表したもの。

ルーティング・ファイル (routing file). メッセージの構成を制御するコマンドが入った ASCII ファイル。

レジストリー (registry). (1) セキュア・ドメインに加わることのできるユーザーやグループについてのアカウント情報を保守するデータ・ストア。 (2) ユーザー、ハードウェア、およびインストール済みのプログラムやアプリケーションに関するシステム構成情報を含むデータベースです。

レプリカ (replica). 別のサーバーのディレクトリー(単数または複数) のコピーを含んでいるサーバー。レプリカは、サーバーをバックアップし、パフォーマンスと応答時間を向上させ、データ保全性を確保します。

A

ACL. アクセス・コントロール・リスト (access control

list) を参照。

B

BA. 基本認証 (basic authentication) を参照。

C

CA. 認証局 (certificate authority) を参照。

CDAS. クロスドメイン認証サービス (Cross Domain

Authentication Service) を参照。

CDMF. クロスドメイン・マッピング・フレームワーク(Cross Domain Mapping Framework) を参照。

CGI. コモン・ゲートウェイ・インターフェース(common gateway interface) を参照。

Cookie. サーバーがクライアント・マシン上に保管し、以降のセッションのときにアクセスする情報。Cookies を使用すると、サーバーはクライアントに関する特定の情報を覚えておくことができます。

D

DN. 識別名 (distinguished name) を参照。

E

EAS. 外部許可サービス (External Authorization

Service) を参照。

G

GSO. グローバル・サインオン (global signon) を参照。

H

HTTP. Hypertext Transfer Protocol (HTTP) を参照。

Hypertext Transfer Protocol (HTTP). インターネット・プロトコル・スイートで、ハイパーテキスト文書の転送と表示に使用されるプロトコル。

I

IP. インターネット・プロトコル (IP) (Internet

Protocol (IP))。

IPC. プロセス間通信 (Interprocess Communication) を参照。

L

LDAP. Lightweight Directory Access Protocol (LDAP)

を参照。


Lightweight Directory Access Protocol (LDAP) .(a) TCP/IP を使用して X.500 モデルをサポートするディレクトリーへのアクセスを提供し、 (b) より複雑なX.500 Directory Access Protocol (DAP) のリソース要件に制約されない、オープン・プロトコル。 LDAP を使用するアプリケーション (ディレクトリー対応アプリケーションとして知られる) は、共通データ・ストアとして、また、人物やサービスに関する情報 (E メール・アドレス、公開鍵、サービス固有の構成パラメーターなど)

を検索するために、このディレクトリーを使用できます。 LDAP はもともと RFC 1777 で仕様化されました。 LDAP バージョン 3 は RFC 2251 で仕様化され、IETF は標準機能を追加する作業を続けています。IETF が定義した LDAP の標準スキーマの一部は、RFC

2256 に含まれています。

Lightweight Third Party Authentication (LTPA). インターネット・ドメイン内にある一連の Web サーバー全体にシングル・サインオンできるようにする認証フレームワーク。

LTPA. Lightweight Third Party Authentication (LTPA)

を参照。

P

PAC. 特権属性証明書 (privilege attribute certificate) を参照。

Policy server. セキュア・ドメイン内の他のサーバーに関するロケーション情報を保守する Tivoli Access

Manager サーバー。

POP. 保護オブジェクト・ポリシー (protected object

policy) を参照。

R

RSA 暗号化 (RSA encryption). 暗号化や認証に使用される公開鍵暗号のシステム。 1977 年に Ron

Rivest、Adi Shamir、および Leonard Adleman によって発明されました。このシステムのセキュリティーは、2

つの大きな素数の積を素因数分解する際の難しさに依存しています。

S

Secure Sockets Layer (SSL). 通信プライバシーを提供するセキュリティー・プロトコル。 SSL により、クライアント/サーバーは盗聴、改ざん、およびメッセージ偽造を防止するように設計された方法で通信できます。SSL は、Netscape Communications Corp. と RSA Data

Security, Inc. によって開発されました。

SSL. Secure Sockets Layer (SSL) を参照。

SSO. シングル・サインオン (Single Signon) を参照。

T

Tivoli Access Manager for Business Integration.IBM MQSeries 用の包括的なセキュリティー・サービスを提供する Tivoli Access Manager ブレード。これは、MQSeries 環境を拡張し、複数のキューにまたがる終端間のセキュリティーをサポートします。

Tivoli Access Manager for Operating Systems.Tivoli Identity Director 製品にセキュリティー・エンジンを提供する Tivoli Access Manager ブレード。このセキュリティー・エンジンは、ファイル・アクセスなど、許可検査を必要とするオペレーティング・システム呼び出しをインターセプトします。

U

Uniform Resource Identifier (URI). インターネットのコンテンツの位置を識別する方式。 URL (Uniform

Resource Locator) は、Web ページ・アドレスを識別する特定の形式の URI です。通常、URI は (a) リソースへのアクセスに使用するメカニズム (たとえば、HTTP、HTTPS、FTP)、(b) リソースが保管されている特定のコンピューター (たとえば、www.webserver.org)、およびそのコンピューター上にあるリソースの特定の名前(たとえば、.../products/images/serv.jpg) を記述しています。

Uniform Resource Locator (URL). コンピューター上、またはインターネットなどのネットワーク内にある情報リソースを表す文字の並び。この文字の並びには、(a) 情報リソースへのアクセスに使用するプロトコルの省略名と、(b) そのプロトコルで情報リソースを見つけるための情報が含まれています。たとえば、インターネットのコンテキストでは、これらは各種の情報リソースにアクセスするためのプロトコルの省略名(http、ftp、gopher、telnet、および news) であり、IBM

ホーム・ページの URL は http://www.ibm.com です。

URI. Uniform Resource Identifier (URI) を参照。

URL. Uniform Resource Locator (URL) を参照。

W

Web Portal Manager (WPM). セキュア・ドメイン内で Tivoli Access Manager Base および WebSEAL セキュリティー・ポリシーの管理に使用される Web ベースのグラフィカル・アプリケーション。 pdadmin コマン

用語集 251

ド行インターフェースに代わるものとして、この GUI

ではリモート・アドミニストレーター・アクセスが可能であり、アドミニストレーターは代行ユーザー・ドメインを作成し、それらのドメインに代行アドミニストレーターを割り当てることができます。

WebSEAL. Tivoli Access Manager ブレードの 1 つ。WebSEAL は高性能のマルチスレッド Web サーバーであり、保護されたオブジェクト・スペースにセキュリティー・ポリシーを提供します。 WebSEAL は、シングル・サインオン・ソリューションを提供でき、バックエンド Web アプリケーション・サーバー・リソースをそのセキュリティー・ポリシーの中に取り込むことができます。

WPM. Web Portal Manager を参照。


索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アクセス・コントロール・リスト (ACL)

LDAP サーバー構成中の添付 22

アクティビティー・ログ 56, 86, 102

アップグレードIBM JDK 1.2.2 86

アンインストール、コンポーネントのAIX から 57

HP-UX から 65

Solaris から 88

Tivoli Access Manager 64, 86, 102

Windows から 103

インストール応答ファイル 172

IBM WebSphere Application Server 55

エントリー、ディレクトリー 22

応答ファイル構文 172

説明 171

オプション構成 207, 210

［カ行］概要

IBM Global Security Toolkit 5

LDAP サーバー構成 21

鍵データベース・ファイル 180, 195, 198

鍵リング 185

簡易インストール構成オプション 207, 210

管理サーバーアンインストール 64, 86, 102

関連資料 xiii

キー・ファイル 185

許可 ADK

アンインストール 64, 86, 102

許可サーバーアンインストール 64, 86, 102

局、認証 181, 199

グラフィカル・ユーザー・インターフェース (GUI)

Server 管理 24

Web 管理 184

グローバル・サインオン (GSO)

識別名 / サフィックス 21, 25

グローバル・サインオン (GSO) (続き)

説明 21

言語サポート概要 12

コード・セット 19

メッセージ・カタログ 18

ロケール変数 17

ロケール名UNIX 17

Windows 17

ロケール・バリアント、インプリメント 18

言語の設定、変更 17

コード・セット言語サポート 19

ファイル・ディレクトリー 20

構成IBM Directory Server 22

IBM WebSphere Application Server 55

構成オプション 207, 210

構成解除UNIX 65, 87

構文応答ファイル 172

考慮事項サイレント・インストール 171

国際化対応言語サポート 12

コード・セット 19

メッセージ・カタログ 18

ロケール変数 17

ロケール・バリアント 18

個人証明書 180, 181, 199

コマンドdmt 26

コンポーネントIBM Global Security Toolkit を参照 5

Web Portal Manager を参照。 6

［サ行］サーバーおよびクライアント認証 179, 184, 198

サーバー証明書 186, 187

サーバー認証 179, 184

サイレント・インストール応答ファイル 171

考慮事項 171

作成、自己署名証明書の 182, 200

サフィックス 21, 25

識別名 / サフィックス、GSO 21

自己署名証明書 182, 200


証明書局 181, 199

個人 180, 181, 199

サーバー 186, 187

自己署名 182, 200

除去アンインストールを参照 64, 86, 102

署名者証明書証明書署名者 197, 201

スキーマ・ファイル 21

スタンザ 172

［タ行］地域の設定、Windows での 17

抽出、自己署名証明書 182, 200

ディレクトリー情報ツリー (DIT) 21

ディレクトリー・エントリー 22

テキスト・エンコード方式コード・セットを参照 19

［ナ行］認証サーバー 179, 184

サーバーおよびクライアント 179, 184, 198

ネイティブ・インストール構成 207, 210

［ハ行］バリアント、言語ロケール 18

ファイル応答 171

鍵データベース 195, 198

鍵データベース (.kdb) 180

鍵データベース・ファイル (.kdb) 181

スキーマ 21

gsk5ikm.exe 180, 195, 199, 200

httpd.conf 23

変数ロケール変数 17

LANG

UNIX 17

Windows 17

NLSPATH

使用 18

ポートデフォルト 215

WebSEAL 23

［マ行］マイグレーション

Policy Server 45, 46, 203, 204

命名コンテキスト 21

メタデータ 21

メッセージ・カタログ言語ディレクトリー 18

国際化対応 18

［ラ行］ルート 21

レジストリーDCE レジストリーを参照 45, 46, 203, 204

LDAP レジストリーを参照 45, 46, 203, 204

ログアクティビティー 56, 86, 102

ロケール名UNIX 17

Windows 17

ロケール・バリアント 18

AAIX

インストールGSKit 50

IBM Directory Client 50

Tivoli Access Manager のコンポーネント 51

コンポーネントのアンインストール 57

CCD

Web Portal Manager 用 6

DDCE レジストリーからの、マイグレーション 45, 46, 203,

204

Directory Management Tool (DMT) 26

Ggsk5ikm ファイル 180, 195, 199, 200

GSO

グローバル・サインオンを参照 21

HHP-UX

アンインストール 65


HP-UX (続き)




httpd.conf ファイル 23

IIBM Developer Toolkit 86

IBM Directory

クライアントアンインストール 64, 86, 102

SSL を使用可能化 195

サーバー構成 22


IBM Global Security Toolkit

アンインストール 64, 86, 102

説明 5

IBM JDK 1.2.2 86

iKeyman 鍵管理ユーティリティー作成、鍵データベース・ファイル 195

説明 5



製品資料 29

SSL を使用可能化 186, 188

LLANG 変数目的 17

UNIX 17

Windows 17

LDAP サーバー構成 21


LDAP レジストリーからのマイグレーション 45, 46, 203, 204

NNLSPATH 変数使用 18

PPolicy Server

マイグレーション 45, 46, 203, 204

RRuntime

構成 207, 209, 210, 214, 215

Runtime 環境アンインストール 64, 86, 102

SsecAuthority=Default 21, 25, 31

Secure Sockets Layer

IBM Global Security Toolkit 5

Secure Sockets Layer (SSL)

使用可能化 179

テスト 197, 202

IBM Directory Client での使用可能化 195

iPlanet Directory Server 上での使用可能化 188

iPlanet Directory Server のために使用可能化 186

LDAP サーバー上でアクセスを使用可能化する 183

Server 管理インターフェース 24

Solaris

アンインストール 88




SSL

Secure Sockets Layer を参照 5

UUnicode 19

UNIX

言語サポート 17

UNIX、コンポーネントの構成解除 65, 87

UTF-8 エンコード方式 19

WWeb Portal Manager 6

Web 管理インターフェース 184

Windows



Tivoli Access Manager 94

言語サポート 17

コンポーネントのアンインストール 103

［特殊文字］.kdb 181

索引 255

��

Printed in Japan

SC88-9521-01

ibm · テキスト・エンコード方式(コード・セット)...

Documents